C’est l’été et parfois on a un peu plus de temps libre que d’habitude (vraiment ?) : Pour cela on vous a préparé tout un ensemble de ressources sur Microsoft Virtual Academy qui est notre plateforme en ligne pour apprendre sur les derniers sujets de développement comme d’IT.
Voici les cours que nous avons pu réaliser dernièrement en français :
On en publiera de nouveaux tout au long de l’été concernant le stockage avec Windows Server 2012 R2 et de nouveaux sujets sur Azure alors restez branchés !
IPAM (IP Address Management) est un service d’entreprise qui permet de gérer de manière centralisée, les informations concernant l’utilisation d’adresses IP au sein d’une organisation. Ceci se fait en en consolidant les informations provenant de l’Active Directory, du DHCP, du DNS, de NPS, de Virtual Machine Manager et même d’entrées manuelles (pour remplacer la bonne vieille fiche Excel de gestion des IP).
Gestion des espaces d’adressages virtualisés avec la virtualisation de réseau de System Center Virtual Machine Manager
Synchronisation des réseaux avec la notion de sites Active Directory
Définition pour granulaire des rôles (administration, vue uniquement d’une partie de l’espace d’adressage ou de noms)
Statistiques détaillées par zones (pour environnement hautement concentrés)
Support de SQL Server pour stocker les informations (dans 2012, uniquement avec Windows Integrated Database)
Support de DHCP amélioré (support de DHCP failover, de l’attribution d’adresses par stratégie, des superscopes, des filtres et réservations)
Support de PowerShell étendu
L’interface est désormais constituée de 7 parties principales :
Server inventory management
IP address space management
Virtualized address space
Management and Monitoring of DHCP and DNS
Event Catalog
IP address tracking
Access Control
Comme on peut le voir sur la capture suivante :
Prenons un peu de temps pour étudier quelques aspects.
Améliorations pour le support de DHCP :
Désormais l’interface principale d’IPAM permet de gérer quasiment l’ensemble des informations relatives aux espaces d’adressages configurables dans les MMC de DHCP. On peut ainsi administrer les relations de failover entre serveurs DHCP, gérer les attributions d’adresses par stratégies, les réservations, filtres et les superscopes.
Voici quelques unes des options de gestion d’une étendue DHCP :
On peut par exemple désormais configurer les stratégies d’attribution d’adresses directement dans IPAM :
Nous avons également une vue et une gestion des réservations intégrée, en sélectionnant la vue “Reservations” de la partie DHCP Scopes :
Gestion des réseaux virtualisés de System Center Virtual Machine Manager 2012 :
La virtualisation de réseau permet, à partir de Windows Server 2012 et System Center 2012 SP1, de faire cohabiter sur un réseau IP de datacenter, plusieurs réseaux de clients qui potentiellement partageraient le même espace d’adressage. Pour plus de détails sur la mise en œuvre de cette technologie, nous vous invitons à vous référer à la série d’article que Stanislas et moi même avons écrit.
Comment activer la gestion des espaces d’adressage virtualisés
Pour activer le reporting d’informations de System Center Virtual Machine Manager, il faut modifier la configuration de la fabrique pour activer le composant IPAM qui est désormais intégré.
Ajout d’un service réseau dans la fabrique :
On ajoute ensuite un service que l’on nomme :
On doit spécifier un service de type Microsoft Windows Server IP Address Management :
On spécifie un compte avec des droits IPAM Administrator sur le serveur IPAM :
On spécifie ensuite le chemin de connexion (pour IPAM, c’est simple, c’est juste le nom du serveur) :
On teste la connexion et vérifie que l’on a bien un résultat “passed” et “implemented” :
On spécifie les groupes d’hyperviseurs que l’on souhaite inclure dans le scope du reporting IPAM :
On valide :
et on vérifie que le job s’effectue correctement !
Administration des espaces virtualisés
Lorsque l’environnement a été paramétré, on peut alors voir l’ensemble des informations relatives aux :
Espace d’adressage et adresses utilisées sur le réseau de Datacenter (provider addresses)
Espaces d’adressages et adresses des différents réseaux virtualisés (Customer addresses)
Vision sur l’espace d’adressage PA :
Avec la vue “IP address spaces”, on peut voir les différents espaces d’adressages utilisés dans le Datacenter pour la virtualisation de réseau (les adresses définies pour les logical network)
Utilisation des adresses PA:
Si on sélectionne la vue “IP addresses”, on peut alors voir quelles sont les IP attribuées aux hyperviseurs participants à la plateforme de virtualisation (les PA addresses)
Vision des espaces d’adressages CA :
Lorsque l’on selectionne la partie Customer IP Addresse en bas à gauche, on a la possibilité de voir l’ensemble des espaces d’adressage pour les différents VM networks définis dans l’ensemble de la configuration.
Utilisation des adresses CA :
La vue “IP addresses” permet de voir les IP utilisées par les différentes machines virtuelles dans les différents réseaux virtualisés (ici dans mon exemple, j’ai deux VM dans deux sous réseaux virtualisés du client BlueCorp. A noter que je peux filtrer par “tenant” (locataire). On peut également donner une vue plus restreinte (typiquement on peut offrir à un locataire une vue uniquement sur son espace d’adressage) en gérant les rôles et les vues comme nous le décrirons plus loin dans l’article.
Améliorations d’administration
Stockage des informations dans une base SQL
On peut désormais stocker les informations d’IPAM vers une base SQL, cela facilite grandement la gestion de bases notamment lors de scénarios de reprise après incident. Lors de la mise à jour d’un service IPAM vers 2012 R2, l’assistant de déploiement vous propose de migrer les informations depuis la base WID vers le serveur SQL que vous lui indiquez. Cette opération peut également être effectuée avec la commande PowerShell : Move-IpamDatabase.
Si vous faites une promotion depuis un environnement vierge, on vous propose alors d’entrer les informations de connexion :
Gestion des accès basé sur les rôles
La gestion des accès basé sur les rôles utilisateur est fondamentale lorsque l’environnement tend à grandir et être adopté à l’échelle de l’entreprise.
En lieu et place des quelques rôles basiques présents dans Windows Server 2012, on peut désormais définir des :
rôles : un ensemble d’opérations qui peuvent être permises et associées à des utilisateurs.
étendues d’accès : un ensemble d’objets auxquels un utilisateur a accès (par défaut l’étendue Global inclus l’ensemble des ressources, il est possible d’en personnaliser par géographie ou par locataire de réseau virtualisé par exemple).
stratégies d’accès : une combinaison de rôles et d’étendues d’accès.
Il existe un ensemble de rôles par défaut :
On peut voir par exemple que le rôle “DNS Record Administrator Role”, peut créer et supprimer des enregistrements.
Il est possible de paramétrer tout cela très finement pour répondre aux besoins d’audits et de séparation des rôles telle que toute bonne RSSI vous le recommandera !
En résumé, IPAM dans Windows Server 2012 R2, c’est plus de fonctionnalités pour rendre la plateforme plus robuste à l’échelle de l’organisation.
Pour tester Windows Server 2012 R2 et Hyper-V, vous pouvez télécharger gratuitement la version d’évaluation disponible sous la forme : – d'une image ISO : https://aka.ms/jeveuxwindows2012r2 – d'un fichier VHD avec un système préinstallé : https://aka.ms/jeveuxwindows2012r2
Si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride, vous pouvez vous inscrire gratuitement à un de nos IT Camps :
Dans une série d’articles, Stanislas décrit comment mettre en place la virtualisation de réseau avec Hyper-V (HNV). C’est une technique fondamentale qui permet de faire cohabiter de manière isolée plusieurs réseaux IP (de clients d’un cloud par exemple) à l’intérieur d’un réseau IP de Datacenter.
Lors de la mise sur le câble des paquets échangés entre machines Hyper-V, nous utilisons dans Windows Server 2012 (R2) et System Center Virtual Machine Manager 2012 SP1/R2 l’encapsulation NVGRE telle que définie dans : http://tools.ietf.org/html/draft-sridharan-virtualization-nvgre-02
Cette encapsulation du trafic d’un client d’un cloud se fait sur le réseau provider (espace d’adressage PA). Alors que l’espace d’adressage PA est unique, plusieurs espaces d’adressages de clients (CA) vont cohabiter sur le PA et seront discriminés grâce à leur identifiant “GRE Key” qui contient les différents réseaux (VSID).
Regardons de plus près à quoi ressemble l’encapsulation réseau avec nos outils préférés: Netmon Monitor et Message Analyzer.
Pour notre exemple nous prendrons, la machine sur le réseau “blue” avec pour adresse IP 10.1.0.2 qui va envoyer un ping vers 10.2.0.2. Les masques de sous réseaux sont /16 donc, les machines sont dans le même réseau virtuel (VM Network), mais dans un “VM Subnet” différent.
Network Monitor
Lorsque nous activons la virtualisation de réseau Hyper-V, la carte réseau qui y est attachée se voit retirer tous les attachements de protocoles pour n’avoir uniquement :
Windows Network Virtualization Filter Driver (uniquement en Windows Server 2012, supprimé en R2 car intégré dans le switch virtuel Hyper-V)
Hyper-V Extensible Virtual Switch
Si l’on veut effectuer une trace réseau, il faut alors cocher la case “Microsoft Network Monitor 3 Driver”; le filter driver de Netmon qui permet de capturer des paquets.
Cochons cette case et lançons la trace réseau sur l’interface qui a été activé pour la virtualisation de réseau:
Démarrons alors la trace et regardons de plus près à l’encapsulation:
Dans notre exemple, nous voyons sur la trace un paquet envoyé depuis 172.16.0.2 vers 172.16.0.3 avec pour protocole GRE. Nous sommes sur le réseau du provider, c’est donc bien ce qu’on s’attend à voir :
Regardons maintenant au paquet en hexa:
Pour nos amis les plus avertis, cela ressemble à une payload de ping (abcd…. à la fin du paquet.) Essayons d’y voir un peu plus clair. D’après ce que l’on sait de l’encapsulation NVGRE, on doit y trouver quelque part l'identifiant de sous réseau virtuel (VSID).
Si l’on veut retrouver les VSID de nos machines virtuelles, on peut faire de la sorte en Powershell:
Get-NetVirtualizationLookupRecord
Nous avons donc 4020644 (decimal) que nous devons convertir en hexadécimal. un petit coup de calc.exe nous permet de trouver 3D59A4. Cherchons cette séquence dans le paquet…
Si l’on continue l’exploration du paquet, on voit même l’adresse IP de destination 10.2.0.2:
Voila comment se passe l’encapsulation NVGRE, c’est intéressant si l’on aime faire le parseur humain, sinon Message Analyzer sait interpréter automatiquement ces messages, regardons donc la même trace avec ce dernier outil !
Message Analyzer
Message Analyzer est le remplaçant de Network Monitor qui permet d'Analyzer bien plus que des traces réseau, il est disponible sur connect (http://connect.microsoft.com/site216) en Beta pour le moment. Ouvrons la trace précédente et observons le résultat :
On a ici une meilleure vue sur l’encapsulation de protocoles, on retrouve le VSID dans le champ Key, et on a désormais le paquet complètement parsé. Beaucoup plus facilement utilisable pour dépannage !
Notons au passage que pour l’exemple de la démonstration, nous utilisons des machines sur des sous réseaux virtuels (VSID) différents :
L’hyperviseur qui envoi le paquet va remplir le GRE Key avec le VSID du destinataire, aussi lorsque la machine 10.2.0.2 va répondre au ping que l’on vient d’émettre, alors l’hyperviseur qui herberge la VM utilisera le VSID 8793502 enfin je veux dire 86 2D 9E !
Et si vous souhaitez découvrir en 4 heures nos technologies telles que Windows Server 2012 R2, Windows 8.1 en entreprise, le Cloud Privé ou Hybride par Microsoft, vous pouvez vous inscrire gratuitement à un de nos IT Camp : https://aka.ms/itCampFr.
Une des grandes nouveautés pour la virtualisation et les meilleures performances dans Windows Server 2012 est le support de SR-IOV. Cette norme qui fait partie du PCI-SIG n’est pas propre au réseau, mais elle permet d’une manière générale de simplifier le chemin des IO entre une machine virtuelle et les ressources de sa machine physique. Avec des cartes réseaux de plus en plus puissantes, on pense au 40GbE et même au 100GbE qui pointent le bout de leurs nez, ce n’est donc plus la bande passante qui est le souci mais le volume de données, les temps de latence dans le filtrage et la simplification des gestions des IO.
Schématiquement voici comment se présente SR-IOV:
Ce schéma extrêmement simplifié montre qu’une carte réseau compatible SR-IOV va exposer au système un certain nombre de Virtual Functions qui seront autant de slots que pourront consommer des machines virtuelles connectées sur la machine physique.
Pour faire fonctionner SR-IOV, il ne suffit pas d’une carte réseau SR-IOV, on doit vérifier également quelques prérequis :
Support de la fonctionnalité par la carte réseau (notons les cartes Intel Gigabit ET Dual Port, ainsi que Gigabit ET2 QuadPort que nous utilisons pour cet article)
Un driver et un firmware bien mis à jour (même si les pilotes de Windows reconnaissent votre carte réseau, installez ceux du constructeur pour bénéfice de toutes les fonctionnalités ET n’oubliez pas de les mettre à jour régulièrement.)
Support du chipset pour IOMMU (Input/Output Memory Management Unit, voir références plus bas)
Support du SLAT (Second Level Address Translation)
Vérifications sur la partition parent
Avec les pilotes réseau par défaut de Windows, vérifions la présence de la section SRIOV dans les fonctionnalités avancées de la carte au sein du gestionnaire de périphériques:
Dans notre exemple nous utilisons les cartes carte Intel Gigabit ET Dual Port, ainsi que Gigabit ET2 QuadPort. Lorsque l’on installe les drivers Intel on a beaucoup plus d’options et notamment un contrôle plus fin sur l’utilisation de SR-IOV et VMQ :
Une fois les fonctionnalités activés au niveau du périphérique, vérifions les capacités exposées par la carte réseau à l’aide de la commande PowerShell:
Get-NetAdapterSriov
Premier élément à vérifier est le support de SR-IOV, dans notre cas c’est supported, mais dans d’autres cas on aura un message d’erreur indiquant la raison pour laquelle cela ne fonctionne pas.
Autres éléments intéressants le nombre total de VF exposées par la carte (NumVFs) et le nombre déjà consommées sur le système (NumAllocatedVFs) .
Configuration de la partition parent
Une fois tout cela vérifié, il faudra l’activer sur le Switch Virtuel ainsi que sur les cartes réseaux virtuelles des VM qui doivent profiter de la fonctionnalité.
Cela se fait dans le gestionnaire de réseaux virtuels de Hyper-V:
Ensuite pour chaque VM dans les options d’accélération matérielles de la carte virtuelle:
De la même manière on peut vérifier en Powershell l’effectivité de SR-IOV sur le switch en utilisant la commande:
Get-VMSwitch
La case cochée dans l’interface graphique est ici représentée par IovEnabled.
IovSupport et IovSupportReasons permettront de comprendre ce qui se passe réellement : si il y a un problème avec la fonctionnalité et quelle en est l’origine.
Vérification sur les machines virtuelles
Une fois tout cela effectué, on peut vérifier le fonctionnalité premièrement dans le gestionnaire de périphériques de la VM avec l’apparition d’une "carte réseau" supplémentaire:
Sur la machine physique, on peut aussi s’assurer du fonctionnement de l’ensemble dans le gestionnaire Hyper-V, dans l’onglet Networking de la VM:
Notons que lorsqu’on utilise les fonctions du switch Hyper-V telles que les ACL réseau entre machines virtuelles, cela désactive automatiquement SR-IOV pour passer par le chemin classique des IO réseau.
Dans un prochain article nous étudierons le cas d’une machine qui ne support pas SR-IOV et comment en déterminer les raisons avec Powershell et les journaux d’évènements!
A BIOS update may be required for some computers to install the Hyper-V Role and/or start Hyper-V virtual machines – http://support.microsoft.com/kb/2762297