Virtualisation Réseau

Services de virtualisation et de sécurisation facilitée du réseau

Les services de Monaco Cloud sont fournis avec les fonctionnalités suivantes par défaut :

Chiffrement en transit inter-site
Connectivité Internet avec protection contre les attaques DDoS
Trafic de données entrantes illimité

Depuis vCloud Director, les services réseaux suivants sont disponibles :

Adresse IP publique
Application Port Profiles
Réseau VDC
Firewall DFW (Micro-segmentation)
Firewall (trafic nord/sud)
VPN de site à site
Load Balancer L4
Passerelle NAT

Réseau VDC

Un réseau de centre de données virtuel (VDC) d'organisation permet aux instances de calcul de de communiquer entre elles ou vers l'extérieur. Chaque VDC peut contenir plusieurs réseaux :

Un réseau isolé (interne) : seules les instances du VDC peuvent s'y connecter.
Un réseau routé (externe) : permet un accès en dehors du VDC, via la Edge Gateway.

Monaco Cloud propose un Firewall Distribué, permettant la micro segmentation des réseaux au niveau du VDC. Il est possible d'inspecter chaque paquet et trame entrant et sortant de la machine virtuelle, quelle que soit la topologie du réseau. L'inspection des paquets est effectuée au niveau de la carte réseau virtuelle de la machine virtuelle (vNIC), ce qui permet d'appliquer des listes de contrôle d'accès (ACL) au plus près de la source. Vous pouvez avoir un réseau routé ou isolé sur un vApp et toujours utiliser un DFW au niveau du VDC pour le compléter.

Les règles du Firewall sont configurable entre la couche 2 et 4 :

Couche 2 : protocoles d'adresse MAC L2 comme ARP, RARP et LLDP
Couche 3 : destination de la source IP
Couche 4 : port de service TCP ou UDP

Les règles sont toujours lues et appliquées de haut en bas comme n'importe quel pare-feu traditionnel.

La règle de pare-feu par défaut autorise le trafic Couche 2 et 3 à traverser vos VDC.

Firewall (trafic nord/sud)

VMware Cloud Director fournit un pare-feu de couche 3 complet, pour contrôler la sécurité des transit de l'intérieur vers l'extérieur et au sein des différents réseaux VDC que vous créez.

Lorsque vous spécifiez des réseaux ou des adresses IP, vous pouvez utiliser :

Une adresse IP individuelle
Plages IP séparées par un tiret (-)
Un CIDR, par exemple, 192.168.1.0/24
Les mots-clés internal, external ou any

VPN de site à site

VMware Cloud Director prend en charge les types de VPN de site à site suivants :

Avec une autre passerelle Edge dans la même organisation
Avec une passerelle Edge dans une autre organisation (Monaco Cloud ou un autre fournisseur de services Cloud)
Un réseau distant offrant une capacité de point de terminaison VPN IPsec

Selon le type de connexion requis, vous devrez compléter l'adressage IP pour les deux extrémités, ainsi qu'un secret partagé, et indiquer quels réseaux VDC sont autorisés à se connecter au lien VPN.

Load Balancer L4

L'une des fonctions de la Edge Gateway est d'agir comme un Load Balancer de base, distribuant le trafic IP à un pool de serveurs tout en apparaissant comme un serveur virtuel unique.

Les méthodes d'équilibrage de charge proposées sont le round-robin, le hachage IP, l'URI, l'en-tête HTTP ou le least connected.

Le Load Balancer L4 de la passerelle Edge est assez basique. Si vous devez répondre à des exigences plus complexes, vous devrez fournir votre propre équilibreur de charge virtuel.

Passerelle NAT

La traduction d'adresses réseau (NAT) permet de modifier l'adresse IP source ou de destination pour permettre au trafic de passer par un routeur ou une passerelle.

Vous pouvez utiliser deux types de NAT dans votre passerelle Edge :

Destination NAT (DNAT) - modifie l'adresse IP de destination du paquet
Source NAT (SNAT) - modifie l'adresse IP source du paquet

Pour qu'une machine virtuelle (Instance de calcul) accède à une ressource réseau externe à partir de son centre de données virtuel (VDC), l'adresse IP de son réseau doit être NAT à l'un des éléments suivants :

Les adresses IP Internet publiques fournies par Monaco Cloud
Les réseaux de transit privés fournis par Monaco Cloud

Il convient de noter que, pour DNAT et SNAT, la règle NAT sera appliquée à la passerelle Edge, plutôt qu'au réseau VDC interne.

Les règles NAT ne fonctionnent que si le pare-feu est activé. Pour des raisons de sécurité, vous devez vous assurer que le pare-feu est toujours activé.

Facturation

Les données sortantes (egress) sont facturées au Go pour tous les services, au-delà de 1 To gratuit par mois.

Niveaux de service

Pourcentage de perte maximale de paquets mensuelle	0,01%
Pourcentage de disponibilité mensuelle des firewalls en charge des groupes de sécurité	99,80%

Les niveaux de services s'appliquent en dehors des périodes de maintenance prévues. En cas de cyberattaque, Monaco Cloud peut modifier la configuration réseau de l'utilisateur. La période durant laquelle cette modification est effective n'est pas incluse dans la période d'indisponibilité.

Stockage Objet

Guides