Dieser Abschnitt enthält den Konfigurations-Workflow zur Vorbereitung Ihrer Umgebung mit NSX Distributed Security für den Schutz der virtuellen Maschinen.

Voraussetzungen

Sie haben NSX Manager bereitgestellt und die gültigen Lizenzen konfiguriert.

Konfigurations-Workflow

Die Vorbereitung Ihrer virtuellen Umgebung für NSX Distributed Security umfasst zwei Hauptschritte:

  • Compute Manager (vCenter) konfigurieren
  • vCenter-Cluster (ESXi-Hosts) für NSX Distributed Security vorbereiten

1: Konfigurieren von Compute Manager (vCenter)

Sie müssen VMware vCenter als Compute Manager auf NSX hinzufügen, um die gesamte Bestandsliste der VMware vCenter-Hosts und -Cluster anzuzeigen. Sie können dann die verfügbare Bestandsliste nutzen, um ESXi-Hosts und -Cluster für NSX Security vorzubereiten.

  1. Melden Sie sich in Ihrem Browser unter https://<nsx-manager-ip-address> mit den Admin-Anmeldedaten bei der NSX Manager-Appliance an.

  2. Registrieren Sie NSX bei VMware vCenter über den Menüpfad System > Fabric > Compute Managers > Compute Manager hinzufügen. Fügen Sie den VMware vCenter als Compute Manager hinzu.

    Compute Manager hinzufügen

  3. Validieren Sie die Registrierung von NSX im VMware vCenter auf der Seite System > Fabric > Compute Managers. Klicken Sie auf Aktualisieren und zeigen Sie den Verbindungsstatus an.

    Compute Manager aktualisieren

Nach erfolgreicher VMware vCenter-Registrierung können Sie die konfigurierte Bestandsliste der VMware vCenter-Hostcluster über die NSX Manager-Benutzeroberfläche anzeigen. Navigieren Sie in der NSX Manager-Benutzeroberfläche zu System > Fabric > Hosts, um die Bestandsliste anzuzeigen.

Über die NSX Manager-Benutzeroberfläche können Sie mehrere VMware vCenter konfigurieren, indem Sie für jeden VMware vCenter dieselben Schritte ausführen.

2: Vorbereiten des vCenter-Clusters (ESXi-Hosts) für NSX Distributed Security

NSX Distributed Security beinhaltet die Vorbereitung des VMware vCenter-Computing-Clusters von NSX. NSX unterstützt die folgenden beiden Hostvorbereitungsmodi:

  1. Nur Sicherheit: Verteilte Sicherheit für VDS-Portgruppen:
    • Unterstützt die Sicherheit für VMs, die mit den nativen verteilten virtuellen Portgruppen (Distributed Virtual Port Groups, DVPG) von vCenter verbunden sind.
    • Unterstützt vSphere 6.7 und vSphere 7.0 Update1 oder höher.
    • Bietet keine Unterstützung für NSX-Netzwerke für die Arbeitslast innerhalb des für NSX vorbereiteten VMware vCenter-Clusters.
    • Der Workflow wird nur bei Verwendung des Schnellstartassistenten unterstützt.
  2. Netzwerk und Sicherheit: Verteilte Sicherheit mit NSX-Netzwerken:
    • Unterstützt NSX-Netzwerke und verteilte Sicherheit für die Arbeitslast innerhalb des für NSX vorbereiteten VMware vCenter-Clusters.
    • Wenn mit VLAN verbundene Arbeitslasten verteilte Sicherheit benötigen, müssen Sie die Arbeitslast von DVPG in die NSX VLAN-Segmente verschieben.
    • Der Workflow wird mit dem Schnellstartassistenten oder manuell über das Menü System > Fabric > Hosts unterstützt. In diesem Handbuch wird der Schnellstartassistent beschrieben. Informationen zum manuellen Workflow finden Sie unter Installationshandbuch für NSX.

Wählen Sie basierend auf Ihrer Umgebung die erforderliche Bereitstellungsmethode aus. Die NSX-Umgebung kann eine Mischung aus Clustern aufweisen, die nur für NSX Security oder für NSX-Netzwerke und -Sicherheit vorbereitet wurden. Weitere Informationen zu den einzelnen Bereitstellungsmodi werden weiter unten in diesem Abschnitt behandelt.

2.1: Hostvorbereitung nur für Sicherheit – Verteilte Sicherheit für VDS-Portgruppen

Nachdem Sie den Compute Manager konfiguriert haben, können Sie Cluster von ESXi-Hosts nur für die verteilte Sicherheit vorbereiten. Die Hosts in Ihrem Cluster müssen VDS gemeinsam nutzen.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Navigieren Sie zu System > Schnellstart.
  3. Klicken Sie auf der Karte Cluster für Netzwerke und Sicherheit vorbereiten auf Erste Schritte.

    Schnellstart-Widget zur schnellen Vorbereitung von Clustern nur für Sicherheit

  4. Wählen Sie die Cluster aus, auf denen Sie Distributed Security installieren möchten.
  5. Klicken Sie auf NSX installieren und wählen Sie Nur Sicherheit aus.
  6. Klicken Sie im Dialogfeld auf Installieren.

    Die NSX-Hostvorbereitung beginnt mit der Installation der erforderlichen Softwaremodule auf den ESXi-Hosts.

    Dieser Vorgang dauert einige Minuten. Nach Abschluss des Vorgangs ändert sich der Status in Erfolg. Die Objekte wie Transportknotenprofil, Transportzone und verteilte Portgruppen werden automatisch erstellt.

    Installationsvorgang mit dem Status „Wird durchgeführt“ und „Abgeschlossen“

  7. Um VDS mit installierter Distributed Security anzuzeigen, navigieren Sie zu System > Fabric > Hosts.
    Hinweis: Für Distributed Security vorbereitete vSphere-Cluster sind durch die Bezeichnung Sicherheit gekennzeichnet.

Ergebnisse

Wechseln Sie in der NSX Manager-Benutzeroberfläche zur Registerkarte Netzwerk > Segmente > Verteilte Portgruppen, um die DVPG-Bestandsliste vom VMware vCenter anzuzeigen.

Wechseln Sie in der NSX Manager-Benutzeroberfläche zu Bestand > Virtuelle Maschinen, um die Bestandsliste der virtuellen Maschinen von allen ESXi-Hosts anzuzeigen.

Nächste Maßnahme

Sie können jetzt mit der Konfiguration Ihrer Richtlinie für die Arbeitslasten beginnen, die auf DVPG auf dem vorbereiteten VMware vCenter gehostet werden.

2.2: Netzwerke und Sicherheit – Verteilte Sicherheit mit NSX-Netzwerken

Nachdem Sie den Compute Manager konfiguriert haben, können Sie Cluster von ESXi-Hosts für VLAN-Netzwerke und verteilte Sicherheit zusammen vorbereiten.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Klicken Sie auf der Karte Cluster für Netzwerke und Sicherheit vorbereiten auf Erste Schritte.
  3. Wählen Sie die Cluster aus, die Sie für ein NSX-Netzwerk vorbereiten möchten.
  4. Klicken Sie auf NSX installieren und dann auf Netzwerke und Sicherheit.
    Schnellstartinstallation für Netzwerke und Sicherheit (VLAN-basiert)
  5. Abhängig von Ihren Anforderungen können Sie denselben Cluster sowohl für VLANs als auch für Overlay-Netzwerke oder für einen Netzwerktyp vorbereiten. Beim Overlay-Netzwerk wird jeder Host-Switch mit einer TEP-IP-Adresse hinzugefügt, die für ein Overlay-Netzwerk erforderlich ist.
    Vorbereiten eines Clusters für VLAN und Overlay-Netzwerke
  6. Zeigen Sie die empfohlene Host-Switch-Konfiguration für NSX an.
    Sie können die Einstellungen für den Cluster anpassen, wobei es sich jedoch um einen optionalen Schritt handelt.
    Hinweis: Eine gepunktete Linie zwischen einem Switch und einer physischen Netzwerkkarte weist darauf hin, dass es sich um eine vorhandene Konfiguration auf dem Host-Switch handelt, die durch eine durchgezogene Linie zur gleichen physischen Netzwerkkarte ersetzt wird.
  7. Auch wenn NSX Empfehlungen bietet, können Sie die Konfiguration dennoch anpassen. Um den Host-Switch anzupassen wählen Sie den Switch aus und ändern Sie die empfohlene Konfiguration.
    1. IP-Zuweisung: Ist anwendbar, wenn Overlay für den Host-Switch ausgewählt ist. Wählen Sie den IP-Zuweisungstyp DHCP oder einen vorab erstellten IP-Pool für den Overlay-VTEP-Pool aus.
    2. VDS: Wählen Sie den VDS-Switch als Host-Switch aus.
    3. Transportzone: Wählen Sie eine andere Transportzone aus, mit der der Host verknüpft werden soll.
    4. Uplink-Profil: Wählen Sie bei Bedarf ein anderes Uplink-Profil statt des empfohlenen Uplink-Profils aus.
      Hinweis: Wenn Sie zwei VDS-Switches mit derselben Konfiguration konfigurieren, empfiehlt der Assistent für beide Switches dasselbe Uplink-Profil.
    5. Zuordnung der physischen Netzwerkkarte zu Uplink: Auf einem VDS-Switch werden alle Uplinks, die auf dem VDS-Switch konfiguriert sind, den Uplinks in NSX zugeordnet.
      Eine Änderung des Host-Switch-Typs oder der Zuordnung von Uplink und vmnic wird in der Netzwerkdarstellung der Host-Switch-Konfiguration widergespiegelt.
  8. Klicken Sie auf Installieren.

    Die NSX-Hostvorbereitung beginnt mit der Installation der erforderlichen Softwaremodule auf den ESXi-Hosts.

    Den Fortschritt der Installation sehen Sie auf der Karte Cluster für Netzwerke und Sicherheit vorbereiten. Falls die Installation auf einem Host fehlschlägt, versuchen Sie, die Installation erneut zu starten, indem Sie den Fehler beheben.

    Dieser Vorgang dauert einige Minuten. Nach Abschluss des Vorgangs ändert sich der Status in Erfolg.

  9. Um erfolgreich vorbereitete Hosts anzuzeigen, wechseln Sie zu System > Fabric > Hosts > Cluster.

Ergebnisse

Klicken Sie in der NSX Manager-Benutzeroberfläche auf die Registerkarte Bestand > Virtuelle Maschinen, um die Bestandsliste der virtuellen Maschinen von allen ESXi-Hosts anzuzeigen.

Hinweis: Ein für Netzwerke und Sicherheit vorbereiteter VMware vCenter-Cluster bietet keine Unterstützung für die Sicherheit für Arbeitslasten, die direkt mit dem DVPG verbunden sind. Wenn die mit dem DVPG-VLAN verbundene Arbeitslast Sicherheit benötigt, müssen Sie die Arbeitslast in NSX VLAN-Segmente (mit demselben VLAN) verschieben oder die Arbeitslasten in den Cluster verschieben, der nur für NSX Security vorbereitet ist.

Weitere Informationen finden Sie unter Administratorhandbuch für NSX.

Nächste Maßnahme

Sie können jetzt mit der Konfiguration Ihrer Richtlinie für die Arbeitslasten beginnen, die auf den NSX-Segmenten auf den vorbereiteten VMware vCenter-Clustern gehostet werden.