Configuration des flux réseau pour vSphere Replication 8.0

Dans un environnement de virtualisation basé sur ESXi 8.0, vSphere Replication (VR) constitue la brique logicielle essentielle pour la reprise après sinistre (DR) et la protection des données. Cependant, la majorité des échecs de synchronisation ou des erreurs de couplage de sites proviennent d'une mauvaise configuration du pare-feu. Pour garantir un fonctionnement optimal, il est impératif d'autoriser les flux 80, 443 et la plage 31000-31002, tous basés sur le protocole HTTPS sécurisé.

Matrice des ports indispensables pour vSphere Replication

Pour assurer la réplication des machines virtuelles entre un site source et un site cible, l'infrastructure doit permettre les communications sur les ports suivants :

  • 80 (TCP) : Utilisé pour les services HTTP auxiliaires, le téléchargement de certificats et la redirection vers le port sécurisé.
  • 443 (TCP) : Le canal de gestion principal pour les API, l'authentification et la configuration entre vCenter et les appliances VR.
  • 31000-31002 (TCP) : Le "Data Plane" ou plan de données, où transitent réellement les blocs de données répliqués.

Détails techniques des flux de données

1. Gestion et Signalisation (80 & 443)

Le port 443 est le centre nerveux de la solution. Il gère l'enregistrement de l'extension vSphere Replication auprès du vCenter Server. Sans ce port, aucune tâche de réplication ne peut être créée ou surveillée. Le port 80, bien que moins sollicité en production, est critique lors de la phase initiale d'échange de certificats et de découverte des hôtes ESXi.

2. Le trafic de réplication (31000 à 31002)

C'est ici que s'opère la magie de la protection des données. Chaque port de cette plage possède une fonction spécifique :

  • 31000 : Gère le flux principal de synchronisation initiale et les réplications incrémentielles.
  • 31001 : Dédié au trafic lié aux clichés (snapshots) et au suivi des blocs modifiés (CBT).
  • 31002 : Utilisé spécifiquement pour les opérations de basculement (failover) et les tests de récupération.

Principes de connectivité réseau

La réplication n'est pas un flux à sens unique. Elle nécessite une communication bidirectionnelle entre le site source et le site de destination. Les règles suivantes doivent être appliquées sur vos équipements réseau (Firewalls, ACL, Security Groups) :

  1. Autoriser le trafic sortant de l'hôte ESXi source vers l'appliance VR cible.
  2. Permettre le retour d'état (heartbeat) de l'appliance cible vers la source.
  3. S'assurer que les communications entre les serveurs vCenter des deux sites sont fonctionnelles sur le port 443.

Configuration du pare-feu ESXi via la CLI

Sur ESXi 8.0, bien que certaines règles soient créées dynamiquement, il est souvent nécessaire de vérifier ou d'actualiser la configuration du pare-feu hôte. Voici les commandes essentielles pour auditer et appliquer les changements :

# Vérification de l'état des ports de réplication
esxcli network ip connection list | grep 31000

# Rafraîchissement des règles de pare-feu après modification
esxcli network firewall refresh

# Chargement explicite des règles vSphere Replication
esxcli network firewall ruleset set -e true -r "vSphereReplication"

Diagnostic des pannes de communication

Si une réplication reste bloquée à 0% ou si le statut affiche "Not Active", un test de connectivité direct est nécessaire. Utilisez l'outil nc (netcat) depuis la console SSH de l'hôte source pour tester l'accessibilité de la cible :

# Test du port de gestion sur la cible
nc -zv 192.168.10.50 443

# Test du port de transport de données sur la cible
nc -zv 192.168.10.55 31000

Si la commande retourne un message de timeout ou de connexion refusée, vérifiez les équipements intermédiaires. Dans les environnements cloud ou multi-sites, assurez-vous qu'aucun filtrage de paquets n'interfère avec le trafic HTTPS chiffré, car vSphere Replication n'utilise pas de ports en clair pour la transmission des blocs de données.

Recommandations pour la production

Pour un déploiement sécurisé, limitez l'ouverture de ces ports aux seules adresses IP des hôtes ESXi et des serveurs de réplication. L'utilisation d'un réseau dédié à la réplication (VLAN dsitinct) est fortement conseillée pour isoler le trafic de synchronisation, qui peut être très gourmand en bande passante, du trafic de gestion et du trafic des machines virtuelles.

Étiquettes: VMware vSphere-Replication ESXi-8.0 Network-Security Disaster-Recovery

Publié le 4 juillet à 21h50