Configuration de NSX-T pour la sécurité à partir de vSphere Client

En tant qu'administrateur de VI travaillant dans l'environnement vSphere, vous pouvez utiliser le workflow simplifié afin de préparer les clusters ESXi pour la sécurité de NSX-T.

Utilisez vSphere Client afin préparer les clusters ESXi pour la sécurité de NSX-T. Sur ces clusters, vous pouvez activer la micro-segmentation, le filtrage d'URL et l'IDS distribué sur les charges de travail d'application. Ces clusters ne sont pas préparés pour la mise en réseau virtuelle de NSX-T.

Workflow de configuration de la sécurité NSX-T depuis vSphere Client.

Tâches générales :

Préparer le cluster d'hôtes.
Créer des règles de pare-feu
- Créez des groupes pour les services d'infrastructure (Active Directory, DNS, etc.), des groupes d'environnements (de production ou de test) et des groupes d'applications (Web, base de données, application).
- Définir la stratégie de communication. Actions que vous pouvez effectuer :
  - Définissez la communication entre les charges de travail et les services d'infrastructure.
  - Définissez la communication afin qu'aucun environnement ne puisse communiquer avec un autre.
  - Limitez la communication à un port ou un protocole spécifique.
  - Spécifiez les charges de travail sources.
  - Configurez des exceptions après avoir configuré des stratégies de communication pour les charges de travail.
- Définissez une action pour la règle de pare-feu par défaut (pour traiter le trafic qui ne correspond pas aux règles de pare-feu définies dans la section Communication).
- Vérifiez et publiez les règles de pare-feu.

Préparer les clusters pour la sécurité de NSX-T

Sélectionnez un cluster d'hôtes afin de le préparer pour la sécurité de NSX-T.

La section Démarrage vous offre la possibilité de choisir entre Sécurité uniquement ou Mise en réseau virtuelle. Lorsque vous choisissez d'activer les clusters uniquement à des fins de sécurité, l'assistant vous demande de définir des règles de sécurité, puis utilise celles-ci pour configurer automatiquement la sécurité de NSX-T sur les groupes de ports virtuels distribués des clusters sélectionnés.

Conditions préalables

Assurez-vous que les hôtes ESXi sont compatibles avec vCenter Server version v7.0.3 ou ultérieure.
Assurez-vous que le la version de vCenter Server est v7.0.3 ou ultérieure.
Configurez un commutateur vSphere Distributed Switch (VDS) sur des hôtes. Seul VDS 6.6 ou version ultérieure est pris en charge.
Sur un cluster prenant en charge vSphere Lifecycle Manager, modifiez vCenter Server à partir de l'interface utilisateur de NSX Manager pour les opérations suivantes :
- Créez un compte de service et activez l'approbation entre NSX-T et vCenter Server. Reportez-vous à la section Ajouter un gestionnaire de calcul.

Procédure

Dans un navigateur, connectez-vous avec des privilèges d'administrateur à un serveur vCenter Server à l'adresse https://<vcenter-server-ip-address>.
Dans l'interface utilisateur de vSphere Client, sélectionnez le menu vSphere Client, puis cliquez sur NSX.
Dans l'écran Bienvenue dans NSX, sur la carte Sécurité uniquement, cliquez sur Démarrage.
Dans la section Préparation du cluster d'hôtes, sélectionnez les clusters que vous souhaitez préparer pour la sécurité uniquement, puis cliquez sur Installer NSX.
Dans la fenêtre contextuelle Installer la sécurité, confirmez que vous souhaitez effectuer le traitement en cliquant sur Installer.

Note : Les clusters disposant d'un hôte ESXi incompatible ne sont pas autorisés pour la préparation de l'hôte.
Pour définir les règles de pare-feu, cliquez sur Suivant.

Résultats

NSX-T est installé sur le cluster d'hôtes.

Que faire ensuite

Pour éviter toute perte de connectivité, ajoutez vCenter Server et NSX Manager à la liste Exclusions de DFW.

Ajouter vCenter Server et NSX Manager à la liste d'exclusion du pare-feu distribué

Pour garantir la connectivité aux machines virtuelles vCenter Server ou NSX Manager, ajoutez ces machines virtuelles à la liste d'exclusion de pare-feu DFW dans NSX-T.

Après avoir ajouté les machines virtuelles vCenter Server et NSX Manager à la liste d'exclusion de DFW, même lorsque vous configurez la stratégie de pare-feu par défaut sur Annuler à partir du plug-in NSX-T dans vCenter Server, vous ne perdrez pas la connectivité à ces machines virtuelles. Procédez comme suit à partir de l'interface utilisateur de NSX Manager.

Procédure

Dans un navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
Accédez à Inventaire → Balises.
Créez une balise, par exemple NSX-VM-Tag, et ajoutez-y les machines virtuelles vCenter Server et NSX Manager.
Créez un groupe, par exemple NSX-VM-Group.
Dans le champ Membres de calcul, cliquez sur Définir.
Dans la fenêtre Définir les membres, sur la page Critères d'appartenance, cliquez sur Ajouter un critère.
Dans la ligne Critère 1, faites correspondre la balise Machine virtuelle à NSX-VM-Tag.
Assurez-vous que les machines virtuelles vCenter Server et NSX Manager sont ajoutées au groupe NSX-VM-Group.
Cliquez sur Appliquer.
Les machines virtuelles système (machines virtuelles vCenter Server et NSX Manager) sont ajoutées à la liste d'exclusion de DFW via le groupe NSX-VM-Group. Vous ne perdrez pas la connectivité aux machines virtuelles vCenter Server et NSX Manager même si la stratégie de pare-feu est définie sur Annuler.

Que faire ensuite

Démarrez le plug-in NSX-T dans vCenter Server et créez des règles de pare-feu pouvant être appliquées aux charges de travail s'exécutant sur des hôtes. Reportez-vous à la section Créer des groupes.

Créer des groupes

Dans le cadre de la création de pare-feu, définissez le groupe d'infrastructures qui exécute des services sélectionnés, tels que DHCP, définissez des groupes d'environnements, tels que la production, les tests, etc., comprenant des membres sélectionnés du groupe et définissez des groupes d'applications avec des membres sélectionnés du groupe.

Conditions préalables

Installez NSX-T sur le cluster d'hôtes.

Procédure

Dans l'onglet Créer des règles de pare-feu, sélectionnez Créer des groupes.
Sur la page Créer des groupes, développez Créer des groupes d'infrastructures.
Cliquez sur Ajouter un groupe.
Dans le menu déroulant Service d'infrastructure, sélectionnez un service, tel qu'Active Directory. À l'étape suivante, vous attribuez ce service à un groupe composé de membres qui forment le groupe d'infrastructures. Vous ne pouvez créer un service d'infrastructure qu'une seule fois dans un workflow. Vous ne pouvez plus le modifier une fois qu'il est créé.
Pour définir un groupe d'infrastructures, cliquez sur [Définir le groupe].

Une infrastructure peut être une combinaison de VM, d'une plage d'adresses IP ou de groupes de ports virtuels distribués.
1. (Facultatif) Dans le champ Nom de groupe, modifiez le nom du groupe par défaut.
2. (Facultatif) Dans le champ Balise NSX, modifiez le nom de balise par défaut. La balise définie est appliquée à toutes les VM et aux groupes de ports virtuels distribués sélectionnés pour le groupe. Vous pouvez modifier le nom de balise par défaut.
3. Développez la section Sélectionner les VM pour ajouter la balise NSX et sélectionnez les VM qui doivent faire partie du groupe d'infrastructures.
4. Développez la section Adresse IP et entrez une adresse IP, des adresses IP au format CIDR ou une plage d'adresses IP. Les formats IPv4 et IPv6 sont pris en charge.
5. Développez la section Sélectionner les DVPG pour ajouter la balise NSX et sélectionnez les groupes de ports virtuels distribués qui doivent faire partie du groupe d'infrastructures.
6. Cliquez sur Enregistrer.
  L'assistant crée automatiquement le groupe et applique la balise NSX à tous les membres sélectionnés du groupe. Par exemple, si le groupe défini inclut une VM, un groupe de ports virtuels distribués et 1 adresse IP, et que DHCP est le service d'infrastructure sélectionné, l'assistant balise tous les membres du groupe avec la balise définie.
Cliquez sur Suivant.
Sur la page Créer des groupes, développez Créer un groupe d'environnements.
Cliquez sur Ajouter un groupe.
Dans le menu déroulant Environnement, sélectionnez l'environnement du groupe. Par exemple, un environnement peut être un environnement de production, de test, de partenaire ou personnalisé que vous souhaitez définir dans votre topologie.
Pour définir un groupe d'environnements, cliquez sur [Définir le groupe] .
1. (Facultatif) Dans le champ Nom de groupe, modifiez le nom du groupe par défaut.
2. (Facultatif) Dans le champ Balise NSX, modifiez le nom de la balise NSX par défaut. Ce nom de balise est appliqué à toutes les VM et au groupe de ports virtuels distribués sélectionnés pour le groupe d'environnements.
3. Développez la section Sélectionner les VM pour ajouter la balise NSX et sélectionnez les VM qui doivent faire partie du groupe d'environnements.
4. Développez la section Adresse IP et entrez une adresse IP, des adresses IP au format CIDR ou une plage d'adresses IP. Les formats IPv4 et IPv6 sont pris en charge.
5. Développez la section Sélectionner les DVPG pour ajouter la balise NSX et sélectionnez les groupes de ports virtuels distribués qui doivent faire partie du groupe d'environnements.
6. Cliquez sur Enregistrer.
Cliquez sur Suivant.
Sur la page Créer des groupes, développez Créer un groupe d'applications.
Cliquez sur Ajouter un groupe.
Dans le menu déroulant Nom du groupe d'applications, sélectionnez le type de groupe d'applications que vous souhaitez créer.
Pour définir un groupe d'applications, cliquez sur [Définir le groupe] .
1. (Facultatif) Dans le champ Nom de groupe, modifiez le nom du groupe par défaut pour le groupe d'applications.
2. (Facultatif) Dans le champ Balise NSX, modifiez le nom de balise par défaut. Ce nom de balise est appliqué à toutes les VM et au groupe de ports virtuels distribués sélectionnés pour le groupe d'applications. Entrez une balise NSX.
3. Développez la section Sélectionner les VM pour ajouter la balise NSX et sélectionnez les VM qui doivent faire partie du groupe d'applications.
4. Développez la section Adresse IP et entrez une adresse IP, des adresses IP au format CIDR ou une plage d'adresses IP. Les formats IPv4 et IPv6 sont pris en charge.
5. Développez la section Sélectionner les DVPG pour ajouter la balise NSX et sélectionnez les groupes de ports virtuels distribués qui doivent faire partie du groupe d'applications.
6. Cliquez sur Enregistrer.
Cliquez sur Suivant.

Résultats

Vous avez créé des groupes d'infrastructure, des groupes d'environnement et des groupes d'applications.

Que faire ensuite

Après avoir créé des groupes, définissez des règles de pare-feu qui régissent la communication entre les charges de travail et ces différents groupes.

Définir et publier des stratégies de communication pour les groupes

Après avoir créé des groupes, définissez des règles de pare-feu pour gérer la communication entre les groupes, définissez des exceptions et des ports ou des protocoles pour la communication.

Conditions préalables

Installez NSX-T sur le cluster d'hôtes.
Créez des groupes d'infrastructures, des groupes d'environnements et des groupes d'applications.

Procédure

Développez la section Accès aux services d'infrastructure et définissez des charges de travail spécifiques pouvant accéder à des services d'infrastructure partagés.

Champ	Description
Source	Dans la colonne Source, sélectionnez les charges de travail qui peuvent accéder au service d'infrastructure cible.
Cible	Service d'infrastructure défini auquel accèdent les charges de travail sources.
(NSX-T 3.2.2) Entrée de service	Cliquez sur l'icône Modifier pour ajouter ou modifier des entrées de service. Dans la fenêtre Entrée de service, sélectionnez un type de service et des propriétés pour le type de service. Note : Dans NSX-T 3.2.1 et versions antérieures, le nom de champ était L4.

Champ

Description

Source

Dans la colonne Source, sélectionnez les charges de travail qui peuvent accéder au service d'infrastructure cible.

Cible

Service d'infrastructure défini auquel accèdent les charges de travail sources.

(NSX-T 3.2.2) Entrée de service

Cliquez sur l'icône Modifier pour ajouter ou modifier des entrées de service.

Dans la fenêtre Entrée de service, sélectionnez un type de service et des propriétés pour le type de service.

Note : Dans NSX-T 3.2.1 et versions antérieures, le nom de champ était L4.

Cliquez sur Suivant.

Développez la section Définir la communication entre les environnements (Facultatif) et définissez la communication entre les groupes.

Champ	Description
Source	Développez la section pour définir quel environnement source doit communiquer avec un environnement cible. (NSX-T 3.2.2) : pour chaque groupe source répertorié, sélectionnez une méthode de communication : Non protégé, Autorisé ou Bloqué. Note : Pour autoriser toutes les communications entre tous les groupes sources et le groupe cible, sélectionnez Autoriser toutes les communications. (NSX-T 3.2.1 et versions antérieures) : si vous souhaitez autoriser la communication entre un environnement de développement et un environnement de production, cliquez sur le trait en pointillé rouge entre Développement et Production. L'état activé s'affiche lorsqu'une ligne verte est établie entre les groupes.
Environnement	Est l'environnement cible sélectionné par le système.
(NSX-T 3.2.2) Entrée de service	Sélectionnez le type de service, les ports et les propriétés sur lesquels les charges de travail dans les environnements source et cible communiquent entre elles. Cliquez sur Appliquer. Note : Dans NSX-T 3.2.1 et versions antérieures, le nom de champ était L4.

Champ

Description

Source

Développez la section pour définir quel environnement source doit communiquer avec un environnement cible.

(NSX-T 3.2.2) : pour chaque groupe source répertorié, sélectionnez une méthode de communication : Non protégé, Autorisé ou Bloqué.

Note : Pour autoriser toutes les communications entre tous les groupes sources et le groupe cible, sélectionnez Autoriser toutes les communications.

(NSX-T 3.2.1 et versions antérieures) : si vous souhaitez autoriser la communication entre un environnement de développement et un environnement de production, cliquez sur le trait en pointillé rouge entre Développement et Production. L'état activé s'affiche lorsqu'une ligne verte est établie entre les groupes.

Environnement

Est l'environnement cible sélectionné par le système.

(NSX-T 3.2.2) Entrée de service

Sélectionnez le type de service, les ports et les propriétés sur lesquels les charges de travail dans les environnements source et cible communiquent entre elles.

Cliquez sur Appliquer.

Note : Dans NSX-T 3.2.1 et versions antérieures, le nom de champ était L4.

Cliquez sur Suivant.

Développez la section Définir des stratégies de communication pour les applications (Facultatif) et définissez la communication pour les groupes d'applications.

Champ	Description
Source	Sélectionnez un groupe d'applications pour lequel vous pouvez sélectionner des règles de communication pour gérer le trafic entrant ou sortant.
Stratégie	Sélectionnez une stratégie de pare-feu à appliquer à un groupe d'applications. Les règles de pare-feu prises en charge sont les suivantes : Autorisez tout le trafic externe. Refusez le trafic entrant et autorisez le trafic sortant. Autorisez le trafic entrant et refusez le trafic sortant. Refusez tout le trafic externe. Note : Si vous souhaitez appliquer une règle de pare-feu à tous les groupes d'applications, cliquez sur Sélectionner une stratégie, sélectionnez la règle et cliquez sur Appliquer.
Exception	En fonction du mode de configuration de la règle de pare-feu, vous souhaiterez peut-être ajouter des exceptions. Par défaut, aucune exception n'est ajoutée. Pour ajouter une exception, cliquez sur le lien Aucune exception. Modifiez ces champs pour ajouter des exceptions : Source : sélectionnez la source. Entrée de service : sélectionnez le service, le port et les propriétés. ID d'application L7 : sélectionnez l'ID d'application. Nom de domaine complet : sélectionnez le nom de domaine complet de l'application. Cliquez sur Appliquer.

Cliquez sur Suivant.
Développez la section Définir une action pour les règles de pare-feu par défaut (Facultatif) et définissez une action appliquée au trafic qui ne correspond pas aux critères définis.
Dans Action de règle par défaut, sélectionnez l'une des options suivantes :
- Autoriser : est l'ensemble de règles par défaut. Autorise tout le trafic qui ne correspond pas aux critères définis.
- Annuler ou Rejeter : pour appliquer des règles de pare-feu dans votre réseau, vous pouvez choisir d'annuler le trafic qui ne correspond pas aux critères définis.
Cliquez sur Suivant.
Sur la page Vérifier et publier, vérifiez les stratégies de communication et les règles de pare-feu que vous avez appliquées aux groupes.

Dans la capture d'écran, Règle de production 1 est une règle définie par l'utilisateur et Règle de production 2 est une règle par défaut définie par le système, où l'action par défaut est définie sur Annuler.
Cliquez sur Publier les stratégies.

Résultats

L'assistant se termine et les stratégies de pare-feu que vous avez définies sont appliquées aux groupes. L'interface utilisateur de NSX est disponible dans vCenter Server.

Que faire ensuite

Pour vérifier que les règles de pare-feu publiées à partir de vSphere Client sont réalisées sur l'interface utilisateur de NSX Manager.

Dans l'interface utilisateur de NSX Manager, accédez à Inventaire → Groupes.
Sur la page Groupes, vérifiez si les groupes de charges de travail que vous avez définis dans vSphere Client sont réalisés dans NSX Manager.
Accédez à Sécurité → Pare-feu distribué.
Sur la page Pare-feu distribué, vérifiez si les règles de pare-feu que vous avez appliquées dans vSphere Client doivent être réalisées dans NSX Manager.