身為在 vSphere 環境中工作的 VI 管理員,您可以使用簡化的工作流程來準備 ESXi 叢集,以確保 NSX 安全性。

使用 vSphere Client 準備 ESXi 叢集,以確保 NSX 安全性。在這類叢集上,您可以在應用程式工作負載上啟用微分割、URL 篩選和分散式 IDS。這些叢集不是為 NSX 虛擬網路而準備。

從 vSphere Client 中設定 NSX 安全性的工作流程。

進階工作:
  • 準備主機叢集。
  • 建立防火牆規則
    • 為基礎架構服務 (Active Directory、DNS 等)、環境群組 (生產或測試) 和應用程式群組 (Web、資料庫、應用程式) 建立群組。
    • 定義通訊策略。您可以採取的一些動作包括:
      • 定義任何工作負載和基礎架構服務之間的通訊。
      • 定義通訊以禁止環境彼此聯繫。
      • 僅限對特定連接埠或通訊協定進行通訊。
      • 指定來源工作負載。
      • 設定工作負載的通訊策略後設定例外狀況。
    • 定義預設防火牆規則的動作 (處理與 [通訊] 區段中定義的防火牆規則不符的流量)。
    • 檢閱和發佈防火牆規則。

針對 NSX 安全性準備叢集

選取要針對 NSX 安全性作準備的主機叢集。

[開始使用] 區段可讓您選擇僅限安全性虛擬網路。當您選擇只為安全性啟用叢集時,精靈會要求您定義安全性規則,並使用這些規則在選定叢集的分散式虛擬連接埠群組上自動設定 NSX 安全性。

必要條件

  • 確保 ESXi 主機與 VMware vCenter v7.0.3 版或更新版本相容。
  • 確保 VMware vCenter 版本為 v7.0.3 或更新版本。
  • 在主機上設定 vSphere Distributed Switch (VDS) 交換器。僅支援 VDS 6.6 或更新版本。
  • 在已啟用 vSphere Lifecycle Manager 的叢集上,從 NSX Manager UI 編輯 VMware vCenter

程序

  1. 從瀏覽器,以 admin 權限登入 VMware vCenter,網址為 https://<vcenter-server-ip-address>。
  2. vSphere Client UI 上,選取 vSphere Client 功能表,然後按一下 NSX
  3. 在 [歡迎使用 NSX] 畫面的僅限安全性卡片上,按一下開始使用
  4. 主機叢集準備區段上,選取只為安全性而準備的叢集,然後按一下安裝 NSX
  5. 在 [安裝安全性] 快顯視窗中,按一下安裝以確認要進行。
    備註: 主機準備不允許使用任何具有不相容 ESXi 主機的叢集。
  6. 下一步以定義防火牆規則。

結果

NSX 已安裝在主機叢集上。

下一步

為避免連線中斷,請將 VMware vCenterNSX Manager 新增至分散式防火牆排除清單。

建立群組

在防火牆建立過程中,定義執行選定服務 (例如 DHCP) 的基礎架構群組,定義由選定群組成員組成的環境群組 (例如生產、測試等),以及定義具有選定群組成員的應用程式群組。

必要條件

  • 在主機叢集上安裝 NSX

程序

  1. 建立防火牆規則索引標籤中,選取建立群組
  2. 建立群組頁面中,展開建立基礎架構群組
  3. 按一下新增群組
  4. 基礎架構服務下拉式功能表中,選擇服務,例如 Active Directory。在下一步,您會將此服務指派給由構成基礎架構群組的成員所組成的群組。您在工作流程中只有一次機會建立基礎架構服務。建立後就無法編輯。
  5. 若要定義基礎架構群組,請按一下定義群組

    基礎架構可以是虛擬機器、IP 位址範圍或分散式虛擬連接埠群組的組合。

    1. (選擇性) 群組名稱欄位中,修改預設群組名稱。
    2. (選擇性) NSX 標籤欄位中,修改預設標籤名稱。定義的標籤會套用至針對群組所選定的所有虛擬機器和分散式虛擬連接埠群組。您可以編輯預設標籤名稱。
    3. 展開選取要新增 NSX 標籤的虛擬機器區段,然後選取必須屬於基礎架構群組的虛擬機器。
    4. 展開 IP 位址區段,然後輸入 IP 位址、CIDR 格式的 IP 位址,或 IP 範圍。支援 IPv4 和 IPv6 格式。
    5. 展開選取要新增 NSX 標籤的 DVPG 區段,然後選取必須屬於基礎架構群組的分散式虛擬連接埠群組。
    6. 按一下儲存
      精靈會自動建立群組,並將 NSX 標籤套用至群組所有選定的成員。例如,如果定義的群組包含一部虛擬機器、一個分散式虛擬連接埠群組和一個 IP 位址,而且選定的基礎架構服務為 DHCP,則精靈會以定義的標籤來標記所有群組成員。
  6. 下一步
  7. 建立群組頁面中,展開建立環境群組
  8. 按一下新增群組
  9. 環境下拉式功能表中,選擇群組的環境。例如,環境可以是您要在拓撲中定義的生產、測試、合作夥伴或自訂環境。
  10. 若要定義環境群組,請按一下定義群組
    1. (選擇性) 群組名稱欄位中,修改預設群組名稱。
    2. (選擇性) NSX 標籤欄位中,修改預設 NSX 標籤名稱。此標籤名稱會套用至針對環境群組所選定的所有虛擬機器和分散式虛擬連接埠群組。
    3. 展開選取要新增 NSX 標籤的虛擬機器區段,然後選取必須屬於環境群組的虛擬機器。
    4. 展開 IP 位址區段,然後輸入 IP 位址、CIDR 格式的 IP 位址,或 IP 範圍。支援 IPv4 和 IPv6 格式。
    5. 展開選取要新增 NSX 標籤的 DVPG 區段,然後選取必須屬於環境群組的分散式虛擬連接埠群組。
    6. 按一下儲存
  11. 下一步
  12. 建立群組頁面中,展開建立應用程式群組
  13. 按一下新增群組
  14. 應用程式群組名稱下拉式功能表中,選擇您要建立的應用程式群組類型。
  15. 若要定義應用程式群組,請按一下定義群組
    1. (選擇性) 群組名稱欄位中,修改應用程式群組的預設群組名稱。
    2. (選擇性) NSX 標籤欄位中,修改預設標籤名稱。此標籤名稱會套用至針對應用程式群組所選定的所有虛擬機器和分散式虛擬連接埠群組,請輸入 NSX 標籤。
    3. 展開選取要新增 NSX 標籤的虛擬機器區段,然後選取必須屬於應用程式群組的虛擬機器。
    4. 展開 IP 位址區段,然後輸入 IP 位址、CIDR 格式的 IP 位址,或 IP 範圍。支援 IPv4 和 IPv6 格式。
    5. 展開選取要新增 NSX 標籤的 DVPG 區段,然後選取必須屬於應用程式群組的分散式虛擬連接埠群組。
    6. 按一下儲存
  16. 下一步

結果

您已建立基礎架構群組、環境群組和應用程式群組。

下一步

建立群組後,定義防火牆規則,以控管工作負載與這些不同群組之間的通訊。

定義和發佈群組的通訊策略

建立群組後,定義防火牆規則以控管群組之間的通訊、定義例外狀況,以及通訊的連接埠或通訊協定。

必要條件

  • 在主機叢集上安裝 NSX
  • 建立基礎架構群組、環境群組和應用程式群組。

程序

  1. 展開存取基礎結構服務區段,然後定義可以存取共用基礎架構服務的特定工作負載。
    欄位 說明
    來源

    在 [來源] 資料行中,選取可以存取目標基礎架構服務的工作負載。
    目標

    定義的基礎架構服務,供來源工作負載存取。
    (NSX3.2.2) 服務項目

    按一下編輯圖示以新增或編輯服務項目。

    在 [服務項目] 視窗中,選取服務類型和服務類型的內容。

    備註:NSX 3.2.1 及先前版本中,欄位名稱為 L4
  2. 下一步
  3. 展開定義環境之間的通訊 (選用) 區段,然後定義群組之間的通訊。
    欄位 說明
    來源

    展開此區段以定義哪個來源環境必須與目標環境通訊。

    (NSX 3.2.2):對於列出的每個來源群組,選取通訊方法:不受保護已允許已封鎖

    備註: 若要允許所有來源群組和目標群組之間的所有通訊,請選取 允許所有通訊

    (NSX 3.2.1 及先前版本):若要允許開發環境與生產環境之間進行通訊,請按一下開發和生產之間的紅色虛線。群組之間建立綠色線時會顯示已啟用狀態。
    環境 系統選取的目標環境。
    (NSX3.2.2) 服務項目 選取服務類型、連接埠和內容,讓來源和目標環境中的工作負載彼此通訊。

    按一下套用

    備註:NSX 3.2.1 及先前版本中,欄位名稱為 L4
  4. 下一步
  5. 展開定義應用程式的通訊策略 (選用) 區段,然後為應用程式群組定義通訊。
    欄位 說明
    來源 選取應用程式群組,以選取通訊規則來管理傳入和傳出流量。
    策略

    選取要套用至應用程式群組的防火牆策略。

    支援的防火牆規則包括:
    • 允許所有外部流量。
    • 拒絕傳入並允許傳出流量。
    • 允許傳入並拒絕傳出流量。
    • 拒絕所有外部流量。
    備註: 如果要將一個防火牆規則套用至所有應用程式群組,請按一下 選取策略,選取規則,然後按一下 套用
    例外狀況

    根據您想如何設定防火牆規則,可能需要新增例外狀況。

    依預設不會新增例外狀況。若要新增例外狀況,請按一下 無例外狀況連結。編輯這些欄位以新增例外狀況:
    • 來源:選取來源。
    • 服務項目:選取服務、連接埠和內容。
    • L7 應用程式識別碼:選取應用程式識別碼。
    • FQDN:選取應用程式的 FQDN。
    按一下 套用
  6. 下一步
  7. 展開定義預設防火牆規則的動作 (選用) 區段,然後定義動作來套用至不符合既定準則的流量。
  8. 在 [預設規則動作] 中,選取下列其中一項:
    • 允許:預設規則集。允許與所定義準則不符的所有流量。
    • 捨棄拒絕:若要在您的網路內強制執行防火牆規則,您可以選擇捨棄與所定義準則不符的流量。
  9. 下一步
  10. 在 [檢閱和發佈] 頁面中,檢閱您套用至群組的通訊策略和防火牆規則。
    檢閱套用至群組的通訊策略和防火牆規則。

    在螢幕擷取畫面中,生產規則 1 是使用者定義的規則,生產規則 2 是系統定義的預設規則,其中預設動作設定為捨棄

  11. 按一下發佈原則

結果

精靈結束,您定義的防火牆原則已套用至群組。VMware vCenter 中提供 NSX UI。

下一步

確認從 vSphere Client 發佈的防火牆規則已在 NSX Manager UI 上實現。
  1. NSX Manager UI 中,移至詳細目錄 → 群組
  2. 在 [群組] 頁面上,驗證您在 vSphere Client 中定義的工作負載群組是否已在 NSX Manager 中實現。
  3. 移至安全性 → 分散式防火牆頁面。
  4. 在 [分散式防火牆] 頁面上,驗證您在 vSphere Client 中套用的防火牆規則是否已在 NSX Manager 中實現。