Como usuario admin de VI que trabaja en el entorno de vSphere, puede utilizar el flujo de trabajo simplificado para preparar los clústeres de ESXi para la seguridad de NSX-T.

Utilice vSphere Client para preparar los clústeres de ESXi para la seguridad de NSX-T. En estos clústeres, puede habilitar la microsegmentación, el filtrado de URL y el IDS distribuido en las cargas de trabajo de las aplicaciones. Estos clústeres no están preparados para las redes virtuales de NSX-T.

Flujo de trabajo para configurar la seguridad de NSX-T desde vSphere Client.

Tareas de alto nivel:
  • Prepare el clúster de hosts.
  • Crear reglas de firewall
    • Cree grupos para servicios de infraestructura (Active Directory, DNS, etc.), grupos de entornos (producción o prueba) y grupos de aplicaciones (web, base de datos, aplicación).
    • Defina la estrategia de comunicación. Estas son algunas de las acciones que puede realizar:
      • Defina la comunicación entre cualquier servicio de carga de trabajo e infraestructura.
      • Defina la comunicación para que ningún entorno pueda comunicarse entre sí.
      • Limite la comunicación a un protocolo o un puerto específicos.
      • Especifique las cargas de trabajo de origen.
      • Configure las excepciones después de configurar las estrategias de comunicación para las cargas de trabajo.
    • Defina la acción para la regla de firewall predeterminada (para procesar el tráfico que no coincide con las reglas de firewall definidas en la sección Comunicación).
    • Revise y publique las reglas de firewall.

Preparar clústeres para la seguridad de NSX-T

Seleccione un clúster de hosts para prepararlo para la seguridad de NSX-T.

La sección Introducción le ofrece la opción de seleccionar entre Solo seguridad o Redes virtuales. Si decide habilitar los clústeres solo por motivos de seguridad, el asistente le solicitará que defina las reglas de seguridad y utilizará esas reglas para configurar automáticamente la seguridad de NSX-T en los grupos de puertos virtuales distribuidos de los clústeres seleccionados.

Requisitos previos

  • Asegúrese de que los hosts ESXi sean compatibles con la versión 7.0.3 o una posterior de vCenter Server.
  • Asegúrese de que la versión de vCenter Server sea la 7.0.3 o una posterior.
  • Configure un conmutador de vSphere Distributed Switch (VDS) en los hosts. Solo se admite VDS 6.6 o versiones posteriores.
  • En un clúster con vSphere Lifecycle Manager habilitado, edite el vCenter Server desde la interfaz de usuario de NSX Manager para:

Procedimiento

  1. En un navegador, inicie sesión en https://<dirección-ip-servidor-vcenter> e inicie sesión con privilegios de usuario admin en vCenter Server.
  2. En la interfaz de usuario de vSphere Client, seleccione el menú de vSphere Client y haga clic en NSX.
  3. En la pantalla de bienvenida a NSX, en la tarjeta Solo seguridad, haga clic en Introducción.
  4. En la sección Preparación del clúster del hosts, seleccione los clústeres que desee preparar solo por motivos de seguridad y haga clic en Instalar NSX.
  5. En la ventana emergente Instalar seguridad, confirme que desea continuar haciendo clic en Instalar.
    Nota: No se permiten clústeres que incluyan algún host ESXi incompatible con la preparación de hosts.
  6. Haga clic en Siguiente para definir las reglas de firewall.

Resultados

NSX-T está instalado en el clúster de hosts.

Qué hacer a continuación

Para evitar cualquier pérdida de conexión, agregue vCenter Server y NSX Manager a la lista de exclusión de DFW.

Agregar vCenter Server y NSX Manager a la lista de exclusión de firewall distribuido

Para garantizar la conectividad con máquinas virtuales de vCenter Server o NSX Manager, agréguelas a la lista de exclusión de firewall de DFW en NSX-T.

Después de agregar las máquinas virtuales vCenter Server y NSX Manager a la lista de exclusión de DFW, aunque configure la directiva de firewall predeterminada en Quitar desde el complemento de NSX-T en vCenter Server, no perderá la conectividad con estas máquinas virtuales. Realice el siguiente procedimiento desde la interfaz de usuario de NSX Manager.

Procedimiento

  1. En un explorador, acceda a https://<dirección-ip-de-nsx-manager> e inicie sesión con privilegios de usuario admin en NSX Manager.
  2. Vaya a Inventario → Etiquetas.
  3. Cree una nueva etiqueta (por ejemplo, Etiqueta-MV-NSX) y agréguele máquinas virtuales de vCenter Server y NSX Manager.
  4. Cree un nuevo grupo (por ejemplo, Grupo-MV-NSX).
  5. En el campo Miembros de equipos, haga clic en Establecer.
  6. En la ventana Establecer miembros, en la página Criterios de pertenencia, haga clic en Agregar criterio.
  7. En la fila del criterio 1, busque la etiqueta de máquina virtual que sea igual a Etiqueta-MV-NSX.
  8. Asegúrese de que las máquinas virtuales de vCenter Server y NSX Manager se agreguen al grupo Grupo-MV-NSX.
  9. Haga clic en Aplicar.
    Las máquinas virtuales del sistema (máquinas virtuales de vCenter Server y NSX Manager) se agregan a la lista de exclusión de DFW a través del grupo Grupo-MV-NSX. No perderá la conectividad con las máquinas virtuales de vCenter Server y NSX Manager aunque la directiva de firewall esté establecida en Quitar.

Qué hacer a continuación

Inicie el complemento de NSX-T en vCenter Server y cree reglas de firewall que se puedan aplicar a las cargas de trabajo que se ejecutan en hosts. Consulte Crear grupos.

Crear grupos

Como parte de la creación de un firewall, defina el grupo de infraestructura que ejecuta los servicios seleccionados, como DHCP, defina grupos de entorno, como producción, pruebas, etc., que comprenden los miembros del grupo seleccionados, y defina los grupos de aplicaciones con los miembros del grupo seleccionados.

Requisitos previos

  • Instale NSX-T en el clúster del host.

Procedimiento

  1. En la pestaña Crear reglas de firewall, seleccione Crear grupos.
  2. En la página Crear grupos, expanda Crear grupos de infraestructuras.
  3. Haga clic en Agregar grupo.
  4. En el menú desplegable Servicio de infraestructura, seleccione un servicio, como Active Directory. En el siguiente paso, asigne este servicio a un grupo compuesto por miembros que forman el grupo de infraestructuras. Puede crear un servicio de infraestructura solo una vez en un flujo de trabajo. No se podrá editar una vez que lo cree.
  5. Para definir un grupo de infraestructuras, haga clic en [Definir grupo].

    Una infraestructura puede ser una combinación de máquinas virtuales, rangos de direcciones IP o grupos de puertos virtuales distribuidos.

    1. (opcional) En el campo Nombre de grupo, modifique el nombre del grupo predeterminado.
    2. (opcional) En el campo Etiqueta de NSX, modifique el nombre predeterminado de la etiqueta. La etiqueta definida se aplicará a todas las máquinas virtuales y los grupos de puertos virtuales distribuidos seleccionados para el grupo. Puede editar el nombre de la etiqueta predeterminada.
    3. Expanda la sección Seleccionar máquinas virtuales para agregar la etiqueta de NSX y seleccione las máquinas virtuales que deben formar parte del grupo de infraestructuras.
    4. Expanda la sección Dirección IP e introduzca una dirección IP, direcciones IP en formato CIDR o un rango de IP. Son compatibles los formatos IPv4 y IPv6.
    5. Expanda la sección Seleccionar DVPG para agregar la etiqueta de NSX y seleccione los grupos de puertos virtuales distribuidos que deben formar parte del grupo de infraestructuras.
    6. Haga clic en Guardar.
      El asistente crea automáticamente el grupo y aplica la etiqueta de NSX a todos los miembros seleccionados del grupo. Por ejemplo, si el grupo definido incluye una máquina virtual, un grupo de puertos virtuales distribuidos y una dirección IP, y DHCP es el servicio de infraestructura seleccionado, el asistente etiquetará todos los miembros del grupo con la etiqueta definida.
  6. Haga clic en Siguiente.
  7. En la página Crear grupos, expanda Crear grupo de entorno.
  8. Haga clic en Agregar grupo.
  9. En el menú desplegable Entorno, seleccione el entorno del grupo. Por ejemplo, un entorno de producción, prueba, socio o personalizado que desee definir en su topología.
  10. Para definir un grupo de entorno, haga clic en [Definir grupo].
    1. (opcional) En el campo Nombre de grupo, modifique el nombre del grupo predeterminado.
    2. (opcional) En el campo Etiqueta de NSX, modifique el nombre predeterminado de la etiqueta de NSX. Este nombre de etiqueta se aplicará a todas las máquinas virtuales y al grupo de puertos virtuales distribuidos seleccionado para el grupo de entorno.
    3. Expanda la sección Seleccionar máquinas virtuales para agregar la etiqueta de NSX y seleccione las máquinas virtuales que deben formar parte del grupo de entorno.
    4. Expanda la sección Dirección IP e introduzca una dirección IP, direcciones IP en formato CIDR o un rango de IP. Son compatibles los formatos IPv4 y IPv6.
    5. Expanda la sección Seleccionar DVPG para agregar la etiqueta de NSX y seleccione los grupos de puertos virtuales distribuidos que deben formar parte del grupo de entorno.
    6. Haga clic en Guardar.
  11. Haga clic en Siguiente.
  12. En la página Crear grupos, expanda Crear grupo de aplicaciones.
  13. Haga clic en Agregar grupo.
  14. En el menú desplegable Nombre del grupo de aplicaciones, seleccione el tipo de grupo de aplicaciones que desea crear.
  15. Para definir un grupo de aplicaciones, haga clic en [Definir grupo].
    1. (opcional) En el campo Nombre de grupo, modifique el nombre del grupo predeterminado para el grupo de aplicaciones.
    2. (opcional) En el campo Etiqueta de NSX, modifique el nombre predeterminado de la etiqueta. Este nombre de etiqueta se aplicará a todas las máquinas virtuales y al grupo de puertos virtuales distribuidos seleccionado para el grupo de aplicaciones. Introduzca una etiqueta de NSX.
    3. Expanda la sección Seleccionar máquinas virtuales para agregar la etiqueta de NSX y seleccione las máquinas virtuales que deben formar parte del grupo de aplicaciones.
    4. Expanda la sección Dirección IP e introduzca una dirección IP, direcciones IP en formato CIDR o un rango de IP. Son compatibles los formatos IPv4 y IPv6.
    5. Expanda la sección Seleccionar DVPG para agregar la etiqueta de NSX y seleccione los grupos de puertos virtuales distribuidos que deben formar parte del grupo de aplicaciones.
    6. Haga clic en Guardar.
  16. Haga clic en Siguiente.

Resultados

Ha creado grupos de infraestructuras, grupos de entorno y grupos de aplicaciones.

Qué hacer a continuación

Después de crear grupos, defina las reglas de firewall que rigen la comunicación entre las cargas de trabajo y estos diferentes grupos.

Definir y publicar estrategias de comunicación para grupos

Después de crear grupos, defina reglas de firewall para controlar la comunicación entre los grupos, defina excepciones y puertos o protocolos para la comunicación.

Requisitos previos

  • Instale NSX-T en el clúster del host.
  • Cree grupos de infraestructuras, grupos de entorno y grupos de aplicaciones.

Procedimiento

  1. Expanda la sección Acceso a los servicios de infraestructura y defina cargas de trabajo específicas que puedan acceder a servicios de infraestructura compartidos.
    Campo Descripción
    Origen

    En la columna Origen, seleccione las cargas de trabajo que pueden acceder al servicio de infraestructura de destino.
    Destino

    Es el servicio de infraestructura definido al que acceden las cargas de trabajo de origen.
    (NSX-T 3.2.2) Entrada de servicio

    Haga clic en el icono Editar para agregar o editar entradas de servicio.

    En la ventana Entrada de servicio, seleccione un tipo de servicio y propiedades para el tipo de servicio.

    Nota: En NSX-T 3.2.1 y versiones anteriores, el nombre del campo era L4.
  2. Haga clic en Siguiente.
  3. Expanda la sección Definir la comunicación entre entornos (opcional) y defina la comunicación entre los grupos.
    Campo Descripción
    Origen

    Expanda la sección para definir qué entorno de origen debe comunicarse con un entorno de destino.

    (NSX-T 3.2.2): para cada grupo de origen enumerado, seleccione un método de comunicación: Sin protección, Permitido o Bloqueado.

    Nota: Para permitir toda la comunicación entre todos los grupos de origen y el grupo de destino, seleccione Permitir todas las comunicaciones.

    (NSX-T 3.2.1 y versiones anteriores): para permitir la comunicación entre un entorno de Desarrollo y otro de Producción, haga clic en la línea de puntos de color rojo entre Desarrollo y Producción. El estado habilitado se muestra cuando se establece una línea verde entre los grupos.
    Entorno ¿Es el entorno de destino seleccionado por el sistema?
    (NSX-T 3.2.2) Entrada de servicio Seleccione el tipo de servicio, los puertos y las propiedades a través de los cuales se comunican las cargas de trabajo en los entornos de origen y destino.

    Haga clic en Aplicar.

    Nota: En NSX-T 3.2.1 y versiones anteriores, el nombre del campo era L4.
  4. Haga clic en Siguiente.
  5. Expanda la sección Definir estrategias de comunicación para aplicaciones (opcional) y defina la comunicación para los grupos de aplicaciones.
    Campo Descripción
    Origen Seleccione un grupo de aplicaciones para el que pueda seleccionar reglas de comunicación para administrar el tráfico entrante o saliente.
    Estrategia

    Seleccione una estrategia de firewall para aplicarla a un grupo de aplicaciones.

    Las reglas de firewall admitidas son:
    • Permitir todo el tráfico externo.
    • Denegar el tráfico entrante y permitir el saliente.
    • Permitir el tráfico entrante y denegar el saliente.
    • Denegar todo el tráfico externo.
    Nota: Si desea aplicar una regla de firewall a todos los grupos de aplicaciones, haga clic en Seleccionar estrategia, seleccione la regla y haga clic en Aplicación.
    Excepción

    En función de cómo desee configurar la regla de firewall, es posible que desee agregar excepciones.

    De forma predeterminada, no se agregan excepciones. Para agregar una excepción, haga clic en el vínculo Sin excepciones. Edite estos campos para agregar excepciones:
    • Origen: seleccione el origen.
    • Entrada de servicio: seleccione el servicio, el puerto y las propiedades.
    • Identificador de aplicación de capa 7: seleccione el identificador de aplicación.
    • FQDN: seleccione el FQDN de la aplicación.
    Haga clic en Aplicar.
  6. Haga clic en Siguiente.
  7. Expanda la sección Definir acción para regla de firewall predeterminada (opcional) y defina una acción que se aplique al tráfico que no coincida con los criterios definidos.
  8. En la acción Regla predeterminada, seleccione una de las siguientes opciones:
    • Permitir: es el conjunto de reglas predeterminado. Permite todo el tráfico que no coincide con los criterios definidos.
    • Anular o Rechazar: para aplicar las reglas de firewall dentro de la red, puede optar por descartar el tráfico que no coincida con los criterios definidos.
  9. Haga clic en Siguiente.
  10. En la página Revisar y publicar, revise las estrategias de comunicación y las reglas de firewall que aplicó a los grupos.
    Revise las estrategias de comunicación y las reglas de firewall aplicadas a los grupos.

    En la captura de pantalla, la regla de producción 1 es una regla definida por el usuario, y la regla de producción 2 es una regla predeterminada definida por el sistema, donde la acción predeterminada se establece en Anular.

  11. Haga clic en Publicar directivas.

Resultados

El asistente finalizará y las directivas de firewall que definió se aplicarán a los grupos. La interfaz de usuario de NSX está disponible en vCenter Server.

Qué hacer a continuación

Para comprobar que las reglas de firewall publicadas desde vSphere Client están realizadas en la interfaz de usuario de NSX Manager.
  1. En la interfaz de usuario de NSX Manager, vaya a Inventario → Grupos.
  2. En la página Grupos, compruebe si los grupos de carga de trabajo que definió en vSphere Client están realizados en NSX Manager.
  3. Vaya a la página Seguridad → Firewall distribuido.
  4. En la página Firewall distribuido, compruebe si las reglas de firewall que se aplicaron en vSphere Client están realizadas en NSX Manager.