È possibile installare Distributed Security solo per un Distributed Switch vSphere (VDS).
L'installazione di Distributed Security for VDS offre le funzionalità di sicurezza NSX come:
- Firewall distribuito (DFW)
- IDS/IPS distribuiti
- Firewall identità
- ID app L7
- Filtro Nome dominio completo qualificato (FQDN)
- NSX Intelligence
- Prevenzione malware NSX
- NSX Guest Introspection
Per informazioni dettagliate sull'installazione di Distributed Security for VDS, vedere Installazione della sicurezza distribuita per il commutatore distribuito vSphere.
Processo di installazione
Quando si installa Distributed Security, le modifiche di configurazione vengono apportate solo in NSX e non vi sono modifiche in VMware vCenter. Vengono rilevati i dettagli dei VDS e i seguenti oggetti vengono creati automaticamente in NSX per rappresentare i dettagli di VDS:
- Un profilo del nodo di trasporto per ogni cluster.
- Un commutatore host per ogni VDS.
- Una zona di trasporto VLAN per ogni VDS.
Questi oggetti sono generati dal sistema e non sono configurabili o modificabili.
Inoltre, come parte del rilevamento di VDS, i gruppi di porte virtuali distribuiti (DVPG) e le porte DVport dei VDS vengono creati come oggetti in NSX. Per ulteriori dettagli, vedere Gruppi di porte distribuiti.
Tutte le modifiche apportate al VDS in VMware vCenter vengono aggiornate automaticamente in NSX.
vMotion di macchine virtuali tra cluster con o senza Distributed Security
Quando si crea una macchina virtuale vMotion da un cluster senza Distributed Security un cluster con Distributed Security, alla macchina virtuale vengono applicati i criteri di protezione del cluster con Distributed Security.
Al contrario, quando si crea una macchina virtuale vMotion da un cluster con Distributed Security in un cluster senza Distributed Security, i criteri di protezione vengono rimossi.
In che modo gli aggiornamenti a VDS influiscono sulla Distributed Security
L'aggiornamento di un VDS con Distributed Security può causare interruzioni temporanee a DFW.
Percorso di aggiornamento di VDS | Effetto sulla Distributed Security |
---|---|
Quando si esegue l'aggiornamento da VDS 6.6 a una versione precedente a VDS 7.0.3. | Non vi sono interruzioni per DFW. |
Quando si esegue l'aggiornamento da VDS 6.6, 7.0 o 7.0.2 a VDS 7.0.3. | I criteri DFW in VDS non vengono applicati per un breve momento su ogni host durante il processo di aggiornamento a causa di un'interruzione del piano dati che si verifica nell'host mentre l'aggiornamento è in corso. L'aggiornamento di VDS viene eseguito simultaneamente su tutti gli host, quindi il periodo di interruzione complessivo per qualsiasi cluster non è significativo.
Nota: Durante il processo di aggiornamento, i criteri DFW non vengono modificati, ma non vengono applicati.
Dopo aver completato il processo di aggiornamento nell'host, i criteri di DFW vengono riapplicati sull'host. |