Configurer Nutanix Flow
Découvrez comment configurer et utiliser Nutanix Flow
Découvrez comment configurer et utiliser Nutanix Flow
Dernière mise à jour le 08/04/2022
Nutanix Flow est disponible sur toutes les offres Hosted Private Cloud Powered by Nutanix. Cette option permet de sécuriser le réseau dans un ou plusieurs clusters gérés par Prism Central
Apprenez à utiliser Nutanix Flow pour la sécurisation du réseau au sein d'un cluster Nutanix.
OVHcloud vous met à disposition des services dont la configuration, la gestion et la responsabilité vous incombent. Il vous appartient donc de ce fait d’en assurer le bon fonctionnement.
Ce guide a pour but de vous accompagner au mieux sur des tâches courantes. Néanmoins, nous vous recommandons de faire appel à un prestataire spécialisé si vous éprouvez des difficultés ou des doutes concernant l’administration, l’utilisation ou la mise en place d’un service sur un serveur.
Connectez-vous à Prism Central.
Pour vous connecter à un cluster Nutanix, au besoin, reportez-vous à la section « Aller plus loin » de ce guide.
Cliquez sur l'engrenage en haut à droite pour modifier les paramètres.
Cliquez sur Microsegmentation
depuis la barre de défilement à gauche.
Cochez la case Enable Microsegmentation et cliquez sur Save
.
La microsegmentation est activée. Il sera toujours possible de la désactiver.
Une catégorie est un objet qui peut contenir une ou plusieurs valeurs
Lors de l'installation d'un cluster, certaines catégories existent déjà et elles sont modifiables, d'autres catégories peuvent être ajoutées.
Les entités comme les machines virtuelles, les sous-réseaux ou les images, peuvent faire partie des catégories utilisées pour un outil comme Flow par exemple.
Depuis le menu principal, cliquez sur Categories
dans le sous-menu Administration
.
Cliquez sur New Category
.
Saisissez le nom de la catégorie dans Name puis cliquez sur New value
.
Saisissez un nom dans Value et cliquez sur le bouton de validation bleu à droite.
Cliquez sur Save
.
La nouvelle catégorie apparait dans la liste des catégories.
Sélectionnez la catégorie Special-Computers
Cliquez sur Update
dans le menu Actions
Cliquez sur New value
Saisissez une valeur dans la colonne Value puis cliquez sur l'icône de validation.
Cliquez sur New value
.
Saisissez une autre valeur dans la colonne Value puis cliquez sur l'icône de validation.
Cliquez sur Save
pour valider la modification de la catégorie.
La catégorie est visible dans le tableau de bord des catégories avec ces deux nouvelles valeurs.
Depuis le menu principal, cliquez sur VMs
sous Compute & Storage.
Sélectionnez la machine virtuelle en cochant à gauche de celle-ci.
Cliquez sur Actions
puis sur Manage Categories
.
Saisissez nomdelacatégorie:valeur
et cliquez sur le signe +
.
Cliquez sur Save
pour enregistrer la machine virtuelle dans une catégorie.
Sélectionnez trois machines virtuelles en utilisant les cases à cocher
à leurs gauches.
Cliquez sur le menu Actions
et sélectionnez Manage Categories
.
Saisissez nomdelacatégorie:valeur
et cliquez sur +
.
Cliquez sur Save
.
Depuis le menu principal, cliquez sur Subnets
sous Network & Security
.
Sélectionnez les sous-réseaux en cochant à leur gauche.
Cliquez sur le menu Actions
et sélectionnez Manage Categories
.
Saisissez nomdelacatégorie:valeur
et cliquez sur +
.
Cliquez sur Save
.
La quarantaine réseau permet d'isoler une machine virtuelle de l'ensemble du réseau ou de lui permettre un accès restreint à certains outils de réparations se trouvant sur le réseau.
Depuis le menu principal et cliquez sur VMs
sous Compute & Storage.
Sélectionnez la machine virtuelle en cochant à gauche de celle-ci.
Cliquez sur Actions
et choisissez Quarantine VMs
dans le menu.
Sélectionnez Forensic
dans quarantine Method
puis cliquez sur Quarantine
.
La machine virtuelle est à présent en quarantaine.
Pour l'instant aucun blocage n'affecte la machine virtuelle en quarantaine. Suivez ces instructions pour configurer la quarantaine.
Depuis le menu principal, cliquez sur Security Policies
dans le sous-menu Network & Security
.
Cliquez sur le numéro à coté de Quarantined
pour afficher les machines virtuelles en quarantaine.
La liste des machines virtuelles en quarantaine apparait dans la colonne Name. Cliquez sur Close
pour revenir au menu précédent.
Cliquez sur Quarantine
en dessous de la colonne Name pour modifier la règle.
Le statut de la règle est en mode Monitoring
comme indiqué en haut à gauche.
Le trafic n'est pas bloqué mais surveillé. Les connexions entre les machines virtuelles mises en quarantaine et le reste du réseau sont représentés par des traits de couleurs orange reliés à des rectangles représentant l'adresse IP de la source ou de la destination.
Cliquez sur Enforce
en haut à droite pour passer du mode Monitoring au mode Enforcing avec blocage du trafic.
Saisissez ENFORCE
et cliquez sur Confirm
.
Le statut de la règle est maintenant sur Enforced
.
Le trafic est bloqué. Nous voyons les tentatives d'accès aux machines virtuelles en quarantaines via des lignes en pointillés rouges vers les blocs contenant l'adresse IP de la machine virtuelle.
Cliquez sur Update
en haut à droite pour modifier la règle, afin d'autoriser certains flux réseaux.
Cliquez sur Next
.
Positionnez la souris sur une tentative de connexion entrante et cliquez sur Allow Traffic
Cochez la case à gauche de la Source pour sélectionner le trafic découvert entrant, puis cliquez sur Allow 1 Discovered Traffic
pour n'autoriser que le trafic découvert comme par exemple ci-dessous le protocole ICMP.
Positionez la souris sur une tentative de connexion sortante et cliquez sur Allow Traffic
.
Cochez la case à gauche de la Source pour sélectionner le trafic découvert sortant puis cliquez sur Allow 1 Discovered Traffic
pour n'autoriser que le trafic découvert.
Le trafic autorisé est maintenant visible par des lignes grises alors que le trafic bloqué est en rouge.
Pour créer une règle manuellement sans passer par la découverte du réseau, cliquez à gauche sur Add Source
pour autoriser une connexion entrante vers la quarantaine.
Saisissez le nom de la catégorie ainsi que sa valeur dans Add source by: Category
puis cliquez sur Add
.
La source apparait dans Configured
.
Cliquez sur +
à gauche de Quarantine: Forensics.
Autorisez tous le trafic et cliquez sur Save
.
Cliquez à droite sur Add Destination
pour autoriser une règle sortante depuis la quarantaine.
Saisissez le nom de la catégorie ainsi que sa valeur dans Add source by: Category
, puis cliquez sur Add
.
Cliquez sur +
à droite de Quarantine: Forensics.
Autorisez tout le trafic et cliquez sur Save
.
Cliquez sur Next
.
Cliquez sur Save and Enforce
pour appliquer les changements sur la règle de quarantaine.
Cliquez sur Quarantine
pour voir le détail de la règle de quarantaine.
Le statut de la règle est sur Enforced
, le mode Forensic a été personnalisé.
Une machine virtuelle placée en mode Strict sera totalement isolée du réseau alors qu'en mode Forensic elle aura accès aux zones définies dans la règle de quarantaine.
Une règle d'isolation permet le blocage des communications réseaux entre deux types de catégories (machines virtuelles ou sous-réseaux).
Pour plus d'informations sur la gestion des catégories, reportez-vous à la section « Configuration des catégories » de ce guide.
Depuis le menu principal, cliquez sur Securities Policies
dans le sous-menu Network & Security
.
Cliquez sur Create Security Policy
.
Sélectionnez Isolate Environments (Isolation Policy)
puis cliquez sur Create
.
Saisissez le nom de la règle dans Name
puis ajoutez un commentaire dans Purpose
, choisissez une catégorie dans Isolate this category
, suivi d'une autre catégorie dans From this category
.
Sélectionnez Enforce
dans Select a Policy mode, puis cliquez sur Save and Enforce
.
La règle est active dans la liste des règles de sécurité.
Cliquez sur Le nom de la règle
en dessous de la colonne Name pour voir le détail.
Le statut de la règle indique Enforced
et on peut voir qu'aucune tentative de connexion entre les deux zones n'est détectée, comme le signale ce message: No Traffic between them has been discovered.
Si une tentative de connexion réseau est détectée entre ces deux zones, le message change et devient Traffic between them has been discovered.x
Une règle d'application limite l'accès vers certains ports, protocoles ou services des membres d'une catégorie depuis une autre catégorie.
Cette règle n'est utilisable qu'avec une catégorie nommée Applications que l'on peut modifier mais pas supprimer.
Pour plus d'informations sur la gestion des catégories, reportez-vous à la section « Configuration des catégories » de ce guide.
Depuis le menu principal, cliquez sur Security Policies
dans le sous-menu Network & Security
.
Cliquez sur Create Security Policy
.
Sélectionnez Secure Application (App Policy)
et cliquez sur Create
.
Saisissez les champs Name pour le nom de de la règle, Purpose pour un commentaire, Secure this App en choisissant une catégorie existante d'applications et cliquez sur Next
.
Cliquez sur Add Source
à gauche.
Choisissez la catégorie
concernant le VLAN et cliquez sur Add
.
Cliquez sur +
pour relier l'application à la source.
Sélectionnez Select a Service
, choisir la catégorie dans Protocol/Service, recherchez le nom du service dans Port/Service Details et cliquez sur Save
.
Cliquez sur Next
.
Sélectionnez Enforce
et cliquez sur Save and Enforce
pour activer cette règle.
La règle créée se trouve dans la liste des règles.
Règles de sécurité de Nutanix FLOW
Échangez avec notre communauté d'utilisateurs sur https://community.ovh.com/.
N’hésitez pas à nous proposer des suggestions d’amélioration afin de faire évoluer cette documentation.
Images, contenu, structure… N’hésitez pas à nous dire pourquoi afin de la faire évoluer ensemble !
Vos demandes d’assistance ne seront pas traitées par ce formulaire. Pour cela, utilisez le formulaire "Créer un ticket" .
Merci beaucoup pour votre aide ! Vos retours seront étudiés au plus vite par nos équipes..
Accedez à votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.
Echanger sur OVHcloud Community