随着
NSX-T 3.2 版本的釋出,NSX-T 在架構和功能上有了很多增強,其中一項功能便是簡化了安全場景的部署,使用者可以通過
vCenter/NSX-T 快速為叢集部署分布式防火牆功能,也無需像之前一樣為叢集準備 N-VDS 或者做 VDS 映射,極大簡化了流程。
目前在安全場景下,NSX-T 有三種部署方式。
NSX-T 的三種部署方式
為了清楚地對比三種部署模式,我做了張思維導圖:
不難從上圖中看到,3.2 下 vCenter 內建方式和快速向導方式都減少了配置複雜度,兩者的差別僅在于前者是通過 vCenter UI+NSX 插件的形式管理,後者是通過 NSX Manager 進行管理。
限于篇幅,本文僅做第三種方式的安裝和使用展示,其他兩種方式翻到文末擷取下載下傳方式。
NSX-T 安全場景快速向導部署
vCenter VDS 準備
建議在部署 NSX 之前,先為業務準備好 vDS:
vDS 版本最低支援 6.6:
vDS 建立完成:
為 ESXi 關聯 vDS 的步驟略。關聯完成後 ESXi 虛拟交換機如下圖所示:
NSX Manager 部署
登陸 vCenter,右鍵選中叢集或主機,點選“部署 OVF 模闆”:
選擇 OVA 檔案,接着安裝向導輸入虛拟機名稱、運作位置、存儲、規模、網絡、root/admin 使用者密碼等資訊。
中間截圖略。
等待部署完成後開機。
NSX Manager 初始化
添加 License:
添加 vCenter。點選“系統>Fabric>計算管理器>添加計算管理器”:
輸入 vCenter 相關的登陸憑據:
添加完成:
為叢集安裝 NSX
在 NSX-T UI 中,點選“系統>配置>快速入門”:
找到要部署 NSX 的叢集,選擇“僅安全”:
等待安裝完成:
系統會自動為叢集配置傳輸節點配置檔案:
功能測試
在 vCenter vDS 中建立端口組:
建立完成後,NSX 會自動将分布式端口組添加到下列位置:
準備測試虛拟機,配置好位址:
測試虛拟機和外部網絡通信正常:
建立 NSX 防火牆政策
添加下列防火牆政策,禁止測試虛拟機到外部的 HTTP 通路,允許剩餘的通路:
其中 VM-53.50 組使用靜态綁定規則,選擇測試虛拟機:
再次通路外部網絡,發現 ping 正常工作,而 HTTP 通路被拒絕,表示 NSX 防火牆功能正常工作:
至此,就可以根據需求正常使用 NSX DFW 功能了。
---本文完---