Vous pouvez installer la sécurité distribuée uniquement pour un Distributed Switch (VDS) vSphere.
L'installation de la sécurité distribuée pour VDS fournit les fonctionnalités de sécurité NSX telles que :
- Pare-feu distribué (DFW)
- IDS/IPS distribué
- Pare-feu d'identité
- ID d'application L7
- Filtrage par nom de domaine complet (FQDN)
- NSX Intelligence
- Prévention des logiciels malveillants de NSX
- NSX Guest Introspection
Pour plus d'informations sur l'installation de Distributed Security pour VDS, reportez-vous à la section Activer NSX sur vSphere Distributed Switch.
Processus d'installation
Lorsque vous installez la sécurité distribuée, les modifications de configuration se produisent uniquement dans NSX et il n'y a aucune modification dans VMware vCenter. Les détails du VDS sont détectés et les objets suivants sont automatiquement créés dans NSX pour représenter les détails du VDS :
- Un profil de nœud de transport pour chaque cluster.
- Un commutateur d'hôte pour chaque VDS.
- Une zone de transport VLAN pour chaque VDS.
Ces objets sont générés par le système et ne sont ni configurables ni modifiables.
En outre, dans le cadre de la détection de VDS, les groupes de ports virtuels distribués (DVPG) et les DVports du VDS sont créés en tant qu'objets dans NSX. Pour plus de détails, reportez-vous à la section Groupes de ports distribués.
Toutes les modifications apportées au VDS dans VMware vCenter sont automatiquement mises à jour dans NSX.
Migration par vMotion de machines virtuelles entre des clusters avec ou sans sécurité distribuée
Lorsque vous effectuez une migration par vMotion d'une machine virtuelle à partir d'un cluster sans la sécurité distribuée vers un cluster avec la sécurité distribuée, les stratégies de sécurité du cluster avec la sécurité distribuée sont appliquées à la machine virtuelle.
Inversement, lorsque vous effectuez une migration par vMotion d'une machine virtuelle à partir d'un cluster avec la sécurité distribuée vers un cluster sans la sécurité distribuée, les stratégies de sécurité sont supprimées.
Incidence des mises à niveau vers VDS sur la sécurité distribuée
La mise à niveau d'un VDS avec la sécurité distribuée peut provoquer des interruptions temporaires du DFW.
Chemin de mise à niveau de VDS | Effet sur la sécurité distribuée |
---|---|
Lors de la mise à niveau de VDS 6.6, 7.0 ou 7.0.2 vers VDS 7.0.3. | Les stratégies DFW sur le VDS ne sont pas appliquées brièvement sur chaque hôte pendant le processus de mise à niveau en raison d'une panne du plan de données qui se produit sur l'hôte alors que la mise à niveau est en cours. La mise à niveau de VDS est effectuée simultanément sur tous les hôtes, de sorte que la période d'interruption globale d'un cluster n'est pas significative.
Note : Pendant le processus de mise à niveau, les stratégies DFW ne sont pas modifiées, elles ne sont qu'appliquées.
Une fois le processus de mise à niveau terminé sur l’hôte, les stratégies DFW sont renforcées sur l’hôte. |