Configurer Nutanix Flow

Découvrez comment configurer et utiliser Nutanix Flow

Dernière mise à jour le 08/04/2022

Objectif

Nutanix Flow est disponible sur toutes les offres Hosted Private Cloud Powered by Nutanix. Cette option permet de sécuriser le réseau dans un ou plusieurs clusters gérés par Prism Central

Apprenez à utiliser Nutanix Flow pour la sécurisation du réseau au sein d'un cluster Nutanix.

OVHcloud vous met à disposition des services dont la configuration, la gestion et la responsabilité vous incombent. Il vous appartient donc de ce fait d’en assurer le bon fonctionnement.

Ce guide a pour but de vous accompagner au mieux sur des tâches courantes. Néanmoins, nous vous recommandons de faire appel à un prestataire spécialisé si vous éprouvez des difficultés ou des doutes concernant l’administration, l’utilisation ou la mise en place d’un service sur un serveur.

En pratique

Connectez-vous à Prism Central.

Pour vous connecter à un cluster Nutanix, au besoin, reportez-vous à la section « Aller plus loin » de ce guide.

Activation de Nutanix Flow

Cliquez sur l'engrenage en haut à droite pour modifier les paramètres.

Activate Flow 01

Cliquez sur Microsegmentation depuis la barre de défilement à gauche.

Activate Flow 02

Cochez la case Enable Microsegmentation et cliquez sur Save.

Activate Flow 03

La microsegmentation est activée. Il sera toujours possible de la désactiver.

Activate Flow 04

Configuration des catégories

Une catégorie est un objet qui peut contenir une ou plusieurs valeurs

Lors de l'installation d'un cluster, certaines catégories existent déjà et elles sont modifiables, d'autres catégories peuvent être ajoutées.

Les entités comme les machines virtuelles, les sous-réseaux ou les images, peuvent faire partie des catégories utilisées pour un outil comme Flow par exemple.

Création d'une catégorie

Depuis le menu principal, cliquez sur Categories dans le sous-menu Administration.

Create Category 01

Cliquez sur New Category.

Create Category 02

Saisissez le nom de la catégorie dans Name puis cliquez sur New value.

Create Category 03

Saisissez un nom dans Value et cliquez sur le bouton de validation bleu à droite.

Create Category 04

Cliquez sur Save.

Create Category 05

La nouvelle catégorie apparait dans la liste des catégories.

Create Category 06

Modification d'une catégorie

Sélectionnez la catégorie Special-Computers

Create Isolation Rule 02

Cliquez sur Update dans le menu Actions

Create Isolation Rule 03

Cliquez sur New value

Create Isolation Rule 04

Saisissez une valeur dans la colonne Value puis cliquez sur l'icône de validation.

Create Isolation Rule 05

Cliquez sur New value.

Create Isolation Rule 06

Saisissez une autre valeur dans la colonne Value puis cliquez sur l'icône de validation.

Create Isolation Rule 07

Cliquez sur Save pour valider la modification de la catégorie.

Create Isolation Rule 08

La catégorie est visible dans le tableau de bord des catégories avec ces deux nouvelles valeurs.

Create Isolation Rule 09

Affectation d'une catégorie à une machine virtuelle

Depuis le menu principal, cliquez sur VMs sous Compute & Storage.

Add VM to Category 01

Sélectionnez la machine virtuelle en cochant à gauche de celle-ci.

Add VM to Category 02

Cliquez sur Actions puis sur Manage Categories.

Add VM to Category 03

Saisissez nomdelacatégorie:valeur et cliquez sur le signe +.

Add VM to Category 04

Cliquez sur Save pour enregistrer la machine virtuelle dans une catégorie.

Add VM to Category 05

Affectation d'une catégorie à plusieurs machines virtuelles

Sélectionnez trois machines virtuelles en utilisant les cases à cocher à leurs gauches.

Add category to multi VMs 01

Cliquez sur le menu Actions et sélectionnez Manage Categories.

Add category to multi VMs 02

Saisissez nomdelacatégorie:valeur et cliquez sur +.

Add category to multi VMs 03

Cliquez sur Save.

Add category to multi VMs 04

Affectation d'une catégorie à des sous-réseaux

Depuis le menu principal, cliquez sur Subnets sous Network & Security.

Add Category to subnet 01

Sélectionnez les sous-réseaux en cochant à leur gauche.

Add Category to subnet 02

Cliquez sur le menu Actions et sélectionnez Manage Categories.

Add Category to subnet 03

Saisissez nomdelacatégorie:valeur et cliquez sur +.

Add Category to subnet 04

Cliquez sur Save.

Add Category to subnet 05

Gestion de la quarantaine réseau.

La quarantaine réseau permet d'isoler une machine virtuelle de l'ensemble du réseau ou de lui permettre un accès restreint à certains outils de réparations se trouvant sur le réseau.

Mise en quarantaine d'une VM

Depuis le menu principal et cliquez sur VMs sous Compute & Storage.

Add VM to Quarantine 01

Sélectionnez la machine virtuelle en cochant à gauche de celle-ci.

Add VM to Quarantine 02

Cliquez sur Actions et choisissez Quarantine VMs dans le menu.

Add VM to Quarantine 03

Sélectionnez Forensic dans quarantine Method puis cliquez sur Quarantine.

Add VM to Quarantine 04

La machine virtuelle est à présent en quarantaine.

Personnalisation de la quarantaine réseau.

Pour l'instant aucun blocage n'affecte la machine virtuelle en quarantaine. Suivez ces instructions pour configurer la quarantaine.

Depuis le menu principal, cliquez sur Security Policies dans le sous-menu Network & Security.

Configure Quarantine 01

Cliquez sur le numéro à coté de Quarantined pour afficher les machines virtuelles en quarantaine.

Configure Quarantine 02

La liste des machines virtuelles en quarantaine apparait dans la colonne Name. Cliquez sur Close pour revenir au menu précédent.

Configure Quarantine 03

Cliquez sur Quarantine en dessous de la colonne Name pour modifier la règle.

Configure Quarantine 04

Le statut de la règle est en mode Monitoring comme indiqué en haut à gauche.

Le trafic n'est pas bloqué mais surveillé. Les connexions entre les machines virtuelles mises en quarantaine et le reste du réseau sont représentés par des traits de couleurs orange reliés à des rectangles représentant l'adresse IP de la source ou de la destination.

Cliquez sur Enforce en haut à droite pour passer du mode Monitoring au mode Enforcing avec blocage du trafic.

Configure Quarantine 05

Saisissez ENFORCE et cliquez sur Confirm.

Configure Quarantine 06

Le statut de la règle est maintenant sur Enforced.

Le trafic est bloqué. Nous voyons les tentatives d'accès aux machines virtuelles en quarantaines via des lignes en pointillés rouges vers les blocs contenant l'adresse IP de la machine virtuelle.

Cliquez sur Update en haut à droite pour modifier la règle, afin d'autoriser certains flux réseaux.

Configure Quarantine 07

Cliquez sur Next.

Configure Quarantine 08

Positionnez la souris sur une tentative de connexion entrante et cliquez sur Allow Traffic

Configure Quarantine 09

Cochez la case à gauche de la Source pour sélectionner le trafic découvert entrant, puis cliquez sur Allow 1 Discovered Traffic pour n'autoriser que le trafic découvert comme par exemple ci-dessous le protocole ICMP.

Configure Quarantine 10

Positionez la souris sur une tentative de connexion sortante et cliquez sur Allow Traffic.

Configure Quarantine 11

Cochez la case à gauche de la Source pour sélectionner le trafic découvert sortant puis cliquez sur Allow 1 Discovered Traffic pour n'autoriser que le trafic découvert.

Configure Quarantine 12

Le trafic autorisé est maintenant visible par des lignes grises alors que le trafic bloqué est en rouge.

Pour créer une règle manuellement sans passer par la découverte du réseau, cliquez à gauche sur Add Source pour autoriser une connexion entrante vers la quarantaine.

Configure Quarantine 13

Saisissez le nom de la catégorie ainsi que sa valeur dans Add source by: Category puis cliquez sur Add.

Configure Quarantine 14

La source apparait dans Configured.

Cliquez sur + à gauche de Quarantine: Forensics.

Configure Quarantine 15

Autorisez tous le trafic et cliquez sur Save.

Configure Quarantine 16

Cliquez à droite sur Add Destination pour autoriser une règle sortante depuis la quarantaine.

Configure Quarantine 17

Saisissez le nom de la catégorie ainsi que sa valeur dans Add source by: Category, puis cliquez sur Add.

Configure Quarantine 18

Cliquez sur + à droite de Quarantine: Forensics.

Configure Quarantine 19

Autorisez tout le trafic et cliquez sur Save.

Configure Quarantine 20

Cliquez sur Next.

Configure Quarantine 21

Cliquez sur Save and Enforce pour appliquer les changements sur la règle de quarantaine.

Configure Quarantine 22

Cliquez sur Quarantine pour voir le détail de la règle de quarantaine.

Configure Quarantine 23

Le statut de la règle est sur Enforced, le mode Forensic a été personnalisé.

Une machine virtuelle placée en mode Strict sera totalement isolée du réseau alors qu'en mode Forensic elle aura accès aux zones définies dans la règle de quarantaine.

Configure Quarantine 24

Création d'une règle d'isolation

Une règle d'isolation permet le blocage des communications réseaux entre deux types de catégories (machines virtuelles ou sous-réseaux).

Pour plus d'informations sur la gestion des catégories, reportez-vous à la section « Configuration des catégories » de ce guide.

Depuis le menu principal, cliquez sur Securities Policies dans le sous-menu Network & Security.

Create Isolation Rule 03

Cliquez sur Create Security Policy.

Create Isolation Rule 04

Sélectionnez Isolate Environments (Isolation Policy) puis cliquez sur Create.

Create Isolation Rule 05

Saisissez le nom de la règle dans Name puis ajoutez un commentaire dans Purpose, choisissez une catégorie dans Isolate this category, suivi d'une autre catégorie dans From this category.

Sélectionnez Enforce dans Select a Policy mode, puis cliquez sur Save and Enforce.

Create Isolation Rule 06

La règle est active dans la liste des règles de sécurité.

Cliquez sur Le nom de la règle en dessous de la colonne Name pour voir le détail.

Create Isolation Rule 07

Le statut de la règle indique Enforced et on peut voir qu'aucune tentative de connexion entre les deux zones n'est détectée, comme le signale ce message: No Traffic between them has been discovered.

Create Isolation Rule 08

Si une tentative de connexion réseau est détectée entre ces deux zones, le message change et devient Traffic between them has been discovered.x

Create Isolation Rule 09

Mise en place d'une règle d'application.

Une règle d'application limite l'accès vers certains ports, protocoles ou services des membres d'une catégorie depuis une autre catégorie.

Cette règle n'est utilisable qu'avec une catégorie nommée Applications que l'on peut modifier mais pas supprimer.

Pour plus d'informations sur la gestion des catégories, reportez-vous à la section « Configuration des catégories » de ce guide.

Depuis le menu principal, cliquez sur Security Policies dans le sous-menu Network & Security.

Create Application Rule 01

Cliquez sur Create Security Policy.

Create Application Rule 02

Sélectionnez Secure Application (App Policy) et cliquez sur Create.

Create Application Rule 03

Saisissez les champs Name pour le nom de de la règle, Purpose pour un commentaire, Secure this App en choisissant une catégorie existante d'applications et cliquez sur Next.

Create Application Rule 04

Cliquez sur Add Source à gauche.

Create Application Rule 05

Choisissez la catégorie concernant le VLAN et cliquez sur Add.

Create Application Rule 06

Cliquez sur + pour relier l'application à la source.

Create Application Rule 07

Sélectionnez Select a Service , choisir la catégorie dans Protocol/Service, recherchez le nom du service dans Port/Service Details et cliquez sur Save.

Create Application Rule 08

Cliquez sur Next.

Create Application Rule 09

Sélectionnez Enforce et cliquez sur Save and Enforce pour activer cette règle.

Create Application Rule 10

La règle créée se trouve dans la liste des règles.

Create Application Rule 11

Aller plus loin

Hyper-convergence Nutanix

Présentation de Nutanix FLOW

Règles de sécurité de Nutanix FLOW

Catégories dans Nutanix

Échangez avec notre communauté d'utilisateurs sur https://community.ovh.com/.


Cette documentation vous a-t-elle été utile ?

N’hésitez pas à nous proposer des suggestions d’amélioration afin de faire évoluer cette documentation.

Images, contenu, structure… N’hésitez pas à nous dire pourquoi afin de la faire évoluer ensemble !

Vos demandes d’assistance ne seront pas traitées par ce formulaire. Pour cela, utilisez le formulaire "Créer un ticket" .

Merci beaucoup pour votre aide ! Vos retours seront étudiés au plus vite par nos équipes..


Ces guides pourraient également vous intéresser...

OVHcloud Community

Accedez à votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.

Echanger sur OVHcloud Community