L'agent NSX installé sur les serveurs assure la connectivité et la sécurité aux charges de travail bare metal.

Utilisez Ansible pour configurer les interfaces virtuelles et NSX sur Windows Server 2016 et sécurisez les charges de travail à l'aide de NSX.

Dans cette procédure, établissez la connectivité entre les charges de travail et NSX Manager. Ensuite, configurez les règles DFW pour sécuriser le trafic d'entrée et de sortie en cours d'exécution entre les charges de travail virtuelles ou physiques et Windows Server 2016 ou 2019 bare metal.

Conditions préalables

  • Configurez vos propres paramètres de proxy sur le serveur physique.

Procédure

  1. Activez la gestion à distance Windows (WinRM) sur Windows Server 2016 pour permettre à Windows Server d'interagir avec des logiciels et du matériel tiers. Pour activer le service WinRM avec un certificat auto-signé.
    1. Exécutez PS$ wget -o ConfigureWinRMService.ps1 https://raw.githubusercontent.com/vmware/bare-metal-server-integration-with-nsxt/master/bms-ansible-nsx/windows/ConfigureWinRMService.ps1.
    2. Exécutez PS$ powershell.exe -ExecutionPolicy ByPass -File ConfigureWinRMService.ps1.
  2. Configurez WinRM pour utiliser le protocole HTTPS. Le port par défaut utilisé pour HTTPS est 5986.
    1. Exécutez PowerShell en tant qu'administrateur.
    2. Exécutez winrm quickconfig.
    3. Exécutez winrm set winrm/config/service/auth ‘@{Basic=“true”}’.
    4. Exécutez winrm set winrm/config/service ‘@{AllowUnencrypted=“true”}’.
    5. Exécutez winrm create winrm/config/Listener?Address=*+Transport=HTTPS ‘@{Hostname=“win16-colib-001”;CertificateThumbprint=“[output of the 2nd command]"}’.
    6. Vérifiez la configuration de WinRM. Exécutez winrm e winrm/config/listener.
  3. Ajoutez le serveur bare metal en tant que nœud de transport autonome. Reportez-vous à la section Configurer un serveur physique comme nœud de transport depuis l'interface utilisateur graphique.
  4. Vérifiez si des ponts OVS sont créés sur le serveur Windows. Le pont OVS connecte l'interface virtuelle d'application au commutateur NSX sur le nœud de transport.
    ovs-vsctl show
    La sortie doit afficher les ponts créés à partir du composant hôte nsxswitch et nsx managed. Le pont nsxswitch est destiné au nœud de transport qui a été créé. Le pont nsx managed est créé pour l'interface virtuelle d'application sur l'hôte Windows. Ces entrées de pont indiquent que le canal de communication est établi entre le commutateur NSX et l'écouteur distant Windows.
  5. Sur le nœud de transport reposant sur la superposition, vérifiez :
    • L'adresse IP statique est reflétée en tant qu'adresse IP du segment de superposition auquel la charge de travail du serveur Windows est connectée.
    • Les tunnels GENEVE sont créés entre le commutateur NSX et le composant hôte géré par NSX sur l'hôte Windows.
    Note : De même, sur un nœud de transport reposant sur VLAN, vérifiez que l'adresse IP statique est reflétée en tant qu'adresse IP du segment VLAN auquel la charge de travail du serveur Windows est connectée.
  6. Dans Windows, personnalisez le pilote OVSIM pour le serveur Windows afin de créer deux nouveaux adaptateurs réseau : des interfaces virtuelles d'application et un point de terminaison de tunnel virtuel (VTEP) pour la charge de travail reposant sur la superposition.
    $:> Get-NetAdapter
    vEthernet1-VTEP : utilisé pour l'interface VTEP reposant sur la superposition. Non requis pour une charge de travail reposant sur un VLAN.
    vEthernet1-VIF1 : utilisé pour l'interface virtuelle ou l'interface d'application du serveur bare metal Windows.
  7. Pour vérifier les adaptateurs réseau, accédez au serveur Windows et exécutez Get-NetAdapter.
  8. Vérifiez la connectivité entre l'application, le serveur bare metal Windows et NSX Manager.
  9. Ajoutez et publiez des règles DFW de couche 2 ou de couche 3 pour la charge de travail bare metal de superposition ou de VLAN.
  10. Vérifiez que le trafic d'entrée et de sortie entre les charges de travail virtuelles ou physiques et les charges de travail bare metal sont acheminés en fonction des règles DFW publiées.