作为在 vSphere 环境中工作的 VI 管理员,您可以使用简化的工作流准备 ESXi 集群以实现 NSX 安全性。

使用 vSphere Client 准备 ESXi 集群以实现 NSX 安全性。在此类集群上,您可以在应用程序工作负载上启用微分段、URL 筛选和分布式 IDS。没有为 NSX 虚拟网络准备这些集群。

从 vSphere Client 中配置 NSX 安全性的工作流。

高级任务:
  • 准备主机集群。
  • 创建防火墙规则
    • 为基础架构服务(Active Directory、DNS 等)、环境组(生产或测试)和应用程序组(Web、数据库、应用程序)创建组。
    • 定义通信策略。您可以执行的一些操作包括:
      • 定义任何工作负载和基础架构服务之间的通信。
      • 定义通信,以便任何环境都无法相互通信。
      • 将通信限制到特定端口或协议。
      • 指定源工作负载。
      • 为工作负载设置通信策略后设置例外。
    • 为默认防火墙规则定义操作(以处理与“通信”部分中定义的防火墙规则不匹配的流量)。
    • 查看并发布防火墙规则。

准备集群以实现 NSX 安全性

选择一个主机集群以准备该集群,以实现 NSX 安全性。

“入门”部分为您提供了在仅安全虚拟网络之间进行选择的选项。当您选择仅为安全性启用集群时,向导会要求您定义安全规则,并使用这些规则在所选集群的分布式虚拟端口组上自动配置 NSX 安全性。

前提条件

  • 确保 ESXi 主机与 vCenter Server 版本 v7.0.3 或更高版本兼容。
  • 确保 vCenter Server 版本为 v7.0.3 或更高版本。
  • 在主机上配置 vSphere Distributed Switch (VDS) 交换机。仅支持 VDS 6.6 或更高版本。
  • 在已启用 vSphere Lifecycle Manager 的集群上,从 NSX Manager UI 编辑 vCenter Server 以执行下列操作:
    • 创建服务帐户并在 NSXvCenter Server 之间启用信任关系。请参见添加计算管理器

过程

  1. 从浏览器中,使用 admin 特权登录到 vCenter Server,网址为 https://<vcenter-server-ip-address>。
  2. vSphere Client UI 上,选择 vSphere Client 菜单,然后单击 NSX
  3. 在“欢迎使用 NSX”屏幕上的仅安全卡上,单击入门
  4. 主机集群准备部分中,选择要仅为安全性准备的集群,然后单击安装 NSX
  5. 在“安装安全功能”弹出窗口中,单击安装确认要进行处理。
    注: 主机准备不允许使用任何具有不兼容 ESXi 主机的集群。
  6. 单击下一步以定义防火墙规则。

结果

将在主机集群上安装 NSX

下一步做什么

为避免断开连接,请将 vCenter ServerNSX Manager 添加到 DFW 排除列表。

创建组

在防火墙创建过程中,定义运行选定服务(如 DHCP)的基础架构组,定义由选定组成员组成的环境组(如生产、测试等),并使用选定的组成员定义应用程序组。

前提条件

  • 在主机集群上安装 NSX

过程

  1. 创建防火墙规则选项卡中,选择创建组
  2. 创建组页面中,展开创建基础架构组
  3. 单击添加组
  4. 基础架构服务下拉菜单中,选择服务,例如 Active Directory。在下一步中,会将此服务分配给一个由构成基础架构组的成员组成的组。您只能在工作流中创建一次基础架构服务。创建后便无法对其进行编辑。
  5. 要定义基础架构组,请单击 [定义组]

    基础架构可以是虚拟机、IP 地址范围或分布式虚拟端口组的组合。

    1. (可选) 组名称字段中,修改默认组名称。
    2. (可选) NSX 标记字段中,修改默认标记名称。定义的标记将应用于为组选择的所有虚拟机和分布式虚拟端口组。您可以编辑默认标记名称。
    3. 展开选择要添加 NSX 标记的虚拟机部分,然后选择必须属于基础架构组的虚拟机。
    4. 展开 IP 地址部分,然后输入 IP 地址、CIDR 格式的 IP 地址或 IP 范围。支持 IPv4 和 IPv6 格式。
    5. 展开选择要添加 NSX 标记的 DVPG 部分,然后选择必须属于基础架构组的分布式虚拟端口组。
    6. 单击保存
      向导会自动创建组,并对该组的所有选定成员应用 NSX 标记。例如,如果定义的组包括一个虚拟机、一个分布式虚拟端口组和一个 IP 地址,并且选定的基础架构服务为 DHCP,则向导会使用定义的标记来标记所有组成员。
  6. 单击下一步
  7. 创建组页面中,展开创建环境组
  8. 单击添加组
  9. 环境下拉菜单中,选择组的环境。例如,环境可以是要在拓扑中定义的生产、测试、合作伙伴或自定义环境。
  10. 要定义环境组,请单击 [定义组]
    1. (可选) 组名称字段中,修改默认组名称。
    2. (可选) NSX 标记字段中,修改默认 NSX 标记名称。此标记名称将应用于为环境组选择的所有虚拟机和分布式虚拟端口组。
    3. 展开选择要添加 NSX 标记的虚拟机部分,然后选择必须属于环境组的虚拟机。
    4. 展开 IP 地址部分,然后输入 IP 地址、CIDR 格式的 IP 地址或 IP 范围。支持 IPv4 和 IPv6 格式。
    5. 展开选择要添加 NSX 标记的 DVPG 部分,然后选择必须属于环境组的分布式虚拟端口组。
    6. 单击保存
  11. 单击下一步
  12. 创建组页面中,展开创建应用程序组
  13. 单击添加组
  14. 应用程序组名称下拉菜单中,选择要创建的应用程序组的类型。
  15. 要定义应用程序组,请单击 [定义组]
    1. (可选) 组名称字段中,修改应用程序组的默认组名称。
    2. (可选) NSX 标记字段中,修改默认标记名称。此标记名称将应用于为应用程序组选择的所有虚拟机和分布式虚拟端口组,请输入 NSX 标记。
    3. 展开选择要添加 NSX 标记的虚拟机部分,然后选择必须属于应用程序组的虚拟机。
    4. 展开 IP 地址部分,然后输入 IP 地址、CIDR 格式的 IP 地址或 IP 范围。支持 IPv4 和 IPv6 格式。
    5. 展开选择要添加 NSX 标记的 DVPG 部分,然后选择必须属于应用程序组的分布式虚拟端口组。
    6. 单击保存
  16. 单击下一步

结果

您已创建基础架构组、环境组和应用程序组。

下一步做什么

创建组后,定义防火墙规则以控制工作负载与这些不同组之间通信。

定义和发布组的通信策略

创建组后,定义防火墙规则以控制组之间的通信,定义例外规则,以及用于通信的端口或协议。

前提条件

  • 在主机集群上安装 NSX
  • 创建基础架构组、环境组和应用程序组。

过程

  1. 展开访问基础架构服务部分,然后定义可以访问共享基础架构服务的特定工作负载。
    字段 描述

    在“源”列中,选择可以访问目标基础架构服务的工作负载。
    目标

    即源工作负载访问的已定义基础架构服务。
    (NSX3.2.2) 服务条目

    单击“编辑”图标可添加或编辑服务条目。

    在“服务条目”窗口中,选择服务类型和服务类型的属性。

    注:NSX 3.2.1 和早期版本中,字段名称为 L4
  2. 单击下一步
  3. 展开定义环境之间的通信 (可选) 部分,然后定义组之间的通信。
    字段 描述

    展开此部分以定义哪些源环境必须与目标环境进行通信。

    (NSX 3.2.2):对于列出的每个源组,请选择一种通信方法:不受保护已允许已阻止

    注: 要允许所有源组和目标组之间的所有通信,请选择 允许所有通信

    NSX 3.2.1 和早期版本):要允许开发环境与生产环境之间进行通信,请单击开发和生产之间的红色虚线。在组之间建立绿色线时,将显示已启用状态。
    环境 是系统选择的目标环境。
    (NSX3.2.2) 服务条目 选择源和目标环境中的工作负载用于相互通信的服务类型、端口和属性。

    单击应用

    注:NSX 3.2.1 和早期版本中,字段名称为 L4
  4. 单击下一步
  5. 展开定义应用程序的通信策略 (可选) 部分,然后为应用程序组定义通信。
    字段 描述
    选择一个应用程序组,以便可为其选择通信规则以管理入站或出站流量。
    策略

    选择要应用于应用程序组的防火墙策略。

    支持的防火墙规则包括:
    • 允许所有外部流量。
    • 拒绝入站和允许出站流量。
    • 允许入站和拒绝出站流量。
    • 拒绝所有外部流量。
    注: 如果要将一个防火墙规则应用于所有应用程序组,请单击 选择策略,选择该规则,然后单击 应用
    例外

    根据您希望如何配置防火墙规则,可能需要添加例外。

    默认情况下,不会添加任何例外。要添加例外,请单击 无例外链接。编辑以下字段以添加例外:
    • 源:选择源。
    • 服务条目:选择服务、端口和属性。
    • L7 应用程序 ID:选择应用程序 ID。
    • FQDN:选择应用程序的 FQDN。
    单击 应用
  6. 单击下一步
  7. 展开定义默认防火墙规则的操作 (可选) 部分,然后定义应用于与定义的标准不匹配的流量的操作。
  8. 在“默认规则操作”中,从以下选项中选择一项:
    • 允许:是默认规则集。允许与定义的标准不匹配的所有流量。
    • 丢弃拒绝:要在您的网络中强制实施防火墙规则,可以选择丢弃与定义的标准不匹配的流量。
  9. 单击下一步
  10. 在“查看并发布”页面中,查看应用于组的通信策略和防火墙规则。
    查看应用于组的通信策略和防火墙规则。

    在屏幕截图中,生产规则 1 是用户定义的规则,生产规则 2 是系统定义的默认规则,其中默认操作设置为丢弃

  11. 单击发布策略

结果

向导结束,并且您定义的防火墙策略将应用于组。vCenter Server 中提供了 NSX UI。

下一步做什么

确认从 vSphere Client 发布的防火墙规则已在 NSX Manager UI 上实现。
  1. NSX Manager UI 中,转到清单 → 组
  2. 在“组”页面上,验证您在 vSphere Client 中定义的工作负载组是否已在 NSX Manager 中实现。
  3. 转到安全 → 分布式防火墙页面。
  4. 在“分布式防火墙”页面上,验证您在 vSphere Client 中应用的防火墙规则是否已在 NSX Manager 中实现。