NSX 允許在 vSphere Distributed Switch (VDS) 上使用分散式安全性功能。由於主機交換器的類型為 VDS,因此您可以在工作負載虛擬機器上啟用 DFW 功能。

NSX 4.2 開始,DFW 既支援在 vSphere 中建立的 DVPG,也支援在同一叢集的 NSX 中建立的區段。

分散式安全性為您的 VDS 提供安全性相關功能,例如:

  • 分散式防火牆 (DFW)
  • 分散式 IDS/IPS
  • 身分識別防火牆
  • L7 應用程式識別碼
  • 完整網域名稱 (FQDN) 篩選
  • NSX Intelligence
  • NSX 惡意軟體防護
  • NSX Guest Introspection

在 DVPG 上啟用安全性功能後,NSX 會發現 DVPG 連接埠和 DVPG 區段。

必要條件

以下是安裝適用於 VDS 的分散式安全性的需求:
  • vSphere 7.0.3 或更新版本。

  • vSphere 叢集應至少有一個已設定了分散式交換器 7.0.3 或更新版本的 VDS,且 ESXi 叢集主機必須是設定了上行的 VDS 成員。

  • 必須在 NSX 中登錄一個計算管理程式。請參閱新增計算管理程式

  • 在主機上部署和設定分散式安全性之前,請確保未在此類主機上部署 NSX。

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
  2. 導覽至系統 > 快速入門
  3. 針對網路與安全性準備叢集卡片上,按一下開始使用
  4. 選取要啟用分散式安全性功能的叢集。
  5. 按一下安裝 NSX,然後在網路下選擇 VLAN覆疊
    備註:

    選擇 VLAN 只會啟用 NSX VLAN 網路。

  6. 在對話方塊中,按一下安裝
  7. 導覽至系統 > 網狀架構 > 主機頁面,以便在叢集內啟用 DVPG 上的安全性功能。
  8. 主機 > 叢集頁面上,選取您要在叢集內的 DVPG 上啟用安全性功能的叢集。
    備註:

    請確保選取所有 VDS 所跨越的叢集。如果漏選了 VDS 跨越的叢集,該叢集的 DVPG 將無法啟用安全性功能。

  9. 主機頁面上,按一下動作 > 啟用 DVPG 上的 NSX
    備註:

    在啟用 DVPG 之前,請將所有管理應用裝置新增至 DFW 排除清單,以確保其受到保護。

  10. 啟用 DVPG 上的 NSX 卡上,按一下以啟用 DVPG。

    NSX 會發現與 VDS 交換器相關聯的連接埠群組。若要瞭解更多有關如何在 NSX 中找出探索到的連接埠,請參閱分散式連接埠群組

  11. 若要停用叢集內 DVPG 的安全性功能,請執行以下動作:
    1. 主機 > 叢集頁面上,選取您要在叢集內的 DVPG 上停用安全性功能的叢集。
    2. 主機頁面上,按一下動作 > 停用 DVPG 上的 NSX

結果

在成功啟用叢集上的安全性功能後,於 [主機] 頁面中,DVPG 上的 NSX 資料行狀態將更新為。分散式安全性安裝後,您可以開始使用安全性功能,例如,為 VDS 建立 DFW 原則和規則。