[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: virtualisation et consolisation réseau - un peu HS

Bonjour,

Afin de pouvoir mettre en place des DMZ, il me parait indispensable de mettre en place des VLAN. Je ne vois pas comment tu peux cloisonner tes équipements autrement... Je mettrais donc un cluster de firewall afin de pouvoir router entre les VLAN et assurer l'étanchéité interne. Puis un autre firewall pour gérer les entrées/sorties vers et depuis Internet ainsi que l'éventuel NAT. Cette organisation permet de dissocier firewall interne et externe ce qui n'est pas sans intérêt je pense.

Mettre des machines de plusieurs DMZ différentes sur une même plateforme de virtualisation peut paraitre un peu contradictoire. Le principe d'une DMZ est de cloisonner niveau réseau des machines donc toutes les mettre sur le même serveur de virtualisation est un peu contradictoire. Il est cependant tout à fait possible de placer des VM dans différents réseaux via une interface réseau 802.1Q (trunk chez Cisco).

Ce que je te conseille de faire c'est d'avoir une paire de serveurs de virtualisation redondants pour tes machines de DMZ et une paire de serveurs redondants pour tes machines non-DMZ. Ainsi, tu assures un cloisonnement applicatif physique. Pour moi une machine DMZ est une machine à laquelle on accède directement à partir d'Internet.

Quant à mettre des firewalls ou des reverse proxy sur des machines virtuelles, celà ne me choque pas trop. Je pense cependant que mettre des firewalls sur des machines de virtualisation n'est pas idéal. Mettre sur une même machine physique l'équipement qui protège et celui à protéger, ca me chagrine. Ca marchera cependant bien au détail près que la bande passante de ton interface réseau sera mutualisé pour toutes les VM, n'oublies pas. Rien ne t'empêches d'en mettre plusieurs ceci dit.

En espérant t'avoir aidé,

Antoine

2009/11/19 Glennie Vignarajah <glennie@glennie.fr>
Le 18/11/2009 vers 21:35, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", Daniel Huhardeaux(Daniel Huhardeaux <no-
spam@tootai.net>) a écrit:

> Bonsoir

Bonjour,
Merci pour la réponse.

> firewall/reverse-proxy/... sur une machine virtuelle, pas top pour moi.

OK.

> Tu ne dis pas quel est le nombre de machines réelles et combien de
> machines virtuelles tournent sur chaque machine réelle.

       En fait, une étude d'analyse de perf est en cours. La répartition sera
décidée à l'issue de cette étude.


> Une solution est d'utiliser un transparent/proxy, soit en façade de
> *tout* le réseau, soit en façade d'une partie du réseau. Cela permet de
> rediriger des flux vers des IP privées donc inaccessibles de l' extérieur.

OK.

> Dans tous les cas de figures, ne serait ce que par simplification de
> maintenance, je ne ferai tourner le firewall _que_ sur la/les machine(s)
> hote(s),

Noté.

       Que pensez-vous de l'utilisation des Vlans pour séparer les flux réseaux de
chaque DMZ au lieu d'éléments réseau dédiés?
Merci.
--
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a nail.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org


Reply to: