1. Présentation

vShield est le composant VMware permettant une sécurité accrue au sein du datacenter virtuel VMware. Il permet à l'administrateur de créer des zones logiques au sein desquelles les ressources physiques sont isolées pour maintenir un niveau de confiance et de confidentialité accru.

vShield permet de créer des ponts ou firewalls entre les différentes zones logiques, de créer des logs du trafic observé et de définir des règles d'accès précises en fonction de ces observations.

vShield facilite ainsi la création de zones d'isolation telles que des DMZ, et la création de règles spécifiques pour autoriser/refuser le trafic selon un ou plusieurs protocoles.

vShield Manager est l'interface de gestion des zonesvShield, il s'agit d'un point de gestion centralisé des agents vShield.

Les agents vShield résident sur chaque hôte ESX/ESXi à protéger au sein du datacenter virtuel VMware. Ils assurent le rôle de pare-feu et analysent le trafic réseau. Leur installation se fait au niveau de chaque vSwitch.

2. Prérequis

VMware définit les prérequis suivants à l'installation de vShield.

3. Configurations recommandées

Lors de l'installation de vShield, les composants suivants seront ajoutés à votre datacenter virtuel VMware.

3-A. vShield Manager&vShield Agent

4. Procédure d'installation de vShield

4-A. Extraction des fichiers d'installation

Commencez par télécharger le fichier nécessaire à l'installation de vShield. Pour le cadre de ce document, nous avons téléchargé vShield depuis le site de VMware, dans la rubrique des composants additionnels de la page de téléchargement de vCenter Server. Le fichier d'installation se présente sous la forme d'une archive à extraire d'environ 500 Mo.

Image non disponible

Double-cliquez sur le fichier d'installation.

Image non disponible

Sélectionnez le répertoire d'installation en cliquant sur 'Browse' puis cliquez sur 'Install' pour extraire les fichiers.

Image non disponible

La procédure d'installation commence.

Voici les fichiers une fois la procédure terminée.

Image non disponible


Le contenu du dossier VMware-vShield est le suivant :

Image non disponible


Le contenu du dossier VMware-vShield-Manager est le suivant :

Image non disponible

4-B. Installation de vShield Manager

Le premier composant à installer est le vShield Manager, c'est lui qui coordonne les différentes instances d'agents vShieldau au sein du datacenter. Son installation se réalise via le vSphere Client en utilisant un template OVF.

Commencez par vous connecter grâce au vSphere Client à votre instance vCenter Server.

Puis, sélectionnez votre Datacenter, cliquez ensuite sur 'File' puis 'Deploy OVF template'.

Image non disponible
Image non disponible

Ensuite, cochez le bouton radio 'Deployfrom file' et cliquez sur le bouton 'Browse'.

Image non disponible

Naviguez vers le répertoire choisi lors de l'extraction des fichiers d'installation de vShield, rendez-vous dans le dossier VMware-vShield-Manager et choisissez le templateOVF vShieldManager.OVF. Cliquez sur 'Ouvrir'.

Image non disponible
Image non disponible

Vérifiez que le chemin vers le template est correct, puis cliquez sur 'Next'.

Image non disponible

Cette page reprend les informations relatives au template, notamment la taille sur disque (+- 8 GB).

Image non disponible

Cliquez sur 'Accept' pour accepter les termes du contrat de licence utilisateur final (EULA), et cliquez sur 'Next'. Le bouton 'Next' n'apparaitra plus comme désactivé dès lors que vous aurez cliqué sur le bouton 'Accept'.

Image non disponible
Image non disponible

Choisissez ensuite votre datacenter en tant qu'emplacement sur lequel installer le vShield Manager, vous avez également la possibilité de lui attribuer un nom. Cliquez sur 'Next'.

Image non disponible

Choisissez un hôte sur lequel sera localisé votre vShield Manager. Puis cliquez sur 'Next'.

Image non disponible

Sélectionnez ensuite le datastore sur lequel seront placés les fichiers du vShield Manager. Cliquez sur 'Next'.

Image non disponible


La page 'Ready to complete' affiche l'ensemble des informations relatives au déploiement du template OVF. Si les informations sont correctes, cliquez sur 'Finish' pour lancer le déploiement.

Différentes étapes de déploiement se succèdent.

Image non disponible
Image non disponible
Image non disponible

Cliquez sur 'Close' une fois le déploiement du template terminé.

Image non disponible

Nous remarquons dès lors la création d'une nouvelle machine virtuelle vShield Manager au sein de l'inventaire, placée sur l'hôte sélectionné lors de l'installation.

La prochaine étape consiste à ajouter un nouveau réseau au switch virtuel de l'hôte sur lequel le manager est installé. Pour ce faire, sélectionnez l'hôte sur lequel réside la machine vShield Manager dans l'inventaire, puis dans l'onglet 'Configuration' cliquez sur 'Networking'. La page de configuration réseau s'affiche.

Image non disponible

Cliquez sur 'Properties'.

Image non disponible
Image non disponible

Cliquez sur 'Add'.

Image non disponible

Sélectionnez 'Virtual Machine'.

Image non disponible

Nommez le nouveau réseau 'vsmgmt'. Et cliquez sur 'Next'.

Image non disponible

Cliquez sur 'Finish'.

Image non disponible

Un nouveau réseau nommé 'vsmgmt' apparaît. La prochaine étape consiste à aller attribuer ce réseau à l'adaptateur vNic de la machine virtuelle vCenter Manager. Commencez par sélectionner la machine dans l'inventaire.

Image non disponible


Effectuez un clic droit, puis cliquez sur 'Edit settings'.


Image non disponibleSélectionnez l'adaptateur réseau 'Network adapter 1' et dans la partie 'Network connection', sélectionnez le label 'vsmgmt' dans la liste déroulante. Cliquez enfin sur 'Ok'.

Image non disponible

Ce n'est qu'une fois cette étape franchie que nous pouvons démarrer la machine virtuelle, ce que nous faisons maintenant en la sélectionnant dans l'inventaire, puis en sélectionnant 'Power On'.

Image non disponible

Pour les prochaines étapes, il est nécessaire d'afficher la console de la machine virtuelle.

Image non disponible

Les credentials par défaut du vShield Manager sont les suivants : admin/default. Entrez le login 'admin' et le mot de passe 'default' pour vous connecter. Une fois connecté, il faut configurer le vShield Manager via la commande 'setup'.

Image non disponible


Vous serez invité à rentrer différentes informations de configuration :

  • une adresse IP statique pour levShield Manager ;
  • le masque de sous-réseau pour le vShield Manager ;
  • la passerelle par défaut pour le vShield Manager ;
  • 'y' pour enregistrer la nouvelle configuration du vShield Manager.
Image non disponible

Une fois la configuration terminée, essayez de pinger la passerelle pour vérifier la connectivité.

Votre vShield Manager est maintenant opérationnel.

5. Création d'un template d'installation de l'agent vShield

Voyons à présent la procédure permettant de créer un template d'installation de l'agent vShieldau au niveau de notre hôte ESXi. L'installation de l'agent vShieldse présente également comme un template OVF à déployer mais comporte quelques subtilités. Commençons par sélectionner l'hôte dans l'inventaire (nous sommes logués via le client vSphere à notre instance de vCenter Server). Cliquons ensuite sur 'File' puis 'Deploy OVF Template'.

Image non disponible

Nous sélectionnons alors 'Deployfrom file' puis cliquons sur 'Browse' pour nous rendre dans le répertoire dans lequel nous avons extrait les fichiers d'installation de vShield.

Image non disponible


Le fichier OVF est contenu dans le dossier VMware-vShield et se nomme vShield.OVF. Sélectionnez-le et cliquez sur 'OK'. Puis cliquez sur 'Next'.

Image non disponible

L'écran suivant affiche les caractéristiques du template OVF.

Image non disponible

Notez la taille sur disque occupée par le déploiement du template qui est d'environ 5 GB.

Image non disponible

Cliquez sur 'Accept' pour accepter les termes de la licence utilisateur final, puis cliquez sur 'Next'.

Image non disponible

Commencez par sélectionner le datacenter sur lequel résidera votre agent vShield.

Image non disponible

Sélectionnez ensuite un datastore.

Image non disponible

Puis les réseaux à utiliser pour créer les groupes de ports protégés, non protégés, et de management.

Image non disponible

Cliquez sur 'Finish' pour conclure. Le déploiement se lance et différentes étapes défilent.

Image non disponible
Image non disponible


Une fois terminé, cliquez sur 'Close'. Une nouvelle machine virtuelle apparaît dans l'inventaire. Nous allons la convertir en template. Pour ce faire, cliquez avec le bouton droit de la souris sur la machine virtuelle et sélectionnez 'Template' puis 'Convert to template'.

Image non disponible

Image non disponible

Image non disponible

Dès lors, une nouvelle tâche 'Mark virtual machine as template' apparaît dans le panneau des tâches récentes 'RecentTasks', une fois complétée, notre machine disparait de l'inventaire.

Image non disponible
Image non disponible

Pour visualiser notre template, il faut se rendre dans la partie 'VMs and Templates' du menu 'Inventory' du client vSphere.

Image non disponible
Image non disponible


Notre templatevShield apparaît ainsi que la machine virtuelle du vShield Manager.

Image non disponible

6. Déploiement du template

La prochaine étape consiste à déployer notre template d'installation sur chaque hôte ESX/ESXi. Pour commencer, ouvrons un navigateur internet et rendons-nous à l'adresse suivante :

https://xxx.xxx.xxx.xxx

(où xxx.xxx.xxx.xxx représente l'adresse IP de notre vShieldManager)

Image non disponible

Confirmez l'exception de sécurité en cliquant sur 'Poursuivre...'

Image non disponible

Connectez-vous en utilisant les credentials par défaut du vShield Manager (pour rappel : admin/default).

Image non disponible

La page de configuration du serveur s'affiche, nous allons prendre le temps de configurer notre vShield Manager. Une fois connecté, la page de configuration du vCenter Manager s'affiche. La première chose à configurer est la connexion au vCenter Server.

Image non disponible

Entrez les informations permettant au vShield Manager de se connecter au vCenter Server. Les informations à fournir sont les suivantes : adresse IP du serveur vCenter, nom d'utilisateur et mot de passe (note : l'utilisateur doit avoir les droits d'administration). Nous entrons les informations.

Image non disponible

Puis nous cliquons sur 'Commit'.

Image non disponible

Nous constatons à présent que la partie gauche de la fenêtre correspond à la vue de l'inventaire de notre vCenter Server. Nous configurons ensuite le serveur de temps à utiliser et le serveur DNS dans les parties 'Date/Time' et 'DNS' de l'écran de configuration.

Image non disponible
Image non disponible

Maintenant que notre vShield Manager est pleinement opérationnel, nous allons déployer un agent vShield sur notre serveur hôte. Nous commençons par sélectionner le serveur hôte dans l'inventaire. Une fois sélectionné, deux onglets s'affichent : l'onglet 'Summary' qui résume la configuration de l'hôte, et un onglet 'Install vShield'. Nous nous rendons dans l'onglet 'Install vShield'.

Image non disponible

Dans cet onglet, un lien 'Configure installparameters' est présent et permet de définir les paramètres d'installation de l'agent vShield. Nous cliquons sur ce lien.

Image non disponible
Image non disponible

Les informations à remplir dans cette page sont les suivantes :

  • Instance de vShield/Clone à installer : vous pouvez sélectionner une installation existante à cloner ou utiliser un template. Dans le cas présent, nous avons créé un templatevShield, nous le sélectionnons donc et définissons le Datastore et le nom unique de notre nouvelle instance vShield ;
  • Configuration vShield : différents paramètres doivent être fournis. En premier lieu, nous sélectionnons le vSwitch à utiliser pour la gestion de notre instance vShield. Nous entrons ensuite une adresse IP unique pour la future machine virtuelle vShield, puis le masque de sous-réseau correspondant et la passerelle par défaut à utiliser. Nous pouvons également fournir l'identifiant du VLAN à utiliser si le réseau utilise la segmentation en VLAN et une clé de sécurité. Il est nécessaire que notre vShield puisse accéder à internet pour le téléchargement de mises à jour.
  • Nous sélectionnons ensuite un vSwitch à protéger. Dans notre cas : vSwitch0.
  • Un tableau de recommandations concernant le/les vSwitch à protéger sur l'hôte est présenté en bas de page et affiche des recommandations relatives à la configuration vShield à appliquer aux vSwitchs. Dans notre cas le tableau indique qu'il n'est pas recommandé de protéger le vSwitch déjà utilisé pour l'interface de management, ce qui peut créer une charge importante.

Pour lancer l'installation, cliquez sur 'Continue'.

Image non disponible

La page suivante présente un schéma typique de configuration réseau d'un hôte ESX/ESXi avant et après installation. Les étapes d'installation sont présentées à droite. Il est de bon ton de prendre en compte les différentes étapes et l'exemple de configuration. Pour lancer l'installation, nous cliquons sur 'Install'.

Image non disponible

L'installation se lance, les différentes étapes d'installation deviennent bleutées au fur et à mesure que le processus d'installation de vShield sur l'hôte ESX/ESXi avance.

7. Configuration de l'instance vShield

Image non disponible

Notre instance de vShield est maintenant opérationnelle et démarrée. En se positionnant sur notre instance, trois onglets se présentent à nous. Nous commençons par nous rendre dans l'onglet 'VM discovery' pour activer la découverte des machines en continu. Pour cela, rendez-vous dans la partie 'Automated'.

Image non disponible

Dans la liste déroulante 'Scheaduleddiscovery state', sélectionnez l'option 'Continous'. Cliquez ensuite sur 'OK'.

Image non disponible

Détaillons à présent les modifications apportées au niveau de la configuration réseau de notre hôte ESX/ESXi. Cette configuration, accessible depuis le client vSphere dans l'onglet 'Configuration' et dans la partie 'Networking'.

Image non disponible
Image non disponible
Image non disponible

Les éléments de configuration importants ont été surlignés. Premièrement, un nouveau vSwitchvSwitch0_VS a été créé. On note également deux nouveaux groupes de ports. Le premier, VSunprot_vShield_esx_1 réside sur le vSwitch0, il représente le groupe de ports affecté aux machines non protégées par vShield. Un second groupe de ports VSmgmt_vShield_esx_1 réside sur vSwitch0 et est dédié à la gestion du vShield Manager. Enfin, sur le nouveau vSwitchvSwitch0_VS un groupe de ports nommé VSprot_vShield_esx_1 est apparu et représente le groupe de ports dédié aux machines protégées. Notons que le nouveau vSwitch n'est relié à aucun adaptateur physique. En effet le trafic est obligé dans cette situation de passer par la machine virtuelle vShield_esx_1 c'est-à-dire par notre agent vShield.

NOTE : nous avons simulé deux situations, la première se traduit par une VM connectée au groupe de ports VS_unprot_vShield_esx_1 donc non protégée par l'agent vShield. La seconde se traduit par une VM connectée au groupe de ports VS_prot_vShield_esx_1 donc protégée. Voici la traduction de ces deux situations dans le vShield Manager.

Image non disponible

Dans l'inventaire de notre vShield Manager, les deux machines apparaissent avec des icônes différentes. L'icône de notre machine protégée se traduit par un 'v' vert, celle de notre machine non protégée se traduit par un '!' rouge. De plus, dans la partie 'Summary', les VM non protégées sont également listées. Pour protéger notre machine, il faut éditer ses options et au niveau de l'adaptateur réseau virtuel vNic, changer le label par VS_prot_vShield_esx_1.

8. Installation du plugin de gestion de vShield dans le client vSphere

Dans l'optique de pouvoir gérer votre vShield depuis votre client vSphere au même titre que les autres composants additionnels du datacenter virtuel vmware dont vous disposez, vShield intègre une méthode d'installation du plugin vShield au client vSphere.

Voici la marche à suivre. Commencez par vous rendre dans l'interface web de gestion du vShield Manager. Sélectionnez dans l'inventaire 'Settings & Reports' puis dans l'onglet 'Configuration', rendez-vous dans la partie intitulée 'vSphere Plug-in'.

Image non disponible

Cliquez sur 'Register'.

Image non disponible

Un message d'avertissement de sécurité s'affiche, cliquez sur 'Ignore' pour poursuivre. Rendez-vous ensuite dans votre client vSphere, puis dans le menu 'Plugins' choisissez 'Manage plug-ins'.

Image non disponible

Le plugin vShield Manager apparait, et est activé ('Enabled'). De plus, vous disposez dans l'écran d'accueil d'une nouvelle icône vShield.

Image non disponible

Lorsque vous cliquerez sur cette icône, vous pouvez rencontrer un pop-up d'alerte de sécurité. Cliquez dans ce cas sur 'Oui'.

Image non disponible

Le plugin de gestion de vShield se traduit par l'affichage des pages Web de gestion du vShield Manager au sein du client vSphere. Ainsi les actions de configurations seront similaires que vous utilisiez le plugin vShield ou l'interface web de gestion.

9. Sécurisation vShield

La gestion des utilisateurs s'effectue dans le vShield Manager, dans le menu de gauche (l'inventaire), sélectionnez 'Settings & Reports' puis dans l'onglet 'Users' nos utilisateurs s'affichent. Vous pouvez aisément créer des utilisateurs avec des droits sur des objets particuliers.

Image non disponible
Image non disponible

NOTE : ici nous avons ajouté un utilisateur firewall_root avec le rôle 'firewall' qui lui donne les droits de lecture ('R') sur les règles du firewall.

Image non disponible

Lorsque nous nous connectons avec le login et mot de passe de l'utilisateur, nous constatons les limitations appliquées. Cet utilisateur n'a pas accès au menu d'administration ('Settings & Reports'), qui plus est, lors de l'accès aux règles du firewall, aucun bouton pour ajouter, supprimer ou éditer une règle n'est présent.

10. Définition des règles de filtrage du trafic

vShield permet la création de règles de filtrage des paquets à deux niveaux.

Tout d'abord, il est possible de définir des règles selon le niveau au sein du modèle OSI. Les captures d'écran suivantes illustrent les deux possibilités de création de règles de filtrage au niveau L4 et au niveau L2/L3.

Image non disponible
Image non disponible

Les règles de filtrage peuvent être créées à deux niveaux. Au niveau du Datacenter et au niveau des agents. Les règles concernant les niveaux L2/L3 ne peuvent être créées qu'au niveau du Datacenter et les règles concernant le niveau L4 peuvent être créées à tous les niveaux.

Les règles appliquées au niveau du datacenter sont prioritaires sur les règles appliquées aux agents. Ainsi si une règle appliquée au niveau d'un agent est en conflit avec une règle appliquée au niveau du datacenter, c'est la règle au niveau du datacenter qui est appliquée.

11. Monitoring du trafic

vShield permet également de monitorer le trafic réseau au niveau des machines virtuelles de manière à pouvoir aisément créer des règles en adéquation avec un trafic d'activités 'normales' et également de pouvoir identifier un trafic 'anormal' sur une machine. Le monitoring du trafic est disponible dans l'onglet 'VM Flow'.

Initialement présenté sous la forme d'un graphique, il est possible de changer l'affichage vers le mode 'rapport' en cliquant sur le bouton 'Show Report' en haut à gauche de la page.

12. Création de règles à partir du monitoring

Il est possible via vShield d'ajouter une règle issue du monitoring du trafic réseau. Pour ce faire, il suffit de se rendre dans le 'VM Flow' de la machine virtuelle, de basculer l'affichage en mode rapport, puis de développer l'arborescence jusqu'à visualiser la règle concernée. Une fois l'arborescence développée, un bouton radio permet d'ajouter la règle dans le VM Wall.

Ce qui permet d'ajouter des règles par exemple après avoir audité un trafic réseau correspondant à une activité considérée comme normale.

13. Port mapping

Par défaut, il est possible d'utiliser le PORT Mapping sous vShield. Le principe du port mapping est de remplacer les numéros de port et protocole par un texte caractérisant l'application.

De nombreuses applications sont déjà présentes. Il suffit pour modifier, ajouter ou supprimer des correspondances entre les couples 'port-protocole' et 'application' de vous rendre dans le VM Wall puis dans 'Edit port mappings'.

Cet écran sera utile dans le cas d'utilisation d'applications spécifiques non prérenseignées .

14. Limitations vShield

Certaines limitations de vShield ont été constatées. Les voici.

VMOTION  : dans le cas où vMotion est activé au sein du cluster, la principale limitation se situe au niveau des agents sur chaque hôte. En effet il faudra s'assurer que vMotion est désactivé sur les agents. De plus, dans le cas où une machine virtuelle est connectée en mode 'intranet' uniquement (pas de carte réseau physique reliée à la machine), il faudra éditer le fichier vpxd.cfg pour permettre à vMotion de déplacer la machine, la procédure est expliquée plus loin dans ce document.

HA/DRS  : dans le cas d'un cluster au sein duquel HA/DRS sont activés, si un hôte tombe, le démarrage automatique de l'agent vShield n'est pas possible. Ainsi si l'hôte redevient disponible, les VM déplacées sur cet hôte ne pourront pas être connectées au réseau, l'agent vShield étant un passage obligatoire pour le trafic une fois installé.

Agent vShield  : l'agent vShield installé étant un point de passage obligatoire pour le trafic réseau des machines virtuelles, s'il est éteint, les machines protégées n'ont pas accès au réseau.

15. Activation de vMotion sur une vm 'isolée'

On parle de VM isolée dans le cas où la VM n'est reliée qu'au réseau virtuel interne et ne dispose pas de lien vers un NIC (interface réseau) physique. Pour activer vMotion, suivre la procédure suivante.

  • Localiser le fichier vpxd.cfg, présent sur le serveur vCenter par défaut dans le répertoire (C:\ProgramData\VMware\VMware VirtualCenter).

16. Créer un groupe de ports sous ESX/ESXi

Voici la procédure de création d'un groupe de ports sous ESX/Esxi.

Les groupes de ports permettent de connecter vos machines virtuelles à votre interface physique. Il existe principalement deux groupes de ports :

  • les groupes de ports dédiés au management (vmkernel) ;
  • les groupes de ports dédiés aux machines virtuelles (Virtual machines network).


Il est d'usage de séparer le trafic consacré au management (vmotion, drs, heartbeat, etc.) du trafic des machines virtuelles. Souvent on rencontre une configuration 2x2, à savoir :

- une interface physique dédiée au management ;

- une interface physique dédiée aux machines.

- Les deux interfaces restantes étant dédiées au teaming (pour une sécurité accrue en cas de panne matérielle).


Voyons à présent la procédure de création d'un groupe de ports dédié aux machines virtuelles.

Image non disponible

Nous commençons par sélectionner le vSwitch sur lequel nous allons créer notre groupe de ports. Puis nous éditons ses propriétés en cliquant sur 'properties'.

Image non disponible

Nous cliquons ensuite sur 'Add'.Image non disponible

Puis nous choisissons 'Virtual Machine', si nous avions voulu créer un groupe de ports dédié à la gestion de notre hôte, nous aurions sélectionné 'Vmkernel'. Nous cliquons sur 'Next'.

Image non disponible


Nous choisissons un nom et éventuellement un ID VLAN pour notre nouveau groupe de ports, l'avantage des groupes de ports est qu'ils permettent la gestion des vlan directement au niveau de l'hyperviseur. Dans notre exemple nous donnons le nom 'Virtual Machine Network' à notre groupe de ports et ne lui attribuons pas d' id vlan. Un exemple de la configuration résultant de l'ajout du groupe de ports est affiché dans la zone blanche. Nous cliquons ensuite sur 'Next'. 

Image non disponible

Puis nous cliquons sur 'finish'.

Image non disponible

Notre groupe de ports est maintenant ajouté, nous cliquons sur 'close' pour fermer la fenêtre des propriétés de notre vSwitch.

Image non disponible

Au niveau des propriétés des machines virtuelles, en sélectionnant l'adaptateur réseau, nous pouvons basculer les machines sur notre nouveau groupe de ports en sélectionnant le nom du groupe de ports créé ('Network Label').

Image non disponible

Ouvrir le fichier avec un éditeur de texte.

Image non disponible
  • Ajouter les lignes suivantes au niveau de la section <config> au même niveau que la section <vpxd>.

<migrate>

<test>

<CompatibleNetworks>

<VMOnVirtualIntranet>false</VMOnVirtualIntranet>

</CompatibleNetworks>

</test>

</migrate>

Image non disponible
  • Sauvegarder le fichier.
  • Redémarrer le service vCenter.
  • Démarrer.
  • Panneau de Configuration.
  • Options d'Administration.
  • Services.
  • Localiser le service 'VMware Virtual Center Server'.
  • Le redémarrer.
Image non disponible

17. Désinstallation manuelle de vShield

Voici la marche à suivre pour désinstaller proprement et supprimer toutes traces de l'installation de vShield au sein de votre datacenter virtuel vmware.

Commencez par accéder aux propriétés de chaque machine virtuelle 'protégée' de votre datacenter. Pour ce faire, faites un clic droit sur la machine puis rendez-vous dans 'edit settings'.

Au niveau du/des adaptateurs réseau, modifiez le 'Network Label' de manière à passer la machine sur le groupe de ports VM Network. Si vous ne disposez pas d'autre groupe de ports que ceux créés par vShield (protected/unprotected), créez un groupe de ports.

Image non disponible


Effectuez cette manipulation sur chacune des machines protégées.

Une fois toutes les machines passées sur le groupe de ports non protégé (vous pouvez le vérifier en accédant à l'écran de gestion réseau de votre hôte de la manière suivante : 'sélectionnez l'hôte' -> onglet 'configuration'->'networking'. Au niveau du groupe de ports protégé (protected), aucune machine virtuelle ne doit figurer).

Nous pouvons à présent manuellement supprimer l'agent vShield qui protège notre hôte. Pour ce faire nous commençons par l'éteindre en effectuant un clic droit dessus, puis dans 'Power' nous choisissons 'Power Off'.

Image non disponible

Notre agent vShield est maintenant éteint.

Nous appliquons également cette procédure pour éteindre le vShieldManager.

Notre manager et notre agent sont maintenant éteints.

Image non disponible


Et nos machines accèdent toujours au réseau.

Image non disponible


Nous allons maintenant supprimer le manager et l'agent. Pour ce faire, nous cliquons avec le bouton droit sur chacune des machines puis choisissons 'Deletefromdisk'.

Image non disponible


Nous allons ensuite supprimer les 'traces' laissées par vShield au niveau de la configuration réseau. Sélectionnez chaque hôte, puis dans l'onglet 'Configuration' cliquez sur 'Networking' pour afficher la configuration réseau.

Commencez par supprimer le vSwitch créé et qui héberge le groupe de ports protégé. Nous vérifions également au passage qu'aucune machine n'y est connectée. 

Image non disponible

Nous cliquons sur 'remove' et cliquons sur 'Oui' lors de l'affichage du message d'avertissement de sécurité.

NOTE : sur la capture ci-dessus, le vSwitch a été supprimé juste après avoir changé le network label vers le groupe de ports non protégé et avant de couper et désinstaller l'agent.

Image non disponible


Puis nous éditons les paramètres de notre vSwitch restant (celui qui héberge le groupe de ports non protégé).

Image non disponible

Nous cliquons sur 'properties'.

Image non disponible

Puis nous supprimons le groupe de ports non protégé. Nous le sélectionnons et cliquons sur 'Remove'.

Image non disponible

Nous supprimons également le groupe de ports dédié au management de notre agent et également celui dédié au management de notre vShield manager (vsmgmt sur la capture).

Image non disponible

Notre configuration réseau redevient identique à celle précédant l'installation de vShield.

XVIII. Remerciements

Je voudrais remercier ClaudeLELOUP pour sa relecture orthographique détaillée.