On a implanté/déployé des choses semblables pour notre recherche SDN/NFV sur un data center et un fournisseur d'infra IAAS en Chine et on gère actuellement plus de 1000 clients avec du firewall/IDS en NFV. On a pas utiliser du VMware parce que l'OVS est n'est pas bon en terme de perf. On a fait notre propre OVS mixte soft et hard et on a utilisé du openstack pour la partie virtualization. Pour la validation des contraintes de chaînage on utilise du xml et un checker xml (on a aussi essayé du YAML mais pas de valideur de contraintes open source).
C'est a priori lourd mais ca tourne depuis 6 mois et on fait en plus de la recherche en parallèle à l'opérationnel ! Au cas où ca intéresse des personnes ne contacter pour que je leur passe le papiers qui sont à la base du machin. Kv Envoyé de mon iPhone > Le 28 oct. 2016 à 10:35, David Ponzone <[email protected]> a écrit : > > T’as pas fait un gros chèque à VMware ? > Ils ont pas de support pour t’aider sur des technos aussi pointues ? > >> Le 28 oct. 2016 à 10:00, Philippe Lima <[email protected]> a écrit : >> >> Bonjour la liste, >> >> Je tiens déjà à préciser que je ne suis pas du monde réseau :-) >> >> J'explique notre besoin: >> Nous avons 2 sites distant, avec chacun un cluster de firewall physique >> (intra-site), des routeurs, des switchs, etc ... >> >> Nous avons l'intention de déployer du VMware NSX (SDN) composé de 2 >> routeur/firewall virtuels (NSX Edge) en actif/actif (un sur chaque site) >> pour le traffic Nord/Sud. En >> dessous un Universal DLR (un routeur distribué) étendu sur les 2 sites pour >> le traffic Est/Ouest. Pour le moment, nous envisagions du routage OSPF entre >> les différents couches (routeur physique <> NSX Edge <> UDLR). Le but étant >> de créer un lien de niveau 2 sur du niveau 3 (VXLAN) grâce à des switch >> logiques positionnés en dessous des UDLR et permettre plus d'agilité dans le >> déplacement des machines virtuelles connectés à ces switch logiques. Ainsi >> une Machine virtuelle pourra se déplacer du site A au site B sans Re-IP et >> sa Gateway sera portée par de UDLR. La question est de savoir comment gérer >> le traffic Nord/Sud entrant pour le maintient des sessions sur les firewalls >> logiques (NSX EDGE) et aussi sur les firewall physiques au dessus. Comment >> garantir que le trafic d'une VM sur le SiTE A revienne par les équipements >> du site A pour la partie Stateful Firewall. Comment garantir lors du >> déplacement de ma VM sur le site B que le trafic d'une VM sur le SITEB >> revienne par les équipements du site B avec maintient des sessions sur le >> firewall ? >> >> Les pistes : >> - Arriver externe des routeurs physique en direct sur des appliances >> virtuelles formant un cluster de firewall inter-site (by-pass des firewall >> physiques). >> - le routage BGP peut-il nous aider dans les routes à emprunter pour le >> trafic retour en sachant qu'une VM peut se déplacer de sites ? (Preferred >> site, etc ...) >> - des équipements gérant des ASR Group avec des notions de contexte ? >> - un script analysant le déplacement des VM source et destination et >> poussant et supprimant des routes en /32 (bonjour le nombre de route sur >> plus de 10000 VM). >> >> Merci de vos retours. >> >> Envoyé de mon iPhone >> >> >> Envoyé de mon iPhone >> >> >> Envoyé de mon iPhone >> >> --------------------------- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
