NSX 允许在 vSphere Distributed Switch (VDS) 上使用分布式安全功能。由于主机交换机的类型为 VDS,因此您可以在工作负载虚拟机上启用 DFW 功能。

NSX 4.2 开始,DFW 既支持在 vSphere 中创建的 DVPG,也支持在同一集群的 NSX 中创建的分段。

Distributed Security 为您的 VDS 提供安全相关功能,例如:

  • 分布式防火墙 (DFW)
  • 分布式 IDS/IPS
  • 身份防火墙
  • L7 应用程序 ID
  • 完全限定域名 (FQDN) 筛选
  • NSX Intelligence
  • NSX 恶意软件防护
  • NSX 客户机侦测

在 DVPG 上激活安全功能后,NSX 会发现 DVPG 端口和 DVPG 分段。

前提条件

以下是安装适用于 VDS 的 Distributed Security 的要求:
  • vSphere 7.0.3 或更高版本。

  • vSphere 集群应至少有一个已配置分布式交换机 7.0.3 或更高版本的 VDS,并且 ESXi 集群主机必须是配置了上行链路的 VDS 的成员。

  • 必须在 NSX 中注册一个计算管理器。请参见添加计算管理器

  • 在主机上部署和配置 Distributed Security 之前,请确保未在此类主机上部署 NSX。

过程

  1. 从浏览器中,使用 admin 特权登录到位于 https://<nsx-manager-ip-address> 中的 NSX Manager。
  2. 导航到系统 > 快速入门
  3. 准备集群以实现网络连接和安全性卡上,单击开始
  4. 选择要激活分布式安全功能的集群。
  5. 单击安装 NSX,然后在网络下选择 VLAN覆盖网络
    注:

    选择 VLAN 只会启用 NSX VLAN 网络。

  6. 在对话框中,单击安装
  7. 导航到系统 > Fabric > 主机页面,以便在集群内激活 DVPG 上的安全功能。
  8. 主机 > 集群页面上,选择要在集群内的 DVPG 上激活安全功能的集群。
    注:

    确保选择 VDS 跨越的所有集群。如果遗漏了 VDS 跨越的集群,将不会在该集群的 DVPG 上激活安全功能。

  9. 主机页面上,单击操作 > 激活“DVPG 上的 NSX”
    注:

    在 DVPG 上激活之前,请将所有管理设备添加到 DFW 排除列表以保护这些设备。

  10. 激活“DVPG 上的 NSX”卡上,单击以激活 DVPG。

    NSX 会发现与 VDS 交换机关联的端口组。要了解有关如何查找在 NSX 中发现的端口的更多信息,请参见分布式端口组

  11. 要在集群内停用 DVPG 上的安全功能,请执行以下操作:
    1. 主机 > 集群页面上,选择要在集群内的 DVPG 上停用安全功能的集群。
    2. 主机页面上,单击操作 > 停用“DVPG 上的 NSX”

结果

成功在集群上激活安全功能后,在“主机”页面上,DVPG 上的 NSX 列状态将更新为。Distributed Security 安装后,您可以开始使用安全功能,例如,为 VDS 创建 DFW 策略和规则。