Salut,
bertr@nd a écrit:cluster = (un san et 2 serveurs physique avec hyperviseur esx ou esxi).
Mis à part le nombre de 2 que j'ignorais, j'avais bien compris les choses ainsi. Ce que je voulais dire, c'est que ton chef remplace un groupe de n serveurs par un cluster composé de plusieurs bécanes. C'est un peu surprenant quand on donne pour seul justification l'économie de bécanes !
Bon, cela dit, on en réduit quand même le nombre, et on se donne une redondance qui peut éventuellement être utile. Mais alors, il faut bien définir les besoins : est-ce la haute disponibilité ou la sécurité qui est le plus important ? Comme il n'y a aucune indication sur ce point et qu'on est sur un forum dédié à la sécurité, j'opte donc pour la seconde hypothèse : sécurité plus importante que haute disponibilité.
Et dans ce cas, le montage devient clair : on garde le firewall, et on monte deux esx séparés sur chacun une bécane. Même matos, mais on peut ainsi séparer DMZ et LAN !
Après, s'ils veulent vraiment réduire les coûts, il faut peut-être envisager de mettre en place une SME... N'ayant à peu près aucune idée des besoins ni même de l'importance du réseau, je ne sais pas si c'est possible, souhaitable ou complètement inenvisageable.
Pour le reste, je crois que ccnet a vraiment bien décortiqué la question...
bertr@nd a écrit:un hyperviseur n'est pas exempt de faille, d'accord, mais une pare feu qui gère plusieurs zones a potentiellement des failles aussi ... (m'a laissé sans voix! raisonnement par l'absurde ?)
Pas raisonnement par l'absurde, raisonnement absurde, oui
A moins qu'ils pensent mettre la *box comme pare-feu, bien sûr
La différence entre un firewall et un hyperviseur, c'est que dans un cas les failles éventuelles sont dues aux règles que tu maïtrises et peux donc facilement corriger, alors que je ne pense pas que tu puisses corriger une faille dans VMWare !
Mais c'est encore pire que ça : mettre tous les serveurs dans le même hyperviseur, admettons, mais quand même pas dans la même zone ? Donc, s'il reste toujours une DMZ et un LAN, le firewall aura bien les mêmes règles qu'il y ait un ou plusieurs superviseurs ! Comme le souligne ccnet, ton chef s'emballe et trouve son idée si géniale qu'il en oublie tout le reste, à commencer par les besoins et l'architecture de son réseau !!!
bertr@nd a écrit:- si le projet de virtualisation doit être segmenté en fonction des zones de notre réseau cela implique un investissement trop important pour nous...
Alors, il ne faut changer que les serveurs à bout de souffle : ça coûtera moins cher que de vouloir tout virtualiser. Le matériel existant n'est quand même pas tout à mettre à la poubelle ?
Sinon, un hôte en DMZ, et un en LAN, ça fait deux serveurs, pile le nombre qu'il voulait mettre en cluster... Ou alors, une SME...
Mais je répète : on ne sait rien des besoins réels. Si ces besoins sont importants, alors il faut en prendre les moyens. S'ils ne le sont pas, alors il faut choisir la solution la mieux adaptée, pas celle dont on a envie et qui oblige à sacrifier la moitié des besoins pour satisfaire les envies et la fierté du chef !
Bref : la virtualisation est un moyen parmi tant d'autres, pas un besoin !!!
bertr@nd a écrit:4 ou 5 cartes réseau par serveur du cluster et un bon paramétrage, permettra d'atteindre déjà un bon niveau de segmentation ... une bonne politique de sauvegarde fera le reste.
Autrement dit : on fait une usine à gaz et on compte sur les sauvegardes en cas d'explosion ! Ce qui veut dire une indisponibilité pendant un certain temps, même un temps certain pour remonter l'usine à gaz à partir des sauvegardes. Dans ce cas, il n'y a aucun besoin en haute disponibilité !
=> on fait un montage plus simple, et donc plus fiable, et en cas de défaillance du matos (pas d'usine à gaz => bonne sécurité et fiabilité sur les autres plans) on compte sur les sauvegardes qui seront plus faciles à remonter puisque le montage est plus simple et séparé.
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)
Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)