VMware Hands-on Labs - HOL-SDC-1603


Visão geral do laboratório - HOL-SDC-1603 - Introdução ao VMware NSX

Orientação de laboratório 1603


O módulo a seguir é informativo.  Se você quiser pular diretamente para o trabalho de laboratório, avance para a etapa 8.

O Índice pode ser acessado em MORE OPTIONS no canto superior direito.

Observação: a conclusão deste laboratório durará mais de 90 minutos. Espera-se que você termine apenas de 2 a 3 módulos durante o horário disponível para você.  Os módulos são independentes uns dos outros para que você possa partir do início de cada módulo e prosseguir a partir daí.

A virtualização de servidor traz eficiência, flexibilidade e velocidade à forma como os recursos de processamento e de memória são consumidos e gerenciados em um data center. Isso é possível devido à dissociação dos recursos de processamento e de memória do hardware físico.

No entanto, se você observar o estado da rede e dos serviços de rede, como o Firewall e o Balanceador de carga em um data center, eles estarão vinculados a um hardware físico. Por exemplo, se um administrador de rede quiser aprovisionar um aplicativo em 3 camadas, primeiro terá de solicitar ao administrador de rede/segurança um conjunto de redes isoladas junto com os serviços de Roteamento, Firewall e Balanceador de carga. A configuração de dispositivos físicos e a ativação dessas redes e serviços demoram dias. Assim, mesmo que sejam necessários apenas alguns cliques para o aprovisionamento de uma máquina virtual, os administradores de servidor terão de aguardar dias ou semanas para implantarem um aplicativo.

Esse problema de falta de velocidade e de flexibilidade no aprovisionamento de rede e de serviços de rede é tratado por meio da virtualização de rede. A virtualização de rede obtém isso separando primeiro a rede e os serviços de rede do hardware físico e depois permitindo que você reproduza topologias de rede física semelhantes em espaço lógico.

Como parte dos módulos do laboratório, demonstraremos como a plataforma NSX ajuda a acelerar o aprovisionamento da rede e dos serviços de rede necessários ao aplicativo em 3 camadas. Veja a seguir uma breve descrição de cada módulo:

Lista de módulos de laboratório:

Responsáveis do laboratório:


 

Instruções especiais para comandos CLI

 

Em muitos dos módulos, você deverá inserir comandos da interface de linha de comando (CLI).  Há duas maneiras de enviar comandos CLI para o laboratório.

A primeira é enviar um comando CLI para o console do laboratório:

  1. Realce o comando CLI no manual e use Control+c para copiar para a área de transferência.
  2. Clique no item de menu do console SEND TEXT.
  3. Pressione Control+v para colar da área de transferência para a janela.
  4. Clique no botão SEND.

Na segunda, um arquivo de texto (README.txt) foi colocado na área de trabalho do ambiente, fornecendo a você todas as contas e senhas de usuário para o ambiente.

 

 

Solicitação ou marca d'água de ativação

 

Quando você iniciar o laboratório pela primeira vez, talvez observe uma marca d'água na área de trabalho, que indica que o Windows não está ativado.  

Um dos principais benefícios da virtualização é que as máquinas virtuais podem ser movidas e executadas em qualquer plataforma.  Os Hands-on Labs Online utilizam esse benefício, e podemos executar os laboratórios em vários data centers.  No entanto, é possível que esses data centers não tenham processadores idênticos, o que acionaria uma verificação de ativação da Microsoft pela Internet.

Não se preocupe, a VMware e os Hands-on Labs Online estão em total conformidade com os requisitos de licenciamento da Microsoft.  O laboratório que você está usando é um pod autocontido e não tem acesso completo à Internet, o que é necessário para que o Windows verifique a ativação.  Sem esse acesso completo à Internet, esse processo automatizado falhará e você verá esta marca d'água.

Esse problema não substancial não afeta seu laboratório.  

 

 

VMware NSX

O VMware NSX é a plataforma de virtualização de rede líder que fornece o modelo operacional de uma máquina virtual para a rede. Assim como a virtualização de servidor oferece controle flexível de máquinas virtuais executadas em um pool de hardware de servidor, a virtualização de rede com o NSX oferece uma API centralizada para aprovisionar e configurar várias redes lógicas isoladas executadas em uma única rede física.

As redes lógicas separam a conectividade da máquina virtual e os serviços de rede da rede física, fornecendo aos provedores de nuvens e às empresas a flexibilidade de posicionar máquinas virtuais em qualquer lugar do data center ou de migrá-las para qualquer lugar do data center oferecendo, ainda assim, suporte à conectividade de camada 2/camada 3 e a serviços de rede de camada 4 a 7.

 

 

 

 

Redes lógicas separadas

 

 

 

Isenção de responsabilidade

Esta sessão pode conter recursos de produtos que estão sendo desenvolvidos no momento.

Esta sessão/visão geral da nova tecnologia não representa um compromisso por parte da VMware de fornecer esses recursos em qualquer produto disponível publicamente.

Como os recursos estão sujeitos a alteração, não devem ser incluídos em contratos, ordens de compra nem em acordos de venda de nenhum tipo.

A viabilidade técnica e a demanda de mercado afetarão a entrega final.

Os preços e pacotes de qualquer nova tecnologia ou recurso discutido ou apresentado não foram determinados.

 

Módulo 1 - Switch lógico (30 min)

VXLAN baseada em controlador


Visão geral dos componentes e o switch lógico

Neste laboratório, primeiro você analisará os principais componentes do VMware NSX. Há outros aspectos principais abordados neste módulo:

1) Com a adição do NSX Controller, o requisito de suporte ao protocolo Multicast na malha física foi removido para o VXLAN. Demonstraremos como criar um Switch lógico e logo conectaremos duas VMs ao Switch lógico criado por você.

2) Em seguida, demonstraremos como o switch lógico pode se estender por redes físicas L3 e ainda ter conectividade L2 entre os dois servidores da Web.

3) A função de ponte de VXLAN para VLAN permite que os usuários ofereçam comunicação de P a V, bem como o recurso de migração de P a V. Nós mostraremos o processo de configuração.

4) Por fim, revisaremos o dimensionamento e a alta disponibilidade da plataforma NSX.


 

Visão geral dos componentes

 

Abra um navegador clicando duas vezes no ícone do Google Chrome na área de trabalho.

 

 

Faça logon no vSphere Web Client

 

Se você ainda não tiver feito logon no vSphere Web Client:

(A página inicial deve ser o vSphere Web Client.  Caso contrário, clique no ícone do vSphere Web Client na barra de tarefas no Google Chrome).

  1. Faça login marcando a caixa "Use Windows Session Authentication".
  2. Clique em Login

 

 

Navegue até a seção Networking & Security no Web Client

 

  1. Clique para abrir a seção Networking& Security.

 

 

Verifique os componentes implantados

 

  1. Clique em Installation.
  2. Clique em Host Preparation.  Você verá que os componentes do plano de dados, também chamados de virtualização de rede, estão instalados nos hosts em nossos clusters. Esses componentes incluem:  módulos de kernel no nível do hypervisor para segurança da porta, VXLAN, firewall distribuído e roteamento distribuído

As funções Firewall e VXLAN são configuradas e habilitadas em cada cluster após a instalação dos componentes de virtualização de rede. O módulo de segurança da porta auxilia a função VXLAN, enquanto o módulo de roteamento distribuído é habilitado assim que a VM de controle de roteador lógico do NSX Edge é configurada.

 

 

A topologia após a preparação do host com componentes do caminho de dados

 

Na próxima etapa, você verá as etapas de configuração relacionadas à VXLAN ao selecionar a guia Logical Network Preparation.

A configuração da VXLAN pode ser dividida em três etapas importantes

 

 

Visualize a configuração do VTEP

 

  1. Clique na guia Logical Network Preparation
  2. Clique na guia VXLAN Transport
  3. Clique no twistie (controle) para expandir os clusters

Como mostrado no diagrama, os hosts dos clusters de processamento são configurados com um endereço IP do VTEP em uma sub-rede diferente para o cluster de gerenciamento.  (Talvez seja necessário desafixar o painel esquerdo ou rolar para a direita para visualizar as informações do Pool de IPs à direita da tela)

 

 

A topologia após a configuração dos VTEPs nos clusters

 

No passado, um dos principais desafios que os clientes tinham que enfrentar na implantação da VXLAN era a exigência do suporte ao protocolo Multicast feita por dispositivos de rede física. Esse desafio era tratado na Plataforma NSX por meio do fornecimento de uma implementação de VXLAN baseada em controlador e a remoção de qualquer necessidade de configurar multicast na rede física. Esse modo (Unicast) é o modo padrão, e os clientes não precisam configurar qualquer endereço multicast enquanto definem o pool de redes lógicas.

 

 

Configuração da ID do segmento e do endereço de grupo multicast

 

Com o NSX for vSphere, não há mais a exigência de endereços multicast.  Neste laboratório, usaremos o modo Unicast.

 

 

A etapa final é definir a extensão das redes lógicas por meio das configurações da Zona de transporte

 

  1. Clique em Transport Zones
  2. Clique duas vezes em Local-Transport-Zone-A 

 

 

Confirme os Clusters como membros da zona de transporte local

 

Confirme se todos os três clusters estão presentes na zona de transporte.

 

 

A topologia após a definição da zona de transporte

 

Uma zona de transporte define a extensão de um switch lógico.  As zonas de transporte ditam quais clusters podem participar do uso de uma rede lógica em particular. À medida que você adicionar novos clusters ao seu datacenter, poderá aumentar a zona de transporte e, portanto, aumentar a extensão das redes lógicas. Assim que o switch lógico estiver se estendendo por todos os clusters de processamento, remova todas barreiras de mobilidade e de posicionamento que existiam antes por causa dos limites restritos de VLAN.

Depois de examinarmos os diferentes componentes NSX e a configuração relacionada da VXLAN, agora percorreremos a criação de uma rede lógica, também conhecida como switch lógico.

 

 

Volte para o menu Networking & Security

 

 

 

Crie um novo switch lógico

 

  1. Clique em Logical Switches no lado esquerdo
  2. Clique no sinal "de mais verde" para criar um novo switch lógico
  3. Nome do switch lógico: Prod_Logical_Switch
  4. Clique em Changeà direita da zona de transporte Observação: o modo Unicast será automaticamente selecionado quando você escolher a Local-Transport-Zone-A
  5. Selecione o botão de opção ao lado de Local-Transport-Zone-A
  6. Clique em OK e
  7. Clique em OK novamente

Deixe a caixa Enable IP Discovery marcada - e clique em OK.

A detecção de IP ativa a supressão ARP.

A seleção de Enable IP Discovery ativa a supressão ARP (Address Resolution Protocol). O ARP é usado para determinar o endereço MAC (Media Access Controle) de destino de um endereço IP por meio do envio de um broadcast em um segmento de camada 2. Se o host ESXi com o NSX Virtual Switch receber tráfego ARP de uma VM (Máquina Virtual) ou de uma solicitação Ethernet, o host enviará a solicitação para o NSX Controller que tiver uma tabela ARP. Se a instância do NSX Controller já tiver as informações em sua tabela ARP, elas serão retornadas ao host que responderá à máquina virtual.

 

 

Anexe o novo switch lógico ao gateway de serviços do NSX Edge para acesso externo

 

  1. Realce o switch lógico recém-criado
  2. Clique com o botão direito do mouse em Prod_Logical_Switch e selecione Connect NSX Edge.  

 

 

Conecte o switch lógico ao NSX Edge

 

O roteamento será descrito em mais detalhes no próximo módulo, mas, para obter conectividade da nossa VM do Control Center e/ou outras VMs em nosso laboratório, para as VMs em nosso novo switch lógico, precisaremos nos conectar ao roteador. Como mencionado na seção de componentes, o NSX Edge poderá ser instalado de duas formas diferentes: Distributed-Router e Perimeter-Gateway.  

Neste exemplo, você conectará o switch lógico ao gateway de serviços do NSX Edge (Perimeter-Gateway).

  1. Clique no botão de opção ao lado de Perimeter-Gateway
  2. Clique em Next

 

 

O gateway de serviços do NSX Edge tem dez interfaces. Será necessário anexar o switch lógico à vNIC5

 

  1. Clique no botão de opção ao lado de vnic5
  2. Clique em Next

 

 

Dê um nome à Interface e configure o endereço IP dela

 

  1. Nome da interface: Prod_Interface
  2. Selecione Connected
  3. Clique no sinal de mais para Configure subnets (deixe as outras configurações como estão)

 

 

Atribuir um IP à interface

 

  1. Digite o endereço IP primário 172.16.40.1  (deixe o endereço IP secundário em branco)
  2. Digite 24 no campo Subnet Prefix Length
  3. Verifique se as configurações estão corretas e clique em Next

 

 

Concluir o processo de edição da interface

 

  1. Clique em Finish  (você verá o novo switch lógico mostrado na lista de switches lógicos)

 

 

A topologia após a conexão de Prod_Logical_Switch ao gateway de serviços do NSX Edge

 

Depois de configurar o switch lógico e de conceder acesso à rede externa, será o momento de conectar as máquinas virtuais do aplicativo Web a esta rede.

 

 

Anexe web-sv-03a e web-sv-04a ao Prod_Logical_Switch recém-criado

 

  1. Clique para realçar o novo switch lógico criado
  2. Clique com o botão direito do mouse e selecioneo item de menu Add VM

 

 

Adicionar Máquinas Virtuais a serem anexadas ao novo switch lógico

 

  1. Informe um filtro para localizar as VMs cujos nomes comecem com"web"
  2. Realce as VMs web-03a e web-04a
  3. Clique na seta para a direita para selecionar as VMs a serem adicionadas ao switch lógico
  4. Clique em Next

 

 

Adicione vNICs das VMs ao switch lógico

 

  1. Selecione as vNiCs de duas VMs
  2. Clique em Next - e, na tela a seguir,

 

 

Preencha Add VMs to Logical Switch

 

  1. Clique em Finish.

 

 

A topologia após a conexão das Máquinas Virtuais ao switch lógico

 

Criar um switch lógico e então conectar a máquina virtual ao switch lógico será um processo fácil e rápido quando você estiver usando esta plataforma de virtualização de rede.

Essa abordagem de aprovisionamento de switches lógicos é muito mais simples e rápida do que o processo de reconfiguração de qualquer dispositivo físico.

Em seguida, você verá a comunicação entre as máquinas virtuais na rede lógica. O acesso da rede externa é mostrado por meio do estabelecimento de uma sessão SSH com as máquinas virtuais. A comunicação entre máquinas virtuais hospedadas em dois clusters diferentes demonstrará que o switch lógico se estende pelos limites da camada 3 física e ainda oferece conectividade de camada 2.

 

 

Visualização de hosts e clusters

 

  1. Clique no botão Home
  2. Selecione Hosts and Clusters no menu suspenso

Esta etapa demonstrará a capacidade do nosso novo switch lógico de estender um segmento lógico da Camada 2 por uma infraestrutura de processamento de Camada 3.

 

 

Expanda os clusters

 

 

 

Abra o Putty

 

  1. Clique em Iniciar
  2. Clique no ícone do aplicativo Putty no Menu Iniciar

Você está se conectando do centro de controle, que está na sub-rede 192.168.110.0/24. O tráfego passará pelo NSX Edge e então pela Interface da Web.

 

 

Abra uma sessão SSH para web-03a

 

  1. Selecione web-03a.corp.local
  2. Clique em Open

**Observação - se web-3a não estiver mostrando uma opção por algum motivo, você também poderá tentar colocar o endereço IP 172.16.40.13 na caixa Host Name.  Se você ainda não estiver conectado, poderá revisar suas etapas anteriores e então contatar um supervisor de laboratório para obter assistência.

 

 

Faça login na VM

 

Observação: se você tiver dificuldade de se conectar a web-03a, revise suas etapas anteriores e verifique se elas foram concluídas corretamente.

 

 

Faça ping em web server web-sv-04a para mostrar a conectividade da camada 2

 

Lembre-se de usar a opção SEND TEXT para enviar este comando para o console. (Consulte a Orientação de laboratório)

Digite ping -c 2  web-04a para enviar somente 2 pings em vez de um ping contínuo.  OBSERVAÇÃO: web-04a tem o IP 172.16.40.14, você poderá fazer ping por IP em vez de por nome, se necessário.

ping -c 2  web-04a 

***Observe que talvez você veja pacotes DUP!. Isso se deve à natureza do ambiente de laboratório aninhado da VMware. Isso não acontecerá em um ambiente de produção.

****Não feche sua sessão do Putty. Minimize a janela para uso posterior.

Em seguida, você verá outro recurso do NSX Edge que permite estender a rede de switch lógico para uma VLAN física. Em vez de rotear o tráfego para o mundo externo desde o switch lógico, você poderá criar uma ponte entre os ambientes lógico e físico. Os casos de uso comuns a seguir são tratados por este recurso:

 

 

Ponte entre VXLAN e VLAN: a topologia a seguir mostra a ponte de switch lógico para a VLAN 100

 

Para um determinado par VXLAN-VLAN, a função de ponte L2 é executada no kernel do host ESXi único - que está hospedando a VM de Controle ativo para o DLR específico onde o mapeamento VXLAN-VLAN foi configurado (como mostrado acima)

 

 

Configure a ponte de VXLAN para VLAN

 

Na configuração deste laboratório aninhado, o recurso de marcação de VLAN não estará disponível e, portanto, não podemos demonstrar a comunicação entre as redes L2 físicas e lógicas. Mostraremos como você deveria executar as etapas de configuração sem salvar. Somente para fins demonstrativos.

  1. Passe o mouse sobre oícone Home
  2. Clique em Networking & Security

 

 

Selecione o NSX Edge nomeado como Distributed-Router para a configuração de ponte

 

  1. Selecione NSX Edges no painel esquerdo
  2. Clique duas vezes em edge-4 Distributed-Router para editar as propriedades

 

 

Ponte entre uma rede lógica e uma VLAN.

 

  1. Clique na guia Manage
  2. Selecione Bridging
  3. Clique no sinal de mais

Há três opções para a conclusão da ponte.  Dê um nome à ponte, selecione o switch lógico que será uma extremidade da ponte para a rede física e selecione o grupo de portas virtuais distribuídas ligado à VLAN que fará a ponte para o espaço lógico.

4.     Clique em Cancel aqui porque a configuração não é compatível com este ambiente de laboratório.

A configuração é direta porque nós só precisamos selecionar o switch lógico e uma VLAN.

 

 

Disponibilidade/dimensionamento do NSX Controller

 

Nesta seção, você examinará o dimensionamento e a disponibilidade do controlador. O cluster do controlador na plataforma NSX é o componente do plano de controle responsável pelo gerenciamento dos módulos de switch e de roteamento nos hypervisors. O cluster do controlador consiste em nós do controlador que gerenciam switches lógicos específicos. O uso de um cluster do controlador no gerenciamento de switches lógicas baseados em VXLAN elimina a necessidade de suporte multicast da infraestrutura de rede física.

Para obter resiliência e desempenho, as implantações de produção devem implantar um Cluster do Controller com vários nós. O Cluster do NSX Controller representa um sistema distribuído de dimensionamento horizontal, onde cada Nó do Controller recebe um conjunto de funções que define o tipo de tarefas que o nó poderá implementar.  Os nós do controlador são implantados em números ímpares. A prática recomendada atual (e a única configuração compatível) serve para o cluster ter três nós de compartilhamento e redundância de carga ativo-ativo-ativo.

Para aumentar as características de dimensionamento da arquitetura NSX, um mecanismo de "fatiamento" é utilizado para garantir que todos os nós do controlador possam estar ativos em um determinado momento.

Caso algum controlador falhe, o tráfego do plano de dados (VM) não será afetado. O tráfego continuará fluindo. isso acontece porque as informações da rede lógica foram enviadas por push para os switches lógicos (o plano de dados). O que você não pode fazer é adicionar/mover/alterar sem que o plano de controle (cluster do controlador) esteja intacto.

  1. Passe o mouse sobre oícone Home
  2. Clique em Networking & Security

 

 

Verifique a configuração do controlador existente

 

  1. Clique em Installation
  2. Clique em Management

Examine os nós do NSX Controller, onde será possível ver se há três controladores implantados. Os NSX Controllers são sempre implantados em números ímpares para obtenção de alta disponibilidade e dimensionamento.

 

 

Visualize as VMs do NSX Controller

 

Para ver os NSX Controllers no ambiente virtual

  1. Passe o mouse sobre oícone Home
  2. Clique em VMs and Templates

 

 

Você verá os 3 NSX Controllers

 

  1. Expandao contêiner "Data Center Site A"
  2. Expanda a pasta NSX Controllers
  3. Realce um dos NSX_Controllers
  4. Selecionea guia Summary. Observe o host ESX ao qual este controlador está conectado. Os outros controladores podem estar em um host ESX diferente neste ambiente de laboratório. Em um ambiente de produção, cada controlador residiria em um host diferente no cluster com regras antiafinidade do DRS definidas para evitar várias falhas de controlador devido à interrupção de um único host.

 

 

Conclusão do Módulo 1

Neste módulo, demonstraremos os principais benefícios da plataforma NSX

A velocidade na qual você pode aprovisionar switches lógicos e fazer a interface deles com máquinas virtuais e redes externas

O dimensionamento da plataforma é demonstrado pela capacidade de dimensionar as zonas de transporte e os nós do controlador.

 

Módulo 2 - Roteamento lógico (60 min)

Visão geral de roteamento


Visão geral do laboratório

No módulo anterior, você viu que os usuários podem criar switches/redes lógicos isolados com apenas alguns cliques. Para fornecer comunicação entre essas redes de camada 2 lógicas isoladas, o suporte de roteamento é essencial. Na plataforma NSX, o roteador lógico distribuído permite que você roteie o tráfego entre os switches lógicos. Um dos principais recursos de diferenciação desse roteador lógico é que a capacidade de roteamento é distribuída no hypervisor. Ao incorporarem esse componente de roteamento lógico, os usuários poderão reproduzir topologias de roteamento complexas no espaço lógico. Por exemplo, em um aplicativo de 3 camadas conectado a três switches lógicos, o roteamento entre as camadas é tratado por esse roteador lógico distribuído.

Neste módulo, você demonstrará o seguinte

1) Como o tráfego flui quando o roteamento é tratado por um roteador físico externo ou um gateway de serviços do NSX Edge.

2) Em seguida, percorreremos a configuração das Interfaces lógicas (LIFs) no roteador lógico e ativaremos o roteamento entre as camadas de aplicativo e de banco de dados do Aplicativo

3) Posteriormente, configuraremos protocolos de roteamento dinâmico entre o roteador lógico distribuído e o gateway de serviços do NSX Edge. Mostraremos como são controlados os anúncios de rota interna para o roteador externo.

4) Por fim, você verá como os diversos protocolos de roteamento, como o ECMP, podem ser usados para dimensionar e proteger o gateway de serviços do Edge.

Este módulo ajudará você a compreender alguns dos recursos de roteamento com suporte na plataforma NSX e também como utilizar esses recursos durante a implantação de um aplicativo de 3 camadas.


 

Instruções especiais para comandos CLI

 

Em muitos dos módulos, você deverá inserir comandos da interface de linha de comando (CLI).  Há duas maneiras de enviar comandos CLI para o laboratório.

A primeira é enviar um comando CLI para o console do laboratório:

  1. Realce o comando CLI no manual e use Control+c para copiar para a área de transferência.
  2. Clique no item de menu do console SEND TEXT.
  3. Pressione Control+v para colar da área de transferência para a janela.
  4. Clique no botão SEND.

Na segunda, um arquivo de texto (README.txt) foi colocado na área de trabalho do ambiente, permitindo que você copie e cole com facilidade comandos ou senhas complexos nos utilitários associados (CMD, Putty, console etc). Com frequência, determinados caracteres não estão presentes em teclados usados no mundo.  Este arquivo de texto também é incluído para layouts de teclado que não oferecem esses caracteres.

O arquivo de texto chama-se README.txt e pode ser encontrado na área de trabalho.  

 

Roteamento dinâmico e distribuído


Primeiro, examine a configuração do roteamento distribuído e veja os benefícios do roteamento no nível do kernel.


 

Um examine da topologia atual e do fluxo de pacotes

 

Na imagem acima, observe que a VM do aplicativo e a VM do banco de dados residem no mesmo host físico, que é o cenário do laboratório.  Sem o roteamento distribuído, para que essas duas VMs se comuniquem, podemos ver o fluxo do tráfego apontado pela seta vermelha nas etapas acima.  Primeiro, vemos o tráfego deixar a VM do aplicativo e, como a VM do banco de dados não está na mesma sub-rede, o host físico enviará esse tráfego para um dispositivo de camada 3.  No ambiente, esse é o NSX Edge (perímetro) que reside no Cluster de gerenciamento.  Em seguida, o NSX Edge envia o tráfego de volta para o host onde ele finalmente atinge a VM do banco de dados.  

No final do laboratório, nós visitaremos novamente um diagrama de fluxo de tráfego semelhante para vermos como alteramos esse comportamento após a configuração do roteamento distribuído.

 

 

Acesse o vSphere Web Client

 

 

 

Faça login no vSphere Web Client

 

Faça login no vSphere Web Client usando a autenticação de sessão do Windows.

  1. Clique em Use Windows session authentication - isso preencherá automaticamente com as credenciais administrator@corp.local/VMware1!
  2. Clique em Login

 

 

Confirme a funcionalidade de aplicativo de camada 3

 

  1. Abra uma nova guia do navegador
  2. Clique no favorito chamado 3-Tier Web App

 

 

Clique em Advanced

 

 

 

Prossiga para a página Web

 

 

 

Aplicativo Web retornando informações do banco de dados

 

Antes de você começar a configurar o Roteamento distribuído, vamos verificar se o aplicativo Web de 3 camadas está funcionando corretamente. As 3 camadas do aplicativo (Web, aplicativo e banco de dados) estão em switches lógicos diferentes e o NSX Edge fornece o roteamento entre as camadas.

 

 

Remoção das interfaces do aplicativo e do banco de dados do Edge de perímetro.

 

Como você viu na topologia anterior, os três switches lógicos ou as 3 camadas do aplicativo são terminados no Edge de perímetro. O Edge de perímetro fornece o roteamento entre as 3 camadas. Vamos alterar essa topologia; primeiro remova as interfaces do aplicativo e do banco de dados do Edge de perímetro. Depois de excluirmos as interfaces, as moveremos para a borda distribuída.  Para economizar tempo de implantação de um componente, o roteador distribuído foi criado para você.

  1. Clique no botão Networking & Security

 

 

Selecione o NSX Edge

 

  1. Clique em NSX Edges no painel de navegação esquerdo
  2. Clique duas vezes em "edge-2 Perimeter-Gateway" para abrir a configuração do Perimeter-Gateway

 

 

Selecione interfaces na guia Settings para exibir as interfaces atuais

 

  1. Clique na guia Manage
  2. Clique em Settings
  3. Clique em Interfaces no painel de navegação Settings

Você verá as interfaces atualmente configuradas e as propriedades delas.  As informações incluem o número vNIC, o nome da interface, se a interface foi configurada como interna ou como um uplink e qual é o status atual, ativo ou desativado.

 

 

Exclua a interface do aplicativo

 

  1. Realce a interface "Internal_App" e a barra Actions será iluminada, oferecendo opções específicas para a interface selecionada
  2. Clique no "X" vermelho para excluir a interface selecionada da borda do perímetro.  Aparecerá uma caixa de aviso solicitando a confirmação de que desejamos excluir a interface
  3. Clique em "Ok" para confirmar a exclusão

 

 

Exclua a interface do banco de dados

 

  1. Realce a interface "Internal_DB" e a barra Actions será iluminada, oferecendo opções específicas para a interface selecionada
  2. Clique no "X" vermelho para excluir a interface selecionada da borda do perímetro.  Aparecerá uma caixa de aviso solicitando a confirmação de que desejamos excluir a interface
  3. Clique em "Ok" para confirmar a exclusão

 

 

A topologia após a remoção das interfaces do aplicativo e do banco de dados do Edge de perímetro

 

 

 

Navegue de volta para a página inicial do NSX

 

Agora que você removeu as interfaces do aplicativo e do banco de dados do Edge de perímetro, precisará navegar de volta para a tela do dispositivo de perímetro para acessar o perímetro distribuído.  

 

 

Adicione as interfaces do aplicativo e do banco de dados ao roteador distribuído

 

Agora começaremos a configurar o roteamento distribuído ao adicionarmos a interface do aplicativo e do banco de dados ao "roteador distribuído".

 

 

Exiba as interfaces no roteador distribuído

 

  1. Clique em Manage.
  2. Clique em Settings
  3. Clique em Interfaces para exibir todas as interfaces atualmente configuradas no roteador distribuído

 

 

Adicione as interfaces ao roteador distribuído

 

  1. Clique no sinal de mais verde para adicionar uma nova interface
  2. Nomeie a interface como App_Interface
  3. Clique em Select na seção Connected To

 

 

Especifique a rede

 

  1. Selecione o botão de opção "App_Tier_01" que será a rede em que esta interface se comunicará
  2. Clique em OK

 

 

Adicione sub-redes

 

  1. Clique no sinal de mais verde para Configure Subnets.
  2. Clique na caixa Primary IP Address e digite 172.16.20.1 como o endereço IP
  3. Digite 24 como o "Subnet Prefix Length"
  4. Em seguida, clique em OK para concluir a adição da sub-rede

 

 

Confirme se a App_Interface foi adicionada

 

Assim que o sistema concluir a configuração e a adição da interface, a página principal da interface será exibida onde a interface App_Interface que você acabou de adicionar deverá ser vista.  

 

 

Adicione a interface do banco de dados

 

Assim que o sistema concluir a adição e a configuração da DB_Interface, será exibida a janela principal da interface, onde poderemos confirmar que ambas as interfaces foram adicionadas.  

 

 

A nova topologia após a movimentação das interfaces do aplicativo e do banco de dados para o roteador distribuído

 

Após a configuração dessas interfaces no roteador distribuído, as configurações de interface serão automaticamente enviadas por push para cada host no ambiente. A partir daí, no Roteamento distribuído (DR) do host, o módulo carregável do Kernel tratará o roteamento entre as interfaces do aplicativo e do banco de dados. Assim, se duas VMs conectadas a duas sub-redes diferentes estiverem em execução no mesmo host com o qual querem se comunicar, o tráfego utilizará um caminho ideal como mostrado no diagrama de fluxo de tráfego anterior.

 

 

Volte para a guia do navegador com o aplicativo Web de 3 camadas

 

Depois de fazer as alterações, você testará se o acesso ao aplicativo de 3 camadas falhar.  O motivo da falha é que enquanto configuramos o roteamento a ser tratado pelo roteador distribuído, não há uma rota entre ele e o local onde os Servidores Web estão localizados.

Observação: caso você tenha fechado a guia nas etapas anteriores, abra uma nova guia do navegador e clique no favorito 3-Tier Web App

 

 

Verifique se o aplicativo de 3 camadas para de funcionar

 

  1. Clique em Refresh

O aplicativo levará alguns segundos para realmente atingir o tempo limite, talvez seja necessário selecionar o "x" vermelho para parar o navegador.  Se você não vir os dados do cliente, talvez eles tenham sido obtidos do cache anteriormente e talvez seja necessário fechar e reabrir o navegador para corrigi-los.  

Feche a guia criada para testar a conectividade ao servidor Web. Em seguida, vamos configurar o roteamento para restaurar o serviço.

Observação: Se você tiver de reabrir o navegador, depois de verificar que o aplicativo de 3 camadas não está funcionando, clique no marcador para o vSphere Web Client no navegador e faça login novamente com as credenciais "root" e senha "VMware1!".  Em seguida, clique em Networking and Security, Edge Appliances e, por fim, clique duas vezes em "Distributed-Router".

 

 

Configure o roteamento dinâmico no roteador distribuído

 

  1. Clique na guia Routing.
  2. Clique em Global Configuration
  3. Clique no botão Edit ao lado de Dynamic Routing Configuration

 

 

Edite a configuração do roteamento dinâmico

 

  1. Selecione a ID do roteador padrão, que é o endereço IP da interface Uplink, nesse caso, Edge_Uplink - 192.168.5.2
  2. Clique em OK

Observação: A ID do roteador é importante na operação do OSPF, já que indica a identidade dos roteadores em um sistema autônomo.  É um identificador de 32 bits denotado como um endereço IP, mas pode ser específico de sub-redes interessantes para o roteador específico. Em nosso caso, estamos usando uma ID do roteador igual ao endereço IP da interface de uplink no dispositivo de perímetro, o que é aceitável, porém desnecessário.  A tela voltará para a tela principal "Global Configuration" e a caixa de diálogo verde "Publish Changes" aparecerá novamente.

 

 

Publique as alterações

 

 

 

Configure os parâmetros específicos do OSPF

 

Usaremos o OSPF como o nosso protocolo de roteamento dinâmico.

  1. Selecione "OSPF" na árvore de navegação em Routing para abrir a página principal de configuração do OSPF
  2. Clique em "Edit"à direita de OSPF Configuration para abrir a caixa de diálogo "OSPF Configuration"

 

 

Ative o OSPF

 

  1. Clique na caixa de diálogo "Enable OSPF"
  2. Digite 192.168.5.3 na caixa "Protocol Address"
  3. Digite 192.168.5.2 na caixa "Forwarding Address"
  4. Verifique se a caixa de diálogo "Enable Graceful Restart" está marcada
  5. Em seguida, clique em "OK"

OBSERVAÇÃO: Para o roteador distribuído, o campo "Protocol Address" será obrigatório para o envio do tráfego de controle para a Máquina Virtual de controle do roteador distribuído. O endereço de encaminhamento é para onde todo o tráfego do caminho de dados normal será enviado.  A tela voltará para a janela de configuração principal do "OSPF".  A caixa de diálogo verde "Publish Changes" será exibida.

OBSERVAÇÃO: A separação do tráfego do plano de controle e do plano de dados no NSX cria a possibilidade da manutenção do recurso de encaminhamento de dados da instância de roteamento enquanto a função de controle é reiniciada ou recarregada. Essa função é chamada de "Graceful Restart" ou de "Non-stop Forwarding".

NÃO PUBLIQUE AS ALTERAÇÕES AINDA!Em vez de publicar alterações em todas as etapas, continuaremos a percorrer as alterações de configuração e as publicaremos todas de uma vez.

 

 

Configure a definição de área

 

  1. Clique no sinal de mais verde para abrir a caixa de diálogo "New Area Definition"
  2. Digite 10 na caixa "Area ID".  Você pode deixar as outras caixas de diálogo com as configurações padrão
  3. Clique em OK

Observação: A ID da área para o OSPF é muito importante.  Existem vários tipos de áreas OSPF.  Verifique a área correta em que os dispositivos de borda devem estar para funcionarem corretamente com o resto da configuração na rede.

 

 

Mapeamento de área para interface

 

  1. Clique no sinal de mais verde na área "Area to Interface Mapping" para abrir a caixa de diálogo "New Area to Interface Mapping"
  2. Selecione Edge_Uplink como interface
  3. Selecione 10 como a Area
  4. Clique em OK

 

 

Publique as alterações

 

 

 

Confirme OSPF Routing is Enabled no roteador distribuído

 

Agora podemos confirmar que ativamos e configuramos o OSPF na borda distribuída.  Confirme se todas as informações exibidas estão corretas.

 

 

Confirme a redistribuição de rota

 

 

 

Verifique a redistribuição de rota

 

 

 

Configure o roteamento OSPF no Edge de perímetro

 

Agora devemos configurar o roteamento dinâmico no dispositivo Edge de perímetro para restaurar a conectividade para o nosso aplicativo de 3 camadas de teste.  

 

 

Selecione o Edge de perímetro

 

Os nossos dispositivos de borda configurados são exibidos na página principal "NSX Edges".  

 

 

Configuração global do Edge de perímetro

 

  1. Clique na guia de navegação Manage
  2. Selecione o botão de navegação Routing para ir para a página de configuração de roteamento do dispositivo
  3. Clique em OSPF

Você observará que esse dispositivo de borda já foi configurado para roteamento dinâmico com OSPF.  Essa configuração de roteamento é definida de forma que esse dispositivo de borda possa comunicar e distribuir rotas para o roteador que esteja executando o laboratório geral.  Agora prosseguiremos ao conectarmos esse dispositivo de borda ao roteador distribuído lógico.  Por causa disso, todas as configurações globais de roteador e OSPF já foram concluídas, semelhante ao que você acabou de fazer para o roteador distribuído.  

 

 

Adicione a interface de trânsito ao mapeamento de área para interface

 

Agora só precisamos direcionar o OSPF para a comunicação pela interface que se comunicará com os roteadores distribuídos.

  1. Clique no sinal de mais verde ao lado de "Area to Interface Mapping"
  2. Selecione Transit_Network em "vNIC"
  3. Selecione 10 em "Area"
  4. Clique em OK

 

 

Publique as alterações

 

 

 

Revise a nova topologia

 

Examinando a configuração da topologia, você pode ver como está ocorrendo o emparelhamento de rota entre o roteador distribuído e o dispositivo Edge de perímetro do NSX.  Todas as redes criadas sob o roteador distribuído agora serão distribuídas até a borda e, nesse ponto, você poderá controlar a forma como ela é roteado para a sua rede física.

A próxima seção abordará isso em mais detalhes.

 

 

Verifique a comunicação com o aplicativo em 3 camadas

 

Agora vamos verificar se o roteamento está funcionando.  As informações de roteamento do roteador distribuído para o Perimeter-Gateway estão sendo trocadas, o que restaurou a conectividade ao aplicativo Web.  Para verificar isso, testaremos novamente o aplicativo Web.

  1. Clique na guia que você tinha aberto anteriormente para o aplicativo Web, que talvez diga "503 Service Temp..." na guia do teste que falhou.
  2. Atualize seu navegador para verificar se o aplicativo Web em 3 camadas funciona novamente

Observação: A propagação da rota pode levar um pouco por causa do ambiente aninhado.

 

 

Roteamento distribuído e dinâmico concluído

Isso conclui a seção sobre a configuração do roteamento dinâmico e distribuído.  Na próxima seção, revisaremos o roteamento centralizado com o Edge de perímetro.

 

Roteamento centralizado


Nesta seção, examinaremos diversos elementos para vermos como o roteamento é feito em direção ao norte a partir da borda.  Isso inclui a forma como o roteamento dinâmico OSPF é controlado, atualizado e propagado pelo sistema.  Verificaremos o roteamento no appliance Edge de perímetro até o appliance de roteamento virtual que executa e roteia o laboratório inteiro.

Observação especial: na área de trabalho, você encontrará um arquivo chamado README.txt.  Ele contém os comandos CLI necessários para os exercícios de laboratório.  Se você não conseguir digitá-los, poderá copiá-los e colá-los nas sessões do putty.  Caso você veja um número com "chaves - {1}", isso dirá a você para procurar o comando CLI para este módulo no arquivo de texto.


 

Topologia atual do laboratório

 

Este diagrama é a topologia atual do laboratório, incluindo o link em direção ao norte até o roteador vPod.  Você pode ver que o OSPF está redistribuindo rotas do roteador vPod até o roteador lógico distribuído.

 

 

Examine o roteamento OSPF no Perimeter-Gateway.

Primeiro, confirmaremos se o aplicativo Web está funcionando, então nos conectaremos ao gateway de perímetro do NSX para visualizarmos vizinhos OSPF e vermos a distribuição de rotas existente.  Isso mostrará como o gateway de perímetro está aprendendo as rotas não só do roteador distribuído, mas também do roteador vPod que está executando o laboratório inteiro.

 

 

Confirme a funcionalidade de aplicativo de camada 3

 

 

 

Aplicativo Web retornando informações do banco de dados

 

Antes de você começar a configurar o Roteamento distribuído, vamos verificar se o aplicativo Web de 3 camadas está funcionando corretamente. As 3 camadas do aplicativo (Web, aplicativo e banco de dados) estão em switches lógicos diferentes e o NSX Edge fornece o roteamento entre as camadas.

O servidor Web retornará uma página Web com as informações do cliente armazenadas no banco de dados.

 

 

Vá para o vSphere Web Client

 

Se você ainda não tiver feito login, vá para o vSphere Web Client.

 

 

Navegue até a VM do Perimeter-Gateway

 

 

 

Inicie o console remoto

 

  1. Expanda as pastas Datacenter Site A e Edges
  2. Selecione Perimeter-Gateway
  3. Selecione a guia Summary
  4. Clique em Launch Remote Console

 

 

Acesse o console remoto

 

Quando a janela VMRC abrir pela primeira vez, ela estará preta.  Clique dentro da janela e pressione Enter algumas vezes para fazer o console aparecer do protetor de tela.

***OBSERVAÇÃO*** Para liberar seu cursor da janela, pressione as teclas Ctrl+Alt

 

 

Faça login no gateway de perímetro

 

Faça login no gateway de perímetro com as credenciais a seguir.  Observe que todos os dispositivos de borda têm senhas complexas de 12 caracteres.

 

 

Instruções especiais para comandos CLI

 

Em muitos dos módulos, você deverá inserir comandos da interface de linha de comando (CLI).  Há duas maneiras de enviar comandos CLI para o laboratório.

A primeira é enviar um comando CLI para o console do laboratório:

  1. Realce o comando CLI no manual e use Control+c para copiar para a área de transferência.
  2. Clique no item de menu do console SEND TEXT.
  3. Pressione Control+v para colar da área de transferência para a janela.
  4. Clique no botão SEND.

Na segunda, um arquivo de texto (README.txt) foi colocado na área de trabalho do ambiente, permitindo que você copie e cole com facilidade comandos ou senhas complexos nos utilitários associados (CMD, Putty, console etc). Com frequência, determinados caracteres não estão presentes em teclados usados no mundo.  Este arquivo de texto também é incluído para layouts de teclado que não oferecem esses caracteres.

O arquivo de texto chama-se README.txt e pode ser encontrado na área de trabalho.  

 

 

Visualize os vizinhos OSPF

 

A primeira coisa que faremos é examinar os vizinhos OSPF até o Edge de perímetro, que está no meio da camada de roteamento do laboratório.

OBSERVAÇÃO - a conclusão da guia funciona em dispositivos Edge no NSX.

show ip ospf neighbor

 

 

Revisão das informações sobre o vizinho OSPF exibido

 

Agora, vamos revisar o conteúdo exibido e o seu significado.

  1. Neighbor ID 192.168.5.2 - é a ID do roteador distribuído lógico dentro do ambiente do NSX
  2. Address 192.168.5.3 - mostra o endereço com o qual o Edge de perímetro está conversando, é o IP que configuramos anteriormente no laboratório.
  3. Interface vNic_1 - se você examinar as interfaces no Edge, isso corresponderá a elas, mostrando a você em qual interface essa comunicação de emparelhamento está ocorrendo.  Essa é a interface voltada para o sul.
  4. Neighbor ID 192.168.250.2 - é a ID do roteador vPod, o roteador virtual que executa o laboratório inteiro.  É o roteador que o centro de controle e outros componentes, como o vCenter, usam para se comunicarem.
  5. Address 192.168.100.1 - mostra o endereço com o qual o Edge de perímetro está conversando, é uma das interfaces do roteador vPod.
  6. Interface vNic_0 - se você examinar as interfaces no Edge, isso corresponderá a elas, mostrando a você em qual interface essa comunicação de emparelhamento está ocorrendo.  Essa é a interface voltada para o norte.

 

 

Revise rotas no Edge de perímetro e a origem delas

 

Digite "show ip route"

show ip route

 

 

Revise informações sobre rota

 

Vamos revisar o conteúdo das rotas exibidas.

  1. A primeira linha mostra a nossa rota padrão, que se origina no roteador vPod (192.168.100.1) e o O no início das linhas mostra que ela foi aprendida via OSPF.
  2. A segunda linha é o switch lógico Web-Tier e sua interface.  Já que ele está diretamente conectado ao Edge, há um C no início da linha para demonstrar isso.
  3. A seção com um 3 compõe as duas outras partes do nosso aplicativo Web, que são os segmentos de rede para a camada do aplicativo e do banco de dados.  Como na linha 1, elas têm um O no início da linha para denotar que foram aprendidas via OSPF por meio do roteador distribuído (192.168.5.2).
  4. Todos os segmentos de rede da seção 4 são redes aprendidas pelo Edge de perímetro do roteador vPod (192.168.100.1) via OSPF.  Todas essas redes podem ser conectadas do lado interno da rede virtual do NSX e vice-versa.

 

 

 

Controle da distribuição de rotas OSPF

Pode haver uma situação em que você só desejará que as rotas OSPF sejam distribuídas dentro do ambiente virtual, mas não para o ambiente físico externo.  Podemos controlar essa distribuição de rotas com facilidade na interface do Edge.

 

 

Navegue até o NSX no vSphere Web Client

 

**OBSERVAÇÃO** Você precisa pressionar Ctrl+Alt para sair da janela VMRC do Perimeter-Gateway

 

 

Acesse o Perimeter-Gateway

 

  1. Clique em NSX Edges
  2. Clique duas vezes em Edge-2

 

 

Acesse a configuração do roteamento OSPF

 

  1. Selecione a guia Manage
  2. Clique em Routing
  3. Clique em OSPF no painel esquerdo

 

 

Remova o mapeamento de área da interface voltada para o norte

 

Agora, removeremos o mapeamento da área 10 OSPF da interface Uplink.  Ao fazermos isso, o gateway de perímetro e o roteador vPod não terão mais emparelhamento de rota.

  1. Selecione a vNIC Uplink
  2. Clique no X vermelho para excluir o mapeamento

 

 

Confirme a exclusão

 

 

 

Publique a alteração

 

 

 

Navegue até o VMRC do gateway de perímetro

 

Selecione Perimeter-Gateway em sua barra de tarefas

 

 

Mostre os vizinhos OSPF

 

**OBSERVAÇÃO** Assim que a janela aparecer, talvez seja necessário clicar dentro dela e pressionar a tecla Enter para fazer a tela aparecer

1. Digite "show ip ospf neighbor" e pressione Enter

show ip ospf neighbor

Agora você verá que o único vizinho é o roteador distribuído (192.168.5.2) e que o roteador vPod (192.168.250.1) foi retirado da lista.

 

 

Mostre as rotas

 

1. Digite "show ip route" e pressione Enter

show ip route

Você pode ver que as únicas rotas aprendidas via OSPF estão vindo do roteador distribuído (192.168.5.2)

 

 

Verifique se o aplicativo de 3 camadas para de funcionar

 

**OBSERVAÇÃO** Você precisa pressionar Ctrl+Alt para sair da janela VMRC do Perimeter-Gateway

Como não existem rotas entre o seu centro de controle e o ambiente de rede virtual, o aplicativo Web deverá falhar.

  1. Clique na guia HOL - Multi-Tier App
  2. Clique em Refresh.

O aplicativo poderá levar alguns instantes para realmente atingir o tempo limite, talvez seja necessário selecionar o "x" vermelho para parar o navegador.  Se você não vir os dados do cliente, talvez eles tenham sido obtidos do cache anteriormente e talvez seja necessário fechar e reabrir o navegador para corrigi-los.  

 

 

Restabeleça o emparelhamento de rota

 

Agora vamos recriar o emparelhamento de rota entre o gateway de perímetro e o roteador vPod.

 

 

Adicione o mapeamento de área para a interface novamente

 

  1. Clique no sinal de mais verde em Area to Interface Mapping
  2. Selecione Uplink em vNIC
  3. Selecione 10 em Area
  4. Verifique se a configuração Ignore Interface MTU está CHECKED - OBSERVAÇÃO - normalmente, ela não deve ser definida, mas isso deverá ser feito devido a limitações deste ambiente de laboratório.
  5. Clique em OK

 

 

Publique a alteração

 

 

 

Navegue até o VMRC do gateway de perímetro

 

Selecione Perimeter-Gateway em sua barra de tarefas

 

 

Mostre os vizinhos OSPF

 

**OBSERVAÇÃO** Assim que a janela aparecer, talvez seja necessário clicar dentro dela e pressionar a tecla Enter para fazer a tela aparecer

1. Digite "show ip ospf neighbor" e pressione Enter

show ip ospf neighbor

Agora você verá que o roteador distribuído (192.168.5.2) e o roteador vPod (192.168.250.1) são mostrados como vizinhos.

 

 

Revise rotas no Edge de perímetro e a origem delas

 

Digite "show ip route"

show ip route

 

 

Mostre as rotas

 

Todas as rotas do roteador vPod (192.168.100.1) voltaram para a lista.

 

 

Verifique se o aplicativo de 3 camadas está funcionando

 

**OBSERVAÇÃO** Você precisa pressionar Ctrl+Alt para sair da janela VMRC do Perimeter-Gateway

Com as rotas novamente definidas, o aplicativo Web deverá funcionar outra vez.

  1. Clique na guia HOL - Multi-Tier App
  2. Clique em Refresh.

Isso conclui esta seção do laboratório e prosseguiremos para o ECMP e a alta disponibilidade com os NSX Edges.

 

ECMP e alta disponibilidade


Nesta seção, adicionaremos outro Edge de perímetro à rede e usaremos o ECMP (Equal Cost Multipath Routing) para dimensionar horizontalmente a capacidade do Edge e aumentar sua disponibilidade.  Com o NSX, podemos fazer uma adição em ação de um dispositivo Edge e ativá-lo para ECMP.


 

Acesse o NSX no vSphere Web Client

 

  1. Marque a caixa de Use Windows session authentication
  2. Clique em Login

 

 

Navegue até o NSX no vSphere Web Client

 

**OBSERVAÇÃO** Você precisa pressionar Ctrl+Alt para sair da janela VMRC do Perimeter-Gateway

  1. Clique no ícone Home
  2. Clique em Networking & Security

 

 

Adicione outro Edge de gateway de perímetro

 

A nossa primeira etapa é adicionar outro dispositivo Edge de perímetro.

  1. Clique em NSX Edges
  2. Clique no sinal de mais verde

 

 

Selecione e nomeie o Edge

 

  1. Clique em Edge Services Gateway como Install Type
  2. Digite Perimeter-Gateway-2 em Name
  3. Clique em Next

 

 

Defina a senha

 

  1. Digite a senha VMware1!VMware1!
  2. Confirme a senha VMware1!VMware1!
  3. Marque Enable SSH Access
  4. Clique em Next

OBSERVAÇÃO - todas as senhas de NSX Edges são senhas complexas de 12 caracteres.

 

 

Adicione um appliance Edge

 

  1. Clique no sinal de mais verde em NSX Appliances para fazer a caixa de diálogo Add NSX Edge Appliance aparecer
  2. Selecione Management & Edge Cluster como Cluster/Resource Pool
  3. Selecione ds-site-a-nfs01 como Datastore
  4. Selecione esx-04a.corp.local como o host
  5. Selecione Edges como Folder
  6. Clique em OK

 

 

Continue a implantação

 

 

 

Adicione a interface Uplink

 

 

 

Selecione Switch Connected To

 

Nós escolhemos a interface do switch voltada para o norte para esta borda, que é um grupo de portas distribuídas.

  1. Clique em Select ao lado do campo Connected To
  2. Clique em Distributed Portgroup
  3. Selecione vds_mgt_Uplink Network
  4. Clique em OK

 

 

Nomeie e adicione o IP

 

  1. Digite Uplink em Name
  2. Selecione Uplink em Type
  3. Clique no sinal de mais verde
  4. Digite 192.168.100.5 em Primary IP Address
  5. Digite 24 em Subnet Prefix Length
  6. Clique em OK

 

 

Adicione a interface Edge Transit

 

 

 

Selecione Switch Connected To

 

Nós escolhemos a interface do switch voltada para o norte para esta borda, que é um switch lógico baseado em VXLAN.

  1. Clique em Select ao lado do campo Connected To
  2. Clique em Logical Switch
  3. Selecione Edge_Transit_01_5000
  4. Clique em OK

 

 

Nomeie e adicione o IP

 

  1. Digite Transit_Network em Name
  2. Selecione Internal em Type
  3. Clique no sinal de mais verde
  4. Digite 192.168.5.4 em Primary IP Address
  5. Digite 29 em Subnet Prefix Length - OBSERVAÇÃO - você deve inserir 29, e não 24!  Digite o número correto ou o laboratório não funcionará.
  6. Clique em OK

 

 

Continue a implantação

 

IMPORTANTE Antes de continuar, revise as informações e se os números de IP Addresses e de Subnet Prefix estão corretos.

 

 

Remova o gateway padrão

 

Estamos removendo o gateway padrão porque receberemos essa informação via OSPF

  1. DESMARQUE Configure Default gateway
  2. Clique em Next

 

 

Configurações padrão de firewall

 

  1. MARQUE Configure Firewall default policy
  2. Selecione ACCEPT
  3. Clique em Next

 

 

Finalize a implantação

 

 

 

Implantação do Edge

 

A implantação do Edge pode demorar alguns minutos.

  1. Você observará que o status do Edge-5 diz Busy e que também mostra 1 item installing.  Isso significa que a implantação está em andamento.
  2. Você pode clicar no ícone de atualização no cliente Web para acelerar a atualização automática nessa tela.

quando o status mostrar Deployed, você poderá seguir para a próxima etapa.

 

 

Configure o roteamento no novo Edge

 

Agora, você deve configurar o OSPF no novo dispositivo Edge antes de podermos ativar o ECMP.

 

 

Configuração global de roteamento

 

Devemos definir a configuração base para identificarmos o roteador para a rede.

  1. Clique na guia Manage
  2. Clique na guia Routing
  3. Selecione Global Configuration no painel esquerdo
  4. Clique em Edit ao lado de Dynamic Routing Configuration
  5. Selecione Uplink -192.168.100.5 como Router ID
  6. Clique em OK

 

 

Publique as alterações

 

Clique no botão "Publish Changes" na caixa de diálogo novamente para enviar por push a configuração atualizada para o dispositivo de perímetro distribuído.

 

 

Ative o OSPF

 

  1. Selecione OSPF no painel esquerdo
  2. Clique em Edit ao lado de OSPF Configuration
  3. MARQUE Enable OSPF
  4. Clique em OK

 

 

Adicione uma nova área

 

  1. Clique no sinal de mais verde ao lado de Area Definitions
  2. Digite 10 como Area ID
  3. Clique em OK

 

 

Adicione o mapeamento à interface Uplink

 

Da mesma forma como fizemos na última parte do laboratório, precisamos fazer o mapeamento de área com OSPF para a interface Uplink.

  1. Clique no sinal de mais verde ao lado de Area to Interface Mapping
  2. Selecione Uplink como vNIC
  3. Selecione 10 como Area
  4. Verifique se a configuração Ignore Interface MTU está CHECKED - OBSERVAÇÃO - normalmente, ela não deve ser definida, mas isso deverá ser feito devido a limitações deste ambiente de laboratório.
  5. Clique em OK

 

 

Adicione o mapeamento da interface Transit

 

Agora deve ser feito o mesmo para a interface downlink até o roteador distribuído

  1. Clique no sinal de mais verde ao lado de Area to Interface Mapping
  2. Selecione Transit_Network como vNIC
  3. Selecione 10 como Area
  4. Clique em OK

OBSERVAÇÃO - NÃO marque Ignore Interface MTU, isso só acontece no uplink!

 

 

Publique as alterações

 

Clique no botão "Publish Changes" na caixa de diálogo novamente para enviar por push a configuração atualizada para o dispositivo de perímetro distribuído.

 

 

Ative OSPF Route Distribution

 

Agora, devemos ativar a redistribuição de rotas OSPF para que as rotas possam ser acessadas por meio deste perímetro.

  1. Clique em Route Redistribution no painel esquerdo
  2. Clique em Edit para Route Redistribution Status
  3. Marque OSPF
  4. Marque OK

 

 

Tabela de distribuição de rotas

 

  1. Clique no sinal de mais verde em Route Redistribution Table
  2. Marque Connected
  3. Clique em OK

 

 

Publique as alterações

 

Clique no botão "Publish Changes" na caixa de diálogo novamente para enviar por push a configuração atualizada para o dispositivo de perímetro distribuído.

 

 

Ative o ECMP

 

Vamos ativar o ECMP no roteador distribuído e nos gateways de perímetro

 

 

Acesse o roteador distribuído

 

Primeiro ativaremos o ECMP no roteador distribuído

  1. Clique em NSX Edges
  2. Clique duas vezes em Edge-4

 

 

Ative o ECMP no DLR

 

  1. Clique na guia Manage
  2. Clique na guia Routing
  3. Clique em Global Configuration no painel esquerdo
  4. Clique em ENABLE Button ao lado de ECMP
  5. Clique em OK

 

 

Publique a alteração

 

 

 

Volte para Edge Devices

 

 

 

Acesse o gateway de perímetro 1

 

 

 

Ative o ECMP no gateway de perímetro 1

 

  1. Clique na guia Manage
  2. Clique na guia Routing
  3. Clique em Global Configuration no painel esquerdo
  4. Clique em ENABLE Button ao lado de ECMP
  5. Clique em OK

 

 

Publique a alteração

 

 

 

Volte para Edge Devices

 

 

 

Acesse o gateway de perímetro 2

 

 

 

Ative o ECMP no gateway de perímetro 2

 

  1. Clique na guia Manage
  2. Clique na guia Routing
  3. Clique em Global Configuration no painel esquerdo
  4. Clique em ENABLE Button ao lado de ECMP
  5. Clique em OK

 

 

Publique a alteração

 

 

 

Visão geral da topologia

 

Neste estágio, esta é a topologia do laboratório.  Ela inclui o novo gateway de perímetro adicionado, o roteamento configurado e o ECMP ativado.

 

 

Verifique a funcionalidade ECMP do roteador distribuído

 

Agora vamos acessar o roteador distribuído para garantirmos que o OSPF esteja se comunicando e que o ECMP esteja funcionando.

 

 

Inicie o console remoto

 

  1. Clique no ícone Refresh
  2. Expanda as pastas Datacenter Site A e Edges
  3. Selecione Distributed-Router-0
  4. Selecione a guia Summary
  5. Clique em Launch Remote Console

 

 

Acesse o console remoto

 

Quando a janela VMRC abrir pela primeira vez, ela estará preta.  Clique dentro da janela e pressione Enter algumas vezes para fazer o console aparecer do protetor de tela.

***OBSERVAÇÃO*** Para liberar seu cursor da janela, pressione as teclas Ctrl+Alt

 

 

Faça login no gateway de perímetro

 

Faça login no roteador distribuído com as credenciais a seguir

 

 

Visualize os vizinhos OSPF

 

A primeira coisa que faremos é examinar os vizinhos OSPF até o roteador distribuído.

OBSERVAÇÃO - a conclusão da guia funciona em dispositivos Edge no NSX.

Digite show ip ospf neighbor e pressione Enter.  (Lembre-se de usar a opção SEND TEXT).

show ip ospf neighbor 

O que isso mostra agora é onde o roteador distribuído só tinha um único par anteriormente, agora tem dois.  Eles são Perimeter-Gateway-1(192.168.100.3) e Perimeter-Gateway-2 (192.168.100.5).

 

 

Revise rotas no Edge de perímetro

 

Digite show ip route e pressione Enter

show ip route

 

 

Revise informações sobre rota

 

Todas as rotas devem ser mostradas como acima.  Se você observar, cada segmento de rede pode rotear por meio de dois endereços de rede diferentes.  Esses endereços são as rotas do perimeter-gateway 1 e 2.

 

 

Verifique a funcionalidade ECMP do roteador vPod

 

***OBSERVAÇÃO*** Para liberar seu cursor da janela, pressione as teclas Ctrl+Alt

Agora examinaremos o ECMP do roteador vPod, que simula um roteador físico em sua rede.

 

 

Abra a sessão SSH para o roteador vPod

 

  1. Usando a barra de rolagem, role para baixo e selecione vPod Router
  2. Clique em Load
  3. Clique em Open

 

 

Faça login no roteador vPod

 

Use as credenciais a seguir para fazer login no roteador vPod

 

 

Acesse o módulo OSPF

 

Devemos fazer telnet no módulo que controla o OSPF no roteador vPod.

1.  Digite telnet localhost 2604 e pressione Enter.  (Lembre-se de usar a opção SEND TEXT)

telnet localhost 2604

2.  Digite a senha VMware1!

 

 

Mostre os vizinhos OSPF

 

Devemos fazer telnet no módulo que controla o OSPF no roteador vPod.

1.  Digite show ip ospf neighbor e pressione Enter

show ip ospf neighbor

 

 

Mostre as rotas

 

1. Digite show ip ospf route e pressione Enter

show ip ospf route

2. Nesta seção, você observará que 172.16.10.0/24 só tem um roteador listado e isso acontece porque essa rede está diretamente conectada ao Perimeter-Gateway-1 (192.168.100.3) e não pode ser roteada por Perimeter-Gateway-2

3. Nesta seção, você observará que 172.16.20.0/24 & 172.16.30.0/24 tem dois roteadores listados, Perimeter-Gateway 1 (192.168.100.3) e Perimeter-Gateway-2 (192.168.100.5).  Isso acontece porque esses roteadores conseguem se comunicar com aqueles segmentos por meio do roteador distribuído.

Neste ponto, todo o tráfego conectado ao roteador distribuído poderá sair dos gateways de perímetro com ECMP.

Deixe essa janela aberta para as próximas etapas.

 

 

Alta disponibilidade com ECMP

 

Com o ECMP e o OSPF no ambiente, podemos alterar as rotas dinamicamente no caso de uma falha em um determinado caminho.  Agora simularemos a queda de um dos caminhos e a redistribuição da rota.

 

 

Ping db-01a no servidor de banco de dados

 

Digite ping -t db-01a e pressione Enter

ping -t db-01a

Você verá os pings do centro de controle para o servidor de banco de dados (db-01a) começarem.  Deixe essa janela aberta e em execução enquanto prossegue para a próxima etapa.

 

 

Desligue o gateway de perímetro 2

 

Simularemos um nó ficando offline ao desligarmos o Perimeter-Gateway-2

  1. Expanda as pastas Datacenter Site A e Edges
  2. Clique com o botão direito do mouse em Perimeter-Gateway-2-0
  3. Clique em Power
  4. Clique em Shut Down Guest OS

 

 

Confirme o desligamento

 

 

 

Volte para o teste de ping

 

 

 

Ocorre uma alteração de roteamento

 

Com a alteração de roteamento ocorrida por causa da borda offline, você verá os pings na VM do banco de dados ficarem offline e então recomeçarem à medida que a rota reconverge.

**OBSERVAÇÃO** - estamos usando temporizadores de rota padrão neste laboratório para mantermos o manual do laboratório fluindo rapidamente.  Você pode reduzir os temporizadores em 2 segundos para acelerar a convergência.

 

 

Acesse a sessão PuTTY do roteador vPod

 

 

 

Verifique as rotas atuais

 

  1. Digite show ip ospf route e pressione Enter
show ip ospf route 

Você observará que todas as rotas para as redes172.16.x.x só passam pelo Perimeter-Gateway-1 (192.168.100.3).

Deixe essa janela aberta para as próximas etapas.

 

 

Ligue o gateway de perímetro 2

 

  1. Expanda as pastas Datacenter Site A e Edges
  2. Clique com o botão direito do mouse em Perimeter-Gateway-2-0
  3. Clique em Power
  4. Clique em Power On

 

 

Verifique se Perimeter-Gateway-2 está online

 

Levará um minuto ou dois para que a VM seja ligada.  Assim que ela mostrar que as VMTools estão online no VM Summary, você poderá prosseguir para a próxima etapa.  

 

 

Acesse a sessão PuTTY do roteador vPod

 

 

 

Mostre as rotas

 

vamos verificar o status das rotas no roteador vPod desde que ligamos o gateway novamente.

  1. Digite show ip ospf route e pressione Enter
show ip ospf route

Na seção 2, você verá as rotas que voltaram a ter conectividade dupla.  

 

 

Observação final sobre ECMP

Uma observação final sobre ECMP e HA neste laboratório.  Embora tenhamos feito você desligar o Perimeter-Gateway-2, o resultado de fazer isso no Perimeter-Gateway-1 seria o mesmo.  

A única ressalva é que o aplicativo Web não funcionará se o Perimeter-Gateway-1 estiver offline, já que as VMs do servidor Web estão diretamente conectadas.  Isso poderia ser resolvido movendo o aplicativo Web para o roteador distribuído, como foi feito com as redes do banco de dados e do aplicativo.  Com isso concluído, o aplicativo Web funcionaria mesmo com o gateway 1 ou 2 offline.

OBSERVAÇÃO - fazer o que foi explicado acima prejudicará os outros módulos deste laboratório!  Esse é o motivo porque isso não será feito como parte do manual.  Se você não planeja trabalhar nos outros módulos, poderá experimentar o procedimento acima.

 

Antes de passar para o Módulo 3 - conclua as etapas de limpeza a seguir


Caso você planeje prosseguir para qualquer outro módulo deste laboratório depois de concluir o Módulo 2, deverá concluir as etapas a seguir ou o laboratório não funcionará adequadamente daqui em diante.


 

Exclua o segundo dispositivo Edge de perímetro

 

 

 

Exclua o Edge-5

 

Precisamos excluir o Edge que acabamos de criar

  1. Selecione NSX Edges
  2. Selecione Edge-5
  3. Clique no X vermelho para excluir

 

 

Confirme a exclusão

 

 

 

Desative o ECMP no DLR e o Gateway-1

 

 

 

Desative o ECMP no roteador distribuído

 

  1. Clique na guia Manage
  2. Clique na guia Routing
  3. Clique em Global Configuration no painel esquerdo
  4. Clique em DISABLE Button ao lado de ECMP

 

 

Publique a alteração

 

 

 

Volte para Edge Devices

 

 

 

Acesse o gateway de perímetro 1

 

 

 

Desative o ECMP no gateway de perímetro 1

 

  1. Clique na guia Manage
  2. Clique na guia Routing
  3. Clique em Global Configuration no painel esquerdo
  4. Clique em DISABLE Button ao lado de ECMP

 

 

Publique a alteração

 

 

 

Conclusão

Isso conclui o Módulo 2 sobre Roteamento lógico

Esperamos que você tenha gostado da parte de roteamento deste laboratório e a tenha achado útil para compreender o NSX.

 

Módulo 3 - Firewall distribuído (60 min)

Proteção leste-oeste do firewall distribuído - microssegmentação


Firewall distribuído do NSX (DFW). Um componente do NSX é um módulo de kernel de firewall distribuído.  O firewall distribuído é instalado em todos os hosts vSphere para ativar a funcionalidade. O firewall distribuído está próximo da velocidade da linha e tem a resiliência da plataforma de host do vSphere. Ele também reconhece a identidade do usuário e oferece ferramentas exclusivas de monitoramento de atividades.

Neste módulo, você examinará como o firewall distribuído ajuda a proteger um aplicativo de 3 camadas.  Também demonstraremos o processo de criação da regra de firewall baseada em grupos de segurança e em identidade, em vez de regras baseadas em endereço IP.  As regras baseadas em endereço IP impõem limites rígidos sobre VMs móveis e reduzem a flexibilidade da utilização de pools de recursos.

Este módulo baseia-se em quatro VMs guest que compõem um aplicativo de 3 camadas comum.  A camada da Web tem dois servidores Web (web-01a and web-02a). Os servidores Web serão vistos em um pool com balanceamento de carga posteriormente.  A camada da Web se comunica com uma VM chamada app-01a, que está executando um software de aplicativo, agindo como a camada de aplicativo.  A VM da camada de aplicativo, por sua vez, se comunica com uma VM chamada db-01a, que está executando o MySQL na camada de banco de dados.  A imposição de regras de acesso entre as camadas é fornecida pelo firewall DFW do NSX.  

A descrição do módulo é:

Funcionalidade básica do firewall distribuído

Mecanismo de descoberta de IP aprimorado para a função de firewall

Firewall de identidade

Inicie o módulo do seu desktop.  O desktop é o jumpbox do seu Control center no ambiente virtual.  Desse desktop, você acessará o vCenter Server Appliance implantado em seu data center virtual.

Observação especial: na área de trabalho, você encontrará um arquivo chamado README.txt.  Ele contém os comandos CLI necessários para os exercícios de laboratório.  Se você não conseguir digitá-los, poderá copiá-los e colá-los nas sessões do putty.  Caso você veja um número com "chaves - {1}", isso dirá a você para procurar o comando CLI para este módulo no arquivo de texto.


 

Inicie o navegador e o vSphere Web Client

 

 

 

Instruções especiais para comandos CLI

 

Em muitos dos módulos, você deverá inserir comandos da interface de linha de comando (CLI).  Há duas maneiras de enviar comandos CLI para o laboratório.

A primeira é enviar um comando CLI para o console do laboratório:

  1. Realce o comando CLI no manual e use Control+c para copiar para a área de transferência.
  2. Clique no item de menu do console SEND TEXT.
  3. Pressione Control+v para colar da área de transferência para a janela.
  4. Clique no botão SEND.

Na segunda, um arquivo de texto (README.txt) foi colocado na área de trabalho do ambiente, fornecendo a você todas as contas e senhas de usuário para o ambiente.

 

 

Confirme a ativação do DFW

 

Primeiro, você investigará o firewall distribuído do NSX.

Se você ainda não tiver feito login no vSphere Web Client.

Clique no ícone do Google Chrome na Barra de Tarefas. A página inicial deve ser o vSphere Web Client.

 

 

Obtenha espaço na tela ao recolher o painel de tarefas direito

 

 

 

Investigue o novo firewall distribuído do NSX

 

 

 

Abra a instalação

 

  1. Primeiro, clique em Installation
  2. Clique na guia Host Preparation .  A tabela mostrará os clusters no data center virtual

Observe que o NSX está instalado no nível do Cluster, o que significa que a instalação, a remoção e as atualizações são uma definição no nível do cluster.  Se um novo host físico for adicionado ao cluster posteriormente, ele terá o NSX adicionado de forma automática.  Isso oferece um nível de cluster de rede e de segurança sem medo de uma VM migrar para um host sem o NSX.

 

 

Configure regras para o acesso a aplicativos Web

Agora você vai configurar o firewall distribuído para o acesso a um aplicativo de 3 camadas.  O aplicativo tem dois servidores Web e cada um deles tem um servidor de aplicativos e de banco de dados.  Também há um balanceador de carga atendendo os dois servidores Web.

 

 

Teste a conectividade de VM a VM de 3 camadas usando o Putty

 

Em seguida, você testará a comunicação e o acesso entre os segmentos de rede e as VMs guest que compõem o aplicativo de 3 camadas. Seu primeiro teste será abrir um console para web-sv-01a e fazer ping nos outros membros.

  1. Clique no atalho do PuTTY na barra de tarefas do desktop 
  2. Selecione web-01a.corp.local 
  3. Clique em Open

 

 

Fazer ping de web-01a para outros membros de 3 camadas

 

Primeiro, você mostrará que web-01a pode fazer ping web-02a ao inserir

ping -c 2 172.16.10.12

Agora teste a conectividade entre web-01a e app-01a and db-01a:

ping -c 2 172.16.20.11
ping -c 2 172.16.30.11 

(Observação: talvez você veja DUP! no final de uma uma linha de ping.  Isso se deve à natureza do ambiente do laboratório virtual usando a virtualização aninhada e o modo promíscuo nos roteadores virtuais. Você não verá isso em produção).

Não feche a janela, basta minimizá-la para uso posterior.

 

 

Demonstre o aplicativo de 3 camadas usando um navegador da Web

 

Usando um navegador, você acessará o aplicativo de 3 camadas para demonstrar a função entre as 3 partes.  

  1. Abra uma nova guia do navegador
  2. Clique no marcador "3Tier-Web-App"

 

 

Clique em Browser Advanced

 

 

 

Proceed to web-app.corp.local (unsafe)

 

 

 

Demonstre o aplicativo de 3 camadas usando um navegador da Web (continuação)

 

Você deve retornar dados passados da camada da Web para a VM app-01a e, por fim, consultar a VM db-01a.

A página retornará qual servidor Web do pool do balanceador de carga foi contatado.

 

 

Altere a política de firewall padrão de Allow para Block

 

Nesta seção, você mudará a regra padrão Allow para Block e mostrará a comunicação ao aplicativo de 3 camadas como interrompida.  Depois disso, você criará novas regras de acesso para restabelecer a comunicação em um método seguro.

 

 

Examine as regras padrão

 

  1. Expanda a seção usando o "twistie".  

Observe se as regras têm marcas de verificação verdes.  Isso significa que uma regra está ativada.  As regras são incorporadas da maneira típica com os campos de origem, de destino e de serviço.  Os serviços são uma combinação de protocolos e de portas.  

A última Default Ruleé uma permissão todos para todos básica.

 

 

Investigue a última regra padrão

 

Role até a direita para poder ver as opções de Action para a regra padrão ao posicionar o cursor no campo para Action:Allow.  Isso mostrará um sinal de lápis, que permite a você ver as opções deste campo.

 

 

Altere a Last Default Rule Action de Allow para Block

 

  1. Selecione a opção de ação Block e selecione
  2. Clique em OK 

 

 

Publique as alterações de Default Rule

 

Você observará uma barra verde anunciando que agora é necessário escolher entre Publish Changes, Revert Changes ou Save Changes.  Publish envia por push para o DFW.  Revert cancela as suas edições.  Save Changes permite que você salve e publique mais tarde.

 

 

Verifique se a alteração da regra bloqueia a comunicação

 

Para testar a regra de bloqueio usando suas sessões anteriores do Putty e do navegador

 

 

Crie grupos de segurança de 3 camadas

 

O Service Composer define um novo modelo para o consumo de serviços de rede e de segurança em ambientes virtuais e de nuvem. As políticas se tornam acionáveis por meio da visualização e do consumo simples de serviços internos ou aprimorados por soluções de terceiros. Essas mesmas políticas podem se tornar reproduzíveis por meio de recursos de exportação/importação, o que poderia ajudar a facilitar a implantação e a recuperação de um ambiente onde há um problema. Um desses objetos para uso reproduzível é um grupo de segurança.

 

 

Adicionar um grupo de segurança

 

  1. Selecione Security Groups.Observação: pode ser necessário o uso de grupos de segurança existentes em outro módulo do laboratório
  2. Para adicionar um novo grupo de segurança, clique no ícone New Security Group

 

 

Novo grupo de segurança - Web

 

  1. Chame este primeiro grupo de Web-tier
  2. Selecione Next
  3. Clique em Next para se mover até a seção "Select objects to include"

 

 

Selecione os objetos a serem incluídos

 

  1. Expanda o menu Object Types e selecione Virtual Machines
  2. Você pode filtrar digitando Web na janela de pesquisa
  3. Selecione web-01a
  4. Clique na seta para a direita para enviar a VM para a janela Selected Objects
  5. Repita o procedimento para web-02a
  6. Clique em Finish.

Observação:  Como um atalho, você pode clicar duas vezes nas VMs à esquerda e elas se moverão para a direita nesta etapa.

 

 

Verifique a criação do grupo de segurança

 

Você criou um grupo de segurança chamado Web-tier com 2 VMs atribuídas a ele.

 

 

Crie regras de acesso de 3 camadas

 

Em seguida, você adicionará novas regras para permitir o acesso à VM da Web e então vai configurar o acesso entre as camadas.  

 

 

Adicione uma nova seção de regra ao aplicativo de 3 camadas

 

  1. Na extremidade direita da linha "Firewalling without VMTools (Rule1)", clique em Add Section, que se parece com uma pasta
  2. Chame a seção de 3-tier App
  3. Clique em OK

 

 

Adicione uma regra à nova seção

 

 

 

Edite a nova regra

 

  1. Clique no "twistie" para abrir a regra
  2. Passe o mouse sobre o canto superior direito do campo "Name" até um ícone de lápis aparecer, então clique no lápis
  3. Digite "Ext to Web" como o nome
  4. Clique em OK

 

 

Defina a origem e o destino da regra

 

Origem:deixe Rule Source definido como qualquer.

 

 

Defina os valores de Security Group

 

Destino:

  1. Expanda o menu Object Type e role para baixo até encontrar Security Group
  2. Clique em Web-tier
  3. Clique na seta superior para mover o objeto para a direita
  4. Clique em OK

 

 

Defina o serviço de regra

 

Passe o mouse novamente no campo Service e clique no sinal de lápis.  

  1. No campo de pesquisa, você pode pesquisar correspondências de padrão de serviço.  Digite "https"e pressione Enter para ver todos os serviços associados ao https do nome
  2. Selecione o serviço HTTPS simples
  3. Clique na seta superior
  4. Observação: Repita as etapas 1 a 3 acima para localizar eadicionar o SSH.  (Você verá posteriormente no módulo que precisaremos de SSH).
  5. Clique em OK

Observação: Isso fará com que a barra verde com a opção publique ou reverta alterações.

NÃO publique ainda, pois há mais regras a serem criadas.

 

 

Crie uma regra para permitir o acesso ao grupo de segurança da Web ao switch lógico do aplicativo

 

Agora você adicionará uma segunda regra para permitir que o grupo de segurança da Web acesse o grupo de segurança do aplicativo por meio da porta do aplicativo.  

  1. Comece abrindo o sinal de lápis
  2. Você deseja que esta regra seja processada abaixo da regra anterior, portanto escolha Add Below na caixa suspensa

 

 

Crie os campos Second Rule Name e Source

 

  1. Como feito anteriormente, passe o mouse sobre o campo Name e clique no sinal de mais.  Digite "Web to App" como nome
  2. Escolha o grupo de segurança Web-tier para o campo Source

 

 

Crie o campo Second Rule Destination: Escolha Logical Network

 

Na primeira regra, você usou o grupo de segurança Web-tier como o destino.  Você poderia prosseguir com as regras restantes da mesma maneira.  Mas, como você pode ver na lista suspensa, será possível usar diversos objetos do vCenter já definidos.  Um poderoso aspecto para economizar tempo do vSphere integrado com o NSX Security é que você pode usar objetos existentes no datacenter virtual em suas regras em vez de começar do zero.  Aqui, você usará um switch lógico de VXLAN como o destino. Isso permite que você crie uma regra a ser aplicada a todas as VMs conectadas a esta rede.

  1. Role para baixo na lista suspensa Object Type e clique na opçãoLogical Switch
  2. SelecioneApp_Tier-01
  3. Clique na seta superior para mover o objeto para a direita
  4. Clique em OK

 

 

Crie o campo Second Rule Service: New Service

 

O aplicativo de 3 camadas usa a porta tcp 8443 entre as camadas da Web e do aplicativo.  Você criará um novo serviço chamado MyApp para ser o serviço permitido.

  1. Clique em New Service
  2. Digite MyApp como o nome do novo serviço
  3. Selecione TCP como o protocolo
  4. Digite 8443 como o número da porta
  5. Clique em OK

 

 

Clique em OK

 

 

 

Crie a terceira regra: permitir que o switch lógico acesse o banco de dados do switch lógico

 

Repetindo as etapas: por conta própria, crie a terceira e última regra oferecendo acesso entre a camada do aplicativo e a camada do banco de dados.

  1. Crie a regra final que permite ao switch lógico do aplicativo se comunicar com o switch lógico do banco de dados por meio do serviço predefinido para o MySQL.  O serviço é predefinido e, portanto, você só precisará pesquisá-lo em vez de criá-lo.
  2. Publique as alterações

 

 

Verifique se a nova regra permite a comunicação com o aplicativo de 3 camadas

 

OBSERVAÇÃO: Se uma guia ainda não estiver aberta ou caso você tenha fechado a anterior.  Use o favorito "Web-App Direct Connect" na barra de favoritos.

 

 

Reinicie a sessão do Putty para web-01a

 

  1. Clique no ícone Session no canto superior esquerdo
  2. Clique em Restart Session.

 

 

Teste de ping entre camadas

 

Experimente executar o ping em VMs guest do aplicativo de 3 camadas.

Observação: Lembre-se de usar a opção SEND TEXT.

web-02a

ping -c 2 172.16.10.12 

app-01a

ping -c 2 172.16.20.11

db-01a

ping -c 2 172.16.30.11

Os pings não são permitidos e falharão porque o ICMP não é permitido entre camadas ou membros da camada em suas regras.  Sem permitir o ICMP entre as camadas, agora a regra padrão bloqueará todos os outros tráfegos.

 

 

Topologia após a adição de regras de firewall distribuído para o aplicativo de 3 camadas.

 

O diagrama mostra o ponto de imposição relativo do firewall no nível da vNIC.  Embora o DFW seja um módulo carregável de kernel (KLM) do Host ESXi do vSphere, as regras são impostas na vNIC da VM guest.  Esta proteção se move com a VM durante o vMotion para fornecer proteção completa e ininterrupta, não permitindo que haja uma "janela de oportunidade" durante a qual a VM fica suscetível a ataques.

 

Sistema de firewall baseado em identidade



 

Regras de firewall baseado em identidade

Agora, o pacote NSX oferece a você a capacidade de criar regras usando grupos do Active Directory.  Isso permite que você controle o acesso de usuários para outros objetos de segurança, como redes, endereços IP e outros grupos de segurança.

Antes de começar a criar regras baseadas em usuário, será necessário vincular o NSX a um Active Directory.

 

 

Explore o link entre o NSX e o Active Directory

 

À esquerda, desça até os NSX Managers.  Observe que ele denota somente um.  

 

 

Escolha NSX Manager

 

 

 

Explore o conector de domínios

 

Observe que a tabela tem uma entrada.  Isso está parcialmente configurado para outro módulo do laboratório, mas você percorrerá o processo e, portanto, terá a oportunidade de revisar como a conexão foi criada.  

Essa conexão exige que você forneça informações do AD de forma que o vCenter possa acessar o AD para obter informações do grupo.  OBSERVAÇÃO: isso é diferente da associação de um vCenter ao AD para obter permissões usadas em Usuários/Funções.  

  1. Clique na guia Manage
  2. Clique na guia Domains
  3. Clique em corp.local
  4. Clique no lápis para editar

 

 

Forneça um nome NetBIOS

 

No campo de nome, você deve digitar um nome.   Em seguida, digite o nome NetBIOS para o domínio.   

  1. Clique em Next

 

 

Forneça opções de LDAP

 

Aqui, você concluirá a configuração.

  1. Digite 192.168.110.10 como o endereço do Servidor do AD
  2. Digite Administrator no campo User name
  3. Digite VMware1! como a senha
  4. Clique em Next

 

 

Opções de acesso ao log de eventos de segurança

 

É possível informar as configurações do acesso ao log aqui.

  1. Desmarque a caixa Use Domain Credentials
  2. Digite administrator e VMware1! como as credenciais
  3. Clique em Next

 

 

Pronto para concluir - verifique as configurações

 

Você verificará todas as suas configurações agora.

 

 

Sincronização do AD

 

  1. Clique em "Double-Gear"
  2. Clique em "Single-Gear" para obter atualizações do AD.  Você deverá ver um status de sucesso e a data atual.

Observe que isso pode demorar de 2 a 3 minutos.

Com uma conexão do AD configurada e sincronizada, você está pronto para usar os grupos do AD em suas políticas de segurança.

 

 

Crie um objeto de segurança baseado em grupos do AD

 

  1. Clique em Networking & Security.  Este é o botão de histórico

 

 

Edite a regra Ext to Web

 

Você adicionará um grupo de domínio para o campo Source da regra Ext to Web.

  1. Clique em Firewall
  2. Passe o mouse sobre o campo de origem e clique no sinal de lápis
  3. Selecione o grupo de segurança na lista suspensa Object Type
  4. Clique em New Security Group

 

 

Nomeie o novo grupo de segurança - AD Sales

 

  1. Digite AD-Sales como o nome
  2. Clique em Select objects to include

 

 

Selecione os objetos a serem incluídos

 

  1. Selecione "Entity" na lista suspensa
  2. Selecione "Belongs to"
  3. Clique para abrir a janela "Select Entity"
  4. Selecione o tipo "Directory Group"
  5. Digite "sales" na caixa de pesquisa
  6. Selecione "Sales"
  7. Clique em "OK"
  8. Clique em "Finish"

 

 

Clique em Ok em Settings.

 

 

 

Publique as alterações

 

Agora você tem um grupo de domínio, AD-Sales, definido como a origem do acesso à camada da Web.  Nesse caso, um usuário terá de ser membro do grupo do AD Sales para obter acesso à camada da Web do aplicativo de 3 camadas.

 

 

Teste a regra de identidade do usuário

 

Você pode testar a nova regra baseada em identidade ao abrir um console para outra VM no domínio e fazer login como membro do grupo Sales do Active Directory.  User:Sales1é membro do grupo Sales.  User:NonSales não é membro do grupo.  Você fará login como cada um deles e verá os resultados da tentativa de acesso ao aplicativo de 3 camadas.

  1. Clicando no ícone Home
  2. Clique nas VMs e nos templates

 

 

Abra o console para win8-01a

 

Expanda os contêineres "Hands on Labs" e "Discovered virtual machines" para localizar win8-01a

  1. Expanda Misc VMs
  2. Clique com o botão direito do mouse em "win8-01a"
  3. Clique em "Open Console"

 

 

Faça login como NonSales

 

  1. Send Ctrl-Alt-Del.  Use o botão do console.
  2. Clique na seta para a esquerda
  3. Escolha Other user
  4. Digite User name = nonsales
  5. Password = VMware1!
  6. Clique na seta

 

 

Abra o Internet Explorer

 

Inicie o Internet Explorer da Barra de Tarefas.

O usuário nonsales não faz parte do grupo AD-Sales e tem o acesso ao aplicativo de 3 camadas bloqueado.

 

 

Faça logoff como nonsales

 

  1. Clique em Send Ctrl-Alt-Del.
  2. Clique em "Sign Out"

 

 

Alterne para outro usuário

 

  1. Clique em Send Ctrl-Alt-Del.
  2. Clique em "Other user"

 

 

Faça login como Sales1

 

  1. Digite Sales1 como o nome do usuário. A senha é VMware1!
  2. Clique na seta

 

 

Use o IE e acesse o aplicativo de 3 camadas

 

Abra o IE da Barra de Tarefas.

  1. Clique no favorito "HOL - Muti-Tier App"
  2. Aceite o risco

 

 

Verifique o acesso

 

O usuário Sales1 é membro do grupo AD-Sales e tem acesso permitido ao aplicativo de 3 camadas.

 

 

Prepare o laboratório para a próxima seção

 

Clique na guia do navegador para o vSphere Web Client

  1. Clique em Firewall
  2. Na primeira regra, passe o mouse sobre o objeto AD-Sales do campo Source.  Clique no X vermelho para excluir o objeto e redefinir o campo para "any"

 

 

Prepare o laboratório para a próxima seção - defina a regra padrão como Allow

 

  1. Defina a regra padrão na seção Default para ter uma ação Allow
  2. Publique as alterações

Isso permitirá que a próxima seção funcione adequadamente.

 

Mecanismo de descoberta de IP aprimorado para máquinas virtuais e SpoofGuard


A operação de firewall distribuído do NSX exige a descoberta de endereços IP para objetos especificados como uma origem ou um destino.  Antes do NSX 6.2, isso era realizado pelo VMtools na VM. Este exercício mostrará a você como descobrir endereços IP mesmo sem o VMtools.

A VM Linux-01a usada neste exercício não tem o VMtools instalado e, portanto, o firewall distribuído do NSX não pode descobrir endereços IP para objetos sem usar o novo recurso.


 

Revise as regras de firewall existentes

 

Clique na guia do navegador para o vSphere Web Client

  1. Clique no ícone Home
  2. Clique em Networking & Security

 

 

Visualize as regras

 

  1. Clique em Firewall
  2. Clique na seta horizontal para expandir a seção "Firewalling-without-VMTools"

 

 

Revise a regra que impede a comunicação com Linux-01a

 

A regra "Deny traffic TO Linux-01a" deve impedir qualquer tráfego para a VM Linux-01a, mas, nesse caso, ela não poderá fazer isso porque o firewall distribuído do NSX não conhece o endereço IP da VM devido à ausência do VMware Tools.

 

 

Verifique se você pode executar ping em Linux-01a do seu desktop independentemente da regra "Reject" que deveria impedi-lo.

 

 

 

Execute ping em Linux-01a

 

Lembre-se de usar a opção SEND TEXT.

Digite ping 192.168.100.221 e pressione "Return"

ping 192.168.100.221

Como podemos ver, você pode executar ping em Linux-01a, mesmo quando a regra "Reject" deveria impedi-lo. Isso acontece porque o firewall distribuído do NSX não tem um endereço IP de Linux-01a e, portanto, não pode impedir o ping.

 

 

Ative a descoberta de endereço IP por meio do ARP Snooping

 

Volte para o vSphere Web Client clicando na guia "vSphere Web Client" do navegador.

  1. Clique em SpoofGuard
  2. Clique em Change

 

 

Altere o tipo de detecção de IP para ARP Snooping

 

Agora, ativaremos a descoberta de endereços IP com "ARP Snooping" em vez do VMware Tools, que não está instalado nessa VM

  1. Marque ARP Snooping
  2. Clique em OK

 

 

Execute ping na VM LInux-01a novamente para verificar se a regra "reject" está funcionando agora

 

 

 

Execute ping em Linux-01a novamente para testar a conectividade

 

Lembre-se de usar a opção SEND TEXT.

Digite ping 192.168.100.221 e pressione "Return".  OBSERVAÇÃO:  Talvez seja necessário executar ping duas vezes para ver as regras impostas.

ping 192.168.100.221

Observe que você não pode mais executar ping em linux-01a. Ele foi "rejeitado" pelo firewall, o que fica evidente pela frase "host unreachable" na resposta.

Para concluir, você conseguia executar ping na VM Linux-01a no início,mesmo havendo uma regra que deveria impedi-lo. Esse era o caso porque o firewall NSX não conhecia o endereço IP da VM devido à ausência do VMware Tools. Depois que a aprendizagem do endereço IP foi ativada com o ARP Snooping (recurso do NSX 6.2), a regra "REJECT" entrou em vigor e não foi mais possível executar ping na VM Linux-01a.

 

 

Verifique se a VM Linux-01a foi descoberta por meio do ARP Snooping

 

  1. Clique em Default Policy
  2. Escolha Active Virtual NICs na lista suspensa View
  3. Digite "lin" e pressione Enter para filtrar Linux-01a

Observe que o campo de origem denota ARP para o endereço 192.168.100.221.

 

 

Desative a regra antes de prosseguir.

 

 

 

Explore o SpoofGuard

 

Depois de sincronizar com o vCenter Server, o NSX Manager coletará os endereços IP de todas as máquinas virtuais guest do vCenter do VMware Tools em cada máquina virtual. Se uma máquina virtual tiver sido comprometida, o endereço IP poderá ser falsificado e transmissões mal-intencionadas poderão ignorar as políticas do firewall.

Crie uma política do SpoofGuard para redes específicas que permita a você autorizar os endereços IP relatados pelo VMware Tools e altere-os se necessário para impedir a falsificação. O SpoofGuard confia inerentemente nos endereços MAC de máquinas virtuais coletadas dos arquivos VMX e do SDK do vSphere. Como ele funciona separadamente das regras do firewall, você pode usar o SpoofGuard para bloquear o tráfego determinado como falsificado.

O SpoofGuard dá suporte aos endereços IPv4 e IPv6. Quando o IPv4 for utilizado, a política do SpoofGuard dará suporte a um único endereço IP atribuído a uma vNIC. O IPv6 dá suporte a vários endereços IP atribuídos a uma vNIC. A política do SpoofGuard monitora e gerencia os endereços IP relatados por suas máquinas virtuais de um dos modos a seguir.

Esse modo permite que todo o tráfego das suas máquinas virtuais passe enquanto cria uma tabela de atribuições de endereço IP para vNIC. Você poderá revisar essa tabela quando quiser e fazer alterações de endereço IP. Esse modo aprova automaticamente todos os endereços IPv4 e IPv6 em uma vNIC.

Esse modo bloqueará todo o tráfego até você aprovar todas as atribuições de endereço IP para vNIC.

OBSERVAÇÃO O SpoofGuard permite de forma inerente as solicitações DHCP, independentemente do modo ativado. No entanto, se estiver em modo de inspeção manual, o tráfego não passará até que o endereço IP atribuído por DHCP tenha sido aprovado.

O SpoofGuard inclui uma política padrão gerada pelo sistema que se aplica a port groups e a redes lógicas não cobertas pelas outras políticas do SpoofGuard. Uma rede recém-adicionada será automaticamente adicionada à política padrão até você adicionar a rede a uma política existente ou criar uma nova política para ela.

 

 

Edite a política padrão do SpoofGuard

 

  1. Clique em Default Policy
  2. Clique no lápis para editar

 

 

Ative o SpoofGuard

 

  1. Clique no botão de opção de Enabled
  2. Clique em Finish.

 

 

Localize a VM Linux-01a

 

  1. Digite "linux" no campo Search do vCenter
  2. Clique em Linux-01a

 

 

Abra o console na VM Linux-01a

 

Observe que não há um VMware Tools instalado nesta VM

  1. Clique na guia "Summary"
  2. Clique no "Console" para abrir um console na nova guia do navegador

 

 

Faça login em Linux-01a

 

  1. Faça login usando root como o usuário
  2. Senha: VMware1!

 

 

Altere o endereço IP de Linux-01a

 

Você mudará o endereço IP para ver a imposição de segurança do SpoofGuard.  

  1. Digite ipswap221-231.  Como você já viu, o endereço IP atual da VM Linux-01a é 192.168.100.221.  Esse arquivo bash Linux mudará o endereço IP para 192.168.100.231.
ipswap221-231

 

 

Teste a conectividade da VM Linux-01a

 

ping -c 2 192.168.100.3

 

 

Volte para Networking & Security

 

  1. Clique no ícone Home
  2. Clique em Networking & Security
  3. Clique em SpoofGuard

 

 

Endereço IP de Linux-01a de 192.168.100.231

 

  1. Altere a visualização para "Active Virtual NICs Since Last Publish".
  2. Observe que Linux-01a agora é relatada com o endereço 192.168.100.231 e tem como origem "Trusted On First Use-ARP" (TOFUARP).

 

 

Altere o IP de Linux-01a

 

ipswap231-221

Você verá a alteração do IP.

 

 

Teste a conectividade

 

ping -c 2 192.168.100.3

Agora você verá que o ping falha.

 

 

Aprove o novo endereço IP da VM Linux-01a

 

  1. Altere a visualização para a aprovação necessária do IP das NICs virtuais.
  2. Digite "lin" no campo Filter e pressione Enter. Você verá que agora o endereço IP 192.168.100.221 aprendido do ARP Snooping está exigindo aprovação.
  3. Clique em Approve.

 

 

Publique a aprovação do IP

 

 

 

Verifique se a aprovação do IP permite a conectividade de rede

 

ping -c 2 192.168.100.3

E agora você verá que agora a aprovação de 192.168.100.221 permite a conectividade de rede.

 

Módulo 4 - Gateway de serviços do Edge (30 min)

Transmissão DHCP


Este laboratório abordará a funcionalidade de transmissão DHCP no NSX e levará aproximadamente 15 minutos para ser concluído.

Em uma rede onde houver somente segmentos de rede única, os clientes DHCP poderão se comunicar diretamente com o servidor DHCP.  Os servidores DHCP também podem fornecer endereços IP para várias redes, mesmo aquelas que não estiverem no mesmo segmento deles.   Entretanto, quando eles estiverem servindo endereços IP para intervalos IP fora do seu próprio, não poderão se comunicar diretamente com esses clientes.  Isso acontece porque os clientes não têm um endereço IP roteável ou um gateway do qual estejam cientes.

Nessas situações, será necessário um agente de transmissão DHCP para transmitir o que foi recebido de clientes DHCP e enviar para o servidor DHCP em unicast.  O servidor DHCP selecionará um escopo DHCP com base no intervalo de onde o unicast está vindo, retornando-o ao endereço de agente que então será transmitido de volta à rede original e para o cliente.

Áreas tratadas neste laboratório:

Os itens a seguir foram pré-configurados neste laboratório


 

Topologia do laboratório

 

Este diagrama mostra um layout da topologia final que será criada e usada neste módulo do laboratório.

 

 

Acesse o vSphere Web Client

 

 

 

Faça login no vSphere Web Client

 

Faça login no vSphere Web Client usando a autenticação de sessão do Windows.

  1. Clique em Use Windows session authentication - isso preencherá automaticamente com as credenciais administrator@corp.local/VMware1!
  2. Clique em Login

 

 

Acesse o NSX por meio do Web Client

 

Acesse a seção Networking & Security do Web Client

 

 

Crie um novo switch lógico

 

Primeiro, devemos criar um novo switch lógico, que executará a nossa nova rede 172.16.50.0/24.

  1. Selecione Logical Switches
  2. Clique no sinal de mais verde para criar um novo switch lógico

 

 

Informe os novos parâmetros do switch

 

Para configurar o switch lógico, devemos definir o nome e a zona de transporte.

 

 

Selecione Transport Zone

 

  1. Selecione Local-Transport-Zone-A
  2. Clique em OK

 

 

Informe os novos parâmetros do switch

 

  1. Name = DHCP-Relay - o nome não importa especificamente, mas é usado para ajudar na identificação do switch.
  2. Clique em OK

 

 

Conecte o switch lógico ao gateway de perímetro

 

Agora, conectaremos o switch lógico a uma interface no gateway de perímetro.  Essa interface será o gateway padrão para a rede 172.16.50.0/24 com um endereço 172.16.50.1.

  1. Clique em NSX Edges no painel esquerdo.
  2. Clique duas vezes em edge-2, que é o Perimeter-Gateway neste laboratório.

 

 

Adicione uma interface

 

Esta seção conectará o switch lógico a uma interface no gateway de perímetro.

  1. Clique em Manage
  2. Clique em Settings
  3. Clique em Interfaces
  4. Selecione vnic9
  5. Clique no ícone de lápis para editar a interface

 

 

Selecione a qual switch lógico a interface está conectada

 

Selecionaremos a qual switch lógico a interface está conectada.

 

 

Selecione o switch lógico recém-criado

 

Selecione o novo switch lógico que acabamos de criar nas etapas anteriores.

  1. Selecione DHCP-Relay Logical Switch
  2. Clique em OK

 

 

Adicione um endereço IP à interface

 

Adicionaremos um novo endereço IP.

 

 

Configure o endereço IP da interface

 

Atribuiremos um endereço IP à nova interface.

  1. Primary IP address = 172.16.50.1
  2. Subnet Prefix Length = 24

 

 

Conclua a configuração da interface

 

Verifique todas as informações e conclua a configuração

  1. Altere o nome de vnic9 para DHCP Relay para facilitar a identificação posteriormente.
  2. Clique em OK

 

 

Configure a transmissão DHCP

 

Permanecendo no gateway de perímetro, você deverá fazer a configuração global da transmissão DHCP.

  1. Agora clique na guia Manage
  2. Clique no botão DHCP
  3. Clique na seção Relay no painel esquerdo
  4. Clique em Edit

 

 

Configuração global do DHCP

 

Na configuração global do DHCP, você seleciona os servidores DHCP que responderão a solicitações de DHCP da nossa VM guest.

Há três métodos pelos quais você pode definir IPs de servidores DHCP:

Conjuntos de IPs

Os conjuntos de IPs são configurados em Global Configuration, no NSX Manager, e permitem que você especifique um subconjunto de servidores DHCP ao criar um agrupamento nomeado.

Endereços IP

É possível especificar manualmente os endereços IP de servidores DHCP neste método.

Nomes de domínio

Esse método permite que você especifique um nome DNS que pode ser um ou vários endereços de servidor DHCP.

 

Neste laboratório, usaremos um endereço IP único.

  1. IP Addresses = 192.168.110.10é o IP do servidor DHCP.
  2. Clique em OK

 

 

Configure o agente de transmissão DHCP

 

O agente de transmissão DHCP transmitirá todas as solicitações DHCP do endereço do gateway no switch lógico para os servidores DHCP configurados.  Devemos adicionar um agente ao switch lógico/segmento criado em 172.16.50.0/24.

 

 

Selecione a interface do gateway de perímetro

 

Selecione qual interface do gateway de perímetro terá o agente de transmissão.

  1. Clique na lista suspensa vNIC, selecione a interface criada anteriormente, DHCP Relay Internal
  2. Clique em OK

 

 

Publique configurações nas configurações da transmissão DHCP

 

Agora precisamos publicar todas essas alterações para o roteador distribuído.

 

 

Crie uma VM em branco para a inicialização PXE

 

Agora criaremos uma VM em branco que inicializará por PXE do servidor DHCP para onde estamos transmitindo.

  1. Clique no ícone Home
  2. Clique em Hosts and Clusters

 

 

Crie uma nova VM

 

  1. Expanda Datacenter Site A e expanda Compute Cluster A
  2. Clique com o botão direito do mouse no host chamado esx-02a.corp.local
  3. Selecione New Virtual Machine.
  4. Em seguida, clique em New Virtual Machine

 

 

Configure a nova VM

 

  1. Selecione Create a New Virtual Machine
  2. Clique em Next

 

 

Nomeie a VM

 

  1. Name = PXE VM
  2. Clique em Next

 

 

Selecione Host

 

 

 

Selecione Storage

 

Deixe com o valor padrão

 

 

Selecione Compatibility

 

Deixe com o valor padrão

 

 

Selecione Guest OS

 

Deixe com o valor padrão

  1. Selecione Linux em Guest OS Family
  2. Selecione Other Linux (64-bit) em Guest OS Version
  3. Clique em Next

 

 

Especifique o hardware - remova o disco rígido

 

Precisamos excluir o disco rígido que vem como o padrão, pois como estamos inicializando da rede, o disco rígido não será necessário.  Isso acontece porque a imagem PXE está inicializando e sendo executada totalmente na RAM.

 

 

Especifique o hardware - escolha a rede

 

Agora selecionaremos o switch lógico baseado em VXLAN criado anteriormente, DHCP-Relay.  Você pode selecioná-lo aqui ou, como alternativa, atribuir a VM ao switch lógico.  Isso é feito por meio do menu NSX Logical Switch selecionando o switch lógico e clicando em add.

  1. Selecione a rede que mostra as palavras DHCP Relay.  O UUID inteiro do switch lógico poderá variar da captura de tela acima, mas somente um terá DHCP-Relay escrito nele.
  2. Clique em Next

 

 

Conclua a criação da VM

 

 

 

Acesse a VM recém-criada

 

Em seguida, abriremos um console para essa VM, a ligaremos e veremos sua inicialização da imagem PXE.  Ela recebe essas informações por meio do servidor DHCP remoto configurado anteriormente.

  1. Selecione PXE VM no painel esquerdo
  2. Selecione a guia Summary
  3. Clique em Launch Remote Console

 

 

Ligue a VM

 

Ligue a nova VM.

 

 

Obtendo o DHCP de um servidor remoto

 

Você observará que a VM agora está tentando inicializar e obter um endereço DHCP.

 

 

Inicialização da imagem

 

Esta tela aparecerá assim que a VM tiver um endereço DHCP e estiver fazendo download da imagem PXE do servidor de inicialização.  Esta tela levará cerca de 1 a 2 minutos, prossiga para a próxima etapa.

 

 

Verifique a concessão de DHCP

 

Enquanto aguardamos a inicialização da VM, podemos verificar o endereço usado nas concessões de DHCP.

 

 

Visualize as concessões

 

Podemos examinar qual endereço a VM obteve do servidor DHCP.

  1. Expanda as seções clicando nas setas
  2. Selecione Address Leases
  3. Você verá o endereço 172.16.50.10, que está no intervalo criado anteriormente

 

 

Visualize as opções

 

Também podemos ver as opções de escopo usadas para inicializar a imagem PXE

  1. Selecione Scope Options
  2. Você observará que as opções 66 e 67 foram usadas

Agora você pode fechar o DHCP.

 

 

Acesse a VM inicializada

 

 

 

Verifique o endereço e a conectividade

 

 

 

Verifique a conectividade

 

Como o roteamento dinâmico já está pronto na rede virtual, temos conectividade com a VM em sua criação.  Verifique isso executando ping na VM do centro de controle.

  1. Clique no ícone do Prompt de Comando na barra de tarefas.

2.     Digite ping 172.16.50.10 e pressione Enter.   (Lembre-se de usar a opção SEND TEXT)

ping 172.16.50.10

Você verá então uma resposta de ping da VM.  Agora a janela de comando pode ser fechada.

 

 

Conclusão

Neste laboratório, concluímos a criação de um novo segmento de rede, então transmitimos as solicitações de DHCP da rede para um servidor DHCP externo.  Ao fazermos isso, pudemos acessar outras opções de inicialização desse servidor DHCP externo e PXE em um SO Linux.

Este laboratório foi concluído, obrigado por concluir o laboratório de transmissão DHCP.

 

Gateway de serviços do NSX Edge - balanceamento de carga lógico


O Gateway de serviços do NSX Edge também pode oferecer a funcionalidade de balanceamento de carga.  Empregar um balanceador de carga é vantajoso porque ele leva a um cenário de utilização de recursos mais ideal. Tal cenário inclui um uso mais eficiente de throughput de rede, tempos de resposta mais curtos para aplicativos, a capacidade de dimensionar e também pode fazer parte de uma estratégia de redundância de serviço.

As solicitações TCP, HTTP ou HTTP podem ter sua carga balanceada com o gateway de serviços do NSX Edge, já que ele oferece balanceamento de carga até a Camada 7 do modelo OSI (Open Systems Interconnection).  

Nesta seção, você vai criar e configurar um novo NSX Edge, modificando um criado anteriormente para executar dois tipos de cenários de balanceamento de carga:


 

Novo Gateway de serviços do Edge - topologia

 

 

 

Faça login no vSphere Web Client

 

Se você ainda não tiver feito login no vSphere Web Client.

Clique no ícone do Google Chrome na Barra de Tarefas. A página inicial deve ser o vSphere Web Client.

  1. Marque a caixa de Use Windows session authentication
  2. Clique no botão Login

 

 

Obtenha espaço na tela ao recolher o painel de tarefas direito.

 

 

 

Abra Networking & Security

 

 

 

Criação de um novo Gateway de serviços do Edge

 

Você vai configurar o serviço de balanceamento de carga de braço único em um novo Gateway de serviços do Edge e, portanto, comece pelo processo de criação do novo Edge, verifique se está na seção Networking & Security do vSphere Web Client.

  1. Clique em NSX Edges
  2. Clique no ícone do sinal de mais verde

 

 

Definição do nome e do tipo

 

Para o seu novo Gateway de serviços do NSX Edge, defina as seguintes opções de configuração

  1. Digite Name: OneArm-LoadBalancer
  2. Clique no botão Next

 

 

Configuração da conta do administrador

 

  1. Defina a senha como: VMware1!VMware1! 
  2. Clique no botão Next

 

 

Definição do tamanho do Edge e do posicionamento da VM

 

Existem quatro tamanhos de appliance diferentes que podem ser escolhidos para o Gateway de serviços do Edge, com as seguintes especificações (número de CPUs, memória):

Selecione um Edge de tamanho compacto para este novo Gateway de serviços do Edge, mas vale a pena lembrar que esses gateways de serviços do Edge também podem ser atualizados para um tamanho maior após a implantação.  Para continuar com a criação do novo Gateway de serviços do Edge:

 

 

Posicionamento do cluster/datastore

 

  1. Selecione Management and Edge Cluster como seu posicionamento de cluster/pool de recursos
  2. Selecione ds-site-a-nfs01 como seu posicionamento de datastore
  3. Selecione um host esx-04-a.corp.local
  4. Coloque-o na pasta Edges
  5. Clique em OK

 

 

Confirmação do tamanho e do posicionamento do Edge

 

Revise suas configurações e se Hands on Labs está selecionado para o posicionamento do datacenter, se Compact foi o tamanho escolhido para este novo Edge e se a caixa de seleção Deploy NSX Edge está marcada. Depois de confirmar essas configurações,

 

 

Posicionamento de uma nova interface de rede no NSX Edge

 

Já que ele é um balanceador de carga de braço único, só precisará de uma interface de rede.  Nesta seção do processo do novo NSX Edge, você dará a esse Edge um novo adaptador de rede e vai configurá-lo.  

 

 

Configuração da nova interface de rede do NSX Edge

 

Este é o local onde você vai configurar a primeira interface de rede para o novo NSX Edge.  

  1. Dê à nova interface o nome WebNetwork
  2. Marque "Internal" como um tipo
  3. Clicando no link Select

 

 

Seleção de rede para nova interface do Edge

 

Essa interface do balanceador de carga de braço único precisará estar na mesma rede que os dois servidores da Web para os quais este Edge fornecerá serviços de balanceamento de carga.

  1. Selecione a guia Logical Switch para exibir todos os switches lógicos
  2. Selecione o botão de opção de "Web-Tier-01 - 5001"
  3. Clique no botão OK

 

 

Configuração do Subnets

 

Em seguida, você vai configurar um endereço IP para esta interface

 

 

Configuração do pop-up Subnets

 

Para adicionar um novo endereço IP a esta interface:

  1. Digite o endereço IP 172.16.10.10
  2. Digite um comprimento de prefixo de sub-rede 24
  3. Clique em OK

 

 

Confirme a lista de interfaces

 

Verifique suas configurações/seleções

 

 

Configuração do gateway padrão

 

Nesta próxima seção de provisionamento, um novo Edge permitirá que você configure o gateway padrão para este Gateway de serviços do Edge.  Para configurar o gatway:

  1. Digite um IP de gateway 172.16.10.1
  2. Clique no botão Next

 

 

Configuração de opções de firewall e de HA

 

Para economizar tempo depois, você pode configurar algumas opções padrão do firewall, bem como ativar um Gateway de serviços do Edge a ser executado em modo de alta disponibilidade (HA).  Nenhum recurso é relevante para esta seção em particular do módulo e, portanto, para continuar, configure o seguinte:

  1. Marque a caixa de seleção Configure Firewall default policy
  2. Selecione Accept as the Default Traffic Policy
  3. Clique em Next

 

 

Revisão da configuração geral

 

 

 

Monitoramento da implantação

 

Para monitorar a implantação do Gateway de serviços do Edge,

Depois disso, você deverá ver o andamento da implantação do Edge.  

 

 

Configure o serviço do balanceador de carga

 

Acima, é representada a topologia eventual que você terá para o serviço do balanceador de carga fornecido pelo gateway de serviços do NSX Edge que você acabou de implantar.  Para começar, na área NSX Edges do plug-in Networking & Security para o vSphere Web Client, clique duas vezes no Edge em cuja página de manutenção você acabou de entrar.

 

 

Configure o recurso do balanceador de carga no balanceador de carga de braço único

 

 

 

Navegação até a página de gerenciamento do novo Edge

 

  1. Clique na subguia Load Balancer
  2. Clique em Global Configuration
  3. Clique no botão Edit para ir para a janela pop-up de configuração global Edit Load Balancer

 

 

Edite a configuração global do balanceador de carga

 

Para ativar o serviço do balanceador de carga,

  1. Marque a caixa de seleção Enable Load Balancer
  2. Clique no botão OK

 

 

Criação de um novo perfil de aplicativo

 

Um perfil de aplicativo é como você define o comportamento de um tipo de tráfego de rede típico.  Esses perfis são então aplicados a um servidor virtual (VIP) que tratará do tráfego com base nos valores especificados no perfil de aplicativo.  

A utilização de perfis pode tornar as tarefas de gerenciamento de tráfego menos propensas a erro e mais eficientes.  

  1. Clique em Application Profiles
  2. Clique no ícone de sinal de mais verde para abrir a janela pop-up New Profile

 

 

Configuração do HTTPS de um novo perfil de aplicativo

 

Para o novo perfil de aplicativo, configure as seguintes opções:

  1. Name: OneArmWeb-01
  2. Type: HTTPS
  3. Marque a caixa de seleção Enable SSL Passthrough Isso permitirá que o HTTPS encerre o servidor de pool.
  4. Clique no botão OK quando terminar

 

 

Modifique o monitor padrão de HTTPS

 

Os monitores garantem que os membros do pool que atendem ao servidor virtual estejam prontos e funcionando. O monitor HTTPS padrão simplesmente faria um "GET" em "/". Modificaremos o monitor padrão para fazermos uma verificação de integridade no URL específico do aplicativo. Isso ajudará a determinar que não só o servidor membro do pool está pronto e funcionando, mas que o aplicativo também está.

  1. Clique em "Service Monitoring"
  2. Clique em "default_https_monitor" e realce-o
  3. Clique no ícone de lápis
  4. {2} Digite "/cgi-bin/hol.cgi" como o URL
  5. Clique em "OK"

 

 

Crie um novo pool

 

Um grupo de servidores de Poolé a entidade que representa os nós para os quais está sendo feito o balanceamento de carga do tráfego.  Você adicionará os dois servidores da Web web-01a e web-02a a um novo pool. Para criar o novo pool, primeiro

  1. Clique em Pools
  2. Clique no ícone de sinal de mais verde para abrir a janela pop-up Edit Pool

 

 

Configuração do novo pool

 

Para as configurações neste novo pool, configure o seguinte:

  1. Name: Web-Tier-Pool-01
  2. Monitors: default_https_monitor
  3. Clique noícone do sinal de mais verde

 

 

Adicione membros ao pool

 

  1. Digite web-01a como o nome
  2. Digite 172.16.10.11 como o endereço IP
  3. Digite 443 como a porta
  4. Digite 443 como a porta do monitor
  5. Clique em OK

 

Repita o processo acima para adicionar mais um membro do pool usando as informações a seguir

 

 

Salve as configurações do pool

 

 

 

Crie um novo servidor virtual

 

Um servidor virtualé a entidade que aceita o tráfego do "front-end" de uma configuração de serviço com balanceamento de carga.  O tráfego do usuário é direcionado para o endereço IP representado pelo servidor virtual e então é redistribuído para nós no "back-end" do balanceador de carga. Para configurar um novo servidor virtual neste Gateway de serviços do Edge, primeiro

  1. Clique em Virtual Servers
  2. Clique no ícone de sinal de mais verde pequeno para abrir a janela pop-up New Virtual Server

 

 

Configure o novo servidor virtual

 

Configure as opções a seguir para o novo servidor virtual:

  1. Chame este servidor virtual de Web-Tier-VIP-01.
  2. Digite o endereço IP 172.16.10.10.
  3. Selecione HTTPS como o protocolo.
  4. Selecione Web-Tier-Pool-01
  5. Clique no botão OK para concluir a criação deste novo servidor virtual

 

 

Teste o acesso ao servidor virtual

 

  1. Clique em uma guia em branco do navegador
  2. Clique no marcador de favoritos para "One-Arm Load Bala..."
  3. Clique em "Advanced"

 

 

Ignore o erro de SSL

 

 

 

Teste o acesso ao servidor virtual

 

Neste momento, você deve obter êxito ao acessar o balanceador de carga de braço único que acabou de configurar!  

 

 

Mostre as estatísticas do pool

 

Para ver o status dos membros individuais do pool:

  1. Clique em Pools
  2. Clique em Show Pool Statistics.
  3. Clique em "pool-1"

Você verá o status atual de todos os membros.

 

 

Aprimoramento de resposta do monitor (verificação de integridade)

 

Para auxiliar na solução de problemas, agora o comando "show ...pool" do NSX 6.2 LoadBalancer gerará uma descrição informativa para falhas de membro do pool. Nós criaremos duas falhas diferentes e examinaremos a resposta usando comandos show no Gateway do Edge LoadBalancer.

  1. Digite "LoadBalancer" no canto superior direito da caixa de pesquisa do vSphere Web Client.
  2. Clique em "OneArm-LoadBalancer-0".

 

 

Abra o console do balanceador de carga

 

  1. Clique na guia Summary
  2. Clique em Launch Remote Console

Observação: O console abrirá em uma nova guia do navegador

 

 

Faça login no OneArm-LoadBalancer-0

 

  1. Faça login usando o usuário: admin e a senha VMware1!VMware1!

 

 

Instruções especiais para comandos CLI

 

Em muitos dos módulos, você deverá inserir comandos da interface de linha de comando (CLI).  Há duas maneiras de enviar comandos CLI para o laboratório.

A primeira é enviar um comando CLI para o console do laboratório:

  1. Realce o comando CLI no manual e use Control+c para copiar para a área de transferência.
  2. Clique no item de menu do console SEND TEXT.
  3. Pressione Control+v para colar da área de transferência para a janela.
  4. Clique no botão SEND.

Na segunda, um arquivo de texto (README.txt) foi colocado na área de trabalho do ambiente, fornecendo a você todas as contas e senhas de usuário para o ambiente.

 

 

Examine o status do pool antes da falha

 

Faça login com o nome de usuário "admin" e a senha "VMware1!VMware1!"

show service loadbalancer pool

Observação: O status do membro do pool web-sv-01a é mostrado como "UP"

 

 

Inicie o PuTTY

 

 

 

SSH para web-sv-01a

 

  1. Role para baixo até Web-01a.corp.local
  2. Selecione Web-01a.corp.local
  3. Clique em Load
  4. Clique em Open

 

 

Desligue o HTTPD

 

Nós desligaremos o HTTPD para simular a primeira condição de falha

service httpd stop

 

 

Console do balanceador de carga

 

show service loadbalancer pool

Como o serviço está inativo, o detalhe da falha mostrará que o cliente não conseguiu estabelecer a sessão SSL.

 

 

Reinicie o serviço HTTPD

Volte para a sessão SSH do Putty para 172.16.10.11

{5} Digite service httpd start

service httpd start

 

 

Desligue web-01a

 

  1. No canto superior direito da caixa de pesquisa do vSphere Web Client, digite "web-01a"
  2. Clique em web-01a

 

 

Desligue web-01a

 

  1. Clique em Actions
  2. Clique em Power
  3. Clique em Power Off

 

 

Console do balanceador de carga

 

 

 

Verifique o status do pool

 

show service loadbalancer pool

Como agora a VM está inativa, o detalhe da falha mostrará que o cliente não conseguiu estabelecer a conexão L4, ao contrário da conexão L7 (SSL) da etapa anterior.

 

 

Ligue web-01a.

 

  1. Clique em Actions
  2. Clique em Power
  3. Clique em Power On

 

Gateway de serviços do NSX Edge - transferência de SSL no balanceamento de carga lógico



 

Transferência de SSL - encerre a sessão SSL no balanceador de carga

 

Para a próxima seção, você será apresentado ao encerramento de SSL no serviço com balanceamento de carga.  Isso permitirá que você encerre a sessão SSL no balanceador de carga.  Isso permitirá que você use HTTP entre o balanceador de carga e os servidores membros do pool.  

Você vai configurar o "edge-1".

  1. Clique no ícone Home
  2. Clique em Networking & Security

 

 

Navegue até a página de gerenciamento do Perimeter-Gateway

 

  1. Clique em NSX Edges
  2. Clique duas vezes em "edge-2 Perimeter-Gateway" para entrar na página de gerenciamento do Edge

 

 

Geração de certificado SSL

 

Primeiro, você precisará percorrer o processo de geração de um certificado autoassinado. Para começar,

  1. Clique no botão Settings
  2. Clique em Certificates
  3. Clique no botão Actions
  4. Selecione Generate CSR para abrir a janela pop-up e criar uma solicitação de assinatura de certificado

 

 

Gere uma solicitação de assinatura de certificado

 

Para os parâmetros desta solicitação de assinatura de certificado:

  1. Para Common Name E Organization Name, digite web-app.corp.local
  2. Digite VMWorld em Organization Unit
  3. Digite San Francisco em Locality
  4. CA em State
  5. Selecione United States [US] em Country
  6. Clique no botão OK para continuar

 

 

Autoassine a solicitação de assinatura de certificado

 

Em seguida, você assinará a solicitação de assinatura de certificado gerada na etapa anterior.

  1. Clique em Actions
  2. Selecione Self Sign Certificate

 

 

 

Defina a vida útil do certificado

 

  1. Digite 365 como o número de dias pelos quais este certificado autoassinado será válido
  2. Clique em OK

 

 

Verifique a criação do certificado autoassinado

 

Você poderá observar uma entrada do tipo Self Signed emitida para web-app.corp.local.

Agora que você tem um certificado pronto para uso para encerramento de SSL, é o momento de atribuir esse certificado a um novo perfil de aplicativo configurado para o encerramento de SSL.

 

 

Crie um novo perfil de aplicativo usado para o encerramento de SSL

 

Há um perfil de aplicativo do balanceador de carga existente para SSL-Passthrough ouvindo no servidor virtual externo.    Você criará um novo perfil de aplicativo para a transferência de SSL.

  1. Clique na guia Load Balancer
  2. Clique em Application Profiles
  3. Clique no sinal de mais verde para criar um novo perfil de aplicativo

 

 

Configuração do novo perfil de aplicativo (encerramento de SSL)

 

Para o novo perfil de aplicativo, você usará as seguintes configurações:

  1. Name: Web-SSL-Term-Profile-01
  2. Type: HTTPS
  3. Marque a caixa de Configure Service Certificate. Isso disponibiliza o certificado criado.
  4. Clique no botão OK

 

 

Topologia para o balanceador de carga em linha

 

Para compreender melhor o que você está realizando, observe a topologia acima. No ControlCenter, você visitará um servidor virtual localizado no endereço IP 192.168.100.4. O Gateway de serviços do Edge naquele endereço tratará do encerramento de SSL e encaminhará pacotes HTTP para web-sv-01a e para web-sv-02a.

Em seguida, você vai configurar um novo Pool.

 

 

Crie um novo pool

 

  1. Clique em Pools
  2. Clique no ícone de mais verde para abrir o novo pop-up Pool

 

 

Configuração do novo pool

 

Para este novo Pool, configure os seguintes parâmetros:

  1. Para o nome, digite Web-Tier-Pool-02.
  2. Clique no ícone de sinal de mais verde para abrir uma janela pop-up onde você selecionará os membros deste pool.

 

 

Adicione web-sv-01 e web-sv-02 como membros do pool

 

  1. Digite web-01a como o nome
  2. Digite 172.16.10.11 como o endereço IP
  3. Digite 80 como a porta
  4. Digite 80 como a porta do monitor
  5. Clique em OK

 

 

Salve as configurações do pool

 

1.     Repita o processo acima para:

2.     Clique em OK

 

 

Modifique o servidor virtual existente para a transferência de SSL

 

  1. Clique em Virtual Servers
  2. Clique no sinal de lápis para editar o servidor virtual existente

 

 

Edite a configuração do servidor virtual

 

Isso permitirá que um cliente externo crie uma sessão SSL a ser encerrada no balanceador de carga e conclua a sessão usando HTTP do balanceador de carga para o servidor de membro do pool.

Edite as configurações do servidor virtual:

  1. Selecione Web-SSLTerm-Profile-01 para o perfil de aplicativo
  2. Digite Web-Tier-SSL-01 como o nome deste servidor virtual
  3. Digite 192.168.100.4 em IP Address
  4. Selecione Web-Tier-Pool-02 em Default Pool
  5. Clique no botão OK quando terminar.  Neste momento, você deverá estar pronto para testar a funcionalidade do balanceador de carga

 

 

Aceite o certificado de segurança

 

Clique em uma guia em branco no navegador.

  1. Clique no marcador "SSL-Offload-Web..."
  2. Clique em "Advanced"

 

 

Prossiga para a tela App

 

 

 

Confirme a funcionalidade do balanceador de carga

 

Você obterá uma página da Web para o aplicativo multicamadas

 

Módulo 5 - Políticas de inserção de serviço e de segurança (30 min).

Service Composer


O Service Composer é uma ferramenta incorporada que define um novo modelo de consumo de serviços de rede e de segurança; ele permite que você aprovisione e atribua políticas de firewall e serviços de segurança a aplicativos em tempo real em uma infraestrutura virtual. As políticas de segurança são atribuídas a grupos de máquinas virtuais e a política é automaticamente aplicada a máquinas virtuais novas à medida que elas são adicionadas ao grupo.

De um ponto de vista prático, o NSX Service Composer é uma interface de configuração que oferece aos administradores uma maneira consistente e centralizada de aprovisionar, de aplicar e de automatizar serviços de segurança de rede automatizados, como antivírus/proteção contra malware, IPS, DLP, firewall rules etc. Esses serviços podem estar disponíveis nativamente no NSX ou aprimorados por soluções de terceiros.

Este módulo mostrará como identificar e isolar dinamicamente uma carga de trabalho com conformidade a PCI (Setor de cartão de pagamento) violada usando o Service Composer e o recurso nativo NSX Data Security.

O módulo tem três seções:

  1. Service Composer
  2. Inserção de serviço
  3. Data Security

Na Seção 1, usaremos o Service Composer para criarmos grupos de segurança e política de segurança. Você aprenderá a criar grupos de segurança usando a inclusão estática e a inclusão dinâmica. Você criará dois grupos de segurança e 2 conjuntos de políticas de segurança anexadas aos grupos de segurança como mostrado no diagrama abaixo. O grupo de segurança "Non-CDE" (Ambiente de dados do titular do cartão - o ambiente de cartão de crédito onde todas as informações do titular do cartão são processadas) será criado por meio da inclusão de uma única VM "win8-01a".  Essa VM representa uma VM que não faz parte do CDE e não deve conter quaisquer dados do titular do cartão. Então, você criará um grupo de segurança chamado "PCI-Violation", cujos membros serão criados usando uma tag de segurança atribuída dinamicamente por rastreamento de segurança de dados. Você também criará duas políticas de segurança, "Non-CDE Security Policy", que permite o acesso irrestrito de e para a VM "win8-01a", e "PCI-Violation Security Policy", para isolamento da VM caso dados confidenciais tenham sido encontrados e para restringir todas as comunicações de e para a VM quando elas violarem a regulamentação de PCI.

Na Seção 2, modificaremos a política de segurança "PCI-Violation Security Policy" para adicionarmos o Data Security como um serviço

Na Seção 3, vamos configurar um padrão de dados e o escopo do rastreamento do Data Security e rastrearemos manualmente a VM "win8-01a". Nós colocamos algumas informações confidenciais na VM. Como resultado do rastreamento, a VM será marcada como "vmware.datasecurity.violating", o que corresponderá ao conjunto de critérios do grupo de segurança "PCI-Violation".

Este módulo demonstra o poder do Service Composer e como ele pode ser aproveitado para alterar a postura de segurança em uma carga de trabalho ou em um grupo de cargas de trabalho e isolá-las sem alterar o local físico ou alterar a infraestrutura sob elas. Os mesmos princípios deste módulo podem ser aproveitados para inserir serviços de segurança avançados de fornecedores terceirizados.

Observação: CDE=Ambiente de dados de cartão

 

 


 

Explicação e diagrama do cenário

 

 

 

Faça login no vCenter

 

Clique no Chrome na Barra de Tarefas.

 

 

Aumente o painel de ação

 

Para aumentar os painéis de ação

  1. Clique em "x"
  2. Clique em "x"
  3. Clique no pino

 

 

Selecione Networking and Security

 

 

 

Crie um grupo de segurança para uma carga de trabalho Não CDE

 

  1. Clique em Service Composer
  2. Clique em Security Groups
  3. Clique no sinal de mais para criar grupos de segurança

 

 

Novo grupo de segurança (inclusão estática)

 

Primeiro, criaremos um grupo de segurança estático que conterá VMs que não fazem parte do ambiente de dados de cartão (CDE)

  1. Digite o nome do grupo de segurança
  2. Opcional: Digite a descrição ou tome nota da finalidade dos grupos.
  3. Clique em Select objects to include

 

 

Selecione o objeto a ser incluído

 

  1. Selecione a lista suspensa Object Type
  2. Role para baixo e selecione Virtual Machine

 

 

Selecione Virtual Machine.

 

  1. Selecione "win8-01a"
  2. Mova-a para Selected Objects
  3. Clique em Finish

 

 

Crie uma política de segurança para Não CDE

 

 

 

Continue a criar a política de segurança

 

Clique para criar uma nova política.

 

 

Continue a criar a política de segurança

 

  1. Digite Política de segurança Não CDE como o nome da política de segurança.
  2. Clique em Firewall Rules.

 

 

Criar regras de firewall

 

 

 

Continue a criar uma regra de firewall

 

  1. Digite o nome da primeira regra de firewall "Allow from Non-CDE to any"
  2. Marque Allow
  3. Marque Log
  4. Clique em "Change" para criar os serviços permitidos

 

 

Permitir o ICMP como um serviço

 

  1. Marque "Select services and service groups"
  2. Digite "ICMP Echo" no campo de filtro e pressione Enter.
  3. Marque "ICMP Echo Reply"
  4. Marque "ICMP Echo"

 

 

Permitir o SMB como um serviço

 

  1. Digite "SMB" no campo de filtro e pressione Enter
  2. Marque "SMB"
  3. Marque "Server Message Block(SMB)"
  4. Clique em OK

 

 

Clique em OK para salvar a configuração

 

Observe que você tem (4 selecionados) na etapa anterior.

 

 

Crie a segunda regra de firewall

 

 

 

Continue a criar a segunda regra de firewall

 

  1. Digite o nome "Allow ANY to Non-CDE"
  2. Marque Allow
  3. Marque Log
  4. Clique em Change

 

 

Selecione Source

 

  1. Marque Any as source
  2. Clique em OK

 

 

Defina os serviços

 

 

 

Permitir o ICMP como um serviço

 

  1. Marque "Select services and service groups"
  2. Digite "ICMP Echo" no campo de filtro e pressione Enter
  3. Marque "ICMP Echo Reply"
  4. Marque "ICMP Echo"

 

 

Permitir o SMB como um serviço

 

  1. Digite "SMB" no campo de filtro e pressione Enter
  2. Marque "SMB"
  3. Marque "Server Message Block(SMB)"
  4. Clique em OK
  5. Clique em OK novamente na próxima tela para salvar a configuração

 

 

Termine a criação de regras de firewall

 

 

 

Aplique a política ao grupo de segurança

 

  1. Clique em Actions
  2. Clique em Apply Policy

 

 

Aplique a política ao grupo de segurança

 

  1. Marque "Non-CDE"
  2. Clique em OK para terminar a aplicação

 

 

Verificação de associação bem-sucedida de política de segurança a grupo de segurança

 

 

 

Volte para Firewall

 

 

 

Continuação da verificação da criação da regra

 

 

 

Verifique o funcionamento das regras de firewall

 

 

 

Instruções especiais para comandos CLI

 

Em muitos dos módulos, você deverá inserir comandos da interface de linha de comando (CLI).  Há duas maneiras de enviar comandos CLI para o laboratório.

A primeira é enviar um comando CLI para o console do laboratório:

  1. Realce o comando CLI no manual e use Control+c para copiar para a área de transferência
  2. Clique no item de menu do console SEND TEXT
  3. Pressione Control+v para colar da área de transferência para a janela
  4. Clique no botão SEND

Na segunda, um arquivo de texto (README.txt) foi colocado na área de trabalho do ambiente, permitindo que você copie e cole com facilidade comandos ou senhas complexos nos utilitários associados (CMD, Putty, console etc). Com frequência, determinados caracteres não estão presentes em teclados usados no mundo.  Este arquivo de texto também é incluído para layouts de teclado que não oferecem esses caracteres.

O arquivo de texto chama-se README.txt e pode ser encontrado na área de trabalho.  

 

 

Verifique se o ICMP e o serviço SMB estão funcionando em win8-01a

 

1.    Digite ping win8-01a

ping win8-01a

2.    Digite net use x: \\win8-01a\c$

net use x: \\win8-01a\c$

3.    Digite dir x:

dir x:

Verifique o "ping" bem-sucedido em win8-01a e a conclusão bem-sucedida do comando "net use". Você também pode ver o conteúdo de diretório mapeado.

 

 

Crie um grupo de segurança para cargas de trabalho que violem a conformidade a PCI

 

 

 

Inicie a criação de um novo grupo de segurança

 

  1. Clique em Security Groups
  2. Clique no sinal de mais verde para criar um novo grupo de segurança

 

 

Crie o novo grupo de segurança para isolamento de cargas de trabalho Não CDE que transporta dados confidenciais

 

  1. Digite o nome "PCI-Violation"
  2. Clique em Next

 

 

Defina a associação dinâmica

 

  1. Clique na lista suspensa
  2. Selecione a opção Security Tag

 

 

Especifique o nome da tag

 

  1. Digite o nome da tag "vmware.datasecurity.violating.PCI"
  2. Clique em Finish.
vmware.datasecurity.violating.PCI

 

 

Crie uma política de segurança para isolar as cargas de trabalho que estejam violando a PCI

 

  1. Clique em Security Policies
  2. Clique no ícone "Create Security Policy"

 

 

Crie uma nova política de segurança

 

  1. Digite o nome "PCI-Violation Security Policy"
  2. Clique em Firewall Rules

 

 

Inicie a criação de regras de firewall

 

 

 

Criar regras de firewall

 

  1. Digite o nome "Block PCI-Violation to ANY"
  2. Marque Block
  3. Marque Log
  4. Clique em OK

 

 

Crie outra regra de firewall

 

 

 

Defina a regra de firewall

 

  1. Digite o nome "Block ANY to PCI-Violation"
  2. Clique em onBlock
  3. Clique em Log
  4. Clique em Change

 

 

Selecione a origem da regra

 

  1. Clique em Any
  2. Clique em OK

 

 

Finalize a criação de regra de firewall

 

 

 

Termine a criação da política de segurança

 

 

 

Verifique a criação da política de segurança

 

  1. Verifique a criação da política de segurança PCI-Violation Security Policy
  2. Verifique se o status de sincronização é Successful

 

 

Aplique a política de segurança ao grupo de segurança

 

  1. Clique em Actions
  2. Selecione Apply Policy

 

 

Aplique a política de segurança

 

  1. Selecione "PCI-Violation"
  2. Clique em OK

 

 

Verifique a criação de regras de firewall na tabela global

 

 

 

Continuação da verificação da criação da regra

 

Nesta seção, não poderemos verificar a aplicação de políticas de segurança porque não há cargas de trabalho até agora que tenham violado os requisitos da PCI.

Na próxima seção, usaremos a inserção de serviço para aprimorar a segurança e vamos inserir o Data Security como um serviço para identificarmos cargas de trabalho que tenham violado as regulamentações da PCI.

 

Inserção de serviço


A plataforma de virtualização de rede NSX L2-L4 fornece recursos de firewall estável para fornecer segmentação nas redes virtuais. Em alguns ambientes, são exigidos recursos mais avançados de segurança de rede. Nessas instâncias, os clientes podem aproveitar o VMware NSX para distribuir, permitir e aplicar serviços avançados de segurança de rede. Nesta seção, vamos inserir o serviço nativo do Data Security, que nos ajudará a identificar dados de cartão de crédito em uma carga de trabalho Não CDE (Ambiente de dados de cartão). O recurso de segurança de dados exige a instalação de VMs Guest Introspection e Data Security Service antes da identificação de informações confidenciais armazenadas em cargas de trabalho virtuais.

Nesta seção, instalaremos a VM do serviço Data Security e adicionaremos o NSX Data Security às implantações de serviço, tornando-o disponível para o uso.  Em seguida, você modificará a política de segurança "Non-CDE Security Policy" existente que foi criada na seção anterior e vai inserir o Data Security como um serviço.


 

Adicione a implantação do Data Security como um serviço

 

Vá para a guia Installation para instalar o Data Security.

  1. Clique em Installation
  2. Clique em Service Deployments
  3. Clique no sinal de mais verde

 

 

Selecione VMWare Data Security

 

  1. Marque a caixa do VMware Data Security
  2. Clique em Next

 

 

Selecionar o cluster

 

  1. Marque a caixa de Compute Cluster B
  2. Clique em Next

 

 

Defina a rede para o gerenciamento

 

  1. Selecione "vds_site_a_Management Network"
  2. Clique em Next
  3. Clique em Finish.

 

 

Confirme o êxito da implantação do Data Security

 

Pode demorar apenas alguns minutos para implantar o Data Security em seu cluster. (aproximadamente 3 minutos)

 

 

Modifique a política de segurança para adicionar o Data Security

 

  1. Clique em "Service Composer"
  2. Clique em "Security Policies"
  3. Selecione a política de segurança "Non-CDE Security Policy"
  4. Clique no ícone mostrado na captura de tela para editar a política de segurança

 

 

Edite a política de segurança e Digite o Data Security como um serviço

 

 

 

Adicione o serviço Guest Introspection

 

 

 

Crie o serviço Guest Introspection

 

  1. Chame o serviço de "Data Security"
  2. Defina Enforce como Yes.
  3. Clique em "OK".

 

 

Verifique a criação do serviço Data Security

 

Isso era todo o necessário para a inserção do serviço Data Security. Na próxima seção, vamos configurar um padrão de dados a ser procurado em uma carga de trabalho, além do escopo do rastreamento

 

Data Security


O VMware NSX Data Security rastreia e analisa dados em suas Máquinas Virtuais e relatará o número de violações detectadas, bem como quais arquivos violaram sua política. Essencialmente, ele oferece visibilidade em todos os dados confidenciais que estejam em seu ambiente. Com base nas violações relatadas pelo NSX Data Security, você pode garantir que os dados confidenciais estejam adequadamente protegidos e avaliar a conformidade com as regulamentações do mundo inteiro. Para começar a usar o NSX Data Security, crie uma política que defina as regulamentações que se aplicam à segurança de dados em sua organização e que especifique as áreas do seu ambiente e os arquivos a serem rastreados. Uma regulamentação é composta de blades de conteúdo, que identificam o conteúdo confidencial a ser detectado. O NSX oferece suporte somente às regulamentações relacionadas a PCI, a PHI e a PII.

Quando você iniciar um rastreamento do Data Security, o NSX analisará os dados nas máquinas virtuais no inventário do seu vSphere e relatará o número de violações detectadas e os arquivos que violaram sua política.Nesta seção, vamos configurar o Data Security, selecionaremos o padrão que queremos identificar na carga de trabalho e faremos um rastreamento para determinarmos todos os dados confidenciais que correspondam ao padrão residente na VM em nosso cenário, que é "win8-01a". Em nosso caso, mostramos a você um exemplo de PCI, mas você pode selecionar uma ampla lista de regulamentações, além de criar seus próprios padrões personalizados usando caracteres curinga.


 

Configure o Data Security

 

  1. Clique em "Data Security"

 

 

Gerencie o Data Security

 

  1. Clique em "Manage"
  2. Clique em "Edit"

 

 

Exiba todos os templates de conformidade

 

Há mais de 90 templates que cobrem Regulamentações, Estados e Países.

 

 

Filtre e selecione o template PCI-DSS

 

  1. Digite "PCI" no campo de filtro e pressione Enter (o campo de filtro faz distinção de maiúsculas e minúsculas)
  2. Marque a caixa
  3. Clique em "Next"

 

 

Termine a seleção da regulamentação e do padrão

 

 

 

Publique a alteração

 

 

 

Inicie o rastreamento do Data Security

 

 

 

Monitore o rastreamento do Data Security.

 

Observe as alterações de status para "In Progress". Os botões "Stop" e "Pause" também são mostrados

 

 

Verifique o andamento do rastreamento de segurança

 

Scan Status mostra "In Progress" e a cor foi alterada para turquesa.

Um rastreamento típico demora cerca de 3 a 7 minutos, dependendo do escopo do rastreamento.

 

 

Conclusão do rastreamento

 

Assim que o rastreamento for concluído, a cor será alterada para púrpura. Observe que, em "View Regulations Violated Report", ele mostra o tipo de violação PCI-DSS e em "View VM's Regulations Report", ele mostra o nome da VM que violou as regulamentações de PCI.

 

 

Conclua o relatório de rastreamento

 

Examine "Regulations Violated" PCI-DSS e Count é 1. Para ver os arquivos que violaram a regulamentação, clique no menu suspenso "View Report"

 

 

Visualize o relatório

 

 

 

Relatório detalhado

 

A seleção da opção "Violating files" oferecerá mais detalhes sobre a violação da carga de trabalho, o nome da VM, as informações sobre o cluster, a localização do arquivo, quando o arquivo foi modificado etc.

 

 

Visualização de tela

 

 

 

A VM que está violando é mostrada no grupo de segurança "PCI-Violation"

 

  1. Clique em "Canvas"
  2. Em "PCI-Violation", clique no ícone como mostrado na captura de tela

Como resultado da violação, a VM "win8-01a" que está violando é mostrada no grupo de segurança "PCI-Violation". Em seguida, verificaremos a imposição de Tag na VM

 

 

Verificação da imposição de tag

 

  1. Passe o mouse sobre o ícone "home"
  2. Clique em "VMs and Templates"

 

 

Verificação da imposição de tag na carga de trabalho

 

  1. Expanda a visualização
  2. Clique em "win8-01a"
  3. Consulte a imposição da tag na seção "Security Tags"

 

 

Verifique o funcionamento das regras de firewall

 

 

 

Verifique o funcionamento da política de segurança aplicada no grupo de segurança PCI-Violation

 

1.   Digite ping win8-01a

ping win8-01a

2.   Digite net use Observe o net use existente para X: ainda existe, mas

net use 

3.   Digite dir x:  Você verá que nada é retornado.

dir x:

Na seção anterior, você conseguia fazer ping na VM win8-01a depois que o ping de violação foi bloqueado. Além disso, há um erro no comando "net use". Isso aconteceu como resultado da imposição de tag dinâmica e do uso da tag para impor a política de segurança, que restringe o acesso à carga de trabalho. Em um cenário real, talvez você queira permitir o acesso administrativo para a carga de trabalho para fazer outras investigações. Para manter a simplicidade, nós restringimos todo o acesso.

As possibilidades em torno do NSX Service Composer são imensas; você pode criar um número quase infinito de associações entre grupos de segurança e de políticas de segurança para automatizar com eficiência a forma como os serviços de segurança serão consumidos no data center definido por software.

 

Módulo 6 - Monitoramento e visibilidade (45 min)

Traceflow


O VMware NSX 6.2 traz novos recursos para auxiliar você no monitoramento da rede virtual, bem como maior visibilidade do pacote para a solução de problemas.  Novidade no 6.2, o Traceflow permite que você siga um pacote em seu caminho da origem até o destino.  O Flow Monitoring permitirá que você monitore fluxos entre a origem e o destino, permitindo a correlação com regras do firewall.  O Activity Monitoring permitirá que você monitore o que os usuários de aplicativos estão usando em seu ambiente virtual.


 

Inicie o navegador da Web

 

 

 

Faça login no vCenter

 

  1. Marque a caixa de Use Windows session authentication
  2. Clique em Login

 

 

Abra Networking & Security

 

 

 

Inicie o Traceflow

 

O Traceflow é um recurso novo do NSX 6.2 e permite a capacidade de injetar pacotes na vNIC sem usar o SO da VM guest e rastrear os pacotes pela rede até a vNIC de destino novamente sem usar o SO de destino.  Isso aprimora seus recursos operacionais e de solução de problemas ajudando você a identificar problemas entre a rede física e a virtual.  Também permite a separação de tarefas, já que agora um engenheiro de rede pode rastrear pacotes entre uma origem e um destino sem a necessidade de acessar o SO das VMs guest.   Dando suporte ao traceflow L2 e L3, você poderá ver onde os pacotes são descartados durante a solução de problemas de conexão. Isso permite que você identifique rapidamente os problemas e aponte uma solução no caminho de dados do NSX.

 

 

Configure um processo do Traceflow - configure a origem

 

  1. Clique em Select
  2. Clique duas vezes em web-01a como nossa VM de origem

 

 

Configure um processo do Trace - selecione a vNIC

 

  1. Clique no adaptador de rede de web-01a.
  2. Clique em OK

 

 

Configure um processo do Traceflow - configure o destino

 

  1. Clique no link "Select" de Destination
  2. Clique no botão de opção de Select Destination vNIC

 

 

Selecione a VM de destino

 

 

 

Configuração do destino (continuação)

 

  1. Realce e selecione a vNIC associada a web-02 e clique em ok
  2. Clique em ok novamente para concluir esta parte da configuração

 

 

Conclua a configuração do Traceflow usando ICMP e Start Trace

 

  1. Expanda a seção Advanced Options
  2. Na lista suspensa Protocol, selecione ICMP
  3. Clique em Trace

 

 

Observe a saída do Traceflow

 

A saída mostra o fluxo de pacotes da vNIC das VMs, por meio do firewall distribuído, na rede física de esx-01a a esx-03a novamente pelo firewall distribuído e com o pacote entregue à vNIC da VM de destino. Observação: Ainda não há regras de firewall configuradas, mas o tráfego da VM flui pelo módulo do firewall, que está aberto neste ponto.  

Você pode usar control-C para parar o tráfego de ping em sua sessão do Putty. Mantenha a janela do Putty aberta ou minimize-a para uso em uma etapa seguinte.

 

 

Crie uma regra de firewall para bloquear o ICMP entre web-01a.corp.local e web-02a.corp.local

 

  1. Navegue até a seção Firewall da seção Network & Security do Web Client e selecione Firewall
  2. Expanda a seção Default Section Layer 3
  3. Clique com o botão direito do mouse na área cinza da área Default Section Layer 3 e selecione Add rule

 

 

Regra de nome de regra de firewall

 

  1. Passe o mouse sobre o campo de nome e clique no lápis
  2. Digite o nome Traceflow Test como o nome da regra
  3. Clique em OK

 

 

Selecione a origem da regra de firewall

 

  1. Em Source, clique no ícone de lápis
  2. Selecione Virtual Machine como o tipo de objeto
  3. Selecione web-01a
  4. Clique na seta para a direita
  5. Clique em OK

 

 

Defina o destino da regra de firewall

 

 

 

A regra de firewall bloqueia o tráfego ICMP

 

  1. Na caixa Filter, digite ICMP para limitar os resultados da seleção
  2. Selecione todos os objetos ICMP, exceto os objetos IPv6.  (Você pode selecionar a primeira e pressionar Shift+Clique na última)
  3. Clique na seta à direita para selecionar esses objetos
  4. Clique em OK

 

 

Especifique a ação de regra de firewall

 

Observação: Talvez seja necessário rolar pela janela do Web Client para ver todas as colunas.

  1. Selecione o ícone de lápis (edição) na coluna Action
  2. Selecione a ação Block. Deixe o restante das configurações como estão
  3. Clique em OK

 

 

Publique as alterações de regra de firewall

 

 

 

Repita as etapas de configuração do Traceflow acima. Inicie um novo rastreamento

 

Você terá de reconfigurar o Traceflow.

  1. Clique no Traceflow
  2. Defina a origem como web-01a
  3. Defina o destino como web-02a
  4. Selecione ICMP como o protocolo
  5. Inicie o rastreamento

 

 

Saída do Traceflow com regra de firewall distribuído em execução

 

 

 

Exclua a regra de firewall que acabou de ser criada

 

  1. Volte para a seção Firewall
  2. Expanda Default Section Layer 3
  3. Selecione o ícone de lápis ao lado do 2 na regra "Traceflow Test" ou clique com o botão direito na área e
  4. Selecione Delete
  5. Clique em OK para excluir a regra número 2
  6. Clique no botão Publish Changes e verifique se a regra foi excluída

 

 

Resumo do Traceflow

O Traceflow é uma ferramenta útil para o rastreamento de um pacote no caminho de dados do NSX para determinar onde os pacotes podem ser descartados e para verificar rapidamente as regras de firewall.  

 

Flow Monitoring


O Flow Monitoring oferece visibilidade no nível da vNIC dos fluxos de tráfego de VM

O Flow Monitoring é uma ferramenta de análise de tráfego que oferece uma visualização detalhada do tráfego de e para máquinas virtuais protegidas. Quando o Flow Monitoring estiver ativado, sua saída definirá quais máquinas estão trocando dados e em que aplicativo. Esses dados incluem o número de sessões e de pacotes transmitidos por sessão. Os detalhes da sessão incluem origens, destinos, aplicativos e portas usados. Os detalhes da sessão podem ser usados para criar regras de permissão ou de bloqueio de firewall.

Você pode visualizar conexões TCP e UDP de e para uma vNIC selecionada. Também é possível excluir fluxos especificando filtros.

O Flow Monitoring pode, então, ser usado como uma ferramenta forense para detectar serviços não autorizados e examinar sessões de saída.


 

Flow Monitor

 

A nossa meta é determinar alguns fluxos de dados interessantes no ambiente do NSX e sermos capazes de agir em relação aos dados coletados.

Neste caso, estamos interessados em conexões HTTP feitas diretamente para os nossos servidores da Web (web-01a e web-02a). Isso acontece porque a maior parte do tráfego para os nossos servidores da Web deve usar SSL e deve passar pelo VIP do balanceador de carga que configuramos no exercício anterior.

A primeira etapa é ativar o Flow Monitoring. Em seguida, simularemos o tráfego HTTP.  

Simule um grande número de conexões HTTP com o Apache Bench fazendo login no console de web-01ae abrindo um Prompt de Comando

 

 

 

Ative o Flow Monitoring

 

  1. Selecione Flow Monitoring
  2. Clique na guia Configuration
  3. Clique em Enable para ativar o Flow Monitoring

 

 

Flow Monitoring

 

Você pode ver que o Flow Collection está ativado.

O IPFix é a versão do IETF's do Netflow proprietário da Cisco. Navegue pela área IPFix para obter suas informações. Não vamos configurar coletores neste laboratório.

  1. Clique em IPFix

 

 

IPFix

 

  1. Depois de revisar as áreas do IPFix, clique em Flow Exclusion.

 

 

Instruções especiais para comandos CLI

 

Em muitos dos módulos, você deverá inserir comandos da interface de linha de comando (CLI).  Há duas maneiras de enviar comandos CLI para o laboratório.

A primeira é enviar um comando CLI para o console do laboratório:

  1. Realce o comando CLI no manual e use Control+c para copiar para a área de transferência
  2. Clique no item de menu do console SEND TEXT
  3. Pressione Control+v para colar da área de transferência para a janela
  4. Clique no botão SEND

Na segunda, um arquivo de texto (README.txt) foi colocado na área de trabalho do ambiente, permitindo que você copie e cole com facilidade comandos ou senhas complexos nos utilitários associados (CMD, Putty, console etc). Com frequência, determinados caracteres não estão presentes em teclados usados no mundo.  Este arquivo de texto também é incluído para layouts de teclado que não oferecem esses caracteres.

O arquivo de texto chama-se README.txt e pode ser encontrado na área de trabalho.  

 

 

Gere o tráfego

 

Nós simularemos um grande número de conexões HTTP executando a ferramenta Apache Bench do Control Center para um de nossos servidores da Web.

Estamos interessados em conexões HTTP feitas diretamente para os nossos servidores da Web, já que eles devem estar recebendo principalmente o tráfego no VIP do balanceador de carga.

Abra um prompt de comando no Control Center selecionando o ícone do prompt de comando na barra de ferramentas inferior (canto inferior esquerdo) e digite o seguinte comando:

 ab -n 12345 -c 10 -w http://172.16.10.11/

ab -n 12345 -c 10 -w http://172.16.10.11/ 

Isso vai gerar tráfego para a nossa VM web-01a.

**Minimize mas mantenha esta janela aberta, pois executaremos o mesmo comando em uma etapa subsequente.

 

 

Observe os fluxos de tráfego

 

Na seção Networking & Security no vSphere Web Client:

  1. Selecione Flow Monitoring
  2. Selecione a guia Dashboard
  3. Selecione a guia Top Flows para ver os principais fluxos de tráfego

**Observe: pode demorar alguns minutos neste ambiente de laboratório aninhado para que os fluxos sejam mostrados no painel. Atualize o navegador em que você está executando o vSphere Web Client depois de alguns minutos se não estiver vendo os novos fluxos no painel ou a guia Details By Service. Talvez também seja necessário atualizar o vSphere Web Client clicando na seta de atualização na parte superior da tela**

 

 

Fluxos HTTP

 

 

 

Details By Service

 

  1. Para obter mais informações sobre o pico de tráfego do protocolo (HTTP) específico, abra a guia Details By Service e selecione Allowed Flows.1. Para sua informação: os detalhes são classificados por serviço em ordem decrescente de Bytes, mas clicar no cabeçalho da coluna reclassificará por essa coluna ou inverterá a classificação.
  2. OBSERVAÇÃO: Se o tráfego HTTP não for mostrado, clique em Refresh no Web Client. Talvez também seja necessário atualizar seu navegador.
  3. Realce a linha de tráfego TCP - HTTP para obter informações mais detalhadas.

Vemos que a maior parte do tráfego para web-01a (172.16.10.11) está sendo gerado pela VM Control Center (192.168.110.10).

O sistema Control Center não deveria estar enviando grandes quantidades de tráfego HTTP para os nossos servidores da Web de "produção".  

Adicionaremos uma regra de firewall para impedir esse fluxo indesejado até que possamos determinar o que está acontecendo e minimizar qualquer ameaça em potencial.

**Observe: pode demorar alguns minutos neste ambiente de laboratório aninhado para que os fluxos sejam mostrados no painel. Atualize o vSphere Web Client depois de alguns minutos se não estiver vendo os novos fluxos no painel ou a guia Details By Service.**

 

 

Adicione uma regra de firewall para bloquear o tráfego indesejado

 

 

 

Rejeite o tráfego

 

Adicione uma regra de firewall para rejeitar tráfego HTTP para web-sv-01a de 192.168.110.10.  Source: 192.168.110.10 e Destination 172.16.10.11 e HTTP Service são preenchidos para você.

  1. Digite "Reject HTTP to web-01a" como o nome
  2. Selecione o botão de opção de Reject traffic
  3. Clique em OK

Para sua informação, você pode visualizar e modificar essa regra no painel Firewall management.  

 

 

Teste a saída da regra no prompt de comando

 

Agora confirme que a regra que acabamos de adicionar é bem-sucedida ao rejeitar o tráfego HTTP para o nosso servidor da Web.

Reabra a janela do Prompt de Comando anteriormente minimizada em uma etapa acima (ou abra uma nova) e execute o comando do Apache Bench novamente:  

(Observe que você pode usar a tecla de seta para cima)

ab -n 12345 -c 10 -w  http://172.16.10.11/

(Lembre-se de usar a opção SEND TEXT)

Agora, isso deve falhar.

Estamos usando Reject em vez de Block neste laboratório porque Reject responde com uma mensagem de erro mostrando que o tráfego foi bloqueado. Usando a opção Block, a solicitação simplesmente atingirá o tempo limite

 

 

O Flow Monitor mostrando o tráfego bloqueado

 

**Observe: pode demorar alguns minutos neste ambiente de laboratório aninhado para que os fluxos sejam mostrados no painel. Atualize o vSphere Web Client depois de alguns minutos se não estiver vendo os novos fluxos no painel ou a guia Details By Service.**

Na seção Flow Monitoring no Web Client, em Network & Security:

  1. Navegue até Details By Service e selecione Blocked Flows
  2. Realce o serviço TCP/HTTP e visualize a saída na seção inferior da tela 

Você verá que a nossa regra de firewall rejeitou com êxito (bloqueou) o tráfego indesejado.

O Flow Monitor é uma ótima maneira de detectar anomalias de tráfego em seu ambiente e de mitigar problemas rapidamente usando o poder do firewall distribuído do NSX.

 

 

Live Flow

 

Você também pode usar o Live Flow para visualizar o tráfego de/para uma máquina em particular e uma vNIC.  

  1. Selecione a guia Live Flow enquanto estiver na seção Flow Monitoring
  2. Clique no link Browse
  3. Selecione web-01a e seu adaptador de rede
  4. Clique em OK

 

 

Inicie o Live Flow

 

 

 

Inicie o Traffic Generator

 

 

 

Saída do Live Flow

 

Você verá a cada poucos segundos o tráfego HTTP bloqueado fluir.  Sinta-se à vontade para experimentar as diversas opções do Flow Monitoring. Observe também que, na janela Command acima, a regra de firewall está bloqueando as tentativas de conexão.  

**Observe: pode demorar alguns minutos neste ambiente de laboratório aninhado para que os fluxos sejam mostrados no painel. Atualize o vSphere Web Client depois de alguns minutos se não estiver vendo os novos fluxos no painel ou a guia Details By Service.**

 

 

Remova a regra de firewall

 

  1. No vSphere Web Client, menu Networking & Security, selecione Firewall
  2. Expanda Default Section Layer 3
  3. Clique no lápis de Rule 2
  4. Selecione Delete

 

 

Confirme a exclusão da regra de firewall.

 

 

 

Publique as alterações.

 

 

 

Resumo de Flow Monitoring

O Flow Monitoring oferece visibilidade no nível da vNIC dos fluxos de tráfego de VM

Usamos a ferramenta de análise de tráfego Flow Monitoring para termos uma visualização detalhada do tráfego de e para a máquina virtual da Web de produção web-01a. Geramos tráfego HTTP para essa VM da nossa VM Control Center. Usamos o Flow Monitoring para detectarmos tráfego anormal e o usamos para o bloqueio rápido do tráfego indesejado e para a proteção da VM criando com facilidade uma regra de firewall distribuído.

 

Activity Monitoring.


O Activity Monitoring oferece visibilidade para sua rede virtual para garantir que as políticas de segurança de sua organização estejam sendo impostas corretamente.

Uma política de segurança pode impor quem tem o acesso permitido a quais aplicativos. O administrador da nuvem pode gerar relatórios do Activity Monitoring para ver se a regra de firewall baseada em IP definida está fazendo o trabalho pretendido. Ao fornecer detalhes no nível do usuário e do aplicativo, o Activity Monitoring traduz políticas de segurança de alto nível para a implementação baseada em rede e em endereço IP de baixo nível.

Valor: Visibilidade detalhada de aplicativos e de atividade em uma máquina virtual monitorada por meio do Guest Introspection Service.

Para aproveitar o Activity Monitoring, você precisará fazer o seguinte:

OBSERVAÇÃO: As etapas acima já foram concluídas em nosso ambiente de laboratório.

Vamos configurar o seguinte:


 

Implante o Guest Introspection - demonstração.

 

O Guest Introspection Services já foi concluído para você neste laboratório no Cluster de computação B.

-----OBSERVAÇÃO: como uma demonstração, estas são as etapas para implantá-lo para sua informação--------

  1. No menu Networking & Security, selecione Installation
  2. Navegue até a guia Service Deployments
  3. Observe que o serviço Guest Introspection já foi implantado no Cluster de computação B
  4. Para ver como o Guest Introspection é implantado, clique no + verde
  5. Marque a caixa de seleção Guest Introspection
  6. Clique em Next

 

 

Implantação do Guest Introspection - selecione os clusters

 

  1. Na etapa de seleção de clusters, marque a caixa de seleção ao lado de Compute Cluster B
  2. Clique em Next

 

 

Implantação do Guest Introspection - selecione o armazenamento e a rede de gerenciamento

 

Aqui, selecionamos o datastore e a rede da VM do Guest Introspection.

 

 

Implantação do Guest Introspection - revise as configurações

 

É aqui onde você revisa suas configurações.

 

 

O VMtools está instalado em VMs de destino.

 

O Activity Monitoring exige a instalação do VMware Tools atualizado nas máquinas virtuais de destino e o VMCI Driver Guest Introspection deve estar instalado.

OBSERVAÇÃO: Isso já foi concluído para você neste ambiente de laboratório pois a máquina virtual do Windows 8 no Cluster de computação B tem o VMware Tools instalado.

 

 

Pesquise win8-01a

 

  1. Digite win8 na caixa de pesquisa do vCenter no canto superior direito
  2. Clique em win8-01a

 

 

Ative a coleta de dados na VM Win-08a

 

  1. Clique na guia Summary
  2. Clique em Edit no painel NSX Activity Monitoring
  3. Clique em Yes para Enable Activity Monitoring

 

 

Navegue até Networking & Security

 

  1. Clique no ícone Home
  2. Clique em Networking & Security

 

 

Configure o Activity Monitoring em um exemplo de cluster

 

Observação: Embora não estejamos configurando isto neste laboratório, para informações adicionais, você também poderá configurar a coleta de dados do Activity Monitoring para clusters e outros grupos ao selecionar objetos a serem incluídos no grupo de segurança "Activity Monitoring Data Collection" no Service Composer.

  1. Navegue até a seção Service Composer no menu Networking & Security
  2. Selecione a guia Security Group
  3. Clique com o botão direito do mouse no grupo de segurança Activity Monitoring.
  4. Selecione Edit Security Group

 

 

Adicione o Cluster de computação A e B ao exemplo de objetos selecionados

 

  1. Clique em Select objects to include
  2. Você verá que a nossa VM win8-01a foi incluída porque ativamos o Activity Monitoring naquela VM específica
  3. Clique na lista suspensa em Object Type. Aqui, você verá os diversos tipos de objeto que podem ser incluídos no grupo de segurança Activity Monitoring. Por exemplo, você pode selecionar um cluster inteiro etc. Explore esta seção para obter informações adicionais.
  4. ** Pressione Cancel quando terminar porque isto é apenas um exemplo para sua informação. Foi mostrado apenas para fins ilustrativos. **

Há políticas de segurança já aplicadas a este grupo de segurança que ativarão a coleta de dados do Activity Monitoring para os objetos membros

 

 

Gere atividade da VM win8-01a

 

  1. Clique no botão Start
  2. Abra uma sessão RDP ou de console

 

 

Conecte-se a win8-01a

 

  1. Digite win8-01a.corp.local
  2. Clique em Connect
win8-01a.corp.local

 

 

Login

 

Use a conta CORP\Administrator.

 

 

Inicie o Internet Explorer

 

 

 

Aceite os avisos de riscos

 

  1. Clique em Continue to this website (not recommended)
  2. Clique em Yes

 

 

Abra a página Multi-Tier App

 

Você verá a saída do nosso aplicativo de 3 camadas

Para fins de demonstração de atividades, ao iniciar esse aplicativo na VM Win8-01a, você estará gerando tráfego de saída que agora podemos monitorar com o Activity Monitor. Você pode usar o Activity Monitor para visualizar todas as atividades de/para uma determinada VM e visualizar quem está gerando tráfego.  Isso ajuda você a determinar se está ocorrendo tráfego indesejado.

  1. Clique no botão de redução para voltar ao desktop

 

 

Inicie o Activity Monitor

 

  1. Na seção Networking & Security do Web Client, selecione Activity Monitoring
  2. Selecione a guia VM Activity
  3. Clique no botão Search
  4. Verifique a saída. Você pode ver que o usuário conectado a win8-01a é o Administrator no domínio corp.local e visualizar a atividade.

 

 

 

Resumo do Activity Monitoring

Nesta seção do nosso laboratório, demonstramos como podemos usar a função Activity Monitoring no NSX para monitorar tráfego específico da VM para determinar se pode haver tipos de tráfego indesejado ocorrendo.  Caso seja encontrado tráfego que não atenda aos nossos requisitos de segurança, poderemos aproveitar o firewall distribuído e o Service Composer para protegermos nossas VMs de atividades inseguras do usuário.

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: HOL-SDC-1603

Version: 20151019-062526