Configuration du réseau et de pfSense dans vSphere 6.5

Chap 1. Configuration d’un serveur DNS-DHCP avec Zentyal
Chap 2. Installation de vSphere 6.5 dans Proxmox
Chap 3. Nested ESXi – ESXi imbriqué dans un autre ESXi
Chap 4. Configuration du réseau et de pfSense dans vSphere 6.5
Chap 5. FreeNAS – Configuration d’un serveur NFS avec VMware vSphere 6.5
Chap 6. FreeNAS – Configuration d’un SAN iSCSI avec VMware vSphere 6.5
Annexe. Topologie complète avec les icones de VMware

Chap 4. Configuration du réseau et de pfSense dans vSphere 6.5

 

I. Reconfiguration des différents serveurs, physique et virtuels

Le chapitre précédent présente la base du lab à créer. Cependant, je ne le trouve pas parfait et il y a encore quelques améliorations qu’on peut y ajouter. Entre autre, il n’y a plus besoin d’accéder à vCenter directement en dehors du lab et se fier à notre parefeux qui fait office de passerelle (pfSense).

Concernant l’installation de pfSense, je vous recommande de lire la documentation. Il n’y a pas grand chose à faire, à part accepter toutes les options proposées, et de les laisser tel quelles en gardant tout par défaut.

1. Ajout d’un nouvel adapter pour l’ESXi physique

Jusqu’ici, la gestion de l’ESXi host se fait à partir du réseau physique en 127.X.Y.Z. Afin d’éviter au vCenter de passer par multiple réseau afin de gérer cet hôte, j’ai décidé d’ajouter ce dernier dans le même réseau que le vCenter.

L’hôte physique ESXi a donc besoin d’un adapteur (carte réseau virtuelle) pour pouvoir communiquer avec le réseau du lab en 192.168.1.0/24.

Pour celà,

  • Créer un nouveau port group que j’ai appelé « ESXi host mgt », dans vSwitch1. Vous pouvez l’appeler autrement
  • Ne pas attacher une carte physique au port nouvellement créé. Il n’y en a pas besoin vu que tout le traffic passera par pfSense

Pour rappel, toutes les machines virtuelles se trouvent aussi dans le réseau géré par vSwitch1, c’est pour celà que j’ai choisi cette option pour ajouter notre hôte auquel j’ai assigné l’adresse IP 192.168.1.111.

Verifier que vous pouvez y acceder à la gestion de l’ESXi physique à partir de n’importe quel VM du réseau 192.168.1.0.

Une fois que l’hôte est joignable par le vCenter, il faut le supprimer de l’inventaire de ce dernier pour l’ajouter avec l’adresse IP dans le même réseau que le vCenter lui même.

2. Déconnecter l’hôte

Pour ce faire, sélectionner l’ESXi physique puis sélectionner Déconnecter avant de cliquer sur Supprimer de l’inventaire du vCenter.

3. Reconnecter l’hôte

Une fois c’est fait, rajouter l’hôte en utilisant l’adresse IP du réseau du lab, ici 192.168.1.111.

4. Supprimer les adapteurs non utilisés des différents VMs

Vu que tout notre traffic passera par pfSense, vous pouvez supprimer l’adapter VM network pour chacunes des VMs qui l’utilisent.

Dans vSwitch0, pfSense devrait être la seule machine virtuelle à y être présente.

Pourquoi s’embêter à faire toutes ces étapes, alors qu’on aurait pu le faire depuis le précédent chapitre? Je vous rappelle que ceci est une initiation à l’utilisation de l’environement vSphere. En passant par toutes ces étapes, celà m’a permis de mieux comprendre comment s’y prendre pour créer un lab fonctionnel.

II. Configurer pfSense

Une fois pfSense installé, il s’autoconfigure en questionnant votre DHCP.

S’il n’arrive pas à récupérer une adresse IP, ce n’est pas grave. Vous pouvez le faire manuellement.

Un petit conseil, vu qu’il y a deux cartes et que vous ne saurez pas laquelle qui est attachée à quelle interface, je vous conseille de ne configurer qu’une interface à la fois. Une fois ceci fait, et que tout marche bien, vous pouvez ensuite configurer en toute sécurité l’autre interface.
Un autre conseil, si ce n’est pas la bonne carte qui est attachée à l’interface du pfSense, au lieu de configurer l’interface avec l’option 1, modifier l’interface directement au niveau de la configuration de la machine virtuelle. C’est comme çà que vous devrez procéder pour tout problème d’interface.

Une fois que vous avez accès à l’interface de gestion du pfSense, les identifiants par défaut sont: admin/pfsense.

1. Système

Dans System>General Setup,

  • Dans le champ hostname, j’ai donné le nom de la VM, avec pour domaine « mylab.local » qui est le nom de domaine que j’utilise via Zentyal
  • Pour la partie DNS Serveurs, vu que j’utilise un des labs de mon entreprise, je dois ajouter l’adresse IP du DNS forwarder qui est un serveur DNS dans le même réseau que l’ESXi physique, sans oublier de rajouter mon domaine local. Aussi je dois préciser la passerelle pour accéder à internet.

2. Interfaces

Configurer l’interface WAN, avec l’adresse IP que vous voulez utiliser pour accéder à pfSense sur le réseau local du lab.

Très important, décocher l’option « block private network », sinon vous n’aurez pas accès au pfsense en dehors de votre lab.

En ce qui concerne l’interface LAN, il n’y a pas grand chose à modifier à part qu’il faut choisir une interface statique.

3. Parefeux

Je vais simplifier les règles du parefeux pour avoir accès à mon environment. En entreprise, il faut prendre toutes les précautions afin de ne pas exposer votre réseau par inadvertance à d’enventuel accès de l’extérieur.

Une fois ces règles appliquées, vous devriez avoir deux règles au total.

 

III. Configuration de réseau pour la préparation à la connection avec freeNAS

Dans cette partie, je vais préparer et configurer les différents switchs des ESXi embarqués (nested ESXi) afin de pouvoir accéder au serveur de données freeNAS.

Après l’installation de l’ESXi, vous ne devriez avoir qu’un seul switch de disponible (vswitch0). Je vais garder ce switch pour la communication des différents VM que je vais ajouter à cet hôte embarqué.

De ce fait, je vais créer un nouveau switch pour la communication entre l’hôte embarqué et freeNAS.

Dans les configurations au niveau du Virtual Switch, sélectionner Add Host networking.

Ensuite, choisissez l’option VMkernel Network Adapter.

Et c’est à ce niveau que vous pouvez créer un nouveau switch virtuel.

Sélectionner ensuite les trois carters réseaux, un pour NFS et les deux autres pour le traffic iSCSI.

1. Création d’un switch virtuel et ajout du premier port group pour les traffics iSCSIs

Vu qu’il y a deux cartes pour les traffics iSCSI, il va falloir ajouter deux ports groupes, iSCSI1 et iSCSI2.

Appliquer une adresse IP statique à ce port.

Le traffic iSCSI1 passera par le réseau 172.16.10.0/24, et celui de iSCSI2 par 172.16.20.0/24.


Vérifier que tout est bon avant de valider la création de vswitch1 ainsi que du port group iSCSI1.


Assigner l’un des adapteurs physiques au port group nouvellement créé.

L’idée ici est de ne faire passer qu’un type de traffic par adapteur physique.

Editer les configurations de l’iSCSI1.


Garder toutes les options par défaut, par contre au niveau du Teaming and Failover, sélectionner Override, puis déplacer les adapteurs non utilisé pour ce traffic dans Unused Adapter.


Vérifier ensuite que le port groupe iSCI1 n’est connecté qu’à un seul adapteur physique.

Ce n’est pas tout, éditer ensuite la configuration de l’adapteur physique pour changer la MTU en 9000 (jumbo frame), puisqu’on va configurer de même les interfaces de freeNAS.


Modifier de ce fait le vmkernel adapteur de l’iSCSI1 afin d’accepter les jumbo frames.

2. Ajout du deuxième port group pour traffic iSCSI et du troisième pour le traffic NFS

Il suffit de suivre les mêmes étapes que précédement.


Par contre, il n’y a plus besoin de créer un nouveau switch virtuel. On va utiliser vswitch1.


Je ne vais pas refaire toute les étapes pour ajouter le port groupe iSCSI2. Revoyez les étapes ci-dessus.

Créer le port group NFS pour les traffics NFS.


Tous les serveurs qu’un réseau devrait avoir une adresse IP statique et non dynamique.

Le traffic NFS passera par le réseau 172.31.255.0/24.


Editer ensuite le port group NFS pour utiliser l’adapteur qui lui est dédié.


Configurer le vmkernel (vmk3) avec un MTU de 9000 pour les jumbo frames.

 

Et voilà, je pense que c’est l’une des parties les plus « dure » du lab. Une fois le réseau est configuré comme il faut, vous devriez être bon pour la suite.

Publicités

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.