Blog des réseaux LAN WAN WIFI MPLS SDN Communications Unifiées Téléphonie Firewall VPN Virtualisation de Alain FAURE [audit informatique et audit reseau]
Workspace One est un des produits mis en valeur par Vmware pour ses 20ans.
La philosophie de VMware est de se consacrer à la prise en charge d’applications du serveur au poste de travail et c’est ce qu’il entend faire avec Workspace One.
Quand VMware parle de poste de travail il s’agit en fait de tout type de périphérique : smartphone Android, iPhone, tablette, PC desktop ou laptop en mode static ou mobile.
Workspace One permet à l’employé d’utiliser selon les besoins de ses responsabilités des applications dont le déploiement est centralisé. Bien entendu selon les politiques d’utilisation, d’authentification (avec LDAP par exemple), l’organisation peut attribuer et restreindre les possibilités d’accès à telle ou telle fonctionnalité.
L’utilisateur dispose alors d’un véritable catalogue d’applications disponibles selon des contraintes d’accès implémentées grâce à la double contrainte d’accès qu’est ‘l’accès conditionnel’ :
Validation des caractéristiques du poste client (Compliance Check)
Puis identification proprement dite
Cela va être utile pour valider techniquement la distribution d’applications vers des mobiles (Android, iPhone) selon leurs capacités techniques.
Workspace One est prévu pour supporter :
les tunnels VPN
les applications Cloud internes
les applications Web interne
les applications en mode SaaS
les applications actuelles et legacy Windows
Les utilisateurs peuvent voir leur expérience utilisateur enrichie par l’intégration des fonctionnalités suivantes :
VMware Identity Manager
VMware AirWatch Enterprise Mobility Management Suite
Horizon Air
Pour finir, j’aimerai aussi rappeler que VMware fait un effort particulier pour produire de la documentation en langue Française et cela mérite d’être soutenu.
Vous pouvez lire la FAQ en Français et la Datasheet aussi en Français.
VMware fait aussi un effort important en terme de documentation disponible au public. Donc, pour en savoir plus, je vous conseille de puiser dans ce document (in english).
Parmi les nouveautés mises en valeur pour les 20 ans de VMware, il y a son travail avec la technologie blockchain.
Pour VMware la technologie de la blockchain est utilisé comme un protocole de consensus et des contrats intelligents. La blockchain n’est pas seulement un outil pour le Bitcoin.
Concord-bft est une libraire de machine d’état générique. Cette librairie permet de prendre en compte le problème dit des ‘généraux byzantins’ (*).
Elle doit aussi permettre d’être une des pièces principales pour la réplication des bases de données réparties et est aussi une base pour mettre en œuvre les systèmes de blockchain.
(*) Le problème des généraux byzantins peut être expliqué comme cela (c’est une simplification approximative) :
Cinq généraux byzantins particulièrement retords sont plus préoccupés par leur carrière politique que par la victoire sur leurs ennemis. Pour ce faire, ils n’hésitent pas à falsifier, à inventer ou à cacher les ordres qu’ils se communiquent entre eux.
Mais pour gagner, ils doivent se mettre d’accord et donc décider à la majorité d’une stratégie commune (attaque à droite, attaque à gauche ou attaque au centre) et sans ambiguïté sur le contenu. Les informations doivent être aussi communiquées de façon fiable.
Chaque général doit communiquer sa décision aux autres généraux qui font une liste des 4 réponses reçues.
Chaque général inclus sa propre décision, puis ils envoient chacun leur liste à tous les autres qui peuvent comparer. Chaque général a maintenant les 4 listes et la sienne propre.
Chaque général peut faire une moyenne des décisions de chaque autre général et donc calculer la moyenne totale étant le consensus d’attaque majoritaire.
Le consensus final est le plus vraisemblable.
J’avais réalisé une série d’articles sur mon blog à propos de NSX de VMware (suite au salon VMworld), je vais parler maintenant de NSX-T et cela nous mènera vers l’offre VMware autour de Kubernetes dans le monde des containers et des PODs. De tout cela il a été question lors du Evolve 2018 à Paris.
NSX-T est en effet une série d’APIs permettant au logiciel de contrôler les réseaux (des couches 2 à 7 du modèle OSI). C’est à dire qu’il est possible de piloter par logiciel un switch virtuel, un routeur virtuel voire un répartiteur de charge, c’est ce dernier que nous allons voir dans cet article.
Actuellement (juin 2018) la version 2.2 qui est la version courante. On ne peut plus courante car je me base sur l’édition du 5 juin 2018 du guide d’installation. [NSX-T Installation Guide].
On notera que les besoins matériels sont de 4 CPU et 16GoRAM pour l’hyperviseur. Mais je vous laisse regarder les recommandations système dans la documentation VMware.
Dans NSX-T le répartiteur de charge s’appelle le ‘Logical Load Balancer’.
Ce répartiteur de charge a deux fonctions :
Répartir une charge applicative entre plusieurs serveurs
Assurer une haute disponibilité en cas de perte de serveurs
Les protocoles adressés par ce répartiteur de charge sont :
couche 4 OSI :TCP, UDP
couche 7 OSI :HTTP, HTTPS
Le répartiteur de charge est composé de serveurs virtuels, de groupe de serveurs et d’outils de surveillance d’état.
La surveillance d’état permet de savoir si un serveur est disponible, dans le cas contraire le répartiteur de charge peut supprimer le serveur du groupe des serveurs ‘up’. La surveillance est réalisée par un ‘moniteur actif’(HTTP, HTTPS, TCP, UDP, ICMP et ‘moniteur passif’). Les requêtes HTTP peuvent être des requêtes complexes. La réponse du serveur testé doit arriver dans un temps donné et sans erreur. Il y a un outil de surveillance d’état par groupe de serveur ‘server pool’. L’ors d’une interrogation HTTP, les paramètres possibles sont les suivants :
Méthode HTTP
Paramètre URL d’une Requête
Paramètre de la version d’une Requête
Paramètre ‘body’ d’une Requête
Paramètre ‘Code’ d’une Réponse (ce peut être les classiques 404,200 etc.)
Paramètre ‘Body’ d’une Réponse
Il existe aussi la surveillance passive ‘Passive Health Monitor’ qui se fait lors des requêtes clients. Si la réponse n’est pas dans les temps ou avec une erreur, le serveur peut être marqué comme ‘hors service’.
Le répartiteur de charge peut être organisé en deux architectures :
Topologie ‘INLINE’
Le LoadBalancer se trouve sur le trajet entre le client et le serveur, c’est une topologie classique. Le client et le serveur n’ont pas besoin de se trouver sur le même routeur Tier-1. Et il n’y a pas besoin de serveur virtuel SNAT.
Topologie ‘One-ARM’
Dans ce mode le répartiteur de charge, ne se trouve pas entre le client et le serveur. Ils peuvent être n’importe où. Ce mode nécessite un serveur SNAT ‘Source NAT’ pour forcer le trafic retour vers le client par le chemin qu’il a utilisé à l’aller.
Une petite vidéo sur le concept SNAT ‘Source NAT’
Enfin une autre fonctionnalité qui permet de décharger le serveur des calculs de sécurité: les ‘profil SSL’. Cela permet d’avoir des profils SSL indépendants des applications. C’est typiquement le cas de l’architecture en ‘SSL offloading’ HTTPS du client vers le serveur virtuel du load balancer et http du serveur virtuel vers le serveur applicatif.
C’est différent dans l’architecture ‘end-to-end SSL’ ou la communication est HTTPS de bout en bout, c’est à dire client vers serveur applicatif.
Il faut noter que ‘SSL-terminate-mode’ et ‘SSL-proxy-mode’ ne sont pas supportés sur la version limitée à l’exportation de NSX-T 2.2.
Il peut y avoir deux type de serveur virtuel dans le load balancer :
couche 4 OSI
couche 7 OSI
Un serveur virtuel sert de relais entre le flux applicatif arrivant du client et ce même flux partant vers un serveur applicatif réel. Un serveur virtuel a une adresse IP, un port et un protocole de définis. Pour un serveur de niveau 4, un range d’adresses peut être défini ce qui est utile dans le cas de protocoles dynamiques dans l’attribution des numéros de port.
Un serveur virtuel doit être associé à un groupe de serveur.
Les serveurs de couche 7 OSI sont basés sur le protocole TCP / HTTP. Mais il y a des règles définissant le comportement de la répartition de charge. Dans ce cadre seront utilisées les expressions régulières.
Cette année, VMware a organisé sa session ELVOVE 2018 à Paris dans un cadre original de l’Eléphant Paname situé entre Opéra et place Vendôme à Paris.
Voici quelques infos entendues lors de cet événement.
Sur les 2500 providers de Cloud en Europe, environ 500 se situent en Europe du sud.
On note en France un besoin de proximité, c’est à dire une préférence pour que le Datacenter soit situé sur le territoire national.
Pour ce qui concerne les applications critiques, on estime que 5 % sont dans les Datacenters des clients. Pour les applications plus classiques se sont les 2 tiers.
Les petits acteurs du Cloud présentent deux facteurs qui intéressent leurs clients :
la proximité ‘à une distance de voiture’ (mais aussi pour des besoins réglementaires)
la réactivité et accompagnement technique
Invité par VMware, Christophe LESUR présente la société Cloud Temple qui est un de ces provider de proximité.
Cloud Temple fourni de l’infrastructure Cloud pour ses clients en mode industriel.
Ses clients ont des besoins particuliers, comme la ‘nuit applicative’ c’est à dire le besoin de transport (départ de camion) à 4 heures du matin.
Le maître mot est automatisation, car la sécurité est un élément majeur de leur proposition en plus d’avoir des prix compétitifs.
Il existe donc un marché très vivant de providers de Cloud locaux qui est adressé de façon volontaire par VMware. J’aurais l’occasion de revenir sur d’autres sujets techniques évoqués lors de cette réunion par la suite.
L’intérêt du DECT se maintient au fil des années. Il y a toujours besoin de ce type de solution pour connecter des employés sur un chantier ou dans un entrepôt. Voici donc le Spectralink DECT Server 8000, construit autour d’une distribution Linux.
Un serveur Spectralink DECT est composé d’une carte CPU (avec ou sans option de lien). Il est possible de lier jusqu’à 8 stations DECT ensemble. Nombre de carte d’interface dans un système lié : 64 .
Au niveau utilisateur, il permet d’avoir 4095 combiné Spectralink enregistrés avec 1024 appels simultanés.
Pour les stations DECT:
Stations de base Spectralink IP-DECT : 512
Répéteurs Spectralink DECT: 3 par station de base
Stations de base Spectralink IP-DECT: 1024 (occupe deux canaux sur la carte de ressource média)
Codecs :
G711a/u
G726 (32kbps – 4bits ADPCM)
Appels simultanés par Media Resource (G.711 & G. 726) : 32
Pour en savoir plus vous pouvez voir leur site ici.
Dans les offres de support pour audio-conférence, il y les bornes Cisco d’audio-conférence. Bien que Cisco mette clairement l’accent sur la vidéo-conférence. Présentés au CLEUR 2018, il y avait le 7832.
Parmis les principales caractéristiques, on peut noter:
Prévu pour 6 participants.
Codec : G.711(u/A), G.729a, G.729ab, iLBC, G.722, and OPUS
IEEE PoE Class 2. The phone is compatible with both IEEE 802.3af and 802.3at
Mais je vous propose de lire la description plus complète, Ici.
Depuis la version 6.3.0 dont nous avions parlé, il y a un certain nombre de changements, avec pour la dernière version (6.5.0) la prise en compte de la nouvelle version de CUCM (version 12) ainsi que du serveur de présence IM&P (de la même version), CUC est en cours d’adaptation.
Voyons un peu l’historique
Avec la version 6.3.1, Kurmi a ajouté des interfaces graphiques pour faciliter la configuration et la personnalisation de produit, comme par exemple un éditeur graphique pour implémenter des workflow de déploiement.
Dans un parc déjà déployé, Kurmi permet, grâce ses fonctionnalités dites d’ «inférence», lors de son installation, d’importer les utilisateurs mais également de les rattacher à un «profil d’utilisateur» et de suggérer une remise à niveau de la configuration si nécessaire.
Avec la version 6.4.0, la documentation est intégrée directement au produit (comme avec l’interface admin du CUCM) en la passant en HTML. Le manuel utilisateur est disponible en passant par le menu de documentation.
De nombreux efforts on été fait tout au long de ces développements pour favoriser l’industrialisation et les déploiements sur un grand nombre d’entités. Par exemple, Il est aussi possible de tenir compte de la langue d’un utilisateur ou d’un groupe d’utilisateur. Il devient aussi possible de regrouper des règles par lots.
Je décrirais plus cette nouvelle version dans un prochain post mais en attendant, vous pouvez obtenir plus d’informations sur le site de Kurmi, Ici.
