您可以安装仅适用于 vSphere Distributed Switch (VDS) 的 Distributed Security。换句话说,您可以在 VDS 上安装 Distributed Security,而无需部署 NSX 虚拟分布式交换机 (N-VDS)。

安装适用于 VDS 的 Distributed Security 可提供如下 NSX 安全功能:

  • 分布式防火墙 (DFW)
  • 分布式 IDS/IPS
  • 身份防火墙
  • L7 应用程序 ID
  • 完全限定域名 (FQDN) 筛选
  • NSX Intelligence
  • NSX 恶意软件防护
  • NSX 客户机侦测

有关安装适用于 VDS 的 Distributed Security 的详细信息,请参见 安装 Distributed Security for vSphere Distributed Switch

安装过程

安装 Distributed Security 时,仅在 NSX-T 中进行配置更改,而 vCenter Server 中没有任何变化。将发现 VDS 的详细信息,并在 NSX-T 中自动创建以下对象以显示 VDS 详细信息:

  • 每个集群的传输节点配置文件。
  • 每个 VDS 的主机交换机。
  • 每个 VDS 都有一个 VLAN 传输区域。

这些对象是系统生成的,不能进行配置和编辑。

此外,在 VDS 发现过程中,将在 NSX-T 中创建 VDS 的分布式虚拟端口组 (DVPG) 和 DVport 作为对象。有关更多详细信息,请参见分布式端口组

vCenter Server 中的 VDS 所做的任何更改都会在 NSX-T 中自动更新。

对具有或不具有 Distributed Security 的集群之间的虚拟机执行 vMotion

通过 vMotion 将虚拟机从不具有 Distributed Security 的集群迁移到具有 Distributed Security 的集群,具有 Distributed Security 的集群的安全策略将应用于虚拟机。

相反,通过 vMotion 将虚拟机从具有 Distributed Security 的集群迁移到没有 Distributed Security 的集群,将移除安全策略。

升级到 VDS 如何影响 Distributed Security

将 VDS 进行 Distributed Security 升级可能会导致 DFW 暂时中断。

VDS 升级途径 对 Distributed Security 的影响
从 VDS 6.6 升级到 VDS 7.0.3 之前的任何版本时。 DFW 不会中断。
从 VDS 6.6、7.0 或 7.0.2 升级到 VDS 7.0.3 时。

在升级过程中,每个主机上短暂地不会强制执行 VDS 上的 DFW 策略,原因是在进行升级时,主机上会出现数据平面中断。VDS 升级在所有主机上同时执行,因此任何集群总的中断时间并不长。

注: 在升级过程中,除了不会强制执行外,DFW 策略不会发生任何变更。

在主机上完成升级过程后,将在主机上修改 DFW 策略。