Als VI-Administrator, der in der vSphere-Umgebung arbeitet, können Sie den vereinfachten Workflow anwenden, um ESXi-Cluster für NSX-T-Sicherheit vorzubereiten.

Verwenden Sie den vSphere Client, um ESXi-Cluster für NSX-T-Sicherheit vorzubereiten. Auf solchen Clustern können Sie Mikrosegmentierung, URL-Filterung und verteilte IDS auf Anwendungsarbeitslasten aktivieren. Diese Cluster sind nicht für virtuelle NSX-T-Netzwerke vorbereitet.

Workflow, um NSX-T-Sicherheit über den vSphere Client zu konfigurieren.

Allgemeine Aufgaben:
  • Den Hostcluster vorbereiten.
  • Firewallregeln erstellen
    • Erstellen Sie Gruppen für Infrastrukturdienste (Active Directory, DNS usw.), Umgebungsgruppen (Produktion oder Tests) und Anwendungsgruppen (Web, Datenbank, Anwendung).
    • Definieren Sie die Kommunikationsstrategie. Sie können unter anderem die folgenden Aktionen durchführen:
      • die Kommunikation zwischen einer beliebigen Arbeitslast und Infrastrukturdiensten definieren.
      • die Kommunikation so definieren, dass keine Umgebung mit einer anderen kommunizieren kann.
      • die Kommunikation auf einen bestimmten Port oder ein bestimmtes Protokoll beschränken.
      • Quellarbeitslasten angeben.
      • nach dem Einrichten der Kommunikationsstrategien für Arbeitslasten Ausnahmen einrichten.
    • Aktion für die Standard-Firewallregel definieren (um Datenverkehr zu verarbeiten, der den im Abschnitt „Kommunikation“ definierten Firewallregeln nicht entspricht).
    • Firewallregeln überprüfen und veröffentlichen.

Vorbereiten von Clustern für NSX-T-Sicherheit

Wählen Sie einen Hostcluster aus, um ihn für NSX-T-Sicherheit vorzubereiten.

Im Abschnitt „Erste Schritte“ können Sie zwischen den Optionen Nur Sicherheit und Virtuelles Netzwerk auswählen. Wenn Sie Cluster nur für Sicherheit aktivieren möchten, fordert Sie der Assistent auf, Sicherheitsregeln zu definieren, und verwendet diese Regeln zur automatischen Konfiguration von NSX-T-Sicherheit auf den verteilten virtuellen Portgruppen der ausgewählten Cluster.

Voraussetzungen

  • Achten Sie darauf, dass ESXi-Hosts mit vCenter Server Version v7.0.3 oder höher kompatibel sind.
  • Achten Sie darauf, dass die vCenter Server-Version v7.0.3 oder höher lautet.
  • Konfigurieren eines vSphere Distributed Switches (VDS) auf Hosts. Nur VDS 6.6 oder höher wird unterstützt.
  • Bearbeiten Sie vCenter Server auf einem vSphere Lifecycle Manager-fähigen Cluster über die NSX Manager-Benutzeroberfläche wie folgt:

Prozedur

  1. Melden Sie sich in einem Browser mit Administratorrechten unter https://<vcenter-server-ip-address> bei einem vCenter Server an.
  2. Wählen Sie in der vSphere Client-Benutzeroberfläche das Menü „vSphere Client“ aus und klicken Sie auf NSX.
  3. Klicken Sie auf dem Bildschirm „Willkommen bei NSX“ auf der Karte Nur Sicherheit auf Erste Schritte.
  4. Wählen Sie im Abschnitt Hostcluster-Vorbereitung die Cluster aus, die Sie für „Nur Sicherheit“ vorbereiten möchten, und klicken Sie auf NSX installieren.
  5. Bestätigen Sie im Popup-Fenster „Sicherheit installieren“ mit einem Klick auf Installieren, dass Sie die Verarbeitung durchführen möchten.
    Hinweis: Cluster mit einem inkompatiblen ESXi-Host sind für die Hostvorbereitung nicht zulässig.
  6. Klicken Sie auf Weiter, um Firewallregeln zu definieren.

Ergebnisse

NSX-T wird auf dem Hostcluster installiert.

Nächste Maßnahme

Um einen Verlust der Konnektivität zu vermeiden, fügen Sie vCenter Server und NSX Manager zur DFW-Ausschlussliste hinzu.

Hinzufügen von vCenter Server und NSX Manager zur Ausschlussliste der verteilten Firewall

Um die Konnektivität zu vCenter Server- oder NSX Manager-VMs sicherzustellen, fügen Sie diese VMs in NSX-T zur Ausschlussliste der verteilten Firewall hinzu.

Nachdem Sie die vCenter Server- und NSX Manager-VMs zur Ausschlussliste der verteilten Firewall hinzugefügt haben, geht die Konnektivität zu diesen VMs auch dann nicht verloren, wenn Sie im NSX-T-Plug-in in vCenter Server für die Standard-Firewallrichtlinie Verwerfen konfigurieren. Führen Sie die folgenden Schritte über die NSX Manager-Benutzeroberfläche aus.

Prozedur

  1. Melden Sie sich in einem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Navigieren Sie zu Bestandsliste → Tags.
  3. Erstellen Sie ein neues Tag, z. B. NSX-VM-Tag und fügen Sie sowohl die vCenter Server- als auch die NSX Manager-VMs hinzu.
  4. Erstellen Sie eine neue Gruppe, z. B. NSX-VM-Group.
  5. Klicken Sie im Feld „Computing-Mitglieder“ auf Mitglieder festlegen.
  6. Klicken Sie im Fenster „Mitglieder festlegen“ auf der Seite „Mitgliedschaftskriterien“ auf „Kriterium hinzufügen“.
  7. Legen Sie in der Zeile „Kriterium 1“ für das VM-Tag fest, dass es mit dem NSX-VM-Tag übereinstimmen muss.
  8. Stellen Sie sicher, dass sowohl vCenter Server- als auch NSX Manager-VMs zur Gruppe NSX-VM-Group hinzugefügt wurden.
  9. Klicken Sie auf Übernehmen.
    System-VMs – vCenter Server- und NSX Manager-VMs werden über die Gruppe NSX-VM-Group zur Ausschlussliste der verteilten Firewall hinzugefügt. Die Verbindung zu vCenter Server- und NSX Manager-VMs geht auch dann nicht verloren, wenn für die Firewallrichtlinie Verwerfen festgelegt ist.

Nächste Maßnahme

Starten Sie das NSX-T­Plug-in in vCenter Server und erstellen Sie Firewallregeln, die auf Arbeitslasten angewendet werden können, die auf Hosts ausgeführt werden. Siehe Gruppen erstellen.

Gruppen erstellen

Im Rahmen der Firewallerstellung können Sie Infrastrukturgruppen erstellen, die bestimmte Dienste (z. B. DHCP) ausführen, Umgebungsgruppen definieren (z. B. für Produktion, Tests usw.), die ausgewählte Gruppenmitglieder umfassen, und Anwendungsgruppen mit ausgewählten Gruppenmitgliedern auswählen.

Voraussetzungen

  • Installieren Sie NSX-T auf dem Hostcluster.

Prozedur

  1. Wählen Sie auf der Registerkarte Firewallregeln erstellen die Option Gruppen erstellen aus.
  2. Erweitern Sie auf der Seite Gruppen erstellen den Eintrag Infrastrukturgruppen erstellen.
  3. Klicken Sie auf Gruppe hinzufügen.
  4. Wählen Sie im Dropdown-Menü Infrastrukturdienst einen Dienst aus, z. B. Active Directory. Im nächsten Schritt weisen Sie diesen Dienst einer Gruppe von Mitgliedern zu, die die Infrastrukturgruppe bilden. Sie können einen Infrastrukturdienst nur einmal in einem Workflow erstellen. Nachdem Sie sie erstellt haben, können Sie sie nicht mehr bearbeiten.
  5. Um eine Infrastrukturgruppe zu definieren, klicken Sie auf [Gruppe definieren].

    Eine Infrastruktur kann eine Kombination aus VMs, IP-Adressbereich oder verteilten virtuellen Portgruppen sein.

    1. (Optional) Ändern Sie im Feld Gruppenname den Standardgruppennamen.
    2. (Optional) Ändern Sie im Feld NSX-Tag den Standard-Tagnamen. Das definierte Tag wird auf alle VMs und verteilten virtuellen Portgruppen angewendet, die für die Gruppe ausgewählt wurden. Sie können den Standard-Tagnamen bearbeiten.
    3. Erweitern Sie den Abschnitt VMs zum Hinzufügen von NSX-Tag auswählen, und wählen Sie VMs aus, die in der Infrastrukturgruppe enthalten sein müssen.
    4. Erweitern Sie den Abschnitt IP-Adresse und geben Sie eine IP-Adresse, IP-Adressen im CIDR-Format oder einen IP-Bereich ein. Es wird sowohl das IPv4- als auch das IPv6-Format unterstützt.
    5. Erweitern Sie den Abschnitt DVPGs zum Hinzufügen von NSX-Tag auswählen, und wählen Sie die verteilten virtuellen Portgruppen aus, die in der Infrastrukturgruppe enthalten sein müssen.
    6. Klicken Sie auf Speichern.
      Der Assistent erstellt die Gruppe automatisch und wendet das NSX-Tag auf alle ausgewählten Mitglieder der Gruppe an. Wenn die definierte Gruppe beispielsweise eine VM, eine verteilte virtuelle Portgruppe und eine IP-Adresse enthält und DHCP der ausgewählte Infrastrukturdienst ist, kennzeichnet der Assistent alle Gruppenmitglieder mit dem definierten Tag.
  6. Klicken Sie auf Weiter.
  7. Erweitern Sie auf der Seite Gruppen erstellen den Eintrag Umgebungsgruppe erstellen.
  8. Klicken Sie auf Gruppe hinzufügen.
  9. Wählen Sie im Dropdown-Menü Umgebung die Umgebung für die Gruppe aus. Eine Umgebung kann beispielsweise eine Produktions-, Test-, Partner- oder benutzerdefinierte Umgebung sein, die Sie in Ihrer Topologie definieren möchten.
  10. Um eine Umgebungsgruppe zu definieren, klicken Sie auf [Gruppe definieren].
    1. (Optional) Ändern Sie im Feld Gruppenname den Standardgruppennamen.
    2. (Optional) Ändern Sie im Feld NSX-Tag den Standardnamen für das NSX-Tag. Dieser Tag-Name wird auf alle VMs und verteilten virtuellen Portgruppen angewendet, die für die Umgebungsgruppe ausgewählt wurden.
    3. Erweitern Sie den Abschnitt VMs zum Hinzufügen von NSX-Tag auswählen, und wählen Sie VMs aus, die in der Umgebungsgruppe enthalten sein müssen.
    4. Erweitern Sie den Abschnitt IP-Adresse und geben Sie eine IP-Adresse, IP-Adressen im CIDR-Format oder einen IP-Bereich ein. Es wird sowohl das IPv4- als auch das IPv6-Format unterstützt.
    5. Erweitern Sie den Abschnitt DVPGs zum Hinzufügen von NSX-Tag auswählen, und wählen Sie die verteilten virtuellen Portgruppen aus, die in der Umgebungsgruppe enthalten sein müssen.
    6. Klicken Sie auf Speichern.
  11. Klicken Sie auf Weiter.
  12. Erweitern Sie auf der Seite Gruppen erstellen den Eintrag Anwendungsgruppe erstellen.
  13. Klicken Sie auf Gruppe hinzufügen.
  14. Wählen Sie im Dropdown-Menü Name der Anwendungsgruppe den Typ der zu erstellenden Anwendungsgruppe aus.
  15. Um eine Anwendungsgruppe zu definieren, klicken Sie auf [Gruppe definieren].
    1. (Optional) Ändern Sie im Feld Gruppenname den Standardgruppennamen für die Anwendungsgruppe.
    2. (Optional) Ändern Sie im Feld NSX-Tag den Standard-Tagnamen. Dieser Tag-Name wird auf alle VMs und verteilten virtuellen Portgruppen angewendet, die für die Anwendungsgruppe ausgewählt wurden. Geben Sie ein NSX-Tag ein.
    3. Erweitern Sie den Abschnitt VMs zum Hinzufügen von NSX-Tag auswählen, und wählen Sie VMs aus, die in der Anwendungsgruppe enthalten sein müssen.
    4. Erweitern Sie den Abschnitt IP-Adresse und geben Sie eine IP-Adresse, IP-Adressen im CIDR-Format oder einen IP-Bereich ein. Es wird sowohl das IPv4- als auch das IPv6-Format unterstützt.
    5. Erweitern Sie den Abschnitt DVPGs zum Hinzufügen von NSX-Tag auswählen, und wählen Sie die verteilten virtuellen Portgruppen aus, die in der Anwendungsgruppe enthalten sein müssen.
    6. Klicken Sie auf Speichern.
  16. Klicken Sie auf Weiter.

Ergebnisse

Sie haben Infrastrukturgruppen, Umgebungsgruppen und Anwendungsgruppen erstellt.

Nächste Maßnahme

Definieren Sie nach dem Erstellen von Gruppen Firewallregeln, die die Kommunikation zwischen Arbeitslasten und diesen verschiedenen Gruppen steuern.

Definieren und Veröffentlichen von Kommunikationsstrategien für Gruppen

Nachdem Sie Gruppen erstellt haben, definieren Sie Firewallregeln zur Steuerung der Kommunikation zwischen Gruppen sowie Ausnahmen und Ports oder Protokolle für die Kommunikation.

Voraussetzungen

  • Installieren Sie NSX-T auf dem Hostcluster.
  • Erstellen Sie Infrastrukturgruppen, Umgebungsgruppen und Anwendungsgruppen.

Prozedur

  1. Erweitern Sie den Abschnitt Zugang zu Infrastrukturdiensten und definieren Sie bestimmte Arbeitslasten, die auf gemeinsam genutzte Infrastrukturdienste zugreifen können.
    Feld Beschreibung
    Quelle

    Wählen Sie in der Spalte „Quelle“ die Arbeitslasten aus, die auf den Zielinfrastrukturdienst zugreifen können.

    Ziel

    Ist der definierte Infrastrukturdienst, auf den Quellarbeitslasten zugreifen.

    (NSX-T 3.2.2) Diensteintrag

    Klicken Sie auf das Symbol „Bearbeiten“, um Diensteinträge hinzuzufügen oder zu bearbeiten.

    Wählen Sie im Fenster „Diensteintrag“ einen Diensttyp und die Eigenschaften des Diensttyps aus.

    Hinweis: In NSX-T 3.2.1 und früheren Versionen lautete der Feldname L4.
  2. Klicken Sie auf Weiter.
  3. Erweitern Sie den Abschnitt Kommunikation zwischen Umgebungen definieren (Optional) und definieren Sie die Kommunikation zwischen Gruppen.
    Feld Beschreibung
    Quelle

    Erweitern Sie den Abschnitt, um zu definieren, welche Quellumgebung mit einer Zielumgebung kommunizieren muss.

    (NSX-T 3.2.2): Wählen Sie für jede aufgelistete Quellgruppe eine Kommunikationsmethode aus: Ungeschützt, Zulässig oder Blockiert.

    Hinweis: Um die gesamte Kommunikation zwischen allen Quellgruppen und der Zielgruppe zuzulassen, wählen Sie Gesamte Kommunikation zulassen aus.

    (NSX-T 3.2.1 und frühere Versionen): Wenn Sie die Kommunikation zwischen einer Entwicklungsumgebung und einer Produktionsumgebung zulassen möchten, klicken Sie auf die rot gepunktete Linie zwischen Entwicklung und Produktion. Der Status „Aktiviert“ wird angezeigt, wenn eine grüne Linie zwischen Gruppen verläuft.

    Umgebung Ist die vom System ausgewählte Zielumgebung.
    (NSX-T 3.2.2) Diensteintrag Wählen Sie den Diensttyp, die Ports und Eigenschaften aus, über die die Arbeitslasten in Quell- und Zielumgebungen miteinander kommunizieren.

    Klicken Sie auf Übernehmen.

    Hinweis: In NSX-T 3.2.1 und früheren Versionen lautete der Feldname L4.
  4. Klicken Sie auf Weiter.
  5. Erweitern Sie den Abschnitt Kommunikationsstrategien für Anwendungen definieren (Optional) und definieren Sie die Kommunikation für Anwendungsgruppen.
    Feld Beschreibung
    Quelle Wählen Sie eine Anwendungsgruppe aus, für die Sie Kommunikationsregeln auswählen können, um eingehenden oder ausgehenden Datenverkehr zu verwalten.
    Strategie

    Wählen Sie eine Firewallstrategie aus, die auf eine Anwendungsgruppe angewendet werden soll.

    Unterstützte Firewallregeln:
    • Gesamten externen Datenverkehr zulassen.
    • Eingehenden Datenverkehr verweigern und ausgehenden Datenverkehr zulassen.
    • Eingehenden Datenverkehr zulassen und ausgehenden Datenverkehr verweigern.
    • Gesamten externen Datenverkehr verweigern.
    Hinweis: Wenn Sie eine Firewallregel auf alle Anwendungsgruppen anwenden möchten, klicken Sie auf Strategie auswählen, wählen Sie die Regel aus und klicken Sie auf Übernehmen.
    Ausnahme

    Je nachdem, wie Sie die Firewallregel konfigurieren möchten, können Sie Ausnahmen hinzufügen.

    Standardmäßig werden keine Ausnahmen hinzugefügt. Um eine Ausnahme hinzuzufügen, klicken Sie auf den Link Keine Ausnahmen. Bearbeiten Sie folgende Felder, um Ausnahmen hinzuzufügen:
    • Quelle: Wählen Sie die Quelle aus.
    • Diensteintrag: Wählen Sie den Dienst, den Port und die Eigenschaften aus.
    • L7-App-ID: Wählen Sie die App-ID aus.
    • FQDN: Wählen Sie den FQDN der Anwendung aus.
    Klicken Sie auf Anwenden.
  6. Klicken Sie auf Weiter.
  7. Erweitern Sie den Abschnitt Aktion für die Standard-Firewallregel definieren (Optional) und definieren Sie eine Aktion, die auf Datenverkehr angewendet wird, der nicht den definierten Kriterien entspricht.
  8. Wählen Sie in der Aktion für die Standardregel eine der folgenden Optionen aus:
    • Zulassen: ist der Standardregelsatz. Lässt den gesamten Datenverkehr zu, der nicht mit den definierten Kriterien übereinstimmt.
    • Verwerfen oder Ablehnen: Um Firewallregeln innerhalb Ihres Netzwerks zu erzwingen, können Sie Datenverkehr verwerfen, der nicht den definierten Kriterien entspricht.
  9. Klicken Sie auf Weiter.
  10. Überprüfen Sie auf der Seite „Überprüfen und veröffentlichen“ die Kommunikationsstrategien und Firewallregeln, die Sie auf die Gruppen angewendet haben.
    Überprüfen Sie die Kommunikationsstrategien und Firewallregeln, die auf die Gruppen angewendet werden.

    Im Screenshot ist Produktionsregel 1 eine benutzerdefinierte Regel und Produktionsregel 2 eine systemdefinierte Standardregel, wobei als Standardaktion Verwerfen festgelegt ist.

  11. Klicken Sie auf Richtlinien veröffentlichen.

Ergebnisse

Der Assistent wird beendet und die von Ihnen definierten Firewallrichtlinien werden auf die Gruppen angewendet. Die NSX-Benutzeroberfläche ist in vCenter Server verfügbar.

Nächste Maßnahme

Überprüfen Sie, ob die von vSphere Client veröffentlichten Firewallregeln in der NSX Manager-Benutzeroberfläche realisiert sind.
  1. Navigieren Sie in der NSX Manager-Benutzeroberfläche zu Bestandsliste → Gruppen.
  2. Überprüfen Sie auf der Seite „Gruppen“, ob die Arbeitslastgruppen, die Sie in vSphere Client definiert haben, in NSX Manager realisiert werden.
  3. Wechseln Sie zur Seite Sicherheit → Verteilte Firewall.
  4. Überprüfen Sie auf der Seite „Verteilte Firewall“, ob die Firewallregeln, die Sie in vSphere Client angewendet haben, in NSX Manager realisiert werden.