Dieser Abschnitt enthält den Konfigurations-Workflow zur Vorbereitung Ihrer Umgebung mit NSX Distributed Security für den Schutz der virtuellen Maschinen.

Voraussetzungen

Sie haben NSX Manager bereitgestellt und die gültigen Lizenzen konfiguriert.

Konfigurations-Workflow

Die Vorbereitung Ihrer virtuellen Umgebung für NSX Distributed Security umfasst zwei Hauptschritte:

  • Compute Manager (vCenter) konfigurieren
  • vCenter-Cluster ( ESXi-Hosts) für NSX Distributed Security vorbereiten

1: Konfigurieren von Compute Manager (vCenter)

Sie müssen vCenter Server als Compute Manager auf NSX-T hinzufügen, um die gesamte Bestandsliste der vCenter Server-Hosts und -Cluster anzuzeigen. Sie können dann die verfügbare Bestandsliste nutzen, um ESXi-Hosts und -Cluster für NSX Security vorzubereiten.

  1. Melden Sie sich in Ihrem Browser unter https://<nsx-manager-ip-address> mit den Admin-Anmeldedaten bei der NSX Manager-Appliance an.

  2. Registrieren Sie NSX-T bei vCenter Server über den Menüpfad System > Fabric > Compute Managers > Compute Manager hinzufügen. Fügen Sie den vCenter Server als Compute Manager hinzu.

    Compute Manager hinzufügen

  3. Validieren Sie die Registrierung von NSX-T im vCenter Server auf der Seite System > Fabric > Compute Managers. Klicken Sie auf Aktualisieren und zeigen Sie den Verbindungsstatus an.

    Compute Manager aktualisieren

Nach erfolgreicher vCenter Server-Registrierung können Sie die konfigurierte Bestandsliste der vCenter Server-Hostcluster über die NSX Manager-Benutzeroberfläche anzeigen. Navigieren Sie in der NSX Manager-Benutzeroberfläche zu System > Fabric > Knoten, um die Bestandsliste anzuzeigen.

Über die NSX Manager-Benutzeroberfläche können Sie mehrere vCenter Server konfigurieren, indem Sie für jeden vCenter Server dieselben Schritte ausführen.

2: Vorbereiten des vCenter-Clusters ( ESXi-Hosts) für NSX Distributed Security

NSX Distributed Security beinhaltet die Vorbereitung des vCenter Server-Computing-Clusters von NSX-T. NSX-T unterstützt die folgenden beiden Hostvorbereitungsmodi:

  1. Nur Sicherheit: Verteilte Sicherheit für VDS-Portgruppen:
    • Unterstützt die Sicherheit für VMs, die mit den nativen verteilten virtuellen Portgruppen (Distributed Virtual Port Groups, DVPG) von vCenter verbunden sind.
    • Unterstützt vSphere 6.7 und vSphere 7.0 Update1 oder höher.
    • Bietet keine Unterstützung für NSX-T-Netzwerke für die Arbeitslast innerhalb des für NSX-T vorbereiteten vCenter Server-Clusters.
    • Der Workflow wird nur bei Verwendung des Schnellstartassistenten unterstützt.
  2. Netzwerk und Sicherheit: Verteilte Sicherheit mit NSX-T-Netzwerken:
    • Unterstützt NSX-T-Netzwerke und verteilte Sicherheit für die Arbeitslast innerhalb des für NSX-T vorbereiteten vCenter Server-Clusters.
    • Wenn mit VLAN verbundene Arbeitslasten verteilte Sicherheit benötigen, müssen Sie die Arbeitslast von DVPG in die NSX-T VLAN-Segmente verschieben.
    • Der Workflow wird mit dem Schnellstartassistenten oder manuell über das Menü System > Fabric > Knoten unterstützt.

Wählen Sie basierend auf Ihrer Umgebung die erforderliche Bereitstellungsmethode aus. Die NSX-T-Umgebung kann eine Mischung aus Clustern aufweisen, die nur für NSX Security oder für NSX-Netzwerke und -Sicherheit vorbereitet wurden. Weitere Informationen zu den einzelnen Bereitstellungsmodi werden weiter unten in diesem Abschnitt behandelt.

2.1: Hostvorbereitung nur für Sicherheit – Verteilte Sicherheit für VDS-Portgruppen

Nachdem Sie den Compute Manager konfiguriert haben, können Sie Cluster von ESXi-Hosts nur für die verteilte Sicherheit vorbereiten. Die Hosts in Ihrem Cluster müssen VDS gemeinsam nutzen.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Navigieren Sie zu System > Schnellstart.
  3. Klicken Sie auf der Karte Cluster für Netzwerke und Sicherheit vorbereiten auf Erste Schritte.

    Schnellstart-Widget zur schnellen Vorbereitung von Clustern nur für Sicherheit

  4. Wählen Sie die Cluster aus, auf denen Sie Distributed Security installieren möchten.
  5. Klicken Sie auf NSX installieren und wählen Sie Nur Sicherheit aus.
  6. Klicken Sie im Dialogfeld auf Installieren.

    Die NSX-Hostvorbereitung beginnt mit der Installation der erforderlichen Softwaremodule auf den ESXi-Hosts.

    Dieser Vorgang dauert einige Minuten. Nach Abschluss des Vorgangs ändert sich der Status in Erfolg. Die Objekte wie Transportknotenprofil, Transportzone und verteilte Portgruppen werden automatisch erstellt.

    Installationsvorgang mit dem Status „Wird durchgeführt“ und „Abgeschlossen“

  7. Gehen Sie wie folgt vor, um VDS mit installierter Distributed Security anzuzeigen:
    1. Navigieren Sie zu System > Fabric > Knoten.
    2. Klicken Sie auf die Registerkarte Host-Transportknoten.
      Hinweis: Für Distributed Security vorbereitete vSphere-Cluster sind durch die Bezeichnung Sicherheit gekennzeichnet.

Ergebnisse

Wechseln Sie in der NSX Manager-Benutzeroberfläche zur Registerkarte Netzwerk > Segmente > Verteilte Portgruppen, um die DVPG-Bestandsliste vom vCenter Server anzuzeigen.

Wechseln Sie in der NSX Manager-Benutzeroberfläche zu Bestand > Virtuelle Maschinen, um die Bestandsliste der virtuellen Maschinen von allen ESXi-Hosts anzuzeigen.

Nächste Maßnahme

Sie können jetzt mit der Konfiguration Ihrer Richtlinie für die Arbeitslasten beginnen, die auf DVPG auf dem vorbereiteten vCenter Server gehostet werden.

2.2: Netzwerk und Sicherheit – Verteilte Sicherheit mit NSX-T-Netzwerken

Nachdem Sie den Compute Manager konfiguriert haben, können Sie Cluster von ESXi-Hosts für VLAN-Netzwerke und verteilte Sicherheit zusammen vorbereiten.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Klicken Sie auf der Karte Cluster für Netzwerke und Sicherheit vorbereiten auf Erste Schritte.
  3. Wählen Sie die Cluster aus, die Sie für ein NSX-T-Netzwerk vorbereiten möchten.
  4. Klicken Sie auf NSX installieren und dann auf Netzwerke und Sicherheit.
    Schnellstartinstallation für Netzwerke und Sicherheit (VLAN-basiert)
  5. Abhängig von Ihren Anforderungen können Sie denselben Cluster sowohl für VLANs als auch für Overlay-Netzwerke oder für einen Netzwerktyp vorbereiten. Beim Overlay-Netzwerk wird jeder Host-Switch mit einer TEP-IP-Adresse hinzugefügt, die für ein Overlay-Netzwerk erforderlich ist.
    Vorbereiten eines Clusters für VLAN und Overlay-Netzwerke
  6. Sehen Sie sich die Host-Switch-Konfiguration an, um die zielseitigen Switches zu kennen, auf die die physischen Netzwerkkarten und VMkernel-Adapter (sofern vorhanden) migriert werden.
    Es handelt sich hierbei um die von NSX-T empfohlene Konfiguration. Sie können die Einstellungen für den Cluster anpassen, wobei es sich jedoch um einen optionalen Schritt handelt.
    Hinweis: Eine gepunktete Linie zwischen einem Switch und einer physischen Netzwerkkarte weist darauf hin, dass es sich um eine vorhandene Konfiguration auf dem Host-Switch handelt, die durch eine durchgezogene Linie zur gleichen physischen Netzwerkkarte ersetzt wird.
  7. Auch wenn NSX-T Empfehlungen bietet, können Sie die Konfiguration dennoch anpassen. Um einen Switch anzupassen, wählen Sie den Switch aus und ändern Sie die empfohlene Konfiguration.
    1. Typ: Ändern Sie den Host-Switch-Typ.
    2. Transportzone: Wählen Sie eine andere Transportzone aus, mit der der Host verknüpft werden soll.
    3. Uplink-Profil: Wählen Sie bei Bedarf ein anderes Uplink-Profil statt des empfohlenen Uplink-Profils aus.
      Hinweis: Wenn Sie zwei VDS-Switches mit derselben Konfiguration konfigurieren, empfiehlt der Assistent für beide Switches dasselbe Uplink-Profil.
    4. Zuordnung der physischen Netzwerkkarte zu Uplink: Auf einem VDS-Switch werden alle Uplinks, die auf dem VDS-Switch konfiguriert sind, den Uplinks in NSX-T zugeordnet. Auf einem N-VDS-Switch werden Uplinks vmnics zugeordnet.
      Eine Änderung des Host-Switch-Typs oder der Zuordnung von Uplink und vmnic wird in der Netzwerkdarstellung der Host-Switch-Konfiguration widergespiegelt.
  8. Klicken Sie auf Installieren.

    Die NSX-Hostvorbereitung beginnt mit der Installation der erforderlichen Softwaremodule auf den ESXi-Hosts.

    Den Fortschritt der Installation sehen Sie auf der Karte Cluster für Netzwerke und Sicherheit vorbereiten. Falls die Installation auf einem Host fehlschlägt, versuchen Sie, die Installation erneut zu starten, indem Sie den Fehler beheben.

    Dieser Vorgang dauert einige Minuten. Nach Abschluss des Vorgangs ändert sich der Status in Erfolg.

  9. Um erfolgreich vorbereitete Hosts anzuzeigen, navigieren Sie zu System → Fabric → Knoten → Host-Transportknoten.

Ergebnisse

Klicken Sie in der NSX Manager-Benutzeroberfläche auf die Registerkarte Bestand > Virtuelle Maschinen, um die Bestandsliste der virtuellen Maschinen von allen ESXi-Hosts anzuzeigen.

Hinweis: Ein für Netzwerke und Sicherheit vorbereiteter vCenter Server-Cluster bietet keine Unterstützung für die Sicherheit für Arbeitslasten, die direkt mit dem DVPG verbunden sind. Wenn die mit dem DVPG-VLAN verbundene Arbeitslast Sicherheit benötigt, müssen Sie die Arbeitslast in NSX VLAN-Segmente (mit demselben VLAN) verschieben oder die Arbeitslasten in den Cluster verschieben, der nur für NSX Security vorbereitet ist.

Weitere Informationen finden Sie unter Administratorhandbuch für NSX-T Data Center.

Nächste Maßnahme

Sie können jetzt mit der Konfiguration Ihrer Richtlinie für die Arbeitslasten beginnen, die auf den NSX-Segmenten auf den vorbereiteten vCenter Server-Clustern gehostet werden.