In qualità di amministratore dell'infrastruttura virtuale che opera nell'ambiente di vSphere, è possibile utilizzare il workflow semplificato per preparare i cluster ESXi per la sicurezza di NSX.

Utilizzare vSphere Client per preparare i cluster ESXi per la sicurezza di NSX. In tali cluster, è possibile abilitare la microsegmentazione, il filtro degli URL e l'IDS distribuito sui carichi di lavoro delle applicazioni. Questi cluster non sono preparati per la rete virtuale di NSX.

Workflow per configurare la sicurezza di NSX da vSphere Client.

Attività di alto livello:
  • Preparare il cluster host.
  • Crea regole firewall
    • Creare gruppi per i servizi di infrastruttura (Active Directory, DNS e così via), gruppi di ambienti (produzione o test) e gruppi di applicazioni (Web, database, applicazione).
    • Definire la strategia di comunicazione. Alcune delle azioni che è possibile eseguire sono:
      • Definire la comunicazione tra qualsiasi carico di lavoro e i servizi di infrastruttura.
      • Definire la comunicazione in modo che gli ambienti non possano comunicare tra di loro.
      • Limitare la comunicazione a una porta o a un protocollo specifico.
      • Specificare i carichi di lavoro di origine.
      • Configurare le eccezioni dopo la configurazione delle strategie di comunicazione per i carichi di lavoro.
    • Definire l'azione per la regola del firewall predefinita (per elaborare il traffico che non corrisponde alle regole del firewall definite nella sezione Comunicazione).
    • Rivedere e pubblicare le regole del firewall.

Preparazione dei cluster per la sicurezza NSX

Selezionare un cluster host per prepararlo per la sicurezza NSX.

La sezione Per iniziare offre la possibilità di scegliere tra Solo sicurezza o Rete virtuale. Quando si sceglie di abilitare i cluster solo per motivi di sicurezza, la procedura guidata richiede di definire le regole di sicurezza e le utilizza per configurare automaticamente la sicurezza NSX nei gruppi di porte virtuali distribuiti dei cluster selezionati.

Prerequisiti

  • Assicurarsi che gli host ESXi siano compatibili con VMware vCenter versione 7.0.3 o successiva.
  • Verificare che la versione di VMware vCenter sia 7.0.3 o successiva.
  • Configurare un vSphere Distributed Switch (VDS) sugli host. È supportato solo VDS 6.6 o versione successiva.
  • In un cluster abilitato per vSphere Lifecycle Manager, modificare il VMware vCenter dall'interfaccia utente di NSX Manager per:

Procedura

  1. Da un browser, accedere con i privilegi di amministratore a un VMware vCenter in https://<indirizzo-ip-server-vCenter>.
  2. Nell'interfaccia utente di vSphere Client, selezionare il menu vSphere Client e fare clic su NSX.
  3. Nella scheda Solo sicurezza della schermata Ti diamo il benvenuto in NSX, fare clic su Per iniziare.
  4. Nella sezione Preparazione del cluster host, selezionare i cluster che si desidera preparare solo per la sicurezza e fare clic su Installa NSX.
  5. Nella finestra popup Installa sicurezza, confermare l'elaborazione facendo clic su Installa.
    Nota: Non sono consentiti cluster con un host ESXi incompatibile per la preparazione dell'host.
  6. Fare clic su Avanti per definire le regole del firewall.

risultati

NSX è installato nel cluster host.

Operazioni successive

Per evitare qualsiasi perdita di connettività, aggiungere VMware vCenter e NSX Manager all'elenco di esclusione di DFW.

Crea gruppi

Come parte della creazione del firewall, definire il gruppo di infrastrutture che esegue i servizi selezionati, ad esempio DHCP, definire i gruppi di ambiente, ad esempio produzione, testing o così via, includendo membri del gruppo selezionati e definire i gruppi di applicazioni con i membri del gruppo selezionati.

Prerequisiti

  • Installare NSX nel cluster host.

Procedura

  1. Nella scheda Crea regole firewall , selezionare Crea gruppi.
  2. Nella pagina Crea gruppi , espandere Crea gruppi di infrastrutture.
  3. Fare clic su Aggiungi gruppo.
  4. Dal menu a discesa Servizio infrastruttura , selezionare un servizio, ad esempio Active Directory. Nel passaggio successivo, assegnare questo servizio a un gruppo di membri che costituiscono il gruppo infrastruttura. È possibile creare un servizio dell'infrastruttura solo una volta in un flusso di lavoro. Non può essere modificato dopo averlo creato.
  5. Per definire un gruppo di infrastruttura, fare clic su [Definisci gruppo].

    Un'infrastruttura può essere una combinazione di macchine virtuali, intervallo di indirizzi IP o gruppi di porte virtuali distribuiti.

    1. (Facoltativo) Nel campo Nome gruppo modificare il nome del gruppo predefinito.
    2. (Facoltativo) Nel campo Tag NSX modificare il nome del tag predefinito. Il tag definito viene applicato a tutte le macchine virtuali e ai gruppi di porte virtuali distribuiti selezionati per il gruppo. È possibile modificare il nome del tag predefinito.
    3. Espandere la sezione Selezionare le macchine virtuali per aggiungere un tag NSX e selezionare Macchine virtuali che devono far parte del gruppo di infrastrutture.
    4. Espandere la sezione Indirizzo IP e immettere un indirizzo IP, indirizzi IP in formato CIDR o un intervallo di IP. Sono supportati entrambi i formati IPv4 e IPv6.
    5. Espandere la sezione Selezionare i DVPG per aggiungere un tag NSX e selezionare i gruppi di porte virtuali distribuiti che devono far parte del gruppo di infrastrutture.
    6. Fare clic su Salva.
      La procedura guidata crea automaticamente il gruppo e applica il Tag NSX a tutti i membri selezionati del gruppo. Ad esempio, se il gruppo definito include una macchina virtuale, un gruppo di porte virtuali distribuito e un indirizzo IP e DHCP è il servizio dell'infrastruttura selezionato, la procedura guidata contrassegna tutti i membri del gruppo con il tag definito.
  6. Fare clic su Avanti.
  7. Nella pagina Crea gruppi , espandere Crea Gruppo di ambiente.
  8. Fare clic su Aggiungi gruppo.
  9. Dal menu a discesa Ambiente , selezionare l'ambiente per il gruppo. Ad esempio, un ambiente può essere un ambiente di produzione, testing, partner o personalizzato che si desidera definire nella topologia.
  10. Per definire un gruppo di ambiente, fare clic su [Definisci gruppo].
    1. (Facoltativo) Nel campo Nome gruppo modificare il nome del gruppo predefinito.
    2. (Facoltativo) Nel campo Tag NSX modificare il nome del tag NSX predefinito. Il nome del tag viene applicato a tutte le macchine virtuali e al gruppo di porte virtuali distribuito selezionato per il gruppo di ambiente.
    3. Espandere la sezione Selezionare le macchine virtuali per aggiungere un tag NSX e selezionare Macchine virtuali che devono far parte del gruppo di ambiente.
    4. Espandere la sezione Indirizzo IP e immettere un indirizzo IP, indirizzi IP in formato CIDR o un intervallo di IP. Sono supportati entrambi i formati IPv4 e IPv6.
    5. Espandere la sezione Selezionare i DVPG per aggiungere un tag NSX e selezionare i gruppi di porte virtuali distribuiti che devono far parte del gruppo di ambiente.
    6. Fare clic su Salva.
  11. Fare clic su Avanti.
  12. Nella pagina Crea gruppi, espandere Crea gruppo di applicazioni.
  13. Fare clic su Aggiungi gruppo.
  14. Dal menu a discesa Nome gruppo di applicazioni selezionare il tipo di gruppo di applicazioni che si desidera creare.
  15. Per definire un gruppo di applicazioni, fare clic su [Definisci gruppo].
    1. (Facoltativo) Nel campo Nome gruppo modificare il nome del gruppo predefinito per il gruppo di applicazioni.
    2. (Facoltativo) Nel campo Tag NSX modificare il nome del tag predefinito. Il nome del tag viene applicato a tutte le macchine virtuali e al gruppo di porte virtuali distribuito selezionato per il gruppo di applicazioni, immettere un tag NSX.
    3. Espandere la sezione Selezionare le macchine virtuali per aggiungere un tag NSX e selezionare Macchine virtuali che devono far parte del gruppo di applicazioni.
    4. Espandere la sezione Indirizzo IP e immettere un indirizzo IP, indirizzi IP in formato CIDR o un intervallo di IP. Sono supportati entrambi i formati IPv4 e IPv6.
    5. Espandere la sezione Selezionare i DVPG per aggiungere un tag NSX e selezionare i gruppi di porte virtuali distribuiti che devono far parte del gruppo di applicazioni.
    6. Fare clic su Salva.
  16. Fare clic su Avanti.

risultati

Sono stati creati gruppi di infrastrutture, gruppi di ambienti e gruppi di applicazioni.

Operazioni successive

Dopo aver creato i gruppi, definire le regole del firewall che regolano la comunicazione tra carichi di lavoro e questi gruppi diversi.

Definire e pubblicare strategie di comunicazione per i gruppi

Dopo aver creato i gruppi, definire le regole del firewall per governare la comunicazione tra i gruppi, definire eccezioni e porte o protocolli di comunicazione.

Prerequisiti

  • Installare NSX nel cluster host.
  • Creare gruppi di infrastrutture, gruppi di ambienti e gruppi di applicazioni.

Procedura

  1. Espandere la sezione Accesso ai servizi dell'infrastruttura e definire carichi di lavoro specifici che possono accedere ai servizi dell'infrastruttura condivisi.
    Campo Descrizione
    Origine

    Nella colonna Origine, selezionare i carichi di lavoro che possono accedere al servizio dell'infrastruttura di destinazione.
    Destinazione

    È il servizio dell'infrastruttura definito a cui accedono i carichi di lavoro di origine.
    (NSX3.2.2) Voce servizio

    Fare clic sull'icona Modifica per aggiungere o modificare le voci dei servizi.

    Nella finestra Voce servizio, selezionare un tipo di servizio e le proprietà per il tipo di servizio.

    Nota: In NSX 3.2.1 e versioni precedenti, il nome del campo è L4.
  2. Fare clic su Avanti.
  3. Espandere la sezione Definisci comunicazione tra gli ambienti (facoltativo) e definire la comunicazione tra i gruppi.
    Campo Descrizione
    Origine

    Espandere la sezione per definire l'ambiente di origine che deve comunicare con un ambiente di destinazione.

    (NSX 3.2.2): per ogni gruppo di origine elencato, selezionare un metodo di comunicazione, Non protetto, Consentito o Bloccato.

    Nota: Per consentire la comunicazione tra tutti i gruppi di origine e il gruppo di destinazione, selezionare Consenti tutte le comunicazioni.

    (NSX 3.2.1 e versioni precedenti): per consentire la comunicazione tra un ambiente Sviluppo e un ambiente Produzione, fare clic sulla linea rossa punteggiata tra Sviluppo e Produzione. Lo stato abilitato viene visualizzato quando viene stabilita una linea verde tra i gruppi.
    Ambiente È l'ambiente di destinazione selezionato dal sistema.
    (NSX3.2.2) Voce servizio Selezionare il tipo di servizio, le porte e le proprietà tramite cui i carichi di lavoro negli ambienti di origine e destinazione comunicano tra loro.

    Fare clic su Applica.

    Nota: In NSX 3.2.1 e versioni precedenti, il nome del campo è L4.
  4. Fare clic su Avanti.
  5. Espandere la sezione Definisci strategie di comunicazione per le applicazioni (facoltativo) e definire le comunicazioni per i gruppi di applicazioni.
    Campo Descrizione
    Origine Selezionare un gruppo di applicazioni per il quale selezionare le regole di comunicazione per gestire il traffico in entrata o in uscita.
    Strategia

    Selezionare una strategia del firewall da applicare a un gruppo di applicazioni.

    Le regole del firewall supportate sono:
    • Consenti tutto il traffico esterno.
    • Nega traffico in entrata e consenti traffico in uscita.
    • Consenti traffico in entrata e nega traffico in uscita.
    • Nega tutto il traffico esterno.
    Nota: Se si desidera applicare una regola firewall a tutti i gruppi di applicazioni, fare clic su Selezionare la strategia, selezionare la regola e fare clic su Applica.
    Eccezione

    In base a come si desidera configurare la regola del firewall, è possibile aggiungere eccezioni.

    Per impostazione predefinita, nessuna eccezione viene aggiunta. Per aggiungere un'eccezione, fare clic sul collegamento Nessuna eccezione . Modificare questi campi per aggiungere eccezioni:
    • Origine: selezionare l'origine.
    • Voce servizio: selezionare il servizio, la porta e le proprietà.
    • ID app L7: selezionare l'ID app.
    • FQDN: selezionare il nome di dominio completo dell'applicazione.
    Fare clic su Applica.
  6. Fare clic su Avanti.
  7. Espandere la sezione Definisci azione per la regola del firewall predefinita (facoltativo) e definire un'azione da applicare al traffico che non corrisponde ai criteri definiti.
  8. Nell'azione Regola predefinita (Default rule action), selezionare una delle opzioni seguenti:
    • Consenti: è il set di regole predefinito. Consente tutto il traffico che non corrisponde ai criteri definiti.
    • Rimuovi o Espelli: per applicare le regole firewall all'interno della rete, è possibile scegliere di eliminare il traffico che non corrisponde ai criteri definiti.
  9. Fare clic su Avanti.
  10. Nella pagina Revisione e pubblicazione, esaminare le strategie di comunicazione e le regole del firewall applicate ai gruppi.
    Rivedere le strategie di comunicazione e le regole del firewall applicate ai gruppi.

    Nella schermata, Regola di produzione 1 è una regola definita dall'utente e la regola di produzione 2 è una regola predefinita definita dal sistema in cui l'azione predefinita è impostata su Rimuovi.

  11. Fare clic su Pubblica criteri.

risultati

La procedura guidata termina e i criteri del firewall definiti vengono applicati ai gruppi. L'interfaccia utente di NSX è disponibile in VMware vCenter.

Operazioni successive

Per verificare che le regole del firewall pubblicate da vSphere Client siano realizzate sull'interfaccia utente NSX Manager .
  1. Nell'interfaccia utente di NSX Manager , passare a Inventario→ Gruppi.
  2. Nella pagina Gruppi, verificare che i gruppi di carichi di lavoro definiti in vSphere Client siano realizzati in NSX Manager.
  3. Passare alla pagina Sicurezza→ Firewall distribuito .
  4. Nella pagina Firewall distribuito, verificare che le regole del firewall applicate in vSphere Client siano realizzati in NSX Manager.