要利用所有 NSX 安全功能,必须在内部部署环境中部署 NSX 管理平面。
安装 NSX-T 后,需为系统配置不同的安全功能。本指南中的工作流包括设置安全功能所需的最低部署和配置说明。有关每项功能的更详细说明,请参见NSX-T Data Center 安装指南和NSX-T Data Center 管理指南。
NSX Firewall - 适用于所有部署选项
NSX Firewall 提供了不同的安全控制(如分布式防火墙、分布式 IDS/IPS、分布式恶意软件防护和网关防火墙)选项来向不同部署场景提供防火墙。
典型的数据中心可以具有不同的工作负载,如虚拟机、容器、物理服务器,以及 NSX 管理和非管理的混合工作负载。这些工作负载可以包含基于 VLAN 的网络或基于 NSX 的覆盖网络的组合。
下图汇总了最符合设计要求的不同数据中心部署场景和关联的 NSX Firewall 安全控制措施。您可以使用同一 NSX Manager 作为利用不同安全控制措施为所有这些不同场景定义安全策略的单一窗口。
- NSX Managed Workloads with Standard VLAN based Networking:
NSX 分布式防火墙功能可用于保护 NSX 管理的虚拟机和物理服务器工作负载。
- NSX Managed Workloads with NSX Overlay for Networking:
- 从东西向流量角度来看,NSX 分布式防火墙可用于保护 NSX 管理的虚拟机、容器(使用 NSX Container Plug-in)和物理服务器工作负载。这可用于具有 L3-L7 防火墙和 IDS/IPS 功能的区域分段、应用程序分段和微分段。
- 从南北向角度来看,NSX 网关防火墙可以与分布式防火墙一起用作租户间/区域间防火墙。
- Non-NSX Managed Workloads on Traditional VLAN based Network:
NSX 网关防火墙功能可以提供 VLAN 间路由和防火墙。NSX Tier-1 网关上的服务接口或 Tier-0 网关上的外部接口将用作所有非 NSX 管理的 VLAN 工作负载的网关和防火墙。
基本部署工作流
| 操作 | 描述 | 详细信息 |
|---|---|---|
| 部署 NSX 管理平面 |
|
部署 NSX 管理平面 |
| 配置 NSX 分布式安全 |
|
准备分布式安全 |
| 配置 NSX 网关安全 |
|
准备实施网关安全功能 |
本指南未介绍 NSX Firewall 支持的高级功能。有关每项功能的更详细说明,请参见NSX-T Data Center 管理指南。
