本节提供了相应的配置工作流来准备使用 NSX 分布式安全保护虚拟机的环境。

必备条件

您已部署 NSX Manager 并配置了有效的许可证。

配置工作流

NSX 分布式安全准备虚拟环境涉及两个主要步骤:

  • 配置计算管理器 (vCenter)
  • NSX 分布式安全准备 vCenter 集群( ESXi 主机)

1:配置计算管理器 (vCenter)

您必须在 NSX-T 上添加 vCenter Server 作为计算管理器,才能查看所有 vCenter Server 主机和集群清单。然后,您可以利用可用清单为 NSX 安全准备 ESXi 主机和集群。

  1. 在浏览器中,使用 admin 凭据登录到 NSX Manager 设备,网址:https://<nsx-manager-ip-address>。

  2. 系统 > Fabric > 计算管理器 > 添加计算管理器vCenter Server 中注册 NSX-T。添加 vCenter Server 作为计算管理器。

    添加计算管理器

  3. 系统 > Fabric > 计算管理器页面验证 NSX-TvCenter Server 中的注册情况。单击刷新并查看连接状态。

    刷新计算管理器

vCenter Server 注册成功后,您可以从 NSX Manager 用户界面 (User Interface, UI) 查看已配置的 vCenter Server 主机集群清单。在 NSX Manager UI 上,转到系统 > Fabric > 节点以查看清单。

您可以按照相同的步骤,从 NSX Manager UI 为每个 vCenter Server 配置多个 vCenter Server

2:为 NSX 分布式安全准备 vCenter 集群( ESXi 主机)

NSX 分布式安全涉及准备 NSX-TvCenter Server 计算集群。NSX-T 支持如下两种主机准备模式:

  1. 仅安全 - VDS 端口组的分布式安全:
    • 支持为连接到本机 vCenter 分布式虚拟端口组 (Distributed Virtual Port Group, DVPG) 的虚拟机提供安全保护。
    • 支持 vSphere 6.7 和 vSphere 7.0 Update1 或更高版本。
    • NSX-T 准备的 vCenter Server 集群内的工作负载不支持 NSX-T 网络。
    • 仅使用快速启动向导时支持工作流。
  2. 网络和安全 - 通过 NSX-T 网络实现分布式安全:
    • NSX-T 准备的 vCenter Server 集群内的工作负载支持 NSX-T 网络和分布式安全。
    • 如果 VLAN 连接的工作负载需要分布式安全保护,必须将工作负载从 DVPG 移至 NSX-T VLAN 分段。
    • 使用“快速启动”向导或从系统 > Fabric > 节点菜单手动准备时支持工作流。

根据您的环境,选择所需的部署方法。NSX-T 环境可以混合使用仅 NSX 安全准备的集群和 NSX 网络与安全准备的集群。本节稍后将介绍有关每种部署模式的更多详细信息。

2.1:仅安全主机准备 - 为 VDS 端口组提供分布式安全保护

配置计算管理器后,可以准备 ESXi 主机集群以仅提供分布式安全保护。集群中的主机必须共享 VDS。

过程

  1. 从浏览器中,使用 admin 特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 导航到 系统 > 快速入门
  3. 准备集群以实现网络连接和安全性卡上,单击开始

    快速准备集群以提供安全保护的快速启动小组件

  4. 选择要安装 Distributed Security 的集群。
  5. 单击安装 NSX,然后选择仅安全
  6. 在对话框中,单击安装

    将开始准备 NSX 主机以在 ESXi 主机上安装所需的软件模块。

    完成该过程需要几分钟时间。该过程完成后,状态将更改为成功。将自动创建传输节点配置文件、传输区域和分布式端口组等对象。

    显示“正在进行”和“已完成”状态的安装过程

  7. 要查看安装了 Distributed Security 的 VDS,请执行以下操作:
    1. 导航到系统 > Fabric > 节点
    2. 选择主机传输节点选项卡。
      注: 准备安装 Distributed Security 的 vSphere 集群标有 安全标签。

结果

NSX Manager UI 上,转到网络 > 分段 > 分布式端口组选项卡,以查看 vCenter Server 中的 DVPG 清单。

NSX Manager UI 上,转到清单 > 虚拟机,以查看所有 ESXi 主机中的虚拟机清单。

下一步做什么

现在,您可以开始在准备的 vCenter Server 上为 DVPG 上托管的工作负载配置策略

2.2:网络和安全 - 通过 NSX-T 网络实现分布式安全

配置计算管理器后,您可以准备 ESXi 主机集群以同时提供 VLAN 网络和分布式安全保护。

过程

  1. 从浏览器中,使用 admin 特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 准备集群以实现网络连接和安全性卡上,单击开始
  3. 选择要为 NSX-T 网络准备的集群。
  4. 单击安装 NSX,然后选择网络与安全
    同时提供网络和安全保护的快速启动安装(基于 VLAN)
  5. 根据您的要求,您可以为 VLAN 和覆盖网络准备相同的集群,或者为一种类型的网络准备集群。对于覆盖网络,将为每个主机交换机添加一个 TEP IP 地址,这是覆盖网络所必需的。
    为 VLAN 和覆盖网络准备集群
  6. 查看主机交换机配置交换机,以了解物理网卡和 VMkernel 适配器(如果有)将迁移到的目标交换机。
    这是 NSX-T 建议的配置。不过,您可以自定义集群设置,即使这是可选的步骤。
    注: 从交换机到物理网卡的虚线表示,它是主机交换机上的现有配置,将由连接到同一物理网卡的实线替换。
  7. 即使 NSX-T 提供建议,您仍可以自定义配置。要自定义交换机,请选择该交换机,然后更改建议的配置。
    1. 类型:切换主机交换机类型。
    2. 传输区域:选择要与主机关联的不同传输区域。
    3. 上行链路配置文件:如果需要,请选择其他上行链路配置文件,以替代建议的上行链路配置文件。
      注: 如果为两个 VDS 交换机配置相同的配置,向导会为这两个交换机建议相同的上行链路配置文件。
    4. 上行链路到物理网卡的映射:在 VDS 交换机上,VDS 交换机上配置的所有上行链路将映射到 NSX-T 中的上行链路。在 N-VDS 交换机上,上行链路映射到 vmnic。
      在“主机交换机配置”网络表示形式中反映了对主机交换机类型或上行链路到 vmnic 的映射的更改。
  8. 单击安装

    将开始准备 NSX 主机以在 ESXi 主机上安装所需的软件模块。

    准备集群以实现网络连接和安全性卡上查看安装进度。如果任何主机上的安装失败,请解决该错误以重试安装。

    完成该过程需要几分钟时间。该过程完成后,状态将更改为成功

  9. 要查看成功准备的主机,请转到系统 → Fabric → 节点 → 主机传输节点

结果

NSX Manager UI 上,转到清单 > 虚拟机选项卡,以查看所有 ESXi 主机中的虚拟机清单。

注: 为网络和安全准备的 vCenter Server 集群不支持为直接连接到 DVPG 的工作负载提供安全保护。如果 DVPG VLAN 连接的工作负载需要安全保护,必须将工作负载移至 NSX VLAN 分段(具有相同的 VLAN),或将工作负载移至仅为 NSX 安全准备的集群。

有关详细信息,请参见NSX-T Data Center 管理指南

下一步做什么

现在,您可以开始在准备的 vCenter Server 集群上为 NSX 分段上托管的工作负载配置策略