您可以安裝僅適用於 vSphere Distributed Switch (VDS) 的分散式安全性。換句話說,您可以在 VDS 上安裝分散式安全性,而無需部署 NSX 虛擬分散式交換器 (N-VDS)。
安裝適用於 VDS 的分散式安全性可提供 NSX 安全性功能,例如:
- 分散式防火牆 (DFW)
- 分散式 IDS/IPS
- 身分識別防火牆
- L7 應用程式識別碼
- 完整網域名稱 (FQDN) 篩選
- NSX Intelligence
- NSX 惡意程式碼防護
- NSX Guest Introspection
如需安裝適用於 VDS 的分散式安全性的詳細資料,請參閱安裝適用於 vSphere Distributed Switch 的分散式安全性。
安裝程序
安裝分散式安全性時,僅在 NSX-T 中進行組態變更,而 vCenter Server 中沒有任何變更。將探索 VDS 的詳細資料,並在 NSX-T 中自動建立以下物件以顯示 VDS 詳細資料:
- 每個叢集的傳輸節點設定檔。
- 每個 VDS 的主機交換器。
- 每個 VDS 的 VLAN 傳輸區域。
這些物件是系統產生的,不能進行設定或編輯。
此外,在 VDS 探索過程中,將在 NSX-T 中建立 VDS 的分散式虛擬連接埠群組 (DVPG) 和 DVPort 作為物件。如需更多詳細資料,請參閱分散式連接埠群組。
對 vCenter Server 中的 VDS 所做的任何變更都會在 NSX-T 中自動更新。
對具有或不具有分散式安全性的叢集之間的虛擬機器執行 vMotion
透過對虛擬機器執行 vMotion,從不具有分散式安全性的叢集移轉到具有分散式安全性的叢集,具有分散式安全性的叢集的安全性原則將套用至該虛擬機器。
反向地,透過對虛擬機器執行 vMotion,從具有分散式安全性的叢集移轉到沒有分散式安全性的叢集,將移除安全性原則。
升級到 VDS 將如何影響分散式安全性
升級具有分散式安全性的 VDS 可能會導致 DFW 暫時中斷。
VDS 升級路徑 | 對分散式安全性的影響 |
---|---|
從 VDS 6.6 升級到 VDS 7.0.3 之前的任何版本時。 | DFW 不會中斷。 |
從 VDS 6.6、7.0 或 7.0.2 升級到 VDS 7.0.3 時。 | 在升級程序期間,每個主機上不會強制短暫執行 VDS 上的 DFW 原則,原因是在進行升級時,主機上會出現數據平面中斷。VDS 升級會在所有主機上同時執行,因此任何叢集的整體中斷時間並不長。
備註: 在升級程序期間,DFW 原則不會進行變更,僅不會強制執行而已。
在主機上完成升級程序後,將在主機上加強 DFW 原則。 |