¶ Introduction
Dans cette partie de la documentation, nous allons voir comment configurer des Private VLANs sur un VDS de vSphere 7.
Pour mettre en place des Privates VLANs, il faudra se rendre dans la section Networking de vCenter puis cliquer sur le VDS que l'on souhaite modifier, cliquer sur "Configurer" puis sur "VLANs Privés"
Nous allons voir comment créer et supprimer des Privates VLANs.
Rappel :
-
Private VLANs : Promiscuous
Un "Secondary VLAN" de type "Promiscuous" peut être vue comme une passerelle par défaut qui sera autorisé à communiquer avec n'importe quelle VM depuis n'importe quel "Secondary VLAN". -
Private VLANs : Community
Il s'agit d'un VLAN permettant d'isoler les VMs. Cependnat toutes les VMs de ce VLAN pourront communiquer entre elles. Elles ne pourront pas communiquer avec des VMs d'un autre VLAN de type "Community" mais elles pourront communiquer avec les VMs d'un VLAN de type "Promiscuous". -
Private VLANs : Isolated
Il s'agit d'un VLAN permettant d'isoler les VMs y compris entre VMs d'un même VLAN.
Les Seules VMs avec lesquelles elles pourront communiquer seront celles se trouvant dans un "Secondary VLAN" de type "Promiscuous".
La mise en place de Private VLANs n'est possible que si l'on utilise des "vSphere Distributed Switches" et permettent de créer des VLANs dans d'autres VLANs.
Par défaut aucun "Private VLANs" n'est configuré.
¶ Création et ajout
¶ Création
Cliquer sur "VLANs Privés" puis sur "Modifier".
Il sera possible de créer autant de VLANs principals ou secondaires que l'on souhaite.
Dans la partie de gauche de la nouvelle fenêtre, cliquer sur "Ajouter".
Lors de la création d'un Private VLAN, un "Secondary VLAN" de type "Promiscuous" sera automatiquement créé et visible dans la partie de droite. Il ne sera pas possible de le supprimer.
Ce "Secondary VLAN" possèdera également l'ID de VLAN indiqué pour la Private VLAN. SI l'on change l'ID du Private VLAN, son ID changerera également.
Imaginons que nous ayons des VMs qui doivent être isolées des autres VMs mais tout en continuant de communiquer entre elles. Dans ce cas nous allons cliquer dans la partie de droite sur "Ajouter" pour configurer un "Secondary VLAN" de type "Community".
Pour cet exemple je vais le faire deux fois, j'aurai donc deux "Secondary VLAN" de type "Community". Ils auront respectivement les ID 110 et 120.
Imaginons également que nous ayons des VMs qui doivent être isolées de toutes les autres VMs.
Nous allons alors cliquer sur "Ajuter" et créer "Secondary VLAN" de type "Isolated" dont l'ID de VLAN sera 130.
La configuration est maintenant prête il ne reste plus qu'à cliquer sur "OK" pour valider et enregistrer la création du "Private VLAN" et de ses "Secondary VLAN".
Tout sera visible directement depuis l'interface.
Concraitement ce que nous venons de faire c'est de créer un "Private VLAN" et de le "découper" en d'autres VLANs avec pour chacun d'entre eux certains spécificités.
Par exemple, nous pourrions avoir une VM sur un Port Group connecté à notre "Private VLAN" ET au "Secondary VLAN" de type "Promiscuous" dont l'ID est 100.
Cela voudrait dire que toutes les VMs connectées sur le "Private VLAN" (ID:100) pourraient communiquer avec les VMs du VLAN secondaire "Promiscuous" (ID:100) et donc avec notre VM ( et inversement).
De la même manière, si nous ajoutons une seconde VM mais cette fois dans le "Secondary VLAN" avec l'ID 110 dont le type est "Community", alors cette VM pourra communiquer avec n'importe quelles autres VMs du Secondary VLAN avec l'ID 100 mais également du Secondary VLAN avec l'ID 110.
Il en va de même pour des VMs ajoutées dans le "Secondary VLAN avec l'ID 120".
Chacune d'entre elles pourra communiquer avec les VMs du "Secondary VLAN avec l'ID 100 et du Secondary VLAN avec l'ID 120".
Notez toutefois qu'aucune VMs du "Secondary VLAN" avec l'ID 110 ne sera capable de communiquer avec les VMs du Secondary VLAN 120 et ceci du fait qu'il s'agisse de VLANs de type "Community".
Ajoutons maintenant une dernière VM dans le "Secondary VLAN" avec l'ID 120 qui est de type "Isolated".
Comme son nom l'indique ce VLAN créé une isolation. Cela signifie qu'aucune des VMs associées à ce "Secondary VLAN" dont l'ID est 120 ne pourra communiquer avec les autres VMs de ce même VLAN. Elles sont totalement isolées les unes des autres. Elles pourront cependant communiquer avec les VMS se trouvant dans un "Secondary VLAN" de type "Promiscuous".
¶ Ajout sur un Port Group
Nous venons d'ajouter des Private VLANs sur notre VDS.
Voyons maintenant comment les utiliser. Pour cela rien de compliquer, il suffit de les associer à un Port Group pour que toutes les VMs connectées à ce Port Group soient directement affectées au VLAN Principal et au VLAN secondaire définis.
Cliquer sur le Port Group sur lequel on souhaite ajouter des Private VLANs puis cliquer sur "configurer" et en suite sur "Modifier".
Cliquer sur la partie "VLAN" puis sélectionner "Private VLANs"
Sélectionner le type de VLAN secondaire qui serai associé au Port Group puis valider par OK.
Pour mieux illustrer cette démonstration nous allons créer un deuxième Port Group sur ce VDS et lui associer un autre VLAN secondaire. Par exemple le VLAN 130 : Isolated.
Si l'on regarde à présent notre VDS, nous pourrons constater qu'il dispose des deux Ports Groups et permet à la fois d'associer des VMs soit dans un second VLAN de type "Promiscuous" soit dans un VLAN secondaire de type "Isolated"
Pour associer une VM à l'un ou l'autre des VLANs secondaires il suffira de configurer son Network avec le Port Group correspondant au VLAN secondaire à utiliser.
¶ Suppression
La suppression d'un "Private VLAN" entrainera automatiquement celle de tous les "Secondary VLAN" qui lui sont associés.
Nous ne pourrons pas supprimer un "Private VLAN" tant que celui-ci sera associé à un Port Group. Cette manipulation est délicate puisque normalement vous avez des VMs connectées sur ce Port Group.
Lors de la suppression de l'association entre le Port Group et le Private VLAN, il sera toutefois possible de spécifier un ID de VLAN sur le Port Group.
Cela permettra par exemple aux VMs connectées sur ce Port Group de continuer de fonctionner dans un VLAN spécifique (sans le côté "isolation").
Cliquer sur le Port Group puis cliquer sur "Modifier".
Cliquer sur "VLAN" puis dans "Type de VLAN" sélectionner "VLAN".
Entrer un l'ID de VLAN qui correspond à celui souhaité pour les VMs associées au Port Group.
Faire cette manipulation sur chacun des Portd Groups sur lesquels a été associé un Secondary VLAN.
Nous pouvons à présent supprimer le "Private VLAN".
Cliquer sur le VDS, sur l'onget "Configurer", sur VLAN privé puis sur "Modifier".
Sélectionner le ou les "Private VLANs" à supprimer.
Cliquer sur "Supprimer" puis valider par OK
Le ou les "Private VLANs" ont été supprimés et n'apparaissent plus dans la liste sur le VDS.
Chapitre précédent : 15 - PVLAN : Private VLANs - Chapitre suivant : 17 - Port Mirroring : Configuration - démonstration