Esta sección proporciona el flujo de trabajo de configuración para preparar el entorno usando NSX Distributed Security para proteger las máquinas virtuales.

Requisitos previos

Ha implementado NSX Manager y ha configurado las licencias válidas.

Flujo de trabajo de configuración

La preparación del entorno virtual para NSX Distributed Security implica dos pasos principales:

  • Configurar el administrador de equipos (vCenter)
  • Preparar el clúster de vCenter ( ESXi hosts) para NSX Distributed Security

1: Configurar el administrador de equipos (vCenter)

Debe agregar vCenter Server como administrador de equipos en NSX-T para ver todo el inventario de hosts y clústeres de vCenter Server. A continuación, puede aprovechar el inventario disponible para preparar los hosts y los clústeres de ESXi para NSX Security.

  1. En el navegador, inicie sesión en el dispositivo de NSX Manager en https://<dirección-ip-nsx-manager> con las credenciales de usuario admin.

  2. Registre NSX-T con vCenter Server desde Sistema > Tejido > Administradores de equipos > Agregar administrador de equipo. Agregue vCenter Server como administrador de equipo.

    Agregar administrador de equipo

  3. Valide el registro de NSX-T en vCenter Server desde la página Sistema > Tejido > Administradores de equipos. Haga clic en Actualizar y consulte el estado de la conexión.

    Actualizar el administrador de equipos

Después de que el registro de vCenter Server se realice correctamente, podrá ver el inventario del clúster de hosts de vCenter Server configurado desde la interfaz de usuario de NSX Manager. En la interfaz de usuario de NSX Manager, vaya a Sistema > Tejido > Nodos para ver el inventario.

Puede configurar varios vCenter Servers desde la interfaz de usuario de NSX Manager siguiendo estos mismos pasos para cada una de las vCenter Server.

2: Preparar el clúster de vCenter (hosts ESXi) para NSX Distributed Security

NSX Distributed Security implica preparar el clúster de proceso de vCenter Server de NSX-T. NSX-T admite dos modos de preparación de host de la siguiente manera:

  1. Solo seguridad: seguridad distribuida para grupos de puertos de VDS:
    • Admite la seguridad de las máquinas virtuales conectadas a los grupos de puertos virtuales distribuidos (DVPG) de vCenter nativos.
    • Admite vSphere 6.7 y vSphere 7.0 Update1 o versiones posteriores.
    • No admite redes de NSX-T para la carga de trabajo dentro del clúster de vCenter Server preparado para NSX-T.
    • El flujo de trabajo solo se admite mediante el asistente de inicio rápido.
  2. Redes y seguridad: seguridad distribuida con redes de NSX-T:
    • Admite redes de NSX-T y seguridad distribuida para la carga de trabajo dentro del clúster de vCenter Server preparado para NSX-T.
    • Si las cargas de trabajo conectadas a VLAN necesitan seguridad distribuida, deberá mover la carga de trabajo a los segmentos de VLAN de NSX-T desde DVPG.
    • El flujo de trabajo se admite mediante el asistente de inicio rápido o manualmente desde el menú Sistema > Tejido > Nodos.

En función de su entorno, seleccione el método de implementación requerido. El entorno de NSX-T solo puede tener una combinación de clústeres preparados para NSX Security y clústeres preparados para NSX Networking and Security. Más adelante en esta sección se incluyen más detalles sobre cada uno de los modos de implementación.

2.1: Preparación del host solo de seguridad: seguridad distribuida para grupos de puertos de VDS

Después de configurar el administrador de equipos, puede preparar clústeres de hosts ESXi solo para seguridad distribuida. Los hosts del clúster deben compartir VDS.

Procedimiento

  1. En un explorador, acceda a https://<dirección-ip-de-nsx-manager> e inicie sesión en NSX Manager con privilegios de usuario admin.
  2. Desplácese a Sistema > Inicio rápido.
  3. En la tarjeta Preparar clústeres para redes y seguridad, haga clic en Introducción.

    Widget de inicio rápido para preparar rápidamente los clústeres solo para seguridad

  4. Seleccione los clústeres donde que desea instalar Distributed Security.
  5. Haga clic en Instalar NSX y, a continuación, seleccione Solo seguridad.
  6. En el cuadro de diálogo, haga clic en Instalar.

    La preparación del host de NSX comienza a instalar los módulos de software requeridos en los hosts de ESXi.

    El proceso tarda unos minutos en completarse. Una vez finalizado el proceso, el estado cambia a Correcto. Los objetos como el perfil de nodo de transporte, la zona de transporte y los grupos de puertos distribuidos se crean automáticamente.

    El proceso de instalación muestra el estado en curso y completado

  7. Para ver VDS con Distributed Security instalado, haga lo siguiente:
    1. Desplácese hasta Sistema > Tejido > Nodos.
    2. Seleccione la pestaña Nodos de transporte de host.
      Nota: Los clústeres de vSphere preparados para Distributed Security se identifican mediante la etiqueta Seguridad.

Resultados

En la interfaz de usuario de NSX Manager, vaya a la pestaña Redes > Segmentos > Grupos de puertos distribuidos para ver el inventario de DVPG desde vCenter Server.

En la interfaz de usuario de NSX Manager, vaya a Inventario > Máquinas virtuales para ver el inventario de máquinas virtuales de todos los hosts ESXi.

Qué hacer a continuación

Ahora puede empezar a configurar su directiva para las cargas de trabajo alojadas en DVPG en la instancia preparada de vCenter Server.

2.2: Redes y seguridad - Seguridad distribuida con redes NSX-T

Después de configurar el administrador de equipos, puede preparar clústeres de hosts ESXi para las redes VLAN y la seguridad distribuida de forma conjunta.

Procedimiento

  1. En un explorador, acceda a https://<dirección-ip-de-nsx-manager> e inicie sesión en NSX Manager con privilegios de usuario admin.
  2. En la tarjeta Preparar clústeres para redes y seguridad, haga clic en Introducción.
  3. Seleccione los clústeres que desea preparar para la red de NSX-T.
  4. Haga clic en Instalar NSX y, a continuación, seleccione Redes y seguridad.
    Instalación de Inicio rápido para Redes y seguridad (basada en VLAN)
  5. Según sus requisitos, puede preparar el mismo clúster para redes de VLAN y superposición, o para un tipo de red. Con las redes superpuestas, cada conmutador de host se agrega con una dirección IP de TEP, que es necesaria para las redes de superposición.
    Preparar clúster para redes de superposición y VLAN
  6. Consulte el conmutador de configuración del conmutador de host para saber a qué conmutadores de destino se migrarán las NIC físicas y los adaptadores de VMkernel (si los hubiera).
    Esta es la configuración recomendada NSX-T. Sin embargo, puede personalizar la configuración del clúster, aunque sea un paso opcional.
    Nota: Una línea de puntos desde un conmutador hasta una NIC física indica que se trata de una configuración existente en el conmutador de host, que se reemplazará por una línea continua a la misma NIC física.
  7. Aunque NSX-T ofrece recomendaciones, puede seguir personalizando la configuración. Para personalizar un conmutador, selecciónelo y cambie la configuración recomendada.
    1. Tipo: cambie al tipo de conmutador de host.
    2. Zona de transporte: seleccione una zona de transporte diferente a la que desea que se asocie el host.
    3. Perfil de vínculo superior: si es necesario, seleccione otro perfil de vínculo superior en lugar del recomendado.
      Nota: Si configura dos conmutadores VDS con la misma configuración, el asistente recomendará el mismo perfil de vínculo superior para ambos.
    4. Asignación de vínculo superior a NIC física: en un conmutador VDS, todos los vínculos superiores configurados en el conmutador VDS se asignan a los vínculos superiores de NSX-T. En un conmutador N-VDS, los vínculos superiores se asignan a vmnics.
      Un cambio en el tipo de conmutador de host o la asignación de vínculo superior a vmnic se refleja en la representación de red de la configuración del conmutador de host.
  8. Haga clic en Instalar.

    La preparación del host de NSX comienza a instalar los módulos de software requeridos en los hosts de ESXi.

    Consulte el progreso de la instalación en tarjeta Preparar clústeres para redes y seguridad. Si se produce un error en la instalación de alguno de los hosts, vuelva a intentar la instalación solucionando el error.

    El proceso tarda unos minutos en completarse. Una vez finalizado el proceso, el estado cambia a Correcto.

  9. Para ver los hosts preparados correctamente, vaya a Sistema → Tejido → Nodos → Nodo de transporte de host.

Resultados

En la interfaz de usuario de NSX Manager, vaya a la pestaña Inventario > Máquinas virtuales para ver el inventario de máquinas virtuales de todos los hosts ESXi.

Nota: El clúster de vCenter Serverpreparado para redes y seguridad no admite la seguridad para cargas de trabajo conectadas directamente a DVPG. Si la carga de trabajo conectada a la VLAN de DVPG necesita seguridad, debe mover la carga de trabajo a segmentos de VLAN de NSX (con la misma VLAN) o mover las cargas de trabajo al clúster preparado solo para NSX Security.

Para obtener más información, consulte Guía de administración de NSX-T Data Center.

Qué hacer a continuación

Ahora puede empezar a configurar su directiva para las cargas de trabajo alojadas en segmentos de NSX en los clústeres de vCenter Server preparados.