En tant qu'administrateur de VI travaillant dans l'environnement vSphere, vous pouvez utiliser le workflow simplifié afin de préparer les clusters ESXi pour la sécurité de NSX-T.

Utilisez vSphere Client afin préparer les clusters ESXi pour la sécurité de NSX-T. Sur ces clusters, vous pouvez activer la micro-segmentation, le filtrage d'URL et l'IDS distribué sur les charges de travail d'application. Ces clusters ne sont pas préparés pour la mise en réseau virtuelle de NSX-T.

Tâches générales :
  • Préparer le cluster d'hôtes.
  • Créer des règles de pare-feu
    • Créez des groupes pour les services d'infrastructure (Active Directory, DNS, etc.), des groupes d'environnements (de production ou de test) et des groupes d'applications (Web, base de données, application).
    • Définir la stratégie de communication. Actions que vous pouvez effectuer :
      • Définissez la communication entre les charges de travail et les services d'infrastructure.
      • Définissez la communication afin qu'aucun environnement ne puisse communiquer avec un autre.
      • Limitez la communication à un port ou un protocole spécifique.
      • Spécifiez les charges de travail sources.
      • Configurez des exceptions après avoir configuré des stratégies de communication pour les charges de travail.
    • Définissez une action pour la règle de pare-feu par défaut (pour traiter le trafic qui ne correspond pas aux règles de pare-feu définies dans la section Communication).
    • Vérifiez et publiez les règles de pare-feu.

Préparer les clusters pour la sécurité de NSX-T

Sélectionnez un cluster d'hôtes afin de le préparer pour la sécurité de NSX-T.

La section Démarrage vous offre la possibilité de choisir entre Sécurité uniquement ou Mise en réseau virtuelle. Lorsque vous choisissez d'activer les clusters uniquement à des fins de sécurité, l'assistant vous demande de définir des règles de sécurité, puis utilise celles-ci pour configurer automatiquement la sécurité de NSX-T sur les groupes de ports virtuels distribués des clusters sélectionnés.

Conditions préalables

  • Assurez-vous que les hôtes ESXi sont compatibles avec vCenter Server version v7.0.3 ou ultérieure.
  • Assurez-vous que le la version de vCenter Server est v7.0.3 ou ultérieure.
  • Veillez à activer les clusters ESXi pour DRS et HA.
  • Configurez un commutateur vSphere Distributed Switch (VDS) sur des hôtes. Seul VDS 6.6 ou version ultérieure est pris en charge.
  • Sur un cluster prenant en charge vSphere Lifecycle Manager, modifiez vCenter Server à partir de l'interface utilisateur de NSX Manager pour les opérations suivantes :

Procédure

  1. Dans un navigateur, connectez-vous avec des privilèges d'administrateur à un serveur vCenter Server à l'adresse https://<vcenter-server-ip-address>.
  2. Dans l'interface utilisateur de vSphere Client, sélectionnez le menu vSphere Client, puis cliquez sur NSX.
  3. Dans l'écran Bienvenue dans NSX, sur la carte Sécurité uniquement, cliquez sur Démarrage.
  4. Dans la section Préparation du cluster d'hôtes, sélectionnez les clusters que vous souhaitez préparer pour la sécurité uniquement, puis cliquez sur Installer NSX.
  5. Dans la fenêtre contextuelle Installer la sécurité, confirmez que vous souhaitez effectuer le traitement en cliquant sur Installer.
    Note : Les clusters disposant d'un hôte ESXi incompatible ne sont pas autorisés pour la préparation de l'hôte.
  6. Pour définir les règles de pare-feu, cliquez sur Suivant.

Résultats

NSX-T est installé sur le cluster d'hôtes.

Que faire ensuite

Créez des règles de pare-feu à appliquer aux charges de travail en cours d'exécution sur le cluster d'hôtes. Reportez-vous à la section Créer des groupes.

Créer des groupes

Dans le cadre de la création de pare-feu, définissez le groupe d'infrastructures qui exécute des services sélectionnés, tels que DHCP, définissez des groupes d'environnements, tels que la production, les tests, etc., comprenant des membres sélectionnés du groupe et définissez des groupes d'applications avec des membres sélectionnés du groupe.

Conditions préalables

  • Installez NSX-T sur le cluster d'hôtes.

Procédure

  1. Dans l'onglet Créer des règles de pare-feu, sélectionnez Créer des groupes.
  2. Sur la page Créer des groupes, développez Créer des groupes d'infrastructures.
  3. Cliquez sur Ajouter un groupe.
  4. Dans le menu déroulant Service d'infrastructure, sélectionnez un service, tel qu'Active Directory. À l'étape suivante, vous attribuez ce service à un groupe composé de membres qui forment le groupe d'infrastructures. Vous ne pouvez créer un service d'infrastructure qu'une seule fois dans un workflow. Vous ne pouvez plus le modifier une fois qu'il est créé.
  5. Pour définir un groupe d'infrastructures, cliquez sur [Définir le groupe].

    Une infrastructure peut être une combinaison de VM, d'une plage d'adresses IP ou de groupes de ports virtuels distribués.

    1. (Facultatif) Dans le champ Nom de groupe, modifiez le nom du groupe par défaut.
    2. (Facultatif) Dans le champ Balise NSX, modifiez le nom de balise par défaut. La balise définie est appliquée à toutes les VM et aux groupes de ports virtuels distribués sélectionnés pour le groupe. Vous pouvez modifier le nom de balise par défaut.
    3. Développez la section Sélectionner les VM pour ajouter la balise NSX et sélectionnez les VM qui doivent faire partie du groupe d'infrastructures.
    4. Développez la section Adresse IP et entrez une adresse IP, des adresses IP au format CIDR ou une plage d'adresses IP. Les formats IPv4 et IPv6 sont pris en charge.
    5. Développez la section Sélectionner les DVPG pour ajouter la balise NSX et sélectionnez les groupes de ports virtuels distribués qui doivent faire partie du groupe d'infrastructures.
    6. Cliquez sur Enregistrer.
      L'assistant crée automatiquement le groupe et applique la balise NSX à tous les membres sélectionnés du groupe. Par exemple, si le groupe défini inclut une VM, un groupe de ports virtuels distribués et 1 adresse IP, et que DHCP est le service d'infrastructure sélectionné, l'assistant balise tous les membres du groupe avec la balise définie.
  6. Cliquez sur Suivant.
  7. Sur la page Créer des groupes, développez Créer un groupe d'environnements.
  8. Cliquez sur Ajouter un groupe.
  9. Dans le menu déroulant Environnement, sélectionnez l'environnement du groupe. Par exemple, un environnement peut être un environnement de production, de test, de partenaire ou personnalisé que vous souhaitez définir dans votre topologie.
  10. Pour définir un groupe d'environnements, cliquez sur [Définir le groupe] .
    1. (Facultatif) Dans le champ Nom de groupe, modifiez le nom du groupe par défaut.
    2. (Facultatif) Dans le champ Balise NSX, modifiez le nom de la balise NSX par défaut. Ce nom de balise est appliqué à toutes les VM et au groupe de ports virtuels distribués sélectionnés pour le groupe d'environnements.
    3. Développez la section Sélectionner les VM pour ajouter la balise NSX et sélectionnez les VM qui doivent faire partie du groupe d'environnements.
    4. Développez la section Adresse IP et entrez une adresse IP, des adresses IP au format CIDR ou une plage d'adresses IP. Les formats IPv4 et IPv6 sont pris en charge.
    5. Développez la section Sélectionner les DVPG pour ajouter la balise NSX et sélectionnez les groupes de ports virtuels distribués qui doivent faire partie du groupe d'environnements.
    6. Cliquez sur Enregistrer.
  11. Cliquez sur Suivant.
  12. Sur la page Créer des groupes, développez Créer un groupe d'applications.
  13. Cliquez sur Ajouter un groupe.
  14. Dans le menu déroulant Nom du groupe d'applications, sélectionnez le type de groupe d'applications que vous souhaitez créer.
  15. Pour définir un groupe d'applications, cliquez sur [Définir le groupe] .
    1. (Facultatif) Dans le champ Nom de groupe, modifiez le nom du groupe par défaut pour le groupe d'applications.
    2. (Facultatif) Dans le champ Balise NSX, modifiez le nom de balise par défaut. Ce nom de balise est appliqué à toutes les VM et au groupe de ports virtuels distribués sélectionnés pour le groupe d'applications. Entrez une balise NSX.
    3. Développez la section Sélectionner les VM pour ajouter la balise NSX et sélectionnez les VM qui doivent faire partie du groupe d'applications.
    4. Développez la section Adresse IP et entrez une adresse IP, des adresses IP au format CIDR ou une plage d'adresses IP. Les formats IPv4 et IPv6 sont pris en charge.
    5. Développez la section Sélectionner les DVPG pour ajouter la balise NSX et sélectionnez les groupes de ports virtuels distribués qui doivent faire partie du groupe d'applications.
    6. Cliquez sur Enregistrer.
  16. Cliquez sur Suivant.

Résultats

Vous avez créé des groupes d'infrastructure, des groupes d'environnement et des groupes d'applications.

Que faire ensuite

Après avoir créé des groupes, définissez des règles de pare-feu qui régissent la communication entre les charges de travail et ces différents groupes.

Définir et publier des stratégies de communication pour les groupes

Après avoir créé des groupes, définissez des règles de pare-feu pour gérer la communication entre les groupes, définissez des exceptions et des ports ou des protocoles pour la communication.

Conditions préalables

  • Installez NSX-T sur le cluster d'hôtes.
  • Créez des groupes d'infrastructures, des groupes d'environnements et des groupes d'applications.

Procédure

  1. Développez la section Accès aux services d'infrastructure et définissez des charges de travail spécifiques pouvant accéder à des services d'infrastructure partagés.
    Champ Description
    Source

    Dans la colonne Source, sélectionnez les charges de travail qui peuvent accéder au service d'infrastructure cible.

    Cible

    Service d'infrastructure défini auquel accèdent les charges de travail sources.

    L4

    Sélectionnez le type de service et le port sur lequel les charges de travail sources doivent communiquer avec l'infrastructure cible.

  2. Cliquez sur Suivant.
  3. Développez la section Définir la communication entre les environnements et définissez la communication entre les groupes.
    Champ Description
    Source

    Développez la section pour définir quel environnement source doit communiquer avec un environnement cible.

    Par exemple, si vous souhaitez autoriser la communication entre un environnement Développement et un environnement Production, cliquez sur le trait en pointillé rouge entre Développement et Production. L'état activé s'affiche lorsqu'une ligne verte est établie entre les groupes.
    Note : Pour autoriser toutes les communications entre tous les groupes sources et le groupe cible, sélectionnez Autoriser toutes les communications.
    Environnement Est l'environnement cible sélectionné par le système.
    L4 Sélectionnez le type de service et le port sur lequel les charges de travail dans les environnements source et cible communiquent entre elles.
  4. Cliquez sur Appliquer.
  5. Cliquez sur Suivant.
  6. Développez la section Définir des stratégies de communication pour les applications et définissez la communication pour les groupes d'applications.
    Champ Description
    Source Sélectionnez un groupe d'applications pour lequel vous pouvez sélectionner des règles de communication pour gérer le trafic entrant ou sortant.
    Stratégie

    Sélectionnez une stratégie de pare-feu à appliquer à un groupe d'applications.

    Les règles de pare-feu prises en charge sont les suivantes :
    • Autorisez tout le trafic externe.
    • Refusez le trafic entrant et autorisez le trafic sortant.
    • Autorisez le trafic entrant et refusez le trafic sortant.
    • Refusez tout le trafic externe.
    Note : Si vous souhaitez appliquer une règle de pare-feu à tous les groupes d'applications, cliquez sur Sélectionner une stratégie, sélectionnez la règle et cliquez sur Appliquer.
    Exception

    En fonction du mode de configuration de la règle de pare-feu, vous souhaiterez peut-être ajouter des exceptions.

    Par défaut, aucune exception n'est ajoutée. Pour ajouter une exception, cliquez sur le lien Aucune exception. Outre la sélection d'un service dans la règle d'exception, vous pouvez également définir des ID d'applications et des noms de domaine complets dans la règle.

  7. Cliquez sur Suivant.
  8. Développez la section Définir une action pour les règles de pare-feu par défaut et définissez une action appliquée au trafic qui ne correspond pas aux critères définis.
  9. Dans Action de règle par défaut, sélectionnez l'une des options suivantes :
    • Autoriser : est l'ensemble de règles par défaut. Autorise tout le trafic qui ne correspond pas aux critères définis.
    • Annuler ou Rejeter : pour appliquer des règles de pare-feu dans votre réseau, vous pouvez choisir d'annuler le trafic qui ne correspond pas aux critères définis.
  10. Cliquez sur Suivant.
  11. Sur la page Vérifier et publier, vérifiez les stratégies de communication et les règles de pare-feu que vous avez appliquées aux groupes.

    Dans la capture d'écran, Règle de production 1 est une règle définie par l'utilisateur et Règle de production 2 est une règle par défaut définie par le système, où l'action par défaut est définie sur Annuler.

  12. Cliquez sur Publier les stratégies.

Résultats

L'assistant se termine et les stratégies de pare-feu que vous avez définies sont appliquées aux groupes. L'interface utilisateur de NSX est disponible dans vCenter Server.

Que faire ensuite

Pour vérifier que les règles de pare-feu publiées à partir de vSphere Client sont réalisées sur l'interface utilisateur de NSX Manager.
  1. Dans l'interface utilisateur de NSX Manager, accédez à Inventaire → Groupes.
  2. Sur la page Groupes, vérifiez si les groupes de charges de travail que vous avez définis dans vSphere Client sont réalisés dans NSX Manager.
  3. Accédez à Sécurité → Pare-feu distribué.
  4. Sur la page Pare-feu distribué, vérifiez si les règles de pare-feu que vous avez appliquées dans vSphere Client doivent être réalisées dans NSX Manager.