Accueil

Multitenance VPC NSX pour cloud privé moderne

Une approche moderne de la réseautique infonuagique privée qui offre une multitenance sécurisée, une efficacité opérationnelle et une flexibilité semblable à celle du nuage avec les NSX VPC.
8 min de lecture
Nisheeth Khemka
Nisheeth Khemka
Consultant principal, centre d’excellence Data Center défini par logiciel, Services infonuagiques hybrides, HCLTech
8 min de lecture
Multitenance NSX VPC pour un nuage privé moderne

Multilocation (multitenancy) utilisant les projets d’extension des services réseau et le nuage privé virtuel : Un modèle de réseautage moderne

À mesure que les nuages privés évoluent pour soutenir diverses unités d’affaires, partenaires et applications, la multilocation (multitenancy) est devenue une exigence architecturale fondamentale. Les approches traditionnelles basées sur les VLAN, les passerelles Tier-0/Tier-1 partagées et des ensembles de règles de pare-feu étendus peinent souvent à offrir l’isolation, l’évolutivité et l’efficacité opérationnelle requises pour les charges de travail modernes.

Avec l’ (NSX), la multilocation (multitenancy) a franchi une étape importante grâce à l’introduction de nuages privés virtuels (VPC) et de projets. Ensemble, ces fonctionnalités offrent un modèle de consommation type nuage au sein du centre de données, reflétant les structures de nuage public comme les VPC AWS et les réseaux virtuels Azure.

Ce blogue explique comment les VPC et les projets NSX permettent une multilocation sécurisée, évolutive et efficace sur le plan opérationnel, et pourquoi ils représentent l’avenir du réseautage des nuages privés.

Défis liés aux conceptions traditionnelles de multilocation NSX

Avant l’arrivée des VPC, la multilocation basée sur NSX reposait généralement sur des passerelles Tier‑0 partagées, des passerelles Tier‑1 par locataire, des segments logiques par application, des ensembles de règles de pare-feu distribués (DFW) pour l’isolation et un RBAC appliqué au niveau global vCenter/NSX.

Bien que fonctionnel, le modèle précédent présentait plusieurs limitations. Les domaines de routage partagés réduisent l’isolation entre locataires et augmentent le rayon d’impact. La complexité opérationnelle était élevée, les équipes centrales étant responsables de la création et la gestion de toutes les structures réseau, ce qui entraînait un faible libre-service et une forte dépendance envers les administrateurs. À mesure que les environnements prenaient de l’expansion, les règles de pare-feu distribué devenaient de plus en plus complexes, ce qui les rendait difficiles à gérer et à vérifier. Bien que fonctionnel, ce modèle précédent présentait plusieurs limitations. Les VPC et projets NSX éliminent ces restrictions en redéfinissant la façon dont les locataires consomment les services réseau.

Qu’est-ce qu’un nuage privé virtuel (VPC) NSX ?

Un VPC NSX est un domaine réseau isolé logiquement qui offre aux locataires un espace d’adresses IP dédié, un domaine de routage, des segments, ainsi que des frontières de NAT et de pare-feu.

Conceptuellement, un VPC NSX est semblable à un VPC de nuage public, mais entièrement mis en œuvre dans NSX.

Les VPC NSX sont construits sur une passerelle fournisseur. Ils sont entièrement isolés des autres VPC par défaut, tout en prenant en charge les sous-réseaux privés et publics, permettant la mise en œuvre du NAT et du routage au niveau du locataire et s’intégrant nativement au pare-feu distribué NSX.

Chaque VPC fonctionne comme un environnement réseau autonome, propre au locataire.

Passerelles fournisseurs : La couche de fondation

Au cœur de l’architecture VPC se trouve la passerelle fournisseur, qui constitue la couche de connectivité partagée.

Qu’est-ce qu’une passerelle fournisseur ?

Une passerelle fournisseur est une structure appuyée sur Tier-0 qui connecte plusieurs VPC à des réseaux externes, applique les politiques de connectivité nord–sud et agit comme une structure de base partagée pour les locataires. Contrairement aux conceptions partagées Tier‑0 antérieures, les passerelles fournisseurs offrent aux équipes d’infrastructure un contrôle total sans exposer la complexité du réseau central aux locataires, ce qui leur permet de fonctionner de façon autonome à l’intérieur de leurs VPC.

Projets : couche de gouvernance et de consommation

Alors que les VPC fournissent l’isolation du réseau, les projets définissent les frontières organisationnelles et de gouvernance.

Qu’est-ce qu’un projet NSX ?

Un projet NSX est un conteneur logique qui regroupe un ou plusieurs VPC, des politiques, des quotas et des permissions RBAC.

Les projets définissent qui peut créer quoi et combien ils peuvent consommer. Ils permettent :

  • Contrôle d'accès basé sur les rôles propre aux locataires, permettant aux locataires d’administrer uniquement leurs propres ressources
  • Application de quotas, contrôlant la consommation (VPC, segments, règles NAT, blocs IP)
  • Administration déléguée, offrant un libre-service contrôlé par le locataire à l’intérieur de balises de sécurité

Gestion complète du cycle de vie, permettant la création, la modification et la suppression propres des environnements. Cette séparation garantit que les opérateurs réseau se concentrent sur l’infrastructure, tandis que les locataires se concentrent sur les applications.

Sous-réseaux VPC et modèles de trafic

Dans un VPC, les locataires peuvent créer des sous-réseaux qui correspondent à des segments logiques, y compris des sous-réseaux privés sans connectivité externe directe généralement utilisés pour les services de soutien et des sous-réseaux publics qui offrent un accès NATé ou routé aux réseaux externes et conviennent aux charges de travail en frontal.

Le modèle de trafic distingue les flux de trafic est–ouest et nord–sud. Le trafic est–ouest est entièrement distribué à l’aide du pare-feu distribué NSX, offrant une haute performance et une faible latence sans points d’étranglement centralisés. Le trafic nord–sud est contrôlé par l’entremise de la passerelle de fournisseur, où des règles NAT et de pare-feu propres au VPC sont appliquées. Cette approche garantit une séparation claire et une gestion contrôlée du trafic des locataires. 

Sécurité et isolement

La sécurité est un atout central de la multilocation basée sur NSX VPC. Le pare-feu distribué (DFW) est appliqué à l’interface de la VM ou de la charge de travail, permettant des politiques propres au locataire et une segmentation zéro confiance à l’intérieur de chaque VPC. Des frontières d’isolement solides garantissent que les VPC ne peuvent ni voir ni router entre eux à moins que ce ne soit expressément permis, tandis que les projets imposent une séparation administrative. L’accès externe est centralisé par la passerelle de fournisseur, ce qui aboutit à un modèle d’isolement à plusieurs couches qui réduit considérablement les risques opérationnels et de sécurité.

Architecture multiclient avec projets NSX et VPC

Architecture multiclient avec projets NSX et VPC

Ce schéma représente une architecture de réseautage infonuagique privé multiclient où plusieurs VPC de locataires (locataire-1 et locataire-2) se connectent à des réseaux externes par l’entremise d’une passerelle Tier‑0 gérée par le fournisseur. Chaque locataire dispose de sa propre passerelle de transit dédiée (C‑TGW) pour isoler le routage et appliquer la multilocation.

Chaque locataire illustré ici possède plusieurs VPC (VPC-1 à VPC-4), chacun avec une passerelle VPC dédiée et des sous-réseaux privés ou publics.

Bénéfices opérationnels pour les équipes plateformes

D’un point de vue infrastructurel, les VPC et projets NSX offrent des avantages opérationnels significatifs. Ils réduisent le fardeau de la configuration, permettent une séparation claire des responsabilités et simplifient le dépannage, les audits et la conformité. L’intégration évolutive des locataires est facilitée en permettant aux équipes plateformes de définir des plans réseaux standardisés au lieu de construire des conceptions sur mesure pour chaque locataire. 

Cas d’utilisation client

Les VPC et projets NSX conviennent parfaitement aux nuages privés d’entreprise, aux fournisseurs de services et aux grandes organisations comptant plusieurs unités commerciales. Ils sont également bien adaptés aux environnements Dev/Test et multi-environnements, ainsi qu’aux environnements réglementés nécessitant un isolement strict et de solides contrôles de gouvernance. 

Conclusion

Les VPC et projets NSX représentent une avancée majeure en réseautique infonuagique privée. En masquant la complexité sous-jacente, en offrant une isolation robuste et en facilitant le libre-service à l’intérieur de paramètres définis, ces solutions intègrent les modèles opérationnels du nuage public au centre de données.

Pour les organisations modernisant leur infrastructure ou bâtissant des plateformes infonuagiques internes, l’adoption de la multilocation basée sur NSX VPC est une étape clé. À mesure que les nuages privés s’alignent sur les paradigmes du nuage public, les VPC et projets NSX offrent un cadre sécurisé, évolutif et prêt pour l’avenir en matière de multilocation.

Related Contenu

Fondation numérique
Protection des données propulsée par l’IA générative : renforcer la cybersécurité des entreprises modernes
En savoir plus
Fondation numérique
Redéfinir les exigences de stockage pour le calcul haute performance (HPC) doté d’IA
En savoir plus
Fondation numérique
Au-delà de la puissance : Pourquoi l'efficacité de l'eau devient la prochaine grande mesure des centres de données
En savoir plus
Etiquettes
Infrastructure hybride
Cloud hybride
Partager sur
copy-link Copier le lien copié!
DFS Fondation numérique Blogues Multitenance VPC NSX pour cloud privé moderne