Cette section fournit le workflow de configuration pour préparer votre environnement à l'aide de la Sécurité distribuée NSX pour la protection des machines virtuelles.

Conditions préalables

Vous avez déployé NSX Manager et configuré les licences valides.

Workflow de configuration

La préparation de votre environnement virtuel pour la Sécurité distribuée NSX implique deux étapes principales :

  • Configurer le gestionnaire de calcul (vCenter)
  • Préparer le cluster vCenter (hôtes ESXi) pour la Sécurité distribuée NSX

1 : Configurer le gestionnaire de calcul (vCenter)

Vous devez ajouter vCenter Server comme gestionnaire de calcul sur NSX-T pour afficher l'ensemble de l'inventaire des hôtes et des clusters vCenter Server. Vous pouvez ensuite exploiter l'inventaire disponible pour préparer les hôtes et les clusters ESXi pour Sécurité NSX.

  1. Dans votre navigateur, connectez-vous au dispositif NSX Manager sur https://<nsx-manager-ip-address> à l'aide des informations d'identification de l'administrateur.

  2. Enregistrez NSX-T dans vCenter Server depuis Système > Infrastructure > Gestionnaires de calcul > Ajouter un gestionnaire de calcul. Ajoutez vCenter Server comme gestionnaire de calcul.

    Ajouter un gestionnaire de calcul

  3. Validez l'enregistrement de NSX-T dans vCenter Server sur la page Système > Infrastructure > Gestionnaires de calcul. Cliquez sur Actualiser et affichez l'état de la connexion.

    Actualiser le gestionnaire de calcul

Une fois l'enregistrement de vCenter Server réussi, vous pouvez afficher l'inventaire du cluster d'hôtes vCenter Server configuré à partir de l'interface utilisateur (IU) de NSX Manager. Dans l'interface utilisateur de NSX Manager, accédez à Système > Infrastructure > Nœuds pour afficher l'inventaire.

Vous pouvez configurer plusieurs serveurs vCenter Server à partir de l'interface utilisateur de NSX Manager en suivant les mêmes étapes pour chaque serveur vCenter Server.

2 : Préparer le cluster vCenter (hôtes ESXi) pour la Sécurité distribuée NSX

Sécurité distribuée NSX implique la préparation du cluster de calcul vCenter Server de NSX-T. NSX-T prend en charge deux modes de préparation d'hôtes comme suit :

  1. Sécurité uniquement : sécurité distribuée pour les groupes de ports VDS :
    • Prend en charge la sécurité des VM connectées aux groupes de ports virtuels distribués (DVPG) vCenter natifs.
    • Prend en charge vSphere 6.7 et vSphere 7.0 Update 1 ou version ultérieure.
    • Ne prend pas en charge la mise en réseau de NSX-T pour la charge de travail dans le cluster vCenter Server préparé de NSX-T.
    • Le workflow n'est pris en charge qu'à l'aide de l'assistant de démarrage rapide.
  2. Mise en réseau et sécurité : sécurité distribuée avec mise en réseau de NSX-T :
    • Prend en charge la mise en réseau de NSX-T et la sécurité distribuée pour la charge de travail dans le cluster vCenter Server préparé de NSX-T.
    • Si les charges de travail connectées au VLAN nécessitent une sécurité distribuée, vous devez déplacer la charge de travail vers les segments VLAN NSX-T à partir de DVPG.
    • Le workflow est pris en charge à l'aide de l'assistant de démarrage rapide ou manuellement à partir du menu Système > Infrastructure > Nœuds.

En fonction de votre environnement, sélectionnez la méthode de déploiement requise. L'environnement NSX-T peut comporter un mélange de clusters préparés uniquement pour la Sécurité NSX et de clusters préparés pour Mise en réseau et sécurité NSX. Vous trouverez plus d'informations sur chacun des modes de déploiement plus loin dans cette section.

2.1 : préparation de l'hôte avec sécurité uniquement - Sécurité distribuée pour les groupes de ports VDS

Après avoir configuré le gestionnaire de calcul, vous pouvez préparer des clusters d'hôtes ESXi uniquement pour la sécurité distribuée. Les hôtes de votre cluster doivent partager VDS.

Procédure

  1. Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Accédez à Système > Démarrage rapide.
  3. Sur la carte Préparez des clusters pour la mise en réseau et la sécurité, cliquez sur Démarrer.

    Widget de démarrage rapide pour préparer rapidement les clusters pour la sécurité uniquement

  4. Sélectionnez les clusters pour lesquels vous souhaitez installer la sécurité distribuée.
  5. Cliquez sur Installer NSX, puis sélectionnez Sécurité uniquement.
  6. Dans la boîte de dialogue, cliquez sur Installer.

    La préparation des hôtes NSX commence à installer les modules logiciels requis sur les hôtes ESXi.

    Le processus prend quelques minutes. Une fois le processus terminé, l'état passe à Réussite. Les objets tels que le profil de nœud de transport, la zone de transport et les groupes de ports distribués sont automatiquement créés.

    Processus d'installation indiquant l'état En cours et Terminé

  7. Pour afficher le VDS sur lequel la sécurité distribuée est installée, procédez comme suit :
    1. Accédez à Système > Infrastructure > Nœuds.
    2. Sélectionnez l'onglet Nœuds de transport hôtes.
      Note : Les clusters vSphere préparés pour la sécurité distribuée sont identifiés par l'étiquette Sécurité.

Résultats

Dans l'interface utilisateur de NSX Manager, accédez à l'onglet Mise en réseau > Segments > Groupes de ports distribués pour afficher l'inventaire DVPG à partir de vCenter Server.

Dans l'interface utilisateur de NSX Manager, accédez à Inventaire > Machines virtuelles pour afficher l'inventaire des machines virtuelles de tous les hôtes ESXi.

Que faire ensuite

Vous pouvez maintenant commencer à configurer votre stratégie pour les charges de travail hébergées sur DVPG sur le serveur vCenter Server préparé.

2.2 : mise en réseau et sécurité - Sécurité distribuée avec mise en réseau NSX-T

Après avoir configuré le gestionnaire de calcul, vous pouvez préparer des clusters d'hôtes ESXi pour la mise en réseau VLAN et la sécurité distribuée conjointement.

Procédure

  1. Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Sur la carte Préparez des clusters pour la mise en réseau et la sécurité, cliquez sur Démarrer.
  3. Sélectionnez les clusters que vous voulez préparer pour la mise en réseau de NSX-T.
  4. Cliquez sur Installer NSX, puis sélectionnez Mise en réseau et sécurité.
    Installation du démarrage rapide pour Mise en réseau et sécurité (basées sur VLAN)
  5. Selon vos besoins, vous pouvez préparer le même cluster pour la mise en réseau VLAN et de superposition ou pour un type de mise en réseau. Avec la mise en réseau de superposition, chaque commutateur d'hôte reçoit une adresse IP TEP, qui est requise pour la mise en réseau de superposition.
    Préparer le cluster pour la mise en réseau VLAN et de superposition
  6. Affichez le commutateur Configuration du commutateur d'hôte pour connaître les commutateurs cibles vers lesquels les cartes réseau physiques et les adaptateurs VMkernel (le cas échéant) seront migrés.
    Il s'agit de la configuration recommandée de NSX-T. Toutefois, vous pouvez personnaliser les paramètres du cluster, même s'il s'agit d'une étape facultative.
    Note : Une ligne pointillée entre un commutateur et une carte réseau physique indique qu'il s'agit d'une configuration existante sur le commutateur d'hôte, qui sera remplacée par une ligne continue allant vers la même carte réseau physique.
  7. Même si NSX-T fournit des recommandations, vous pouvez toujours personnaliser la configuration. Pour personnaliser un commutateur, sélectionnez-le et modifiez la configuration recommandée.
    1. Type : modifiez le type de commutateur d'hôte.
    2. Zone de transport : sélectionnez une autre zone de transport à laquelle vous souhaitez associer l'hôte.
    3. Profil de liaison montante : si nécessaire, sélectionnez un profil de liaison montante différent du profil de liaison montante recommandé.
      Note : Si vous configurez deux commutateurs VDS avec la même configuration, l'assistant recommande le même profil de liaison montante pour les deux commutateurs.
    4. Mappage entre liaison montante et carte réseau physique : sur un commutateur VDS, toutes les liaisons montantes configurées sur le commutateur VDS sont mappées aux liaisons montantes dans NSX-T. Sur un commutateur N-VDS, les liaisons montantes sont mappées à des vmnic.
      Une modification apportée au type de commutateur d'hôte ou au mappage entre la liaison montante et la vmnic est reflétée dans la représentation du réseau Configuration du commutateur d'hôte.
  8. Cliquez sur Installer.

    La préparation des hôtes NSX commence à installer les modules logiciels requis sur les hôtes ESXi.

    Affichez la progression de l'installation sur la carte Préparez des clusters pour la mise en réseau et la sécurité. Si l'installation sur l'un des hôtes échoue, recommencez l'installation en résolvant l'erreur.

    Le processus prend quelques minutes. Une fois le processus terminé, l'état passe à Réussite.

  9. Pour afficher les hôtes préparés avec succès, accédez à Système → Infrastructure → Nœuds → Nœuds de transport hôtes.

Résultats

Dans l'interface utilisateur de NSX Manager, accédez à l'onglet Inventaire > Machines virtuelles pour afficher l'inventaire des machines virtuelles de tous les hôtes ESXi.

Note : Le cluster vCenter Server préparé pour Mise en réseau et sécurité ne prend pas en charge la sécurité pour les charges de travail connectées directement à DVPG. Si la charge de travail connectée au VLAN DVPG nécessite une sécurité, vous devez déplacer la charge de travail vers des segments VLAN NSX (avec le même VLAN) ou déplacer les charges de travail vers le cluster préparé uniquement pour Sécurité NSX.

Pour plus d'informations, reportez-vous au Guide d'administration de NSX-T Data Center.

Que faire ensuite

Vous pouvez désormais configurer votre stratégie pour les charges de travail hébergées sur les segments NSX des clusters vCenter Server préparés.