Interconnexion de Windows Azure IaaS avec votre Datacenter

Lorsque l’on veut interconnecter Windows Azure IaaS avec le datacenter d’entreprise, on a la possibilité d’utiliser le VPN site-à-site avec la passerelle Azure. Découvrez comment mettre cela en œuvre dans cette petite vidéo avec Stanislas !

Nous ne parlons pas dans cette démo de l’option MPLS, mais elle a été annoncée aux Etats Unis avec AT&T, on peut donc raisonnablement penser que cette option pourrait venir en Europe dans les mois prochains au fur et à mesure que des accords seront signés avec les opérateurs régionaux !

Annonce AT&T : http://www.business.att.com/enterprise/Family/network-services/ip-vpn/ 

Annonce Microsoft :http://www.microsoft.com/en-us/news/press/2013/sep13/09-18msattpr.aspx 

Un partenariat avec Equinix a également été annoncé plus récemment, il sera donc possible d’y avoir encore plus de débit ! http://www.microsoft.com/en-us/news/press/2013/oct13/10-07hybridcloudpr.aspx 

Pour tester Windows Server 2012 R2, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :

Pour tester Windows Azure : https://aka.ms/Azure0Euro  

Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

https://aka.ms/itCampFr

Arnaud – les bons tuyaux

    Remote Live Monitoring avec Windows Server 2012 R2

    Windows Server 2012 R2 permet désormais de prendre des traces réseau et système à distance. Pour le mettre en œuvre vous devez d’abord télécharger Message Analyzer (le successeur de Network Monitor).

    Ceci est possible grâce au tracing ETW (Event Tracing for Windows) pris en remoting WMI. Plutôt que de philosopher, regardons comment le mettre en place !

    masplash

    Première trace à distance

    Au démarrage de MA, on sélectionne l’écran Capture/Trace et on obtient l’écran suivant :

    trace0

    On commence par spécifier l’hôte de capture. Par défaut c’est localhost mais on peut ajouter des machines Windows Server 2012 R2 (et Windows 8.1) distants comme ceci :

    trace1

    On fois l’hôte sélectionné, on spécifie les éléments que l’on veut tracer en sélectionnant le scénario (partie centrale de l’écran), ce qui a pour effet d’ajouter les composants à tracer dans la section de droite :

    trace2

    Dans cette liste on a le premier élément : Microsoft-Windows-NDIS-PacketCapture qui a une option Configure disponible :

    trace3

    On peut ainsi restreindre la capture :

    • a des machines virtuelles ou switch virtuel
    • a des cartes réseau physiques ou logiques

    Mon petit conseil, n’oubliez pas de cocher la case “All layers” qui n’est pas mise par défaut. Si vous ne la cochez pas, la capture ne contiendra que les infos de bas niveau (udp/tcp). Une fois cela effectué, on lance la trace réseau avec le bouton Play et on génère un peu de trafic en utilisant le partage SMB sur mon serveur hyperspeed-2.

    On obtient alors ce qui commence à ressembler à une trace réseau :

    trace4

    Pour ceux qui ont déjà mis en œuvre de l’Unified Tracing depuis Windows 7 cela devrait leur être familier car on a bien une trace réseau avec en plus des évènements de trace système.

    De la couleur !

    Si vous trouvez que la trace est un peu tristoune (c’est ce que beaucoup de clients reprochaient à Netmon, le manque de couleurs !!!), il y a maintenant par défaut un ensemble de filtres de couleurs pour discriminer rapidement les éléments d’une trace (le traffic Kerberos, les resets TCP, les débuts et fins de sessions TCP, etc.) :

    trace7

    Des Dashboards

    Regardons rapidement quelques écrans intéressants de Message Analyzer comme les Dashboard de protocoles et les Flux SMB :

    trace5

    Voici le protocol Dashboard :

    trace6

    Celui-ci permet d’avoir un aperçu des trafic présents dans la trace, ainsi que de discriminer les volumes de trafic dans le temps. Il est interactif et permet par exemple de zoomer sur un protocole en particulier pour examiner les flux. 

    Le diagramme des flux SMB ressemble à ceci :

    trace8

    Ce deux vues par défaut ont été créées pour offrir une vue rapide sur les protocoles utilisées dans une conversation réseau ainsi que les fichiers échangés SMB dans une trace. Il existe bien d’autres subtilités dans Message Analyzer que nous découvrirons dans d’autres articles.

    On est maintenant prêt à tracer à distance ce que se passe, sur une carte réseau physique ou virtuelle ou sur une VM ou un switch virtuel, et cela, c’est plutôt pratique !

    Références :

    Microsoft Message Analyzer Operating Guide – http://technet.microsoft.com/en-us/library/jj649776.aspx

    Pour tester Windows Server 2012 R2, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :

    Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

    https://aka.ms/itCampFr

    Arnaud – les bons tuyaux

    IPAM dans Windows Server 2012 R2 et System Center 2012 R2

    IPAM (IP Address Management) est un service d’entreprise qui permet de gérer de manière centralisée, les informations concernant l’utilisation d’adresses IP au sein d’une organisation. Ceci se fait en en consolidant les informations provenant de l’Active Directory, du DHCP, du DNS, de NPS, de Virtual Machine Manager et même d’entrées manuelles (pour remplacer la bonne vieille fiche Excel de gestion des IP).

    Après la première implémentation de la technologie dans Windows Server 2012, nous avons fait évoluer la fonctionnalité dans Windows Server 2012 R2 pour inclure beaucoup d’améliorations et principalement :

    1. Gestion des espaces d’adressages virtualisés avec la virtualisation de réseau de System Center Virtual Machine Manager
    2. Synchronisation des réseaux avec la notion de sites Active Directory
    3. Définition pour granulaire des rôles (administration, vue uniquement d’une partie de l’espace d’adressage ou de noms)
    4. Statistiques détaillées par zones (pour environnement hautement concentrés)
    5. Support de SQL Server pour stocker les informations (dans 2012, uniquement avec Windows Integrated Database)
    6. Support de DHCP amélioré (support de DHCP failover, de l’attribution d’adresses par stratégie, des superscopes, des filtres et réservations)
    7. Support de PowerShell étendu

    L’interface est désormais constituée de 7 parties principales :

    • Server inventory management
    • IP address space management
    • Virtualized address space
    • Management and Monitoring of DHCP and DNS
    • Event Catalog
    • IP address tracking
    • Access Control

    Comme on peut le voir sur la capture suivante :

    mainscreen

    Prenons un peu de temps pour étudier quelques aspects.

     

    Améliorations pour le support de DHCP :

    Désormais l’interface principale d’IPAM permet de gérer quasiment l’ensemble des informations relatives aux espaces d’adressages configurables dans les MMC de DHCP. On peut ainsi administrer les relations de failover entre serveurs DHCP, gérer les attributions d’adresses par stratégies, les réservations, filtres et les superscopes.

    Voici quelques unes des options de gestion d’une étendue DHCP :

    scopemanagement

    On peut par exemple désormais configurer les stratégies d’attribution d’adresses directement dans IPAM :

    configurepolicy

    Nous avons également une vue et une gestion des réservations intégrée, en sélectionnant la vue “Reservations” de la partie DHCP Scopes :

    reservations

     

    Gestion des réseaux virtualisés de System Center Virtual Machine Manager 2012 :

    La virtualisation de réseau permet, à partir de Windows Server 2012 et System Center 2012 SP1, de faire cohabiter sur un réseau IP de datacenter, plusieurs réseaux de clients qui potentiellement partageraient le même espace d’adressage. Pour plus de détails sur la mise en œuvre de cette technologie, nous vous invitons à vous référer à la série d’article que Stanislas et moi même avons écrit.

     

    Comment activer la gestion des espaces d’adressage virtualisés

    Pour activer le reporting d’informations de System Center Virtual Machine Manager, il faut modifier la configuration de la fabrique pour activer le composant IPAM qui est désormais intégré.

    Ajout d’un service réseau dans la fabrique :

    scvmm1

    On ajoute ensuite un service que l’on nomme :

    scvmm2

    On doit spécifier un service de type Microsoft Windows Server IP Address Management :

    scvmm3

    On spécifie un compte avec des droits IPAM Administrator sur le serveur IPAM :

    scvmm4

    On spécifie ensuite le chemin de connexion (pour IPAM, c’est simple, c’est juste le nom du serveur) :

    scvmm5

    On teste la connexion et vérifie que l’on a bien un résultat “passed” et “implemented” :

    scvmm6

    On spécifie les groupes d’hyperviseurs que l’on souhaite inclure dans le scope du reporting IPAM :

    scvmm7

    On valide :

    scvmm8

    et on vérifie que le job s’effectue correctement !

     

    Administration des espaces virtualisés

    Lorsque l’environnement a été paramétré, on peut alors voir l’ensemble des informations relatives aux :

    • Espace d’adressage et adresses utilisées sur le réseau de Datacenter (provider addresses)
    • Espaces d’adressages et adresses des différents réseaux virtualisés (Customer addresses)

     

    Vision sur l’espace d’adressage PA :

    pa-spaces

    Avec la vue “IP address spaces”, on peut voir les différents espaces d’adressages utilisés dans le Datacenter pour la virtualisation de réseau (les adresses définies pour les logical network)

    Utilisation des adresses PA:

    pa-addresses

    Si on sélectionne la vue “IP addresses”, on peut alors voir quelles sont les IP attribuées aux hyperviseurs participants à la plateforme de virtualisation (les PA addresses)

     

    Vision des espaces d’adressages CA :

    ca-adressspace

    Lorsque l’on selectionne la partie Customer IP Addresse en bas à gauche, on a la possibilité de voir l’ensemble des espaces d’adressage pour les différents VM networks définis dans l’ensemble de la configuration.

    Utilisation des adresses CA :

    ca-addresses

    La vue “IP addresses” permet de voir les IP utilisées par les différentes machines virtuelles dans les différents réseaux virtualisés (ici dans mon exemple, j’ai deux VM dans deux sous réseaux virtualisés du client BlueCorp. A noter que je peux filtrer par “tenant” (locataire).  On peut également donner une vue plus restreinte (typiquement on peut offrir à un locataire une vue uniquement sur son espace d’adressage) en gérant les rôles et les vues comme nous le décrirons plus loin dans l’article.

    Améliorations d’administration

    Stockage des informations dans une base SQL

    On peut désormais stocker les informations d’IPAM vers une base SQL, cela facilite grandement la gestion de bases notamment lors de scénarios de reprise après incident. Lors de la mise à jour d’un service IPAM vers 2012 R2, l’assistant de déploiement vous propose de migrer les informations depuis la base WID vers le serveur SQL que vous lui indiquez. Cette opération peut également être effectuée avec la commande PowerShell : Move-IpamDatabase.

    Si vous faites une promotion depuis un environnement vierge, on vous propose alors d’entrer les informations de connexion :

    dbsetup

     

    Gestion des accès basé sur les rôles

    La gestion des accès basé sur les rôles utilisateur est fondamentale lorsque l’environnement tend à grandir et être adopté à l’échelle de l’entreprise.

    En lieu et place des quelques rôles basiques présents dans Windows Server 2012, on peut désormais définir des :

    • rôles : un ensemble d’opérations qui peuvent être permises et associées à des utilisateurs.
    • étendues d’accès : un ensemble d’objets auxquels un utilisateur a accès (par défaut l’étendue Global inclus l’ensemble des ressources, il est possible d’en personnaliser par géographie ou par locataire de réseau virtualisé par exemple).
    • stratégies d’accès : une combinaison de rôles et d’étendues d’accès.

    Il existe un ensemble de rôles par défaut :

    ipamroles

    On peut voir par exemple que le rôle “DNS Record Administrator Role”, peut créer et supprimer des enregistrements.

    Il est possible de paramétrer tout cela très finement pour répondre aux besoins d’audits et de séparation des rôles telle que toute bonne RSSI vous le recommandera !

     

    En résumé, IPAM dans Windows Server 2012 R2, c’est plus de fonctionnalités pour rendre la plateforme plus robuste à l’échelle de l’organisation.

     

    Références:

    What's New in IPAM in Windows Server 2012 R2 – http://technet.microsoft.com/en-us/library/dn268500.aspx 

     

    Pour tester Windows Server 2012 R2 et Hyper-V, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :
    – d'une image ISO : https://aka.ms/jeveuxwindows2012r2
    – d'un fichier VHD avec un système préinstallé : https://aka.ms/jeveuxwindows2012r2

    Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

    https://aka.ms/itCampFr

     

    Arnaud – les bons tuyaux

    Windows Server 2012 R2 : Workplace Join et Device Registration Service – partie 1

    Dans le cadre du BYOD (Bring Your Own Device), on cherche a ajouter un peu de contrôle et de sécurité sur des périphériques qui sont “moins” gérés que les autres. Gérer des périphériques, on sait faire cela depuis des années avec Active Directory, et si a l’origine ou n’avait que Windows, on peut désormais rajouter tout un ensemble de périphériques dans l’AD pour y apporter plus ou moins de gestion.

    DRS fait partie d’un ensemble des technologies nouvelles dans Windows Server 2012 R2 pour le BYOD. Le rôle de DRS est d’authentifier des machines via Active Directory sans nécessairement les ajouter au domaine au sens classique. Ainsi on tirera partie de cette authentification pour contrôler l’accès à des ressources du réseau d’entreprise (la tablette comme second facteur d’authentification), ou encore pour faire du SSO. 

    DRS est implémenté en tant que partie d’AD FS (Active Directory Federation Services) et dans un premier temps on supporte les clients Windows 8.1 et iOS.

    Dans cet article nous mettrons en œuvre l’infrastructure qui permettra d’ajouter des tablettes ou périphériques depuis le réseau interne, mais cela est aussi réalisable depuis l’Internet.

    Objectifs de cet article : Pouvoir authentifier et autoriser l’accès à une application si mes utilisateurs sont authentifiés ET sont connectés depuis une tablette autorisée dans mon environnement.

         Cet article fait partie d’une série :  

    1. Ce premier article décrit comment mettre en place l’infrastructure pour le réseau interne.
    2. Un deuxième article décrira les tests basiques côté client
    3. Un troisième article décrira la mise en œuvre du contrôle d’accès sur l’application.

    Configuration côté serveur

    J’ai sur mon réseau interne un contrôleur de domaine nommé dublinr2-1 et une autorité de certification racine d’entreprise nommée ITCampTestCA dans mon domaine TESTITCAMP.CONTOSO.COM.

    /!\ ALERTE PKI /!\

    Attention, pour toutes les opérations, l’état de révocation des certificats va être vérifié, il faut donc que la PKI soit relativement propre…. C’est à dire un point de vérification du statut de révocation des certificats disponible quelque soit l’emplacement réseau des machines (dans le domaine ou en dehors).

    Pour la première étape, j’ajoute le rôle ADFS sur une machine nommé ADFS01 sans y effectuer le paramétrage initial… voyons le reste des étapes de configuration en détails. 

    adfs01

    Configuration de ADFS

    L’installation du rôle ADFS ayant été effectuée, je vais devoir planifier plusieurs facteurs importants, les certificats utilisés ainsi quels comptes de services utilisés.

    Création des comptes de service

    Mon domaine est en niveau fonctionnel 2012, je peux donc utiliser les comptes de services gMSA, je les crée en Powershell en utilisant la syntaxe suivante :

    Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)

    New-ADServiceAccount ADFS-Gmsa -DNSHostName adfs01.itcamptest.contoso.com -ServicePrincipalNames http/adfs01.itcamptest.contoso.com

    Le première commande n’est utilisée que la première fois que l’on crée un gMSA dans un environnement (pour référence).

    La seconde ligne permet réellement la création du compte ainsi que son SPN.

    Création des certificats

    Nous allons maintenant demander un certificat qui correspond à cette machine et qui a le subject alternate name nécessaire pour DRS :

    Subject Name (CN): adfs01.itcamptest.contoso.com
    Subject Alternative Name (DNS): adfs01.itcamptest.contoso.com
    Subject Alternative Name (DNS): enterpriseregistration.itcamptest.contoso.com

    Paramétrage d’ADFS

    On lance l’assistant depuis le gestionnaire de serveur :

    adfs02

    Nous déployons le premier serveur ADFS de l’organisation :

    adfs03

    Spécifions des credentiels administrateurs du domaine :

    adfs04

    Nous sélectionnons maintenant le certificat adfs01.itcamptest.contoso.com que nous avons créé précédemment:

    adfs05

    Spécifions le compte de service que nous avons crée précédemment:

    adfs06

    Dans un environnement de production, j’utiliserai une base SQL, pour mon environnement de test, la base WID devrait faire l’affaire:

    adfs07

    Revoyons les options :

    adfs08

    adfs09

    Enfin :

    adfs10

    On remarquera ici un message d’attention qui nous spécifie que l’enregistrement du SPN ne s’est pas bien passé. C’est sans doute l’assistant qui ne s’attendait pas à ce que je l’ai déjà fait.

    Pour en avoir le cœur net, je vérifie avec setspn –q <SPNdeMonServeur>

    setspn01

    Cela m’a l’air correct Sourire 

    Activation de DRS

    Ouvrons une commande PowerShell pour activer le composant DRS:

    Pour Windows Server 2012 R2 Preview :

    Enable-AdfsDeviceRegistration –PrepareActiveDirectory –ServiceAccountName itcamptest\ADFS-Gmsa$

    Enable-ADFSDeviceReg01

    Pour Windows Server 2012 R2 RTM :

    Initialize-ADDeviceRegistration

    On active le service DRS : Enable-AdfsDeviceRegistration

    Enable-ADFSDeviceReg02

    Création des enregistrements DNS

    La machine ADFS01 va s’enregistrer et mettre à jour automatiquement dans le DNS, je dois en revanche crée un alias pour le nom utilisé par les machines clientes DRS soit le nom enterpriseregistration.<UPN du contexte utilisateur>.

    Dans mon environnement, l’UPN est itcamptest.contoso.com, j’utilise donc enterpriseregistration.itcamptest.contoso.com

    Dans la vraie vie, je devrais mettre un enregistrement pour tous les UPN présents dans mon organisation.

    Dans la console DNS, je modifie la zone de recherche directe liée à mon domaine :

    dns01

        

    Vérifications

    On peut enfin vérifier l’état opérationnel du service en confirmand la présence de l’évènement 100 dans le journal d’évènements “Device Registration Service/DRS/Admin” :

    eventlogs

    L’environnement serveur est maintenant prêt pour accueillir ses périphériques et tester la fonctionnalité de workplace join !

    Références :

    http://technet.microsoft.com/en-us/library/dn280938.aspx – Get Started with Workplace Join with a Windows Device: Walkthrough Guide

    http://technet.microsoft.com/en-us/library/dn280939.aspx – Setting up the lab environment 

    http://technet.microsoft.com/en-us/library/dn303423.aspx – How to deploy AD FS in Windows Server 2012 R2

    http://blogs.technet.com/b/byod-fr/archive/2013/07/11/byod-le-workplace-join-de-windows-server-2012-r2.aspx – BYOD : Le “Workplace Join” de Windows Server 2012 R2  –

    *Edit le 10/10/13 pour intégrer changements de Windows Server 2012 R2 RTM

    Pour tester Windows Server 2012 R2 et Hyper-V, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :
    – d’une image ISO : https://aka.ms/jeveuxwindows2012r2
    – d’un fichier VHD avec un système préinstallé : https://aka.ms/jeveuxwindows2012r2

    Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :

    https://aka.ms/itCampFr

    Arnaud – les bons tuyaux

    Hyper-V Network Virtualization – montage pas à pas d’une plateforme – partie 10 – Windows Server Gateway

    Dans une série d’articles, Stanislas décrit comment mettre en place la virtualisation de réseau avec Hyper-V (HNV). C’est une technique fondamentale qui permet de faire cohabiter sur un réseau IP de Datacenter de multiples réseaux IP (de clients d’un cloud par exemple).

    Pour cela, nous utilisons dans Windows Server 2012 (R2) et System Center Virtual Machine Manager 2012 SP1/R2  l’encapsulation NVGRE (voir mon article précédent)

    Puisque la vocation principale de HNV est de virtualiser et d’isoler les réseaux, lorsque nos machines isolées doivent communiquer avec l’extérieur, il faudra donc utiliser une passerelle qui permettra décapsuler/encapsuler pour envoyer ces paquets à :

    • Destination d’un réseau physique de Datacenter
    • Destination d’un autre protocole de virtualisation (VXLAN, ou autre)
    • Destination d’un réseau distant (VPN site-à-site, etc. )

    Le but de cet article est de mettre en œuvre, étape par étape le composant Windows Server Gateway de Windows Server 2012 R2, avec l’aide de Virtual Machine Manager 2012 R2. Dans un prochain article, on décrira la mise en œuvre dans un VM Network et son utilisation. 

    Prérequis

    Pour mettre en œuvre ces fonctionnalités du point de vue de nos machines virtuelles, il nous faut System Center Virtual Machine Manager 2012 R2.

    Pour utiliser le rôle de passerelle “Windows Server Gateway” de Windows Server 2012 R2, ils nous faut deux choses :

    • un hyperviseur Windows Server 2012 R2 Hyper-V : 

    Cet Hyperviseur ne doit pas héberger de machines virtuelles utilisant la virtualisation de réseau (mais il peut héberger des VM classiques)

    • une machine virtuelle Windows Server 2012 R2 avec le rôle d’accès distant activé. C’est celle qui fera réellement toutes les opérations réseau et fera le rôle de passerelle de manière active.

    Voici la plateforme que j’utilise :

    plateforme

    Cette machine virtuelle/passerelle HNV nécessite 3 interfaces réseaux virtuelles :

    • une carte réseau dans le réseau virtualisé HNV (la carte qui est sur le réseau provider/Datacenter, dans l’espace d’adressage PA),
    • une carte réseau sur le réseau extérieur (le réseau physique classique du Datacenter)
    • optionnellement (vraiment?) une carte réseau d’administration

    1. Paramétrage de l’hyperviseur pour les opérations de passerelle

    La première étape se déroule dans System Center 2012 R2 VMM et consiste à configurer l’hyperviseur pour activer le rôle de passerelle, on va donc pour cela dans les propriétés de l’hyperviseur dans la partie Fabric pour activer l’option This host is a dedicated network virtualisation Gateway…  :

    host1

    Une fois cela validé, on va ajouter le couple hyperviseur/machine virtuelle dans notre configuration.

    2. Configuration des cartes réseau de la VM

    Démarrons la machine virtuelle de la passerelle et vérifions l’état des connexions réseau, on doit avoir :

    • une carte sur le réseau physique extérieur (elle obtiendra son adresse IP par le DHCP du réseau physique ou par configuration manuelle).
    • une carte d’administration dans l’espace d’adressage du Datacenter (la machine doit pouvoir contacter des contrôleurs de domaine de l’organisation). Dans mon cas, le réseau d’administration et le réseau extérieur sont les mêmes, je n’ai que deux cartes.
    • une carte sur le réseau NVGRE (on devra configurer l’adresse IP manuellement dans la VM, on la laisse dans l’état déconnecté au moment du setup pour la repérer.)

    La configuration de la carte NVGRE doit se faire via SCVMM, la difficulté est qu’il faut la connecter à un réseau logique sans la connecter à un VM Network, alors que cette option n’est pas présentée dans l’interface graphique !

    Il faut alors :

    Dans les propriétés de la carte réseau non connectée, on sélectionne l’option VM Network et on clique sur Clear Selection comme suit :

    HNVbinding1

    On vérifie alors que la carte est connectée sur le réseau NVGRE, appelé dans notre cas LogicalSwitch-CloudProvider.

    HNVbinding2

    On valide et continue la configuration.

    3. Déploiement de la passerelle dans VMM 2012 R2

    Allons maintenant déclarer la passerelle comme ressource de la fabrique. Nous allons donc pour cela dans la console Fabric :

    addgtw1

    addgtw2

    Nous spécifions ensuite le type de service réseau que nous ajoutons :

    addgtw3

    Il s’agit ici de la passerelle implémentée dans Windows Server 2012 R2.

    Nous devons ensuite spécifier un compte d’action qui a des droits administratifs :

    • sur l’hyperviseur physique
    • sur la machine virtuelle qui sert de passerelle

    addgtw4

    Nous spécifions ensuite la chaine de connexion à la plateforme. Cette chaine se compose comme suit : VMHost=serveurPhysiqueHyperV;RRASServer=VMquiTourneLeServiceRRASS

    addgtw5

    addgtw6

    A l’étape étape test, on va se connecter à la machine physique et la machine virtuelle pour vérifier les différentes capacités de virtualisation.

    addgtw7

    On spécifie ensuite pour quels groupes d’hyperviseurs est disponible la passerelle.

    addgtw8

    Validons la création.

    addgtw9

    Une fois l’ajout validé, on obtient alors l’écran de résumé de la passerelle. On peut alors constater qu’une passerelle HNV peut supporter dans cette version :

    • 50 routing domains (VM Networks)
    • 500 sous-réseaux virtuels (sous réseaux dans les VM networks)
    • 200 connections VPN site à site

    Normalement, en situation de production, on devrait avoir saturé le lien avant d’avoir atteint ces chiffres.

    addgtw10

    Lorsque la passerelle est ajoutée, il nous faut ensuite la configurer pour l’environnement.

    4. Paramétrage de la passerelle

    L’étape de paramétrage est assez simple et va permettre de déterminer à quels usages sont destinées différentes cartes réseaux de la VM et du serveur physique.

    setugtw1

    Nous devons à cette étape déterminer les interfaces réseau et leurs bindings :

    • back-end : interface connectée au réseau virtualisé HNV (réseau PA) (ici ma carte réseau appelée NVGRE, sur le site Paris du réseau logicque NetCloudPRovider)

    gtwbindings

    A cette étape, il se passe en fait plusieurs choses, le paramétrage des cartes réseaux virtuelles pour le service RAS, et le paramétrage du mode multi-locataire sur la carte virtuelle. On peut vérifier cela avec la commande PowerShell :

    Get-VMNetworkAdapterIsolation

    Get-VMNetworkAdapterIsolation

    Dans cet article, nous configurons la plateforme de base, dans un article suivant, nous configurerons les VM networks pour tirer partie de la passerelle ! Stay tuned !

     

    Pour revenir aux premiers articles qui décrivent l’installation de la plateforme pas à pas :

    partie 1 (introduction et principe à HNV) : http://blogs.technet.com/b/stanislas/archive/2013/07/19/hyper-v-network-virtualization-montage-pas-224-pas-d-une-plateforme-partie-1-introduction.aspx

    partie 2 (description de la plateforme technique minimale) : http://blogs.technet.com/b/stanislas/archive/2013/07/22/hyper-v-network-virtualization-montage-pas-224-pas-d-une-plateforme-partie-2-description-de-la-plateforme.aspx

    partie 3 (création du réseau logique) : http://blogs.technet.com/b/stanislas/archive/2013/07/31/hyper-v-network-virtualization-montage-pas-224-pas-d-une-plateforme-partie-3-logical-network.aspx

    partie 4 (création des IP Pool pour Logical Network) : http://blogs.technet.com/b/stanislas/archive/2013/08/01/hyper-v-network-virtualization-montage-pas-224-pas-d-une-plateforme-partie-4-ip-pool-pour-logical-network.aspx

    partie 5 (création du switch logique) : http://blogs.technet.com/b/stanislas/archive/2013/08/02/hyper-v-network-virtualization-montage-pas-224-pas-d-une-plateforme-partie-5-logical-switch.aspx

    partie 6 (affectation du switch logique aux hyperviseurs de la plateforme) : http://blogs.technet.com/b/stanislas/archive/2013/08/05/hyper-v-network-virtualization-montage-pas-224-pas-d-une-plateforme-partie-6-affection-du-logical-switch-aux-hyperviseurs.aspx

    partie 7 (création d’un VM Network) : http://blogs.technet.com/b/stanislas/archive/2013/08/06/hyper-v-network-virtualization-montage-pas-224-pas-d-une-plateforme-partie-7-cr-233-ation-des-vm-networks.aspx

    partie 8 (création des IP Pool pour Virtual Subnet) : http://blogs.technet.com/b/stanislas/archive/2013/08/07/hyper-v-network-virtualization-montage-pas-224-pas-d-une-plateforme-partie-8-cr-233-ation-des-ip-pool-ca.aspx

    partie 9 – connexion de VM à des VM Networks : http://blogs.technet.com/b/stanislas/archive/2013/08/08/hyper-v-network-virtualization-montage-pas-224-pas-d-une-plateforme-partie-9-connexion-de-vm-224-des-vm-networks.aspx

    Encapsulation NVGRE : http://blogs.technet.com/b/arnaud/archive/2013/08/01/hyper-v-network-virtualization-encapsulation-nvgre.aspx

    Références :

    http://technet.microsoft.com/en-us/library/dn313101.aspx – Windows Server Gateway

    http://technet.microsoft.com/library/dn249417.aspx – How to Use a Server Running Windows Server 2012 R2 as a Gateway with VMM

    http://technet.microsoft.com/en-us/library/jj721575.aspx – Configuring VM Networks and Gateways in VMM

    Pour tester Windows Server 2012 R2 et Hyper-V, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme :
    – d'une image ISO : https://aka.ms/jeveuxwindows2012r2
    – d'un fichier VHD avec un système préinstallé : https://aka.ms/jeveuxwindows2012r2

    Et si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps : https://aka.ms/itCampFr. La liste des IT Camps de septembre 2013 à juin 2014 sera bientôt en ligne. Attention, il n’y aura qu’une date par sujet et par semestre par ville et le nombre de place est limité.

    Arnaud – les bons tuyaux