本節提供組態工作流程,使用 NSX 分散式安全性來準備您的環境,以便保護虛擬機器。

必要條件

您已部署 NSX Manager,並設定了有效的授權。

組態工作流程

準備虛擬環境以提供 NSX 分散式安全性時,涉及兩個主要步驟:

  • 設定計算管理程式 (vCenter)
  • 準備 vCenter 叢集 (ESXi 主機),以提供 NSX 分散式安全性

1:設定計算管理程式 (vCenter)

您必須在 NSX 上新增 VMware vCenter 作為計算管理程式,才能查看所有 VMware vCenter 主機和叢集詳細目錄。然後,您可以利用可用的詳細目錄來準備 ESXi 主機和叢集,以提供 NSX 安全性

  1. 從瀏覽器使用 admin 認證登入 NSX Manager 應用裝置,網址為 https://<nsx-manager-ip-address>。

  2. 系統 > 網狀架構 > 計算管理程式 > 新增計算管理程式,在 VMware vCenter 中登錄 NSX。將 VMware vCenter 新增為計算管理程式。

    新增計算管理程式

  3. 系統 > 網狀架構 > 計算管理程式頁面,驗證 NSXVMware vCenter 中的登錄情況。按一下重新整理,並檢視連線狀態。

    重新整理計算管理程式

VMware vCenter 登錄成功後,您可以從 VMware vCenter 使用者介面 (UI) 來檢視已設定的 NSX Manager 主機叢集詳細目錄。在 NSX Manager UI 上,移至系統 > 網狀架構 > 主機,以檢視詳細目錄。

您可以針對每個 VMware vCenter,按照相同的步驟,從 NSX Manager UI 設定多個 VMware vCenter

2:準備 vCenter 叢集 (ESXi 主機),以提供 NSX 分散式安全性

NSX 分散式安全性涉及準備 NSXVMware vCenter 計算叢集。NSX 支援如下兩種主機準備模式:

  1. 僅提供安全性 - VDS 連接埠群組的分散式安全性:
    • 支援為連接到本機 vCenter 分散式虛擬連接埠群組 (DVPG) 的虛擬機器提供安全性。
    • 支援 vSphere 6.7 和 vSphere 7.0 Update1 或更新版本。
    • NSX 所準備的 VMware vCenter 叢集內的工作負載不支援 NSX 網路。
    • 僅使用 [快速啟動] 精靈時才支援工作流程。
  2. 網路與安全性 - 分散式安全性與 NSX 網路:
    • NSX 所準備的 NSX 叢集內的工作負載支援 VMware vCenter 網路和分散式安全性。
    • 如果 VLAN 連接的工作負載需要分散式安全性,必須將工作負載從 DVPG 移至 NSX VLAN 區段。
    • 使用 [快速啟動] 精靈或從系統 > 網狀架構 > 主機功能表手動準備時,支援工作流程。本指南介紹了快速入門精靈。如需手動工作流程的相關資訊,請參閱《NSX 安裝指南》

根據您的環境,選取必要的部署方法。NSX 環境可以混合使用「僅備有 NSX 安全性」的叢集以及「備有 NSX 網路與安全性」的叢集。本節後續將涵蓋有關每種部署模式的更多詳細資料。

2.1:「僅提供安全性」主機準備 - 為 VDS 連接埠群組提供分散式安全性

設定計算管理程式後,可以準備 ESXi 主機叢集,以便僅提供分散式安全性。叢集中的主機必須共用 VDS。

程序

  1. 在瀏覽器中,以管理員權限登入 NSX Manager (網址為 https://<nsx-manager-ip-address>)。
  2. 導覽至系統 > 開始使用
  3. 針對網路與安全性準備叢集卡片上,按一下開始使用

    [快速啟動] Widget,可快速準備叢集以便僅提供安全性

  4. 選取要安裝分散式安全性的叢集。
  5. 按一下安裝 NSX,然後選取僅限安全性
  6. 在對話方塊中,按一下安裝

    開始準備 NSX 主機,以在 ESXi 主機上安裝必要的軟體模組。

    完成此程序需要幾分鐘。等程序完成後,狀態會變更為成功。會自動建立傳輸節點設定檔、傳輸區域和分散式連接埠群組等物件。

    顯示「進行中」和「已完成」狀態的安裝程序

  7. 若要檢視安裝了「分散式安全性」的 VDS,請導覽至系統 > 網狀架構 > 主機
    備註: 為分散式安全性而準備的 vSphere 叢集以 安全性標籤識別。

結果

NSX Manager UI 上,移至網路 > 區段 > 分散式連接埠群組索引標籤,以檢視 VMware vCenter 中的 DVPG 詳細目錄。

NSX Manager UI 上,移至詳細目錄 > 虛擬機器,以檢視所有 ESXi 主機中的虛擬機器詳細目錄。

下一步

現在,您可以開始在所準備 VMware vCenter 上,為裝載在 DVPG 上的工作負載設定安全性原則設定原則。

2.2:網路與安全性 - 分散式安全性與 NSX 網路

設定計算管理程式後,您可以準備 ESXi 主機叢集,以同時提供 VLAN 網路與分散式安全性。

程序

  1. 在瀏覽器中,以管理員權限登入 NSX Manager (網址為 https://<nsx-manager-ip-address>)。
  2. 針對網路與安全性準備叢集卡片上,按一下開始使用
  3. 選取您要準備用於 NSX 網路的叢集。
  4. 按一下安裝 NSX,然後選取網路與安全性
    同時提供網路與安全性的「快速啟動」安裝 (基於 VLAN)
  5. 視您的需求而定,您可以為 VLAN 和覆疊網路或一種類型的網路準備相同的叢集。使用覆疊網路時,系統會為每個主機交換器新增一個 TEP IP 位址,此為覆疊網路所需。
    針對 VLAN 和覆疊網路準備叢集
  6. 檢視 NSX 建議的主機交換器組態。
    不過,即使這是選用步驟,您仍可以自訂叢集的設定。
    備註: 從交換器到實體 NIC 的虛線表示它是主機交換器上的現有組態,將會由通往相同實體 NIC 的實線取代。
  7. 即使 NSX 提供建議,您仍可以自訂組態。若要自訂主機交換器,請選取交換器,並變更建議的組態。
    1. IP 指派:如果為主機交換器選取了覆疊,則此組態適用。選擇 DHCP 作為 IP 指派類型,或者為覆疊 VTEP 集區選取預先建立的 IP 集區。
    2. VDS:選取 VDS 交換器作為主機交換器。
    3. 傳輸區域:選取要與主機相關聯的不同傳輸區域。
    4. 上行設定檔:如果需要,選取不同的上行設定檔來取代建議的上行設定檔。
      備註: 如果您以相同的組態來設定兩個 VDS 交換器,精靈會為兩個交換器建議相同的上行設定檔。
    5. 上行至實體 NIC 對應:在 VDS 交換器上,於 VDS 交換器上設定的所有上行均會與 NSX 中的上行對應。
      對主機交換器類型或上行至 vmnic 對應的變更,會在主機交換器組態網路表示中反映。
  8. 按一下安裝

    開始準備 NSX 主機,以在 ESXi 主機上安裝必要的軟體模組。

    針對網路與安全性準備叢集卡片上檢視安裝進度。如果任何主機上的安裝失敗,請解決錯誤以重試安裝。

    完成此程序需要幾分鐘。等程序完成後,狀態會變更為成功

  9. 若要檢視已成功準備的主機,請移至 系統 > 網狀架構 > 主機 > 叢集

結果

NSX Manager UI 上,移至詳細目錄 > 虛擬機器索引標籤,以檢視所有 ESXi 主機中的虛擬機器詳細目錄。

備註: 為了提供網路與安全性而準備的 VMware vCenter 叢集,對於直接連接至 DVPG 的工作負載,不提供安全性支援。如果 DVPG VLAN 連接的工作負載需要安全性,您必須將工作負載移至 NSX VLAN 區段 (具有相同的 VLAN),或將工作負載移至僅備妥 NSX 安全性的叢集。

如需詳細資訊,請參閱《NSX 管理指南》

下一步

現在,您可以開始在所準備的 VMware vCenter 叢集上,為裝載在 NSX 區段上的工作負載設定原則