xiaoliangge - Fotolia
Nutanix en campagne pour démontrer son savoir-faire réseau
Après avoir intégré les couches techniques Flow et Xi Epoch à sa solution, Nutanix rencontre ses clients pour les convaincre de ses nouvelles capacités en matière de segmentation des applications.
De l’hyperconvergence avec du firewall, de la cartographie réseau et une meilleure intégration aux switches. Dans le cadre de son tour de France Next on Tour, Nutanix a profité de son étape parisienne pour présenter plus concrètement à ses clients ses derniers efforts en matière de réseau. Flow 1.0, le pare-feu applicatif intégré à sa solution Acropolis en novembre dernier, jouait d’ailleurs les vedettes sur plusieurs stands.
« Chez les premiers clients qui l’ont déployé, Flow adresse principalement la sécurité des applications Web, qui constituent le standard de fait parmi les développements actuels des entreprises », explique au MagIT Benjamin Attal, ingénieur système chez Nutanix.
« Il s’assure qu’une application, une VM, une base de données, ou quelque ressource que ce soit, ne soit atteignable que par le chemin logique défini par l’administrateur. Même si une base de données est sur la même plage d’adresses IP que d’autres machines virtuelles, même si on connaît son adresse, toute tentative d’y accéder autrement que par le moyen défini dans une règle - typiquement une application web en particulier - échouera. »
Segmenter le réseau au-delà des VLAN
Et de montrer combien il est simple de définir ces règles depuis Prism Central, la console d’administration qui supervise les différents clusters Nutanix en production : on choisit dans un menu ce que l’on peut faire ou pas en entrée, typiquement par protocole, idem en sortie, on sauvegarde pour obtenir un « tag » et il n’y a plus qu’à appliquer ce dernier à des applications, lesquelles sont incarnées par un pool de VM.
« L’intérêt de passer par des tags plutôt que de sécuriser directement les VM est que ces dernières sont éphémères. Ainsi, les règles de firewall applicatives sont conservées même lorsqu’il est nécessaire de déployer de nouvelles instances des VM », dit Benjamin Attal.
Il est tout à fait possible d’appliquer plusieurs tags par VM. Un opérateur qui héberge les VM de deux clients peut ainsi sécuriser facilement deux applications web identiques avec un même tag, mais empêcher qu’elles se voient en leur affectant un tag supplémentaire propre à leur propriétaire.
« Le gros intérêt de Flow est qu’il fonctionne non pas au niveau du réseau mais au niveau de notre hyperviseur AHV. Ainsi, les règles fonctionnent toujours même lorsque l’on remplace les switches physiques. Ce dispositif est donc bien plus simple que la méthode traditionnelle qui consiste à définir des VLAN pour segmenter les applications depuis les switches eux-mêmes », assure Benjamin Attal.
Il accepte néanmoins de reconnaître qu’il y a un défaut : ce dispositif très visuel n’a rien à voir avec les consoles habituelles des administrateurs réseau. Il dévoile néanmoins que Nutanix serait en train de plancher sur une interface avec la nomenclature classique (source-protocole-destination-filtrage) pour que les personnels généralement en charge des firewalls applicatifs retrouvent leurs petits.
Précisons que Flow est la réponse de Nutanix à la fonction de « micro-segmentation » qui fait tout l’intérêt du SDN NSX sur l’hyperviseur ESX de VMware. A priori, l’option payante Flow par-dessus l’hyperviseur AHV, gratuitement inclus dans les solutions Nutanix, coûterait bien moins cher qu’un NSX optionnel par-dessus un VMware ESX lui-même soumis à une licence supplémentaire. Il ne nous a cependant pas été possible d’obtenir une tarification claire.
Associer Flow et Xi Epoch pour sécuriser des applications tierces
La nouveauté est que Flow prend encore plus d’intérêt lorsqu’il est utilisé conjointement à Xi Epoch. Racheté il y a un an lorsqu’il s’appelait encore Netsil, Xi Epoch est une sonde réseau qui remplit les fonctions d’un APM. On installe son agent – un « collecteur » - dans chaque VM et moyennant la consommation de 1 % de sa puissance CPU, il analyse le trafic le trafic réseau au niveau du noyau de son OS, ce qui lui permet de déterminer quelles applications consomment quelle bande passante.
Ces métriques sont ensuite remontées à un tableau de bord central où s’affichent une cartographie des applications en cours d’exécution dans l’ensemble du cluster Nutanix, ainsi que des mesures de temps de communication entre chacune d’elles. Ces informations servent à savoir s’il faut ajouter plus de ressources – RAM, CPU, etc. – à telle ou telle application ; il est possible de programmer des alertes pour déclencher des processus quand un seuil est franchi. Enfin, la particularité de Xi Epoch est de monitorer le trafic sous les applications et non dedans, ce qui évite aux développeurs de devoir ajouter à chaque fois le module de la sonde dans leurs codes.
« L’avantage de faire fonctionner ensemble Flow et Xi Epoch est qu’il devient possible de sécuriser des applications dont on ignore complètement comment elles fonctionnent. C’est le cas typiquement de celles développées par un tiers. Ici, on peut définir un type de comportement à chercher (des flux de requêtes SQL, par exemple), demander à Xi Epoch de le calquer sur le trafic et, au bout d’un moment, la cartographie indique exactement où se trouve la base de données, comment elle communique avec l’applicatif, etc. », explique Benjamin Attal.
Selon les spécifications techniques publiées par Nutanix pour la dernière version 5.11 de son système Acropolis, Xi Epoch stocke encore ses relevés et exécute toujours son tableau de bord depuis un Cloud public, comme à l’époque où il servait à monitorer des applications sur AWS. On se doute néanmoins que Nutanix travaille à en faire une version qui fonctionne sur site, dans son cluster, voire intégrée à Prism. L’éditeur refuse de communiquer une échéance.
Précisons que Xi Epoch est facturé au nombre de collecteurs déployés.
S’interfacer avec les réseaux existants pour convaincre les entreprises
« Flow nous intéresse et nous sommes en train de le certifier sur nos déploiements 100 % Nutanix parce qu’il répond très bien aux enjeux de sécurité applicative », confie Nicolas Lacouture, responsable des partenariats stratégiques au sein d’Hardis, une ESN spécialisée dans la gestion informatique des entrepôts et que le MagIT a rencontrée dans le cadre de Next on Tour Paris.
« Néanmoins, il ne fonctionne qu’avec les applications hébergées sur des clusters Nutanix et n’adresse pas à tous nos besoins, puisque nous hébergeons dans nos datacenters des infrastructures très hétéroclites qui vont jusqu’aux systèmes AS400 ou Power d’IBM. Afin de privilégier une approche SDN, nous avons donc plutôt fait le choix d’une solution Big Switch Networks qui sécurise nos applications au travers de VLAN, et même de VXLAN lorsqu’elles fonctionnent à cheval entre plusieurs sites », pondère-t-il.
Même constat à l’INA. Son responsable de l’infrastructure, Franck Drey, est très enthousiaste sur la solution de Nutanix, qu’il a déployée en fin d’année dernière sur deux clusters de six nœuds chacun. Néanmoins il préfère encore continuer à sécuriser les applications de son réseau avec des VLAN contrôlées par le SDN de Cisco.
Nutanix aurait-il donc encore du chemin à parcourir avant de convaincre les entreprises françaises du bien fondé de ses jeunes technologies réseau ? Benjamin Attal rétorque que, au contraire, cette utilisation d’autres technologies répond tout à fait à la stratégie d’ouverture de Nutanix :
« D’une part, nous sommes très clairs sur le fait que Flow et même la couche Open vSwitch que nous utilisons pour le routage et les VLAN rendent des services de base. En sécurité, pour adresser des besoins de plus haut niveau, comme par exemple l’inspection du contenu des paquets, nous nous en remettons à des spécialistes du domaine, comme Palo Alto ou CheckPoint, avec qui nous avons validé des solutions. »
« D’autre part, nous travaillons justement avec Big Switch, mais aussi avec Arista ou encore Juniper, pour simplifier la configuration des VLAN dans leurs réseaux. Il suffit de créer les VLAN au niveau de Prism et leur existence est communiquée au fur et à mesure aux équipements contrôlés par Big Switch via le protocole OpenFlow », explique-t-il.
Toutefois, Hardis ne semble pas encore utiliser cette facilité. « Faire en sorte que les clusters Nutanix parlent directement au réseau Big Switch est un sujet que nous avons effectivement sur la table », conclut, diplomate, Nicolas Lacouture.