NSX ermöglicht verteilte Sicherheit auf einem vSphere Distributed Switch (VDS). Da der Host-Switch vom Typ VDS ist, können Sie DFW-Funktionen auf Arbeitslast-VMs aktivieren.

Ab NSX 4.2 unterstützt DFW sowohl DVPGs, die in vSphere erstellt wurden, als auch Segmente, die in NSX innerhalb desselben Clusters erstellt wurden.

Distributed Security bietet sicherheitsbezogene Funktionen für Ihren VDS, wie z. B.:

  • Verteilte Firewall (Distributed Firewall, DFW)
  • Verteilte IDS/IPS
  • Identitätsbasierte Firewall
  • L7-App-ID
  • Filtern des vollqualifizierten Domänennamens (FQDN)
  • NSX Intelligence
  • NSX Malware Prevention
  • NSX Guest Introspection

Nachdem Sie die Sicherheit auf DVPGs aktiviert haben, werden DVPG-Ports und DVPG-Segmente von NSX erkannt.

Voraussetzungen

Nachfolgend finden Sie die Anforderungen für die Installation von Distributed Security for VDS:
  • vSphere 7.0.3 oder höher.

  • Der vSphere-Cluster sollte über mindestens einen VDS mit konfiguriertem Distributed Switch der Version 7.0.3 oder höher verfügen und ESXi-Cluster-Hosts müssen Mitglieder eines VDS mit konfigurierten Uplinks sein.

  • Ein Compute Manager muss in NSX registriert sein. Siehe Hinzufügen eines Compute Manager.

  • Bevor Sie verteilte Sicherheit auf Hosts bereitstellen und konfigurieren, stellen Sie sicher, dass NSX nicht auf solchen Hosts bereitgestellt wird.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Navigieren Sie zuSystem > Schnellstart.
  3. Klicken Sie auf der Karte Cluster für Netzwerke und Sicherheit vorbereiten auf Erste Schritte.
  4. Wählen Sie die Cluster aus, auf denen Sie die verteilte Sicherheit aktivieren möchten.
  5. Klicken Sie auf NSX installieren und wählen Sie unter Netzwerk entweder VLAN oder Overlay aus.
    Hinweis:

    Wenn Sie VLAN auswählen, wird nur das NSX-VLAN-Netzwerk aktiviert.

  6. Klicken Sie im Dialogfeld auf Installieren.
  7. Navigieren Sie zur Seite System > Fabric > Hosts, um die Sicherheit auf DVPG innerhalb eines Clusters zu aktivieren.
  8. Wählen Sie auf der Seite Hosts > Cluster den Cluster aus, für den Sie die Sicherheit auf den DVPGs innerhalb des Clusters aktivieren möchten.
    Hinweis:

    Stellen Sie sicher, dass Sie alle Cluster auswählen, auf denen sich die VDS erstreckt. Wenn Sie einen Cluster auslassen, auf dem sich VDS erstreckt, wird die Sicherheit auf DVPGs dieses Clusters nicht aktiviert.

  9. Klicken Sie auf der Seite Hosts auf Aktionen > NSX auf DVPGs aktivieren.
    Hinweis:

    Bevor Sie auf DVPGs aktivieren, schützen Sie alle Management-Appliances, indem Sie sie zur DFW-Ausschlussliste hinzufügen.

  10. Klicken Sie auf der Karte NSX auf DVPGs aktivieren auf Ja, um die DVPGs zu aktivieren.

    NSX erkennt die Portgruppen, die einem VDS-Switch zugeordnet sind. Weitere Informationen zum Auffinden der in NSX erkannten Ports finden Sie unter Verteilte Portgruppen.

  11. So deaktivieren Sie die Sicherheit auf DVPGs innerhalb eines Clusters:
    1. Wählen Sie auf der Seite Hosts > Cluster den Cluster aus, für den Sie die Sicherheit auf den DVPGs innerhalb des Clusters deaktivieren möchten.
    2. Klicken Sie auf der Seite Hosts auf Aktionen > NSX auf DVPGs deaktivieren.

Ergebnisse

Nach der erfolgreichen Aktivierung der Sicherheit auf einem Cluster wird auf der Seite „Hosts“ der Status der Spalte NSX auf DVPGs auf Ja gesetzt. Die verteilte Sicherheit ist installiert und Sie können mit der Verwendung von Sicherheitsfunktionen beginnen, wie z. B. dem Erstellen von DFW-Richtlinien und Regeln für den VDS.