VMware Hands-on Labs - HOL-1845-01-SLN-LT


Descripción general del laboratorio HOL-1845-01-SLN. Modernización de la infraestructura: diseñe su propio SDDC

Orientación sobre el laboratorio


Nota: Le llevará más de 90 minutos completar este laboratorio. Su expectativa debe ser solo la finalización de entre 2 y 3 módulos durante el tiempo del que disponga.  Los módulos son independientes unos de otros, por lo que puede empezar por el comienzo de cualquiera de los módulos y continuar desde allí. Puede utilizar el Índice para acceder a cualquier módulo que desee.

Se puede acceder al Índice en la esquina superior derecha del manual de laboratorio.

En este laboratorio, se presentará el valor que tiene modernizar su infraestructura con tecnologías de VMware para aprovechar las ventajas de un centro de datos definido por software (Software-Defined Data Center, SDDC). Se demostrarán el proceso y los requisitos necesarios para extender el procesamiento, el almacenamiento y la virtualización de redes a todo el centro de datos, y para incorporar la administración de las operaciones inteligentes para monitorear y administrar el entorno de manera proactiva.

Lista de los módulos del laboratorio:

Aprenda lo que significa "modernizar la infraestructura" y las ventajas que puede obtener si incorpora la administración de las operaciones inteligentes y extiende el procesamiento, el almacenamiento y la virtualización de redes a todo el centro de datos.  El laboratorio abarcará una descripción general de alto nivel del proceso necesario para modernizar su infraestructura con tecnologías de VMware y alcanzar el estado ideal del SDDC.

Introducción a las funciones de vSphere 6.5 que le facilitarán la creación y administración de su infraestructura virtual, ya que establecen las bases para sentar las bases de su SDDC y extender su entorno de TI a la nube privada y pública.

Descubra cuán fácil es extender la virtualización a su entorno de almacenamiento mediante la habilitación de VMware vSAN, la única solución de almacenamiento integrada en vSphere que permite suministrar almacenamiento hiperconvergente, de alto rendimiento y optimizado con unidades flash a máquinas virtuales.

Comprenda las capacidades principales de VMware NSX en un entorno de vSphere y el rol que la virtualización de redes y seguridad cumple en su SDDC.

 Directores del laboratorio:

 

Este manual práctico se puede descargar desde el sitio de documentos de Hands-On Labs que se encuentra en la siguiente página:

http://docs.hol.vmware.com 

Este laboratorio puede estar disponible en otros idiomas.  Para configurar la preferencia de idioma y obtener un manual localizado con el laboratorio, puede usar este documento como ayuda para orientarse en el proceso:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Ubicación de la consola principal

 

  1. El área en el recuadro ROJO contiene la consola principal.  El manual de laboratorio se encuentra en la pestaña ubicada a la derecha de la consola principal.
  2. En algunos laboratorios en particular, puede encontrar consolas adicionales en diferentes pestañas en la esquina superior izquierda. Se le indicará que abra otra consola específica si es necesario.
  3. El laboratorio comienza con 90 minutos en el temporizador.  El laboratorio no se puede guardar.  Todo el trabajo debe llevarse a cabo durante la sesión del laboratorio.  Sin embargo, puede hacer clic en el botón EXTEND para prolongar el tiempo.  Si se encuentra en un evento de VMware, puede prolongar el tiempo del laboratorio dos veces, hasta 30 minutos.  Con cada clic, obtiene 15 minutos adicionales.  Fuera de los eventos de VMware, puede prolongar el tiempo del laboratorio hasta 9 horas y 30 minutos. Con cada clic, obtiene una hora adicional.

 

 

Métodos alternativos para introducir datos con el teclado

Durante este módulo, introducirá texto en la consola principal. Además de escribir directamente en la consola, hay dos métodos muy útiles para introducir datos que facilitan la introducción de datos complejos.

 

 

Hacer clic y arrastrar el contenido del manual del laboratorio hacia la ventana activa de la consola

También puede hacer clic y arrastrar el texto y los comandos de la interfaz de línea de comando (Command Line Interface, CLI) directamente desde el manual del laboratorio hasta la ventana activa de la consola principal.  

 

 

Acceder al teclado internacional en línea

 

También puede utilizar el teclado internacional en línea que se encuentra en la consola principal.

  1. Haga clic en el ícono de teclado que se encuentra en la barra de tareas del inicio rápido de Windows.

 

 

Marca de agua o petición de activación

 

Cuando inicie el laboratorio por primera vez, es probable que aparezca una marca de agua en el escritorio para indicarle que Windows no se activó.  

Una de las ventajas más importantes de la virtualización es que las máquinas virtuales pueden migrarse y ejecutarse en cualquier plataforma.  Los Hands-On Labs utilizan esta ventaja, por lo que podemos ejecutar los laboratorios en múltiples centros de datos.  Sin embargo, estos centros de datos pueden no tener procesadores idénticos, lo que genera una verificación de activación de Microsoft mediante Internet.

Tenga la seguridad de que VMware y los Hands-On Labs se encuentran en cumplimiento normativo absoluto con los requisitos de asignación de licencias de Microsoft.  El laboratorio que utiliza es un pod autónomo y no posee acceso total a Internet, que es lo que Windows requiere a fin de verificar la activación.  Sin acceso total a Internet, este proceso automatizado falla, y se muestra esta marca de agua.

Este problema superficial no afecta el laboratorio.  

 

 

Observar el sector inferior derecho de la pantalla

 

Asegúrese de que se hayan completado todas las rutinas de inicio del laboratorio y el laboratorio esté listo para comenzar. Si ve otro mensaje que no sea "Ready", aguarde unos minutos.  Si el laboratorio no ha cambiado a "Ready" luego de 5 minutos, solicite asistencia.

 

Módulo 1: Introducción a la modernización de TI (15 minutos)

Introducción


En este módulo, se incluyen las siguientes lecciones:


Argumentación a favor de la infraestructura moderna


Descubra lo que significa modernizar la infraestructura

La modernización de la infraestructura se basa en la idea de aprovechar el centro de datos definido por software (SDDC), lo que implica la virtualización de recursos de procesamiento, almacenamiento y redes.  A los fines de este laboratorio, analizaremos los productos de VMware vSphere 6.5 (procesamiento), vSAN (almacenamiento) y NSX (redes) para demostrar cómo modernizar la infraestructura. Además, utilizaremos vRealize Operations (vROps) para proporcionar monitoreo y alertas.


 

La evolución digital en la era de las nubes múltiples

Es de conocimiento general que actualmente estamos experimentando un cambio importante en la infraestructura del centro de datos. La tecnología de virtualización cambió las reglas del juego para virtualización del procesamiento. Pero esto provocó una discrepancia entre la capa de procesamiento altamente eficiente y el resto del centro de datos, en particular, el almacenamiento compartido y los servicios de redes. Como resultado, muchas organizaciones enfrentan costos de almacenamiento elevados, una administración compleja y flexibilidad limitada desde una perspectiva de redes.

Sumado a estos tres desafíos básicos, hay tres tendencias de TI que ponen más presión sobre la infraestructura y las operaciones de TI:

Claramente, el centro de datos del pasado no puede mantenerse al día:  debe evolucionar.

 

 

 

¿Qué es una infraestructura moderna y cuál es la estrategia de VMware?

Haga clic en el video de 13 minutos a continuación para descubrir de qué manera VMware puede ayudarlo a modernizar su centro de datos aprovechando algunos de los mismos principios que llevaron a la virtualización del procesamiento al éxito.

 

Finalización


Gracias por completar el Módulo 1. Puede encontrar más detalles sobre cómo aprovechar el centro de datos definido por software para modernizar su infraestructura en nuestro libro electrónico (http://bit.ly/2tzpHh1). En los módulos 2 al 4, se mostrarán todas las tecnologías analizadas en este módulo.


 

Ha finalizado el módulo 1.

Continúe con cualquiera de los siguientes módulos que sea de su interés.

 

 

 

Finalización del laboratorio

 

Para finalizar el laboratorio, haga clic en el botón END.  

 

Módulo 2: Virtualización del procesamiento con vSphere 6.5 (30 minutos)

Introducción


En este módulo, se incluyen las siguientes lecciones:


Virtualización del procesamiento


La virtualización del procesamiento se refiere a la virtualización de recursos tanto de la memoria como del procesador dentro de una máquina virtual (VM).


 

vSphere 6.5: experiencia considerablemente simplificada

vSphere 6.5 lleva la experiencia de los clientes a un nivel completamente nuevo.  Proporciona una simplicidad excepcional en la administración, eficiencia operacional y tiempo de salida al mercado más rápido.

Con vSphere 6.5, vCenter Server Appliance (VCSA) se convierte en el componente básico fundamental de un entorno de vSphere.  La arquitectura principal de vSphere está diseñada en torno a esta "estrategia fácil de implementar y administrar", lo que reduce la complejidad operacional incorporando funcionalidades clave en una única ubicación.  Este nuevo modelo integral de dispositivos incluye integradas competencias como las siguientes: la administración de hosts de vSphere (con una instancia de vSphere Update Manager completamente integrada), la alta disponibilidad (High Availability, HA) nativa de VCSA y el respaldo y la recuperación basados en archivos.  Los usuarios ahora pueden ser más eficientes, ya que no necesitan interactuar con múltiples componentes.  Además, dado que todo está centralizado, VCSA genera importantes optimizaciones e innovaciones, incluida una escalabilidad dos veces mayor y un rendimiento tres veces mayor.  La actualización a este componente básico será más fácil que nunca, ya que los usuarios ahora pueden abandonar su implementación tradicional de Windows para adoptar este nuevo modelo de dispositivos usando la herramienta de migración de vCenter Server Appliance.

 

 

 

Seguridad integral incorporada

Dado que las amenazas están en aumento, la seguridad integral incorporada es más importante que nunca.  vSphere 6.5 proporciona de manera nativa protección de datos, infraestructura y acceso según las necesidades mediante su modelo regido por políticas y simple desde el punto de vista operacional.  Proteger las tres áreas es esencial para la transformación digital y la evolución de todo negocio.

Para proteger los datos, vSphere 6.5 ofrece una nueva capacidad de cifrado de discos en el nivel de la VM que está diseñada para proteger los datos de accesos no autorizados. La estrategia de VMware es tanto universal como escalable y tiene la capacidad de cifrar cualquier disco de una VM independientemente del sistema operativo (SO) invitado, así como también la capacidad de administrar el cifrado según las necesidades mediante el marco de políticas de almacenamiento ya conocido de vSphere.  Junto con la nueva capacidad cifrada de vMotion, vSphere puede proteger los datos estáticos y los datos móviles.

Para garantizar la seguridad de la infraestructura subyacente, vSphere 6.5 también incorpora un modelo de arranque seguro para proteger el hipervisor y el sistema operativo invitado.  Esto evita la manipulación de imágenes e impide la carga de componentes no autorizados.

vSphere 6.5 también ofrece capacidades mejoradas de registro de auditorías de calidad que proporcionan más información forense sobre las acciones de los usuarios.  El Departamento de TI ahora puede comprender mejor quién realizó una acción y cuándo, en el caso de que una investigación de anomalías o amenazas de seguridad lo requiera.

vSphere 6.5 es el componente fundamental de un centro de datos definido por software (SDDC) seguro y funciona sin inconvenientes con otros productos de SDDC para brindar un modelo de seguridad completo para la infraestructura.

 

 

Exploración de vSphere 6.5


En esta sección, explorará vSphere 6.5 mediante Web Client (Flex/Flash) y Web Client (HTML5).


 

Elección del cliente

Con vSphere 6.5, hay dos clientes disponibles mediante su navegador: Web Client (Flash/Flex) y HTML5 Client.  Web Client es el remplazo completamente funcional del antiguo C# Client, también conocido como el cliente pesado.  HTML5 Client es un antiguo fling de VMware que empaquetamos con vSphere 6.5., pero solo tiene funcionalidad parcial.  

 

 

Iniciar sesión en vSphere Web Client

 

Desde Chrome, seleccione "vCenter (Web Client)" en la barra de marcadores.

 

 

Navegar en vSphere 6.5 Web Client

 

Ahora que inició sesión, familiaricémonos con la interfaz.  La primera página que vemos es la vista "Hosts and Clusters", que nos permite ver los 6 hosts ESXi y la configuración de dos clústeres que hemos establecido.

En los 2 clústeres, tenemos un clúster de procesamiento (RegionA01-COMP01) que aloja a 3 de los hosts ESXi y el clúster de aplicaciones de 3 niveles (se profundizará sobre esto en el Módulo 4) y de administración (RegionA01-MGMT01) que aloja a los otros 3 hosts.  En cada uno de estos hosts, hemos configurado una instancia de NSX Controller.

 

 

vMotion cifrado

Una de las funciones nuevas de vSphere 6.5. es vMotion cifrado.  Hay 3 opciones para vMotion cifrado:

  1. Disabled (desactivado)
    • No se utiliza vMotion cifrado aunque esté disponible.
  2. Opportunistic (oportunista)
    • Se utiliza vMotion cifrado si es compatible con los hosts de origen y destino; de lo contrario, se recurre a vMotion no cifrado.  Esta es la opción predeterminada.
  3. Required (obligatorio)
    • Solo se admite vMotion cifrado.  Si los hosts de origen y destino no son compatibles con el cifrado de vMotion, no se permite el funcionamiento de vMotion.

 

 

Descripción general de vSphere 6.5 HTML5 Client

 

Seleccione "vCenter (HTML5 Client)" en la barra de marcadores de Chrome.

 

Administración de vSphere 6.5


En esta sección, explorará el aspecto administrativo de vSphere 6.5.


 

Iniciar Google Chrome

 

 

 

Iniciar sesión en el área de administración de dispositivos de vSphere

 

Una vez que Chrome se abra, haga clic en "vSphere Management" en la barra de marcadores.

 

Descripción general de las operaciones inteligentes


En esta sección, conocerá los tableros de vRealize Operations Manager que se utilizan para monitorear el entorno de vSphere.


 

vRealize Operations Manager (vROps)

VMware ofrece operaciones inteligentes desde las aplicaciones hasta la infraestructura para planificar, administrar y escalar el SDDC y las implementaciones de nubes múltiples.  Esta plataforma de operaciones altamente intuitiva, extensible y escalable permite mejorar el rendimiento y la disponibilidad mediante el monitoreo con reconocimiento de aplicaciones, la resolución de problemas y la visibilidad unificada del estado de las aplicaciones y la infraestructura en el SDDC y las nubes múltiples.

Permite simplificar las operaciones automatizando la administración de la infraestructura y las aplicaciones mediante el balanceo automatizado de las cargas de trabajo y la detección anticipativa, y la remediación automática de problemas y anomalías.  Los datos comerciales y operacionales se correlacionan para ayudar a acelerar la planificación de la nube y las decisiones de asignación en múltiples nubes, además de reducir los costos y los riesgos mediante la optimización de la utilización de la capacidad, el pronóstico preciso de las necesidades de capacidad y el cumplimiento de los estándares.

 

 

 

Iniciar sesión en vROps

 

Abrir Google Chrome

 

 

Ver tableros

 

En la primera pantalla de inicio de sesión, obtiene una descripción general de alto nivel de su entorno.  En nuestro caso, tenemos una sola instancia de vCenter y un solo centro de datos, y todo está en buen estado, por lo que el estado se muestra en color verde.  Vayamos a la pestaña de tableros con un clic en "Dashboards".

 

 

Alertas de vROps

 

Para ver las alertas dentro de vROps, seleccione la pestaña "Alerts" en la barra de menú y expanda "Today" para ver las alertas del día.

 

 

Sección Environment Overview

 

Lo último que veremos aquí será la sección "Environment".  Seleccione "Environment" en la barra de menú del sector superior.

 

 

Cerrar sesión en vROps

 

Cierre sesión en vROps y cierre su navegador.

 

Finalización


En este módulo, exploró vSphere 6.5 mediante (Flash/Flex) Web Client y (HTML5) Client.  Navegó por el portal de administración de VCSA y monitoreó el entorno con vROps.


 

Ha finalizado el módulo 2.

Felicitaciones por completar el módulo 2.

Si desea obtener más información sobre vSphere 6.5, pruebe una de estas opciones:

Continúe con cualquiera de los siguientes módulos que sea de su interés.

Para obtener información más detallada sobre vSphere 6.5 o vROps, aquí presentamos algunos Hands-On-Labs adicionales disponibles este año:

 

 

Finalización del laboratorio

 

Para finalizar el laboratorio, haga clic en el botón END.  

 

Módulo 3: Virtualización del almacenamiento: vSAN 6.6 (30 minutos)

Introducción


Cuando adopta la estrategia de "crear su propia infraestructura moderna" para construir un centro de datos definido por software (Software-Defined Data Center, SDDC), la virtualización de almacenamiento de VMware (vSAN) le permite transformar los servidores x86 estándares del sector con almacenamiento de conexión directa (Direct-Attached Storage, DAS) en componentes básicos rentables y altamente escalables con redes y procesamiento definidos por software.  Esta estrategia revolucionaria definida por software prepara el camino para que las empresas puedan incrementar fácilmente la agilidad y la flexibilidad con plataformas integradas. Estas plataformas incluyen soluciones de administración unificada potentes y fáciles de implementar que son realmente capaces de respaldar la transformación digital.

En este módulo, se incluyen las siguientes lecciones:


Descripción general de VMware vSAN


En esta sección, proporcionaremos una descripción general breve de la virtualización del almacenamiento con VMware vSAN y los requisitos para implementar y habilitar vSAN en este entorno.


 

Creación de su propia infraestructura moderna con vSAN

VMware vSAN es el almacenamiento principal y predeterminado para construir un centro de datos definido por software. El proceso de configuración y ensamblado para cada sistema se puede estandarizar si se utiliza hardware compatible, y todos los componentes se instalan de la misma manera en cada host. La estandarización de toda la configuración física de los hosts ESXi es fundamental para proporcionar una infraestructura con facilidad de administración y soporte técnico, ya que la estandarización elimina la variabilidad. La ubicación sistemática de la ranura de tarjetas de la industria de tarjetas de pago (Payment Card Industry, PCI), en especial para los controladores de red, es esencial para la alineación precisa de la E/S física a virtual.

 

 

Descripción general de VMware vSAN

vSAN es una solución de almacenamiento definido por software que potencia los sistemas hiperconvergentes líderes del sector. vSAN tiene la capacidad única de proporcionar almacenamiento integrado de vSphere y opciones de una amplia red de soluciones de hardware y software. La solución es el primer paso ideal para las organizaciones que desean evolucionar naturalmente y sin riesgos a la infraestructura hiperconvergente (Hyper-Converged Infrastructure, HCI) y trasladar los recursos a proyectos estratégicos. Los estudios muestran que vSAN permite reducir los gastos operacionales (Operating Expenses, OpEx) hasta en un 60 %, ya que se ahorra en superficie, mano de obra, energía y refrigeración del centro de datos. 

vSAN está totalmente integrado con vSphere y es compatible con todas las funcionalidades más populares de vSphere, incluidas Dynamic Resource Scheduling (DRS), High Availability (HA), vMotion y más. vSAN también está integrado con vRealize Suite para entornos automatizados más grandes.

Puntos clave:

Características técnicas:

 

 

Requisitos de vSAN: vCenter Server

vSAN 6.5 requiere versiones 6.5 de los componentes de vCenter y ESXi, y puede ser administrado por vCenter Server Appliance (VCSA) o una instancia de vCenter Server basada en Windows.   Para configurar vSAN, debe utilizar vSphere Web Client.

 

 

Requisitos de vSAN: ESXi

vSAN requiere al menos 3 hosts de vSphere (cada host cuenta con almacenamiento local) para formar un clúster de vSAN compatible. Esto permite que el clúster cumpla con los requisitos mínimos de disponibilidad de tolerar, al menos, una falla en el host. Los hosts de vSphere deben ejecutar vSphere 6.5. Con menos hosts, se pone en riesgo la disponibilidad de las máquinas virtuales si un solo host deja de funcionar. El número máximo de hosts admitido es de 64.

Cada host de vSphere en el clúster que contribuye al almacenamiento local para vSAN debe tener al menos una unidad de disco duro (Hard Disk Drive, HDD) y una unidad de disco en estado sólido (Solid State Disk, SSD).

 

 

Requisitos de vSAN: disco y red

IMPORTANTE: Todos los componentes (hardware, controladores, firmware) deben figurar en la Guía de compatibilidad de vSphere para vSAN. Las demás configuraciones no son compatibles.

El puerto VMkernel está etiquetado como vSAN. Este puerto se utiliza para la comunicación de nodos dentro del clúster. Además, se utiliza para lecturas y escrituras cuando uno de los hosts de vSphere en el clúster tiene una máquina virtual particular, pero los bloques de datos reales en los que consisten los archivos de la máquina virtual se encuentran en un host de vSphere diferente en el clúster. En este caso, la E/S deberá atravesar la red configurada entre los hosts del clúster.

 

 

Exploración de VMware vSAN


En esta sección, revisaremos vSphere Web Client para habilitar, administrar y monitorear vSAN.

En primer lugar, es importante tener en cuenta que VMware vSAN no requiere la implementación de virtual appliances de almacenamiento ni la instalación de un paquete de instalación de vSphere (vSphere Installation Bundle, VIB) en cada host en el clúster. vSAN es nativo del hipervisor de vSphere y, por lo general, consume menos del 10 % de los recursos de procesamiento en cada host. vSAN no compite con otras máquinas virtuales por recursos, y la ruta de E/S es más corta.

 

El funcionamiento de vSAN en el kernel genera eficiencias que no son posibles en ningún otro sistema.  También permite que esta tecnología herede todas las capacidades nativas a nivel de los sistemas de vSphere, incluido un modelo de administración simplificado y bien integrado.

En esta lección, le mostraremos cuán simple es habilitar y administrar vSAN desde vCenter mediante vSphere Web Client.


 

Puntos a tener en cuenta para habilitar vSAN

Un clúster de vSAN puede incluir hosts con discos de almacenamiento y hosts sin discos de almacenamiento.

Siga estas pautas cuando cree un clúster de vSAN.

Una vez que habilita vSAN, el proveedor de almacenamiento de vSAN se registra automáticamente en vCenter Server y se crea el datastore de vSAN.

 

 

Abrir el navegador Chrome

 

  1. Haga clic en el ícono de Chrome que se encuentra en la barra de tareas del inicio rápido de Windows.

 

 

Navegar a la página de inicio de vSphere Web Client

 

Una vez que inicie sesión, aparecerá la página de inicio de vSphere Web Client.

Para minimizar o maximizar los paneles Recent Tasks, Alarms y Work In Progress, haga clic en el alfiler.

 

 

Activar de vSAN

 

 Seleccione RegionA01-COMP01 y navegue hacia Configure > vSAN > General, y selecciones Configure.

En este entorno de laboratorio, vSAN está desactivado, y lo activaremos en el clúster RegionA01-Com01.

Nota: En este entorno de laboratorio, vSAN solo está configurado y activado en RegionA01-COMP01. Los 3 hosts ESXi contribuyen al almacenamiento con caché y capacidad para formar el datastore de vSAN.

 

 

Configurar vSAN

 

Aparecerá el diálogo Configure vSAN. A los fines de este laboratorio, NO activaremos la desduplicación ni la compresión, y NO configuraremos los dominios de fallas ni clústeres extendidos.

1. Haga clic en Next para continuar con la habilitación de vSAN.

 

 

Reclamo de disco de vSAN

 

NO debería haber discos para reclamar. La configuración de disco ya se completó en este laboratorio.

  1. Haga clic en Next.
  2. Haga clic en Finish.

 

 

Pestaña General de vSAN

 

En la pestaña General, se muestra el estado del servicio de vSAN y las funciones habilitadas en el clúster de vSAN. En este momento, debería ver la opción  "vSAN is Turned ON" y la opción "Deduplication and compression" establecidas en Disabled.

Puede ver que vSAN está utilizando los 6 discos (dos en cada host) y que todos los discos tienen la misma versión con formato en disco.

Nota: Es posible que la configuración de vSAN y la página de estado demoren unos minutos en cargarse.

 

 

Administración de disco de vSAN

 

1. Seleccione Cluster RegionA01-COMP01 y navegue hacia Configure > vSAN > Disk Management.

Aparece el grupo de discos de vSAN de cada host ESXi. Cada host tiene un grupo de disco con un dispositivo flash para el almacenamiento en caché y un dispositivo flash para la capacidad. Esta es una configuración de vSAN basada solo en flash.

 

 

Migrar máquinas virtuales al datastore de vSAN

 

Una vez que vSAN esté activado, puede migrar fácilmente sus máquinas virtuales al datastore de vSAN. En esta sección, migraremos la máquina virtual web-01a al datastore de vSAN.

  1. Seleccione Home.
  2. Seleccione Hosts and Clusters.
  3. Expanda el clúster RegionA01-COMP01.
  4. Haga clic derecho en web-01a.
  5. Seleccione Migrate.

 

 

Seleccionar Change Storage Only

 

  1. Seleccione Change Storage Only.
  2. Haga clic en Next.

 

 

Seleccionar el datastore de vSAN

 

  1. Seleccione vsanDatastore.
  2. Haga clic en Next.
  3. Haga clic en Finish.

Comenzará la migración de la máquina virtual Web-01a desde su datastore iSCSI actual hacia el datastore de vSAN. Esto puede demorar unos minutos.

Puede hacer un seguimiento del estado en Recent Tasks.

 

 

 

Verificar la capacidad de almacenamiento de vSAN

 

1. Haga clic en Storage, luego seleccione vsanDatastore y haga clic en Summary.

La capacidad que se muestra es la suma de los dispositivos de capacidad extraídos de cada uno de los hosts ESXi en el clúster (menos algunos costos generales de vSAN).

Los dispositivos flash que se usan como caché no se tienen en cuenta cuando se calcula la capacidad.

 

 

 

Estado y rendimiento

El servicio Performance Service de vSAN proporciona una variedad de información de rendimiento, como la tasa de transferencia y la latencia en diferentes niveles (hosts, clúster, grupo de discos de vSAN, máquina virtual). Primero debe asegurarse de que el servicio Performance Service está activado.

 

 

Performance Service de vSAN

 

Para verificar que el servicio Performance Service de vSAN esté ACTIVADO, navegue hacia Hosts and Clusters y seleccione RegionA01-COMP01. Haga clic en la pestaña Configure > vSAN > Health and Performance.

En la pestaña Health and Performance, puede ver que el servicio se está ejecutando y su estado es positivo. La base de datos del historial de rendimiento de vSAN se almacena como un objeto de vSAN. La política controla la disponibilidad, el consumo de espacio y el rendimiento del objeto. Si el objeto deja de estar disponible, el historial de rendimiento del clúster también dejará de estar disponible.

 

 

Revisar la información de rendimiento

 

Ahora revisemos algunos datos de rendimiento de nuestro clúster de vSAN. Seleccione el clúster RegionA01-COMP01 y navegue hacia Monitor > Performance > vSAN - Virtual Machine Consumption.

En el nivel del clúster, están disponibles estadísticas tales como las de IOPS, tasa de transferencia y latencia. Se muestra información de la última hora por defecto. Se puede cambiar el intervalo de tiempo y ver, por ejemplo, estadísticas de las últimas 3 horas o de una fecha y un intervalo personalizados.

 

 

Navegar hacia vSAN - Backend

 

El tráfico de vSAN - Backend muestra información sobre la E/S de backend, como las actualizaciones de metadatos de vSAN, el aprovisionamiento de máquinas virtuales y las reconstrucciones de objetos. De manera similar que en vSAN - Virtual Machine Consumption, hay información disponible de congestión, IOPS, tasa de transferencia y E/S pendientes.  

 

 

Hosts ESXi: datos de rendimiento de vSAN

 

1. Navegue hacia Hosts and Clusters y seleccione ESX-01a.corp.local.

2. Haga clic en Monitor > Performance.

Los datos de rendimiento de vSAN también están disponibles en el nivel del host ESXi. También se puede ver información sobre grupos de discos y discos físicos individuales. Algunos gráficos muestran diversas estadísticas; por ejemplo, IOPS de lectura y escritura front-end, búfer de escritura y latencia de E/S.

Puede navegar por las diferentes pestañas y explorar los datos de rendimiento disponibles en el nivel del host.

 

 

Comprobar el estado de vSAN

La comprobación del estado nativa de vSAN se introdujo con vSAN 6.1. La comprobación del estado integrada de vSAN ejecuta diversas comprobaciones anticipativas de la configuración y el estado, y alerta a los usuarios sobre riesgos potenciales en su entorno. Exploremos esta funcionalidad clave de vSAN.

 

Haga clic en Hosts and Clusters y seleccione el clústerRegionA01-COMP01. Navegue hacia Monitor > vSAN > Health.

Aquí puede ver la lista de las comprobaciones del estado y el estado general (Passed, Warning o Errors). Puede expandir cada una de las pruebas para ver las pruebas individuales dentro de cada una.

 

 

Comprobar el estado de vSAN: Ask VMware

 

Otro aspecto muy útil de la comprobación del estado es que, en cada prueba, se muestra el enlace "Ask VMware". Para aquellos de ustedes que no están familiarizados con Ask VMware, estos enlaces dirigen a los administradores directamente a un artículo de la Knowledge Base de VMware, en el que se detalla el objetivo de la prueba, los motivos por los que podría fallar y lo que se puede hacer para remediar la situación. Si una de las pruebas falla, los administradores deben siempre hacer clic en el botón Ask VMware y leer el artículo de la Knowledge Base (KB) asociado. En muchos casos, se ofrecen pasos para encontrar una solución. En otros casos, los administradores deben contactar al soporte VMware para obtener más ayuda.

1. Expanda Hardware compatibility Test y seleccione Controller is VMware Certified for ESXi Release.

Aquí puede ver si hay algún driver compatible para un controlador específico en la liberación de versión instalada de ESX.

ATENCIÓN: Este laboratorio no está conectado a Internet y no podemos acceder al sistema de Knowledge base de VMware.

 

 

Estado de la HCL de vSAN

 

El estado de la lista de compatibilidad de hardware (Hardware Compatibility List, HCL) de vSAN verifica que el hardware del controlador de almacenamiento y la versión del driver estén incluidas en la HCL y sean compatibles con esta versión de vSAN. Si el controlador o el driver no está en la HCL o no son compatibles con esta versión de vSAN (concretamente, la versión de ESXi en la que se está ejecutando vSAN), se mostrará una advertencia en la comprobación del estado.

También se debe verificar que la base de datos (Database, DB) de la HCL de vSAN esté actualizada. En otras palabras, las evaluaciones se realizan sobre una versión válida y actualizada de la base de datos de la HCL.

 

 

Actualización de la base de datos de la HCL

 

Para verificar que la base de datos de la HCL de vSAN esté actualizada, seleccione Hosts and Cluster > RegionA01-COMP01 y navegue hacia Configure > vSAN > Health and Performance.

Dado que la HCL se actualiza de forma regular y frecuente, los administradores deben actualizar la versión local de la base de datos de estas evaluaciones. Esto puede hacerse en línea (si su vCenter Server tiene acceso a VMware.com). De lo contrario, si su vCenter Server no está en línea, puede descargar un archivo de la DB de la HCL y actualizarlo. Para actualizar la versión de la DB de la HCL en línea, simplemente haga clic en "Update from file" o en "Get latest version online", como se muestra en la prueba de la comprobación del estado.

 

Operaciones inteligentes de vSAN con vROps


En esta sección, conocerá los tableros de vRealize Operations Manager que se utilizan para monitorear su entorno de vSAN.

 

Con cada liberación de versión de vRealize Operations Manager (vROps), se hace un gran esfuerzo por integrar los diferentes productos de VMware en la plataforma de manera "lista para usar" a fin de ofrecerle una experiencia uniforme y una obtención de resultados rápida. Con vROps 6.6, la solución se extiende aun más e integra monitoreo y administración de otros productos de VMware como vSAN.

Novedades destacadas:


 

Abrir Google Chrome

 

Abra Google Chrome desde la barra de tareas del inicio rápido de Windows.

 

 

Iniciar sesión como admin en vRealize Operations Manager

 

  1. Seleccione Local Users.
  2. Introduzca admin como nombre de usuario.
  3. Escriba la contraseña VMware1!.
  4. Haga clic en Log In.

 

 

Ver tableros de vSAN

 

La pantalla Dashboard contiene todos los tableros listos para usar, así como también todos los tableros personalizados creados para su entorno. En esta sección, exploraremos los tableros "listos para usar" para vSAN.

  1. Para acceder a la página de tableros, haga clic en Dashboards en el menú del sector superior.
  2. Una lista de todos los tableros para vSAN debería estar disponible en el panel de la izquierda.
  3. Si no tiene tableros para vSAN, puede habilitarlos seleccionando cada uno de la lista All Dashboards.
  4. Seleccione vSAN Operations Overview.

 

 

Tableros: vSAN Operations Overview

 

La descripción general de las operaciones de vSAN es una forma simple de mirar el estado y el rendimiento adicional de los clústeres de vSAN. Desde este tablero, puede obtener una visión integral de su entorno de vSAN y los componentes que conforman ese entorno.  También puede ver la tendencia de crecimiento de las máquinas virtuales que reciben servicios de vSAN. Además del panorama general, en este tablero puede ver las propiedades clave de cada uno de sus clústeres de vSAN.

El tablero le permite centrarse en cualquiera de estos clústeres seleccionándolo y observando las estadísticas de rendimiento, utilización y capacidad de todo el clúster. El tablero también le brinda una tendencia de problemas conocidos que pueden haber ocurrido específicamente en relación con sus entornos de vSAN.

Siéntase libre de explorar el tablero para ver la amplia variedad de datos recopilados.  

 

 

Tableros: vSAN Capacity Overview

 

A continuación, exploraremos el tablero vSAN Capacity Overview.

  1. Seleccione All Dashboards en la página de tableros.
  2. En la opción Capacity & Utilization, puede seleccionar vSAN Capacity Overview.

 

 

Explorar el tablero vSAN Capacity Overview

 

  1. Seleccione el clúster (RegionA01-COMP01) de vSAN en la lista de clústeres de vSAN.

La descripción general de la capacidad de vSAN simplifica la administración de la capacidad de vSAN, ya que le proporciona una agregación lista para usar de colaboradores y utilización de capacidad para todos los clústeres de vSAN. Proporciona transparencia al retorno de las inversiones en el arreglo de discos de vSAN basado solo en flash, ya que muestra los ahorros de almacenamiento logrados gracias a la desduplicación y compresión.  Dado que las personas principalmente piensan en clústeres cuando piensan en la capacidad, el tablero le ofrece la posibilidad de analizar en detalle cada clúster para ver la capacidad y el tiempo restantes antes de que se agote el almacenamiento, basado en tendencias de utilización anteriores.

En este tablero, se muestra información que le permitirá saber qué tan uniforme es la utilización de la capacidad de cada disco dentro del clúster de vSAN, lo que le da una idea de cuán uniformemente están cargados los discos. vSAN ejecuta algoritmos internos de reequilibrio para que los discos estén equilibrados y, así, obtener un rendimiento óptimo. No obstante, un administrador también podría activar el reequilibrio de manera manual si observa demasiadas variaciones en la utilización del disco.

Nota: Dado que ha activado vSAN como parte del módulo anterior, no ha pasado suficiente tiempo para que vROps recopile datos y genere informes.  Estamos mostrando datos que recopilamos previamente para que usted los pueda ver aquí.

 

 

Abrir el tablero Troubleshoot vSAN

 

  1. Navegue hacia All Dashboards.
  2. Seleccione Performance Troubleshooting.
  3. Abra Troubleshoot vSAN.

 

 

Tablero Troubleshoot vSAN

 

El tablero Troubleshoot vSAN está diseñado específicamente para satisfacer las necesidades de un administrador de vSAN. Una vez que identifique un problema potencial en su entorno de vSAN, puede dirigirse a este tablero para llevar a cabo un análisis de espina de pescado mediante la regla de eliminación.

En el tablero, se indicarán todos sus clústeres de vSAN, junto con detalles clave de inventario que le proporcionarán una descripción general de las propiedades clave de su clúster. Una vez que seleccione un clúster, puede indicar todos los problemas conocidos con todos los objetos relacionados con ese clúster. Estos incluyen clústeres, datastores, grupos de discos, discos físicos y, lo más importante, las máquinas virtuales que reciben servicios del clúster de vSAN seleccionado.

Luego el tablero analiza en detalle las métricas clave de utilización y rendimiento, y le muestra una tendencia de cómo se ha utilizado el clúster y cómo ha sido su rendimiento en las últimas 24 horas. Puede retroceder en el tiempo fácilmente si está lidiando con problemas históricos.

 

 

Cerrar sesión en vROps

 

 

Finalización


En este módulo, exploró VMware vSAN mediante vSphere Web Client. Analizamos cuáles son los requisitos para habilitar vSAN y cómo administrar y monitorear su infraestructura de vSAN con vSphere Web Client y vROps.


 

Ha finalizado el Módulo 3.

Felicitaciones por completar el Módulo 3.

Si desea obtener más información sobre VMware vSAN, pruebe uno de estos laboratorios:

Continúe con cualquiera de los siguientes módulos que sea de su interés.

 

 

Finalización del laboratorio

 

Para finalizar el laboratorio, haga clic en el botón END.  

 

Módulo 4: Virtualización de redes: NSX 6.2 (30 minutos)

Introducción


Descubra lo fácil que es extender la virtualización a su entorno de red mediante la habilitación de VMware NSX.

En este módulo, se incluyen las siguientes lecciones:


Descripción general de VMware NSX


En esta sección, proporcionaremos una descripción general breve de las redes y la virtualización de VMware, y los casos de uso principales.

VMware NSX® es la base del centro de datos definido por software y completa la infraestructura de virtualización. Esto le permite a TI actuar con rapidez según las demandas del negocio sin poner en riesgo la seguridad o la disponibilidad de las aplicaciones fundamentales. Con NSX, las funciones de redes y seguridad que frecuentemente se manejan en el hardware se incorporan directamente en el hipervisor y, de esta manera, se provee el modelo operacional de una máquina virtual para las funciones de redes y seguridad, y TI puede mantenerse a la par de las demandas del negocio.


 

Separar el hardware de redes

Muchas de las organizaciones ya tienen componentes de procesamiento virtualizados en sus centros de datos, y la gran mayoría ha virtualizado entre el 50 % y el 100 % de sus servidores. Además, como se analizó en el módulo 3, los negocios han tomado la decisión de virtualizar el almacenamiento, y más del 70 % ya adoptó o planea adoptar almacenamiento definido por software. Esta separación de funcionalidad entre hardware y software les permite a los negocios aprovisionar aplicaciones sin demora alguna, migrar sistemas virtuales entre centros de datos y dentro del centro de datos, y automatizar una variedad de procesos. Desafortunadamente, algunas de estas ventajas todavía están ancladas a componentes presentes en el centro de datos que no han evolucionado lo suficientemente rápido y todavía se limitan a una parte de la infraestructura del centro de datos que no se ha virtualizado: las redes. El valor total del centro de datos definido por software no está todavía disponible en su totalidad para la mayoría de las organizaciones debido a este legado.

Por lo tanto, resulta necesario un enfoque fundamentalmente nuevo hacia la infraestructura de redes, un enfoque con el cual ya no se deba elegir entre velocidad y seguridad ni entre seguridad y agilidad. Para ello, se deben modificar las reglas del centro de datos que les han impedido a los negocios liberar todo su potencial y, de esta manera, TI podrá desempeñar su función sin tener que hacer concesiones. Como ya han aprendido miles de negocios, la virtualización de redes es la nueva estrategia.

 

 

Crear su propia infraestructura de TI moderna con NSX

Mediante la migración de los servicios de redes y seguridad a la capa de virtualización del centro de datos, la virtualización de redes le permite a TI crear, tomar snapshots, almacenar, migrar, eliminar y restaurar entornos completos de aplicaciones con la misma facilidad y velocidad que tienen cuando las máquinas virtuales se ponen en funcionamiento. Esto, a su vez, genera nuevos niveles de seguridad y eficiencia que eran inalcanzables. VMware NSX es la plataforma de virtualización de redes del centro de datos definido por software. Traslada las funciones que eran parte del hardware de redes, como conmutación, enrutamiento y protección de firewall, y las aísla en el hipervisor. De esta manera, con NSX se crea lo que se considera un "hipervisor de redes" que está distribuido en todo el centro de datos. Con este hipervisor, TI puede convertirse en un habilitador de innovación para la organización, ya que esta podrá decir "sí" a distintas partes interesadas en vez de tratar sus solicitudes como contrapuestas y como si fueran mutuamente excluyentes. TI no solo es capaz de proveer niveles de seguridad nunca vistos, sino que puede hacerlo manteniéndose al día con las demandas de la organización. La continuidad de las aplicaciones, la automatización de los procesos manuales de TI y la seguridad fundamental del centro de datos funcionan en armonía con las limitaciones de tiempo y las planificaciones generadas por el negocio, de modo que se reducen en gran medida las complejidades operacionales y los costos asociados.

 

 

Seguridad

Las soluciones tradicionales definidas por hardware dependen de colocar construcciones rígidas de seguridad principalmente en el perímetro del centro de datos. Por lo tanto, la parte interna del centro de datos queda desprotegida. Con NSX, en cambio, se habilita un centro de datos fundamentalmente más seguro mediante la integración de seguridad virtualizada y protección con firewall distribuida directamente en la infraestructura. De esta manera, se crean puntos de cumplimiento de políticas para cada carga de trabajo. Por primera vez, es operacionalmente viable proporcionar una seguridad detallada con políticas que acompañan las cargas de trabajo, independientemente de dónde se encuentran en la topología de red. Mediante este proceso, se reduce drásticamente el riesgo para el negocio, ya que se habilitan acciones de seguridad para adaptarse de inmediato a las amenazas cambiantes, al mismo tiempo que se simplifica en gran medida el modelo operacional de seguridad.

 

 

 

Automatización

La automatización se encuentra en el corazón de la agilidad y consistencia de TI, lo que, a su vez, permite aumentar significativamente los ahorros operacionales generales. Sin embargo, las organizaciones de TI que todavía se ven limitadas por el hardware no tienen la capacidad de implementar una estrategia eficaz de automatización que cumpla con los objetivos a menudo contrapuestos de la organización. El hardware de red en particular depende en gran medida de la configuración manual propensa a errores y del mantenimiento de bibliotecas de scripts en expansión. El resultado es un proceso arduo que impacta en la capacidad de TI para respaldar el negocio mientras este se mueve rápidamente para aprovechar nuevas oportunidades. Gracias a NSX, se supera esta barrera centrada en el hardware y se logra la automatización de las operaciones de redes. Al trasladar los servicios de redes y seguridad hacia la capa de virtualización del centro de datos, con NSX, se obtiene el mismo modelo operacional automatizado de una VM, solo que en toda la red. Ya sea mediante VMware vRealize Automation, OpenStack u otra herramienta, NSX permite automatizar diversos procesos y, de este modo, acelerar en gran medida el suministro de servicios y reducir los tiempos de aprovisionamiento de meses a minutos. Los impactos positivos que esta acción tiene en el negocio son indiscutibles e incluyen la reducción drástica de complejidades y costos operacionales, como así también mejoras en la gobernanza, el cumplimiento normativo y la coherencia.

 

 

 

Continuidad de las aplicaciones

 

Ya sea para la recuperación ante desastres o para la creación de depósitos de recursos compartidos del centro de datos, la continuidad de las aplicaciones es una de las prioridades principales para TI. Sin embargo, debido a las complejidades de las redes y a una infraestructura inflexible, la capacidad de migrar cargas de trabajo rápidamente entre centros de datos o a depósitos de recursos de centros de datos en múltiples ubicaciones ha estado fuera del alcance de la mayoría de las organizaciones. Para poder migrar cargas de trabajo sin interrupciones, se requieren configuraciones compatibles de redes y seguridad habilitadas en distintos dominios. Con las redes basadas en el hardware, la replicación de redes en diferentes dominios es difícil de lograr. Debido a esto, las tareas fundamentales, como la recuperación ante desastres, siguen siendo lentas y engorrosas. Mediante NSX, las organizaciones no solo pueden migrar máquinas virtuales entre centros de datos, sino que también pueden migrar todas las políticas asociadas de redes y seguridad. Mediante una infraestructura de red virtualizada, ahora TI puede migrar cargas de trabajo en vivo entre continentes en solo minutos a través de una máquina virtual, sin que se interrumpan las aplicaciones en ejecución. Esto permite lograr centros de datos activo-activo y opciones inmediatas de recuperación ante desastres. Por lo tanto, el negocio obtiene un tiempo máximo de servicio de la aplicación, grandes ahorros en costos, una disponibilidad del servicio de escalabilidad de nube y la eliminación de interrupciones no planificadas.

 

Exploración de VMware NSX


En esta sección, exploraremos cuán fácil es implementar NSX y cómo utilizar vSphere Web Client para administrar y monitorear NSX. 

Primero, echemos un vistazo a la arquitectura del sistema de NSX.

 

La plataforma de virtualización de redes de NSX incluye varios componentes, como NSX vSwitch, que es una parte del hipervisor y constituye un punto de terminación del overlay de redes. Se trata de un controlador que programa los diferentes componentes y es, básicamente, el plano de control del sistema que proporciona acceso basado en API desde NSX Manager. El controlador incluso puede proporcionar extensiones a socios de terceros.


 

Implementación sencilla

 

 

 

Abrir Google Chrome

 

1. Haga clic en el ícono de Chrome que se encuentra en la barra de tareas del inicio rápido de Windows.

 

 

Navegar hacia la página de inicio de vSphere Web Client

 

Una vez que inicie sesión, aparecerá la página de inicio de vSphere Web Client.

Para minimizar o maximizar los paneles Recent Tasks, Alarms y Work In Progress, haga clic en el alfiler.

 

 

Navegar hacia la sección Networking & Security en Web Client

 

Seleccione el ícono Home en la parte superior de la página, seleccione Home y luego seleccione "Networking & Security".

 

 

Visualizar los componentes implementados

 

1. Haga clic en Installation.

Observará que NSX Manager está instalado. NSX Manager controla todos los componentes de NSX y proporciona un plano de administración centralizado en todo el centro de datos, así como también la interfaz de usuario (User Interface, UI) y las API de administración para NSX. NSX Manager se instala como un virtual appliance y se integra con vSphere Web Client para su uso dentro de la plataforma web de administración.

Además de proporcionar las API de administración y una UI para administradores, el componente NSX Manager instala una variedad de VIB en los hosts cuando inicia la preparación de hosts. Estos VIB son VXLAN, enrutamiento distribuido, firewall distribuido y un agente del entorno del usuario.

La ventaja de aprovechar una solución de VMware es que obtener acceso al kernel es mucho más fácil. De esa manera, VMware proporciona la función de firewall distribuido y la función de enrutamiento distribuido en el kernel. Gracias a esto, el procesamiento de las funciones se realiza completamente en el kernel, sin las inexactitudes de las arquitecturas tradicionales del espacio del usuario o las arquitecturas de red con firewall físico.

También hay nodos de NSX Controller, que son compatibles con las funciones de VXLAN y enrutamiento distribuido.

 

 

Preparación del host

 

1. En la página Installation, seleccione Host Preparation.

2. Dentro de la página Clusters & Hosts, expanda los clústeres RegionA01-COMP01 y RegionA01-MGMT01.

En esta página, podemos ver que los componentes del plano de datos, que incluían el firewall distribuido, VXLAN y enrutamiento distribuido, están instalados y activados en todos los hosts de vSphere.

 

Caso de uso: Firewall distribuido de NSX


En esta sección, lo guiaremos por el proceso de implementación del firewall distribuido (Distributed Firewall, DFW) de NSX para proteger una aplicación de tres niveles con el DFW de NSX.

Como se analizó anteriormente, las soluciones tradicionales definidas por hardware dependen de colocar construcciones rígidas de seguridad principalmente en el perímetro del centro de datos. Por lo tanto, la parte interna del centro de datos queda desprotegida. Con NSX, en cambio, se habilita un centro de datos fundamentalmente más seguro mediante la integración de seguridad virtualizada y protección con firewall distribuida directamente en la infraestructura.  

Esta funcionalidad se denomina firewall distribuido (Distributed Firewall, DFW) de NSX. DFW es un firewall incorporado en el kernel del hipervisor que proporciona visibilidad y control de las cargas de trabajo y las redes virtualizadas. Puede crear políticas de control de acceso según los objetos de VMware vCenter como los centros de datos, clústeres y nombres de las máquinas virtuales; estructuras de red como IP o conjuntos de IP, VLAN (port groups del switch virtual distribuido [Distributed Virtual Switch, DVS]), VXLAN (switches lógicos), grupos de seguridad e identidad de grupos de usuarios de Active Directory. Las reglas de firewall se cumplen en el nivel de la tarjeta de interfaz de la red virtual (Virtual Network Interface Card, vNIC) de cada máquina virtual para proporcionar un control de acceso coherente incluso cuando la máquina virtual se desplaza con vMotion. La naturaleza integrada en el hipervisor del firewall ofrece una tasa de transferencia aproximada a la tasa lineal para posibilitar una mayor consolidación de las cargas de trabajo en los servidores físicos. La naturaleza distribuida del firewall proporciona una arquitectura de escalabilidad horizontal que automáticamente extiende la capacidad del firewall cuando se incorporan hosts adicionales a un centro de datos.

La microsegmentación cuenta con tecnología del componente del firewall distribuido (DFW) de NSX. El DFW opera en la capa del kernel del hipervisor ESXi y procesa paquetes a una velocidad casi de línea. Cada VM tiene sus propias reglas de firewall y su propio contexto. La movilidad de las cargas de trabajo (vMotion) es completamente compatible con el DFW, y las conexiones activas permanecen intactas durante el traslado. Esta capacidad de seguridad avanzada protege aun más la red del centro de datos, ya que aísla cada grupo relacionado de máquinas virtuales en un segmento de red lógica diferente, lo que permite al administrador aplicar el firewall al tráfico que se traslada desde un segmento del centro de datos a otro (tráfico horizontal). Esto limita la capacidad de los atacantes de moverse de manera lateral en el centro de datos.


 

Proteger la aplicación de 3 niveles con NSX

 

A continuación, aprovecharemos nuestra aplicación web simple de 3 niveles para demostrar como aprovechar el DFW de NSX a fin de controlar la comunicación entre las diferentes máquinas virtuales. Las tres máquinas virtuales se ejecutan en la misma "VLAN de producción", y se debería permitir la siguiente comunicación:

 

 

 

Prueba de la aplicación de 3 niveles

 

 

Abrir vSphere Web Client con la misma sesión de Google Chrome

 

En el mismo navegador Chrome, abra una pestaña nueva e inicie sesión en vCenter.

Inicie sesión con el nombre de usuario administrator@vsphere.local y VMware1! como contraseña.

 

 

Prueba de conectividad de VM a VM de 3 niveles con Putty

 

Haga clic en el acceso directo de PuTTY en la barra de tareas del escritorio.

 

 

Envío de pings desde web-01a hacia otros miembros de 3 niveles

 

Primero, mostrará que web-01a puede enviar pings a app-01a si se introduce lo siguiente:

ping -c 2 app-01a

Ahora, pruebe la conectividad entre web-01a y db-01a

ping -c 2 db-01a

(Nota: Puede ver paquetes DUP! al final de una línea de ping.  Esto se debe a la naturaleza del entorno del laboratorio virtual, que utiliza virtualización anidada y modo promiscuo en los enrutadores virtuales. Esto no ocurrirá en un entorno de producción).

Todavía no cierre la ventana.  Por el momento, minimícela para utilizarla luego.

 

 

Cambiar la política de firewall predeterminada de Allow to Block

En esta sección, cambiará la regla predeterminada Allow to Block y mostrará la interrupción de la comunicación con la aplicación de 3 niveles. Una vez que haya realizado esto, creará nuevas reglas de acceso para volver a establecer la comunicación de manera segura.

 

 

 

Examinar las reglas predeterminadas

 

  1. Expanda la sección con la flecha del menú desplegable

Tenga en cuenta que las reglas poseen marcas de verificación de color verde.  Esto significa que la regla está activada.  Las reglas habitualmente se crean con los campos source, destination y service.  Los servicios son una combinación de protocolos y puertos.  

La última Default Rule es un permitir de cualquiera a cualquiera (any-to any-allow).

 

 

Análisis de la última Default Rule

 

Desplácese hacia la derecha, donde encontrará las opciones de Action para Default Rule. Para ello, coloque el cursor en el campo de Action:Allow.  Luego de esto, aparecerá un lápiz que le permitirá ver las opciones para este campo.

 

 

Cambio en Action de Allow to Block en la última Default Rule

 

  1. En Action, seleccione la opción Block.
  2. Haga clic en Save

 

 

Publicación de cambios en Default Rule

 

Se mostrará una barra de color verde mediante la cual se le solicitará que elija Publish Changes, Revert Changes o Save Changes.  Con Publish, los cambios se enviarán al firewall distribuido (DFW).  Con Revert, se cancelan las ediciones.  Con Save Changes, los cambios se guardan para publicarse luego.

 

 

Verificar que el cambio de regla bloquea la comunicación

 

Para probar la regla de bloqueo con las sesiones del navegador y de Putty previas:

 

 

Verificar que la regla bloquea https con el navegador web

 

  1. Navegue a la pestaña del navegador que usó para la aplicación web de 3 niveles. Si cerró la pestaña por error, abra el navegador web Chrome e intente acceder a la aplicación de 3 niveles haciendo clic en el marcador.
  2. Aparecerá un error que dice no se puede acceder a este sitio. Se trata del comportamiento previsto debido a las reglas de firewall creadas con NSX.

 

 

Crear reglas de acceso de 3 niveles con el DFW de NSX

Para asegurarse de que todavía está conectado a vSphere Web Client, navegue hacia la pestaña de vSphere Web Client. Si no está conectado, abra Google Chrome nuevamente e inicie sesión en vSphere Web Client.

 

Desde vSphere Web Client, abra la página Networking & Security y navegue hacia  Firewall > Configuration.

 

 

Crear una sección de firewall nueva

 

  1. En el extremo derecho de la fila "Default Section Layer3 (Rule 1 - 3)", haga clic en el ícono Add Section con forma de carpeta.

 

 

Agregar una nueva sección de reglas para aplicaciones de 3 niveles

 

  1. Asigne a la sección el nombre"3-tier App".
  2. Seleccione Add section above.
  3. Haga clic en Save.

 

 

Agregar una regla a la nueva sección

 

  1. En la fila de la nueva sección "3-tier App", haga clic en el ícono Add rule, que es un signo más de color verde.

 

 

Editar el nombre de la regla nueva

 

  1. Haga clic en la flecha de menú desplegable para abrir la regla.
  2. Mantenga el cursor sobre la esquina superior derecha del campo "Name" hasta que aparezca un ícono con forma de lápiz. Luego, haga clic en el lápiz.

 

 

Editar el nombre de la regla nueva (continuación)

 

  1. Escriba "Ext to Web" como nombre.
  2. Haga clic en Save.

 

 

Establecer el origen y destino de la regla

 

Source: deje el origen de la regla ("Source") establecido en cualquier opción ("Any").

  1. Mantenga el puntero del mouse sobre el campo Destination y seleccione el ícono de lápiz.

 

 

Establecer los valores del grupo de seguridad

 

Destino:

  1. Despliegue Object Type y desplácese hacia abajo hasta que encuentre Virtual Machine.
  2. Haga clic en web-01a.
  3. Haga clic en la flecha superior para mover el objeto hacia la derecha.
  4. Haga clic en OK.

 

 

Editar el servicio

 

  1. Vuelva a mantener el puntero sobre el campo Service y haga clic en el ícono de lápiz.  

 

 

Establecer el servicio de la regla

 

En el campo de búsqueda, puede buscar coincidencias de patrones de servicios.  

  1. Escriba "https" y presione Enter para ver todos los servicios asociados con el nombre https.
  2. Seleccione el servicio HTTPS simple.
  3. Haga clic en la flecha superior.
  4. Nota: Repita los pasos anteriores del 1 al 3 para buscar y agregar un shell seguro (Secure Shell, SSH)  (Más adelante en el módulo veremos que necesitaremos un SSH).
  5. Haga clic en OK.

Nota: De esta manera, se mostrará la barra verde con la opción de publicar o revertir los cambios.

Todavía NO PUBLIQUE las reglas, ya que hay más reglas para introducir.

 

 

Crear una regla que permita la comunicación entre Web-01a y App-01a

 

Ahora, agregará una segunda regla que le permita a la máquina virtual Web-01a comunicarse con App-01a. Debido a su diseño, la aplicación web solo debería comunicarse con el servidor de la aplicación y no debería poder comunicarse con el servidor del centro de datos.

  1. Para empezar, abra el ícono de lápiz.
  2. Esta regla deberá procesarse debajo de la regla anterior; por lo tanto, seleccione Add Below en el cuadro desplegable.

 

 

Introducir datos en los campos Name y Source de la segunda regla

 

  1. Como ya hizo antes, mantenga el puntero sobre el campo Name y haga clic en el signo más.  Escriba "Web to App" como nombre.
  2. Seleccione Web-tier para el campo Source.

 

 

Crear el destino de la segunda regla

 

  1. Mantenga el puntero sobre el campo Destination.
  2. Haga clic en el lápiz para editar el contenido.

 

 

Creación en el Campo Destination de la segunda regla: elegir la máquina virtual App-01a

 

  1. En el cuadro desplegable Object Type, desplácese hacia abajo y haga clic en Virtual Machine.
  2. Seleccione app-01a.
  3. Haga clic en la flecha superior para mover el objeto hacia la derecha.
  4. Haga clic en OK.

 

 

Crear el servicio de la segunda regla

 

  1. Mantenga el puntero sobre el campo Service y haga clic en el ícono de lápiz para editar el contenido.

 

 

Crear un servicio en el campo Service de la segunda regla: servicio nuevo

 

En la aplicación de 3 niveles, se usa el puerto TCP 8443 entre los niveles web y de aplicaciones.  Creará un servicio nuevo llamado MyApp, que será el servicio permitido.

  1. Haga clic en New Service.
  2. Escriba MyApp como nombre del nuevo servicio.
  3. Seleccione TCP en el campo Protocol.
  4. Escriba 8443 como número de puerto.
  5. Haga clic en OK dos veces en la página principal Specify Service.

 

 

Crear una tercera regla que permita la comunicación entre App-01a y Db-01a

 

Repetición de los pasos: cree la tercera y última regla debajo de la regla anterior para activar el acceso entre App-01a y Db-01a.

  1. Cree la regla final que permitirá que la máquina virtual de la aplicación se comunique con el máquina virtual de la base de datos por medio del servicio predefinido de MyApp.  El servicio viene predefinido; solo deberá buscarlo en lugar de crearlo.

Su nueva regla debería ser igual a la que se muestra en el ejemplo.

  1. Publique los cambios.

 

 

Verificar que la nueva regla permita la comunicación entre aplicaciones de 3 niveles

 

  1. Regrese a la pestaña que ya usó para la aplicación web de 3 niveles.
  2. Actualice el navegador de manera que se muestre que se están recibiendo datos mediante la aplicación de 3 niveles.

Su sección nueva "3-tier App" posibilita el acceso a la aplicación.

 

 

Abrir la sesión Putty para web-01a a fin de probar la comunicación entre VM

 

Si cerró su sesión Putty anterior, ábrala nuevamente desde la barra de tareas del inicio rápido de Windows.

  1. Seleccione la máquina virtual web-01a.corp.local.
  2. Haga clic en Load.
  3. Haga clic en Open.

 

 

Prueba de ping entre las máquinas virtuales

Pruebe hacer ping a las VM invitadas con aplicaciones de 3 niveles.

ping -c 2 app-01a

ping -c 2 db-01a

Los pings no están permitidos, por lo que ocurrirá una falla, ya que, en sus reglas, no se permite el protocolo de mensajes de control de Internet (Internet Control Message Protocol, ICMP) entre niveles ni entre los miembros de los niveles.  Como no se permite el ICMP entre los niveles, la regla predeterminada bloqueará todo el tráfico restante. El único tráfico permitido es necesario para que la aplicación funcione correctamente.

 

 

Cerrar sesión

Cierre Putty, luego seleccione "Administrator@CORP.LOCAL" en el sector superior derecho de la pantalla y haga clic en "Logout".

 

Cierre su navegador.

 

Operaciones inteligentes de NSX con vROps


En esta sección, conocerá los tableros de vRealize Operations Manager que se utilizan para monitorear el entorno de NSX.

Con vROps, puede incorporar operaciones inteligentes a su implementación de NSX que proporcionan a las redes virtuales técnicas de análisis, correlación, capacidad predictiva y capacidades de visualización.  La cobertura incluye control de configuración, estado, rendimiento, capacidad y resolución de problemas para los switches lógicos, enrutadores lógicos, servicios perimetrales, firewall distribuido y balanceadores de carga de NSX. En el primer vistazo, el equipo de operaciones de NSX puede detectar un problema de configuración, solucionar un problema de conectividad, observar el impacto de cualquier condición de vSphere en mal estado o analizar en detalle muchos de los objetos de NSX para realizar una resolución de problemas más profunda.

Novedades destacadas:


 

Iniciar sesión en vRealize Operations Manager

 

 

Ver tableros de NSX

 

La pantalla Dashboard contiene todos los tableros listos para usar, así como también todos los tableros personalizados creados para su entorno. En este laboratorio, exploraremos los tableros "listos para usar" para NSX.

  1. Para acceder a la página de tableros, haga clic en Dashboards en el menú superior.
  2. Una lista de todos los tableros para NSX debería estar disponible en el panel de la izquierda.
  3. Si no tiene tableros para NSX, puede habilitarlos seleccionando cada uno de la lista All Dashboards.
  4. En el paso siguiente, seleccionaremos NSX-vSphere Main.

 

 

Tableros: NSX-vSphere Main

 

1. Seleccione nsxmgr-01a bajo NSX-vSphere Environments.

Se muestra una descripción general del estado de los objetos de red (información sobre el tráfico de red y alertas abiertas relacionadas con NSX). Puede monitorear componentes clave, como el estado general de NSX Manager y los controladores y un mapa de calor de cada nodo de transporte registrado con NSX. También puede observar la red lógica y las máquinas virtuales principales por tráfico.

Explore los tableros antes de continuar.

 

 

 

Abrir el tablero NSX-vSphere Topology

 

1. Seleccione el menú desplegable All Dashboards.

2. Navegue hacia NSX-vSphere.

3. Abra el tablero NSX-vSphere Topology.

 

 

Explorar el tablero NSX-vSphere Topology

 

En el tablero NSX-vSphere Topology, se muestran detalles sobre la topología de un objeto seleccionado, cómo se conecta con los elementos lógicos en la red y una vista de alertas y métricas relacionadas.  Si accede al tablero NSX-vSphere Topology directamente desde la barra del menú, no se mostrarán datos en los widgets Logical Topology y Physical Topology. Para mostrar datos en estos widgets, en el widget Objects, haga clic en el objeto del que desea ver detalles. También puede encontrar el objeto si lo busca en el cuadro de búsqueda en el sector derecho del widget.

Explore este tablero y, si tiene tiempo, explore los dos tableros restantes: NSX-vSphere Object Path y NSX-vSphere Troubleshooting.

 

 

Cerrar sesión en vROps

 

Cierre sesión en vROps.

 

Finalización


En este módulo, exploró VMware NSX. Analizamos los requisitos para habilitar NSX, cómo administrar con vSphere Web Client y cómo implementar firewalls de seguridad con el DFW de NSX. En este módulo, también incluyó cómo utilizar vROps para monitorear su implementación de NSX.


 

Ha finalizado el Módulo 4.

Felicitaciones por completar el Módulo 4.

Si desea obtener más información sobre VMware NSX, pruebe uno de estos laboratorios:

Continúe con cualquiera de los siguientes módulos que sea de su interés.

 

 

Finalización del laboratorio

 

Para finalizar el laboratorio, haga clic en el botón END.  

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: ManualExport-HOL-1845-01-SLN-LT.zip

Version: 20171018-132924