Como administrador de VI que trabaja en el entorno de vSphere, puede utilizar el flujo de trabajo simplificado para preparar los clústeres de ESXi para la seguridad de NSX-T.

Utilice vSphere Client para preparar los clústeres de ESXi para la seguridad de NSX-T. En estos clústeres, puede habilitar la microsegmentación, el filtrado de URL y el IDS distribuido en las cargas de trabajo de las aplicaciones. Estos clústeres no están preparados para las redes virtuales de NSX-T.

Tareas de alto nivel:
  • Prepare el clúster de hosts.
  • Crear reglas de firewall
    • Cree grupos para servicios de infraestructura (Active Directory, DNS, etc.), grupos de entornos (producción o prueba) y grupos de aplicaciones (web, base de datos, aplicación).
    • Defina la estrategia de comunicación. Estas son algunas de las acciones que puede realizar:
      • Defina la comunicación entre cualquier servicio de carga de trabajo e infraestructura.
      • Defina la comunicación para que ningún entorno pueda comunicarse entre sí.
      • Limite la comunicación a un protocolo o un puerto específicos.
      • Especifique las cargas de trabajo de origen.
      • Configure las excepciones después de configurar las estrategias de comunicación para las cargas de trabajo.
    • Defina la acción para la regla de firewall predeterminada (para procesar el tráfico que no coincide con las reglas de firewall definidas en la sección Comunicación).
    • Revise y publique las reglas de firewall.

Preparar clústeres para la seguridad de NSX-T

Seleccione un clúster de hosts para prepararlo para la seguridad de NSX-T.

La sección Introducción le ofrece la opción de seleccionar entre Solo seguridad o Redes virtuales. Si decide habilitar los clústeres solo por motivos de seguridad, el asistente le solicitará que defina las reglas de seguridad y utilizará esas reglas para configurar automáticamente la seguridad de NSX-T en los grupos de puertos virtuales distribuidos de los clústeres seleccionados.

Requisitos previos

  • Asegúrese de que los hosts ESXi sean compatibles con la versión 7.0.3 o una posterior de vCenter Server.
  • Asegúrese de que la versión de vCenter Server sea la 7.0.3 o una posterior.
  • Asegúrese de que los clústeres de hosts ESXi estén habilitados para DRS y HA.
  • Configure un conmutador de vSphere Distributed Switch (VDS) en los hosts. Solo se admite VDS 6.6 o versiones posteriores.
  • En un clúster con vSphere Lifecycle Manager habilitado, edite el vCenter Server desde la interfaz de usuario de NSX Manager para:

Procedimiento

  1. En un navegador, inicie sesión en https://<dirección-ip-servidor-vcenter> e inicie sesión con privilegios de administrador en vCenter Server.
  2. En la interfaz de usuario de vSphere Client, seleccione el menú de vSphere Client y haga clic en NSX.
  3. En la pantalla de bienvenida a NSX, en la tarjeta Solo seguridad, haga clic en Introducción.
  4. En la sección Preparación del clúster del hosts, seleccione los clústeres que desee preparar solo por motivos de seguridad y haga clic en Instalar NSX.
  5. En la ventana emergente Instalar seguridad, confirme que desea continuar haciendo clic en Instalar.
    Nota: No se permiten clústeres que incluyan algún host ESXi incompatible con la preparación de hosts.
  6. Haga clic en Siguiente para definir las reglas de firewall.

Resultados

NSX-T está instalado en el clúster de hosts.

Qué hacer a continuación

Cree reglas de firewall para aplicarlas a las cargas de trabajo que se ejecutan en el clúster de hosts. Consulte Crear grupos.

Crear grupos

Como parte de la creación de un firewall, defina el grupo de infraestructura que ejecuta los servicios seleccionados, como DHCP, defina grupos de entorno, como producción, pruebas, etc., que comprenden los miembros del grupo seleccionados, y defina los grupos de aplicaciones con los miembros del grupo seleccionados.

Requisitos previos

  • Instale NSX-T en el clúster del host.

Procedimiento

  1. En la pestaña Crear reglas de firewall, seleccione Crear grupos.
  2. En la página Crear grupos, expanda Crear grupos de infraestructuras.
  3. Haga clic en Agregar grupo.
  4. En el menú desplegable Servicio de infraestructura, seleccione un servicio, como Active Directory. En el siguiente paso, asigne este servicio a un grupo compuesto por miembros que forman el grupo de infraestructuras. Puede crear un servicio de infraestructura solo una vez en un flujo de trabajo. No se podrá editar una vez que lo cree.
  5. Para definir un grupo de infraestructuras, haga clic en [Definir grupo].

    Una infraestructura puede ser una combinación de máquinas virtuales, rangos de direcciones IP o grupos de puertos virtuales distribuidos.

    1. (opcional) En el campo Nombre de grupo, modifique el nombre del grupo predeterminado.
    2. (opcional) En el campo Etiqueta de NSX, modifique el nombre predeterminado de la etiqueta. La etiqueta definida se aplicará a todas las máquinas virtuales y los grupos de puertos virtuales distribuidos seleccionados para el grupo. Puede editar el nombre de la etiqueta predeterminada.
    3. Expanda la sección Seleccionar máquinas virtuales para agregar la etiqueta de NSX y seleccione las máquinas virtuales que deben formar parte del grupo de infraestructuras.
    4. Expanda la sección Dirección IP e introduzca una dirección IP, direcciones IP en formato CIDR o un rango de IP. Son compatibles los formatos IPv4 y IPv6.
    5. Expanda la sección Seleccionar DVPG para agregar la etiqueta de NSX y seleccione los grupos de puertos virtuales distribuidos que deben formar parte del grupo de infraestructuras.
    6. Haga clic en Guardar.
      El asistente crea automáticamente el grupo y aplica la etiqueta de NSX a todos los miembros seleccionados del grupo. Por ejemplo, si el grupo definido incluye una máquina virtual, un grupo de puertos virtuales distribuidos y una dirección IP, y DHCP es el servicio de infraestructura seleccionado, el asistente etiquetará todos los miembros del grupo con la etiqueta definida.
  6. Haga clic en Siguiente.
  7. En la página Crear grupos, expanda Crear grupo de entorno.
  8. Haga clic en Agregar grupo.
  9. En el menú desplegable Entorno, seleccione el entorno del grupo. Por ejemplo, un entorno de producción, prueba, socio o personalizado que desee definir en su topología.
  10. Para definir un grupo de entorno, haga clic en [Definir grupo].
    1. (opcional) En el campo Nombre de grupo, modifique el nombre del grupo predeterminado.
    2. (opcional) En el campo Etiqueta de NSX, modifique el nombre predeterminado de la etiqueta de NSX. Este nombre de etiqueta se aplicará a todas las máquinas virtuales y al grupo de puertos virtuales distribuidos seleccionado para el grupo de entorno.
    3. Expanda la sección Seleccionar máquinas virtuales para agregar la etiqueta de NSX y seleccione las máquinas virtuales que deben formar parte del grupo de entorno.
    4. Expanda la sección Dirección IP e introduzca una dirección IP, direcciones IP en formato CIDR o un rango de IP. Son compatibles los formatos IPv4 y IPv6.
    5. Expanda la sección Seleccionar DVPG para agregar la etiqueta de NSX y seleccione los grupos de puertos virtuales distribuidos que deben formar parte del grupo de entorno.
    6. Haga clic en Guardar.
  11. Haga clic en Siguiente.
  12. En la página Crear grupos, expanda Crear grupo de aplicaciones.
  13. Haga clic en Agregar grupo.
  14. En el menú desplegable Nombre del grupo de aplicaciones, seleccione el tipo de grupo de aplicaciones que desea crear.
  15. Para definir un grupo de aplicaciones, haga clic en [Definir grupo].
    1. (opcional) En el campo Nombre de grupo, modifique el nombre del grupo predeterminado para el grupo de aplicaciones.
    2. (opcional) En el campo Etiqueta de NSX, modifique el nombre predeterminado de la etiqueta. Este nombre de etiqueta se aplicará a todas las máquinas virtuales y al grupo de puertos virtuales distribuidos seleccionado para el grupo de aplicaciones. Introduzca una etiqueta de NSX.
    3. Expanda la sección Seleccionar máquinas virtuales para agregar la etiqueta de NSX y seleccione las máquinas virtuales que deben formar parte del grupo de aplicaciones.
    4. Expanda la sección Dirección IP e introduzca una dirección IP, direcciones IP en formato CIDR o un rango de IP. Son compatibles los formatos IPv4 y IPv6.
    5. Expanda la sección Seleccionar DVPG para agregar la etiqueta de NSX y seleccione los grupos de puertos virtuales distribuidos que deben formar parte del grupo de aplicaciones.
    6. Haga clic en Guardar.
  16. Haga clic en Siguiente.

Resultados

Ha creado grupos de infraestructuras, grupos de entorno y grupos de aplicaciones.

Qué hacer a continuación

Después de crear grupos, defina las reglas de firewall que rigen la comunicación entre las cargas de trabajo y estos diferentes grupos.

Definir y publicar estrategias de comunicación para grupos

Después de crear grupos, defina reglas de firewall para controlar la comunicación entre los grupos, defina excepciones y puertos o protocolos para la comunicación.

Requisitos previos

  • Instale NSX-T en el clúster del host.
  • Cree grupos de infraestructuras, grupos de entorno y grupos de aplicaciones.

Procedimiento

  1. Expanda la sección Acceso a los servicios de infraestructura y defina cargas de trabajo específicas que puedan acceder a servicios de infraestructura compartidos.
    Campo Descripción
    Origen

    En la columna Origen, seleccione las cargas de trabajo que pueden acceder al servicio de infraestructura de destino.

    Destino

    Es el servicio de infraestructura definido al que acceden las cargas de trabajo de origen.

    Capa 4

    Seleccione el tipo de servicio y el puerto a través del cual las cargas de trabajo de origen deben comunicarse con la infraestructura de destino.

  2. Haga clic en Siguiente.
  3. Expanda la sección Definir la comunicación entre entornos y defina la comunicación entre los grupos.
    Campo Descripción
    Origen

    Expanda la sección para definir qué entorno de origen debe comunicarse con un entorno de destino.

    Por ejemplo, si desea permitir la comunicación entre un entorno de Desarrollo y otro de Producción, haga clic en la línea de puntos de color rojo entre Desarrollo y Producción. El estado habilitado se muestra cuando se establece una línea verde entre los grupos.
    Nota: Para permitir toda la comunicación entre todos los grupos de origen y el grupo de destino, seleccione Permitir todas las comunicaciones.
    Entorno ¿Es el entorno de destino seleccionado por el sistema?
    Capa 4 Seleccione el tipo de servicio y el puerto a través del cual se comunican las cargas de trabajo en los entornos de origen y destino.
  4. Haga clic en Aplicar.
  5. Haga clic en Siguiente.
  6. Expanda la sección Definir estrategias de comunicación para aplicaciones y defina la comunicación para los grupos de aplicaciones.
    Campo Descripción
    Origen Seleccione un grupo de aplicaciones para el que pueda seleccionar reglas de comunicación para administrar el tráfico entrante o saliente.
    Estrategia

    Seleccione una estrategia de firewall para aplicarla a un grupo de aplicaciones.

    Las reglas de firewall admitidas son:
    • Permitir todo el tráfico externo.
    • Denegar el tráfico entrante y permitir el saliente.
    • Permitir el tráfico entrante y denegar el saliente.
    • Denegar todo el tráfico externo.
    Nota: Si desea aplicar una regla de firewall a todos los grupos de aplicaciones, haga clic en Seleccionar estrategia, seleccione la regla y haga clic en Aplicación.
    Excepción

    En función de cómo desee configurar la regla de firewall, es posible que desee agregar excepciones.

    De forma predeterminada, no se agregan excepciones. Para agregar una excepción, haga clic en el vínculo Sin excepciones. Además de seleccionar un servicio en la regla de excepción, puede definir identificadores de aplicación y FQDN en la regla.

  7. Haga clic en Siguiente.
  8. Expanda la sección Definir acción para reglas de firewall predeterminadas y defina una acción que se aplique al tráfico que no coincida con los criterios definidos.
  9. En la acción Regla predeterminada, seleccione una de las siguientes opciones:
    • Permitir: es el conjunto de reglas predeterminado. Permite todo el tráfico que no coincide con los criterios definidos.
    • Anular o Rechazar: para aplicar las reglas de firewall dentro de la red, puede optar por descartar el tráfico que no coincida con los criterios definidos.
  10. Haga clic en Siguiente.
  11. En la página Revisar y publicar, revise las estrategias de comunicación y las reglas de firewall que aplicó a los grupos.

    En la captura de pantalla, la regla de producción 1 es una regla definida por el usuario, y la regla de producción 2 es una regla predeterminada definida por el sistema, donde la acción predeterminada se establece en Anular.

  12. Haga clic en Publicar directivas.

Resultados

El asistente finalizará y las directivas de firewall que definió se aplicarán a los grupos. La interfaz de usuario de NSX está disponible en vCenter Server.

Qué hacer a continuación

Para comprobar que las reglas de firewall publicadas desde vSphere Client están realizadas en la interfaz de usuario de NSX Manager.
  1. En la interfaz de usuario de NSX Manager, vaya a Inventario → Grupos.
  2. En la página Grupos, compruebe si los grupos de carga de trabajo que definió en vSphere Client están realizados en NSX Manager.
  3. Vaya a la página Seguridad → Firewall distribuido.
  4. En la página Firewall distribuido, compruebe si las reglas de firewall que se aplicaron en vSphere Client están realizadas en NSX Manager.