VMware Hands-on Labs - HOL-SDC-1603


练习概述 - HOL-SDC-1603 - VMware NSX 简介

练习指导 1603


以下单元旨在提供参考信息。 如想直接跳到练习部分,请前往步骤 8。

可以从右上角的更多选项下访问目录。

注意:完成本练习需要 90 多分钟。每次最好只完成 2 到 3 个单元。 这些单元彼此独立,您可以从任何单元的开头学起。

借助服务器虚拟化技术,您可以在数据中心内高效、灵活且快速地使用和管理计算及内存资源。这是由于计算和内存资源与物理硬件实现了松耦合。

但是,如果您查看网络和网络服务(例如某数据中心内的防火墙和负载平衡器)的状态,您会发现它们与物理硬件绑定在一起。例如,如果服务器管理员希望调配一个三层应用,必须首先要求网络/安全管理员提供一组隔离的网络以及路由、防火墙和负载平衡器服务。配置物理设备以及启用这些网络和服务要花几天时间。因此,即便是调配一台虚拟机只需单击若干下,服务器管理员也不得不等待好几天甚至几周才能部署好一个应用。

通过采用网络虚拟化技术,就能解决调配网络和网络服务时速度缓慢且灵活性差的问题。采用该项技术时,首先会使网络和网络服务与物理硬件实现松耦合,然后允许您在逻辑空间中重现与之相似的物理网络拓扑。

在练习单元中,我们将演示 NSX 平台如何帮助加快调配三层应用所需的网络和网络服务。下面是各单元的简要说明:

练习单元列表:

练习负责人:


 

针对 CLI 命令的特殊说明

 

许多单元都会要求您输入命令行界面 (CLI) 命令。 向练习发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到练习控制台:

  1. 突出显示练习中的 CLI 命令,然后使用 Ctrl + C 组合键将该命令复制到剪贴板。
  2. 单击控制台上的菜单项“SEND TEXT”(发送文本)。
  3. 按 Ctrl + V 组合键将该命令从剪贴板粘贴到窗口。
  4. 单击“SEND”(发送)按钮。

在第二种方式中,环境桌面上会放置一个文本文件 (README.txt),为您提供该环境的所有用户帐户和密码。

 

 

激活提示或水印

 

首次开始练习时,您可能会注意到桌面上有一个水印,提示 Windows 尚未激活。 

虚拟化的一个主要优势在于,可以在任意平台上移动和运行虚拟机。 本动手练习利用了这一优势,我们可以运行多个数据中心内的练习。 但是,这些数据中心的处理器可能不同,导致需要通过 Internet 进行 Microsoft 激活检查。

请放心,VMware 和本动手练习完全符合 Microsoft 的许可要求。 您正在使用的练习是一个独立的单元,没有对 Internet 的完全访问权限,而 Windows 验证激活正需要这一权限。 如果没有对 Internet 的完全访问权限,此自动化过程会失败,并且显示此水印。

这一表面问题不会影响到您的练习。 

 

 

VMware NSX

VMware NSX 是提供虚拟机网络操作模式的领先的网络虚拟化平台。就像服务器虚拟化能使您灵活地控制在服务器硬件池中运行的许多虚拟机一样,利用 NSX 实现网络虚拟化可提供一个集中的 API,使您能够调配和配置运行在单个物理网络上的众多隔离的逻辑网络。

逻辑网络可以将虚拟机连接和网络服务与物理网络分离,从而使云计算供应商和企业能够灵活地在数据中心内的任何位置安置或迁移虚拟机,同时仍然支持第 2 层/第 3 层连接以及第 4-7 层的网络服务。

 

 

 

 

分离的逻辑网络

 

 

 

免责声明

本次演示可能会涉及当前正在开发的产品功能。

本次新技术演示/概述并不表示 VMware 承诺要在任何正式推出的产品中提供这些功能。

这些功能可能会有变更,因此不得在任何类型的合同、订单或销售协议中予以规定。

技术可行性和市场需求都可能影响最终产品的功能。

在本演示中讨论或展示的任何新技术或功能的价格与包装都尚未确定。

 

第 1 单元 - 逻辑交换(30 分钟)

基于控制器的 VXLAN


组件概述和逻辑交换

在本练习中,您首先将了解 VMware NSX 的主要组件。此单元中涉及的其他重要方面包括:

1) 通过增加 NSX Controller,VXLAN 中已不再要求物理结构必须支持多播协议。我们将演示如何创建一个逻辑交换机,然后将两台虚拟机连接至您创建的逻辑交换机。

2) 然后演示该逻辑交换机如何横跨第三层物理网络,同时仍使两台 Web 服务器之间能够建立第二层连接。

3) 借助 VXLAN 与 VLAN 之间的桥接功能,用户可以提供物理到虚拟网络的通信以及物理到虚拟网络的迁移功能。我们将演示相应的配置过程。

4) 最后,我们将探讨 NSX 平台的可扩展性和高可用性。


 

组件概述

 

在桌面上双击 Google Chrome 图标打开浏览器。

 

 

登录 vSphere Web Client

 

如果您尚未登录 vSphere Web Client,请执行以下操作:

(主页应当是 vSphere Web Client。 如果不是,请单击 vSphere Web Client 任务栏图标打开 Google Chrome。)

  1. 勾选“Use Windows Session Authentication”(使用 Windows 会话身份验证)复选框登录。
  2. 单击“Login”(登录)

 

 

导航到 Web Client 中的“Networking & Security”(网络连接和安全性)部分。

 

  1. 单击以打开“Networking & Security”(网络连接和安全性)部分。

 

 

验证已部署的组件

 

  1. 单击“Installation”(安装)。
  2. 单击“Host Preparation”(主机准备)。 您会看到在我们集群中的主机上安装了数据层组件(也称为网络虚拟化组件)。这些组件包括以下内容: 用于端口安全、VXLAN、分布式防火墙和分布式路由的虚拟化管理程序级内核模块

在安装完网络虚拟化组件后,会在每个集群上配置并启用防火墙和 VXLAN 功能。配置了 NSX Edge 逻辑路由器控制虚拟机后,端口安全模块会在启用分布式路由模块后辅助 VXLAN 功能。

 

 

利用数据路径组件准备好主机后的拓扑

 

在下一步中,选择“Logical Network Preparation”(逻辑网络准备)选项卡,查看与 VXLAN 相关的配置步骤。

VXLAN 配置可以分为三个重要步骤

 

 

查看 VTEP 配置

 

  1. 单击“Logical Network Preparation”(逻辑网络准备)选项卡
  2. 单击“VXLAN Transport”(VXLAN 传输)选项卡
  3. 单击小三角展开集群

如图所示,计算集群中的主机配置为使用不同于管理集群的子网中的 VTEP IP。 (您可能需要解除锁定左侧的窗格或向右滚动才能在屏幕右侧看到 IP 池信息)

 

 

跨集群配置 VTEP 之后的拓扑

 

客户过去面临的一个主要 VXLAN 部署问题是物理网络设备需要多播协议支持。通过提供基于控制器的 VXLAN 实施实例,以及不再需要在物理网络中配置多播功能,此问题已在 NSX 平台中得到解决。这种模式(单播)是默认模式,客户在定义逻辑网络池时不必配置任何多播地址。

 

 

网段 ID 和多播组地址配置

 

借助 NSX for vSphere,不再需要多播地址。 在本练习中我们将使用“Unicast Mode”(单播模式)。

 

 

最后一步是通过“Transport Zone”(传输区域)设置来定义逻辑网络跨度

 

  1. 单击“Transport Zones”(传输区域)
  2. 双击“Local-Transport-Zone-A”(本地传输区域 A) 

 

 

确认集群在本地传输区域之中

 

确认所有 3 个集群都位于“Transport Zone”(传输区域)中。

 

 

定义传输区域后的拓扑

 

传输区域可定义逻辑交换机的跨度。 传输区域可指定哪些集群有权使用特殊逻辑网络。在数据中心内添加新集群时,您可扩大传输区域,进而扩大逻辑网络的跨度。在创建横跨所有计算集群的逻辑交换机后,即会消除以往因 VLAN 边界限制造成的所有移动和放置问题。

了解了各个 NSX 组件和 VXLAN 相关配置后,我们现在将创建一个逻辑网络(也称作逻辑交换机)。

 

 

返回“Networking & Security”(网络连接和安全)菜单

 

 

 

创建新的逻辑交换机

 

  1. 单击左侧的“Logical Switches”(逻辑交换机)
  2. 单击“绿色加号”创建新的逻辑交换机
  3. 为逻辑交换机命名:Prod_Logical_Switch
  4. 单击“Transport Zone”(传输区域)右侧的“Change”(更改)注意:当您选择“Local-Transport-Zone-A”(本地传输区域 A),将自动选择单播模式
  5. 选中“Local-Transport-Zone-A”(本地传输区域 A)单选按钮
  6. 单击“OK”(确定),然后
  7. 再次单击“OK”(确定)

保持选中“Enable IP Discovery”(启用 IP 发现)框,然后单击“OK”(确定)

IP 发现会启用“ARP 抑制”功能。

选择“Enable IP Discovery”(启用 IP 发现)会激活 ARP(地址解析协议)抑制。ARP 用于通过在第 2 层网段上发送广播的方式确定来自 IP 地址的目标 MAC(媒体访问控制)地址。如果带有 NSX Virtual Switch 的 ESXi 主机接收来自虚拟机或以太网请求的 ARP 流量,则主机会向带有 ARP 表的 NSX Controller 发送该请求。如果 NSX Controller 实例在其 ARP 表中已经有信息,则会将该信息返回给负责回复该虚拟机的主机。

 

 

将新逻辑交换机连接到 NSX Edge 服务网关以供外部访问

 

  1. 突出显示刚创建的逻辑交换机
  2. 右键单击 Prod_Logical_Switch 然后选择“Connect NSX Edge”(连接 NSX Edge)。 

 

 

将逻辑交换机连接到 NSX Edge

 

我们会在下一单元更加详细地讲解路由功能,但是,为了将控制中心虚拟机和/或练习中的其他虚拟机与新的逻辑交换机上的虚拟机连接起来,我们需要连接到路由器。正如组件部分提到的那样,可以用两种不同的形式来安装 NSX Edge:分布式路由器和外围网关。 

在该示例中,您将连接逻辑交换机与 NSX Edge 服务网关 (Perimeter-Gateway)。

  1. 单击 Perimeter-Gateway 旁边的单选按钮
  2. 单击“Next”(下一步)

 

 

该 NSX Edge 服务网关有十个接口。您需要将逻辑交换机连接到 vNIC5

 

  1. 然后单击 vnic5 旁的单选按钮
  2. 单击“Next”(下一步)

 

 

命名该接口并为其配置 IP 地址

 

  1. 为该接口命名:Prod_Interface
  2. 选择“Connected”(已连接)
  3. 单击加号配置子网(其他设置原样保留)

 

 

为该接口分配一个 IP

 

  1. “Primary IP Address”(主要 IP 地址)中输入 172.16.40.1(将“Secondary IP Address”(次要 IP 地址)留空)
  2. 输入 24作为“Subnet Prefix Length”(子网前缀长度)
  3. 验证并确保您的设置正确,然后单击“Next”(下一步)

 

 

完成接口编辑过程

 

  1. 单击“Finish”(完成)(您将看到新的逻辑交换机显示在逻辑交换机列表中)

 

 

将 Prod_Logical_Switch 连接到 NSX Edge 服务网关后的拓扑

 

在配置完逻辑交换机并向外部网络提供访问权后,即可将 Web 应用虚拟机连接到该网络。

 

 

将 web-sv-03a 和 web-sv-04a 连接至新建的 Prod_Logical_Switch

 

  1. 单击以突出显示已创建的新逻辑交换机
  2. 右键单击并选择“Add VM”(添加虚拟机)菜单项

 

 

添加虚拟机以连接到新的逻辑交换机

 

  1. 输入相应筛选条件来查找名称以“web”开头的虚拟机
  2. 突出显示 web-03a 和 web-04a 虚拟机
  3. 单击向右箭头,以选择要添加到逻辑交换机的虚拟机
  4. 单击“Next”(下一步)

 

 

将虚拟机的虚拟网卡添加到逻辑交换机

 

  1. 为这两个虚拟机选择虚拟网卡
  2. 单击“Next”(下一步),然后转到下一屏幕

 

 

完成将虚拟机添加到逻辑交换机

 

  1. 单击“Finish”(完成)

 

 

将虚拟机连接到逻辑交换机后的拓扑

 

使用此网络虚拟化平台时,创建一个逻辑交换机并将虚拟机连接到该逻辑交换机是一个简单快速的过程。

与重新配置任何物理设备的过程相比,采用这种方法调配逻辑交换机将更加简单快捷。

接下来,我们将演示逻辑网络上虚拟机之间的通信。我们会通过建立与虚拟机的 SSH 会话来演示如何从外部网络进行访问。位于两个不同集群上的虚拟机之间的通信将演示逻辑交换机如何横跨物理第 3 层的边界,同时仍能够提供第 2 层连接。

 

 

主机和集群视图

 

  1. 单击“Home”(主页)按钮
  2. 从下拉菜单中选择“Hosts and Clusters”(主机和集群)

此步骤将演示新创建的逻辑交换机如何能够横跨第 3 层计算基础架构来分布第 2 层逻辑网段。

 

 

展开集群

 

 

 

打开 Putty

 

  1. 单击“Start”(开始)
  2. 在“Start”(开始)菜单中,单击 Putty 应用图标

您正在从位于 192.168.110.0/24 子网中的控制中心进行连接。此流量将通过 NSX Edge 然后到达 Web 界面。

 

 

打开 SSH 到 web-03a 的会话

 

  1. 选择 web-03a.corp.local
  2. 单击“Open”(打开)

**注意:如果 web-3a 由于某个原因未作为选项显示,您还可以尝试将 IP 地址 172.16.40.13 放入“Host Name”(主机名)框中。 如果您仍无法连接,则可以回顾之前的步骤,然后与练习监管人员联系以获得帮助。

 

 

登录该虚拟机

 

注意:如果您在连接 web-03a 时遇到困难,请回顾之前的步骤并验证是否已正确完成这些步骤。

 

 

对 Web 服务器 web-sv-04a 执行 Ping 操作以显示第 2 层连接情况

 

切记使用“SEND TEXT”(发送文本)选项向控制台发送此命令。(查看练习指导)

键入 ping -c 2 web-04a 以便只发送 2 次 ping,而不是连续不断地执行 ping 操作。 注意:web-04a 的 IP 为 172.16.40.14,您可以根据需要使用 IP 而不是名称执行 ping 操作。

ping -c 2  web-04a 

***请注意,您可能会看到 DUP! 数据包这是由于 VMware 采用的嵌套式练习环境的特性所致。生产环境下不会发生这种情况。

****请勿关闭您的 Putty 会话。将该窗口最小化以待以后使用。

接下来您将要了解 NSX Edge 的另一项功能,该功能可用于将逻辑交换机网络延展到物理 VLAN。无需将流量从逻辑交换机路由到外部网络,您可以将逻辑环境和物理环境桥接到一起。此功能适用于以下常见用例:

 

 

VLAN 至 VXLAN 桥接:下面的拓扑演示如何将逻辑交换机桥接到 VLAN 100

 

对于指定的 VXLAN-VLAN 对,L2 桥接功能是在单个 ESXi 主机的内核中执行的,该主机为配置了 VXLAN-VLAN 对应关系的特定 DLR 托管主动控制虚拟机(如上图所示)

 

 

配置 VXLAN 到 VLAN 的桥接

 

在此嵌套式练习设置中,VLAN 标记功能不可用,因而我们不演示跨物理与逻辑第二层网络之间的通信。我们将演示如何执行配置步骤,但不会保存所作配置。这仅作演示之用。

  1. 将光标悬停在“Home”(主页)图标上
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

选择名为“Distributed-Router”的 NSX Edge 来进行桥接配置

 

  1. 在左侧面板中选择“NSX Edges”
  2. 双击 edge-4 Distributed-Router 以编辑其属性

 

 

将逻辑网络桥接到 VLAN。

 

  1. 单击“Manage”(管理)选项卡
  2. 选择“Bridging”(桥接)
  3. 单击加号

有 3 个选项可完成桥接。 为该桥命名,选择要桥接到物理网络的逻辑交换机,然后选择与您希望桥接到逻辑空间的 VLAN 绑定的分布式虚拟端口组。

4.     此处需单击“Cancel”(取消),因为此练习环境不支持该配置。

该配置会直接向前执行,我们只能选择逻辑交换机和 VLAN。

 

 

NSX Controller 可扩展性/可用性

 

在此部分,您将了解控制器的可扩展性和可用性。NSX 平台中的控制器集群是控制层组件,负责管理虚拟化管理程序中的交换和路由模块。控制器集群包含用于管理特定逻辑交换机的控制器节点。使用控制器集群来管理基于 VXLAN 的逻辑交换机,这样就不再要求物理网络基础架构支持多播。

为了实现高恢复能力和高性能,生产部署必须在多个节点部署控制器集群。NSX Controller 集群表示横向扩展分布式系统,其中每个控制器节点分配有一组角色,这些角色定义了节点可以执行的任务类型。 控制器节点部署为奇数个数。当前的集群最佳实践(也是唯一受支持的配置)是将三个节点设置为“主动-主动-主动”模式的负载共享和冗余。

为了提高 NSX 体系结构的可扩展性特征,系统会利用“切片”机制以确保所有控制器节点在任何给定时间都能保持活动状态。

如果控制器出现故障,数据层(虚拟机)流量不会受到影响。流量会继续。这是因为逻辑网络信息已向下推送到逻辑交换机(数据层)。在没有完整控制层(控制器集群)的情况下,您不能执行添加/移动/更改操作。

  1. 将光标悬停在“Home”(主页)图标上
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

验证现有控制器设置

 

  1. 单击“Installation”(安装)
  2. 单击“Management”(管理)

检查 NSX Controller 节点,您可以看到已经部署了三个控制器。NSX Controller 始终部署为奇数个数,以实现高可用性和可扩展性。

 

 

查看 NSX Controller 虚拟机

 

查看虚拟环境中的 NSX Controller

  1. 将光标悬停在“Home”(主页)图标上
  2. 单击“VMs and Templates”(虚拟机和模板)

 

 

您将看到 3 个 NSX Controller

 

  1. 展开“Data Center Site A”(数据中心站点 A)容器
  2. 展开 NSX Controllers文件夹
  3. 突出显示一个 NSX_Controllers
  4. 选择“Summary”(摘要)选项卡。请注意与此控制器连接的 esx 主机。其他控制器可以位于此练习环境中的其他 esx 主机上。在生产环境中,每个控制器将驻留在集群中带有 DRS 反关联性规则集的不同主机上,以避免单主机故障造成的多个控制器故障。

 

 

单元 1 总结

在本单元中,我们介绍了 NSX 平台的以下主要优点

速度快,您可以快速调配逻辑交换机,快速将它们与虚拟机和外部网络对接。

平台可扩展性,从扩展传输区域和控制器节点的能力即可得到印证。

 

第 2 单元 - 逻辑路由(60 分钟)

路由概述


练习概述

在上一单元中,我们了解到用户只需单击几下即可创建隔离的逻辑交换机/网络。为了在这些隔离的第 2 层逻辑网络之间提供通信,路由支持必不可少。在 NSX 平台中,您可以借助分布式逻辑路由器在逻辑交换机之间路由流量。这种逻辑路由器的一大特点是路由能力分布在虚拟化管理程序中。通过采用这种逻辑路由组件,用户可以在逻辑空间中重现复杂的路由拓扑。例如,在一个连接到三个逻辑交换机的三层应用中,各层之间的路由由此分布式逻辑路由器处理。

在此单元中,您将演示以下内容

1) 当路由由外部物理路由器或 NSX Edge 服务网关处理时,通信流如何流动。

2) 然后我们将在逻辑路由器上配置逻辑接口 (LIF),并在应用程序的应用层 (App) 和数据库层 (DB) 之间启用路由

3) 稍后我们将在分布式逻辑路由器和 NSX Edge 服务网关之间配置动态路由协议。我们将演示如何控制通向外部路由器的内部路由通告。

4) 最终,您将了解 ECMP 等各种路由协议如何用于扩展和保护 Edge 服务网关。

此单元将帮助您了解 NSX 平台支持的一些路由功能,以及在部署三层应用时如何利用这些功能。


 

针对 CLI 命令的特殊说明

 

许多单元都会要求您输入命令行界面 (CLI) 命令。 向练习发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到练习控制台:

  1. 突出显示练习中的 CLI 命令,然后使用 Ctrl + C 组合键将该命令复制到剪贴板。
  2. 单击控制台上的菜单项“SEND TEXT”(发送文本)。
  3. 按 Ctrl + V 组合键将该命令从剪贴板粘贴到窗口。
  4. 单击“SEND”(发送)按钮。

在第二种方式中,我们在环境桌面上放置了一个文本文件 (README.txt),方便您从中复制复杂命令或密码并将其粘贴到关联的实用程序(CMD、Putty、控制台等)中。某些字符并不总是存在于世界各地的所有键盘上。 如果您的键盘上没有这些字符,则可以从该文本文件中查找。

该文本文件是 README.txt,位于桌面上。 

 

动态路由和分布式路由


您将首先了解分布式路由的配置,以及在内核级别执行路由的好处。


 

当前拓扑和数据包流概览

 

在上面的图片中,请注意应用虚拟机和数据库虚拟机均位于同一物理主机上,这是练习中的情形。 在不使用分布式路由的情况下,为了让这两台虚拟机实现通信,在上方我们可以看到用红色箭头步骤指示的通信流。 首先我们看到,流量离开了应用虚拟机,因为数据库虚拟机不在同一个网络子网中,所以物理主机将该流量发送到第 3 层设备。 在此环境中,该设备是驻留在管理集群上的 NSX(外围)Edge。 NSX Edge 然后会将流量发回到它最终到达的数据库虚拟机所在的主机。 

在本练习的末尾,我们将再次查看一个类似的通信流示意图,以了解在配置分布式路由后这种行为发生了何种改变。

 

 

访问 vSphere Web Client

 

 

 

登录 vSphere Web Client

 

使用 Windows 会话身份验证登录 vSphere Web Client:

  1. 勾选“Use Windows session authentication”(使用 Windows 会话身份验证)- 这样便会自动填充凭证 administrator@corp.local/VMware1!
  2. 单击“Login”(登录)

 

 

确认 3 层应用的功能

 

  1. 打开一个新的浏览器选项卡
  2. 单击名为 3-Tier Web App的收藏夹

 

 

单击“Advanced”(高级)

 

 

 

前进到 Web 页面

 

 

 

Web 应用返回数据库信息

 

在开始配置分布式路由之前,我们先来验证三层的 Web 应用是否运行正常。应用的三个层(Web、应用和数据库)位于不同的逻辑交换机上,由 NSX Edge 在各层之间提供路由。

 

 

从外围边缘移除应用和数据库接口

 

正如您在前面的拓扑中看到的,三个逻辑交换机或三个应用层的终点是外围边缘。外围边缘提供这三层之间的路由。我们准备改变该拓扑,首先,从外围边缘移除应用和数据库接口。删除这些接口后,我们将这些移至分布式边缘上。 为了节约部署组件的时间,我们已为您创建了分布式路由器。

  1. 单击“Networking & Security”(网络连接和安全性)按钮

 

 

选择 NSX Edge

 

  1. 单击左侧导航面板中的“NSX Edges”
  2. 双击“edge-2 Perimeter-Gateway”打开此外围网关配置

 

 

从“Settings”(设置)选项卡选择“Interfaces”(接口)以显示当前接口

 

  1. 单击“Manage”(管理)选项卡
  2. 单击“Settings”(设置)
  3. 在“Settings”(设置)导航选项卡下,单击“Interfaces”(接口)

此时您即可看到当前配置的接口及其属性。 相关信息包括:虚拟网卡编号、接口名称、接口是配置为内部接口还是上行链路,以及接口当前状态(即活动状态还是禁用状态)。

 

 

删除应用接口

 

  1. 突出显示“Internal_App”接口,此时“Actions”(操作)栏会亮起,以提供该选定接口的特定选项
  2. 单击红色的“X”以便从外围 Edge 删除该选定接口。 此时将弹出一个警告框,要求我们确认是否删除该接口
  3. 单击“OK”(确定)确认删除

 

 

删除数据库接口

 

  1. 突出显示“Internal_DB”接口,此时“Actions”(操作)栏会亮起,以提供该选定接口的特定选项
  2. 单击红色的“X”以便从外围 Edge 删除该选定接口。 此时将弹出一个警告框,要求我们确认是否删除该接口
  3. 单击“OK”(确定)确认删除

 

 

从外围边缘移除应用和数据库接口之后的拓扑

 

 

 

导航回 NSX 主页

 

现在,您已经从外围边缘移除了应用和数据库接口,需要导航回到边缘设备屏幕来访问分布式边缘。 

 

 

将应用和数据库接口添加到分布式路由器中

 

现在,我们将通过向“Distributed Router”(分布式路由器)中添加应用和数据库接口,来开始配置分布式路由。

 

 

显示分布式路由器上的接口

 

  1. 单击“Manage”(管理)
  2. 单击“Settings”(设置)
  3. 单击“Interfaces”(接口)显示此分布式路由器上目前配置的所有接口。

 

 

将接口添加到分布式路由器

 

  1. 单击绿色加号添加新的接口
  2. 将该接口命名为 App_Interface
  3. 在“Connected To”(连接到)部分上单击“Select”(选择)

 

 

指定网络

 

  1. 选择“App_Tier_01”(它将是此接口要在其上进行通信的网络)单选按钮
  2. 单击“OK”(确定)

 

 

添加子网

 

  1. 单击与“Configure Subnets”(配置子网)对应的绿色加号
  2. 单击“Primary IP Address”(主要 IP 地址)框,然后输入 172.16.20.1作为 IP 地址
  3. 输入 24作为“Subnet Prefix Length”(子网前缀长度)
  4. 然后,单击“OK”(确定)完成添加子网的过程

 

 

确认 App_Interface 已添加

 

系统配置并添加该接口后,将显示主接口页,从中可看到刚刚添加的 App_Interface 接口。 

 

 

添加数据库接口

 

系统添加和配置 DB_Interface 后,将显示主接口窗口,在此我们可以确认两个接口现在都已添加。 

 

 

将应用和数据库接口移到分布式路由器之后的新拓扑

 

在分布式路由器上配置这些接口后,这些接口配置会自动推送到环境中的每个主机上。自此,将由主机的分布式路由 (DR) 内核可加载模块处理应用和数据库接口之间的路由。所以,如果运行在同一个主机上并连接到两个不同子网的两个虚拟机要进行通信,则流量不会采用如前面的通信流示意图中所示的非优化路径。

 

 

使用 3 层 Web 应用返回浏览器选项卡

 

更改之后,您将测试 3 层应用的访问是否会失败。 失败的原因是当我们设置将由分布式路由器处理的路由时,在该应用与 Web 服务器位置之间目前没有路由流量。

注意:如果您在先前的步骤中关闭了该选项卡,请打开一个新的浏览器选项卡,然后单击“3-Tier Web App”(3 层 Web 应用)收藏夹

 

 

验证 3 层应用是否已停止工作

 

  1. 单击“Refresh”(刷新)

该应用将停顿几秒钟直到最终超时,您可能需要选择红色的“x”来关闭浏览器。 如果您确实看到客户数据,它们可能来源于以前的缓存,而您可能需要关闭浏览器再重新打开予以纠正。 

关闭创建的选项卡以测试到 Web 服务器的连接情况。接下来,我们将配置路由来恢复服务。

注意:如果您确实必须重新打开浏览器,则在验证 3 层应用无法工作之后,在浏览器中单击 vSphere Web Client 的书签,并用凭证“root”和密码“VMware1!”再次登录。 然后,单击“Networking and Security”(网络连接和安全性)和“Edge Appliances”(Edge 设备),最后双击“Distributed-Router”(分布式路由器)。

 

 

在分布式路由器上配置动态路由

 

  1. 单击“Routing”(路由)选项卡
  2. 单击“Global Configuration”(全局配置)
  3. 单击“Dynamic Routing Configuration”(动态路由配置)旁边的“Edit”(编辑)按钮

 

 

编辑动态路由配置

 

  1. 选择默认路由器 ID,即上行链路接口的 IP 地址,在本练习中为 Edge_Uplink - 192.168.5.2
  2. 单击“OK”(确定)

注意:路由器 ID 在 OSPF 操作中非常重要,因为它在自控系统中用于指示路由器标识。 它是一个表示为 IP 地址的 32 位标识符,但可以专门用于该特定路由器所关注的子网。在我们的例子中,我们使用的路由器 ID 和边缘设备的上行链路接口 IP 地址相同,这是可以接受的,但并非必需。 屏幕将返回到“Global Configuration”(全局配置)主屏幕,“Publish Changes”(发布变更)绿色对话框再次出现。

 

 

发布变更

 

 

 

配置 OSPF 特定参数

 

我们使用 OSPF 作为动态路由协议。

  1. 在“Routing”(路由)下的导航树中,选择“OSPF”打开 OSPF 主配置页
  2. 单击“OSPF Configuration”(OSPF 配置)右侧的“Edit”(编辑)打开“OSPF Configuration”(OSPF 配置)对话框

 

 

启用 OSPF

 

  1. 单击“Enable OSPF”(启用 OSPF)对话框
  2. 在“Protocol Address”(协议地址)框中输入 192.168.5.3
  3. 在“Forwarding Address”(转发地址)框中输入 192.168.5.2
  4. 验证并确保已选中“Enable Graceful Restart”(启用正常重新启动)对话框
  5. 然后单击“OK”(确定)

注意:对于分布式路由器,“Protocol Address”(协议地址)字段是必填字段,用于将控制流量发送到分布式路由器控制虚拟机。“Forwarding address”(转发地址)用于发送所有常规的数据路径流量。 屏幕将返回到“OSPF”配置主窗口。 此时将显示绿色“Publish Changes”(发布变更)对话框。

注意:在 NSX 中,将控制层与数据层流量分离,这样您便有可能在维护路由实例数据转发功能的同时,重新启动或重新加载控制功能。此功能称为“正常重新启动”或“不停止转发”。

暂且不要发布变更!不要在每一步中都发布变更,即使有配置更改我们也会继续,然后一次性发布所有变更。

 

 

配置区域定义

 

  1. 单击绿色加号,这将打开“New Area Definition”(新建区域定义)对话框
  2. 在“Area ID”(区域 ID)框中输入 10。 您可以将其他对话框保留为默认设置
  3. 单击“OK”(确定)

注意:OSPF 的区域 ID 非常重要。 有多种类型的 OSPF 区域。 请务必检查边缘设备是否位于正确的区域中,以确保与网络中的其余 OSPF 配置进行正确的配合。

 

 

区域到接口映射

 

  1. 在“Area to Interface Mapping”(区域到接口映射)区域下,单击绿色加号以打开“New Area to Interface Mapping”(新建区域到接口映射)对话框
  2. 为接口选择 Edge_Uplink
  3. 为区域选择 10
  4. 单击“OK”(确定)

 

 

发布变更

 

 

 

确认在分布式路由器上启用了 OSPF 路由

 

我们现在可以确认已经在分布式边缘上启用和配置了 OSPF 路由。 确认显示的所有信息正确无误。

 

 

确认路由重新分发

 

 

 

验证路由重新分发

 

 

 

在外围边缘上配置 OSPF 路由

 

现在,我们必须在外围边缘设备上配置动态路由以恢复与测试用 3 层应用的连接。 

 

 

选择外围边缘

 

可以从“NSX Edges”主页面上看到我们配置的 Edge 设备。 

 

 

外围边缘的全局配置

 

  1. 单击“Manage”(管理)导航选项卡
  2. 选择“Routing”(路由)导航按钮进入设备路由配置页
  3. 单击 OSPF

您将注意到,已经为带有 OSPF 的动态路由配置了此 Edge 设备。 已设置此路由配置,以便此 Edge 设备可以与在整个练习中运行的路由器进行通信并向其分发路由流量。 由于已经将此 Edge 设备连接到逻辑分布式路由器,我们现在将继续。 由于这个原因,已经完成所有全局路由器和 OSPF 设置,类似于您刚刚为分布式路由器所做的操作。 

 

 

将传输接口添加到“Area to Interface Mapping”(区域到接口的映射)

 

我们现在只需要导向 OSPF,以通过将与分布式路由器进行通信的接口进行通信。

  1. 单击“Area to Interface Mapping”(区域到接口的映射)部分的绿色加号
  2. 选择“vNIC”(虚拟网卡)下的“Transit_Network”
  3. 选择“Area”(区域)下的 10
  4. 单击“OK”(确定)

 

 

发布变更

 

 

 

检查新拓扑

 

了解现在的拓扑配置之后,您可以明白路由对等是如何在分布式路由器与 NSX 外围边缘设备之间发生的。 您在“Distribute Router”(分布式路由器)下创建的任何网络现在将直接分布到 Edge,在此您可以控制如何将其路由到您的物理网络。

下一节将更加详细地介绍此内容。

 

 

验证与 3 层应用的通信

 

现在,我们一起来验证路由功能是否正常。 现在正在分布式路由器与 Perimeter-Gateway 之间交换路由信息,这种交换操作依次将连接恢复到 Web 应用。 为了验证这一点,我们将再次测试该 Web 应用。

  1. 单击您先前为“Web Application”(Web 应用)打开的选项卡,在该选项卡中,它可能会因先前测试失败而显示“503 Service Temp...”(503 服务暂时...)。
  2. 再次刷新您的浏览器来验证 3 层 Web 应用是否正常运行

注意:这可能需要花一分钟时间进行路由传播,该时间是由于该嵌套式环境所致。

 

 

动态和分布式路由已完成

至此,有关配置动态路由和分布式路由的部分结束。 在下一部分中,我们将介绍如何使用外围边缘实现集中式路由。

 

集中式路由


在此部分中,我们来看看各个元素,了解如何从边缘进行北向路由。 这包括如何在整个系统中控制、更新和传播 OSPF 动态路由。 通过可运行和路由整个练习的虚拟路由设备,我们将验证外围边缘设备上的路由。

特别声明:在桌面上,您将看到一个名为 README.txt 的文件。 它包含本练习中需要的所有 CLI 命令。 如果您无法键入这些命令,则可以将其复制并粘贴到 putty 会话中。 如果您看到带有大括号的编号,例如 {1},它指示您在文本文件中为本单元查找该 CLI 命令。


 

当前练习拓扑

 

此图表为当前练习拓扑,包括到 vPod 路由器的北向链接。 您可以看到,OSPF 将重新分发从 vPod 路由器一直到分布式逻辑路由器的路由。

 

 

查看外围网关中的 OSPF 路由

首先,我们要确认 Web 应用运行正常,然后我们将登录 NSX 外围网关,查看 OSPF 邻居并查看现有的路由分配。 这样将演示外围网关如何获知来自分布式路由器以及正在运行整个练习的 vPod 路由器的路由信息。

 

 

确认 3 层应用的功能

 

 

 

Web 应用返回数据库信息

 

在开始配置分布式路由之前,我们先来验证三层的 Web 应用是否运行正常。应用的三个层(Web、应用和数据库)位于不同的逻辑交换机上,由 NSX Edge 在各层之间提供路由。

Web 服务器将返回一个 Web 页面,其中显示数据库中存储的客户信息。

 

 

转到 vSphere Web Client

 

如果您尚未登录,请转到 vSphere Web Client。

 

 

导航到外围网关虚拟机

 

 

 

启动远程控制台

 

  1. 展开“Datacenter Site A”(数据中心站点 A)“Edges”文件夹
  2. 选择“Perimeter-Gateway”(外围网关)
  3. 选择“Summary”(摘要)选项卡
  4. 单击“Launch Remote Console”(启动远程控制台)

 

 

访问远程控制台

 

当 VMRC 窗口首次打开时,它将显示为黑色。 在窗口内单击,按几次 Enter 键,就能使控制台从屏幕保护程序中显示出来。

***注意***要从窗口中释放光标,请按 Ctrl + Alt 组合键

 

 

登录到外围网关

 

使用以下凭证登录外围网关。 请注意,所有 Edge 设备的密码都是由 12 个字符组成的复杂密码。

 

 

针对 CLI 命令的特殊说明

 

许多单元都会要求您输入命令行界面 (CLI) 命令。 向练习发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到练习控制台:

  1. 突出显示练习中的 CLI 命令,然后使用 Ctrl + C 组合键将该命令复制到剪贴板。
  2. 单击控制台上的菜单项“SEND TEXT”(发送文本)。
  3. 按 Ctrl + V 组合键将该命令从剪贴板粘贴到窗口。
  4. 单击“SEND”(发送)按钮。

在第二种方式中,我们在环境桌面上放置了一个文本文件 (README.txt),方便您从中复制复杂命令或密码并将其粘贴到关联的实用程序(CMD、Putty、控制台等)中。某些字符并不总是存在于世界各地的所有键盘上。 如果您的键盘上没有这些字符,则可以从该文本文件中查找。

该文本文件是 README.txt,位于桌面上。 

 

 

查看 OSPF 邻居

 

我们首先要查看位于练习路由层中心的 Perimeter Edge 的 OSPF 邻居。

注意 - Tab 键补全功能可用于 NSX 中的 Edge 设备。

show ip ospf neighbor

 

 

查看显示的 OSPF 邻居信息

 

现在,我们来看看显示的内容和内容的各项含义。

  1. Neighbor ID 192.168.5.2 - 这是 NSX 环境内逻辑分布式路由器的路由器 ID
  2. Address 192.168.5.3 - 这指的是 Perimeter Edge 上的 OSPF 正在与其进行通信的地址,这也是我们之前在练习中配置的 IP。
  3. Interface vNic_1 - 如果您查看 Edge 接口的内部,将关联到这一信息,显示正在哪个接口上进行对等通信。 这是南向接口。
  4. Neighbor ID 192.168.250.2 - 这是 vPod 路由器(运行整个练习的虚拟路由器)的路由器 ID。 此路由器是控制中心和 vCenter 等其他组件用来进行通信的路由器。
  5. Address 192.168.100.1 - 这指的是 Perimeter Edge 上的 OSPF 正在与其进行通信的地址,此地址也是 vPod 路由器上的接口之一。
  6. Interface vNic_0 - 如果您查看 Edge 接口的内部,将关联到这一信息,显示正在哪个接口上进行对等通信。 这是北向接口。

 

 

查看 Perimeter Edge 上的路由及其来源信息

 

键入“show ip route”

show ip route

 

 

查看路由信息

 

让我们来看看显示的路由内容。

  1. 第一行表示我们的默认路由,该路由源自 vPod 路由器 (192.168.100.1),行首的“O”表示该路由是通过 OSPF 获知的。
  2. 第二行表示的是 Web 层逻辑交换机及其接口。 由于该交换机直连到 Edge,行首还以字母“C”加以标示。
  3. 标有“3”的部分表示 Web 应用的另外两个部分,即应用层和数据库层的网段。 如第 1 行所示,行首有一个“O”,表示它们是通过 OSPF 和分布式路由器 (192.168.5.2)获知的。
  4. 第 4 部分的所有网段都是通过 OSPF 经由 Perimeter Edge 从 vPod 路由器 (192.168.100.1)获知的网络。 所有这些网络都可以从 NSX 虚拟网络内与之连接,反之亦然。

 

 

 

控制 OSPF 路由分配

在某种情况下,您可能只想在虚拟环境内分配 OSPF 路由,而不想将其向外分配到物理环境中。 利用 Edge 接口,我们能够轻松控制路由的分配。

 

 

在 vSphere Web Client 中导航到 NSX

 

**注意**您需要按 Ctrl + Alt 组合键退出外围网关的 VMRC 窗口

 

 

访问外围网关

 

  1. 单击“NSX Edge”
  2. 双击“Edge-2”

 

 

访问 OSPF 路由配置

 

  1. 选择“Manage”(管理)选项卡
  2. 单击“Routing”(路由)
  3. 单击左侧面板中的“OSPF”

 

 

移除区域到北向接口的映射

 

我们现在将 OSPF 区域 10 的映射从上行链路接口中移除。 这样,外围网关和 vPod 路由器将不再是对等路由。

  1. 选择“Uplink”(上行链路)虚拟网卡
  2. 单击红色的“X”删除映射

 

 

确认删除

 

 

 

发布变更

 

 

 

导航到外围网关 VMRC

 

在任务栏中选择“Perimeter-Gateway”(外围网关)

 

 

显示 OSPF 邻居

 

**注意**窗口弹出后,您可能需要在窗口内单击并按 Enter 键,使屏幕显示出来

1. 键入“show ip ospf neighbor”,然后按 Enter 键

show ip ospf neighbor

您现在将看到唯一的邻居是分布式路由器 (192.168.5.2),而 vPod 路由器 (192.168.250.1)已从列表中删除。

 

 

显示路由

 

1. 键入“show ip route”,然后按 Enter 键

show ip route

现在您可以看到,通过 OSPF 获知的唯一路由来自分布式路由器 (192.168.5.2)

 

 

验证 3 层应用是否已停止工作

 

**注意**您需要按 Ctrl + Alt 组合键退出外围网关的 VMRC 窗口

由于控制中心与虚拟网络连接环境之间不存在任何路由,Web 应用会失败。

  1. 单击“HOL - Multi-Tier App”(HOL - 多层应用)选项卡
  2. 单击“Refresh”(刷新)

应用可能需要一点时间才会最终超时关闭,您可能需要选择红色的“x”关闭浏览器。 如果您确实看到客户数据,它们可能来源于以前的缓存,而您可能需要关闭浏览器再重新打开予以纠正。 

 

 

重新建立路由对等

 

现在,让我们将外围网关与 vPod 路由器之间的路由对等恢复原状。

 

 

重新添加区域到接口的映射

 

  1. 单击“Area to Interface Mapping”(区域到接口的映射)下的绿色加号
  2. 选择“vNIC”(虚拟网卡)下的“Uplink”(上行链路)
  3. 选择“Area”(区域)下的 10
  4. 验证“Ignore Interface MTU”(忽略接口 MTU)设置是否已选中 - 注意 - 通常情况下不会设置此项,但由于本练习环境中的一些限制,我们已经设置此项。
  5. 单击“OK”(确定)

 

 

发布变更

 

 

 

导航到外围网关 VMRC

 

在任务栏中选择“Perimeter-Gateway”(外围网关)

 

 

显示 OSPF 邻居

 

**注意**窗口弹出后,您可能需要在窗口内单击并按 Enter 键,使屏幕显示出来

1. 键入“show ip ospf neighbor”,然后按 Enter 键

show ip ospf neighbor

您现在将看到分布式路由器 (192.168.5.2)vPod 路由器 (192.168.250.1)都显示为邻居。

 

 

查看 Perimeter Edge 上的路由及其来源信息

 

键入“show ip route”

show ip route

 

 

显示路由

 

来自“vPod 路由器 (192.168.100.1)”的所有路由现在都重新显示在列表中。

 

 

验证 3 层应用是否运行正常

 

**注意**您需要按 Ctrl + Alt 组合键退出外围网关的 VMRC 窗口

随着路由恢复原状,Web 应用现在也应该重新运行起来。

  1. 单击“HOL - Multi-Tier App”(HOL - 多层应用)选项卡
  2. 单击“Refresh”(刷新)

至此我们已经完成练习的这一部分,接下来将介绍利用 NSX Edge 实现的 ECMP 和高可用性。

 

ECMP 和高可用性


在这个部分,我们会将另一个 Perimeter Edge 添加到网络中,然后使用 ECMP(等价多路径路由)扩展 Edge 的容量并提高其可用性。 借助 NSX,我们能够就地添加 Edge 设备并向 ECMP 启用。


 

在 vSphere Web Client 中访问 NSX

 

  1. 选中“Use Windows session authentication”(使用 Windows 会话身份验证)选项框
  2. 单击“Login”(登录)

 

 

在 vSphere Web Client 中导航到 NSX

 

**注意**您需要按 Ctrl + Alt 组合键退出外围网关的 VMRC 窗口

  1. 单击“Home”(主页)图标
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

添加另一个 Perimeter Gateway Edge

 

首先要添加另一个 Perimeter Edge 设备。

  1. 单击“NSX Edge”
  2. 单击绿色加号

 

 

选择 Edge 并为其命名

 

  1. 对于“Install Type”(安装类型),单击“Edge Services Gateway”(Edge 服务网关)
  2. 在“Name”(名称)下输入“Perimeter-Gateway-2”
  3. 单击“Next”(下一步)

 

 

设置密码

 

  1. 输入密码“VMware1!VMware1!”
  2. 确认密码“VMware1!VMware1!”
  3. 选中“Enable SSH Access”(启用 SSH 访问)
  4. 单击“Next”(下一步)

请注意 - 所有 NSX Edge 的密码都是由 12 个字符组成的复杂密码。

 

 

添加 Edge 设备

 

  1. 在“NSX Appliances”(NSX 设备)下,单击绿色加号,打开“Add NSX Edge Appliance”(添加 NSX Edge 设备)对话框
  2. 对于“Cluster/Resource Pool”(集群/资源池),选择“Management & Edge Cluster”(管理和 Edge 集群)
  3. 对于“Datastore”(数据存储),选择“ds-site-a-nfs01”
  4. 为主机选择 esx-04a.corp.local
  5. 对于“Folder”(文件夹),选择“Edges”
  6. 单击“OK”(确定)

 

 

继续部署

 

 

 

添加上行链路接口

 

 

 

选择连接到的交换机

 

必须为此 Edge(一个分布式端口组)选择北向交换机接口。

  1. 单击“Connected To”(连接到)字段旁边的“Select”(选择)
  2. 单击“Distributed Portgroup”(分布式端口组)
  3. 选择“vds_mgt_Uplink Network”
  4. 单击“OK”(确定)

 

 

命名并添加 IP

 

  1. 在“Name”(名称)下输入“Uplink”(上行链路)
  2. 在“Type”(类型)下选择“Uplink”(上行链路)
  3. 单击绿色加号
  4. 在“Primary IP Address”(主要 IP 地址)下输入“192.168.100.5”
  5. 在“Subnet Prefix Length”(子网前缀长度)下输入“24”
  6. 单击“OK”(确定)

 

 

添加 Edge 传输接口

 

 

 

选择连接到的交换机

 

我们必须为此 Edge(一个基于 VXLAN 的逻辑交换机)选择北向交换机接口。

  1. 单击“Connected To”(连接到)字段旁边的“Select”(选择)
  2. 单击“Logical Switch”(逻辑交换机)
  3. 选择“Edge_Transit_01_5000”
  4. 单击“OK”(确定)

 

 

命名并添加 IP

 

  1. 在“Name”(名称)下输入“Transit_Network”
  2. 在“Type”(类型)下选择“Internal”(内部)
  3. 单击绿色加号
  4. 在“Primary IP Address”(主要 IP 地址)下输入“192.168.5.4”
  5. 在“Subnet Prefix Length”(子网前缀长度)下输入“29”- 注意 - 此处要输入 29,不是 24! 请确保输入正确的数字,否则练习无法正常进行。
  6. 单击“OK”(确定)

 

 

继续部署

 

重要信息!继续操作前,请检查信息以及 IP 地址和子网前缀数字是否正确。

 

 

移除默认网关

 

通过 OSPF 接收到相关信息后,我们将移除默认网关

  1. 取消选中“Configure Default gateway”(配置默认网关)
  2. 单击“Next”(下一步)

 

 

默认防火墙设置

 

  1. 选中“Configure Firewall default policy”(配置防火墙默认策略)
  2. 选择“ACCEPT”(接受)
  3. 单击“Next”(下一步)

 

 

完成部署

 

 

 

Edge 部署

 

部署 Edge 需要几分钟时间。

  1. 您将注意到 Edge-5 的状态下显示“Busy”(忙碌),还显示“1 item installing”(正在安装一个项目)。 这表示部署正在进行。
  2. 您可以单击 Web Client 上的刷新图标加快屏幕上的自动刷新。

在状态显示为“Deployed”(已部署)后,可以转到下一步骤。

 

 

在新 Edge 上配置路由

 

必须先在新的 Edge 设备上配置 OSPF,才能启用 ECMP。

 

 

路由全局配置

 

必须设置基本配置,用以标识与网络连接的路由器

  1. 单击“Manage”(管理)选项卡
  2. 单击“Routing”(路由)选项卡
  3. 在左侧窗格中,选择“Global Configuration”(全局配置)
  4. 单击“Dynamic Routing Configuration”(动态路由配置)旁边的“Edit”(编辑)
  5. 对于“Router ID”(路由器 ID),选择“Uplink - 192.168.100.5”(上行链路 - 192.168.100.5)
  6. 单击“OK”(确定)

 

 

发布变更

 

再次单击该对话框中的“Publish Changes”(发布变更)按钮,将更新后的配置推送到分布式 Edge 设备。

 

 

启用 OSPF

 

  1. 在左侧窗格中,选择“OSPF”
  2. 单击“OSPF Configuration”(OSPF 配置)旁的“Edit”(编辑)
  3. 选中“Enable OSPF”(启用 OSPF)
  4. 单击“OK”(确定)

 

 

添加新区域

 

  1. 单击“Area Definitions”(区域定义)下的绿色加号
  2. 对于“Area ID”(区域 ID),输入“10”
  3. 单击“OK”(确定)

 

 

添加映射到的上行链路接口

 

与练习的上一部分类似,我们需要使用 OSPF 配置区域到上行链路接口的映射。

  1. 单击“Area to Interface Mapping”(区域到接口的映射)下的绿色加号
  2. 对于“vNIC”(虚拟网卡),选择“Uplink”(上行链路)
  3. 对于“Area”(区域),选择“10”
  4. 验证“Ignore Interface MTU”(忽略接口 MTU)设置是否已选中 - 注意 - 通常情况下不会设置此项,但由于本练习环境中的一些限制,我们已经设置此项。
  5. 单击“OK”(确定)

 

 

添加传输接口映射

 

现在,必须执行相同操作,将下行链路接口添加到分布式路由器

  1. 单击“Area to Interface Mapping”(区域到接口的映射)下的绿色加号
  2. 对于“vNIC”(虚拟网卡),选择“Transit_Network”
  3. 对于“Area”(区域),选择“10”
  4. 单击“OK”(确定)

注意 - 请勿选中“Ignore Interface MTU”(忽略接口 MTU),此设置仅用于上行链路!

 

 

发布变更

 

再次单击该对话框中的“Publish Changes”(发布变更)按钮,将更新后的配置推送到分布式 Edge 设备。

 

 

启用 OSPF 路由分发

 

为了能够通过此 Edge 访问路由,现在我们必须启用 OSPF 路由重新分发。

  1. 单击左侧窗格中的“Route Redistribution”(路由重新分发)
  2. 单击与“Route Redistribution Status”(路由重新分发状态)对应的“Edit”(编辑)
  3. 选中“OSPF”
  4. 单击“OK”(确定)

 

 

路由分发表

 

  1. 单击“Route Redistribution Table”(路由重新分发表)下的绿色加号
  2. 选中“Connected”(已连接)
  3. 单击“OK”(确定)

 

 

发布变更

 

再次单击该对话框中的“Publish Changes”(发布变更)按钮,将更新后的配置推送到分布式 Edge 设备。

 

 

启用 ECMP

 

现在,我们将在分布式路由器和外围网关上启用 ECMP

 

 

访问分布式路由器

 

首先要在分布式路由器上启用 ECMP

  1. 单击“NSX Edge”
  2. 双击“Edge-4”

 

 

在 DLR 上启用 ECMP

 

  1. 单击“Manage”(管理)选项卡
  2. 单击“Routing”(路由)选项卡
  3. 在左侧窗格中,单击“Global Configuration”(全局配置)
  4. 单击“ECMP”旁边的“Enable”(启用)按钮
  5. 单击“OK”(确定)

 

 

发布变更

 

 

 

返回至 Edge 设备

 

 

 

访问外围网关 1

 

 

 

在外围网关 1 上启用 ECMP

 

  1. 单击“Manage”(管理)选项卡
  2. 单击“Routing”(路由)选项卡
  3. 在左侧窗格中,单击“Global Configuration”(全局配置)
  4. 单击“ECMP”旁边的“Enable”(启用)按钮
  5. 单击“OK”(确定)

 

 

发布变更

 

 

 

返回至 Edge 设备

 

 

 

访问外围网关 2

 

 

 

在外围网关 2 上启用 ECMP

 

  1. 单击“Manage”(管理)选项卡
  2. 单击“Routing”(路由)选项卡
  3. 在左侧窗格中,单击“Global Configuration”(全局配置)
  4. 单击“ECMP”旁边的“Enable”(启用)按钮
  5. 单击“OK”(确定)

 

 

发布变更

 

 

 

拓扑概述

 

在这一阶段,本练习将探讨拓扑的相关知识。 内容包括新添加的外围网关、已配置的路由以及已启用的 ECMP。

 

 

验证分布式路由器的 ECMP 功能

 

现在,请访问分布式路由器,确保 OSPF 正在进行通信并且 ECMP 运行正常。

 

 

启动远程控制台

 

  1. 单击“Refresh”(刷新)图标
  2. 展开“Datacenter Site A”(数据中心站点 A)“Edges”文件夹
  3. 选择“Distributed-Router-0”
  4. 选择“Summary”(摘要)选项卡
  5. 单击“Launch Remote Console”(启动远程控制台)

 

 

访问远程控制台

 

当 VMRC 窗口首次打开时,它将显示为黑色。 在窗口内单击,按几次 Enter 键,就能使控制台从屏幕保护程序中显示出来。

***注意***要从窗口中释放光标,请按 Ctrl + Alt 组合键

 

 

登录到外围网关

 

使用以下凭证登录分布式路由器

 

 

查看 OSPF 邻居

 

我们首先要查看分布式路由器的 OSPF 邻居。

注意 - Tab 键补全功能可用于 NSX 中的 Edge 设备。

键入 show ip ospf neighbor,然后按 Enter 键。 (请记得使用“SEND TEXT”(发送文本)选项。)

show ip ospf neighbor 

现在可以看到,分布式路由器以前仅有一个对等,如今有两个。 这两个分别是 Perimeter-Gateway-1(192.168.100.3)Perimeter-Gateway-2 (192.168.100.5)。

 

 

查看 Perimeter Edge 上的路由

 

键入 show ip route ,然后按 Enter

show ip route

 

 

查看路由信息

 

所有路由均应如上显示。 您是否注意到,每个网段都能够通过两个不同的网络地址进行路由。 这些地址便是外围网关路由 1 和 2。

 

 

验证 vPod 路由器的 ECMP 功能

 

***注意***要从窗口中释放光标,请按 Ctrl + Alt 组合键

现在,我们将探讨 vPod 路由器的 ECMP,这个路由器会模拟您网络中的物理路由器。

 

 

打开连接到 vPod 路由器的 SSH 会话

 

  1. 将滚动条向下滚动,选择“vPod 路由器”
  2. 单击“Load”(加载)
  3. 单击“Open”(打开)

 

 

登录 vPod 路由器

 

使用以下凭证登录 vPod 路由器

 

 

访问 OSPF 模块

 

我们必须远程访问该模块,该模块可控制 vPod 路由器中的 OSPF。

1.  输入 telnet localhost 2604,然后按 Enter 键。 (请记得使用“SEND TEXT”(发送文本)选项。)

telnet localhost 2604

2.  输入密码 VMware1!

 

 

显示 OSPF 邻居

 

我们必须远程访问该模块,该模块可控制 vPod 路由器中的 OSPF。

1.  输入 show ip ospf neighbor,然后按 Enter

show ip ospf neighbor

 

 

显示路由

 

1. 输入 show ip ospf route,然后按 Enter

show ip ospf route

2. 在此部分,您会注意到 172.16.10.0/24只列出了一个路由器,这是因为该网络直接连接到 Perimeter-Gateway-1 (192.168.100.3),而没有与 Perimeter-Gateway-2 的路由连接

3. 在这个部分,您会注意到 172.16.20.0/24 和 172.16.30.0/24列出了两个路由器,分别是 Perimeter-Gateway 1 (192.168.100.3) 和 Perimeter-Gateway-2 (192.168.100.5)。 这是因为这两个路由器都能够通过分布式路由器与这些网段通信。

这时,连接到分布式路由器的任何流量都能够通过任一启用了 ECMP 的外围网关传出。

在以下步骤中,将此窗口保持为打开状态。

 

 

高可用性和 ECMP

 

借助环境中的 ECMP 和 OSPF,我们能够在特定路径出现故障时动态更改路由。 我们现在将模拟一条路径出现故障以及发生路由重新分配。

 

 

Ping 通 db-01a 数据库服务器

 

键入 ping -t db-01a,然后按 Enter

ping -t db-01a

您将看到从控制中心到“database server (db-01a)”的 ping 操作开始执行。 转到下一步骤时,请保持此窗口为打开状态,继续运行。

 

 

关闭外围网关 2

 

我们将关闭“Perimeter-Gateway-2”模拟某个节点离线

  1. 展开“Datacenter Site A”(数据中心站点 A)“Edges”文件夹
  2. 右键单击“Perimeter-Gateway-2-0”
  3. 单击“Power”(电源)
  4. 单击“Shut Down Guest OS”(关闭客户操作系统)

 

 

确认关机

 

 

 

返回 ping 测试

 

 

 

发生路由变更

 

随着路由因为 Edge 进入离线状态而发生变更,您将看到针对数据库虚拟机的 ping 会离线,然后在路由重新融合时再重新开始连通。

**注意**- 我们在本练习中使用默认路由计时器,以保持练习快速进行。 可以将计时器缩短到 2 秒以加速融合。

 

 

访问 vPod 路由器 PuTTy 会话

 

 

 

查看当前路由

 

  1. 输入 show ip ospf route,然后按 Enter
show ip ospf route 

您将注意到,所有传入 172.16.x.x网络的路由都仅通过 Perimeter-Gateway-1 (192.168.100.3)

在以下步骤中,保持此窗口的打开状态。

 

 

启动外围网关 2

 

  1. 展开“Datacenter Site A”(数据中心站点 A)“Edges”文件夹
  2. 右键单击“Perimeter-Gateway-2-0”
  3. 单击“Power”(电源)
  4. 单击“Power On”(启动)

 

 

验证 Perimeter-Gateway-2 处于在线状态

 

虚拟机启动将需要一到两分钟时间。 当虚拟机的“Summary”(摘要)显示 VMTools 处于在线状态之后,您可以继续执行下一个步骤。 

 

 

访问 vPod 路由器 PuTTy 会话

 

 

 

显示路由

 

让我们来查看自启动网关备份以来,vPod 路由器上的路由状态。

  1. 输入 show ip ospf route,然后按 Enter
show ip ospf route

在第 2 部分,您将看到路由已经恢复到双连接。 

 

 

有关 ECMP 的最后说明

本部分是有关本练习中 ECMP 和 HA 的最后说明。 虽然我们让您关闭“Perimeter-Gateway-2”,但对 “Perimeter-Gateway-1”执行此操作所得的结果是相同的。 

不过您需要注意一点:如果“Perimeter-Gateway-1”处于离线状态,Web 应用会停止运行,因为 Web 服务器虚拟机与该网关直接连接。 您可以通过将 Web 应用移动到分布式路由器来解决此问题,就像您曾经对数据库和应用网络所做的一样。 完成此步骤后,Web 应用会正常运行,而不论是网关 1 还是网关 2 处于离线状态。

注意 - 上述步骤会影响本练习中的其他单元! 这就是此步骤未纳入动手练习的原因。 如果您不打算学习其他单元,则可以尝试执行上述步骤。

 

在继续学习第 3 单元之前 - 请完成以下清理步骤


如果您打算在完成第 2 单元之后继续学习本练习中的任何其他单元,您必须完成以下步骤,否则练习无法正常开展。


 

删除第二个外围 Edge 设备

 

 

 

删除 Edge-5

 

我们需要删除刚刚创建的 Edge

  1. 选择“NSX Edges”
  2. 选择“Edge-5”
  3. 单击红色的“X”进行删除

 

 

确认删除

 

 

 

在 DLR 和 Gateway-1 上禁用 ECMP

 

 

 

在分布式路由器上禁用 ECMP

 

  1. 单击“Manage”(管理)选项卡
  2. 单击“Routing”(路由)选项卡
  3. 在左侧窗格中,单击“Global Configuration”(全局配置)
  4. 单击“ECMP”旁边的“Disable”(禁用)按钮

 

 

发布变更

 

 

 

返回至 Edge 设备

 

 

 

访问外围网关 1

 

 

 

在外围网关 1 上禁用 ECMP

 

  1. 单击“Manage”(管理)选项卡
  2. 单击“Routing”(路由)选项卡
  3. 在左侧窗格中,单击“Global Configuration”(全局配置)
  4. 单击“ECMP”旁边的“Disable”(禁用)按钮

 

 

发布变更

 

 

 

总结

现在我们完成了有关逻辑路由的第 2 单元。

我们希望您对本练习的路由部分感兴趣并发现此部分对您理解 NSX 有帮助。

 

第 3 单元 - 分布式防火墙(60 分钟)

分布式防火墙东西向保护 - 微分段


NSX 分布式防火墙 (DFW)。NSX 的组件之一是分布式防火墙内核模块。 每个 vSphere 主机中都安装了分布式防火墙来支持该功能。分布式防火墙接近线速,能够用于恢复 vSphere 主机平台。它还能够识别用户身份,并提供独特的活动监控工具。

在本单元中,您将了解分布式防火墙如何帮助保护 3 层应用。 我们还会演示如何根据安全组和身份而非基于 IP 地址的规则创建防火墙规则。 基于 IP 地址的规则对移动虚拟机具有硬性限制,因此降低了使用资源池的灵活性。

本单元基于四个构成常见 3 层应用的客户虚拟机讲授。 Web 层有两个 Web 服务器(web-01a 和 web-02a)。稍后会在负载平衡池中看到它们。 Web 层与运行应用软件、充当应用层的名为 app-01a的虚拟机通信。 该应用层虚拟机又与数据库层中运行 MySQL 的名为 db-01a的虚拟机通信。 NSX DFW 防火墙负责在这些层之间实施访问规则。 

本单元的主要内容包括:

分布式防火墙的基本功能

改进了针对防火墙功能的 IP 发现机制

身份防火墙

从桌面启动该模块。 桌面是您在虚拟环境中的控制中心跳转盒。 从此桌面上,您可以访问部署在您的虚拟数据中心内的 vCenter Server Appliance

特别声明:在桌面上,您将看到一个名为 README.txt 的文件。 它包含本练习中需要的所有 CLI 命令。 如果您无法键入这些命令,则可以将其复制并粘贴到 putty 会话中。 如果您看到带有大括号的编号,例如 {1},它指示您在文本文件中为本单元查找该 CLI 命令。


 

启动浏览器和 vSphere Web Client

 

 

 

针对 CLI 命令的特殊说明

 

许多单元都会要求您输入命令行界面 (CLI) 命令。 向练习发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到练习控制台:

  1. 突出显示练习中的 CLI 命令,然后使用 Ctrl + C 组合键将该命令复制到剪贴板。
  2. 单击控制台上的菜单项“SEND TEXT”(发送文本)。
  3. 按 Ctrl + V 组合键将该命令从剪贴板粘贴到窗口。
  4. 单击“SEND”(发送)按钮。

在第二种方式中,环境桌面上会放置一个文本文件 (README.txt),为您提供该环境的所有用户帐户和密码。

 

 

确认 DFW 实施

 

首先,您将了解 NSX 分布式防火墙。

如果您尚未登录 vSphere Web Client,

单击 Google Chrome 的任务栏图标。主页应当是 vSphere Web Client。

 

 

通过折叠右侧任务窗格获得更多屏幕空间

 

 

 

了解新的 NSX 分布式防火墙

 

 

 

打开“Installation”(安装)

 

  1. 首先单击“Installation”(安装)
  2. 单击“Host Preparation”(主机准备)选项卡。 该表将显示虚拟数据中心内的集群

请注意,NSX 是在集群级别安装的,这意味着安装、删除和更新均在集群级别进行。 如果稍后将一个新的物理主机添加到集群中,它将会自动添加 NSX。 这可以提供集群级别的网络连接和安全性,而不用担心虚拟机会迁移到没有 NSX 的主机。

 

 

配置 Web 应用访问权限相关规则

现在,您将配置 3 层应用的分布式防火墙访问权限。 该应用有两个 Web 服务器,分别为应用服务器和数据库服务器。 还有一个负载平衡器服务于这两个 Web 服务器。

 

 

使用 Putty 测试 3 层虚拟机到虚拟机的连接性

 

接下来您将测试网段与构成 3 层应用的客户虚拟机之间的通信和访问。首先打开 web-sv-01a 的控制台,并对其他成员执行 ping 操作。

  1. 桌面任务栏上单击 PuTTY快捷方式
  2. 选择 web-01a.corp.local 
  3. 单击“Open”(打开)

 

 

执行从 web-01a 到其他 3 层成员的 ping 操作

 

首先,输入以下代码以证明 web-01a可以对 web-02a执行 ping 操作:

ping -c 2 172.16.10.12

现在测试 web-01a、app-01a 和 db-01a 之间的连接性:

ping -c 2 172.16.20.11
ping -c 2 172.16.30.11 

(注意:您可能会在“Ping”行末尾看到“DUP!”。 这是由于虚拟练习环境在虚拟路由器中使用嵌套虚拟化和混合模式所致。在生产环境中不会看到这种情况。)

不要关闭该窗口,只将它最小化供以后使用。

 

 

使用 Web 浏览器演示 3 层应用

 

您将使用浏览器访问 3 层应用,以演示 3 个部分之间的功能。 

  1. 打开一个新的浏览器选项卡
  2. 单击“3Tier-Web-App”(3 层 Web 应用)书签

 

 

单击浏览器的“Advanced”(高级)选项卡

 

 

 

前进到 web-app.corp.local(不安全)

 

 

 

使用 Web 浏览器演示 3 层应用(续)

 

您应获得从 Web 层传递到 app-01a虚拟机并最终查询 db-01a虚拟机后返回的数据。

该页面将返回联系了负载平衡器池中哪个 Web 服务器的信息。

 

 

将默认防火墙策略从“Allow”(允许)改为“Block”(阻止)

 

在这一部分,您将把默认的“Allow”(允许)规则改为“Block”(阻止),并演示如何阻止与 3 层应用的通信。 之后,您将创建新的访问规则,以便使用安全的方法重建通信。

 

 

检查默认规则

 

  1. 使用小三角图标展开这一部分。 

您将看到“Rules”(规则)带有绿色对勾。 这表示启用了一条规则。 规则以典型方式建立,即包含源、目标和服务字段等。 服务是协议和端口的组合。 

最后一条默认规则是基本的“any-to-any-allow”(任意-任意-允许)规则。

 

 

了解最后一条默认规则

 

滚动到右侧,将光标放在“Action:Allow”(操作:允许)字段上后,您可以看到这条默认规则的“Action”(操作)选项。 屏幕上将弹出一个铅笔符号,用于查看该字段的选项。

 

 

将最后一条默认规则的操作从“Allow”(允许)改为“Block”(阻止)

 

  1. 选择“Block”(阻止)操作选项并选中
  2. 单击“OK”(确定) 

 

 

发布默认规则变更

 

您会注意到出现了一个绿色栏,告诉您现在需要选择“Publish Changes”(发布变更)或“Revert Changes”(还原变更)或“Save Changes”(保存变更)。 将推送内容发布到 DFW。 “Revert”(恢复)可取消编辑内容。 “Save Changes”(保存变更)可以保存并在日后发布。

 

 

验证并确保规则变更能够阻止通信

 

使用之前的 Putty 和浏览器会话测试该阻止规则

 

 

创建 3 层安全组

 

Service Composer 为在虚拟和云环境中使用网络和安全服务定义了一个新模型。通过简单的可视化以及使用由第三方解决方案内置或增强的服务,策略变得切实可行。可通过导出/导入功能重复这些相同的策略,这将有助于轻松解决环境中出现的问题并使其快速恢复。这些可重复使用的对象之一就是安全组。

 

 

添加安全组

 

  1. 选择安全组。注意:可能已有一些要在另一个练习单元中使用的安全组
  2. 要添加新的安全组,请单击“New Security Group”(新安全组)图标

 

 

新安全组 - Web

 

  1. 将这第一个组命名为 Web-tier
  2. 选择“Next”(下一步)
  3. 单击“Next”(下一步)以转到“Select objects to include”(选择要包括的对象)部分

 

 

选择要包含的对象

 

  1. 向下拉“Object Types”(对象类型)并选择“Virtual Machines”(虚拟机)
  2. 您可以通过在搜索窗口中输入 web来进行筛选
  3. 选择“web-01a”
  4. 单击向右箭头将虚拟机推送到“Selected Objects”(所选对象)窗口
  5. 针对 web-02a 重复以上操作
  6. 单击“Finish”(完成)

注意: 快捷方法是双击左侧的虚拟机,这样只需一个步骤就可将它们移动到右侧。

 

 

验证安全组的创建

 

您已创建一个分配有 2 个虚拟机的名为 Web-tier 的安全组。

 

 

创建 3 层访问规则

 

下一步,您将添加新的规则以允许访问 Web 虚拟机,然后在各层间设置访问权限。 

 

 

为 3 层应用添加新规则部分

 

  1. 在“Firewalling without VMTools (Rule1)“(不使用 VMTools 的防火墙保护(规则 1))行的最右端,单击与文件夹图标看起来相似的“Add Section”(添加部分)图标
  2. 将该部分命名为“3-tier App”
  3. 单击“OK”(确定)

 

 

为新部分添加规则

 

 

 

编辑新规则

 

  1. 单击“小三角”图标以打开该规则
  2. 将鼠标指针悬停在“Name”(名称)字段的右上角,直到出现铅笔图标,然后单击该铅笔图标
  3. 输入“Ext to Web”作为名称
  4. 单击“OK”(确定)

 

 

设置规则的源和目标

 

Source(源):将规则源设置保留为“any”(任意)。

 

 

设置安全组值

 

Destination(目标):

  1. 向下拉“Object Type”(对象类型)并向下滚动直至找到“Security Group”(安全组)
  2. 单击 Web-tier
  3. 单击向上箭头将对象移动到右侧
  4. 单击“OK”(确定)

 

 

设置规则服务

 

再次将鼠标指针悬停在“Service”(服务)字段上并单击铅笔符号。 

  1. 在搜索字段中,您可以搜索服务模式匹配项。 输入“https”并按 Enter 键,以查看与 https 名称相关的所有服务
  2. 选择简单的 HTTPS服务
  3. 单击向上箭头
  4. 注意:重复上面的步骤 1-3,找到并添加 SSH。 (您稍后会在单元中看到我们需要 SSH。)
  5. 单击“OK”(确定)

注意:这将导致出现一个绿色栏,其中包含发布变更或还原变更的选项。

暂且不要发布,因为还有更多规则要创建。

 

 

创建规则以允许 Web 安全组访问应用逻辑交换机

 

现在,您将添加第二条规则,以允许 Web 安全组通过应用端口访问应用安全组。 

  1. 首先打开铅笔符号
  2. 您希望在上一条规则之后处理这条规则,因此从下拉框中选择“Add Below”(加在下面)

 

 

创建第二条规则的名称和源字段

 

  1. 按照之前的操作,将鼠标指针悬停在“Name”(名称)字段上并单击出现的加号。 输入“Web to App”作为名称
  2. 为“Source”(源)字段选择“Web-tier Security Group”(Web 层安全组)

 

 

创建第二条规则的目标字段:选择逻辑网络

 

在第一条规则中,您使用 Web-tier安全组作为目标。 您可以采用同样方式处理其余规则。 但是正如您从下拉列表中看到的,您可以使用多个已定义的 vCenter 对象。 vSphere 与 NSX 安全性集成能够大幅节省时间,其表现之一就是您可以对规则使用现有虚拟数据中心对象,而不必从头开始创建规则。 这里您将使用一个 VXLAN 逻辑交换机作为目标。这将允许您创建一条规则以应用于连接到该网络的任何虚拟机。

  1. 在“Object Type”(对象类型)下拉列表向下滚动,并单击“Logical Switch”(逻辑交换机)选项
  2. 选择 App_Tier-01
  3. 单击向上箭头将对象移动到右侧
  4. 单击“OK”(确定)

 

 

创建第二条规则的服务字段:新建服务

 

该 3 层应用在 Web 层和应用层之间使用 TCP 端口 8443。 您将创建一项名为 MyApp 的新服务作为经过允许的服务。

  1. 单击“New Service”(新建服务)
  2. 输入 MyApp作为新服务的名称
  3. 为“Protocol”(协议)选择“TCP”
  4. 输入 8443作为端口号
  5. 单击“OK”(确定)

 

 

单击“OK”(确定)

 

 

 

创建第三条规则:允许逻辑交换机应用访问逻辑交换机数据库

 

重复以下步骤:自行创建第三条和最后一条规则,用于允许在应用层和数据库层之间进行访问。

  1. 创建最后一条规则,以允许应用逻辑交换机通过 MySQL 的预定义服务与数据库逻辑交换机通信。 将预定义该服务,以便您只需搜索而无需创建它。
  2. 发布变更

 

 

验证并确保新规则允许 3 层应用通信

 

注意:如果您没有已经打开的选项卡,或者您已关闭先前的选项卡, 请使用收藏夹栏中的“Web-App Direct Connect”收藏夹。

 

 

重启 Putty 与 web-01a 的会话

 

  1. 单击左上角的会话图标
  2. 单击“Restart Session”(重启会话)。

 

 

在层之间执行 ping 测试

 

尝试对 3 层应用客户虚拟机执行 ping 操作。

注意:请记得使用“SEND TEXT”(发送文本)选项。

web-02a

ping -c 2 172.16.10.12 

app-01a

ping -c 2 172.16.20.11

db-01a

ping -c 2 172.16.30.11

Ping 操作不被允许,并将失败,因为在您的规则中,不支持各层之间或层成员之间的 ICMP。 不支持各层之间的 ICMP,默认规则现在阻止所有其他通信流量。

 

 

为该 3 层应用添加分布式防火墙后的拓扑

 

此图显示虚拟网卡级别防火墙的相关实施点。 尽管 DFW 是 vSphere ESXi 主机的内核可加载模块 (KLM),但规则是在客户虚拟机的虚拟网卡上实施。 此保护功能在 vMotion 迁移期间随虚拟机移动,以提供完整的全程保护,不允许存在虚拟机易受攻击的机会。

 

基于身份的防火墙保护



 

基于身份的防火墙规则

NSX 套件现在可为您提供使用 Active Directory 组创建规则的能力。 借此您将能够控制用户对其他安全对象(如网络、IP 地址)和其他安全组的访问。

开始之前,请先创建将 NSX 链接到 Active Directory 所需的基于用户的规则。

 

 

了解 NSX 和 Active Directory 之间的关联

 

在左侧向下浏览到“NSX Managers”。 注意,它指示只有一台服务器。 

 

 

选择 NSX Manager

 

 

 

了解域连接器

 

注意,此表中有一个条目。 它是为另一个练习单元所配置的一部分,但您将逐步完成这一过程,因此有机会查看连接是如何创建的。 

该连接要求您提供 AD 信息,以便 vCenter 可以通过访问 AD 了解组信息。 注意:这与将 vCenter 关联到 AD 以获得用户/角色使用权不同。 

  1. 单击“Manage”(管理)选项卡
  2. 单击“Domains”(域)选项卡
  3. 单击“corp.local”
  4. 单击铅笔图标进行编辑

 

 

提供 NetBIOS 名称

 

在名称字段中,输入一个名称。  然后,为域输入 NetBIOS 名称。  

  1. 单击“Next”(下一步)

 

 

提供 LDAP 选项

 

在此完成配置。

  1. 输入 192.168.110.10 作为 AD 服务器的地址
  2. 输入 Administrator 作为用户名
  3. 输入 VMware1! 作为密码
  4. 单击“Next”(下一步)

 

 

安全事件日志访问选项

 

在此输入日志访问的设置。

  1. 取消选中“Use Domain Credentials”(使用域凭证)框
  2. 输入 administrator 和 VMware1! 作为凭证
  3. 单击“Next”(下一步)

 

 

即将完成 - 验证设置

 

现在您需要验证所有设置。

 

 

AD 同步

 

  1. 单击“双齿轮”图标
  2. 单击“单齿轮”图标获取来自 AD 的更新。 您将看到成功状态和当前日期。

请注意,成功完成此操作可能需要 2-3 分钟。

创建已配置且已同步的 AD 连接后,即可准备在自己的安全策略中使用 AD 组。

 

 

基于 AD 组创建安全对象

 

  1. 单击“Networking & Security”(网络连接和安全性)。 这是历史记录按钮

 

 

编辑“Ext to Web”规则

 

您会将一个域组添加到“Ext to Web”规则的“Source”(源)字段中。

  1. 单击“Firewall”(防火墙)
  2. 将鼠标指针悬停在“Source”(源)字段上并单击铅笔符号
  3. 选择“Object Type”(对象类型)下拉列表中的“Security Group”(安全组)
  4. 单击“New Security Group”(新安全组)

 

 

将新安全组命名为“AD Sales”

 

  1. 输入 AD-Sales 作为名称
  2. 单击“Select objects to include”(选择要包含的对象)

 

 

选择要包含的对象

 

  1. 从下拉菜单中选择“Entity”(实体)
  2. 选择“Belongs to”(属于)
  3. 单击打开“Select Entity”(选择实体)窗口
  4. 选择类型“Directory Group”(目录组)
  5. 在搜索框中键入“sales”
  6. 选择“Sales”(销售)
  7. 单击“OK”(确定)
  8. 单击“Finish”(完成)

 

 

单击“Ok on Settings”(设置完成)。

 

 

 

发布变更

 

您现在有一个域组“AD-Sales”被设置为源以访问 Web-tier 组。 在本例中,用户必须是 AD 组“Sales”的成员才能获得对 3 层应用的 Web-tier 组的访问权限。

 

 

测试用户身份规则

 

您可以通过打开域中另一个虚拟机的控制台,并以 Active Directory Sales 组成员的身份登录,来测试基于身份的新规则。 用户 Sales1是 Sales 组的成员。 用户 NonSales不是该组的成员。 您将分别用以上两个身份登录,看一看尝试访问 3 层应用的结果。

  1. 单击主页图标
  2. 单击“VMs and Templates”(虚拟机和模板)

 

 

打开 win8-01a 的控制台

 

展开容器“Hands on Labs”(动手练习)和“Discovered virtual machines”(已发现的虚拟机)以找到 win8-01a

  1. 展开“Misc VMs”(其他虚拟机)
  2. 右键单击“win8-01a”
  3. 单击“Open Console”(打开控制台)

 

 

以 NonSales 的身份登录

 

  1. 发送 Ctrl-Alt-Del。 使用控制台按钮。
  2. 单击向左箭头
  3. 选择“Other user”(其他用户)
  4. 输入用户名 = nonsales
  5. 密码 = VMware1!
  6. 单击箭头

 

 

打开 Internet Explorer

 

从任务栏启动 Internet Explorer。

用户 nonsales 不是 AD-Sales 组的成员,因此会被禁止访问 3 层应用。

 

 

注销 nonsales

 

  1. 单击“Send Ctrl-Alt-Del”(发送 Ctrl-Alt-Del)。
  2. 单击“Sign Out”(注销)

 

 

切换到其他用户

 

  1. 单击“Send Ctrl-Alt-Del”(发送 Ctrl-Alt-Del)。
  2. 单击“Other user”(其他用户)

 

 

以 Sales1 的身份登录

 

  1. 输入 Sales1 作为用户名。密码是 VMware1!
  2. 单击箭头

 

 

使用 IE 并访问 3 层应用

 

从任务栏打开 IE。

  1. 单击所收藏的“HOL - Muti-Tier App”(HOL - 多层应用)
  2. 接受风险

 

 

验证访问权限

 

用户 Sales1 是 AD-Sales 组的成员,因此允许访问 3 层应用。

 

 

准备进行下一个部分的练习

 

单击 vSphere Web Client 上的浏览器选项卡

  1. 单击“Firewall”(防火墙)
  2. 在第一条规则中,将鼠标指针悬停在“Source”(源)字段对象 AD-Sales 上。 单击红色的“X”以删除该对象,并将该字段重置为“any”(任意)

 

 

准备进行下一个部分的练习 - 将默认规则设置为“Allow”(允许)

 

  1. 将“Default Section”(默认部分)中“Default Rule”(默认规则)的“Action”(操作)设置为“Allow”(允许)
  2. 发布变更

这将使下一部分正常运行。

 

改进了针对虚拟机和 SpoofGuard 的 IP 发现机制


NSX 分布式防火墙操作需要发现被指定为源或目标的对象的 IP 地址。 在 NSX 6.2 之前,这项任务由虚拟机内部的 VMtools 来实现。本练习将向您演示如何在没有 VMtools 的情况下发现 IP 地址。

本练习中使用的虚拟机 Linux-01a 没有安装 VMtools,因此如果不使用新功能,NSX 分布式防火墙将无法发现对象的 IP 地址。


 

审查现有的防火墙规则

 

单击 vSphere Web Client 上的浏览器选项卡

  1. 单击主页图标
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

查看规则

 

  1. 单击“Firewall”(防火墙)
  2. 单击水平箭头以展开“Firewalling-without-VMTools”(没有 VMTools 的防火墙保护)部分

 

 

审查用于阻止与 Linux-01a 通信的规则

 

规则“Deny traffic TO Linux-01a”(拒绝通向 Linux-01a 的流量)应能阻止通向 Linux-01a 的任何流量,但在本例中,由于 NSX 分布式防火墙缺少 VMware Tools 因而不知道虚拟机的 IP 地址,因此无法阻止通向 Linux-01a 的流量。

 

 

验证尽管“Reject”(拒绝)规则本应阻止您从桌面对 Linux-01a 执行 ping 操作,但您仍能执行该操作。

 

 

 

对 Linux-01a 执行 ping 操作

 

请记得使用“SEND TEXT”(发送文本)选项。

键入 ping 192.168.100.221,然后按 Return 键

ping 192.168.100.221

您可看到,尽管“Reject”(拒绝)规则本应阻止您对 Linux-01a 执行 ping 操作,但您仍能执行该操作。这是因为 NSX 分布式防火墙没有 Linux-01a 的 IP 地址,因此无法阻止 ping 操作。

 

 

启用通过 ARP 欺骗发现 IP 地址

 

通过单击浏览器的“vSphere Web Client”选项卡返回到 vSphere Web Client。

  1. 单击“SpoofGuard”
  2. 单击“Change”(更改)

 

 

将 IP 检测类型改为“ARP Snooping”(ARP 欺骗)

 

现在,我们将启用通过“ARP Snooping”(ARP 欺骗)发现 IP 地址,而不是通过 VMware Tools,此虚拟机上并未安装这些工具

  1. 选中“ARP Snooping”(ARP 欺骗)
  2. 单击“OK”(确定)

 

 

再次对 Linux-01a 执行 ping 操作,以验证“reject”(拒绝)规则现已发挥作用

 

 

 

再次对 Linux-01a 执行 ping 操作以测试连接性

 

请记得使用“SEND TEXT”(发送文本)选项。

键入 ping 192.168.100.221,然后按 Return 键。 注意: 您可能必须执行两次 ping 操作才能看到实施的规则。

ping 192.168.100.221

请注意,您不再能够对 linux-01a 执行 ping 操作。它被防火墙“rejected”(拒绝),通过响应中的“host unreachable”(无法访问主机)可以证明。

总之,在开始时,即使已有本应阻止 ping 操作的规则,您也能对 Linux-01a 虚拟机执行该操作。这是因为由于缺少 VMtools,NSX 防火墙并不知道该虚拟机的 IP 地址。在通过“ARP Snooping”(ARP 欺骗)(NSX 6.2 的功能)启用 IP 地址获取后,“REJECT”(拒绝)规则已经生效,因此您无法再对 Linux-01a 虚拟机执行 ping 操作。

 

 

验证并确保已经通过 ARP 欺骗发现 Linux-01a

 

  1. 单击“Default Policy”(默认策略)
  2. 在“View”(视图)下拉菜单中选择“Active Virtual NICs”(活动的虚拟网卡)
  3. 输入“lin”然后按 Enter 键,以筛选 Linux-01a

请注意,“Source”(源)字段将为地址 192.168.100.221 指示 ARP。

 

 

禁用规则,然后继续。

 

 

 

了解 SpoofGuard

 

在与 vCenter Server 同步后,NSX Manager 将通过每个虚拟机上的 VMware Tools 收集所有 vCenter 客户虚拟机的 IP 地址。如果某个虚拟机已不安全,则其 IP 地址可能受到欺骗,从而使恶意传输内容能够绕过防火墙策略。

您可以为特定网络创建 SpoofGuard 策略,使您能够授权 VMware Tools 报告的 IP 地址,并根据需要对这些地址进行修改以防止欺骗。SpoofGuard 在本质上将信任通过 VMX 文件和 vSphere SDK 收集到的虚拟机 MAC 地址。由于操作与防火墙规则分开,因此您可以使用 SpoofGuard 来阻止已确定受到欺骗的流量。

SpoofGuard 同时支持 IPv4 和 IPv6 地址。在使用 IPv4 时,SpoofGuard 策略支持分配给虚拟网卡的单个 IP 地址。IPv6 支持分配给虚拟网卡的多个 IP 地址。SpoofGuard 策略可以通过以下模式之一监视和管理您的虚拟机报告的 IP 地址。

此模式允许来自您的虚拟机的所有流量通过,同时构建虚拟网卡到 IP 地址分配表您可以在方便时审查此表,并进行 IP 地址变更。此模式将自动批准虚拟网卡上的所有 ipv4 和 ipv6 地址。

此模式将阻止所有流量,直到您批准每个虚拟网卡到 IP 地址分配为止。

请注意,无论启用的模式如何,SpoofGuard 在本质上都允许 DHCP 请求。不过,如果处于手动检查模式,则流量不会通过,直到批准 DHCP 分配的 IP 地址为止。

SpoofGuard 包括一项由系统生成的默认策略,它适用于未被其他 SpoofGuard 策略涵盖的端口组和逻辑网络。新添加的网络将被自动添加到默认策略,直到您将该网络添加到现有策略或者为其创建新策略为止。

 

 

编辑默认 SpoofGuard 策略

 

  1. 单击“Default Policy”(默认策略)
  2. 单击铅笔图标进行编辑

 

 

启用 SpoofGuard

 

  1. 单击与“Enable”(已启用)对应的单选按钮
  2. 单击“Finish”(完成)

 

 

查找 Linux-01a 虚拟机

 

  1. 在 vCenter“Search”(搜索)字段中输入“linux”
  2. 单击“Linux-01a”

 

 

打开 Linux-01a 上的控制台

 

请注意,此虚拟机上没有安装 VMware Tools

  1. 单击“Summary”(摘要)选项卡
  2. 单击“Console”(控制台),在新浏览器选项卡中打开控制台

 

 

登录 Linux-01a

 

  1. 使用 root 作为用户名登录
  2. 密码:VMware1!

 

 

更改 Linux-01a 的 IP 地址

 

您将更改 IP 地址,以查看 SpoofGuard 实施的安全性。 

  1. 输入 ipswap221-231。 您可以看到,Linux-01a 的当前 IP Address 地址为 192.168.100.221。 此 Linux bash 文件会将 IP Address 地址改为 192.168.100.231。
ipswap221-231

 

 

测试 Linux-01a 的连接性

 

ping -c 2 192.168.100.3

 

 

返回“Networking & Security”(网络连接和安全性)

 

  1. 单击主页图标
  2. 单击“Networking & Security”(网络连接和安全性)
  3. 单击“SpoofGuard”

 

 

Linux-01a 的 IP 地址为 192.168.100.231

 

  1. 将视图改为“Active Virtual NICs Since Last Publish”(自上次发布后的活动虚拟网卡)。
  2. 请注意,现已报告 Linux-01a 的地址为 192.168.100.231,源为“Trusted On First Use-ARP”(首次使用时可信-ARP)(TOFUARP)。

 

 

更改 Linux-01a 的 IP

 

ipswap231-221

您将看到 IP 更改。

 

 

测试连接性

 

ping -c 2 192.168.100.3

现在您将看到 ping 操作失败。

 

 

批准 Linux-01a 的新 IP 地址

 

  1. 将视图更改为“Virtual NICs IP Required Approval”(需要批准的虚拟网卡 IP)。
  2. 在“Filter”(筛选器)字段中输入“lin”,然后按 Enter 键。您将看到通过 ARP 欺骗获得的 IP 地址 192.168.100.221 现在需要批准。
  3. 单击“Approve”(批准)。

 

 

发布 IP 批准

 

 

 

验证并确保 IP 批准允许网络连接

 

ping -c 2 192.168.100.3

现在您将看到您批准的 192.168.100.221 允许网络连接。

 

第 4 单元 - Edge 服务网关(30 分钟)

DHCP 中继


本练习将介绍 NSX 中的 DHCP 中继功能,完成本练习大约需要 15 分钟。

在仅有一个网段的网络中,DHCP 客户端可与其 DHCP 服务器直接通信。 DHCP 服务器还可为多个网络提供 IP 地址,即使某些网络与这些服务器本身不在同一网段也是如此。  但在为服务器本身以外的 IP 范围提供 IP 地址时,它将无法与这些客户端直接通信。 这是因为这些客户端没有可路由的 IP 地址或可以识别的网关。

在这些情况下,为了中继从 DHCP 客户端收到的广播(通过在单播模式下将其发送到 DHCP 服务器),需要 DHCP 中继代理。 DHCP 服务器将基于单播源自的范围来选择 DHCP 范围,将它返回给代理地址,随后将该代理地址广播回原有网络,再到客户端。

本练习中将要介绍的领域:

在本练习中,已经预先设置了以下项目


 

练习拓扑

 

此图展示了将在本练习单元中创建和使用的最终拓扑。

 

 

访问 vSphere Web Client

 

 

 

登录 vSphere Web Client

 

使用 Windows 会话身份验证登录 vSphere Web Client:

  1. 勾选“Use Windows session authentication”(使用 Windows 会话身份验证)- 这样便会自动填充凭证 administrator@corp.local/VMware1!
  2. 单击“Login”(登录)

 

 

通过 Web Client 访问 NSX

 

访问 Web Client 的“Networking & Security”(网络连接和安全性)部分

 

 

创建新的逻辑交换机

 

首先,我们必须创建一个新的逻辑交换机,它将运行我们新的 172.16.50.0/24 网络。

  1. 选择“Logical Switches”(逻辑交换机)
  2. 单击绿色加号以创建新的逻辑交换机

 

 

输入新交换机参数

 

为了配置逻辑交换机,我们必须设置名称和传输区域。

 

 

选择传输区域

 

  1. 选择“Local-Transport-Zone-A”(本地传输区域 A)
  2. 单击“OK”(确定)

 

 

输入新交换机参数

 

  1. Name(名称)= DHCP-Relay - 该名称并不特别重要,但它可以用于帮助识别交换机。
  2. 单击“OK”(确定)

 

 

将逻辑路由器连接到外围网关

 

现在,我们要将逻辑交换机连接到外围网关上的某个接口。 此接口将是 172.16.50.0/24 网络的默认网关,地址为 172.16.50.1。

  1. 单击左侧窗格中的“NSX Edges”
  2. 双击“edge-2”,在本练习中,它是外围网关。

 

 

添加接口

 

本部分会将逻辑交换机连接到外围网关上的某个接口。

  1. 单击“Manage”(管理)
  2. 单击“Settings”(设置)
  3. 单击“Interfaces”(接口)
  4. 选择“vnic9”
  5. 单击铅笔图标以编辑接口

 

 

选择将接口连接到什么逻辑交换机

 

我们要选择将接口连接到什么逻辑交换机

 

 

选择新创建的逻辑交换机

 

选择我们在先前的步骤中刚刚创建的新逻辑交换机。

  1. 选择“DHCP-Relay”逻辑交换机
  2. 单击“OK”(确定)

 

 

添加接口 IP 地址

 

我们将添加一个新的 IP 地址。

 

 

配置接口 IP 地址

 

我们将为新的接口分配一个 IP 地址。

  1. Primary IP Address(主要 IP 地址)= 172.16.50.1
  2. Subnet Prefix Length(子网前缀长度)= 24

 

 

完成接口配置

 

验证所有信息并完成配置

  1. 将名称从 vnic9改为 DHCP Relay,以使其在以后更便于识别。
  2. 单击“OK”(确定)

 

 

配置 DHCP 中继

 

在“Perimeter Gateway”(外围网关)内部,我们必须为 DHCP 中继进行全局配置。

  1. 现在单击“Manage”(管理)选项卡
  2. 单击“DHCP”按钮
  3. 单击左侧窗格中的“Relay”(中继)部分
  4. 单击“Edit”(编辑)

 

 

DHCP 全局配置

 

在 DHCP 的全局配置中,您将选择 DHCP 服务器,用于响应来自您的客户虚拟机的 DHCP 请求。

设置 DHCP 服务器 IP 共有三种方法:

IP 组

IP 组将在 NSX Manager 全局配置中进行配置,并允许您通过创建命名分组来指定 DHCP 服务器子集。

IP 地址

您可通过这种方法手动指定 DHCP 服务器的 IP 地址。

域名

这种方法允许您指定 DNS 名称,它可以是单个 DHCP 服务器地址,也可以是多个 DHCP 服务器地址。

 

出于本练习的目的,我们将使用单个 IP 地址。

  1. IP Addresses(IP 地址)= 192.168.110.10,它是 DHCP 服务器的 IP。
  2. 单击“OK”(确定)

 

 

配置 DHCP 中继代理

 

DHCP 中继代理会将来自逻辑交换机上的网关地址的任何 DHCP 请求中继到已配置好的 DHCP 服务器。 我们必须向我们在 172.16.50.0/24 上创建的逻辑交换机/网段添加一个代理。

 

 

选择外围网关接口

 

选择外围网关上的哪个接口将包含中继代理。

  1. 单击“vNIC”(虚拟网卡)下拉菜单,选择我们先前创建的接口 DHCP Relay Internal
  2. 单击“OK”(确定)

 

 

将设置发布到 DHCP 中继设置

 

现在,我们需要将所有这些变更发布到分布式路由器。

 

 

为 PXE 引导创建空白虚拟机

 

现在,我们将创建一个空白虚拟机,它将从我们作为中继目标的 DHCP 服务器进行 PXE 引导。

  1. 单击主页图标
  2. 单击“Hosts and Clusters”(主机和集群)

 

 

创建新的虚拟机

 

  1. 展开“Datacenter Site A”(数据中心站点 A),然后展开“Compute Cluster A”(计算集群 A)
  2. 右键单击名为 esx-02a.corp.local的主机
  3. 选择“New Virtual Machine”(新建虚拟机)
  4. 然后单击“New Virtual Machine”(新建虚拟机)

 

 

配置新虚拟机

 

  1. 选择“Create a New Virtual Machine”(创建新的虚拟机)
  2. 单击“Next”(下一步)

 

 

命名虚拟机

 

  1. Name(名称)= PXE VM
  2. 单击“Next”(下一步)

 

 

选择主机

 

 

 

选择存储

 

将此选项保留为默认值

 

 

选择兼容性

 

将此选项保留为默认值

 

 

选择客户操作系统

 

将此选项保留为默认值

  1. 选择“Guest OS Family”(客户操作系统系列)下的“Linux”
  2. 选择“Guest OS Version”(客户操作系统版本)下的“Other Linux (64-bit)”(其他 Linux(64 位))
  3. 单击“Next”(下一步)

 

 

指定硬件 - 移除硬盘

 

我们需要删除默认提供的硬盘,因为我们将从网络引导,并不需要硬盘。 这是因为 PXE 映像将完全在 RAM 中引导和运行。

 

 

指定硬件 - 选择网络

 

现在,我们将选择先前创建的基于 VXLAN 的逻辑交换机 DHCP-Relay。 您可以在此处选择它,也可以将虚拟机分配给该逻辑交换机。 此操作可以通过“NSX Logical Switch”(NSX 逻辑交换机)菜单完成,方法是选择逻辑交换机,然后单击“Add”(添加)。

  1. 选择名称中包含词汇 DHCP Relay的网络。 逻辑交换机的完整 UUID 可能会与上面的屏幕截图不同,但仅有一个逻辑交换机的名称中包含 DHCP-Relay
  2. 单击“Next”(下一步)

 

 

完成虚拟机创建

 

 

 

访问新创建的虚拟机

 

接下来,我们将打开此虚拟机的控制台,启动此虚拟机,并观察它从 PXE 映像引导。 它将通过我们先前配置的远程 DHCP 服务器接收此信息。

  1. 从左侧窗格中选择“PXE VM”(PXE 虚拟机)
  2. 选择“Summary”(摘要)选项卡
  3. 单击“Launch Remote Console”(启动远程控制台)

 

 

启动虚拟机

 

启动新虚拟机。

 

 

从远程服务器获取 DHCP

 

您将注意到,虚拟机现在正在尝试引导和获取 DHCP 地址。

 

 

映像引导

 

此屏幕将在虚拟机获得 DHCP 地址后以及从引导服务器下载 PXE 映像时显示。 此屏幕需要大约 1-2 分钟,请转到下一步。

 

 

验证 DHCP 租约

 

在等待虚拟机引导时,我们可以验证 DHCP 租约中使用的地址。

 

 

查看租约

 

我们可以查看虚拟机从 DHCP 服务器获取了什么地址。

  1. 通过单击箭头展开各个部分
  2. 选择“Address Leases”(地址租约)
  3. 您将看到地址 172.16.50.10,它处于我们先前创建的范围内

 

 

查看选项

 

我们还可以查看用于引导 PXE 映像的范围选项

  1. 选择“Scope Options”(范围选项)
  2. 您将注意到,使用的选项是 66 和 67

现在,您可以关闭 DHCP。

 

 

访问已引导的虚拟机

 

 

 

验证地址和连接性

 

 

 

验证连接性

 

由于已经通过虚拟网络部署了动态路由,因此我们可在虚拟机创建后连接到该虚拟机。 您可以从控制中心对其执行 ping 操作来验证这一点。

  1. 单击任务栏中的命令提示符图标

2.     键入 ping 172.16.50.10,然后按 Enter 键。  (请记得使用“SEND TEXT”(发送文本)选项。)

ping 172.16.50.10

随后您将看到来自该虚拟机的 ping 响应。 现在,您可以关闭此命令窗口。

 

 

总结

在本练习中,我们完成了创建新网段,然后将来自该网络的 DHCP 请求中继到外部 DHCP 服务器。 在进行这些操作时,我们可以访问此外部 DHCP 服务器的其他引导选项,以及 Linux 操作系统内部的 PXE。

本练习现已结束,感谢您完成 DHCP 中继练习。

 

NSX Edge 服务网关 - 逻辑负载平衡


NSX Edge 服务网关还可提供负载平衡功能。 采用负载平衡器可带来多种优势,因为这可实现更为理想的资源利用场景。这样的场景包括更高效地使用网络吞吐量、更快地响应应用、扩展能力,以及成为服务冗余性策略的一部分。

NSX Edge 服务网关能够为多达 7 层的开放系统互连 (OSI) 模型提供负载平衡,因而可用其对 TCP、HTTP 或 HTTP 请求进行负载平衡。 

在此部分中,您将创建并配置一个新的 NSX Edge,然后修改一个预创建的 NSX Edge,以便执行两种负载平衡场景:


 

新的 Edge 服务网关 - 拓扑

 

 

 

登录 vSphere Web Client

 

如果您尚未登录 vSphere Web Client,

单击 Google Chrome 的任务栏图标。主页应当是 vSphere Web Client。

  1. 选中“Use Windows session authentication”(使用 Windows 会话身份验证)选项框
  2. 单击“Login”(登录)按钮

 

 

通过折叠右侧任务窗格获得更多屏幕空间。

 

 

 

打开“Networking & Security”(网络连接和安全性)

 

 

 

创建新的 Edge 服务网关

 

您将在新的 Edge 服务网关上配置单臂式负载平衡服务,以便开始新 Edge 创建流程。请确保您处于 vSphere Web Client 的“Networking & Security”(网络连接与安全性)部分,

  1. 单击“NSX Edges”
  2. 单击绿色加号图标

 

 

定义名称和类型

 

对于新的 NSX Edge 服务网关,请设置以下配置选项

  1. 输入名称:OneArm-LoadBalancer
  2. 单击“Next”(下一步)按钮

 

 

配置 admin 帐户

 

  1. 将密码设置为:VMware1!VMware1!
  2. 单击“Next”(下一步)按钮

 

 

定义 Edge 大小和虚拟机放置

 

用户可以为其 Edge 服务网关选择四种不同的虚拟设备大小,其规格(CPU 数量、内存)如下:

您将为这一新的 Edge 服务网关选择紧凑型大小的 Edge,但务必要记住,这些 Edge 服务网关在部署后可以升级为更大的规格。 要继续此新 Edge 服务网关的创建,请执行以下操作:

 

 

集群/数据存储放置

 

  1. 对于集群/资源池放置,选择“Management and Edge Cluster”(管理和边缘集群)
  2. 对于数据存储放置,选择“ds-site-a-nfs01”
  3. 选择主机 esx-04-a.corp.local
  4. 放置在 Edges 文件夹中
  5. 单击“OK”(确定)

 

 

确认 Edge 的大小和放置

 

检查是否为数据中心放置选择了“Hands on Labs”(动手练习)设置/选项,选择了“Compact”(紧凑型)作为此新 Edge 的规格,并且选中了“Deploy NSX Edge”(部署 NSX Edge)复选框。确认这些设置后,

 

 

在 NSX Edge 上放置一个新的网络接口

 

由于这是一个单臂式负载平衡器,因此仅需要一个网络接口。 在新建 NSX Edge 流程的这一部分中,您将为此 Edge 提供一个新的网络适配器并对其进行配置。 

 

 

为此 NSX Edge 配置新的网络接口

 

在此,您将为此新 NSX Edge 配置第一个网络接口。 

  1. 将新的接口命名为 WebNetwork
  2. 选中“Internal”(内部)作为类型
  3. 单击“Select”(选择)链接

 

 

为新的 Edge 接口选择网络

 

此单臂式负载平衡器的接口需要与此 Edge 为其提供负载平衡服务的两个 Web 服务器处于同一网络中。

  1. 选择“Logical Switch”(逻辑交换机)选项卡以显示所有逻辑交换机
  2. 选择与“Web-Tier-01 - 5001”对应的单选按钮
  3. 单击“OK”(确定)按钮

 

 

配置子网

 

接下来,您将为此接口配置 IP 地址

 

 

配置子网弹出窗口

 

要为此接口添加新的 IP 地址,请执行以下操作:

  1. 输入 IP 地址 172.16.10.10
  2. 输入子网前缀长度 24
  3. 单击“OK”(确定)

 

 

确认接口列表

 

审查您的设置/选择

 

 

配置默认网关

 

在调配新 Edge 的下一部分中,您将为此 Edge 服务网关配置默认网关。 要配置网关,请执行以下操作:

  1. 输入网关 IP 172.16.10.1 172.16.10.1
  2. 单击“Next”(下一步)按钮

 

 

配置防火墙和高可用性选项

 

为了在以后节省时间,您可以配置一些默认防火墙选项,以及启用一个 Edge 服务网关以便在高可用性 (HA) 模式下运行。 这两项功能都与此单元的这一特定部分无关,因此,要继续操作,请配置以下选项:

  1. 选中“Configure Firewall default policy”(配置防火墙默认策略)复选框
  2. 选择“Accept”(接受)作为默认流量策略
  3. 单击“Next”(下一步)

 

 

检查整体配置

 

 

 

监控部署情况

 

要监控 Edge 服务网关的部署情况,请执行以下操作:

然后您就可以看到 Edge 部署的进度。 

 

 

配置负载平衡器服务

 

以上内容介绍了您将为刚部署的 NSX Edge 服务网关所提供的负载平衡器服务使用的最终拓扑。 要开始操作,请从 vSphere Web Client 的“Networking & Security”(网络连接和安全性)部分的“NSX Edges”区域下,双击您刚创建的 Edge 以进入其管理页面。

 

 

在单路并联式负载平衡器上配置负载平衡器功能

 

 

 

导航到新 Edge 的管理页面

 

  1. 单击“Load Balancer”(负载平衡器)子选项卡
  2. 单击“Global Configuration”(全局配置)
  3. 单击“Edit”(编辑)按钮以转至“Edit Load Balancer global configuration”(编辑负载平衡器全局配置)弹出窗口

 

 

编辑负载平衡器全局配置

 

要启用负载平衡器服务,请执行以下操作:

  1. 选中“Enable Load Balancer”(启用负载平衡器)复选框
  2. 单击“OK”(确定)按钮

 

 

创建新的应用配置文件

 

应用配置文件用于定义典型类型的网络流量的行为。 这些配置文件接下来会应用至虚拟服务器 (VIP),该虚拟服务器根据应用程序配置文件中指定的值来处理流量。 

利用配置文件可使流量管理任务不易出错,并且更加高效。 

  1. 单击“Application Profiles”(应用配置文件)
  2. 单击绿色加号图标以启动“New Profile”(新建配置文件)弹出窗口

 

 

配置新的应用配置文件 HTTPS

 

为新的应用配置文件配置以下选项:

  1. “Name”(名称):OneArmWeb-01
  2. “Type”(类型):HTTPS
  3. 选中“Enable SSL Passthrough”(启用 SSL 直通)复选框。这会允许 HTTPS 在池服务器上终止。
  4. 完成后单击“OK”(确定)按钮

 

 

修改默认 HTTPS 监控功能

 

监控功能可确保服务于虚拟服务器的池成员已启动并运行。默认 HTTPS 监控功能在“/”处直接执行“GET”。我们将修改默认监控功能以在特定于应用的 URL 处执行运行状况检查。这将帮助确定池成员服务器和该应用均已启动并运行。

  1. 单击“Service Monitoring”(服务监控)
  2. 单击并突出显示“default_https_monitor”
  3. 单击铅笔图标
  4. {2} 为 URL 键入“/cgi-bin/hol.cgi”
  5. 单击“OK”(确定)

 

 

新建池

 

的服务器组是代表流量要经过负载平衡以到达的节点的实体。 您将向一个新池中添加两个 Web 服务器,即 web-01aweb-02a。要创建一个新池,请先执行以下操作

  1. 单击“Pools”(池)
  2. 单击绿色加号图标以启动“Edit Pool”(编辑池)弹出窗口

 

 

配置新池

 

为此新池配置以下设置:

  1. “Name”(名称):Web-Tier-Pool-01
  2. “Monitors”(监控):default_https_monitor
  3. 单击绿色加号图标

 

 

向池中添加成员

 

  1. 输入 web-01a 作为名称
  2. 输入 172.16.10.11 作为 IP 地址
  3. 输入 443 作为端口号
  4. 输入 443 作为监控端口号
  5. 单击“OK”(确定)

 

使用以下信息并重复上述流程以再增加一个池成员

 

 

保存池设置

 

 

 

创建新的虚拟服务器

 

虚拟服务器用于接受来自负载平衡服务配置“前端”的流量。 用户流量会定向至虚拟服务器所表示的 IP 地址,然后重新分发至负载平衡器“后端”上的节点。要在 Edge 服务网关上配置一个新虚拟服务器,请先执行以下操作

  1. 单击“Virtual Servers”(虚拟服务器)
  2. 单击绿色加号小图标以启动“New Virtual Server”(新建虚拟服务器)弹出窗口

 

 

配置新的虚拟服务器

 

请为此新的虚拟服务器配置以下选项:

  1. 将此虚拟服务器命名为 Web-Tier-VIP-01
  2. 输入 172.16.10.10的 IP 地址。
  3. 选择“HTTPS”作为协议。
  4. 选择 Web-Tier-Pool-01
  5. 单击“OK”(确定)按钮完成这一新虚拟服务器的创建

 

 

测试对虚拟服务器的访问

 

  1. 单击一个空白浏览器选项卡页
  2. 单击所收藏的“One-Arm Load Bala...”(单路并联式负载平衡器...)书签
  3. 单击“Advanced”(高级)

 

 

忽略 SSL 错误

 

 

 

测试对虚拟服务器的访问

 

此时,您将能够成功访问刚配置的单路并联式负载平衡器! 

 

 

显示池统计信息

 

要查看单个池成员的状态,请执行以下操作:

  1. 单击“Pools”(池)
  2. 单击“Show Pool Statistics”(显示池统计信息)。
  3. 单击“pool-1”

您将看到每个成员的当前状态。

 

 

监控(运行状况检查)响应增强功能

 

为了帮助进行故障排除,现在 NSX 6.2 LoadBalancer 的“show ...pool”命令将生成池成员故障的信息描述。我们将在 LoadBalancer Edge Gateway 上使用显示命令来创建两个不同的故障并检查响应。

  1. 在 vSphere Web Client 右上角的搜索框中,键入“LoadBalancer”。
  2. 单击“OneArm-LoadBalancer-0”。

 

 

打开 Console Load Balancer 控制台

 

  1. 单击“Summary”(摘要)选项卡
  2. 单击“Launch Remote Console”(启动远程控制台)

注意:控制台将在新的浏览器选项卡中打开

 

 

登录到 OneArm-LoadBalancer-0

 

  1. 使用用户名admin 和密码 VMware1!VMware1! 登录

 

 

针对 CLI 命令的特殊说明

 

许多单元都会要求您输入命令行界面 (CLI) 命令。 向练习发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到练习控制台:

  1. 突出显示练习中的 CLI 命令,然后使用 Ctrl + C 组合键将该命令复制到剪贴板。
  2. 单击控制台上的菜单项“SEND TEXT”(发送文本)。
  3. 按 Ctrl + V 组合键将该命令从剪贴板粘贴到窗口。
  4. 单击“SEND”(发送)按钮。

在第二种方式中,环境桌面上会放置一个文本文件 (README.txt),为您提供该环境的所有用户帐户和密码。

 

 

在出现故障之前检查池的状态

 

使用用户名“admin”和密码“VMware1!VMware1!”登录

show service loadbalancer pool

注意:池成员“web-sv-01a”的状态显示为“UP”

 

 

启动 PuTTY

 

 

 

通过 SSH 连接到 web-sv-01a

 

  1. 向下滚动以找到 Web-01a.corp.local
  2. 选择 Web-01a.corp.local
  3. 单击“Load”(加载)
  4. 单击“Open”(打开)

 

 

关闭 HTTPD

 

我们将关闭 HTTPS 以模拟首次故障情况。

service httpd stop

 

 

Loadbalancer 控制台

 

show service loadbalancer pool

由于该服务已关闭,因此故障详细信息会显示客户端无法建立 SSL 会话。

 

 

重启 HTTPD 服务

切换回与 172.16.10.11 连接的 PuTTY SSH 会话

{5} 键入“service httpd start”

service httpd start

 

 

关闭 web-01a

 

  1. 在 vSphere Web Client 右上角的搜索框中,键入“web-01a”。
  2. 单击“web-01a”

 

 

关闭 web-01a

 

  1. 单击“Actions”(操作)
  2. 单击“Power”(电源)
  3. 单击“Power off”(关闭)

 

 

LoadBalancer 控制台

 

 

 

检查池状态

 

show service loadbalancer pool

由于该虚拟机现在已关闭,因此故障详细信息会显示客户端无法建立 L4 连接,这与前一步骤中的 L7 (SSL) 连接相反。

 

 

启动 web-01a。

 

  1. 单击“Actions”(操作)
  2. 单击“Power”(电源)
  3. 单击“Power On”(启动)

 

NSX Edge 服务网关 - 逻辑负载平衡器上的 SSL 负载分流



 

SSL 负载分流 - 终止负载平衡器上的 SSL 会话

 

在下一部分中,您将向负载平衡服务中引入 SSL 端接功能。 这可允许您终止负载平衡器上的 SSL 会话。 这可允许您在负载平衡器与池成员服务器之间使用 HTTP。 

您将配置“edge-1”。

  1. 单击主页图标
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

导航到外围网关的管理页面

 

  1. 单击“NSX Edges”
  2. 双击“edge-2 Perimeter-Gateway”以进入该 Edge 的管理页面

 

 

SSL 证书生成

 

您需要首先进行一个生成自签名证书的流程。首先,

  1. 单击“Settings”(设置)按钮
  2. 单击“Certificates”(证书)
  3. 单击“Actions”(操作)按钮
  4. 选择“Generate CSR”(生成 CSR)以打开用于创建证书签名请求的弹出窗口

 

 

生成证书签名请求

 

对于此证书签名请求的参数:

  1. 键入 web-app.corp.local作为通用名称和组织名称
  2. 键入 VMWorld作为组织单元
  3. 键入“San Francisco”作为所在地点
  4. 键入“CA”作为省/自治区/直辖市
  5. 选择“United States [US]”作为国家/地区
  6. 单击“OK”(确定)按钮以继续

 

 

对证书签名请求进行自签名

 

接下来,您将开始对我们在上一步骤中生成的证书签名请求进行签名。

  1. 单击“Actions”(操作)
  2. 选择“Self Sign Certificate”(自签名证书)

 

 

 

设置证书有效期

 

  1. 输入“365”作为该自签名证书的有效天数
  2. 单击“OK”(确定)

 

 

验证自签名证书的创建

 

您将能够看到签发到 web-app.corp.local 的自签名证书类型的条目。

现在,您已经有了可用于 SSL 端接功能的证书,接下来应将此证书分配给为 SSL 端接配置的新应用配置文件。

 

 

创建用于 SSL 端接的新应用配置文件

 

有一个用于 SSL 直通的现有负载平衡器应用配置文件正在外部虚拟服务器上侦听。   您将创建一个用于 SSL 负载分流的新应用配置文件。

  1. 单击“Load Balancer”(负载平衡器)选项卡
  2. 单击“Application Profiles”(应用配置文件)
  3. 单击绿色加号图标以创建新的应用配置文件

 

 

新的应用配置文件配置(SSL 端接)

 

对此新的应用配置文件,您将使用以下设置:

  1. “Name”(名称):Web-SSL-Term-Profile-01
  2. “Type”(类型):HTTPS
  3. 选中“Configure Service Certificate”(配置服务证书)的复选框。这会使您创建的证书变得可用。
  4. 单击“OK”(确定)按钮

 

 

内联负载平衡器的拓扑

 

为了更好地了解您将完成什么任务,请观察以上拓扑。从 ControlCenter中,您可访问位于 IP 地址 192.168.100.4上的虚拟服务器。该地址上的 Edge 服务网关将处理 SSL 端接,并将 HTTP 数据包转发至 web-sv-01a web-sv-02a

接下来,您将配置一个新

 

 

新建池

 

  1. 单击“Pools”(池)
  2. 单击绿色加号图标以启动“New Pool”(新建池)弹出窗口

 

 

新池配置

 

为此新配置以下参数:

  1. 键入 Web-Tier-Pool-02作为名称。
  2. 单击绿色加号图标以启动一个弹出窗口,在其中可为该池选择成员。

 

 

将 web-sv-01 和 web-sv-02 添加为池成员

 

  1. 输入 web-01a 作为名称
  2. 输入 172.16.10.11 作为 IP 地址
  3. 输入 80 作为端口号
  4. 输入 80 作为监控端口号
  5. 单击“OK”(确定)

 

 

保存池设置

 

1.     对于以下设置,请重复上述过程:

2.     单击“OK”(确定)

 

 

修改现有虚拟服务器以进行 SSL 负载分流

 

  1. 单击“Virtual Servers”(虚拟服务器)
  2. 单击铅笔标记以编辑现有虚拟服务器

 

 

编辑虚拟服务器配置

 

这可允许外部客户端创建要在负载平衡器上终止的 SSL 会话,并使用从该负载平衡器到池成员服务器之间的 HTTP 完成该会话。

编辑虚拟服务器设置:

  1. 选择 Web-SSLTerm-Profile-01作为应用配置文件
  2. 键入 Web-Tier-SSL-01作为此虚拟服务器的名称
  3. 输入 192.168.100.4作为 IP 地址
  4. 选择 Web-Tier-Pool-02作为默认池
  5. 完成后单击“OK”(确定)按钮 此时您已准备就绪,可以测试负载平衡器功能了

 

 

接受安全证书

 

在浏览器中单击一个空白选项卡。

  1. 单击“SSL-Offload-Web...”书签
  2. 单击“Advanced”(高级)

 

 

前进到应用屏幕

 

 

 

确认负载平衡器功能

 

您将转到多层应用的网页

 

第 5 单元 - 服务插入和安全策略(30 分钟)

Service Composer


Service Composer 是一款内置工具,可定义新的网络和安全服务消费模式;它让您可以在虚拟基础架构中向应用实时调配和分配防火墙策略和安全服务。安全策略分配至虚拟机组,并且当新的虚拟机加入到该组时,策略自动应用至这些虚拟机。

从实用角度看,NSX Service Composer 是一个配置界面,使管理员可以一致且集中化的方式调配、应用和自动执行网络安全服务,例如防病毒/防恶意软件保护、IPS、DLP、防火墙规则等。这些服务在 NSX 中原生提供,也可以通过第三方解决方案进行增强。

此单元将向您演示如何使用 Service Composer 和本机 NSX Data Security 功能,动态识别和隔离违反 PCI(支付卡行业)合规性的工作负载。

此单元分为 3 个部分:

  1. Service Composer
  2. 服务插入
  3. Data Security

在第 1 部分,我们将使用 Service Composer 来构建安全组和安全策略。您将学习使用静态包含和动态包含来创建安全组。您将创建 2 个安全组和 2 个分属于这些安全组的安全策略集,如下图所示。创建的安全组“Non-CDE”(持卡人数据环境 - 信用卡环境,在其中,所有持卡人信息都得到处理)将包含单个虚拟机“win8-01a”。 此虚拟机表示不属于 CDE 的虚拟机,应该不包含任何持卡人数据。然后,您将创建名为“PCI-Violation”的安全组,而其成员将使用由数据安全性扫描功能动态分配的安全标记进行创建。您还将创建 2 个安全策略“Non-CDE Security Policy”和“PCI-Violation Security Policy”,前一策略允许与“win8-01a”虚拟机之间的无限制访问,后一策略用于在发现敏感数据时隔离虚拟机并限制与虚拟机之间的任何通信,因为这违反 PCI 法规。

在第 2 部分,我们将修改安全策略“PCI-Violation Security Policy”,以添加“数据安全即服务”

在第 3 部分,我们将配置数据模式以及数据安全性扫描的范围,并手动扫描“win8-01a”虚拟机。我们已在该虚拟机上放置了一些敏感信息。作为扫描结果,该虚拟机将被标记为“vmware.datasecurity.violating”,此标记将符合“PCI-VIolation”安全组的条件集。

此单元演示 Service Composer 的功能以及如何能利用它来改变工作负载或工作负载组的安全形势,并对这些工作负载进行隔离,而不需要改变物理位置或底层基础架构。可利用此单元中的相同原理来插入第 3 方供应商提供的高级安全服务。

注意:CDE=Card Data Environment(卡数据环境)

 

 


 

场景说明和图示

 

 

 

登录到 vCenter

 

单击任务栏上的 Chrome。

 

 

放大操作窗格

 

要放大操作窗格

  1. 单击“x”
  2. 单击“x”
  3. 单击图钉图标

 

 

选择“Networking and Security”(网络连接和安全性)

 

 

 

为非 CDE 工作负载创建安全组

 

  1. 单击 Service Composer
  2. 单击“Security Groups”(安全组)
  3. 单击加号以创建安全组

 

 

新建安全组(静态包含)

 

首先,我们将创建一个静态安全组,此安全组将包含不属于卡数据环境 (CDE) 的虚拟机

  1. 键入安全组的名称
  2. 可选:输入描述或注明组用途。
  3. 单击“Select objects to include”(选择要包含的对象)

 

 

选择要包含的对象

 

  1. 从“Object Type”(对象类型)下拉菜单中进行选择
  2. 向下滚动屏幕,然后选择“Virtual Machine”

 

 

选择虚拟机

 

  1. 选择“win8-01a”
  2. 将此虚拟机移动到“Selected Objects”(所选对象)
  3. 单击“Finish”(完成)

 

 

为非 CDE 创建安全策略

 

 

 

继续创建安全策略

 

单击以创建新策略。

 

 

继续创建安全策略

 

  1. 键入“Non-CDE Security Policy”作为安全策略的名称。
  2. 单击“Firewall Rules”(防火墙规则)。

 

 

创建防火墙规则

 

 

 

继续创建防火墙规则

 

  1. 键入“Allow from Non-CDE to any”作为第一个防火墙规则的名称
  2. 选中“Allow”(允许)
  3. 选中“Log”(记录日志)
  4. 单击“Change”(更改)以创建允许的服务

 

 

允许 ICMP 作为一项服务

 

  1. 选中“Select services and service groups”(选择服务和服务组)
  2. 在筛选器字段中键入“ICMP Echo”,然后按 Enter 键。
  3. 选中“ICMP Echo Reply”(ICMP Echo 回复)
  4. 选中“ICMP Echo”

 

 

允许 SMB 作为一项服务

 

  1. 在筛选器字段中键入“SMB”,然后按 Enter 键
  2. 选中“SMB”
  3. 选中“Server Message Block(SMB)”(服务器消息块 (SMB))
  4. 单击“OK”(确定)

 

 

单击“OK”(确定)保存配置

 

请注意,您会看到“(4 selected)”字样,这表示您在上一步骤中选择了 4 项。

 

 

创建第二个防火墙规则

 

 

 

继续创建第二个防火墙规则

 

  1. 键入名称“Allow ANY to Non-CDE”
  2. 选中“Allow”(允许)
  3. 选中“Log”(记录日志)
  4. 单击“Change”(更改)

 

 

选择源

 

  1. 选中“Any”(任何)作为源
  2. 单击“OK”(确定)

 

 

定义服务

 

 

 

允许 ICMP 作为一项服务

 

  1. 选中“Select services and service groups”(选择服务和服务组)
  2. 在筛选器字段中键入“ICMP Echo”,然后按 Enter 键
  3. 选中“ICMP Echo Reply”(ICMP Echo 回复)
  4. 选中“ICMP Echo”

 

 

允许 SMB 作为一项服务

 

  1. 在筛选器字段中键入“SMB”,然后按 Enter 键
  2. 选中“SMB”
  3. 选中“Server Message Block(SMB)”(服务器消息块 (SMB))
  4. 单击“OK”(确定)
  5. 在下一个屏幕中,再次单击“OK”(确定)以保存配置

 

 

完成防火墙规则的创建

 

 

 

将策略应用至安全组

 

  1. 单击“Actions”(操作)
  2. 单击“Apply Policy”(应用策略)

 

 

将策略应用至安全组

 

  1. 选中“Non-CDE”
  2. 单击“OK”(确定)以完成应用

 

 

验证安全策略成功关联至安全组

 

 

 

返回到防火墙

 

 

 

规则创建验证(续)

 

 

 

检查防火墙规则是否工作正常

 

 

 

针对 CLI 命令的特殊说明

 

许多单元都会要求您输入命令行界面 (CLI) 命令。 向练习发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到练习控制台:

  1. 突出显示动手练习中的 CLI 命令,然后使用 Ctrl + C 组合键将该命令复制到剪贴板
  2. 单击控制台上的菜单项“SEND TEXT”(发送文本)
  3. 按 Ctrl + V 组合键将该命令从剪贴板粘贴到窗口
  4. 单击“SEND”(发送)按钮

在第二种方式中,我们在环境桌面上放置了一个文本文件 (README.txt),方便您从中复制复杂命令或密码并将其粘贴到关联的实用程序(CMD、Putty、控制台等)中。某些字符并不总是存在于世界各地的所有键盘上。 如果您的键盘上没有这些字符,则可以从该文本文件中查找。

该文本文件是 README.txt,位于桌面上。 

 

 

验证 win8-01a 上运行的 ICMP 和 SMB 服务

 

1.    键入 ping win8-01a

ping win8-01a

2.    键入 net use x:\\win8-01a\c$

net use x: \\win8-01a\c$

3.    键入 dir x:

dir x:

检查是否成功“ping”通 win8-01a 并成功执行了“net use”命令。您也可以看到映射的目录内容。

 

 

为违反 PCI 合规性的工作负载创建安全组

 

 

 

开始创建新安全组

 

  1. 单击“Security Groups”(安全组)
  2. 单击绿色加号以创建新安全组

 

 

创建新安全组用于隔离包含敏感数据的非 CDE 工作负载

 

  1. 键入名称“PCI-Violation”
  2. 单击“Next”(下一步)

 

 

定义动态成员

 

  1. 单击下拉菜单
  2. 选择“Security Tag”(安全标记)选项

 

 

指定标记的名称

 

  1. 键入标记的名称“vmware.datasecurity.violating.PCI”
  2. 单击“Finish”(完成)
vmware.datasecurity.violating.PCI

 

 

创建安全策略用于隔离违反 PCI 的工作负载

 

  1. 单击“Security Policies”(安全策略)
  2. 单击“Create Security Policy”(创建安全策略)图标

 

 

创建新安全策略

 

  1. 键入名称“PCI-Violation Security Policy”
  2. 单击“Firewall Rules”(防火墙规则)

 

 

开始创建防火墙规则

 

 

 

创建防火墙规则

 

  1. 键入名称“Block PCI-Violation to ANY”
  2. 选中“Block”(阻止)
  3. 选中“Log”(记录日志)
  4. 单击“OK”(确定)

 

 

创建另一个防火墙规则

 

 

 

定义防火墙规则

 

  1. 键入名称“Block ANY to PCI-Violation”
  2. 单击“Block”(阻止)
  3. 单击“Log”(记录日志)
  4. 单击“Change”(更改)

 

 

为规则选择源

 

  1. 单击“Any”(任何)
  2. 单击“OK”(确定)

 

 

完成防火墙规则的创建

 

 

 

完成安全策略的创建

 

 

 

验证安全策略的创建

 

  1. 验证安全策略 PCI-Violation Security Policy 的创建
  2. 验证“Sync Status”(同步状态)为“Successful”

 

 

将策略应用至安全组

 

  1. 单击“Actions”(操作)
  2. 选择“Apply Policy”(应用策略)

 

 

应用安全策略

 

  1. 选择“PCI-Violation”
  2. 单击“OK”(确定)

 

 

验证全局表中防火墙规则的创建

 

 

 

规则创建验证(续)

 

在此部分,我们无法检查安全策略的执行情况,因为目前不存在任何违反 PCI 要求的工作负载。

在下一部分,我们将使用服务插入来增强安全性,并将 Data Security 作为一项服务来插入,以识别违反 PCI 法规的工作负载。

 

服务插入


NSX 网络虚拟化平台提供 L2-L4 有状态防火墙保护功能,以提供虚拟网络内的分段。在某些环境中,要求提供更高级的网络安全功能。在这些情况下,客户可以利用 VMware NSX 分发、启用和强制实施高级网络安全服务。在此部分中,我们将插入本机 Data Security 服务,这将帮助我们识别非 CDE(卡数据环境)工作负载中的信用卡数据。Data Security 功能需要在虚拟机中安装 Guest Introspection 和 Data Security Service 虚拟机,然后才能识别虚拟工作负载中存储的敏感信息。

在此部分,我们将安装 Data Security Service 虚拟机,并将 NSX Data Security 添加到“Service Deployments”(服务部署)中,从而使其可供使用。 接下来,您将修改现有的安全策略“Non-CDE Security Policy”(此策略在前一部分中创建),并将 Data Security 作为一项服务进行插入。


 

将 Data Security 添加为“Service Deployment”(服务部署)

 

转到“Installation”选项卡以安装 Data Security。

  1. 单击“Installation”(安装)
  2. 单击“Service Deployment”(服务部署)
  3. 单击绿色加号

 

 

选择 VMware Data Security

 

  1. 选中“VMware Data Security”选项框
  2. 单击“Next”(下一步)

 

 

选择集群

 

  1. 选中“Compute Cluster B”(计算集群 B)选项框
  2. 单击“Next”(下一步)

 

 

设置管理网络

 

  1. 选择“vds_site_a_Management Network”
  2. 单击“Next”(下一步)
  3. 单击“Finish”(完成)

 

 

确认 Data Security 部署成功

 

将 Data Security 部署到您的集群只需要几分钟时间(大约 3 分钟)。

 

 

修改安全策略以添加 Data Security

 

  1. 单击“Service Composer”
  2. 单击“Security Policies”(安全策略)
  3. 选择安全策略“Non-CDE Security Policy”
  4. 单击屏幕截图中所示的图标,以编辑该安全策略

 

 

编辑安全策略并插入 Data Security 服务

 

 

 

添加 Guest Introspection Service

 

 

 

创建 Guest Introspection Service

 

  1. 将该服务命名为“Data Security”
  2. 将“Enforce”(强制)设置为“Yes”。
  3. 单击“OK”(确定)。

 

 

验证 Data Security 服务的创建

 

这就是插入 Data Security 服务需要做的一切。在下一部分,我们将配置要在工作负载中查找的数据模式,还将配置扫描的范围

 

Data Security


VMware NSX Data Security 可扫描和分析虚拟机上的数据,并会报告检测到的违规数量和违反策略的文件。它能完全呈现您环境中的任何敏感数据。根据由 NSX Data Security 报告的违规情况,您可以确保敏感数据得到充分保护,并评估整个环境中的合规性。要开始使用 NSX Data Security,您需要创建策略,以定义适用于组织内数据安全性的法规,并指定相应的环境范围和要扫描的文件。法规由许多内容片段组成,这些内容片段用于确定需检测的敏感内容。NSX 仅支持与 PCI、PHI 和 PII 有关的法规。

当您启动 Data Security 扫描时,NSX 会分析 vSphere 清单中的虚拟机上的数据,并报告检测到的违规数量和违反策略的文件。在此部分,我们将配置 Data Security,选择我们想要在工作负载上识别的模式,还将执行扫描以发现“win8-01a”(我们练习场景中的虚拟机)上驻留的与该模式匹配的任何敏感数据。在我们的实例中,我们向您展示的是 PCI 示例,但在实际操作中,您可以从广泛的法规列表中进行选择,并使用通配符创建您自己的自定义模式。


 

配置 Data Security

 

  1. 单击“Data Security”

 

 

管理 Data Security

 

  1. 单击“Manage”(管理)
  2. 单击“Edit”(编辑)

 

 

查看所有法规模板

 

提供 90 多个模板,涵盖许多法规、州/省和国家/地区。

 

 

筛选和选择 PCI-DSS 模板

 

  1. 在筛选字段中输入“PCI”并按 Enter(筛选字段区分大小写)
  2. 选中选项框
  3. 单击“Next”(下一步)

 

 

完成法规和标准的选择

 

 

 

发布变更

 

 

 

启动 Data Security 扫描

 

 

 

监控 Data Security 扫描。

 

请注意,状态更改为“In Progress”。此外,还会出现“Stop”(停止)和“Pause”(暂停)按钮

 

 

查看安全性扫描的进度

 

扫描状态显示“In Progress”,而且颜色也变为蓝绿色。

扫描通常需要 3 到 7 分钟,具体取决于扫描范围的大小。

 

 

扫描完成

 

扫描完成后,颜色会变为紫色。请注意,“View Regulations Violated Report”(查看违反的法规报告)下显示违规类型 PCI-DSS,“View VM's Regulations Report”(查看违反法规的虚拟机报告)下显示违反了 PCI 法规的虚拟机名称。

 

 

完成扫描报告

 

在“Regulations Violated”(违反的法规)下,我们看到 PCI-DSS,数量为 1。为了查看违反该法规的文件,请单击下拉菜单“View Report”(查看报告)

 

 

查看报告

 

 

 

详细报告

 

选择“Violating files”(违规文件)选项向您提供与违规工作负载、虚拟机名称、集群信息、文件位置、文件修改时间等有关的详细信息。

 

 

画布视图

 

 

 

违规虚拟机出现在“PCI-Violation”安全组中

 

  1. 单击“Canvas”(画布)
  2. 在“PCI-Violation”下,单击屏幕截图中所示的图标

因为违规,违规虚拟机“win8-01a”出现在“PCI-Violation”安全组中。接下来,我们将查看虚拟机上的标记实施

 

 

查看标记实施

 

  1. 将光标悬停在“Home”(主页)图标上
  2. 单击“VMs and Templates”(虚拟机和模板)

 

 

验证工作负载上的标记实施

 

  1. 展开视图
  2. 单击“win8-01a”
  3. 在“Security Tags”(安全标记)部分查看标记的实施情况

 

 

检查防火墙规则是否工作正常

 

 

 

验证应用至 PCI-Violation 安全组的安全策略是否正常工作

 

1.   键入 ping win8-01a

ping win8-01a

2.   输入 net use。请注意,针对 X: 的现有 net use仍然存在,但

net use 

3.   输入 dir x: 您不会看到任何返回结果。

dir x:

在上一部分中,违规 ping 被阻止后,您能够 ping 通 win8-01a 虚拟机。“net use”命令还会出错。之所以发生这种情况,是因为进行了动态标记实施以及使用该标记实施了限制对该工作负载进行访问的安全策略。在真实场景中,您可能希望允许针对该工作负载开放管理访问权限,以执行进一步的取证。但在这里,为简单起见,我们限制了所有访问。

NSX Service Composer 具有巨大的潜力;您可以在安全组与安全策略之间创建几乎无数的联系,以高效地自动管理软件定义的数据中心中的安全服务消费情况。

 

第 6 单元 - 监控和可见性(45 分钟)

Traceflow


VMware NSX 6.2 引入了新功能,以帮助您监控虚拟网络并提高对数据包的可见性以便进行故障排除。 6.2 的一项新功能是 Traceflow,让您可以跟踪从源到目标的路径中的数据包。 您将可以使用 Flow Monitoring 监控源与目标之间的流量,从而让您可以关联到防火墙规则。 Activity Monitoring 将让您监控在您的虚拟环境中用户正在使用的应用。


 

启动 Web 浏览器

 

 

 

登录到 vCenter

 

  1. 选中“Use Windows session authentication”(使用 Windows 会话身份验证)选项框
  2. 单击“Login”(登录)

 

 

打开“Networking & Security”(网络连接和安全性)

 

 

 

启动 Traceflow

 

Traceflow 是 NSX 6.2 中的一项新功能,借助此功能,用户无需使用客户虚拟机的操作系统就能将数据包注入虚拟网卡中,而且用户还无需使用目标操作系统就能通过网络跟踪到目标虚拟网卡的数据包。 此功能有助于您识别虚拟网络与物理网络之间存在的问题,从而增强您的运维和故障排除能力。 另外,它还实现了职责分离,因为网络工程师现在可以跟踪源与目标之间的数据包,而无需访问客户虚拟机操作系统。  通过同时支持第 2 层和第 3 层跟踪流功能,您可以在对连接问题进行排除时看到数据包的流失位置。这样,您就可以快速识别问题并查明 NSX 数据路径中的问题。

 

 

设置 Traceflow 流程 - 配置源

 

  1. 单击“Select”(选择)
  2. 双击 web-01a 作为我们的源虚拟机

 

 

设置 Traceflow 流程 - 选择虚拟网卡

 

  1. 单击 web-01a 的网络适配器
  2. 单击“OK”(确定)

 

 

设置 Traceflow 流程 - 配置目标

 

  1. 单击目标链接“Select”(选择)
  2. 单击“Select Destination vNIC”(选择目标虚拟网卡)旁边的单选按钮

 

 

选择目标虚拟机

 

 

 

目标配置(续)

 

  1. 突出显示并选择与 web-02 相关联的虚拟网卡并单击“OK”(确定)
  2. 再次单击“OK”(确定)以完成此部分配置

 

 

使用 ICMP 完成 Traceflow 配置并启动跟踪

 

  1. 展开“Advanced Options”(高级选项)部分
  2. 从“Protocol”(协议)下拉菜单中选择“ICMP”
  3. 单击“Trace”(跟踪)

 

 

观察 Traceflow 输出

 

结果显示数据包流量从虚拟机虚拟网卡流出,经过分布式防火墙,跨越物理网络从 esx-01a 流到 esx-03a,返回到分布式防火墙,最后数据包交付到目标虚拟机的虚拟网卡。注意:尚没有配置任何防火墙规则,但虚拟机流量会流经此时处于打开状态的防火墙模块。 

您可以使用控制中心来停止您的 PuTTY 会话中的 ping 流量。将 PuTTY 窗口保持打开状态或最小化该窗口,以供下一步使用。

 

 

创建防火墙规则来阻止 web-01a.corp.local 与 web-02a.corp.local 之间的 ICMP

 

  1. 在 Web Client 中,导航到“Network & Security”(网络连接和安全性)部分的“Firewall”(防火墙)部分,并选择“Firewall”(防火墙)
  2. 展开“Default Section Layer3”(默认段第 3 层)部分
  3. 右键单击“Default Section Layer3”(默认段第 3 层)部分的灰色区域,并选择“Add rule”(添加规则)

 

 

防火墙规则 - 名称规则

 

  1. 将鼠标悬停在“Name”(名称)字段上并单击铅笔图标
  2. 为“Rule Name”(规则名称)输入名称“Traceflow Test”
  3. 单击“OK”(确定)

 

 

防火墙规则 - 选择源

 

  1. 对于“Source”(源),单击铅笔图标
  2. 输入“Virtual Machine”作为“Object Type”(对象类型)
  3. 选择“web-01a”
  4. 单击向右箭头
  5. 单击“OK”(确定)

 

 

设置防火墙规则目标

 

 

 

防火墙规则 - 阻止 ICMP 流量

 

  1. 在筛选框中,键入 ICMP 以限制选择结果
  2. 选择除 IPV6 对象以外的所有 ICMP 对象。 (您可以选择第一项,然后按住 Shift 键并单击最后一项)
  3. 单击向右箭头以选择这些对象
  4. 单击“OK”(确定)

 

 

防火墙规则 - 指定操作

 

注意:您可能需要在 Web Client 窗口中滚动,以便查看所有列。

  1. 在“Action”(操作)列中选择铅笔(编辑)图标
  2. 选择“Block”(阻止)操作将其余设置保留原样
  3. 单击“OK”(确定)

 

 

防火墙规则 - 发布变更

 

 

 

重复上述步骤中的 Traceflow 配置。开始新跟踪

 

您必须重新配置 Traceflow。

  1. 单击“Traceflow”
  2. 将 web-01a 设置为源
  3. 将 web-02a 设置为目标
  4. 选择“ICMP”作为协议
  5. 开始“Trace”(跟踪)

 

 

Traceflow 输出和已实施的分布式防火墙规则

 

 

 

删除刚刚创建的防火墙规则

 

  1. 返回到“Firewall”(防火墙)部分
  2. 展开“Default Section Layer3”(默认段第 3 层)
  3. 选择“Traceflow Test”规则中“2”旁边的铅笔图标,或右键单击该区域,并
  4. 选择“Delete”(删除)
  5. 单击“OK”(确定)删除编号为 2 的规则
  6. 单击“Publish Changes”(发布更改)按钮,并验证该规则已删除

 

 

Traceflow 总结

Traceflow 是一个很有用的工具,可用于跟踪 NSX 数据路径中的数据包以便确定数据包的可能丢失位置,而且还可用于快速验证防火墙规则。 

 

流量监控


Flow monitoring 针对虚拟机流量提供虚拟网卡级别的可见性

流量监控是一款流量分析工具,可提供传入和传出受保护虚拟机的流量的详细视图。在 Flow Monitoring 启用的情况下,其输出定义哪些虚拟机正在哪个应用上交换数据。这些数据包括会话的数量,以及每个会话传输的数据包数。会话详细信息包括源、目标、应用以及使用的端口。会话详细信息可用于创建防火墙允许或阻止规则。

您可以查看与选定虚拟网卡建立的 TCP 和 UDP 连接。您还可以通过指定筛选器来排除流量。

因此,您可以将 Flow Monitoring 用作鉴定工具,以检测恶意服务和检查出站会话。


 

流量监控

 

我们的目标是确定 NSX 环境内一些感兴趣的数据流,并能够对正在收集的数据执行操作。

在此情形中,我们对正与我们 Web 服务器(web-01a 和 web-02a)直接建立的 HTTP 连接感兴趣。这是因为到 Web 服务器的大多数流量都应使用 SSL 并应经过我们在前一练习中设置的负责平衡器 VIP。

第一步是启用 Flow Monitoring。然后,我们将模拟 HTTP 流量。 

通过登录 web-01a 控制台并打开命令提示符窗口,使用 Apache Bench 模拟大量的 HTTP 连接

 

 

 

启用 Flow Monitoring

 

  1. 选择“Flow Monitoring”(流量监控)
  2. 单击“Configuration”(配置)选项卡
  3. 单击“Enable”(启用)按钮,以启用流量监控

 

 

流量监控

 

您可以看到现在已经启用 Flow Collection。

IPFix 是 Cisco 的专利技术 Netflow 的 IETF 版本。浏览 IPFix 区域以查看您的信息。在本练习中,我们不会配置收集器。

  1. 单击“IPFix”

 

 

IPFix

 

  1. 查看完 IPFix 区域之后,请单击“Flow Exclusion”(流量排除)。

 

 

针对 CLI 命令的特殊说明

 

许多单元都会要求您输入命令行界面 (CLI) 命令。 向练习发送 CLI 命令的方式有两种。

第一种方式是将 CLI 命令发送到练习控制台:

  1. 突出显示动手练习中的 CLI 命令,然后使用 Ctrl + C 组合键将该命令复制到剪贴板
  2. 单击控制台上的菜单项“SEND TEXT”(发送文本)
  3. 按 Ctrl + V 组合键将该命令从剪贴板粘贴到窗口
  4. 单击“SEND”(发送)按钮

在第二种方式中,我们在环境桌面上放置了一个文本文件 (README.txt),方便您从中复制复杂命令或密码并将其粘贴到关联的实用程序(CMD、Putty、控制台等)中。某些字符并不总是存在于世界各地的所有键盘上。 如果您的键盘上没有这些字符,则可以从该文本文件中查找。

该文本文件是 README.txt,位于桌面上。 

 

 

生成流量

 

我们将通过运行 Apache Bench 工具,模拟从 Control Center 到我们的一个 Web 服务器的大量 HTTP 连接。

我们对正与我们 Web 服务器直接建立的 HTTP 连接感兴趣,因为这些服务器主要接收负载平衡器 VIP 上的流量。

通过选择底部工具栏(左下角)上的命令提示符图标来打开 Control Center 上的命令提示符窗口,并键入以下命令:

 ab -n 12345 -c 10 -w http://172.16.10.11/

ab -n 12345 -c 10 -w http://172.16.10.11/ 

这将产生到我们的 web-01a 虚拟机的流量。

**最小化此窗口并将其保持打开状态,因为我们将在后面的一个步骤中运行同一命令。

 

 

观察流量

 

从 vSphere Web Client 中的“Networking & Security”(网络连接和安全性):

  1. 选择“Flow Monitoring”(流量监控)
  2. 选择“Dashboard”(仪表盘)选项卡
  3. 选择“Top Flows”(流量排名)选项卡以查看流量排名

**请注意:在本嵌入式练习环境中,流量在仪表盘中呈现出来可能需要几分钟时间。如果您在“Dashboard”(仪表盘)或“Details By Service”(按服务分类的详情)选项卡中没有看到新的流量,请在几分钟后刷新您在其中运行 vSphere Web Client 的浏览器。您还可能需要通过单击屏幕顶部的刷新箭头来刷新 vSphere Web Client**

 

 

HTTP 流量

 

 

 

按服务分类的详情

 

  1. 为了获得有关特定协议 (HTTP) 流量高峰的更多信息,请打开“Details By Service”(按服务分类的详情)选项卡并选择“Allowed Flows”(允许的流量)。1.供您参考:详细信息按“Service”(服务)分类并以“Bytes”(字节数)进行降序排列,但单击列标题将按该列分类或将颠倒排序顺序。
  2. 注意:如果 HTTP 流量没有呈现出来,请单击 Web Client 中的“Refresh”(刷新)。您还可能需要刷新您的浏览器。
  3. 突出显示“TCP”-“HTTP”流量行,以获得更多详细信息。

我们看到,到 web-01a (172.16.10.11) 的大多数流量正在由 Control Center 虚拟机 (192.168.110.10) 产生。

Control Center 系统应该不会将大量的 HTTP 流量发送到我们的“生产”Web 服务器。 

我们会增加一条防火墙规则以防止此未知流量,直到我们可以确定发生了什么并最大限度地减少任何潜在威胁。

**请注意:在本嵌入式练习环境中,流量在仪表盘中呈现出来可能需要几分钟时间。如果您在“Dashboard”(仪表盘)或“Details By Service”(按服务分类的详情)选项卡中没有看到新的流量,请在几分钟后刷新 vSphere Web Client。**

 

 

添加防火墙规则以阻止未知流量

 

 

 

拒绝流量

 

添加一条防火墙规则以拒绝从 192.168.110.10 到 web-sv-01a 的 HTTP 流量。 为您以下信息已预先填充:“Source”(源)为 192.168.110.10,“Destination”(目标)为 172.16.10.11,以及“Service”(服务)为 HTTP。

  1. 为“Name”(名称)输入“Reject HTTP to web-01a”
  2. 选中单选按钮以拒绝流量
  3. 单击“OK”(确定)

供您参考:您可以通过防火墙管理窗格查看和修改此规则。 

 

 

测试规则 - 命令提示符窗口输出

 

现在确认刚刚添加的规则已成功拒绝到我们的 Web 服务器的 HTTP 流量。

重新打开之前在上一步骤中最小化的命令提示符窗口(或打开一个新的窗口),并再次运行 Apache Bench 命令: 

(注意,您可以使用向上箭头键)

ab -n 12345 -c 10 -w  http://172.16.10.11/

(请记得使用“SEND TEXT”(发送文本)选项。)

现在这应该会失败。

在本练习中,我们正在使用“Reject”(拒绝)选项,而非“Block”(阻止)选项,这是因为“Reject”(拒绝)选项会回应一条错误消息,显示流量已被阻止。使用“Block”(阻止)选项时,请求会直接超时

 

 

流量监控功能显示已阻止的流量

 

**请注意:在本嵌入式练习环境中,流量在仪表盘中呈现出来可能需要几分钟时间。如果您在“Dashboard”(仪表盘)或“Details By Service”(按服务分类的详情)选项卡中没有看到新的流量,请在几分钟后刷新 vSphere Web Client。**

从 vSphere Web Client 中的“Network & Security”(网络连接和安全性)下的“Flow Monitoring”(流量监控)部分:

  1. 导航到“Details By Service”(按服务分类的详情)并选择“Blocked Flows”(阻止的流量)
  2. 突出显示 TCP/HTTP 服务并在屏幕的底部查看输出 

您将看到我们的防火墙规则已成功拒绝(阻止)未知流量。

流量监控功能是一种利用 NSX 的分布式防火墙功能检测您环境中的流量异常现象并快速缓解问题的绝佳方式。

 

 

Live Flow

 

您还可以使用 Live Flow 来查看与特定虚拟机和虚拟网卡之间的流量。 

  1. 在“Flow Monitoring”(流量监控)部分,选择“Live Flow”(实时流量)选项卡
  2. 单击“Browse”(浏览)链接
  3. 选择 web-01a 及其网络适配器
  4. 单击“OK”(确定)

 

 

启动 Live Flow

 

 

 

启动流量生成器

 

 

 

Live Flow 输出

 

每隔几秒,您会看到已阻止的 HTTP 流量。 请随意尝试各种 Flow Monitoring 选项。还请注意,在上面的命令窗口中,防火墙规则正在阻止连接尝试。 

**请注意:在本嵌入式练习环境中,流量在仪表盘中呈现出来可能需要几分钟时间。如果您在“Dashboard”(仪表盘)或“Details By Service”(按服务分类的详情)选项卡中没有看到新的流量,请在几分钟后刷新 vSphere Web Client。**

 

 

删除防火墙规则

 

  1. 从 vSphere Web Client 的“Networking & Security”(网络连接和安全性)菜单中选择“Firewall”(防火墙)
  2. 展开“Default Section Layer3”(默认段第 3 层)
  3. 单击规则 2 对应的铅笔图标
  4. 选择“Delete”(删除)

 

 

确认删除防火墙规则

 

 

 

发布变更。

 

 

 

Flow Monitoring 总结

Flow monitoring 针对虚拟机流量提供虚拟网卡级别的可见性

我们使用 Flow Monitoring 流量分析工具来详细查看与生产 Web 虚拟机 web-01a 之间的流量。我们生成了从我们的 Control Center 虚拟机到 web-01a 虚拟机的 HTTP 流量。我们使用 Flow Monitoring 轻松地检测了异常流量,快速阻止了未知的流量,并通过轻松创建分布式防火墙规则保护该虚拟机。

 

Activity Monitoring


Activity Monitoring 可呈现您的虚拟网络,以便确保正在正确地实施贵组织的安全策略。

安全策略可能授权允许谁访问什么应用。云管理员可以生成 Activity Monitoring 报告,以便查看他们设置的基于 IP 的防火墙规则是否正在执行预期工作。通过提供用户和应用级别的详细信息,Activity Monitoring 可将高级别的安全策略转换为低级别的 IP 地址和基于网络的实施。

价值:通过 Guest Introspection Service 详细呈现受监控虚拟机上的应用和活动。

为了利用 Activity Monitoring,您需要执行以下操作:

注意:我们的练习环境中已经完成了上述步骤。

我们将配置以下各项:


 

部署 Guest Introspection - 演示。

 

在本练习中,已经在计算集群 B 上部署了 Guest Introspection Services。

-----注意:作为演示,以下是部署该服务的步骤,供您参考--------

  1. 在“Networking & Security”(网络连接和安全性)菜单中选择“Installation”(安装)
  2. 导航到“Service Deployments”(应用部署)选项卡
  3. 注意,Guest Introspection 服务已经部署到计算集群 B 中
  4. 要查看如何部署 Guest Introspection,请单击绿色加号
  5. 选择“Guest Introspection”复选框
  6. 单击“Next”(下一步)

 

 

Guest Introspection 部署 - 选择集群

 

  1. 在“Select Clusters”(选择集群)步骤中,选择“计算集群 B”旁边的复选框
  2. 单击“Next”(下一步)

 

 

Guest Introspection 部署 - 选择存储和管理网络

 

我们在此为 Guest Introspection 虚拟机选择数据存储和网络。

 

 

Guest Introspection 部署 - 检查设置

 

您将在这里检查您的设置。

 

 

VMware Tools 已安装在目标虚拟机上。

 

Activity Monitoring 需要在目标虚拟机上安装有经过更新的 VMware Tools,并且必须安装 VMCI Driver Guest Introspection 驱动程序。

注意:在本练习环境中,已经为您完成此步骤,因为计算集群 B 中的 Windows 8 虚拟机安装有经过更新的 VMware Tools。

 

 

搜索 win8-01a

 

  1. 在 vCenter 右上角的搜索框中,输入“win8”
  2. 单击“win8-01a”

 

 

在 Win-08a 虚拟机上启用数据收集功能

 

  1. 单击“Summary”(摘要)选项卡
  2. 在“NSX Activity Monitoring”(NSX 活动监控)窗格中,单击“Edit”(编辑)
  3. 单击“Yes”(是)以启用 Activity Monitoring

 

 

导航到“Networking & Security”(网络连接和安全性)

 

  1. 单击主页图标
  2. 单击“Networking & Security”(网络连接和安全性)

 

 

在集群上配置 Activity Monitoring - 示例

 

注意:在本练习中,虽然我们不会在这里配置此项,但为了您可以了解更多信息,您还可以通过在 Service Composer 中选择要包括在“Activity Monitoring Data Collection”安全组中的对象,为集群配置 Activity Monitoring 数据收集。

  1. 导航到“Networking & Security”(网络连接和安全性)菜单下的“Service Composer”部分
  2. 选择“Security Group”(安全组)选项卡
  3. 右键单击 Activity Monitoring Security Group
  4. 选择“Edit Security Group”(编辑安全组)

 

 

将计算集群 A 和计算集群 B 添加到“Selected Objects”(所选对象)- 示例

 

  1. 单击“Select objects to include”(选择要包含的对象)
  2. 您将看到我们的 win8-01a 虚拟机已经包含在内,因为我们在该虚拟机上启用了 Activity Monitoring。
  3. 单击“Object Type”(对象类型)下拉列表。您将在这里看到可包括在 Activity Monitoring Security Group 中的各种对象类型。例如,您可以选择整个集群等。探索此部分以了解更多信息。
  4. ** 完成后单击“Cancel”(取消),因为这只是一个供您参考的示例。这仅用于演示目的。**

多个安全策略已经应用至将为成员对象启用 Activity Monitoring Data Collection 的此安全组。

 

 

从 win8-01a 虚拟机内生成活动

 

  1. 单击“Start”(开始)按钮
  2. 打开 RDP 或控制台会话

 

 

连接到 win8-01a

 

  1. 输入“win8-01a.corp.local”
  2. 单击“Connect”(连接)
win8-01a.corp.local

 

 

登录

 

使用 CORP\Administrator 帐户。

 

 

启动 Internet Explorer

 

 

 

接受风险警告

 

  1. 单击“Continue to this website (not recommended)”(继续浏览此网站(不推荐))
  2. 单击“Yes”(是)

 

 

打开多层应用页面

 

您将看到我们的 3 层应用的输出

出于活动演示目的,我们正在通过在 Win8-01a 虚拟机中启动此应用,来生成我们现在可使用活动监控功能监控的持续流量。您可使用活动监控功能来查看与指定虚拟机之间的所有活动,并查看谁正在生成流量。 这可帮助您确定是否生成了未知流量。

  1. 单击最小化按钮以返回到桌面

 

 

启动活动监控功能

 

  1. 在 Web Client 的“Networking & Security”(网络连接和安全性)部分中,选择 Activity Monitoring
  2. 选择“VM Activity”(虚拟机活动)选项卡
  3. 单击“Search”(搜索)按钮
  4. 检查输出。您可以看到,登录到 win8-01a 中的用户是 corp.local 域上的 Administrator,您还可查看活动。

 

 

 

Activity Monitoring 总结

在练习的本部分,我们演示了我们可以如何在 NSX 内使用 Activity Monitoring 功能,以便监控特定虚拟机流量来确定是否可能生成未知流量类型。 我们应该查找不满足我们的安全要求的流量,而且我们可以利用分布式防火墙和 Service Composer,以便保护我们的虚拟机不受用户执行的不安全操作的影响。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: HOL-SDC-1603

Version: 20150930-153729