Team Leader - Nutanix Technology Champion - Nutanix NTC Storyteller

Julien DUMUR
Infrastructure in a Nutshell

Securité

Nutanix on OVHcloud : déploiement et configuration de base d’une gateway Palo Alto

Published: 20 juillet 2025
Written by Julien D.
1 Comment
Categories: Nutanix, Nutanix NC2 FR, Securité
nutanix on ovhcloud

Cela fait partie des opérations que je conseille de réaliser sur un cluster OVHcloud juste après la livraison : le remplacement de la passerelle pré déployée qui permettra à votre cluster de sortir sur internet.

Nous allons voir dans cet article comment déployer une PA-VM de chez Palo Alto et comment réaliser sa configuration de base afin qu’elle soit prête à être connectée au RTvRack OVHcloud (ce qui fera l’objet d’un autre article).

Pré-requis

Voici la liste des pré-requis nécessaires au déploiement :

  • un cluster Nutanix OVHcloud déployé
  • les subnets dont vous avez besoin créés sur le cluster
  • une VM de rebond déployée sur le cluster
  • un compte Palo Alto avec les accès aux téléchargements d’images

Récupération de l’image PA-VM

La première étape est de récupérer l’image qcow2 qui va nous permettre de déployer la PA-VM sur le site de Palo Alto : https://support.paloaltonetworks.com/Updates/SoftwareUpdates/64685971

ATTENTION : il faut un compte enregistré chez eux et disposant des bons accès, il n’existe pas de version « Community » ou « Free ».

Déploiement de la VM

Après avoir transféré l’image tout juste téléchargée vers le cluster, on créé une VM avec les caractéristiques suivantes :

Pour le sizing de la VM, je vous invite à consulter la documentation pour l’adapter à votre contexte : https://docs.paloaltonetworks.com/vm-series/11-0/vm-series-deployment/license-the-vm-series-firewall/vm-series-models/vm-series-system-requirements

Le disque a ajouter est celui qui a été récupéré au format qcow2 sur le site de Palo Alto.

Sélectionnez également les subnets qui devront être connectés à votre passerelle. La première interface que vous allez ajouter sera toujours l’interface de management de la PA-VM, veillez donc à sélectionner le bon subnet qui dans l’idéal sera un subnet dédié aux interfaces de management. Votre VM de rebond devra avoir une interface dans ce subnet afin de pouvoir accéder à l’interface web de la PA-VM. Voici par exemple ce que je recommanderais comme configuration des interfaces :

  • Management
  • ethernet1/1 (subnet 0 créé par défaut sur le cluster, pour la sortie WAN)
  • ethernet1/2 (subnet interne 1, souvent celui qui correspond à votre infra Nutanix)
  • ethernet1/3 (subnet interne 2)

Il est important de bien sélectionner « Legacy BIOS Mode » lors de la création de la VM sinon elle ne bootera pas !

Sélectionner « Use this VM as an Agent VM » pour qu’elle soit démarrée en tout premier.

Validez les paramètres, la machine virtuelle est prête à être démarrée.

Initialisation de la PA-VM

Démarrer la VM et lancer la console depuis l’interface Nutanix. Patienter pendant le démarrage du système d’exploitation.

La première connexion se fait en CLI avec les identifiants suivants :

  • Identifiant : admin
  • Mot de passe : admin

Le système va demander de changer le mot de passe par défaut. On passe ensuite en mode configuration :

configure

Ensuite, configuration de l’IP de management en mode static :

set deviceconfig system type static

Configuration des paramètres de l’interface de management :

set deviceconfig system ip-address <Firewall-IP> netmask <netmask> default-gateway <gateway-IP> dns-setting servers primary <DNS-IP>

A ce stade, le pare feu est accessible depuis le navigateur web de la machine de rebond à l’adresse : https://<Firewall-IP>

ATTENTION : cela ne fonctionne que si la VM de rebond a une patte dans le même subnet que celui de l’interface de Management

On oublie pas de commit soit depuis l’interface web, soit en ligne de commande :

commit

Vous pouvez maintenant poursuivre la configuration sur l’interface Web.

Configurations de base de la PA-VM

On attaque avec la configuration de base de la PA-VM.

Sur l’interface web, dans « Device > Setup », éditer le widget « General Settings » pour renseigner à minima le Hostname et la Timezone :

Aller ensuite dans l’onglet « Services » et éditer le widget « Services » pour ajouter les serveurs DNS et les serveurs NTP :

Il ne reste plus qu’à commit les changements, la configuration basique de la passerelle Palo Alto est terminée.

Je tiens à préciser qu’il s’agit là d’une configuration de base et qu’il y en encore beaucoup d’autres points de configuration à réaliser pour avoir une passerelle qui soit parfaitement configurée, sécurisée et qui permette à votre cluster de sortir sur internet, avec notamment la partie authentification, la complexité des mots de passe, le VPN, les règles de pare-feu…

Nous verrons dans un prochain article comment connecter votre passerelle Palo Alto PA-VM au RTvRack OVHcloud afin de permettre à votre cluster de sortir sur Internet.

Read More

Nutanix AHV : clés SSH et cluster Lockdown

Published: 17 avril 2024
Written by Julien D.
No comments
Categories: Nutanix, Nutanix AHV FR, Securité, Tutoriels, Tutoriels-AHV

C’est dans la feuille de route de Nutanix ! L’authentification par mot de passe est dans le collimateur de l’éditeur qui compte bien y mettre fin et averti ses utilisateurs via une alerte informationnelle :

L’objectif est de faire progressivement basculer les clients vers l’authentification par clés SSH afin de l’imposer dans une future version de son hyperviseur.

Création des clés SSH

Les algorithmes de chiffrement SSH supportés sont :

  • AES128-CTR
  • AES192-CTR
  • AES256-CTR

Si vous possédez déjà une paire de clés de ce type, vous pouvez directement passer à l’intégration au cluster.

Pour créer une paire de clés SSH, nous allons avoir besoin d’un outils comme PuttyGen.

Cliquez sur « Generate » et bougez le curseur de la souris au dessus de la fênetre. Indiquez ensuite une passphrase puis sauvegardez la clé publique et la clé privée.

ATTENTION : veillez à utiliser une passphrase forte et non prédictible.

Il faut maintenant intégrer la clé publique au cluster.

Intégration de la clé publique au cluster

Pour intégrer votre clé publique à votre cluster, connectez vous à l’interface Prism et rendez vous dans « Settings > Cluster Lockdown »

Cliquez sur « New Public Key », donnez lui un nom, collez y le contenu de votre clé publique et validez.

A ce stade, l’authentification classique par mot de passe et celle par clé SSH sont toutes les deux actives et fonctionnelles, il est temps de tester.

Tests et activation du cluser lockdown

Pour commencer, nous allons tester l’authentification via clé SSH. Pas de panique, quoi qu’il arrive, même si la connexion SSH via les clés ne fonctionne pas après l’activation du cluster lockdown, vous pourrez toujours faire marche arrière via l’interface Prism.

Configurez votre outils de connexion SSH préféré, intégrez y votre clé privée puis lancez une connexion à votre cluster Nutanix. En premier lieu, renseignez le login que vous souhaitez utiliser, ici j’ai choisi « nutanix » :

Puis saisissez la passphrase que vous avec configuré lors de la création de votre clé SSH. Validez, vous voilà connecté à votre cluster via votre clé SSH sans avoir eu à utiliser le mot de passe du compte « nutanix ».

Désactivons maintenant l’authentification par mot de passe en retournant dans le menu « Settings > Cluster Lockdown ». Décochez la case « Enable Remote Login with Password » :

Retentez de vous connecter en utilisant le compte « nutanix » et le mot de passe habituel et constatez que vous ne pouvez plus vous connecter avec cette méthode :

Tentez maintenant avec votre clé privée :

Votre cluster est désormais accessible en SSH uniquement via le système de clés SSH. Si vous êtes plusieurs administrateurs à intervenir sur le serveur, n’oubliez pas de répéter l’opération pour chacun d’entre eux.

Point important : pensez à garder vos clés privées en lieu sûr et à utiliser une passphrase forte.

Documentation officielle

La documentation officielle Nutanix : https://portal.nutanix.com/page/documents/details?targetId=Nutanix-Security-Guide-v6_7:mul-security-cluster-lockdown-pc-t.html

Read More

Sécurisation d’un serveur SSH

Published: 28 décembre 2022
Written by Julien D.
No comments
Categories: Linux, Securité

Les accès SSH sont un point d’entrée privilégiés pour les pirates. Je vous propose aujourd’hui un guide qui vous permettra de renforcer la sécurité de vos accès SSH, a en réduire la surface d’attaque, afin de les rendre beaucoup plus difficiles à attaquer.

Read More