Solo podrá instalar Distributed Security para una instancia de vSphere Distributed Switch (VDS). En otras palabras, puede tener Distributed Security en un VDS sin necesidad de implementar un NSX Virtual Distributed Switch (N-VDS).
La instalación de Distributed Security para VDS proporciona capacidades de seguridad de NSX, como:
- Distributed Firewall (DFW)
- IPS/IDS distribuido
- Firewall de identidad
- ID de aplicación de capa 7
- Filtrado de nombre de dominio completo (FQDN)
- NSX Intelligence
- Prevención de malware de NSX
- NSX Guest Introspection
Para obtener más información sobre la instalación de Distributed Security para VDS, consulte Instalar Distributed Security para vSphere Distributed Switch.
Proceso de instalación
Al instalar Distributed Security, solo se producirán cambios de configuración en NSX-T y no habrá cambios en vCenter Server. Se detectan los detalles del VDS y se crean automáticamente los siguientes objetos en NSX-T para representar los detalles del VDS:
- Un perfil de nodo de transporte para cada clúster .
- Un conmutador de host para cada VDS .
- Una zona de transporte de VLAN para cada VDS .
Estos objetos se generan mediante el sistema y no se pueden configurar ni editar .
Además, como parte de la detección de VDS, los grupos de puertos virtuales distribuidos (DVPG) y los DVports del VDS se crean como objetos en NSX-T. Para obtener más información, consulte Grupos de puertos distribuidos.
Los cambios realizados en VDS en vCenter Server se actualizan automáticamente en NSX-T.
vMotion de máquinas virtuales entre clústeres con o sin Distributed Security
Cuando se realiza una operación de vMotion de una máquina virtual de un clúster sin Distributed Security a un clúster con Distributed Security, las directivas de seguridad del clúster con Distributed Security se aplican a la máquina virtual.
Por el contrario, cuando se realiza una operación de vMotion de una máquina virtual de un clúster con Distributed Security a un clúster sin Distributed Security, se eliminan las directivas de seguridad.
Cómo las actualizaciones a VDS afectan a Distributed Security
La actualización de un VDS con Distributed Security puede causar interrupciones temporales en el DFW.
Ruta de actualización de VDS | Efecto sobre la seguridad distribuida |
---|---|
Al actualizar de VDS 6.6 a cualquier versión anterior a VDS 7.0.3. | No hay interrupciones en el DFW . |
Al actualizar de VDS 6.6, 7.0 o 7.0.2 a VDS 7.0.3. | Las directivas de DFW en VDS no se aplican durante un breve momento en cada host durante el proceso de actualización debido a una interrupción del plano de datos que se produce en el host mientras la actualización está en curso. La actualización de VDS se realiza de forma simultánea en todos los hosts, por lo que el período de interrupción general de cualquier clúster no es significativo.
Nota: Durante el proceso de actualización, las directivas de DFW no cambian, solo no se aplican.
Una vez completado el proceso de actualización en el host, se refuerzan las directivas de DFW en el host. |