NSX autorise la sécurité distribuée sur un commutateur vSphere Distributed Switch (VDS). Comme le commutateur d'hôte est de type VDS, vous pouvez activer les fonctionnalités DFW sur les VM de charge de travail.
À partir de NSX 4.2, DFW prend en charge les DVPG créés dans vSphere et les segments créés dans NSX du même cluster.
La sécurité distribuée fournit des fonctionnalités liées à la sécurité à votre VDS, telles que :
- Pare-feu distribué (DFW)
- IDS/IPS distribué
- Pare-feu d'identité
- ID d'application L7
- Filtrage par nom de domaine complet (FQDN)
- NSX Intelligence
- Prévention des logiciels malveillants de NSX
- NSX Guest Introspection
Une fois que vous avez activé la sécurité sur les DVPG, NSX détecte les ports DVPG ainsi que les segments DVPG.
Conditions préalables
Voici les conditions requises à l'installation de la sécurité distribuée pour VDS :
- vSphere 7.0.3 ou une version ultérieure.
Le cluster vSphere doit disposer d'au moins un VDS avec Distributed Switch version 7.0.3 ou ultérieure configuré et les hôtes du cluster ESXi doivent être membres d'un VDS avec des liaisons montantes configurées.
- Un gestionnaire de calcul doit être enregistré dans NSX. Reportez-vous à la section Ajouter un gestionnaire de calcul.
Avant de déployer et de configurer la sécurité distribuée sur des hôtes, assurez-vous que NSX n'est pas déployé sur ces hôtes.
Procédure
- Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
- Accédez à Système > Démarrage rapide.
- Sur la carte Préparez des clusters pour la mise en réseau et la sécurité, cliquez sur Démarrer.
- Sélectionnez les clusters pour lesquels vous souhaitez activer Distributed Security.
- Cliquez sur Installer NSX et sous Mise en réseau, choisissez VLAN ou Superposition.
Note :
Le choix d'un VLAN active uniquement mise en réseau VLAN NSX.
- Dans la boîte de dialogue, cliquez sur Installer.
- Accédez à la page Système > Infrastructure > Hôtes pour activer la sécurité sur DVPG dans un cluster.
- Sur la page Hôtes > Cluster, sélectionnez le cluster sur lequel vous souhaitez activer la sécurité sur les DVPG du cluster.
Note :
Veillez à sélectionner tous les clusters sur lesquels le VDS s'étend. Si vous quittez un cluster sur lequel VDS s'étend, la sécurité n'est pas activée sur les DVPG de ce cluster.
- Sur la page Hôtes, cliquez sur Actions > Activer NSX sur les DVPG.
Note :
Avant de l'activer sur les DVPG, protégez tous les dispositifs de gestion en les ajoutant à la liste d'exclusion DFW.
- Sur la carte Activer l'NSX sur les DVPG, cliquez sur Oui pour activer les DVPG.
NSX détecte les groupes de ports associés à un commutateur VDS. Pour en savoir plus sur la recherche des ports détectés dans NSX, reportez-vous à la section Groupes de ports distribués.
- Pour désactiver la sécurité sur les DVPG dans un cluster :
- Sur la page Hôtes > Cluster, sélectionnez le cluster sur lequel vous souhaitez désactiver la sécurité sur les DVPG du cluster.
- Sur la page Hôtes, cliquez sur Actions > Désactiver NSX sur les DVPG.
Résultats
Après avoir correctement activé la sécurité sur un cluster, l'état de la colonne NSX sur les DVPG est mis à jour vers Oui sur la page Hôtes. Distributed Security est installé et vous pouvez commencer à utiliser des fonctionnalités de sécurité, telles que la création de stratégies et de règles DFW pour le VDS.