Qu'est-ce qu'un dispositif VRA ?

IBM Cloud® Virtual Router Appliance (VRA) permet à un client IBM Cloud® de router de manière sélective le trafic réseau privé et public via un routeur d'entreprise doté de fonctions complètes avec pare-feu, régulation de flux, routage basé sur des règles, VPN et un hôte avec d'autres fonctions. Toutes les fonctions VRA sont gérées par les clients. VRA accorde à un client IBM Cloud un degré de contrôle normalement réservé pour les réseaux sur site.

Qu'est-ce qu'un dispositif de passerelle ?

Un dispositif de passerelle vous permet d'utiliser le portail Web ou l'API pour choisir des segments de réseau (VLAN) à router via VRA. Vous pouvez modifier les sélections de réseaux locaux virtuels (VLAN) à tout moment. Le dispositif de passerelle traite également la haute disponibilité (HA) de VRA en configurant un deuxième dispositif VRA qui prendra le relais en cas de défaillance du premier.

Je vois parfois des références à des termes, tels que "Vyatta" et "vRouter." Quel est leur lien avec VRA ?

Vyatta était un logiciel de routeur PC à source ouverte qui est devenu une source fermée. Aujourd'hui, "Vyatta" et "Vyatta OS" désignent des adaptations logicielles commerciales dérivées de ce projet à source fermée. IBM VRA incorpore des éléments de Vyatta OS ainsi que des améliorations substantielles de fonctions et de services disponibles exclusivement via IBM Cloud.

"vRouter" est une autre appellation de Vyatta créée par son ancien propriétaire mais qui n'a pas duré. Si vous la rencontrez dans la documentation, vous pouvez la considérer comme un synonyme de Vyatta.

Vyatta 5400 est-il toujours pris en charge ?

IBM ne prend plus en charge le Vyatta 5400 à compter du 31 mars 2019.

Quelles sont les améliorations d'IBM Cloud® Virtual Router Appliance (Vyatta 5600) par rapport à Vyatta 5400 ?

Vyatta 5600 offre les améliorations suivantes par rapport à Vyatta 5400 :

• Un débit plus rapide jusqu'à 10 Gbit/s par coeur d'UC
• Un débit au moins trois fois plus important par session VPN IPsec (normes AES (Advanced Encryption Standards))
• Une capacité accrue pour les routeurs, les flux et les connexions simultanées
• Un support de norme mis à jour comprenant Layer 2 Tunneling Protocol, Version 3 (L2TPv3), Internet Key Exchange, Version 2 (IKEv2), Secure Hash Algorithm 2 (SHA-2), et l'encapsulation 802.1Q tunneling (Q-in-Q)

Qu'en est-il de l'offre AT&T vRouter 5600 ?

AT&T (anciennement Brocade) a annoncé la fin de vie et la fin de support de son offre Brocade vRouter 5600. Bien que Brocade vRouter 5600 fournisse la capacité technologique sous-jacente d'IBM Cloud® Virtual Router Appliance, cette annonce ne s'applique pas aux clients IBM. Les clients IBM continueront de bénéficier du support avec cette nouvelle offre.

Comment VRA est-il distribué ?

Vous pouvez obtenir un VRA en commandant une passerelle réseau. Vous pouvez choisir un centre de données et un serveur VRA approprié, et spécifier si vous souhaitez déployer une paire de VRA en mode HA. Les serveurs, les systèmes d'exploitation et le dispositif de passerelle sont mis à disposition automatiquement. Une fois qu'ils ont été mis à disposition, vous pouvez utiliser l'interface du dispositif de passerelle pour router les réseaux locaux virtuels (VLAN) via le dispositif VRA. Vous pouvez configurer votre serveur VRA directement à l'aide de SSH (Secure Shell) avec les mots de passe qui sont fournis dans la section Détails matériels de la console IBM Cloud.

Mon mot de passe est-il sûr ?

Oui. Les mots de passe aléatoires affectés aux unités VRA ne sont visibles que par le titulaire du compte. Les mots de passe peuvent être facilement modifiés, tout comme les clés publiques SSH et les restrictions d'accès IP admin.

Puis-je obtenir un dispositif VRA sans dispositif de passerelle ?

Oui, mais seul le trafic entre les interfaces publiques et privées du dispositif VRA sera géré. Les réseaux locaux virtuels (VLAN) et la haute disponibilité (HA) nécessitent l'installation d'un dispositif de passerelle.

Est-ce que tout le trafic réseau transite via le dispositif VRA ?

Non. Le dispositif de passerelle vous permet de sélectionner les segments de réseau privé et public (VLAN) que vous souhaitez router via l'interface VRA. Vous pouvez modifier et ignorer les sélections de VLAN à tout moment. VRA vous permet aussi de définir des règles reposant sur les adresses IP s'appliquant à des sous-réseaux ou des plages d'adresses IP. Les règles de ce type fonctionnent uniquement si les VLAN contenant ces sous-réseaux sont routés via le dispositif VRA.

Un dispositif VRA ou un pare-feu dédié peuvent-ils empêcher la mise à disposition de nouveaux serveurs ?

Oui. Dans la mesure du possible, vous ne devez pas verrouiller votre réseau tant que les serveurs que vous envisagez d'utiliser ne sont pas mis à disposition.

La politique d' IBM interdit au support d'examiner ou de modifier la configuration d'un VRA ou d'un pare-feu dédié sans l'intervention explicite du client, de sorte que le support ne peut pas savoir si un VRA est responsable de l'arrêt ou de l'échec de l'approvisionnement d'un serveur.

Il incombe au client de s'assurer que le dispositif VRA ou le pare-feu est configuré pour autoriser la mise à disposition automatique des serveurs avant la commande des serveurs. C'est à lui de résoudre les problèmes de mises à disposition bloquées par un dispositif VRA ou un pare-feu géré par un client. De tels retards de mise à disposition n'entrent pas dans les contrats SLA ou ne peuvent pas faire l'objet de crédits. Les systèmes commandés peuvent être retournés (une fois les données du client détruites) si le client tarde à répondre.

De même, si un dispositif VRA ou un pare-feu est ignoré une fois la commande effectuée, celle-ci risque de ne pas aboutir. Il peut y avoir un cours laps de temps au cours duquel le processus d'automatisation effectue une nouvelle tentative. Il est préférable que le processus complet de mise à disposition se poursuive sans perturbation du réseau.

Quels produits de pare-feu sont offerts par IBM ?

Pour une comparaison détaillée de tous les produits de pare-feu proposés dans IBM Cloud, voir Exploration des pare-feux.

Un dispositif VRA peut-elle entraver le support client ?

Oui, pour les raisons mentionnées précédemment. VRA est une boîte noire : les VLAN entrent et sortent et le support IBM n'a aucune idée de ce que font les clients avec les paquets intermédiaires.

Le support IBM fait toujours de son mieux, mais dans le cas de VRA et d'un pare-feu dédié :

1. La confidentialité des clients prend la priorité sur la connectivité.
2. Notre personnel d'assistance habituel n'est pas équipé pour analyser les configurations VRA ou de pare-feu mal formées ou très complexes.

En guise de première étape de diagnostic, le support IBM peut vous demander de mettre vos réseaux locaux virtuels (VLAN) VRA ou de pare-feu en mode contournement. Si, dans cet état, les mises à disposition qui ont échoué aboutissent, cela signifie que votre configuration VRA/de pare-feu est probablement à l'origine du problème.

Quel effet a VRA sur les performances réseau ?

N'oubliez pas que même si ce n'est pas visible, un cloud public partage des réseaux avec d'autres clients. Dans le meilleur des cas, le débit VRA est déterminé par la capacité de réseau disponible à moment donné, plus la distance que doivent parcourir les données.

Ces variables mises à part, VRA peut transmettre 80 Gbps de trafic non modifié sur plusieurs interfaces en utilisant la formule approximative selon laquelle chaque 10 Gbps de débit nécessite un cœur de processeur complet (sans compter l'hyperthread). Les serveurs actuels ont une capacité maximale de 40 Gbps (2 x 10 Gbps publics + 2 x 10 Gb privés). Par conséquent, un serveur doté de 8 cœurs ou plus dispose d'une marge de calcul suffisante pour gérer plusieurs fonctions courantes de l'ARV avec des performances réseau quasiment optimales

Que faire en cas de perte de mon mot de passe VRA ?

Si vous avez accès au système, définissez un nouveau mot de passe en exécutant la commande suivante :

set system login user [account] authentication plaintext-password [password]

Si vous ne pouvez pas accéder au système, vous pouvez redémarrer l'appareil et utiliser l'option de récupération du mot de passe dans le menu GRUB pour réinitialiser le mot de passe de l'utilisateur root.

Que faire si le pare-feu verrouille mon accès ?

La construction reboot at [time] peut être utile lors du test de règles de pare-feu potentiellement dangereuses.

Si la règle fonctionne, utilisez la commande reboot cancel pour annuler le redémarrage. Si la règle bloque votre accès, il suffit d'attendre le redémarrage programmé.

Si vous ne pouvez pas accéder au système, vous pouvez redémarrer pour rétablir l'accès. Lors du réamorçage, le système lit le fichier de configuration, qui n'a pas changé car les entrées précédentes sont annulées.

Si l'accès est possible via IPMI, suivez les étapes suivantes pour rétablir l'accès :

1. Désactivez la règle incriminée en exécutant :

   	set security firewall name [firewall name] rule [rule number] disable
   	commit
   

2. Détachez le jeu de règles nommé complet de l'interface nécessaire en exécutant :

   	delete interfaces dataplane [interface] firewall [type] [firewall name]
   	commit
   

Une utilisation incorrecte de ces commandes peut effacer complètement la configuration de votre interface.

Pourquoi voudrais-je exécuter deux unités Vyatta dans une paire à haute disponibilité ?

La plupart des clients de cloud sollicitent des services à haute disponibilité (HA). Ainsi, votre charge de travail est hébergée sur au moins deux machines (matérielles) distinctes, ou mieux, dans deux zones de disponibilité distinctes (pensez aux centres de données), de sorte que si l'une tombe en panne, l'autre continue d'assurer le service. Si une machine tombe en panne, le service bascule sur l'autre machine et continue de s'exécuter. Il s'agit alors d'un service à haute disponibilité, qui sera presque toujours disponible.

Comment activer les connexions root sur le dispositif VRA ?

Pour activer l'accès des utilisateurs root via SSH, exécutez la commande suivante :

set service ssh allow-root

L'octroi d'un accès root utilisant SSH est considéré comme dangereux.

L'autre solution pour accéder à un interpréteur de commandes root consiste à se connecter avec les données d'identification d'un autre utilisateur et d'attribuer à cet utilisateur des droits root localement à l'aide de la commande su -, ou d'autoriser les commandes sudo pour devenir superutilisateur. Par exemple, pour configurer Vyatta en tant que superutilisateur :

set system login vyatta level superuser

Comment mettre à jour le micrologiciel ?

Il est important de maintenir le micrologiciel à jour afin de garantir la compatibilité et la stabilité optimales de votre passerelle réseau. Vous avez le rôle et la responsabilité d'assurer la maintenance et le fonctionnement de vos appareils ; le support technique d' IBM Cloud n'effectue pas les mises à jour en votre nom.

Si une version du micrologiciel est périmée, vous pouvez mettre à jour le micrologiciel en sélectionnant l'appareil dans la liste des appareils et en cliquant sur Mettre à jour le micrologiciel dans le menu d'action. Vous pouvez également initialiser une mise à jour du micrologiciel pendant le processus de rechargement du système d'exploitation. Une fois que vous avez lancé la mise à jour, une transaction s'exécute pour mettre à jour automatiquement le micrologiciel du BIOS et toute autre option de micrologiciel que vous avez sélectionnée.

Il n'est pas possible d'initialiser une mise à jour du micrologiciel lorsqu'une passerelle est sous tension. Assurez-vous que l'appareil est hors tension avant d'initialiser une mise à jour du micrologiciel.

Si vous devez mettre à jour plusieurs nœuds, il est préférable d'agir sur un nœud à la fois. La mise à jour d'un seul nœud minimise les perturbations lorsque le basculement se produit pour la deuxième mise à jour du micrologiciel.

La mise à jour des microprogrammes peut prendre jusqu'à 4 heures. Si la mise à jour prend plus de 4 heures, vérifiez si un dossier d'assistance n'est pas en cours. Si un dossier d'assistance n'est pas ouvert, vous pouvez contacter l'assistance ou ouvrir un dossier pour obtenir de l'aide.

Puis-je mettre à jour le BIOS séparément des autres mises à jour du firmware ?

Oui, il est possible de mettre à jour uniquement le BIOS sans problème. Lorsque cette option est disponible, elle apparaît comme un choix sur la page de l'appareil dans la console IBM Cloud, avec d'autres options de mise à jour telles que la carte réseau. Pour une compatibilité optimale des appareils, il est conseillé d'effectuer les mises à jour recommandées pour le BIOS et la carte réseau en même temps, de manière à ce que les deux utilisent la dernière version.