Topologie complète avec les icones de VMware

Chap 1. Configuration d’un serveur DNS-DHCP avec Zentyal
Chap 2. Installation de vSphere 6.5 dans Proxmox
Chap 3. Nested ESXi – ESXi imbriqué dans un autre ESXi
Chap 4. Configuration du réseau et de pfSense dans vSphere 6.5
Chap 5. FreeNAS – Configuration d’un serveur NFS avec VMware vSphere 6.5
Chap 6. FreeNAS – Configuration d’un SAN iSCSI avec VMware vSphere 6.5
Annexe. Topologie complète avec les icones de VMware

ANNEXE. Topologie complète avec les icones de VMware

Pour les adeptes des belles icônes, ci-dessous la topologie complète de mon lab avec les icônes officiles de VMware que vous pouvez récupérer ici.

A chaque fois que vous utilisez ces icônes, vous êtes dans l’obligation de faire mention des conditions d’utilisation de VMware.

This document was created using the official VMware icon and diagram library. Copyright © 2012 VMware, Inc. All rights reserved. This product is protected by U.S. and international copyright and intellectual property laws. VMware products are covered by one or more patents listed at http://www.vmware.com/go/patents.

VMware does not endorse or make any representations about  third party information included in this document, nor does the inclusion of any VMware icon or diagram in this document imply such an endorsement.

C’est pour celà que je m’en suis passé pour les articles précédents.

Publicités

FreeNAS – Configuration d’un SAN iSCSI avec VMware vSphere 6.5

Chap 1. Configuration d’un serveur DNS-DHCP avec Zentyal
Chap 2. Installation de vSphere 6.5 dans Proxmox
Chap 3. Nested ESXi – ESXi imbriqué dans un autre ESXi
Chap 4. Configuration du réseau et de pfSense dans vSphere 6.5
Chap 5. FreeNAS – Configuration d’un serveur NFS avec VMware vSphere 6.5
Chap 6. FreeNAS – Configuration d’un SAN iSCSI avec VMware vSphere 6.5
Annexe. Topologie complète avec les icones de VMware

Chap 6. FreeNAS – Configuration d’un SAN iSCSI avec VMware vSphere 6.5

Cette partie requiert un peu plus d’attention si vous n’êtes pas familier avec le domaine. Avant de suivre étape par étape la configuration de FreeNAS et du vCenter, je vais vous demander de lire et même de relire l’article en entier afin de comprendre où l’on veut arriver.

Commençons par la topologie du réseau.


Je vous fait un zoom sur la partie dont je vais consacrer ce chapitre.

I. Configuration de FreeNAS

1. Réseau

Configurer les deux interfaces réseaux dans Network > Interface > Add Interface, comme suit.


N’oubliez pas de rajouter la MTU à 9000 pour la jumbo frame.

On se place ensuite dans Sharing > Block (iSCSI).

Ensuite, il faut ajouter les éditer et ajouter les informations pour accéder à notre stockage de données dans l’ordre suivante.

 

2 Stockage de données

2.1. Target Global Configuration

Pour qu’une communication entre l’hôte ESXi et le storage SAN ait lieu, il nous faut un Initiateur et un Target.

Le rôle d’Initiateur est attribué à l’hôte ESXi, tandis que celui de Target (ou cible) est attribué au SAN. Pour identifier un node iSCSI, il lui faut attribuer un nom: un du côté de l’hôte et un autre du côté du SAN.

Par convention, le nom des nodes devraient commencer par IQN ou EUI.

Côté cible, on a: iqn.2005-10.org.freenas.ctl.

Côté initiateur, qu’on verra plus loin, on a: iqn.1998-01.com.vmware.

2.2. Portals

Ajouter le ou les adresses IPs pour contacter le serveur SAN.

2.3. Initiators

Configurer les règles d’accès au SAN. Ici, j’ai choisi l’option la plus simple en autorisant tout node contactant le serveur SAN à accéder à toutes les ressources disponibles.

 

2.4. Targets

Donner un nom au Target, puis sélectionner le portal créé plus haut.

2.5. Extents

Sélectionner le disque à partager.

2.6. Associated target

Associer au target le disque qu’on vient de créer.

II. Configuration des ESXis

1. Réseau

Pour la partie réseau, je vous renvoie au Chap 4. dans lequel j’ai détaillé toutes les étapes à suivre pour configurer le vswitch approprié.

2 Stockage de données

2.1. Ajout d’un adapter iSCSI

Pour atteindre le SAN, il nous faut un Initiator et un Target. L’initiator transporte les requêtes SCSI, initié par l’ESXi hôte. Et le target c’est le FreeNAS.

Il faut savoir que dans un environnement vSphere, on distingue deux types d’adapter iSCSI:

  • Software iSCSI adapter
  • Hardware iSCSI adapter

Comme le nom l’indique, le Software adapteur est un adapteur qui est géré directement par le vmkernel et utilise votre carte réseau LAN pour faire passer le traffic.

Concernant l’adapteur physique, ici encore il y a deux types:

  • Independent Hardware iSCSI adapter (exemple, QLogic QLA4052 adapter)
  • Dependent Hardware iSCSI adapter (exemple, iSCSI licensed Broadcom 5709 NIC)

Ceux sont deux cartes dédiés aux traffics SCSI, le premier est un HBA alors que le second est un Accélérateur de trafic.

Dans mon lab, je n’ai pas besoin d’une carte dédiée pour accéder à mon storage SAN.

Commençons par ajouter l’adapteur de type Software iSCSI.

Sélectionner Storage Adapters > Add new storage adapter > Software iSCSI adapter.


Vérifier que l’initateur est bien créé, et que le status de l’adapteur affiche bien qu’il est activé (enabled) dans les propriétés de l’adapteur.

2.2 Ajout de l’entrée vers l’iSCSI SAN

Maintenant que l’initiateur est configuré, il faut ajouter le lien pour accéder au Target.

Dans l’onglet Target, sélectionner Dynamic Discovery > Add.

Ajouter les addresses IPs pour accéder au storage SAN,


Puis valider l’ajout en fesant un scan du Storage adapter de l’hôte concerné, ou tout simplement en rescannant tous les hôtes.

Vérifier ensuite que le target s’affiche bien dans l’onglet Static Discovery.


Les chemins d’accès au storage SAN devraient s’afficher comme actifs.


Dans l’onglet Devices, on devrait voir les informations du FreeNAS.

Dernière étape, le network binding. Vous devriez pouvoir ajouter les deux network adapteurs pour le traffic SCSI.

FreeNAS – Configuration d’un serveur NFS avec VMware vSphere 6.5

Chap 1. Configuration d’un serveur DNS-DHCP avec Zentyal
Chap 2. Installation de vSphere 6.5 dans Proxmox
Chap 3. Nested ESXi – ESXi imbriqué dans un autre ESXi
Chap 4. Configuration du réseau et de pfSense dans vSphere 6.5
Chap 5. FreeNAS – Configuration d’un serveur NFS avec VMware vSphere 6.5
Chap 6. FreeNAS – Configuration d’un SAN iSCSI avec VMware vSphere 6.5
Annexe. Topologie complète avec les icones de VMware

Chap 5. FreeNAS – Configuration d’un serveur NFS avec VMware vSphere 6.5

Maintenant que la partie réseau est configurée, attaquons la partie  stockage de données.

Dans cette partie, je vais utiliser freeNAS comme serveur NAS.


I. Configuration de la machine virtuelle

Dans le réseau, il me faut juste connecter les deux hôtes ESXi virtuels au serveur NAS.


Concernant les différents disques, il faut:
– un disque de 8 Go pour installer le système d’exploitation
– un disque de 50 Go pour NFS
– un autre disque de 50 Go pour iSCSI

Pour l’installation de freeNAS, c’est aussi simple que celle de l’installation de pfSense. Accepter les configurations par  défaut, et si vous n’êtes pas sur de vous, jettez un coup d’oeil à la documentation.

II. Configuration du serveur NAS

1. Système

Dans cette fenêtre, vous pouvez ajouter le nom d’hôte (FQDN)

Ou modifier le mot de passe root.

2. Réseau

Dans Global config, vous pouvez ajouter le nom de la machine ainsi que l’adresse IP de la passerelle.

Sélectionner ensuite Interfaces pour configurer les différentes interfaces.

Une option que j’ai trouvé afin d’être sur de tomber sur la bonne interface est de supprimer toutes les cartes réseaux du VM, de n’en garder que deux puis de rajouter un nouvel interface quand il y a besoin.
Pour information, le rajout d’une nouvelle carte doit être suivit d’un reboot du VM, sinon vous ne verrez par cette carte dans l’interface du serveur freeNAS.

L’option de déconnecter ces cartes pour le VM concerné ne résoud pas le problème puisque l’interface de freeNAS arrive quand même à retrouver toutes les cartes disponibles pour cette VM.

Pour ajouter une interface, cliquez sur Add interface puis d’ajouter les informations demandées.

Assigner une adresse IP à l’interface puis lui donner un nom afin que vous sachiez à quoi correspond chaque interface.


Laisser les autres options par défaut. Vous devriez avoir quelque chose de similaire, ici j’ai aussi configuré les deux autres interfaces iSCSI, mais ce n’est pas l’objet de ce topic.


Pinger ensuite cette interface à partir d’un des ESXi embarqués ou à partir d’une autre VM du même réseau, pour vérifier que c’est la bonne interface qui est configurée.

3. Stockage de données (storage)

Volume name: Datastore1 (vous pouvez lui donner un autre nom)
Volume to extend: choisissez l’un des deux disques de 50 Go
Drag and drop this to resize: tirez le curseur au maximum pour utiliser la totalité du disque

Cliquer  ensuite sur Add volume pour valider.

4. Partage des données

Sélectionner Share > UNIX (NFS) > Add Unix (NFS) share.


Si vous n’êtes pas sûre du chemin où se trouve votre datastore, cliquez sur Browse, sélectionner le dossier au plus bas niveau après avoir cliqué sur +, puis valider.

Cliquer ensuite sur Advanced Mode pour sélectionner le Maproot User: root.

III. Configuration de vCenter

L’ajout d’un datastore NFS ne demande pas trop d’effort.

Une fois que vous avez Storage > New Datastore, accepter toutes les options par défaut.

Ici, choisissez l’option NFS.

Entrez les informations pour se connecter au serveur NFS.

Il nous faut l’adresse IP du serveur (192.168.1.2), ainsi que le chemin pour accéder au datastore. C’est ce qu’on a rajouté dans Partage de donnée (/mnt/Datastore1) dans freeNAS.

Sélectionner le ou les ESXi qui auront accès au datastore.

Et voilà, le tour est joué.
Ne prenez pas en compte le Datastore-iSCSI, puisque je vais en parler au prochain chapitre.

Configuration du réseau et de pfSense dans vSphere 6.5

Chap 1. Configuration d’un serveur DNS-DHCP avec Zentyal
Chap 2. Installation de vSphere 6.5 dans Proxmox
Chap 3. Nested ESXi – ESXi imbriqué dans un autre ESXi
Chap 4. Configuration du réseau et de pfSense dans vSphere 6.5
Chap 5. FreeNAS – Configuration d’un serveur NFS avec VMware vSphere 6.5
Chap 6. FreeNAS – Configuration d’un SAN iSCSI avec VMware vSphere 6.5
Annexe. Topologie complète avec les icones de VMware

Chap 4. Configuration du réseau et de pfSense dans vSphere 6.5

 

I. Reconfiguration des différents serveurs, physique et virtuels

Le chapitre précédent présente la base du lab à créer. Cependant, je ne le trouve pas parfait et il y a encore quelques améliorations qu’on peut y ajouter. Entre autre, il n’y a plus besoin d’accéder à vCenter directement en dehors du lab et se fier à notre parefeux qui fait office de passerelle (pfSense).

Concernant l’installation de pfSense, je vous recommande de lire la documentation. Il n’y a pas grand chose à faire, à part accepter toutes les options proposées, et de les laisser tel quelles en gardant tout par défaut.

1. Ajout d’un nouvel adapter pour l’ESXi physique

Jusqu’ici, la gestion de l’ESXi host se fait à partir du réseau physique en 127.X.Y.Z. Afin d’éviter au vCenter de passer par multiple réseau afin de gérer cet hôte, j’ai décidé d’ajouter ce dernier dans le même réseau que le vCenter.

L’hôte physique ESXi a donc besoin d’un adapteur (carte réseau virtuelle) pour pouvoir communiquer avec le réseau du lab en 192.168.1.0/24.

Pour celà,

  • Créer un nouveau port group que j’ai appelé « ESXi host mgt », dans vSwitch1. Vous pouvez l’appeler autrement
  • Ne pas attacher une carte physique au port nouvellement créé. Il n’y en a pas besoin vu que tout le traffic passera par pfSense

Pour rappel, toutes les machines virtuelles se trouvent aussi dans le réseau géré par vSwitch1, c’est pour celà que j’ai choisi cette option pour ajouter notre hôte auquel j’ai assigné l’adresse IP 192.168.1.111.

Verifier que vous pouvez y acceder à la gestion de l’ESXi physique à partir de n’importe quel VM du réseau 192.168.1.0.

Une fois que l’hôte est joignable par le vCenter, il faut le supprimer de l’inventaire de ce dernier pour l’ajouter avec l’adresse IP dans le même réseau que le vCenter lui même.

2. Déconnecter l’hôte

Pour ce faire, sélectionner l’ESXi physique puis sélectionner Déconnecter avant de cliquer sur Supprimer de l’inventaire du vCenter.

3. Reconnecter l’hôte

Une fois c’est fait, rajouter l’hôte en utilisant l’adresse IP du réseau du lab, ici 192.168.1.111.

4. Supprimer les adapteurs non utilisés des différents VMs

Vu que tout notre traffic passera par pfSense, vous pouvez supprimer l’adapter VM network pour chacunes des VMs qui l’utilisent.

Dans vSwitch0, pfSense devrait être la seule machine virtuelle à y être présente.

Pourquoi s’embêter à faire toutes ces étapes, alors qu’on aurait pu le faire depuis le précédent chapitre? Je vous rappelle que ceci est une initiation à l’utilisation de l’environement vSphere. En passant par toutes ces étapes, celà m’a permis de mieux comprendre comment s’y prendre pour créer un lab fonctionnel.

II. Configurer pfSense

Une fois pfSense installé, il s’autoconfigure en questionnant votre DHCP.

S’il n’arrive pas à récupérer une adresse IP, ce n’est pas grave. Vous pouvez le faire manuellement.

Un petit conseil, vu qu’il y a deux cartes et que vous ne saurez pas laquelle qui est attachée à quelle interface, je vous conseille de ne configurer qu’une interface à la fois. Une fois ceci fait, et que tout marche bien, vous pouvez ensuite configurer en toute sécurité l’autre interface.
Un autre conseil, si ce n’est pas la bonne carte qui est attachée à l’interface du pfSense, au lieu de configurer l’interface avec l’option 1, modifier l’interface directement au niveau de la configuration de la machine virtuelle. C’est comme çà que vous devrez procéder pour tout problème d’interface.

Une fois que vous avez accès à l’interface de gestion du pfSense, les identifiants par défaut sont: admin/pfsense.

1. Système

Dans System>General Setup,

  • Dans le champ hostname, j’ai donné le nom de la VM, avec pour domaine « mylab.local » qui est le nom de domaine que j’utilise via Zentyal
  • Pour la partie DNS Serveurs, vu que j’utilise un des labs de mon entreprise, je dois ajouter l’adresse IP du DNS forwarder qui est un serveur DNS dans le même réseau que l’ESXi physique, sans oublier de rajouter mon domaine local. Aussi je dois préciser la passerelle pour accéder à internet.

2. Interfaces

Configurer l’interface WAN, avec l’adresse IP que vous voulez utiliser pour accéder à pfSense sur le réseau local du lab.

Très important, décocher l’option « block private network », sinon vous n’aurez pas accès au pfsense en dehors de votre lab.

En ce qui concerne l’interface LAN, il n’y a pas grand chose à modifier à part qu’il faut choisir une interface statique.

3. Parefeux

Je vais simplifier les règles du parefeux pour avoir accès à mon environment. En entreprise, il faut prendre toutes les précautions afin de ne pas exposer votre réseau par inadvertance à d’enventuel accès de l’extérieur.

Une fois ces règles appliquées, vous devriez avoir deux règles au total.

 

III. Configuration de réseau pour la préparation à la connection avec freeNAS

Dans cette partie, je vais préparer et configurer les différents switchs des ESXi embarqués (nested ESXi) afin de pouvoir accéder au serveur de données freeNAS.

Après l’installation de l’ESXi, vous ne devriez avoir qu’un seul switch de disponible (vswitch0). Je vais garder ce switch pour la communication des différents VM que je vais ajouter à cet hôte embarqué.

De ce fait, je vais créer un nouveau switch pour la communication entre l’hôte embarqué et freeNAS.

Dans les configurations au niveau du Virtual Switch, sélectionner Add Host networking.

Ensuite, choisissez l’option VMkernel Network Adapter.

Et c’est à ce niveau que vous pouvez créer un nouveau switch virtuel.

Sélectionner ensuite les trois carters réseaux, un pour NFS et les deux autres pour le traffic iSCSI.

1. Création d’un switch virtuel et ajout du premier port group pour les traffics iSCSIs

Vu qu’il y a deux cartes pour les traffics iSCSI, il va falloir ajouter deux ports groupes, iSCSI1 et iSCSI2.

Appliquer une adresse IP statique à ce port.

Le traffic iSCSI1 passera par le réseau 172.16.10.0/24, et celui de iSCSI2 par 172.16.20.0/24.


Vérifier que tout est bon avant de valider la création de vswitch1 ainsi que du port group iSCSI1.


Assigner l’un des adapteurs physiques au port group nouvellement créé.

L’idée ici est de ne faire passer qu’un type de traffic par adapteur physique.

Editer les configurations de l’iSCSI1.


Garder toutes les options par défaut, par contre au niveau du Teaming and Failover, sélectionner Override, puis déplacer les adapteurs non utilisé pour ce traffic dans Unused Adapter.


Vérifier ensuite que le port groupe iSCI1 n’est connecté qu’à un seul adapteur physique.

Ce n’est pas tout, éditer ensuite la configuration de l’adapteur physique pour changer la MTU en 9000 (jumbo frame), puisqu’on va configurer de même les interfaces de freeNAS.


Modifier de ce fait le vmkernel adapteur de l’iSCSI1 afin d’accepter les jumbo frames.

2. Ajout du deuxième port group pour traffic iSCSI et du troisième pour le traffic NFS

Il suffit de suivre les mêmes étapes que précédement.


Par contre, il n’y a plus besoin de créer un nouveau switch virtuel. On va utiliser vswitch1.


Je ne vais pas refaire toute les étapes pour ajouter le port groupe iSCSI2. Revoyez les étapes ci-dessus.

Créer le port group NFS pour les traffics NFS.


Tous les serveurs qu’un réseau devrait avoir une adresse IP statique et non dynamique.

Le traffic NFS passera par le réseau 172.31.255.0/24.


Editer ensuite le port group NFS pour utiliser l’adapteur qui lui est dédié.


Configurer le vmkernel (vmk3) avec un MTU de 9000 pour les jumbo frames.

 

Et voilà, je pense que c’est l’une des parties les plus « dure » du lab. Une fois le réseau est configuré comme il faut, vous devriez être bon pour la suite.

vSphere 6.5 – Désactivation de TLS 1.0 et 1.1

Un petit sujet pour vous aider à désactiver les versions obsolètes de TLS pour votre environement vSphere 6.5. Ce topic n’apporte rien de plus qu’un éclaircissement de l’article KB2147469, ainsi que quelques astuces qui pourraient vous aider à mener à bien cette opération.

Pour information, TLS 1.0 et 1.1 seraient automatiquement désactivés à partir de vSphere 6.7.

Je vous propose de lire cet article qui explique pour quelles raisons désactiver ces versions, ainsi que celui-ci qui explique ce que c’est que TLS/SSL.

Avant d’aller plus loin, noter que vous ne pouvez désactiver TLS qu’à partir d’un environment qui tourne avec la même version. En gros, si vous avez un vCenter en 6.5, vous ne pouvez désactiver TLS que pour ESXi 6.5, et non avec ESXi 6.0 ou 5.5.

Cependant, il y a une petite exception.
Avec un vCenter en 6.5 U2, vous pouvez désactiver TLS sur un ESXi en 6.0 U3.

Les ordres de suppressions de TLS dans le cas de l’utilisation de l’Appliance:
1. vCenter
2. ESXi
3. PSC

 

Commencer par télécharer le packet RPM vSphereTlsReconfigurator que vous allez placer dans le dossier /tmp du vCenter, puis lancer l’installation du packet.

cd /tmp

rpm -Uvh VMware-vSphereTlsReconfigurator-version-build_number.x86_64.rpm

Une fois le paquet installé, les scripts devraient se trouver dans:

/usr/lib/vmware-vSphereTlsReconfigurator/VcTlsReconfigurator

/usr/lib/vmware-vSphereTlsReconfigurator/EsxTlsReconfigurator

 

I. VCSA et PSC

La désactivation de TLS du VCSA (vCenter Appliance) et du PSC se procède de la même façon. Je l’ai déjà dit plus haut, mais je le répète encore une fois. Il ne faut pas désactiver TLS sur le PSC tant que ce n’est pas fait sur VCSA et les différents ESXis.

 

Garder une copie de vos configurations.

cd /usr/lib/vmware-vSphereTlsReconfigurator/

cd VcTlsReconfigurator

./reconfigureVc backup

 

Désactiver les versions TLS v1 et 1.1.

./reconfigureVc update -p TLSv1.2

 

Une fois c’est fait, vous devrez avoir.

 

II. ESXi

Placer vous dans le dossier EsxTlsReconfigurator.

cd /usr/lib/vmware-vSphereTlsReconfigurator/EsxTlsReconfigurator

Vous avez le choix entre la désactivation du TLS par server ou au niveau du cluster.

Dans le cas où vous souhaitez faire la manipulation par server,

./reconfigureEsx vCenterHost -h <ESXi_Host_Name> -u <Administrative_User> -p TLSv1.2

Pour la désactivation au niveau du cluster, il suffit de remplacer vCenterHost par vCenterCluster.

./reconfigureEsx vCenterCluster -c <Cluster_Name> -u <Administrative_User> -p TLSv1.2

 

N’oubliez pas de redémarrer les serveurs ESXi pour que les modifications prennent effet.

III. Combinaison ESXi 6.0u3 avec VCSA 6.5u2

Vous allez remarquer vous le même script utilisé pour désactiver TLS sur VCSA 6.5 ne fonctionnera pas avec un ESXi 6.0.

Validating product version at: "localhost".
Validating ESXi host: "HOST NAME".
Host "HOST NAME" is of unsupported version: "6.0".
Least supported version: "6.5".
Skipping reconfiguration of ESXi host "HOST NAME"

1. Télécharger cette fois ci TLS Reconfigure 6.0 U3

2. Désinstaller l’utilitaire pour 6.5 dans VCSA

rpm -e VMware-vSphereTlsReconfigurator-6.5.0-7766806.x86_64

3. Installer l’utilitaire TLS reconfiguration utility 6.0 dans un dossier /tmp du VCSA

rpm -Uvh VMware-vSphereTlsReconfigurator-6.0.0-5051284.x86_64

4. Déconnecter l’hôte ESXi à reconfigurer (n’enlevez surtout pas l’hôte de l’inventaire du vCenter)

5. Remplacer « vCenterHost » par « ESXiHost » dans la commande vue plus haut.

./reconfigureEsx ESXiHost -h <ESXi_Host_Name> -u root -p TLSv1.2

6. Reconnecter ESXi à vCenter

7. Placer l’hôte en maintenance mode

8. Rebooter le server

 

IV. Vérification

Vérifier que TLS est bien désactivé. Pour celà, à partir de n’importe quelle machine qui tourne sous linux, et même à partir du vCenter, lancer la commande ci-dessous.

openssl s_client -connect <ESXi_Host_Name>:443 -tlsX

Remplacer X par 1, 1_1 ou 1_2.

 

openssl s_client -connect <ESXi_Host_Name>:443 -tls1

openssl s_client -connect <ESXi_Host_Name>:443 -tls1_2

Vous devriez avoir une erreur « ssl handshake failure » si la version du TLS n’est pas supportée ou, est désactivée.

 

Sources:

Protocole SSL et TLS
Dépréciation de TLS v1.0/1.1 et application de TLS v1.2
Ports That Support Disabling TLS Versions
Managing TLS protocol configuration for vSphere 6.5/6.7 (2147469)
How can I verify if TLS 1.2 is supported on a remote web server from the RHEL/CentOS shell?

 

Nested ESXi – ESXi imbriqué dans un autre ESXi

Chap 1. Configuration d’un serveur DNS-DHCP avec Zentyal
Chap 2. Installation de vSphere 6.5 dans Proxmox
Chap 3. Nested ESXi – ESXi imbriqué dans un autre ESXi
Chap 4. Configuration du réseau et de pfSense dans vSphere 6.5
Chap 5. FreeNAS – Configuration d’un serveur NFS avec VMware vSphere 6.5
Chap 6. FreeNAS – Configuration d’un SAN iSCSI avec VMware vSphere 6.5
Annexe. Topologie complète avec les icones de VMware

Chap 3. Nested ESXi – ESXi imbriqué dans un autre ESXi

Mon petit server n’ayant pas assez pas assez de ressources pour reproduire un datacenter dans un lab, j’ai de la chance de pouvoir utiliser le lab du boulot. Pour vous donner une idée du matériel, voici ce que j’ai utilisé.

I. Topologie du réseau

La topologie de mon lab serait,

Avec comme passerelle (gateway) le pfSense pour faire passer le traffic de mon lab vers l’extérieur.

Je n’ai pas utilisé Zentyal comme passerelle pour deux raisons:

  • Zentyal fait déjà pas mal de choses (serveur DNS, DHCP et bientôt comme contrôleur de domaine .. ou pas)
  • Je préfère un serveur dédié et spécialisé dans le domaine pour gérer le traffic qui passe sur mon réseau

Un petit point négatif pour Zentyal en tant que serveur DNS, j’ai noté qu’une modification d’une addresse IP du serveur  lui même n’est pas prise en compte dans la table DNS. Je m’explique.

J’ai eu le « malheur » de remplacer Zentyal par pfSense comme passerelle par défaut pour connecter mon réseau à internet.

J’ai modifié l’adresse IP du serveur Zentyal par une autre. J’ai ensuite utilisé l’adresse IP libérée par Zentyal pour l’assigner au server pfSense. Du coup, la résolution de nom ne passe plus.
Le module DNS de Zentyal pense que est pfSense est le nouveau serveur DNS malgré toutes les modifications que j’ai apportées. J’ai beau chercher, et la seule solution que j’ai trouvée serait de supprimer l’entrée DNS ci-dessous puis de le rajouter en prenant soin de ne pas oublier d’ajouter tous mes serveurs avec leurs IP et FQDNs associés.

Si vous voulez utiliser Zentyal comme passerelle, libre à vous. Pour celà, une fois la partie LAN configurée correctement, ajouter une interface WAN avec  l’option Interface WAN activée.

 

Et voilà, j’espère que cette petite introduction va vous aider à comprendre la suite ainsi que les différences configurations à appliquer.

 

II. Préparation des différentes machines virtuelles (VMs)

Je ne vais pas vous parler encore une fois de l’installation de Zentyal, ni de ESXi ou de vCenter puisque je l’ai déjà traité dans la partie 1 et 2 de cette série d’article.

Par contre, je vais vous préciser quelques détails sur lesquels je n’en ai pas parlé précédement mais aussi comment préparer les différentes machines virtuelles.

 

Noter que pour VMware, ESXi installé comme machine virtuelle n’est pas du tout supporté en production. Dans ce cas, on parle de Nested ESXi, que vous pouvez utiliser dans le cadre d’un lab par exemple, pour pour tester une mise-à-jour avant de l’appliquer à vos serveurs.

 

Voici les différentes configurations pour chaque machine virtuelle que je vais utiliser dans le cadre de ce lab. Je ne vais pas m’attarder sur toutes les configurations, mais juste sur la partie qui concerne le réseau, puisque c’est la partie la moins évidente. Pour le reste, comme par exemple la taille de la VM, le nombre de mémoire à utiliser, etc. j’ai pris ce qui est recommendé pour chaque système d’exploitation.

1. Configuration du VM Zentyal

Vérifier que vous avez une carte réseau qui est directement relié à votre réseau du lab, dans mon cas le réseau s’appelle « Lab network » et a pour IP en 192.168.1.0/24.

La deuxième carte réseau que j’ai nommée VM Network, est optionnelle, vu que je l’ai utilisée pour se connecter à cette VM tant que ma passerelle (pfSense, cf chapitre suivant) n’est pas configurée.

Une fois Ubuntu installé dans cette VM, avec ou sans Zentyal, je vous propose d’installer l’outil open-vm-tools avec la commande,

sudo apt install open-vm-tools

Open VM Tools est non seulement utile pour avoir les drivers pour l’adapter VMXNET3 de VMware, mais en plus, grâce à cette outil, vous pouvez ouvrir la console du VM en plein écran.

2. Configuration des deux ESXi

Pour ESXi, il nous faut 4 cartes réseaux:
– Lab network, pour la gestion de l’hôte
– VM iSCSI 1 et 2, pour se connecter au stockage de donnée en iSCSI
– VM NFS, pour se connecter au stockage de donnée en NFS

3. Configuration de pfSense


pfSense n’a besoin que de deux cartes, une pour se connecter au réseau physique, et l’autre pour se connecter au reste du lab. On utilisera cette machine comme passerelle pour autoriser les traffics à sortir du lab, pour se connecter au « reste du monde ».

4. Configuration du vCenter

Pour l’instant, il nous faut deux cartes sur cette machine. Une pour se connecter au lab, et l’autre pour se connecter au réseau physique, ainsi de pouvoir gérer l’ESXi physique directement.
Dans le prochain chapitre, je vous donnerai un peu plus de détail sur comment configurer vCenter une fois qu’on a pfSense bien configuré comme il faut.

Une fois vCenter installé et que vous tentez d’accéder au serveur à partir d’une machine tournant sous linux, vous aurez la surprise d’avoir un message qui ne vous y autorise pas de le faire puisque linux n’est pas supporté officiellement par VMware.


Je trouve celà d’une hypocrisie qui n’a pas de nom vu que les OS utilisés par VMware avaient une base linux, et je ne vois pas en quoi il y a besoin d’un type d’OS particulier pour accéder à une page de gestion d’une machine qui de plus est sous HTML5! Mais bon, passons.

Pour y remédier, installer le plugin User-Agent Switcher (par Linder) de firefox, puis de faire croire que vous êtes sous Windows. Je n’ai pas essayé d’autres plugins puisque celui-ci fait l’affaire.

Au final, voici à quoi devrait ressembler votre lab si vous avez suivit les mêmes étapes que moi.

Et pour la license, vu que c’est en mode évaluation, elle s’expirera dans 60 jours. D’ici là, j’espère que vous avez compris le concept de la virtualization avec VMware.

5. Configuration de FreeNAS


Je vais utiliser freeNAS comme serveur SAN et NAS. En plus de l’adapter pour gérer le serveur freeNAS, il me faut en plus de l’adapteur existant, 3 autres dont deux pour le traffic iSCSI et un pour NFS.

III. Configuration des différents switchs de l’ESXi physique

Pour ce lab, je me suis limité à trois différents switchs que je trouve suffisant pour ce que j’ai à faire.

Pour vSwitch0, j’ai assigné une carte réseau dédiée pour le management (vmnic0).

Editer le portgroup du Management Network, pour forcer le traffic à passer par vmnic0.
Dans l’option Teaming and Failover, cocher l’option Override, puis déplacer vmnic1 en Standby.

Puis une autre carte (vmnic1) pour le traffic utilisé par les différentes VMs.

vmnic1 n’est pas nécessaire. Je vais le supprimer par la suite une fois pfSense configuré comme il faut, ainsi que la carte réseau du vCenter.

 

vSwitch1 n’a pas besoin d’être connecté à une carte réseau. C’est la passerelle qui s’en chargera de faire passer le traffic.

vSwitch2 regroupe plusieurs réseaux. Du coup, afin de séparer les différents traffics, il y a le choix entre utiliser les VLANs, ou de créer un switch par traffic (2 traffics en iSCSI et 1 pour NFS). J’ai opté pour la première option.

Par contre, pour que les ESXis embarqués puissent faire passer du traffic, il faut activer l’option promiscuous mode, qui est désactivé par défaut et par sécurité. Ne le faites surtout pas dans un environement en production!

Si l’option Forged Transmits est en mode « Reject« , il faut l’activer en cochant l’option « override » puis sélectionner Accept.