Cette article est de la catégorie Services et du dossier CloudServices d'infrastructure

Virtual Private Cloud: test de résistance réussi

Le sous-projet VPC permet d’intégrer des machines virtuelles dans les réseaux des hautes écoles. Les résultats des premiers tests sont positifs.

Texte: Patrik Schnellmann, publié le 24.11.2016

SWITCHengines, un service de SWITCH, propose aux hautes écoles des ressources informatiques disponibles à brève échéance. Ce système permet de gérer la facturation pour les projets de recherche, mais est également utile en cas de surcharges administratives, comme en période d’inscriptions semestrielles. Par ailleurs, SWITCHengines est un système fonctionnant en parfaite indépendance du centre informatique de la haute école, ce qui permet d’offrir en même temps une redondance supplémentaire. Comme nous l’avions déjà signalé dans un précédent rapport, le projet Virtual Private Cloud (VPC) cible ces deux exigences en matière de services Internet, d’une grande aide pour les hautes écoles . Ainsi, au lieu d’investir dans un centre informatique plus important, la HES de St-Gall a voulu s’assurer un appui supplémentaire de la part de SWITCHengines pour certains de ses services.

Voici quelques exemples:

  • Un site Web (sur WordPress)
  • Un système CRM (Domino Application Server)
  • Un répertoire et DNS (Active Directory Server)
  • Un service de surveillance (PRTG)

Ces services se trouvent typiquement dans une "zone démilitarisée" (DMZ) et sont protégés du monde extérieur par un pare-feu. C’est aussi le cas à la HES de St-Gall: les services utilisent des systèmes internes et synchronisent leurs données pour une exploitation redondante dans un cluster. Les systèmes fonctionnant sur SWITCHengines doivent donc être opérationnels virtuellement sur le réseau de la HES de St-Gall, tout en étant dotés de leurs propres adresses IPv4.

Solutions

Comment pourrait-on utiliser une partie des ressources sur SWITCHengines en tant que cloud virtuel, de manière à ce que l’utilisateur ait l’impression de se trouver sur le service réseau de l’université? Pour mener à bien ce projet, les ingénieurs de SWITCH ont testé différentes approches:

  1. Le projet "Virtual Private Network (VPN) as a service" des logiciels cloud OpenStack;
  2. L’installation d’un point terminal VPN sur une machine virtuelle (VM) de SWITCHengines;
  3. Le hardware spécifique nécessaire pour le tunnel entre le réseau du campus et le site de SWITCHengines.

Chez SWITCH, nous avons opté pour la troisième solution. Un des éléments essentiels de cette variante repose sur un PC basé sur un processeur Intel ("ALX-Box", voir encadré) qui peut être installé dans l’armoire de réseau. Les raisons suivantes ont pesé dans le choix final. Premièrement, cette solution permet d’intégrer simplement plusieurs machines virtuelles dans le réseau du campus. Deuxièmement, l’ALX-Box peut être exploitée comme appliance, ce qui permet à SWITCH de s’occuper de la maintenance lorsque c’est nécessaire. Troisièmement, cette solution offre les meilleures performances réseau.

Installation de la solution VPC

Pour la mise en œuvre de cette solution, nous avons installé deux ALX-Box, une à la HES de St-Gall et une autre au siège de SWITCH à Zurich. Le trafic réseau entre le site du client et SWITCHengines se fait par IP (tunnel layer 2). Du côté de SWITCHengines, le trafic réseau doit être transmis vers les bonnes machines virtuelles, ce qui a nécessité des adaptations sur l’infrastructure OpenStack. Les réseaux virtuels y ont été construits et établis de telle sorte que la HES de St-Gall puisse configurer sur les machines virtuelles de SWITCHengines des adresses IP issues d’un domaine de réseau qu’elle a choisi. Le domaine de réseau correspondant est disponible uniquement pour les machines virtuelles de la HES de St-Gall, dans leur "Tenant network" (voir schéma). A l’heure actuelle, la solution assure une connexion de type layer 3. Par conséquent, la configuration d’un domaine de réseau correspondant pour le routage et sur le pare-feu est nécessaire du côté du client. L’ALX-Box de la HES de St-Gall a été connectée au SWITCHlan-border-router et au réseau interne (DMZ).

Initial acid test passed

Once constructed, the solution had to prove itself in productive operation. A machine was initiated from the existing Domino Web Server cluster, set up as a VM on SWITCHengines and run with an FHS St. Gallen IP address. The first results were positive. It was possible to address the system as desired using the FHS St. Gallen address.

Outlook for 2017

Further development of the current solution will focus on stability and performance, which need to be improved. As regards functionality, the restriction to Layer 3 will be removed, reducing the number of configuration steps on the customer side. At SWITCH, we are intending to implement additional use cases together with customers next year with a view to extending the SWITCHengines service offering in 2018.

L'auteur
Patrik   Schnellmann

Patrik Schnellmann

Patrik Schnellmann travaille chez SWITCH comme Cloud Project Manager. Il détient un Master of Sciences in Computer Sciences et un Master of Advanced Studies in Management, Technology, and Economics de l'EPF de ETH Zurich. Avant de venir chez SWITCH en 2004, il a gagné de l'expérience en économie financière et dans l'administration fédérale.

E-mail

About SCALE-UP, VPC und SWITCHengines

Virtual Private Cloud (VPC) is a work package in the SCALE-UP project (Link), which is being carried out as part of the swissuniversities SUC P-2 programme. VPC is headed by Tom Schönenberger, Head of IT at FHS St. Gallen. The aim of SCALE-UP is to provide academic cloud services. The SWITCH academic cloud is based on the SWITCHengines service, which offers virtual machines and storage.

Solution avec l’ALX-Box

ALX-Box signifie Agile Lan eXtender.

Hardware
  • Plusieurs interfaces 1GE
  • Typiquement 1 interface GE pour IPMI et accès
  • 2 x 10 GE
  • 1 x socket CPU: Intel Xeon 4 Core
  • Alimentation électrique redondante
Software
  • NixOS: distribution Linux légère
  • Snabb: Toolkit développé en langage Lua, pour un réseau rapide en espace utilisateur.
  • l2vpn: VPN layer 2 (application Snabb)
  • ALX (Agile LAN eXtender), auteur: Alexander Gall, SWITCH
Prérequis pour l’utilisation de l’ALX-Box

Les conditions suivantes doivent être remplies pour l’installation du point terminal du tunnel à la HES:

  • Une connectivité IPv6 doit exister (donnée par SWITCHlan-border-router ).
  • La MTU sur le routeur est >> 1500 octets
Autres articles