Virtualisation Réseau
Services de virtualisation et de sécurisation facilitée du réseau
Les services de Monaco Cloud sont fournis avec les fonctionnalités suivantes par défaut :
Chiffrement en transit inter-site
Connectivité Internet avec protection contre les attaques DDoS
Trafic de données entrantes illimité
Depuis vCloud Director, les services réseaux suivants sont disponibles :
Adresse IP publique
Application Port Profiles
Firewall DFW (Micro-segmentation)
Firewall (trafic nord/sud)
Réseau VDC
Un réseau de centre de données virtuel (VDC) d'organisation permet aux instances de calcul de de communiquer entre elles ou vers l'extérieur. Chaque VDC peut contenir plusieurs réseaux :
Un réseau isolé (interne) : seules les instances du VDC peuvent s'y connecter.
Un réseau routé (externe) : permet un accès en dehors du VDC, via la Edge Gateway.
Firewall DFW (Micro-segmentation)
Monaco Cloud propose un Firewall Distribué, permettant la micro segmentation des réseaux au niveau du VDC. Il est possible d'inspecter chaque paquet et trame entrant et sortant de la machine virtuelle, quelle que soit la topologie du réseau. L'inspection des paquets est effectuée au niveau de la carte réseau virtuelle de la machine virtuelle (vNIC), ce qui permet d'appliquer des listes de contrôle d'accès (ACL) au plus près de la source. Vous pouvez avoir un réseau routé ou isolé sur un vApp et toujours utiliser un DFW au niveau du VDC pour le compléter.
Les règles du Firewall sont configurable entre la couche 2 et 4 :
Couche 2 : protocoles d'adresse MAC L2 comme ARP, RARP et LLDP
Couche 3 : destination de la source IP
Couche 4 : port de service TCP ou UDP
Les règles sont toujours lues et appliquées de haut en bas comme n'importe quel pare-feu traditionnel.
La règle de pare-feu par défaut autorise le trafic Couche 2 et 3 à traverser vos VDC.
Firewall (trafic nord/sud)
VMware Cloud Director fournit un pare-feu de couche 3 complet, pour contrôler la sécurité des transit de l'intérieur vers l'extérieur et au sein des différents réseaux VDC que vous créez.
Lorsque vous spécifiez des réseaux ou des adresses IP, vous pouvez utiliser :
Une adresse IP individuelle
Plages IP séparées par un tiret (-)
Un CIDR, par exemple,
192.168.1.0/24
Les mots-clés
internal
,external
ouany
VPN de site à site
VMware Cloud Director prend en charge les types de VPN de site à site suivants :
Avec une autre passerelle Edge dans la même organisation
Avec une passerelle Edge dans une autre organisation (Monaco Cloud ou un autre fournisseur de services Cloud)
Un réseau distant offrant une capacité de point de terminaison VPN IPsec
Selon le type de connexion requis, vous devrez compléter l'adressage IP pour les deux extrémités, ainsi qu'un secret partagé, et indiquer quels réseaux VDC sont autorisés à se connecter au lien VPN.
Load Balancer L4
L'une des fonctions de la Edge Gateway est d'agir comme un Load Balancer de base, distribuant le trafic IP à un pool de serveurs tout en apparaissant comme un serveur virtuel unique.
Les méthodes d'équilibrage de charge proposées sont le round-robin, le hachage IP, l'URI, l'en-tête HTTP ou le least connected.
Le Load Balancer L4 de la passerelle Edge est assez basique. Si vous devez répondre à des exigences plus complexes, vous devrez fournir votre propre équilibreur de charge virtuel.
Passerelle NAT
La traduction d'adresses réseau (NAT) permet de modifier l'adresse IP source ou de destination pour permettre au trafic de passer par un routeur ou une passerelle.
Vous pouvez utiliser deux types de NAT dans votre passerelle Edge :
Destination NAT (DNAT) - modifie l'adresse IP de destination du paquet
Source NAT (SNAT) - modifie l'adresse IP source du paquet
Pour qu'une machine virtuelle (Instance de calcul) accède à une ressource réseau externe à partir de son centre de données virtuel (VDC), l'adresse IP de son réseau doit être NAT à l'un des éléments suivants :
Les adresses IP Internet publiques fournies par Monaco Cloud
Les réseaux de transit privés fournis par Monaco Cloud
Il convient de noter que, pour DNAT et SNAT, la règle NAT sera appliquée à la passerelle Edge, plutôt qu'au réseau VDC interne.
Les règles NAT ne fonctionnent que si le pare-feu est activé. Pour des raisons de sécurité, vous devez vous assurer que le pare-feu est toujours activé.
Facturation
Les données sortantes (egress) sont facturées au Go pour tous les services, au-delà de 1 To gratuit par mois.
Niveaux de service
Les niveaux de services s'appliquent en dehors des périodes de maintenance prévues. En cas de cyberattaque, Monaco Cloud peut modifier la configuration réseau de l'utilisateur. La période durant laquelle cette modification est effective n'est pas incluse dans la période d'indisponibilité.
Dernière mise à jour