Sie können die verteilte Sicherheit nur für einen vSphere Distributed Switch (VDS) installieren. Mit anderen Worten: Sie können die verteilte Sicherheit auf einem VDS verwenden, ohne einen NSX Virtual Distributed Switch (N-VDS) bereitstellen zu müssen.
Die Installation der verteilten Sicherheit für VDS bietet NSX-Sicherheitsfunktionen wie die folgenden:
- Verteilte Firewall (Distributed Firewall, DFW)
- Verteilte IDS/IPS
- Identitätsbasierte Firewall
- L7-App-ID
- Filtern des vollqualifizierten Domänennamens (FQDN)
- NSX Intelligence
- NSX Malware-Schutz
- NSX Guest Introspection
Weitere Informationen zum Installieren der verteilten Sicherheit für VDS finden Sie unter Installieren von Distributed Security for vSphere Distributed Switch.
Installationsvorgang
Wenn Sie die verteilte Sicherheit installieren, werden Konfigurationsänderungen nur in NSX-T vorgenommen und es gibt keine Änderungen in vCenter Server. Die Details des VDS werden erkannt und die folgenden Objekte werden automatisch in NSX-T erstellt, um die VDS-Details darzustellen:
- Ein Transportknotenprofil für jeden Cluster .
- Ein Host-Switch für jeden VDS.
- Eine VLAN-Transportzone für jeden VDS.
Diese Objekte werden vom System generiert und können nicht konfiguriert oder bearbeitet werden .
Darüber hinaus werden im Rahmen der VDS-Erkennung die verteilten virtuellen Portgruppen (DVPG) und DVports des VDS als Objekte in NSX-T erstellt. Weitere Einzelheiten finden Sie unter Verteilte Portgruppen.
Alle Änderungen am VDS in vCenter Server werden automatisch in NSX-T aktualisiert.
vMotion von VMs zwischen Clustern mit oder ohne verteilte Sicherheit
Wenn Sie einen vMotion-Vorgang für eine VM von einem Cluster ohne verteilte Sicherheit auf einem Cluster mit verteilter Sicherheit ausführen, werden die Sicherheitsrichtlinien des Clusters mit verteilter Sicherheit auf die VM angewendet.
Umgekehrt werden die Sicherheitsrichtlinien entfernt, wenn Sie einen vMotion-Vorgang für eine VM von einem Cluster mit verteilter Sicherheit auf einem Cluster ohne verteilte Sicherheit ausführen.
Auswirkungen von Upgrades auf VDS auf die verteilte Sicherheit
Das Upgrade eines VDS mit verteilter Sicherheit kann zu vorübergehenden Unterbrechungen der DFW führen.
VDS-Upgrade-Pfad | Auswirkungen auf die verteilte Sicherheit |
---|---|
Beim Upgrade von VDS 6.6 auf eine beliebige Version vor VDS 7.0.3. | Es gibt keine Unterbrechungen bei der DFW. |
Beim Upgrade von VDS 6.6, 7.0 oder 7.0.2 auf VDS 7.0.3. | Die DFW-Richtlinien auf dem VDS werden während des Upgrade-Vorgangs auf jedem Host aufgrund eines Ausfalls der Datenebene, die auf dem Host auftritt, für einen kurzen Moment nicht erzwungen. Das VDS-Upgrade wird gleichzeitig auf allen Hosts ausgeführt, sodass der gesamte Ausfallzeitraum für jeden Cluster nicht von Bedeutung ist.
Hinweis: Während des Upgrade-Vorgangs werden die DFW-Richtlinien nicht geändert, sie werden nur nicht erzwungen .
Während der Upgrade-Vorgang auf dem Host abgeschlossen ist, werden die DFW-Richtlinien auf dem Host unterstützt . |