VMware Hands-on Labs - HOL-1922-01-NET


Hands-on Lab im Überblick – HOL-1922-01-NET – VMware NSX Cloud – Erste Schritte

Anleitung für das Hands-on Lab


Hinweis: Dieses Hands-on Lab dauert mehr als 120 Minuten. Sie werden wahrscheinlich nur zwei bis drei Module in einer Sitzung schaffen.  Da die Module unabhängig voneinander sind, können Sie mit jedem beliebigen Modul beginnen. Über das Inhaltsverzeichnis gelangen Sie direkt zum Modul Ihrer Wahl.

Das Inhaltsverzeichnis können Sie rechts oben im Hands-on Lab-Handbuch aufrufen.

Mit VMware NSX Cloud können Kunden Netzwerk- und Sicherheitsrichtlinien in Public Cloud-Umgebungen wie Amazon Web Services (AWS) und Microsoft Azure abstrahieren und verwalten.

Anhand einer mit minimaler Sicherheit in AWS und Azure ausgeführten Anwendung wird demonstriert, wie VMware NSX Cloud betriebliche Konsistenz sicherstellt. Dabei wird eine bestehende Cloud-Umgebung von NSX verwaltet und Mikrosegmentierung für native AWS- und Azure-Workloads bereitgestellt.

Liste der Hands-on Lab-Module:

 Hands-on Lab-Dozenten:

  • Brian Heili, Staff Systems Engineer, USA
  • Puneet Chawla, Solutions Architect, USA

 

Das Handbuch für dieses Hands-on Lab kann unter der folgenden Adresse heruntergeladen werden:

http://docs.hol.vmware.com 

Dieses Hands-on Lab ist möglicherweise auch in anderen Sprachen verfügbar.  Informationen zum Einstellen Ihrer gewünschten Sprache und zum Abrufen eines übersetzten Hands-on Lab-Handbuchs finden Sie im folgenden Dokument:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Haftungsausschluss

In dieser Sitzung werden eventuell Produktfunktionen behandelt, die sich aktuell in der Entwicklung befinden.

Diese Sitzung/Übersicht über neue Technologien stellt keine Verpflichtung seitens VMware dar, die betreffenden Funktionen in einem allgemein erhältlichen Produkt anzubieten.

Die Funktionen können sich jederzeit ändern und dürfen nicht Bestandteil etwaiger Verträge, Bestellungen oder Kaufverträge sein.

Die konkrete Bereitstellung der Funktionen wird von ihrer technischen Machbarkeit und der Marktnachfrage bestimmt.

Über die Preisgestaltung und Paketoptionen der hier behandelten oder vorgestellten neuen Technologien oder Funktionen wurde noch nicht entschieden.

 

 

Position der Hauptkonsole

 

  1. Der ROT umrahmte Bereich ist die Hauptkonsole.  Das Hands-on Lab-Handbuch finden Sie auf der Registerkarte rechts neben der Hauptkonsole.
  2. Für bestimmte Hands-on Labs sind auf separaten Registerkarten links oben möglicherweise zusätzliche Konsolen verfügbar. Falls Sie eine andere Konsole öffnen müssen, erhalten Sie entsprechende Anweisungen.
  3. Für die Bearbeitung des Hands-on Lab haben Sie 90 Minuten Zeit.  Das Hands-on Lab kann nicht gespeichert werden. Sie müssen alle Aufgaben während dieser Zeit erledigen.  Sie können jedoch die verfügbare Zeit verlängern, indem Sie auf die Schaltfläche EXTEND klicken.  Auf einer Veranstaltung von VMware können Sie die Zeit für Hands-on Labs zweimal um bis zu 30 Minuten verlängern.  Mit jedem Klick erhalten Sie weitere 15 Minuten.  Außerhalb von VMware-Veranstaltungen können Sie Ihre Zeit für das Hands-on Lab um bis zu 9 Stunden und 30 Minuten verlängern. Mit jedem Klick verlängert sich die Dauer um eine Stunde.

 

 

Alternativen zur Tastatureingabe

Im Verlauf des Moduls geben Sie Text in die Hauptkonsole ein. Neben der Tastatureingabe gibt es zwei weitere, äußerst hilfreiche Methoden, die die Eingabe komplexer Daten erleichtern.

 

 

Inhalte im Hands-on Lab-Handbuch anklicken und in das aktive Konsolenfenster ziehen

 
 

Sie können Text und Befehle in der Befehlszeilenschnittstelle (CLI) anklicken und direkt aus dem Hands-on Lab-Handbuch in das aktive Fenster der Hauptkonsole ziehen.  

 

 

Internationale Online-Tastatur aufrufen

 

Darüber hinaus können Sie die internationale Online-Tastatur in der Hauptkonsole verwenden.

  1. Klicken Sie auf das Tastatursymbol in der Windows-Schnellstartleiste.

 

 

Einmal in das aktive Konsolenfenster klicken

 

In diesem Beispiel verwenden Sie die Online-Tastatur zur Eingabe des in E-Mail-Adressen verwendeten Symbols @. Auf US-Tastaturen wird das @-Zeichen über die Umschalttaste (2) eingegeben.

  1. Klicken Sie einmal in das aktive Konsolenfenster.
  2. Klicken Sie auf die Umschalttaste.

 

 

Auf die @-Taste klicken

 

  1. Klicken Sie auf die @-Taste.

Das @-Zeichen wurde im aktiven Konsolenfenster eingegeben.

 

 

Aktivierungsaufforderung oder Wasserzeichen

 

Wenn Sie Ihr Hands-on Lab erstmals starten, sehen Sie möglicherweise ein Wasserzeichen auf dem Desktop, das angibt, dass Windows nicht aktiviert wurde.  

Einer der großen Vorteile von Virtualisierung ist, dass virtuelle Maschinen verschoben und auf jeder beliebigen Plattform ausgeführt werden können.  Die Hands-on Labs machen sich diesen Vorteil zunutze, d.h. sie können von mehreren Rechenzentren aus ausgeführt werden. Allerdings können sich die Prozessoren dieser Rechenzentren unterscheiden. Dies veranlasst Microsoft zu einer Aktivierungsprüfung über das Internet.

Sie können jedoch sicher sein, dass VMware und die Hands-on Labs die Lizenzierungsanforderungen von Microsoft uneingeschränkt erfüllen.  Bei dem Hands-on Lab, mit dem Sie gerade arbeiten, handelt es sich um einen gekapselten Pod ohne Vollzugriff auf das Internet. Ein solcher Zugriff ist jedoch für die Windows-Aktivierungsprüfung erforderlich.  Ohne Vollzugriff auf das Internet schlägt dieser automatisierte Prozess fehl und es wird dieses Wasserzeichen angezeigt.

Hierbei handelt es sich um ein kosmetisches Problem, das Ihr Hands-on Lab nicht beeinträchtigt.  

 

 

Info rechts unten auf dem Bildschirm

 

Überprüfen Sie, ob das Hands-on Lab alle Startroutinen abgeschlossen hat und gestartet werden kann. Falls etwas anderes als „Ready“ angezeigt wird, warten Sie einige Minuten.  Falls der Status Ihres Hands-on Lab nach fünf Minuten nicht auf „Ready“ gewechselt hat, bitten Sie um Hilfe.

 

Modul 1 – Einführung in hybride On-Premise- und Public Cloud-Umgebungen (30 Minuten)

Einführung


Die Komponenten der NSX-Management- und -Steuerungsebene sowie Teile der Anwendung wurden im On-Premise-Rechenzentrum bereitgestellt. Die Front-End-Webschicht der Anwendung wurde sowohl in AWS als auch Azure bereitgestellt. Sie werden nun den Komponentenbestand kennenlernen.


Lösungsübersicht


Dieses Hands-on Lab umfasst viele vorkonfigurierte Elemente, die für nachfolgende Lektionen erforderlich sind. Die konfigurierte Lösung wird in einer kurzen Übersicht vorgestellt und die Funktionen der konfigurierten Hands-on Lab-Umgebung werden näher beleuchtet.

Folgende Konfigurationen werden beschrieben:


 

Lösungsübersicht

Wenn Unternehmen Workloads in Public Clouds verschieben, müssen sie ihre SDDC-Netzwerk- und -Sicherheitsrichtlinien auf diese öffentlichen Umgebungen ausdehnen. Durch diese Erweiterung lassen sich Workloads in Public Clouds mit denselben nativen Kontrollfunktionen wie in einem On-Premise-Rechenzentrum ausführen. Mit VMware NSX Cloud können Unternehmen Enterprise-Sicherheit, -Compliance und -Governance erweitern.

NSX bietet Lösungen für die dringlichsten Netzwerk- und Sicherheitsherausforderungen von Unternehmen in Public Cloud-Umgebungen:

 

 

Lösungskomponenten

 

Die Lösung besteht aus den folgenden Komponenten, von denen jede in den nachfolgenden Lektionen näher beleuchtet wird:

 

 

Hands-on Lab-Topologie

 

Die Abbildung zeigt die Umgebung, die im Verlauf der Hands-on Lab-Lektionen bereitgestellt und verwendet wird. In der Umgebung wird das Szenario eines Entwicklers veranschaulicht, der eine Anwendung mit Komponenten im On-Premise-Rechenzentrum sowie in Microsoft Azure und Amazon Web Services (AWS) bereitstellt. Die Anwendungsbereitstellung enthält keine Sicherheitsrichtlinien, die den Unternehmensstandards entsprechen. Der Einsatz von NSX ist erforderlich, um konsistente Richtlinien auf die Anwendungsumgebung anzuwenden.

Die Bereitstellung von VMware NSX Cloud erfordert eine oder mehrere Public Cloud-Umgebungen. Die Komponenten der NSX-Management- (NSX Manager und Cloud Services Manager) und -Steuerungsebene (NSX Controller) wurden im On-Premise-Rechenzentrum vorkonfiguriert.

 

Hands-on Lab-Validierung


Dieses Hands-on Lab umfasst viele vorkonfigurierte Elemente, die für nachfolgende Lektionen erforderlich sind. Die konfigurierte Lösung wird in einer kurzen Übersicht vorgestellt und die Funktionen der konfigurierten Hands-on Lab-Umgebung werden näher beleuchtet.

Folgende Konfigurationen werden beschrieben:


 

Hands-on Lab muss Status „Ready“ aufweisen

 

Überprüfen Sie, ob das Hands-on Lab alle Startroutinen abgeschlossen hat und gestartet werden kann. Falls etwas anderes als „Ready“ angezeigt wird, warten Sie einige Minuten.  Falls der Status Ihres Hands-on Lab nach fünf Minuten nicht auf „Ready“ gewechselt hat, bitten Sie um Hilfe.

Wenn Sie fortfahren, ohne dass das Hands-on Lab bereit („Ready“) ist, können Sie nicht damit arbeiten.

 

 

Seite mit Hands-on Lab-Bereitstellungsstatus

Die AWS- und Azure-Teile der Hands-on Lab-Bereitstellung werden derzeit abgeschlossen. Auf einer Webseite wird der Status der Hands-on Lab-Ressourcen angezeigt, die im Rahmen der Lab-Einrichtung in AWS und Azure bereitgestellt werden.

HINWEIS: Sie können nur über die Hauptkonsole der HOL-Umgebung auf die in Amazon Web Services und Microsoft Azure bereitgestellten Ressourcen zugreifen.

Die Hands-on Lab-Bereitstellung wird voraussichtlich 10 bis 15 Minuten dauern.

 

 

Google Chrome öffnen

 

  1. Klicken Sie in der Windows-Schnellstartleiste auf das Chrome-Symbol.

 

 

Startseite mit Kontoinformationen

 

Die Chrome-Startseite ist so konfiguriert, dass nach der Anmeldung die Seite mit den Kontoinformationen und dem Status der Hands-on Lab-Bereitstellung angezeigt wird.

  1. Geben Sie im Feld Email Address die E-Mail-Adresse ein, die Sie bei der Registrierung für das Hands-on Lab verwendet haben.
  2. Geben Sie VMware1! als Kennwort ein.
  3. Klicken Sie auf Login.

 

 

Hands-on Lab-Bereitstellung abgeschlossen

 

Der Abschluss der Bereitstellung wird auf der Seite mit den Kontoinformationen angezeigt. Dieser Vorgang kann 10 bis 15 Minuten dauern. In den Hands-on Lab-Modulen wird häufig auf diese Seite verwiesen.

 

Herstellen einer VPN-Verbindung zu Public Clouds


Für dieses Hands-on Lab wird eine VPN-Verbindung zu AWS und Azure hergestellt. Der Zugriff auf das Web-Front-End wird mit einem einfachen Ping-Test überprüft.

Hinweis: Wenn einer der Ping-Tests fehlschlägt, bitten Sie um Unterstützung, bevor Sie mit dem Hands-on Lab fortfahren.


 

Eingabeaufforderung öffnen

 

  1. Klicken Sie auf das Eingabeaufforderungssymbol in der Windows-Schnellstartleiste.

 

 

Ping-Test für die Azure-Webinstanz

 

  1. Geben Sie den folgenden Befehl ein, um einen Ping-Test für die Web-Front-End-Instanz von Azure zur Verbindungsprüfung durchzuführen:
ping 172.18.10.4

 

 

Azure-Verbindung hergestellt

 

Wenn Sie Antworten erhalten, wurde eine Verbindung mit Azure hergestellt.

 

 

Ping-Test für die AWS-Webinstanz

 

  1. Geben Sie den folgenden Befehl ein, um die Verbindung zur Web-Front-End-Instanz von AWS per Ping-Test zu prüfen:
ping 172.15.10.4

 

 

AWS-Verbindung hergestellt

 

Wenn Sie Antworten erhalten, wurde eine Verbindung mit AWS hergestellt.

 

Übersicht über die On-Premise-Umgebung


Die On-Premise-Rechenzentrumsumgebung enthält sowohl die Komponenten der NSX-Management- und -Steuerungsebene als auch verschiedene VMs für die Anwendung, die in diesem Hands-on Lab geschützt werden soll.


 

On-Premise-Topologie

 

Die HOL-vPod-Umgebung fungiert als On-Premise-Rechenzentrumsumgebung. Die Komponenten der NSX-Management- und -Steuerungsebene wurden bereitgestellt. Darüber hinaus wurden auch die vier Anwendungs- und Datenbank-VMs bereitgestellt, die die in den AWS- und Azure-Umgebungen ausgeführten Front-End-Web-VMs unterstützen.

Hinweis: Die NSX-Bereitstellung wurde lediglich zu Hands-on Lab-Zwecken minimiert, um die Startzeiten des Hands-on Lab zu verkürzen. Es handelt sich dabei nicht um ein empfohlenes oder unterstütztes Bereitstellungsmodell.

 

 

Neue Registerkarte im Browser öffnen

 

  1. Klicken Sie in Google Chrome auf das Symbol für eine leere Registerkarte, um eine neue Browser-Registerkarte zu öffnen.

 

 

vCenter öffnen

 

  1. Klicken Sie auf das vCenter-Lesezeichen.

 

 

Bei vCenter anmelden

 

  1. Geben Sie administrator@corp.local in das Feld „User name“ ein.
  2. Geben Sie VMware1! als Kennwort ein.
  3. Klicken Sie auf Login.

 

 

Bestand erweitern

 

  1. Klicken Sie auf RegionA01, um das Verzeichnis zu erweitern.
  2. Klicken Sie auf RegionA01-COMP01, um das Verzeichnis zu erweitern.

 

 

VM-Bestand

 

Die VMs der NSX-Management- und -Steuerungsebene sowie vier Anwendungs-VMs werden im On-Premise-Rechenzentrum ausgeführt.

  1. Die drei VMs der NSX-Management- und -Steuerungsebene wurden bereitgestellt.
  2. Die vier On-Premise-Anwendungs-VMs wurden bereitgestellt.

Hinweis: Die VM-Funktionen von NSX werden in Modul 3 näher erläutert.

 

Übersicht über die Microsoft Azure-Umgebung


Sie lernen nun die in der Hands-on Lab-Umgebung konfigurierten Microsoft Azure-Anwendungskomponenten kennen.


 

Virtuelles Computing-Netzwerk

 

Im Computing-VNET in Azure wurden die folgenden Komponenten konfiguriert:

Azure-Services

Anwendungswebschicht-VM

Das abgebildete NSX Cloud Gateway wird im Rahmen der Hands-on Lab-Übungen bereitgestellt.

 

Zugriff auf die Microsoft Azure-Managementkonsole


In Azure wird eine Web-Front-End-Anwendungs-VM für dieses Hands-on Lab ausgeführt. Im Verlauf dieses Hands-on Lab müssen Sie auf die Azure-Managementkonsole zugreifen, um Bestand und Konfigurationen zu überprüfen. In dieser Lektion greifen Sie auf die Azure-Managementkonsole zu.


 

Auf Azure-Managementkonsole zugreifen

 

  1. Klicken Sie auf die bereits geöffnete Registerkarte mit den Kontoinformationen. Falls diese Registerkarte geschlossen wurde, öffnen Sie eine neue Registerkarte und klicken Sie auf das Lesezeichen Account Info.

 

 

URL der Azure-Managementkonsole

 

  1. Klicken Sie auf den Link neben Console URL, um eine neue Browser-Registerkarte zu öffnen und eine Verbindung zur Azure-Managementkonsole herzustellen.

 

 

Azure-E-Mail-Adresse eingeben

 

  1. Kopieren Sie die E-Mail-Adresse (neben „Username“) für das Azure-Konto auf der Seite Account Information und fügen Sie sie ein oder geben Sie sie über die Tastatur ein.
  2. Klicken Sie auf Next.

 

 

 

Azure-Kennwort eingeben

 

  1. Kopieren Sie das Kennwort für das Azure-Konto auf der Seite Account Information und fügen Sie es ein oder geben Sie es über die Tastatur ein.
  2. Klicken Sie auf Sign in.

 

 

 

Nicht angemeldet bleiben

 

  1. Klicken Sie in diesem Bildschirm auf No.

 

 

Azure-Managementkonsole

 

Die Seite mit der Azure-Managementkonsole wird geöffnet.

 

Überblick über den Microsoft Azure-Bestand


In dieser Lektion lernen Sie die Microsoft Azure-Komponenten kennen, die Teil der Lösung sind:

Hinweis: In einigen Azure-Bestandsbildschirmen werden möglicherweise Einträge für Löschungen, Abbrüche, Trennungen usw. angezeigt, die von den Screenshots abweichen. Diese Einträge beziehen sich auf die vorhergehende Hands-on Lab-Bereitstellung, die zwar entfernt, aber noch nicht in der Azure-UI gelöscht wurde.


 

Konfigurierte virtuelle Netzwerke

 

  1. Klicken Sie links in der Azure-Managementkonsole auf Virtual networks.

 

 

Konfigurierte virtuelle Netzwerke

 

In dieser Azure-Region ist ein einziges virtuelles Netzwerk konfiguriert, in dem die Anwendungs-VM bereitgestellt wird.

 

 

Auf „Virtual machines“ klicken

 

  1. Klicken Sie links in der Azure-Konsole auf Virtual machines.

 

 

Azure-Anwendungs-VMs

 

Für dieses Hands-on Lab werden drei VMs ausgeführt:

 

 

Web-VM auswählen

 

  1. Klicken Sie auf die virtuelle Maschine hol1922-ps-web01.

 

 

Auf „Networking“ klicken

 

  1. Klicken Sie auf Networking.

 

 

Konfigurierte Netzwerksicherheitsgruppen

 

Eine Netzwerksicherheitsgruppe ist konfiguriert. Die konfigurierten Regeln werden in Modul 2 eingehender behandelt.

 

Übersicht über die Amazon Web Services-Umgebung


Sie lernen nun die in der Hands-on Lab-Umgebung konfigurierten Anwendungskomponenten von Amazon Web Services kennen.


 

Computing-VPC

 

In der Computing-VPC von AWS wurden die folgenden Komponenten konfiguriert:

AWS-Services

Webschichtinstanz der Anwendung

Das abgebildete NSX Cloud Gateway wird im Rahmen der Hands-on Lab-Übungen bereitgestellt.

 

Zugriff auf die Amazon Web Services-Managementkonsole


In Amazon Web Services wird eine Web-Front-End-Anwendungsinstanz für dieses Hands-on Lab ausgeführt. Im Verlauf dieses Hands-on Lab müssen Sie auf die AWS-Managementkonsole zugreifen, um Bestand und Konfigurationen zu überprüfen. In dieser Lektion greifen Sie auf die AWS-Managementkonsole zu.


 

Auf AWS-Managementkonsole zugreifen

 

  1. Klicken Sie auf die bereits geöffnete Registerkarte mit den Kontoinformationen. Falls diese Registerkarte geschlossen wurde, öffnen Sie eine neue Registerkarte und klicken Sie auf das Lesezeichen Account Info.

 

 

URL der AWS-Managementkonsole

 

  1. Klicken Sie auf den Link neben Console URL, um eine neue Browser-Registerkarte zu öffnen und eine Verbindung zur AWS-Managementkonsole herzustellen.

 

 

Bei der AWS-Konsole anmelden

 

  1. Geben Sie unter „IAM user name“ vmware_hol_user ein. Hinweis: Das Konto variiert je nach Hands-on Lab-Umgebung.
  2. Kopieren Sie das Kennwort auf der Seite „Account Information“ und fügen Sie es ein oder geben Sie es über die Tastatur ein.
  3. Klicken Sie auf die Schaltfläche Sign In.

 

 

 

AWS-Managementkonsole

 

Die Seite mit der AWS-Managementkonsole wird geöffnet.

 

 

Browser-Anzeige vergrößern

 

Für eine verbesserte Lesbarkeit der verschiedenen Bildschirme in diesem Hands-on Lab wird empfohlen, den Zoom in Google Chrome auf mindestens 90% einzustellen.

  1. Klicken Sie auf die drei Punkte rechts oben im Browser, um das Dropdown-Menü anzuzeigen.
  2. Klicken Sie auf das Minuszeichen neben „Zoom“, um die Einstellung auf 90% festzulegen.

 

 

Region auswählen

 

Überprüfen Sie, ob in der Konsole Ressourcen der Region „North California“ angezeigt werden. Bei Auswahl einer anderen Region werden die Hands-on Lab-Ressourcen nicht angezeigt.

  1. Klicken Sie rechts oben im Bildschirm links neben „Support“ auf den Namen der Region.
  2. Wählen Sie US West (N. California) aus.

 

Überblick über den Amazon Web Services-Bestand


In dieser Lektion lernen Sie die Amazon Web Services- und NSX-Komponenten kennen, die Teil der Lösung sind:

Hinweis: In einigen AWS-Bestandsbildschirmen werden möglicherweise Einträge für Löschungen, Abbrüche, Trennungen usw. angezeigt, die von den Screenshots abweichen. Diese Einträge beziehen sich auf die vorhergehende Hands-on Lab-Bereitstellung, die zwar entfernt, aber noch nicht in der AWS-UI gelöscht wurde.


 

Konfigurierte Virtual Private Clouds anzeigen

 

  1. Klicken Sie links oben in der AWS-Managementkonsole auf Services.
  2. Klicken Sie unter „Networking & Content Delivery“ auf VPC.

 

 

Auf „Your VPCs“ klicken

 

  1. Klicken Sie links unter „VPC Dashboard“ auf Your VPCs.

 

 

Konfigurierte VPCs

 

In dieser AWS-Region ist eine einzige VPC konfiguriert, in der die Anwendungsinstanz bereitgestellt wird. Die VPC-IDs unterscheiden sich je nach Hands-on Lab-Pod.

 

 

Auf „Security Groups“ klicken

 

  1. Klicken Sie links unter „Security“ auf Security Groups.

 

 

Konfigurierte Sicherheitsgruppen

 

Für die Computing-VPCs sind Sicherheitsgruppen konfiguriert, damit EC2-Instanzen innerhalb und außerhalb der VPC kommunizieren können.  Die konfigurierten Regeln werden in Modul 2 eingehender behandelt.

 

 

Auf „EC2“ klicken

 

  1. Klicken Sie links oben in der AWS-Konsole auf Services.
  2. Klicken Sie unter „Compute“ auf EC2.

 

 

Auf „Instances“ klicken

 

  1. Klicken Sie links unter „EC2 Dashboard“ auf Instances.

 

 

UI-Änderungen bestätigen

 

  1. Wenn diese Meldung angezeigt wird, klicken Sie auf das X, um sie zu schließen.

 

 

Spalte erweitern

 

  1. Klicken Sie auf die Spaltenbegrenzung und ziehen Sie sie, um die Spalte „Name“ zu vergrößern.

 

 

NSX-EC2-Instanzen

 

Für dieses Hands-on Lab werden drei EC2-Instanzen ausgeführt:

 

Fazit


Damit ist Modul 1 abgeschlossen. Durch die erfolgreiche Anmeldung bei der Managementkonsole jedes Standorts haben Sie die Lösungskomponenten kennengelernt, die in der Multi-Cloud-Umgebung zur Unterstützung der Anwendung bereitgestellt werden.


 

Abschluss von Modul 1

Fahren Sie mit Modul 2 fort, um die Anwendungsfunktionen zu überprüfen. Sie können auch mit einem anderen Modul fortfahren, das Sie mehr interessiert.

 

Modul 2 – Überprüfen von Anwendungsfunktionen (15 Minuten)

Einführung


Im Rahmen des Hands-on Lab-Szenarios wurde eine Anwendung mit mehreren Services von einem Anwendungsentwickler in Amazon Web Services und Microsoft Azure bereitgestellt. Der Großteil der Anwendungsservices wurde im On-Premise-Rechenzentrum bereitgestellt. Eine zusätzliche Instanz für das Web-Front-End wurde sowohl in AWS als auch Azure bereitgestellt.


 

Anwendungsdiagramm

 

Die Anwendung besteht aus mehreren Services, die am On-Premise-Standort sowie in Amazon Web Services und Microsoft Azure bereitgestellt werden.

Eine Instanz des Front-End-Services wird in AWS und Azure bereitgestellt. Die übrigen API-, DB-, Redis- und ADSB-Services werden im On-Premise-Rechenzentrum ausgeführt. Aktualisierungen an Flugzeugstandorten gelangen über das Internet in das On-Premise-Rechenzentrum.

 

Sicherheitsrichtlinien


Sie lernen nun die Sicherheitsrichtlinien kennen, die bei der Bereitstellung durch den Entwickler auf das Web-Front-End der Anwendung angewendet wurden. Da NSX nicht bereitgestellt wurde, entsprechen die angewendeten Sicherheitsrichtlinien der Konfiguration in Amazon Web Services und Microsoft Azure.

Für die On-Premise-Anwendungs-VMs gelten keine Sicherheitsrichtlinien. Sie werden während der NSX-Bereitstellung und -Konfiguration ebenfalls geschützt.


 

Google Chrome öffnen

 

  1. Klicken Sie in der Windows-Schnellstartleiste auf das Chrome-Symbol (oder öffnen Sie Chrome, falls der Browser bereits ausgeführt wird).

 

 

Startseite mit Kontoinformationen

 

Die Chrome-Startseite ist so konfiguriert, dass nach der Anmeldung die Seite mit den Kontoinformationen und dem Status der Hands-on Lab-Bereitstellung angezeigt wird. Wenn Sie die vorherige Lektion abgeschlossen haben, können Sie auf die geöffnete Registerkarte mit den Kontoinformationen klicken und mit dem nächsten Schritt fortfahren.

  1. Geben Sie im Feld Email Address die E-Mail-Adresse ein, die Sie bei der Registrierung für das Hands-on Lab verwendet haben.
  2. Geben Sie VMware1! als Kennwort ein.
  3. Klicken Sie auf Login.

 

 

Hands-on Lab-Bereitstellung abgeschlossen

 

Der Abschluss der Bereitstellung wird auf der Seite mit den Kontoinformationen angezeigt. Dieser Vorgang kann 10 bis 15 Minuten dauern. In den Hands-on Lab-Modulen wird häufig auf diese Seite verwiesen.

 

 

URL der AWS-Managementkonsole

 

  1. Klicken Sie auf den Link im Feld neben Console URL, um eine neue Browser-Registerkarte zu öffnen und eine Verbindung zur AWS-Managementkonsole herzustellen (oder klicken Sie auf die offene AWS-Registerkarte in Chrome, falls Sie sich bereits angemeldet haben).

 

 

Bei der AWS-Konsole anmelden

 

  1. Geben Sie unter „IAM user name“ vmware_hol_user ein.
  2. Kopieren Sie das Kennwort auf der Seite „Account Information“ und fügen Sie es ein oder geben Sie es über die Tastatur ein.
  3. Klicken Sie auf die Schaltfläche Sign In.

 

 

 

Browser-Anzeige vergrößern

 

Für eine verbesserte Lesbarkeit der verschiedenen Bildschirme in diesem Hands-on Lab wird empfohlen, den Zoom in Google Chrome auf mindestens 90% einzustellen.

  1. Klicken Sie auf die drei Punkte rechts oben im Browser, um das Dropdown-Menü anzuzeigen.
  2. Klicken Sie auf das Minuszeichen neben „Zoom“, um die Einstellung auf 90% festzulegen.

 

 

Region auswählen

 

Überprüfen Sie, ob in der Konsole Ressourcen der Region „North California“ angezeigt werden.

  1. Klicken Sie rechts oben im Bildschirm links neben „Support“ auf den Namen der Region.
  2. Wählen Sie US West (N. California) aus.

 

 

Zum EC2-Dashboard navigieren

 

  1. Klicken Sie links oben in der AWS-Konsole auf Services.
  2. Klicken Sie unter „Compute“ auf EC2.

 

 

Zu den bereitgestellten Instanzen navigieren

 

  1. Klicken Sie links unter „EC2 Dashboard“ auf Instances.

 

 

UI-Änderungen bestätigen

 

  1. Wenn diese Meldung angezeigt wird, klicken Sie auf das X, um sie zu schließen.

 

 

Spalte erweitern

 

  1. Klicken Sie auf die Spaltenbegrenzung und ziehen Sie sie, um die Spalte „Name“ zu vergrößern.

 

 

Instanz „hol1922-ps-web01“ auswählen

 

  1. Wählen Sie die Instanz hol1922-ps-web-01 aus.

 

 

Eingehende Regeln öffnen

 

  1. Klicken Sie für diese Instanz am unteren Bildschirmrand auf der Registerkarte „Description“ auf view inbound rules. Diese Instanz wurde mit einer AWS-Sicherheitsgruppe für die Computing-VPC konfiguriert.

 

 

Konfigurierte AWS-Sicherheitsrichtlinien

 

Eine Liste der für diese Instanz geltenden Richtlinien wird angezeigt. Web- und SSH-Datenverkehr wird von der HOL-Hauptkonsole zugelassen (Quell-IP-Bereiche können variieren). Innerhalb der AWS VPC-Umgebung wird sämtlicher Datenverkehr zugelassen.

 

 

Registerkarte „Account Information“ öffnen

 

  1. Klicken Sie in Google Chrome auf die Registerkarte Account Info.

 

 

URL der Azure-Managementkonsole

 

  1. Klicken Sie auf den Link im Feld neben Console URL, um eine neue Browser-Registerkarte zu öffnen und eine Verbindung zur Azure-Managementkonsole herzustellen (oder klicken Sie auf die offene Azure-Registerkarte in Chrome, falls Sie sich bereits angemeldet haben).

 

 

Azure-E-Mail-Adresse eingeben

 

  1. Kopieren Sie die E-Mail-Adresse für das Azure-Konto auf der Seite Account Information und fügen Sie sie ein oder geben Sie sie über die Tastatur ein.
  2. Klicken Sie auf Next.

 

 

 

Azure-Kennwort eingeben

 

  1. Kopieren Sie das Kennwort für das Azure-Konto auf der Seite Account Information und fügen Sie es ein oder geben Sie es über die Tastatur ein.
  2. Klicken Sie auf Sign in.

 

 

 

Nicht angemeldet bleiben

 

  1. Klicken Sie in diesem Bildschirm auf No.

 

 

Azure-Managementkonsole

 

Die Seite mit der Azure-Managementkonsole wird geöffnet.

 

 

Auf „Virtual machines“ klicken

 

  1. Klicken Sie links in der Azure-Konsole auf Virtual machines.

 

 

Web-VM auswählen

 

  1. Klicken Sie auf die virtuelle Maschine hol1922-ps-web01.

 

 

Auf „Networking“ klicken

 

  1. Klicken Sie auf Networking.

 

 

Konfigurierte Netzwerksicherheitsgruppen

 

Eine Liste der für diese virtuelle Maschine geltenden Richtlinien wird angezeigt. Web- und SSH-Datenverkehr wird von der HOL-Hauptkonsole zugelassen (Quell-IP-Bereiche können variieren). Innerhalb der virtuellen Netzwerkumgebung wird sämtlicher Datenverkehr zwischen Anwendungs-VMs zugelassen.

 

Validierung der Azure-Anwendung


Für die Anwendung wurde ein Web-Front-End von einem Entwickler in Microsoft Azure bereitgestellt. In späteren Lektionen wird diese Anwendung mithilfe von NSX geschützt. Sie überprüfen nun die Anwendungsfunktionen ohne NSX.


 

Kontoinformationen aufrufen

 

  1. Klicken Sie auf die bereits geöffnete Registerkarte mit den Kontoinformationen. Falls diese Registerkarte geschlossen wurde, öffnen Sie eine neue Registerkarte und klicken Sie auf das Lesezeichen Account Info.

 

 

Informationen zur Webinstanz

 

  1. Klicken Sie auf den Azure-Link neben Web Frontend Instance Public URL, um eine neue Browser-Registerkarte zu öffnen und eine Verbindung zur Anwendung herzustellen.

 

 

Anwendungsfunktion überprüfen

 

Überprüfen Sie, ob die Anwendung ordnungsgemäß funktioniert. Die IP-Adresse des Servers, auf dem die Seite angezeigt wird, ist angegeben. Das Web-Front-End funktioniert und Sie können die übrigen Anwendungskomponenten testen:

  1. Klicken Sie auf App Health.

 

 

Azure App Health

 

Alle Anwendungskomponenten kommunizieren ordnungsgemäß zwischen Azure und dem On-Premise-Rechenzentrum.

 

Validierung der AWS-Anwendung


Für die Anwendung wurde ein Web-Front-End von einem Entwickler in Amazon Web Services bereitgestellt. In späteren Lektionen wird diese Anwendung mithilfe von NSX geschützt. Sie überprüfen nun die Anwendungsfunktionen ohne NSX.


 

Kontoinformationen aufrufen

 

  1. Klicken Sie auf die bereits geöffnete Registerkarte mit den Kontoinformationen. Falls diese Registerkarte geschlossen wurde, öffnen Sie eine neue Registerkarte und klicken Sie auf das Lesezeichen Account Info.

 

 

Informationen zur Webinstanz

 

  1. Klicken Sie auf den AWS-Link neben Web Frontend Instance Public URL, um eine neue Browser-Registerkarte zu öffnen und eine Verbindung zur Anwendung herzustellen.

 

 

Anwendungsfunktion überprüfen

 

Überprüfen Sie, ob die Anwendung ordnungsgemäß funktioniert. Die IP-Adresse des Servers, auf dem die Seite angezeigt wird, ist angegeben. Das Web-Front-End funktioniert und Sie können die übrigen Anwendungskomponenten testen:

  1. Klicken Sie auf App Health.

 

 

AWS App Health

 

Alle Anwendungskomponenten kommunizieren ordnungsgemäß zwischen AWS und dem On-Premise-Rechenzentrum.

 

Portscan der Anwendungsumgebungen


Um einen potenziellen Hackerangriff zu simulieren, wurde nmap auf der Hauptkonsole installiert. Damit kann ein Portscan der Anwendungsumgebung im On-Premise-Rechenzentrum sowie in Amazon Web Services und Microsoft Azure durchgeführt werden. Sie scannen die IP-Adressen der Anwendungs-Front-End-Webserver und On-Premise-VMs. Anschließend überprüfen Sie die offenen Ports.


 

nmap öffnen

 

  1. Klicken Sie in der Taskleiste auf das Zenmap nmap-Symbol.

 

 

nmap-Scan für IP-Subnetzbereich der On-Premise-Anwendung durchführen

 

  1. Kopieren Sie den folgenden Befehl und fügen Sie ihn in das Feld Command ein oder geben Sie ihn über die Tastatur ein (löschen Sie zuvor eventuell vorhandene Befehle in diesem Feld).
nmap -p 10-10000 -T5 -Pn --open 192.168.120.11-14
  1. Klicken Sie auf Scan, um den Scanvorgang zu starten.

Um die Scandauer zu verkürzen und die Datenmenge zu reduzieren, verwendet der nmap-Scanner folgende Optionen:

  • -p 10-10000, um die ersten 10.000 Ports zu scannen
  • -Pn, um Ping-Tests zu deaktivieren
  • -T5, um die schnellste Zeitvorlage zu aktivieren
  • --open, um nur offene oder potenziell offene Ports anzuzeigen
  • 192.168.120.11-14, um nur einen kleinen Bereich von IP-Adressen zu scannen

 

 

Scanergebnisse für die On-Premise-VMs

 

Folgende Ergebnisse werden für offene Ports mit uneingeschränktem Zugriff sowie für alle VMs mit aktiviertem SSH-Protokoll (Port 22) angezeigt:

  • VM „ps-api01a“ (.11): Port 80 offen
  • VM „ps-db01a“ (.12): Port 3306 offen
  • VM „ps-redis01a“ (.13): Port 6379 offen

Das bedeutet auch, dass jede virtuelle Maschine oder Instanz direkt auf die Datenbank und den Redis-Service zugreifen kann. Diese laterale Bewegung in der Umgebung ist gefährlich und birgt Risiken in Bezug auf weitere Angriffe bzw. weiteren Missbrauch.

 

 

nmap-Scan für Webserver durchführen

 

  1. Geben Sie den folgenden Befehl in das Feld Command ein (achten Sie auf das Leerzeichen zwischen den IP-Adressen).
nmap -F -Pn -T5 --open 172.18.10.4 172.15.10.4
  1. Klicken Sie auf Scan, um den Scanvorgang zu starten.

Um die Scandauer zu verkürzen und die Datenmenge zu reduzieren, verwendet der nmap-Scanner folgende Optionen:

  • -F, um einen schnelleren Scan für weniger Ports durchzuführen
  • -Pn, um Ping-Tests zu deaktivieren
  • -T5, um die schnellste Zeitvorlage zu aktivieren
  • --open, um nur offene oder potenziell offene Ports anzuzeigen
  • 172.18.10.4 172.15.10.4, um nur zwei IP-Adressen zu scannen

 

 

Scanergebnisse für die Webserver

 

Bei beiden Webservern in AWS und Azure ist Port 80 neben SSH (Port 22) für uneingeschränkten Zugriff offen.

 

Fazit


Damit ist Modul 2 abgeschlossen. Sie haben überprüft, ob die Anwendung im On-Premise-Rechenzentrum sowie in AWS und Azure funktioniert. Durch das Anzeigen der angewendeten Sicherheitsrichtlinien haben Sie festgestellt, dass einige Anwendungskomponenten unnötigen Zugriff gewähren und möglicherweise böswilligen Angriffen ausgesetzt sind. Schließlich haben Sie mithilfe eines gebräuchlichen Sicherheitsscanners diese offenen Ports und den verfügbaren Zugriff überprüft.


 

Abschluss von Modul 2

Fahren Sie mit Modul 3 fort, das eine Einführung in die NSX-Managementkomponenten bietet. Sie können auch mit einem anderen Modul fortfahren, das Sie mehr interessiert.

 

Modul 3 – Einführung in die NSX-Managementkomponenten (15 Minuten)

Einführung


Im Rahmen der VMware NSX Cloud-Lösung werden separate virtuelle Maschinen in der On-Premise-Rechenzentrumsumgebung bereitgestellt, um die Management- und Betriebsbenutzeroberfläche für die Lösung zu unterstützen. Dabei handelt es sich um folgende Instanzen:

  • NSX Cloud Services Manager
  • NSX Manager

NSX Cloud Services Manager verwaltet den vollständigen Lebenszyklus bereitgestellter NSX-Komponenten in AWS und Azure und bietet eine einheitliche Ansicht zwischen NSX Manager und dem Public Cloud-Bestand. Zu den weiteren Funktionen von NSX Cloud Services Manager zählen:

  • NSX Cloud Gateway-Bereitstellung und -Upgrades
  • NSX Agent-Upgrades über NSX Cloud Gateway
  • Backup/Wiederherstellung

NSX Manager bietet eine grafische Benutzeroberfläche (GUI) und REST-APIs zum Erstellen, Konfigurieren und Überwachen von NSX-Komponenten wie NSX Controller und logischen Switches. NSX Manager ist die Managementebene für das NSX-Partnernetz. Als zentrale Netzwerkmanagementkomponente von NSX stellt die Lösung eine zusammenfassende Ansicht bereit. Außerdem enthält sie eine Methode zur Überwachung und Fehlerbehebung von Workloads, die mit von NSX erstellten virtuellen Netzwerken verbunden sind. NSX Manager konfiguriert und orchestriert Folgendes:

  • Logische Netzwerkkomponenten – Logisches Switching und Routing
  • Netzwerk- und Edge-Services
  • Sicherheitsservices und verteilte Firewall

Hands-on Lab-Validierung


Um die Lektionen in diesem Modul durchzuführen, ist eine Verbindung zu Microsoft Azure und Amazon Web Services erforderlich. Zunächst erfolgt eine Verbindungsprüfung. Das ist besonders wichtig, falls die vorangegangenen drei Module nicht absolviert wurden.


 

Hands-on Lab muss Status „Ready“ aufweisen

 

Überprüfen Sie, ob das Hands-on Lab alle Startroutinen abgeschlossen hat und gestartet werden kann. Falls etwas anderes als „Ready“ angezeigt wird, warten Sie einige Minuten.  Falls der Status Ihres Hands-on Lab nach fünf Minuten nicht auf „Ready“ gewechselt hat, bitten Sie um Hilfe.

Wenn Sie fortfahren, ohne dass das Hands-on Lab bereit („Ready“) ist, können Sie nicht damit arbeiten.

 

 

Seite mit Hands-on Lab-Bereitstellungsstatus

Die AWS- und Azure-Teile der Hands-on Lab-Bereitstellung werden derzeit abgeschlossen. Auf einer Webseite wird der Status der Hands-on Lab-Ressourcen angezeigt, die im Rahmen der Lab-Einrichtung in AWS und Azure bereitgestellt werden.

HINWEIS: Sie können nur über die Hauptkonsole der HOL-Umgebung auf die in Amazon Web Services und Microsoft Azure bereitgestellten Ressourcen zugreifen.

Die Hands-on Lab-Bereitstellung wird voraussichtlich 10 bis 15 Minuten dauern.

 

 

Google Chrome öffnen

 

  1. Klicken Sie in der Windows-Schnellstartleiste auf das Chrome-Symbol.

 

 

Startseite mit Kontoinformationen

 

Die Chrome-Startseite ist so konfiguriert, dass nach der Anmeldung die Seite mit den Kontoinformationen und dem Status der Hands-on Lab-Bereitstellung angezeigt wird.

  1. Geben Sie im Feld Email Address die E-Mail-Adresse ein, die Sie bei der Registrierung für das Hands-on Lab verwendet haben.
  2. Geben Sie VMware1! als Kennwort ein.
  3. Klicken Sie auf Login.

 

 

Hands-on Lab-Bereitstellung abgeschlossen

 

Der Abschluss der Bereitstellung wird auf der Seite mit den Kontoinformationen angezeigt. Dieser Vorgang kann 10 bis 15 Minuten dauern. In den Hands-on Lab-Modulen wird häufig auf diese Seite verwiesen.

 

Anmeldung bei NSX Cloud Services Manager


Eine Funktion von NSX Cloud Services Manager ist die Bereitstellung einer einheitlichen Bestandsansicht zwischen NSX und den Public Cloud-Umgebungen. In dieser Lektion melden Sie sich bei NSX Cloud Services Manager an.


 

Neue Registerkarte im Browser öffnen

 

  1. Klicken Sie in Google Chrome auf das Symbol für eine leere Registerkarte, um eine neue Browser-Registerkarte zu öffnen.

 

 

NSX Cloud Services Manager-Lesezeichen

 

  1. Klicken Sie auf das Lesezeichen CSM, um eine Verbindung zur NSX Cloud Services Manager-Konsole herzustellen.

 

 

Validierung des Zertifikats

 

Teile dieser Hands-on Lab-Umgebung werden bedarfsorientiert erstellt. Daher sind die Zertifikate noch nicht vertrauenswürdig. In einer Produktionsbereitstellung würde ein vertrauenswürdiges Zertifikat erstellt und verwendet werden, um die Verbindung zu schützen. So setzen Sie den Anmeldevorgang fort:

  1. Klicken Sie auf HIDE ADVANCED.
  2. Klicken Sie auf den Proceed-Link.

 

 

Bei NSX Cloud Services Manager anmelden

 

  1. Geben Sie admin in das Feld „Username“ ein.
  2. Geben Sie VMware1! als Kennwort ein.
  3. Klicken Sie auf LOG IN.

 

Konfiguriertes AWS-Konto und Bestand


NSX Cloud Services Manager bietet eine einheitliche Ansicht von NSX und dem AWS-Bestand. Sie vergleichen nun den von NSX Cloud Services Manager gemeldeten Bestand mit dem AWS-Bestand.


 

CSM-Konfiguration und -Bestand

 

  1. Klicken Sie auf Clouds.
  2. Klicken Sie auf AWS.

 

 

AWS-Kontoinformationen

 

Die AWS-Kontoinformationen wurden in Cloud Services Manager konfiguriert. Diese Informationen unterscheiden sich je nach Hands-on Lab-Pod.

 

 

Anzahl der konfigurierten VPCs

 

In diesem AWS-Konto sind mehrere VPCs für die verschiedenen Regionen konfiguriert.

 

 

Anzahl der konfigurierten Instanzen

 

In diesem AWS-Konto werden drei Instanzen ausgeführt.

 

 

Auf „VPCs“ klicken

 

  1. Klicken Sie auf VPCs.

 

 

VPC-Ansicht eingrenzen

 

  1. Wählen Sie im Dropdown-Menü „Region“ us-west-1 aus, um die VPC-Ansicht einzugrenzen.

 

 

 

VPC

 

Das ist die VPC, die in vorangegangenen Lektionen im AWS-Bestand angezeigt wurde.

 

 

Überprüfen, ob VPC von NSX verwaltet wird

 

Die Computing-VPC wird nicht von NSX verwaltet („NSX Managed“-Status lautet „No“). Im weiteren Verlauf dieses Hands-on Lab werden NSX-Komponenten in dieser VPC für das Management der ausgeführten AWS EC2-Instanzen bereitgestellt.

 

 

Auf „Instances“ klicken

 

  1. Klicken Sie auf Instances.

 

 

Überprüfen, ob Instanzen von NSX verwaltet werden

 

Die im AWS-Bestand aufgeführten AWS EC2-Instanzen für die Anwendung werden angezeigt. Der Kreis für den NSX-Status ist nicht grün, da keine NSX-Komponenten bereitgestellt wurden.

 

Konfiguriertes Azure-Konto und Bestand


NSX Cloud Services Manager bietet eine einheitliche Ansicht von NSX und dem Azure-Bestand. Sie vergleichen nun den von NSX Cloud Services Manager gemeldeten Bestand mit dem Azure-Bestand.


 

CSM-Konfiguration und -Bestand

 

  1. Klicken Sie links auf Azure.

 

 

Azure-Kontoinformationen

 

Die Azure-Kontoinformationen wurden in Cloud Services Manager konfiguriert. Diese Informationen unterscheiden sich je nach Hands-on Lab-Pod.

 

 

Anzahl der konfigurierten VNets

 

In diesem Azure-Konto ist ein virtuelles Netzwerk konfiguriert.

 

 

Anzahl der konfigurierten Instanzen

 

In diesem Azure-Konto werden drei Instanzen ausgeführt.

 

 

Auf „VNets“ klicken

 

  1. Klicken Sie auf VNets.

 

 

VNet

 

Das ist das VNet, das in vorangegangenen Lektionen im Azure-Bestand angezeigt wurde.

 

 

Überprüfen, ob VNet von NSX verwaltet wird

 

Das VNet wird nicht von NSX verwaltet („NSX Managed“-Status lautet „No“). Im weiteren Verlauf dieses Hands-on Lab werden NSX-Komponenten in diesem VNet für das Management der ausgeführten Azure-VMs bereitgestellt.

 

 

Auf „Instances“ klicken

 

  1. Klicken Sie auf Instances.

 

 

Überprüfen, ob Instanzen von NSX verwaltet werden

 

Die im Azure-Bestand aufgeführten Azure-VMs für die Anwendung werden angezeigt. Der Kreis für den NSX-Status ist nicht grün, da keine NSX-Komponenten bereitgestellt wurden.

 

Anmeldung bei NSX Manager


Sie verwenden NSX Manager als zentrale Managementebene für die Lösung, um Sicherheitsrichtlinien für die Anwendung zu konfigurieren und die Bereitstellung von NSX in Amazon Web Services und Microsoft Azure zu überprüfen. In dieser Lektion melden Sie sich bei NSX Manager an.


 

Neue Registerkarte im Browser öffnen

 

  1. Klicken Sie in Google Chrome auf das Symbol für eine leere Registerkarte, um eine neue Browser-Registerkarte zu öffnen.

 

 

NSX Manager-Lesezeichen

 

  1. Klicken Sie auf das Lesezeichen NSX Manager, um eine Verbindung zur NSX Manager-Konsole herzustellen.

 

 

Bei NSX Manager anmelden

 

  1. Geben Sie admin in das Feld „Username“ ein.
  2. Geben Sie VMware1! als Kennwort ein.
  3. Klicken Sie auf LOG IN.

 

NSX Manager-Benutzeroberfläche


Zur Vorbereitung auf die NSX-Konfiguration für das Anwendungsmanagement navigieren Sie durch mehrere Bildschirme der NSX Manager-Benutzeroberfläche. Dabei zeigen Sie die aktuelle Konfiguration der Hands-on Lab-Umgebung an, überprüfen die Funktionsfähigkeit der NSX-Managementinfrastruktur und machen sich mit der neuen HTML5-Schnittstelle vertraut.


 

Auf „Dashboard“ klicken

 

  1. Klicken Sie auf Dashboard.

 

 

Manager- und Controller-Knoten

 

Im Bildschirm „Dashboard“ wird der Status der verschiedenen Komponenten der NSX-Bereitstellung zentral angezeigt. Sie sehen auf oberster Ebene, ob irgendwelche Probleme mit Komponenten bestehen. Außerdem wird die Anzahl von Lastausgleichsservices, Firewall-Regeln und VPN-Sitzungen angegeben.

Die „Manager Nodes“ und „Controller Nodes“ für die NSX-Bereitstellung werden unter „System“ grün angezeigt. Das bedeutet, dass die NSX Manager- und NSX Controller-Knoten aktiv sind.

NSX Manager ist die Managementebene, die eine grafische Benutzeroberfläche (GUI) und REST-APIs zum Erstellen, Konfigurieren und Überwachen von NSX-Komponenten, z.B. Controller, logische Switches, Firewall-Richtlinien und Edge Services Gateways, bereitstellt.

NSX Controller ist die Steuerungsebene, die erweitertes verteiltes Statusmanagement in der Umgebung bereitstellt.

 

 

Fabric-Status

 

In der NSX-Fabric sind drei Hosts eingerichtet.

 

 

Auf „Switching“ klicken

 

  1. Klicken Sie links auf Switching.

 

 

Überprüfen, ob ein logischer Switch im Bestand vorhanden ist

 

Es gibt einen logischen Switch, der für die On-Premise-VMs erstellt wurde.

 

 

Auf logische Portnummer klicken

 

  1. Klicken Sie unter „Logical Ports“ auf 4.

 

 

Spalte erweitern

 

1. Klicken Sie auf die Spaltenbegrenzung und ziehen Sie sie bis zur gewünschten Größe.

 

 

Logische Ports

 

Die vier logischen Ports im logischen Switch „LS-VLAN“ entsprechen den vier On-Premise bereitgestellten Anwendungs-VMs.

 

Fazit


Damit ist Modul 3 abgeschlossen. Sie haben sich bei NSX Cloud Services Manager (CSM) angemeldet, der als Betriebsbenutzeroberfläche für die VMware NSX Cloud-Lösung fungiert. Außerdem haben Sie die AWS- und Azure-Bestände über NSX CSM angezeigt. Nach der Anmeldung bei NSX Manager haben Sie den NSX-Objektbestand überprüft, um sich zu vergewissern, dass nur die Standardelemente vorhanden sind. Darüber hinaus haben Sie sich mit der neuen HTML5-Schnittstelle vertraut gemacht.


 

Abschluss von Modul 3

Fahren Sie mit Modul 4 fort, um die Anwendungsumgebung mit NSX zu schützen. Sie können auch mit einem anderen Modul fortfahren, das Sie mehr interessiert.

 

Modul 4 – Schutz von Hybrid Cloud-Anwendungen mit NSX (60 Minuten)

Einführung


Zum Schutz der Anwendung in Amazon Web Services (AWS), Microsoft Azure sowie im On-Premise-Rechenzentrum sind Sicherheitsrichtlinien für die von NSX verwalteten Workloads erforderlich. NSX stellt eine verteilte Firewall mit logischen Gruppierungsfunktionen bereit, um die Konfiguration zu vereinfachen und Konsistenz sicherzustellen.

Nach der Bereitstellung der zentralen Managementebene (NSX Manager und NSX Cloud Services Manager) und der zentralen Steuerungsebene (NSX Controller) im On-Premise-Rechenzentrum müssen die folgenden Schritte durchgeführt werden, um die Anwendung zu schützen:

  1. In jeder Cloud-Umgebung wird eine NSX Cloud Gateway-Instanz bereitgestellt, wobei die Workloads von NSX verwaltet werden.
  2. Ein Cloud-Administrator erstellt logische Netzwerke und Sicherheitsrichtlinien über die NSX Manager-UI oder -APIs.
  3. Ein Cloud-Administrator erzeugt eine Reihe von Tags in NSX Cloud Services Manager.
  4. Ein Entwickler wendet die Tags auf seine Workloads in AWS und Azure an, um die NSX-Richtlinien bei der Instanzerstellung zu verwenden.
  5. NSX Agent wird auf allen von NSX verwalteten AWS-Instanzen und Azure-VMs installiert.

 

Erforderliche Sicherheitsrichtlinien

 

Für die Anwendung sind diese allgemeinen Sicherheitsrichtlinien erforderlich.

 

Hands-on Lab-Validierung


Um die Lektionen in diesem Modul durchzuführen, ist eine Verbindung zu Microsoft Azure und Amazon Web Services erforderlich. Zunächst erfolgt eine Verbindungsprüfung. Das ist besonders wichtig, falls die vorangegangenen drei Module nicht absolviert wurden.


 

Hands-on Lab muss Status „Ready“ aufweisen

 

Überprüfen Sie, ob das Hands-on Lab alle Startroutinen abgeschlossen hat und gestartet werden kann. Falls etwas anderes als „Ready“ angezeigt wird, warten Sie einige Minuten. Falls der Status Ihres Hands-on Lab nach fünf Minuten nicht auf „Ready“ gewechselt hat, bitten Sie um Hilfe.

Wenn Sie fortfahren, ohne dass das Hands-on Lab bereit („Ready“) ist, können Sie nicht damit arbeiten.

 

 

Seite mit Hands-on Lab-Bereitstellungsstatus

Die AWS- und Azure-Teile der Hands-on Lab-Bereitstellung werden derzeit abgeschlossen. Auf einer Webseite wird der Status der Hands-on Lab-Ressourcen angezeigt, die im Rahmen der Lab-Einrichtung in AWS und Azure bereitgestellt werden.

HINWEIS: Sie können nur über die Hauptkonsole der HOL-Umgebung auf die in Amazon Web Services und Microsoft Azure bereitgestellten Ressourcen zugreifen.

Die Hands-on Lab-Bereitstellung wird voraussichtlich 10 bis 15 Minuten dauern.

 

 

Google Chrome öffnen

 

  1. Klicken Sie in der Windows-Schnellstartleiste auf das Chrome-Symbol.

 

 

Startseite mit Kontoinformationen

 

Die Chrome-Startseite ist so konfiguriert, dass nach der Anmeldung die Seite mit den Kontoinformationen und dem Status der Hands-on Lab-Bereitstellung angezeigt wird.

  1. Geben Sie im Feld Email Address die E-Mail-Adresse ein, die Sie bei der Registrierung für das Hands-on Lab verwendet haben.
  2. Geben Sie VMware1! als Kennwort ein.
  3. Klicken Sie auf Login.

 

 

Hands-on Lab-Bereitstellung abgeschlossen

 

Der Abschluss der Bereitstellung wird auf der Seite mit den Kontoinformationen angezeigt. Dieser Vorgang kann 10 bis 15 Minuten dauern. In den Hands-on Lab-Modulen wird häufig auf diese Seite verwiesen.

 

Überprüfen der VPN-Verbindung zu Public Clouds


Für dieses Hands-on Lab wird eine VPN-Verbindung zu AWS und Azure hergestellt. Der Zugriff auf das Web-Front-End wird mit einem einfachen Ping-Test überprüft.

Hinweis: Wenn einer der Ping-Tests fehlschlägt, bitten Sie um Unterstützung, bevor Sie mit dem Hands-on Lab fortfahren.


 

Eingabeaufforderung öffnen

 

  1. Klicken Sie auf das Eingabeaufforderungssymbol in der Windows-Schnellstartleiste.

 

 

Ping-Test für die AWS-Webinstanz

 

  1. Geben Sie den folgenden Befehl ein, um die Verbindung zur Web-Front-End-Instanz von AWS per Ping-Test zu prüfen:
ping 172.15.10.4

 

 

AWS-Verbindung hergestellt

 

Wenn Sie Antworten erhalten, wurde eine Verbindung mit AWS hergestellt.

 

 

Ping-Test für die Azure-Webinstanz

 

  1. Geben Sie den folgenden Befehl ein, um die Verbindung zur Web-Front-End-Instanz von Azure per Ping-Test zu prüfen:
ping 172.18.10.4

 

 

Azure-Verbindung hergestellt

 

Wenn Sie Antworten erhalten, wurde eine Verbindung mit Azure hergestellt.

 

Bereitstellen von NSX Cloud Gateway in Amazon Web Services


NSX-Komponenten sind erforderlich, um Sicherheitsrichtlinien für die Anwendungsinstanzen in Amazon Web Services bereitzustellen. Der erste Schritt besteht in der Bereitstellung von NSX Cloud Gateway in der Computing-VPC, in der die Anwendungsinstanzen bereitgestellt werden.

Als Edge-Transportknoten in NSX bietet die NSX Cloud Gateway-Instanz die folgenden Services für jede VPC, in der sie bereitgestellt wird:

  • (Lokale) Proxy-Steuerungsebene für NSX Agent-Instanzen
  • Zustandsbehaftete Services wie NAT und Edge-Firewall
  • Hosting und Verteilung von NSX Agent-Software
  • Abfragen von Amazon Web Services-Tags

 

Google Chrome öffnen

 

  1. Klicken Sie in der Windows-Schnellstartleiste auf das Chrome-Symbol (oder öffnen Sie Chrome, falls der Browser bereits ausgeführt wird).

 

 

Neue Registerkarte im Browser öffnen

 

  1. Klicken Sie in Google Chrome auf das Symbol für eine leere Registerkarte, um eine neue Browser-Registerkarte zu öffnen (oder wechseln Sie zur Registerkarte „CSM“, falls diese bereits geöffnet ist).

 

 

NSX Cloud Services Manager-Lesezeichen

 

  1. Klicken Sie auf das Lesezeichen CSM, um eine Verbindung zur NSX Cloud Services Manager-Konsole herzustellen.

 

 

Validierung des Zertifikats

 

Dieser Schritt wird nicht angezeigt, wenn Sie Modul 3 bereits abgeschlossen haben.

Teile dieses Hands-on Lab werden bedarfsorientiert erstellt, sodass noch keine vertrauenswürdigen Zertifikate vorhanden sind. In einer Produktionsbereitstellung würde ein vertrauenswürdiges Zertifikat erstellt und verwendet werden, um die Verbindung zu schützen. So setzen Sie den Anmeldevorgang fort:

  1. Klicken Sie auf Hide Advanced.
  2. Klicken Sie auf den Proceed-Link.

 

 

Bei NSX Cloud Services Manager anmelden

 

  1. Geben Sie admin in das Feld „Username“ ein.
  2. Geben Sie VMware1! als Kennwort ein.
  3. Klicken Sie auf Log In.

 

 

AWS-Konto auswählen

 

  1. Klicken Sie auf Clouds.
  2. Klicken Sie auf AWS.

 

 

Auf „VPCs“ klicken

 

  1. Klicken Sie oben auf VPCs.

 

 

VPC-Ansicht eingrenzen

 

  1. Wählen Sie im Dropdown-Menü „Region“ us-west-1 aus, um die VPC-Ansicht einzugrenzen.

 

 

 

Auf Dropdown-Menü „Actions“ klicken

 

  1. Klicken Sie im Feld „Compute-VPC“ auf Actions.
  2. Klicken Sie auf Deploy NSX Cloud Gateway.

 

 

Konfigurationseinstellungen von NSX Cloud Gateway

 

  1. Wählen Sie Private IP aus.
  2. Klicken Sie auf PEM File und wählen Sie nsx-management aus.
  3. Deaktivieren Sie die Quarantänerichtlinie.
  4. Klicken Sie auf Next.

 

 

Hochverfügbarkeitseinstellungen konfigurieren

 

NSX Cloud Gateway unterstützt ein Bereitstellungsmodell mit Hochverfügbarkeit. Um den Zeitaufwand für die Durchführung des Hands-on Lab zu verringern, wird keine Hochverfügbarkeit konfiguriert.

  1. Deaktivieren Sie das Kontrollkästchen „Enable HA for NSX Cloud Gateway“.
  2. Wählen Sie unter Availability Zone Ihre Verfügbarkeitszone aus. Hinweis: Bei Auswahl der falschen Verfügbarkeitszone sind die Subnetzmenüs für die Schritte 3 bis 5 leer.
  3. Wählen Sie unter „Uplink Subnet“ nsx-uplink-subnet aus.
  4. Wählen Sie unter „Downlink Subnet“ nsx-downlink-subnet aus.
  5. Wählen Sie unter „Management Subnet“ nsx-mgmt-subnet aus.
  6. Klicken Sie auf Deploy.

 

 

NSX Cloud Gateway-Bereitstellung beginnt

 

Der Bereitstellungsvorgang für diese VPC beginnt. Er dauert ca. 7 – 10 Minuten. Auf dem Bildschirm mit dem Bereitstellungsfortschritt werden die durchgeführten Aktionen angezeigt.

Mit der Bereitstellung von NSX Cloud Gateway wird sowohl die lokale Steuerungsebene für NSX-Richtlinien in der VPC implementiert als auch ein Installationsort für die NSX Agent-Instanzen angegeben, die in einer späteren Lektion bereitgestellt werden.

Fahren Sie mit der nächsten Lektion zur Konfiguration logischer Gruppierungen fort, während die NSX Cloud Gateway-Bereitstellung abgeschlossen wird. Anschließend kehren Sie zu NSX Cloud Services Manager zurück, um den Abschluss zu überprüfen.

 

Erstellen logischer Gruppierungen


NSX kann kontextbezogene Workload-Informationen nutzen, um dynamische Richtliniengruppen zu erstellen. Dadurch entsteht ein deutlich vereinfachtes Betriebsmodell für das Management von Sicherheitsrichtlinien. In dieser Lektion lernen Sie die vorkonfigurierten Gruppen kennen und stellen anschließend einige davon fertig, um das Richtlinienmanagement zu vereinfachen.

CSM kann Cloud-Bestandsinformationen synchronisieren, um die auf die Cloud-Workloads angewendeten Tags abzurufen. Normalerweise werden diese Tags während der Bereitstellung von Instanzen und virtuellen Maschinen in AWS und Azure hinzugefügt. Beispiele für Tags sind der Anwendungsname, die Anwendungsschicht usw. NSX importiert außerdem Tags mit Informationen zur Cloud-Umgebung, z.B. VPC- oder VNet-Namen, die ebenfalls verwendet werden können.

Diese Tags werden zusammen mit den auf die On-Premise-VMs angewendeten Tags zum Erstellen dynamischer logischer Gruppierungen in NSX verwendet.


 

Neue Registerkarte im Browser öffnen

 

  1. Klicken Sie in Google Chrome auf das Symbol für eine leere Registerkarte, um eine neue Browser-Registerkarte zu öffnen (oder wechseln Sie zur Registerkarte „NSX Manager“, falls diese bereits geöffnet ist).

 

 

NSX Manager-Lesezeichen

 

  1. Klicken Sie auf das Lesezeichen NSX Manager, um eine Verbindung zur NSX Manager-Konsole herzustellen.

 

 

Bei NSX Manager anmelden

 

  1. Geben Sie admin in das Feld „Username“ ein.
  2. Geben Sie VMware1! als Kennwort ein.
  3. Klicken Sie auf Log In.

 

 

Im Menü „Inventory“ auf „Groups“ klicken

 

  1. Klicken Sie auf Inventory.
  2. Klicken Sie auf Groups.

 

 

Wählen Sie IP-Sets aus

 

1. Klicken IP Sets.

 

 

 

Flughafendaten bearbeiten

 

1. Wählen Airport Data.

2. Klicken EDIT.

 

 

Mitglieder hinzufügen

 

1. Eingeben 104.25.0.0/16.

2. Klicken SAVE.

 

 

Wählen Sie Gruppen aus

 

1. Klicken Groups.

 

 

Erstellte Gruppen anzeigen

 

Um Zeit zu sparen, wurden bereits mehrere Gruppen erstellt. Sie werden sich zwei Gruppen genauer ansehen und deren Konfiguration abschließen.

Sie werden in den von Ihnen erstellten Firewall-Richtlinien verwendet.

 

 

Webgruppe anzeigen

 

  1. Wählen Sie ps-web aus.
  2. Klicken Sie auf Edit.

 

 

Gruppenmitgliedschaft

 

  1. Klicken Sie auf Membership Criteria.

Sie nutzen das dynamische Tag, das NSX im Public Cloud-Bestand (Präfix dieser Tags: dis:<cloud>:) für „AppTier“ ermittelt, um die Front-End-VMs in diese Gruppe einzubeziehen. Derselbe Ansatz wird für die restlichen Gruppen verwendet. Im nächsten Schritt stellen Sie die API- und Anwendungsisolationsgruppen fertig.

 

 

Auf „Cancel“ klicken

 

  1. Klicken Sie auf Cancel.

 

 

API-Gruppe bearbeiten

 

  1. Wählen Sie ps-api aus („ps-web“darf nicht ausgewählt sein).
  2. Klicken Sie auf Edit.

 

 

Mitgliedschaftskriterien auf Basis von ermittelten Tags

 

Auf die im On-Premise-Rechenzentrum ausgeführten virtuellen Maschinen wurden bereits Tags angewendet. Sie werden sie für die Fertigstellung dieser Gruppe verwenden.

  1. Klicken Sie auf Membership Criteria.
  2. Klicken Sie auf Criteria.
  3. Wählen Sie Virtual Machine aus.
  4. Wählen Sie Tag aus.
  5. Wählen Sie Equals aus.
  6. Geben Sie api ein.
  7. Wählen Sie Equals aus.
  8. Geben Sie AppTier ein.
  9. Klicken Sie auf Save.

 

 

Anwendungsisolationsgruppe bearbeiten

 

  1. Wählen Sie planespotter-app aus („ps-api“ darf nicht ausgewählt sein).
  2. Klicken Sie auf Edit.

 

 

Auf „Criteria“ klicken

 

  1. Klicken Sie auf Membership Criteria.
  2. Klicken Sie auf Criteria.

 

 

Alle VMs mit Azure-Tag

 

Der erste Eintrag enthält die Azure-VM, deren Anwendungsname (AppName) dem Tag „planespotter“ entspricht.

  1. Wählen Sie Virtual Machine aus.
  2. Wählen Sie Tag aus.
  3. Wählen Sie Equals aus.
  4. Geben Sie planespotter ein.
  5. Wählen Sie Equals aus.
  6. Geben Sie dis:Azure:AppName ein. (dis = ermitteltes Tag)
  7. Klicken Sie auf Criteria.

 

 

Alle VMs mit AWS-Tag

 

Dieser Eintrag enthält die AWS-Instanz, deren Anwendungsname (AppName) dem Tag „planespotter“ entspricht.

  1. Wählen Sie Virtual Machine aus.
  2. Wählen Sie Tag aus.
  3. Wählen Sie Equals aus.
  4. Geben Sie planespotter ein.
  5. Wählen Sie Equals aus.
  6. Geben Sie dis:AWS:AppName ein. (dis = ermitteltes Tag)
  7. Klicken Sie auf Criteria.

 

 

Alle VMs mit NSX-Tag

 

Im letzten Schritt beziehen Sie alle On-Premise-VMs ein, deren Anwendungsname (AppName) dem Tag „planespotter“ entspricht.

  1. Wählen Sie Virtual Machine aus.
  2. Wählen Sie Tag aus.
  3. Wählen Sie Equals aus.
  4. Geben Sie planespotter ein.
  5. Wählen Sie Equals aus.
  6. Geben Sie AppName ein.
  7. Klicken Sie auf Save.

 

 

Zu NSX Cloud Services Manager zurückkehren

 

  1. Wählen Sie in Google Chrome die bereits geöffnete Browser-Registerkarte NSX Cloud Services Manager aus. Hinweis: Möglicherweise unterscheidet sich die Reihenfolge der Browser-Registerkarten, falls Sie vorangegangene Module bereits abgeschlossen haben.

 

 

NSX Cloud Gateway-Bereitstellung abgeschlossen

 

  1. Klicken Sie auf Finish, wenn die Bereitstellung abgeschlossen wurde.

 

 

Von NSX verwaltete Computing-VPC

 

Die Computing-VPC wird nun von NSX mit einem bereitgestellten Cloud-Gateway verwaltet. Im nächsten Schritt stellen Sie NSX Cloud Gateway in Azure bereit.

 

Bereitstellen von NSX Cloud Gateway in Azure


NSX-Komponenten sind erforderlich, um Sicherheitsrichtlinien für die Anwendungs-VMs in Microsoft Azure bereitzustellen. Der erste Schritt besteht in der Bereitstellung von NSX Cloud Gateway im Computing-VNet, in dem die Anwendungs-VMs bereitgestellt werden.

Als Edge-Transportknoten in NSX bietet die NSX Cloud Gateway-Instanz die folgenden Services für jedes VNet, in dem sie bereitgestellt wird:

  • (Lokale) Proxy-Steuerungsebene für NSX Agent-Instanzen
  • Zustandsbehaftete Services wie NAT und Edge-Firewall
  • Hosting und Verteilung von NSX Agent-Software
  • Abfragen von Azure-Tags

 

Azure auswählen

 

  1. Klicken Sie links auf Clouds.
  2. Klicken Sie links auf Azure.

 

 

Auf „VNets“ klicken

 

  1. Klicken Sie auf VNets.

 

 

Auf Dropdown-Menü „Actions“ klicken

 

  1. Klicken Sie auf Actions.
  2. Klicken Sie auf Deploy NSX Cloud Gateway.

 

 

Konfigurationseinstellungen von NSX Cloud Gateway

 

  1. Kopieren Sie den öffentlichen SSH-Schlüssel ganz unten auf der Webseite mit den Kontoinformationen (kopieren Sie alle drei Zeilen).
  2. Lassen Sie die Quarantänerichtlinie deaktiviert.
  3. Wählen Sie unter Local Storage Account das verfügbare lokale Storage-Konto aus (nur eine einzige Option).
  4. Klicken Sie auf Advanced.

 

 

Erweiterte Einstellungen

 

  1. Wählen Sie Override Public Cloud Provider's DNS Server aus.
  2. Geben Sie 192.168.110.10 ein.
  3. Klicken Sie auf Next.

 

 

Hochverfügbarkeitseinstellungen konfigurieren

 

NSX Cloud Gateway unterstützt ein Bereitstellungsmodell mit Hochverfügbarkeit. Um den Zeitaufwand für die Durchführung des Hands-on Lab zu verringern, wird Hochverfügbarkeit nicht konfiguriert.

  1. Deaktivieren Sie das Kontrollkästchen „Enable HA for NSX Cloud Gateway“.
  2. Wählen Sie unter „Uplink Subnet“ nsx-uplink-subnet aus.
  3. Wählen Sie unter „Downlink Subnet“ nsx-downlink-subnet aus.
  4. Wählen Sie unter „Management Subnet“ nsx-mgmt-subnet aus.
  5. Wählen Sie unter „Public IP on Mgmt NIC“ Allocate new IP aus.
  6. Klicken Sie auf Deploy.

 

 

NSX Cloud Gateway-Bereitstellung beginnt

 

Der Bereitstellungsvorgang für dieses VNet beginnt. Er dauert ca. 7 – 10 Minuten. Auf dem Bildschirm mit dem Bereitstellungsfortschritt werden die durchgeführten Aktionen angezeigt.

Mit der Bereitstellung von NSX Cloud Gateway wird sowohl die lokale Steuerungsebene für NSX-Richtlinien im VNet implementiert als auch ein Installationsort für die NSX Agent-Instanzen angegeben, die in einer späteren Lektion bereitgestellt werden.

Fahren Sie mit der nächsten Lektion zur Konfiguration von Firewall-Richtlinien fort, während die NSX Cloud Gateway-Bereitstellung abgeschlossen wird. Anschließend kehren Sie zu NSX Cloud Services Manager zurück, um den Abschluss zu überprüfen.

 

Aktivieren von Firewall-Richtlinien


NSX kann Sicherheitsrichtlinien erstellen, die die dynamische Eigenschaft der Cloud-Umgebungen nutzen. Dadurch entsteht ein optimiertes und betrieblich einheitliches Bereitstellungsmodell für Sicherheitsrichtlinien.


 

Zur NSX Manager-Registerkarte wechseln

 

  1. Wählen Sie in Google Chrome die bereits geöffnete NSX Manager-Registerkarte aus. Hinweis: Möglicherweise unterscheidet sich die Reihenfolge der Browser-Registerkarten, falls Sie vorangegangene Module bereits abgeschlossen haben.

 

 

Auf „Firewall“ klicken

 

  1. Klicken Sie links auf Firewall.

 

 

Zoom-Einstellung im Browser ändern

 

  1. Klicken Sie rechts oben auf die drei Punkte.
  2. Stellen Sie den Zoom-Wert auf 80% ein, damit die Regeln besser lesbar sind.

 

 

Konfigurierte Richtlinien anzeigen

 

Um Zeit zu sparen, wurden die Sicherheitsrichtlinien für die Anwendungsfunktionalität bereits vorab erstellt. Vor der Aktivierung werden Sie sich einige Punkte näher ansehen.

 

 

Anwendungsisolation

 

  1. Klicken Sie auf Applied To:.

Beachten Sie, dass die von Ihnen fertiggestellte Gruppe „planespotter-app“ verwendet wird. Damit wird dieser Firewall-Abschnitt nur auf die betreffenden virtuellen Maschinen angewendet. So haben Sie die Möglichkeit, diese Anwendung von der übrigen Umgebung zu isolieren.

 

 

Feld schließen

 

  1. Klicken Sie auf das X, um das Feld zu schließen.

 

 

Quell- und Zielgruppen

 

Die von Ihnen überprüften und fertiggestellten Gruppen dienen als Quell-Ziel-Paare für die Anwendung. Dadurch sind die Richtlinien dynamischer und lassen sich leichter verwalten.

 

 

Datenverkehrsservices

 

In NSX sind Services vorkonfiguriert, um die Auswahl der erforderlichen Datenverkehrstypen zu vereinfachen. Außerdem verwenden Sie für HTTP-Port 8080 einen anwenderdefinierten Service.

 

 

Protokollierung aktiviert

 

Die Protokollierung wurde für alle Regeln aktiviert. Die Protokolle werden an die Log Insight-Bereitstellung gesendet.

 

 

Regel „Deny All“

 

Für die letzte Regel „Deny All“ wird die Einstellung „Drop“ festgelegt, um sämtlichen, nicht ausdrücklich zugelassenen Datenverkehr zu blockieren (Sie müssen nach unten scrollen).

 

 

Alle Regeln aktivieren

 

  1. Klicken Sie oben neben „planespotter-app-isolation“ auf die drei Punkte.
  2. Klicken Sie auf Enable All Rules.

 

 

Zum Speichern der Regeln auf „Publish“ klicken

 

  1. Scrollen Sie wieder nach oben und klicken Sie auf Publish, um die Regeln zu speichern.

Die Sicherheitsrichtlinien für die Anwendung wurden aktiviert.

Die zuvor erstellten Gruppen wurden verwendet, um die Konfiguration von Quelle, Ziel und Firewall-Abschnitt zu vereinfachen.

Im nächsten Schritt kehren Sie zu NSX Cloud Services Manager zurück und überprüfen den Bereitstellungsfortschritt von NSX Cloud Gateway.

 

 

Zu NSX Cloud Services Manager zurückkehren

 

  1. Wählen Sie in Google Chrome die bereits geöffnete Browser-Registerkarte NSX Cloud Services Manager aus. Hinweis: Möglicherweise unterscheidet sich die Reihenfolge der Browser-Registerkarten, falls Sie vorangegangene Module bereits abgeschlossen haben.

 

 

NSX Cloud Gateway-Bereitstellung abgeschlossen

 

  1. Klicken Sie auf Finish, wenn die Bereitstellung abgeschlossen wurde. Dieser Vorgang kann einige Minuten dauern.

 

 

Von NSX verwaltetes VNet

 

„HOL1922-VPN-vNET“ wird nun von NSX mit einem bereitgestellten Cloud-Gateway verwaltet.

 

Anwenden von Tags auf die AWS-Anwendung


NSX-spezifische Tags geben an, wo die Netzwerkschnittstelle der EC2-Instanz logisch in NSX verbunden werden soll. Während des Verbindens werden Sicherheitsrichtlinien übertragen. Vor der Aktivierung von NSX Agent im Web-Front-End konfigurieren Sie ein Tag.


 

Auf AWS-Managementkonsole zugreifen

 

  1. Klicken Sie auf die bereits geöffnete Registerkarte mit den Kontoinformationen. Falls diese Registerkarte geschlossen wurde, öffnen Sie eine neue Registerkarte und klicken Sie auf das Lesezeichen Account Info.

 

 

URL der AWS-Managementkonsole

 

  1. Klicken Sie auf den Link neben Console URL, um eine neue Browser-Registerkarte zu öffnen und eine Verbindung zur AWS-Managementkonsole herzustellen.

 

 

Bei der AWS-Konsole anmelden

 

  1. Geben Sie unter „IAM user name“ vmware_hol_user ein.
  2. Kopieren Sie das Kennwort auf der Seite „Account Information“ und fügen Sie es ein oder geben Sie es über die Tastatur ein.
  3. Klicken Sie auf die Schaltfläche Sign In.

 

 

 

Region auswählen

 

Überprüfen Sie, ob in der Konsole Ressourcen der Region „North California“ angezeigt werden.

  1. Klicken Sie rechts oben im Bildschirm links neben „Support“ auf den Namen der Region.
  2. Wählen Sie US West (N. California) aus.

 

 

Zu EC2-Instanzen navigieren

 

  1. Klicken Sie links oben in der AWS-Konsole auf Services.
  2. Klicken Sie unter „Compute“ auf EC2.

 

 

Auf „Instances“ klicken

 

  1. Klicken Sie im Menü links auf Instances.

 

 

UI-Änderungen bestätigen

 

  1. Wenn diese Meldung angezeigt wird, klicken Sie auf das X, um sie zu schließen.

 

 

Spalte erweitern

 

  1. Klicken Sie auf die Spaltenbegrenzung und ziehen Sie sie, um die Spalte „Name“ zu vergrößern.

 

 

Webinstanz auswählen

 

  1. Wählen Sie hol1922-ps-web01 aus.

 

 

Für diese Instanz auf die Registerkarte „Tags“ klicken

 

  1. Klicken Sie unter der Liste der EC2-Instanzen auf die Registerkarte Tags.
  2. Klicken Sie auf Add/Edit Tags.

 

 

Auf „Create Tag“ klicken

 

  1. Klicken Sie auf Create Tag.
  2. Geben Sie unter „Key“ nsx:network ein.
  3. Geben Sie unter „Value“ default ein. (Hinweis: Verwenden Sie nicht die Gruppe „DEFAULT-nsx-compute-security-group“ für die automatische Fertigstellung, die möglicherweise angezeigt wird.)
  4. Klicken Sie auf Save.

 

 

Zusammenfassung

Sie haben das NSX-spezifische Tag auf das Web-Front-End angewendet. Nach der Bereitstellung von NSX Agent verbindet dieses Tag die Instanz mit dem standardmäßigen logischen NSX-Switch, der während der NSX Cloud Gateway-Bereitstellung erstellt wurde. Sicherheitsrichtlinien werden ebenfalls auf diese Instanz angewendet.

 

Anwenden von Tags auf die Azure-Anwendung


NSX-spezifische Tags geben an, wo die Netzwerkschnittstelle der virtuellen Maschine logisch in NSX verbunden werden soll. Während des Verbindens werden Sicherheitsrichtlinien übertragen. Vor der Aktivierung von NSX Agent im Web-Front-End konfigurieren Sie ein Tag.


 

Zugriff auf das Azure-Portal

 

  1. Klicken Sie auf die bereits geöffnete Registerkarte mit den Kontoinformationen. Falls diese Registerkarte geschlossen wurde, öffnen Sie eine neue Registerkarte und klicken Sie auf das Lesezeichen Account Info.

 

 

URL des Azure-Portals

 

  1. Klicken Sie auf den Link neben Console URL, um eine neue Browser-Registerkarte zu öffnen und eine Verbindung zur Azure-Managementkonsole herzustellen.

 

 

Azure-E-Mail-Adresse eingeben

 

  1. Kopieren Sie die E-Mail-Adresse für das Azure-Konto auf der Seite Account Information und fügen Sie sie ein oder geben Sie sie über die Tastatur ein.
  2. Klicken Sie auf Next.

 

 

 

Azure-Kennwort eingeben

 

  1. Kopieren Sie das Kennwort für das Azure-Konto auf der Seite Account Information und fügen Sie es ein oder geben Sie es über die Tastatur ein.
  2. Klicken Sie auf Sign in.

 

 

 

Nicht angemeldet bleiben

 

  1. Klicken Sie in diesem Bildschirm auf No.

 

 

Azure-Managementkonsole

 

Die Seite mit der Azure-Managementkonsole wird geöffnet.

 

 

Auf „Virtual machines“ klicken

 

  1. Klicken Sie links auf Virtual machines.

 

 

Auf Web-VM klicken

 

  1. Klicken Sie auf hol1922-ps-web01.

 

 

Neben „Tags“ auf „change“ klicken

 

  1. Klicken Sie rechts neben „Tags“ auf change.

 

 

Tag-Informationen eingeben

 

  1. Geben Sie unter „Name“ nsx.network ein. (Hinweis: In Azure wird anstelle eines Doppelpunkts ein Punkt verwendet.)
  2. Geben Sie unter „Value“ default ein.
  3. Klicken Sie auf Save.

 

 

Zusammenfassung

Sie haben das NSX-spezifische Tag auf das Web-Front-End angewendet. Nach der Bereitstellung von NSX Agent verbindet dieses Tag die virtuelle Maschine mit dem standardmäßigen logischen NSX-Switch, der während der NSX Cloud Gateway-Bereitstellung erstellt wurde. Sicherheitsrichtlinien werden ebenfalls auf diese virtuelle Maschine angewendet.

 

Installation von NSX Agent in Public Cloud-Umgebungen


Für den Schutz der Web-Front-Ends muss auch NSX Agent bereitgestellt werden. Eine NSX Agent-Instanz bietet Funktionen der Datenebene innerhalb jeder Amazon Web Services-Instanz oder Microsoft Azure-VM, in der sie installiert ist. Dazu zählen:

  • Durchsetzungs-Engine der verteilten Firewall
  • Tunnelendpunkt für Overlay-Netzwerk

Eine Best Practice besteht darin, den Agent in die „gold master“-Images aufzunehmen, die in den Public Cloud-Umgebungen von Unternehmen verwendet werden. NSX Agent kann auch mithilfe verschiedener Automatisierungsmethoden in vorhandenen, bereitgestellten Brownfield-Instanzen installiert werden.

NSX Agent wird in jedem Web-Front-End per Skript bereitgestellt. Sie lernen den Prozess in Azure, den Speicherort des Installationsskripts und den auszuführenden Befehl kennen. Für AWS verwenden Sie einen automatisierten Ansatz, bei dem ein einziges Skript zur Durchführung der Installation ausgeführt wird.


 

PuTTY in der Hauptkonsole öffnen

 

  1. Klicken Sie in der Windows-Schnellstartleiste auf das PuTTY-Symbol.

 

 

Azure-Web-Front-End

 

  1. Wählen Sie ps-web01a-azure aus.
  2. Klicken Sie auf Load.
  3. Klicken Sie auf Open.

 

 

Kennwort

 

  1. Geben Sie VMware1!VMware1! als Kennwort ein.

 

 

Zu NSX Cloud Services Manager zurückkehren

 

  1. Wählen Sie in Google Chrome die bereits geöffnete Browser-Registerkarte NSX Cloud Services Manager aus. Hinweis: Möglicherweise unterscheidet sich die Reihenfolge der Browser-Registerkarten, falls Sie vorangegangene Module bereits abgeschlossen haben.

 

 

Azure auswählen

 

  1. Klicken Sie auf Clouds.
  2. Klicken Sie auf Azure.

 

 

Auf „VNets“ klicken

 

  1. Klicken Sie auf VNets.

 

 

Zoom-Einstellung im Browser ändern

 

  1. Klicken Sie rechts oben auf die drei Punkte.
  2. Stellen Sie den Zoom-Wert auf 75% ein.

 

 

Auf VNet klicken

 

  1. Klicken Sie in das VNet, um es auszuwählen.

 

 

Speicherort des Installationsskripts kopieren

 

  1. Klicken Sie auf Agent Download & Installation, um den Abschnitt zu erweitern.
  2. Kopieren Sie den Eintrag unter Linux Download Location.

 

 

Speicherort einfügen

 

Kehren Sie zu PuTTY zurück.

  1. Geben Sie wget gefolgt von einem Leerzeichen ein.
  2. Fügen Sie den Download-Speicherort in das bereits geöffnete PuTTY-Fenster ein, indem Sie mit der rechten Maustaste in das Fenster klicken.
  3. Drücken Sie die Eingabetaste.

 

 

Skript heruntergeladen

 

Das Installationsskript wurde heruntergeladen.

 

 

Befehl aus CSM einfügen

 

  1. Kopieren Sie auf der Browser-Registerkarte „CSM“ den Befehl unter Linux Installation Command.

 

 

Befehl zum Installieren des Agent

 

  1. Fügen Sie den Installationsbefehl in das bereits geöffnete PuTTY-Fenster ein, indem Sie mit der rechten Maustaste in das Fenster klicken.
  2. Drücken Sie die Eingabetaste, um die Agent-Installation zu starten.

 

 

Agent-Installation abgeschlossen

 

Die NSX Agent-Installation kann 3 bis 5 Minuten dauern.

 

 

Neue PuTTY-Sitzung

 

  1. Klicken Sie links oben in der geöffneten PuTTY-Sitzung auf das PuTTY-Symbol.
  2. Wählen Sie New Session aus.

 

 

AWS-Web-Front-End

 

  1. Wählen Sie ps-web01a-aws aus.
  2. Klicken Sie auf Load.
  3. Klicken Sie auf Open.

 

 

Verbindung überprüfen

 

Bei der ersten Verbindung mit der Instanz wird ein Bestätigungsfenster zur Überprüfung der Verbindung angezeigt.

  1. Klicken Sie auf Yes.

 

 

NSX Agent installieren

 

  1. Geben Sie den folgenden Befehl ein, um das NSX Agent-Installationsskript zu starten, das die Installationsschritte kombiniert:
./install_agent.sh

 

 

NSX Agent wurde installiert

 

Die NSX Agent-Installation kann 3 bis 5 Minuten dauern.

 

 

Zoom-Einstellung im Browser ändern

 

  1. Klicken Sie rechts oben auf die drei Punkte.
  2. Stellen Sie den Zoom-Wert auf 90% oder 100% ein.

 

Überprüfen der NSX-Bereitstellung


Nach der Bereitstellung der NSX-Komponenten in der Computing-VPC lernen Sie die NSX-Konfiguration in NSX Manager und NSX Cloud Services Manager zur Überprüfung des Betriebs kennen.


 

Zur NSX Manager-Registerkarte wechseln

 

  1. Wählen Sie in Google Chrome die bereits geöffnete NSX Manager-Registerkarte aus. Hinweis: Möglicherweise unterscheidet sich die Reihenfolge der Browser-Registerkarten, falls Sie vorangegangene Module bereits abgeschlossen haben. Geben Sie den Anwendernamen admin und das Kennwort VMware1! ein, falls Sie wegen Zeitüberschreitung abgemeldet wurden.

 

 

Auf „Fabric“ klicken

 

  1. Klicken Sie links auf Fabric.

 

 

Auf „Edges“ klicken

 

  1. Klicken Sie oben auf Edges.

 

 

Spalte erweitern

 

  1. Klicken und ziehen Sie, um die Spaltenbreite zu vergrößern.

 

 

Neu erstellte Edge-Knoten

 

Zwei Edge-Knoten wurden erstellt – einer in jeder Public Cloud.

Hinweis: Die Edge-Namen unterscheiden sich von Lab zu Lab.

 

 

Auf „Transport Nodes“ klicken

 

  1. Klicken Sie oben auf Transport Nodes.

 

 

Spalte erweitern

 

  1. Klicken und ziehen Sie, um die Spaltenbreite zu vergrößern.

 

 

Neu erstellte Transportknoten

 

Zwei neue Transportknoten wurden erstellt (die neu bereitgestellten Cloud-Gateways). Sie kommen zu den drei ESX-Hosts hinzu, die bereits als NSX-Transportknoten im On-Premise-Rechenzentrum konfiguriert wurden.

 

 

Auf „Switching“ klicken

 

  1. Klicken Sie links auf Switching.

 

 

Spalte erweitern

 

  1. Klicken und ziehen Sie, um die Spaltenbreite zu vergrößern.

 

 

Änderungen des Switch-Bestands

 

Vier neue logische Switches wurden erstellt (ein VLAN- und ein logischer Overlay-Switch für jede Public Cloud).

 

 

Logische Ports

 

Die Public Cloud-Instanzen und -VMs werden mit den standardmäßigen VLAN-Switches in jeder Cloud verbunden.

 

 

Unter „Inventory“ auf „Groups“ klicken

 

  1. Klicken Sie auf Inventory.
  2. Klicken Sie auf Groups.

 

 

Auf die Gruppe „planespotter-app“ klicken

 

  1. Klicken Sie auf planespotter-app.

 

 

Gruppenmitgliedschaft

 

Die Gruppe „planespotter-app“ hat jetzt sechs virtuelle Maschinen als Mitglieder.

  1. Klicken Sie neben „Virtual Machine“ auf die Zahl 6.

 

 

Anwendungsinstanzen als Mitglieder aufgelistet

 

  1. Wählen Sie unter „Member Objects“ Virtual Machine aus.

Alle On-Premise- und Public Cloud-VMs werden aufgeführt.

 

 

Auf „Virtual Machines“ klicken

 

  1. Klicken Sie links unter „Inventory“ auf Virtual Machines.

 

 

VM-Bestand

 

Der gesamte Bestand aller On-Premise- und Public Cloud-VMs sowie -Instanzen wird in einer einzigen Ansicht angezeigt.

  1. Klicken Sie neben einer der Public Cloud-VMs auf die Zahl 7.

 

 

VM-Tags

 

Alle Tags für diese virtuelle Maschine werden angezeigt, auch die ermittelten (anwenderdefinierten) Tags, die Sie beim Erstellen der Gruppen verwendet haben.

 

 

Zu NSX Cloud Services Manager zurückkehren

 

  1. Wählen Sie in Google Chrome die bereits geöffnete Browser-Registerkarte NSX Cloud Services Manager aus. Hinweis: Möglicherweise unterscheidet sich die Reihenfolge der Browser-Registerkarten, falls Sie vorangegangene Module bereits abgeschlossen haben.

 

 

CSM-Konfiguration und -Bestand

 

  1. Klicken Sie auf Clouds.
  2. Klicken Sie auf AWS.

 

 

Auf „Accounts“ klicken

 

  1. Klicken Sie auf Accounts.

 

 

Konto neu synchronisieren

 

Um die API-Aktualisierung des CSM-Dashboards zu beschleunigen, wird die Neusynchronisierung des AWS-Bestands erzwungen.

  1. Klicken Sie auf Actions.
  2. Klicken Sie auf Resync Account.

 

 

Auf „VPCs“ klicken

 

  1. Klicken Sie auf VPCs.

 

 

VPC-Ansicht eingrenzen

 

  1. Wählen Sie im Dropdown-Menü „Region“ us-west-1 aus, um die VPC-Ansicht einzugrenzen.

 

 

 

Auf „Instances“ klicken

 

  1. Klicken Sie in der Computing-VPC auf Instances.

 

 

Von NSX verwaltete Anwendungsinstanzen

 

  1. Die Anwendungsinstanz und das Gateway werden von NSX verwaltet.
  2. Die Instanzen VPN und Rogue verfügen weder über ein AWS-Tag noch eine NSX Agent-Installation.

 

 

CSM-Konfiguration und -Bestand

 

  1. Klicken Sie links auf Azure.

 

 

Auf „Accounts“ klicken

 

  1. Klicken Sie auf Accounts.

 

 

Konto neu synchronisieren

 

Um die API-Aktualisierung des CSM-Dashboards zu beschleunigen, wird die Neusynchronisierung des Azure-Bestands erzwungen.

  1. Klicken Sie auf Actions.
  2. Klicken Sie auf Resync Account.

 

 

Auf „VNets“ klicken

 

  1. Klicken Sie auf VNets.

 

 

Auf Zurück-Pfeil klicken

 

  1. Klicken Sie auf den Zurück-Pfeil.

 

 

Auf „Instances“ klicken

 

  1. Klicken Sie auf Instances.

 

 

Von NSX verwaltete Anwendungsinstanzen

 

  1. Die Anwendungsinstanz und das Gateway werden von NSX verwaltet.
  2. Die Instanzen VPN und Rogue verfügen weder über ein Azure-Tag noch eine NSX Agent-Installation.

 

Überprüfen der Anwendungsfunktionen in Multi-Cloud-Umgebungen


Vor der NSX-Bereitstellung war die in Amazon Web Services und Microsoft Azure ausgeführte Anwendung weit offen für das Internet. Außerdem boten mehrere nicht benötigte Ports ein potenzielles Einfalltor für Bedrohungen. In dieser Lektion werden nochmals die Anwendungsfunktionen behandelt. Außerdem wird die grundlegende Konnektivität getestet.


 

Kontoinformationen aufrufen

 

  1. Klicken Sie auf die bereits geöffnete Registerkarte mit den Kontoinformationen. Falls diese Registerkarte geschlossen wurde, öffnen Sie eine neue Registerkarte und klicken Sie auf das Lesezeichen Account Info.

 

 

Informationen zur AWS-Webinstanz

 

  1. Klicken Sie auf den Link neben Web Frontend Instance Public URL, um eine neue Browser-Registerkarte zu öffnen und eine Verbindung zur Anwendung herzustellen.

 

 

Anwendungsfunktion überprüfen

 

Überprüfen Sie, ob die Anwendung ordnungsgemäß funktioniert. Die IP-Adresse des Servers, auf dem die Seite angezeigt wird, ist angegeben. Das Web-Front-End funktioniert und Sie können die übrigen Anwendungskomponenten testen:

  1. Klicken Sie auf App Health.

 

 

AWS App Health

 

Alle Anwendungskomponenten kommunizieren ordnungsgemäß zwischen AWS und dem On-Premise-Rechenzentrum.

 

 

Kontoinformationen aufrufen

 

  1. Klicken Sie auf die bereits geöffnete Registerkarte mit den Kontoinformationen. Falls diese Registerkarte geschlossen wurde, öffnen Sie eine neue Registerkarte und klicken Sie auf das Lesezeichen Account Info.

 

 

Informationen zur Azure-Web-VM

 

  1. Klicken Sie auf den Link neben Web Frontend Instance Public URL, um eine neue Browser-Registerkarte zu öffnen und eine Verbindung zur Anwendung herzustellen.

 

 

Anwendungsfunktion überprüfen

 

Überprüfen Sie, ob die Anwendung ordnungsgemäß funktioniert. Die IP-Adresse des Servers, auf dem die Seite angezeigt wird, ist angegeben. Das Web-Front-End funktioniert und Sie können die übrigen Anwendungskomponenten testen:

  1. Klicken Sie auf App Health.

 

 

Azure App Health

 

Alle Anwendungskomponenten kommunizieren ordnungsgemäß zwischen Azure und dem On-Premise-Rechenzentrum.

 

Durchführen eines Sicherheitsscans für hybride Anwendungsumgebungen


Sie führen nochmals mithilfe der nmap-Anwendung einen Portscan der On-Premise-Anwendungsumgebung durch. Sie scannen die Adressen, unter denen die Anwendungsinstanzen bereitgestellt wurden, und überprüfen die offenen Ports nach der Bereitstellung von NSX in der Umgebung, um sicherzustellen, dass die nicht benötigten Ports geschlossen sind.


 

nmap öffnen

 

  1. Klicken Sie in der Taskleiste auf das Zenmap nmap-Symbol.

 

 

nmap-Scan für IP-Subnetzbereich der On-Premise-Anwendung durchführen

 

  1. Geben Sie den folgenden Befehl in das Feld Command ein (löschen Sie zuvor bereits in das Feld eingetragene Befehle).
nmap -p 10-10000 -T5 -Pn --open 192.168.120.11-14
  1. Klicken Sie auf Scan, um den Scanvorgang zu starten.

Um die Scandauer zu verkürzen und die Datenmenge zu reduzieren, verwendet der nmap-Scanner folgende Optionen:

  • -p 10-10000, um die ersten 10.000 Ports zu scannen
  • -Pn, um Ping-Tests zu deaktivieren
  • -T5, um die schnellste Zeitvorlage zu aktivieren
  • --open, um nur offene oder potenziell offene Ports anzuzeigen
  • 192.168.120.11-14, um nur einen kleinen Bereich von IP-Adressen zu scannen

 

 

Scanergebnisse für die On-Premise-VMs

 

Sie sehen, dass sich der Sicherheitsstatus für die On-Premise-VMs verbessert hat. Gemäß den in NSX festgelegten Firewall-Richtlinien ist für andere VMs nur noch der SSH-Port (Port 22) offen. Zuvor waren die Ports der virtuellen Maschinen „api“, „db“ und „redis“ für uneingeschränkten Zugriff offen.

 

Datenverkehrstransparenz


NSX bietet zusätzliche Betriebstools für transparenten Datenverkehr in einer in Public Clouds ausgeführten Anwendungsumgebung. Sie lernen nun einige der NSX-Aggregationsfunktionen für Datenverkehrsstatistiken kennen.


 

Zur NSX Manager-Registerkarte wechseln

 

  1. Wählen Sie in Google Chrome die bereits geöffnete NSX Manager-Registerkarte aus. Hinweis: Möglicherweise unterscheidet sich die Reihenfolge der Browser-Registerkarten, falls Sie vorangegangene Module bereits abgeschlossen haben. Geben Sie den Anwendernamen admin und das Kennwort VMware1! ein, falls Sie wegen Zeitüberschreitung abgemeldet wurden.

 

 

Zoom-Einstellung im Browser ändern

 

  1. Klicken Sie rechts oben auf die drei Punkte.
  2. Stellen Sie den Zoom-Wert auf 80% ein, damit die nächsten Schritte besser lesbar sind.

 

 

Auf „Firewall“ klicken

 

  1. Klicken Sie links auf Firewall.

 

 

Firewall-Statistiken

 

  1. Klicken Sie ganz rechts in der ersten Firewall-Regel auf das Symbol für die Datenflussstatistik.

 

 

Datenflussstatistik

 

Die Pakete, Byte und Anzahl der Sitzungen für diese Regel werden angezeigt.

 

 

Auf „Switching“ klicken

 

  1. Klicken Sie links auf Switching.

 

 

Auf „Ports“ klicken

 

  1. Klicken Sie auf Ports.

 

 

Auf den ersten VM-Port klicken

 

Hier werden alle Ports im logischen NSX-Switch sowie der Uplink-Port aufgeführt. Die Portnamen entsprechen dem jeweiligen Namen der verbundenen virtuellen Maschine oder Funktion.

  1. Klicken Sie in der Liste unter Logical Port auf den ersten logischen Port mit dem Präfix „Cloud“. Das ist eines der in der Public Cloud ausgeführten Web-Front-Ends.

 

 

Auf „Monitor“ klicken

 

Für diesen Port sind weitere Informationen verfügbar.

  1. Klicken Sie auf Monitor.

 

 

Portstatistik

 

NSX stellt für diese in der Public Cloud ausgeführte Web-Front-End-VM eine Datenverkehrsstatistik bereit. NSX kann diese Statistik auch im Zeitverlauf verfolgen.

  1. Klicken Sie auf Begin Tracking. Daraufhin wird eine weitere Browser-Registerkarte geöffnet.

 

 

Portverfolgung

 

Eine neue Browser-Registerkarte wird geöffnet und der Port wird verfolgt. Warten Sie einen Moment, bis die Seite aktualisiert wird.

 

Syslog


Mit NSX können Sie alle Firewall-Regeln auf einem Syslog-Server Ihrer Wahl protokollieren. Für alle konfigurierten Firewall-Richtlinien wurde die Syslog-Protokollierung (vRealize Log Insight) festgelegt. Die On-Premise-Umgebung ist so konfiguriert, dass alle Protokolle an den Syslog-Server gesendet werden.

Sie aktivieren die Protokollierung der NSX-Bereitstellungen in der Public Cloud und sehen sich die Protokolle in vRealize Log Insight an. Im ersten Schritt legen Sie das Syslog-Ziel für das Gateway fest. Anschließend aktivieren Sie die Protokollierung für die Agents. Diese Schritte werden für beide bereitgestellten Public Clouds durchgeführt.


 

Neue PuTTY-Sitzung

 

  1. Klicken Sie links oben in der geöffneten PuTTY-Sitzung auf das PuTTY-Symbol.
  2. Wählen Sie New Session aus.

 

 

NSX Manager

 

  1. Wählen Sie nsxmgr-01a.corp.local aus.
  2. Klicken Sie auf Load.
  3. Klicken Sie auf Open.

 

 

Kennwort eingeben

 

  1. Geben Sie VMware1! als Kennwort ein.

 

 

„on“ eingeben

 

  1. Geben Sie on ein, um eine Liste sowie Informationen zum ersten Gateway anzuzeigen.

 

 

UUID des ersten PCG kopieren und neben „on“ einfügen

 

  1. Markieren und kopieren Sie den ersten PCG-UUID-Eintrag.
  2. Klicken Sie mit der rechten Maustaste in das PuTTY-Fenster, um den kopierten Eintrag neben „on“ einzufügen.
  3. Drücken Sie die Leertaste, um am Ende ein Leerzeichen einzufügen (drücken Sie nicht die Eingabetaste).

 

 

Befehl vervollständigen

 

  1. Vervollständigen Sie den Befehl, indem Sie den folgenden Befehl am Ende einfügen. Drücken Sie anschließend die Eingabetaste.
exec set logging-server 192.168.110.24 proto udp level info messageid FIREWALL-PKTLOG

 

 

Protokollierung konfiguriert

 

Die Protokollierung für das erste Gateway wurde konfiguriert.

 

 

„on“ eingeben

 

  1. Geben Sie on ein, um eine Liste sowie Informationen zum ersten Gateway anzuzeigen.

 

 

UUID des ersten PCG kopieren und neben „on“ einfügen

 

  1. Markieren und kopieren Sie den ersten PCG-UUID-Eintrag.
  2. Klicken Sie mit der rechten Maustaste in das PuTTY-Fenster, um den kopierten Eintrag neben „on“ einzufügen.
  3. Drücken Sie die Leertaste, um am Ende ein Leerzeichen einzufügen (drücken Sie nicht die Eingabetaste).

 

 

Befehl vervollständigen

 

  1. Vervollständigen Sie den Befehl, indem Sie den folgenden Befehl am Ende einfügen. Drücken Sie anschließend die Eingabetaste.
exec set gw-controller vm-log-forwarding enabled

 

 

Agent-Protokollierung konfiguriert

 

Die Protokollierung für den mit dem ersten Gateway verbundenen Agent wurde konfiguriert.

 

 

„on“ eingeben

 

  1. Geben Sie on ein, um eine Liste sowie Informationen zum zweiten Gateway anzuzeigen.

 

 

UUID des zweiten PCG kopieren und neben „on“ einfügen

 

  1. Markieren und kopieren Sie den ersten PCG-UUID-Eintrag.
  2. Klicken Sie mit der rechten Maustaste in das PuTTY-Fenster, um den kopierten Eintrag neben „on“ einzufügen.
  3. Drücken Sie die Leertaste, um am Ende ein Leerzeichen einzufügen (drücken Sie nicht die Eingabetaste).

 

 

Befehl vervollständigen

 

  1. Vervollständigen Sie den Befehl, indem Sie den folgenden Befehl am Ende einfügen. Drücken Sie anschließend die Eingabetaste.
exec set logging-server 192.168.110.24 proto udp level info messageid FIREWALL-PKTLOG

 

 

Protokollierung konfiguriert

 

Die Protokollierung für das zweite Gateway wurde konfiguriert.

 

 

„on“ eingeben

 

  1. Geben Sie on ein, um eine Liste sowie Informationen zum zweiten Gateway anzuzeigen.

 

 

UUID des zweiten PCG kopieren und neben „on“ einfügen

 

  1. Markieren und kopieren Sie den ersten PCG-UUID-Eintrag.
  2. Klicken Sie mit der rechten Maustaste in das PuTTY-Fenster, um den kopierten Eintrag neben „on“ einzufügen.
  3. Drücken Sie die Leertaste, um am Ende ein Leerzeichen einzufügen (drücken Sie nicht die Eingabetaste).

 

 

Befehl vervollständigen

 

  1. Vervollständigen Sie den Befehl, indem Sie den folgenden Befehl am Ende einfügen. Drücken Sie anschließend die Eingabetaste.
exec set gw-controller vm-log-forwarding enabled

 

 

Agent-Protokollierung konfiguriert

 

Die Agent-Protokollierung für das zweite Gateway wurde konfiguriert.

 

 

Browser-Registerkarten der Anwendung öffnen

 

  1. Klicken Sie auf jede der geöffneten Browser-Registerkarten der Anwendung und aktualisieren Sie beide Seiten, um Datenverkehr zu erzeugen (verwenden Sie die URL-Links auf der Seite mit den Kontoinformationen, falls diese Registerkarten geschlossen wurden).

 

 

Neue Registerkarte im Browser öffnen

 

  1. Klicken Sie in Google Chrome auf das Symbol für eine leere Registerkarte, um eine neue Browser-Registerkarte zu öffnen.

 

 

Auf „Log Insight“-Lesezeichen klicken

 

  1. Klicken Sie auf das Lesezeichen Log Insight.

 

 

Bei Log Insight anmelden

 

  1. Geben Sie admin in das Feld „User name“ ein.
  2. Geben Sie VMware1! als Kennwort ein.
  3. Klicken Sie auf Login.

 

 

Log Insight

 

Die Seite mit der allgemeinen Übersicht wird angezeigt.

 

 

NSX-DFW-Datenverkehr auswählen

 

  1. Klicken Sie auf VMware - NSX-T.
  2. Klicken Sie auf NSX - Distributed Firewall - Traffic.

 

 

DFW-Datenverkehr

 

Die wichtigsten Firewall-Quellen/-Ziele/-Ports werden angezeigt, darunter auch die Web-Front-Ends.

Hinweis: Falls keine Daten angezeigt werden, erzeugen Sie mehr Datenverkehr von den Webseiten der Anwendung oder ändern Sie die Einstellung von „Latest 5 minutes of data“ in „Latest hour of data“.

 

 

Interaktive Analyse

 

  1. Bewegen Sie den Mauszeiger über „Top Firewall Sources“ und klicken Sie auf das Symbol für die interaktive Analyse.

 

 

Filter hinzufügen

 

  1. Klicken Sie auf Add Filter.

 

 

NSX Agent-Filter hinzufügen

 

  1. Geben Sie vmw_nsxt_subcomp ein.
  2. Wählen Sie contains aus.
  3. Geben Sie nsx-agent ein.
  4. Klicken Sie auf die Lupe.

 

 

Agent-Eintrag

 

Die Einträge für die NSX Agent-Instanzen werden angezeigt.

 

Fazit


Damit ist Modul 4 und auch das Hands-on Lab abgeschlossen. Die in der Hybrid Cloud-Umgebung bereitgestellte Anwendung wurde durch die Installation von NSX-Komponenten in Amazon Web Services und Microsoft Azure sowie durch das Anwenden konsistenter Sicherheitsrichtlinien auf die Anwendungsinstanzen erfolgreich geschützt. Transparenz und Protokollierungsoptionen wurden ebenfalls behandelt.


 

Herzlichen Glückwunsch! Sie haben Modul 4 und somit das Hands-on Lab abgeschlossen.

Befolgen Sie die Anweisungen am Ende dieser Lektion, um das Hands-on Lab zu beenden. Sie können auch mit einem anderen Modul fortfahren, das Sie mehr interessiert.

 

 

Hands-on Lab beenden

 

Klicken Sie auf die Schaltfläche END, wenn Sie Ihr Hands-on Lab beenden möchten.  

 

Schlussbemerkung

Vielen Dank für Ihre Teilnahme an den VMware Hands-on Labs. Besuchen Sie http://hol.vmware.com/ um an weiteren Online-Labs teilzunehmen.

Lab SKU: HOL-1922-01-NET

Version: 20190313-170541