Hands-on Labs de VMware - HOL-1922-01-NET


Descripción del laboratorio: HOL-1922-01-NET - VMware NSX Cloud: Introducción

Información sobre el laboratorio


Nota: Completar este laboratorio le llevará más de 120 minutos. Probablemente solo podrá acabar entre 2 y 3 módulos durante ese tiempo.  Los módulos son independientes, por lo que puede empezar cualquiera de ellos y continuar a partir de ahí. Puede acceder a cualquier módulo que desee a través del Índice.

El Índice está disponible en la esquina superior derecha del manual de laboratorio.

VMware NSX Cloud ofrece a los clientes la capacidad de desvincular y gestionar las políticas de red y seguridad en entornos de cloud pública como Amazon Web Services (AWS) y Microsoft Azure.

Utilizaremos una aplicación implementada con seguridad mínima en AWS y Azure como escenario, y veremos cómo VMware NSX Cloud proporciona coherencia operativa al permitir que NSX gestione un entorno de cloud ya existente y aplicar la microsegmentación a las cargas de trabajo nativas que se ejecutan en AWS y Azure.

Lista de módulos del laboratorio:

 Directores del laboratorio:

  • Brian Heili, ingeniero de sistemas en plantilla, EE. UU.
  • Puneet Chawla, arquitecto de soluciones, EE. UU.

 

Este manual de laboratorio se puede descargar desde el sitio de documentos de laboratorios prácticos que se encuentra en la siguiente página:

http://docs.hol.vmware.com 

Es posible que este laboratorio esté disponible en otros idiomas.  Para configurar la preferencia de idioma y acceder a un manual localizado junto con el laboratorio, el siguiente documento le guiará por el proceso:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Exención de responsabilidades

Es posible que en esta sesión se mencionen características del producto que actualmente se encuentran en fase de desarrollo.

Esta sesión o descripción de la nueva tecnología no representa compromiso alguno por parte de VMware de proporcionar dichas características en ningún producto que esté a disposición del público en general.

Las características están sujetas a cambio y no se deben incluir en contratos, pedidos ni acuerdos de venta de ningún tipo.

La viabilidad técnica y la demanda del mercado afectarán a la distribución final del producto.

No se ha determinado el precio ni la presentación de ninguna de las tecnologías o características nuevas aquí descritas o presentadas.

 

 

Ubicación de la consola principal

 

  1. El recuadro ROJO destaca el área de la consola principal.  El manual del laboratorio está disponible en la pestaña ubicada a la derecha de la consola principal.
  2. En algunos laboratorios, puede encontrar consolas adicionales en diferentes pestañas, en la esquina superior izquierda. Se le indicará que abra otra consola si fuera necesario.
  3. El laboratorio comienza con 90 minutos en el temporizador y  no se puede guardar.  Todo el trabajo debe llevarse a cabo durante la sesión del laboratorio.  Sin embargo, puede hacer clic en AMPLIAR para prolongar el tiempo restante.  Si se encuentra en un evento de VMware, puede prolongar el tiempo del laboratorio dos veces, hasta 30 minutos.  Con cada clic, recibirá 15 minutos adicionales.  Fuera de los eventos de VMware, podrá ampliar el tiempo del laboratorio hasta 9 horas y 30 minutos. Con cada clic, recibirá una hora adicional.

 

 

Métodos alternativos para introducir datos con el teclado

Durante el módulo, introducirá texto en la consola principal. Además de escribir el texto directamente, existen dos métodos muy útiles para introducir datos que facilitan en gran medida la entrada de datos complejos.

 

 

Hacer clic y arrastrar el contenido del manual del laboratorio hasta la ventana de la consola activa

 
 

También puede hacer clic y arrastrar texto y comandos de la interfaz de la línea de comandos (CLI) directamente desde el manual del laboratorio hasta la ventana activa de la consola principal.  

 

 

Acceso al teclado internacional en línea

 

También puede utilizar el teclado internacional en línea que está disponible en la consola principal.

  1. Haga clic en el icono de teclado que se encuentra en la barra de tareas de Inicio rápido de Windows.

 

 

Hacer un solo clic en la ventana de la consola activa

 

En este ejemplo, usará el teclado en línea para introducir el símbolo «@», que se utiliza en las direcciones de correo electrónico. Para introducir el símbolo @ en un teclado español, pulse Alt Gr y 2.

  1. Haga un solo clic en la ventana de la consola activa.
  2. Haga clic en la tecla Mayús.

 

 

Hacer clic en la tecla @

 

  1. Haga clic en la tecla @.

Observe que ahora el símbolo @ aparece en la ventana activa de la consola.

 

 

Solicitud o marca de agua de activación

 

La primera vez que arranque el laboratorio, es posible que advierta una marca de agua en el escritorio que indica que Windows no se ha activado.  

Una de las principales ventajas de la virtualización es que las máquinas virtuales se pueden migrar y ejecutar en cualquier plataforma.  Los laboratorios prácticos utilizan esta ventaja, por lo que podemos ejecutarlos en múltiples centros de datos.  Sin embargo, estos centros de datos pueden no tener procesadores idénticos, lo que genera una verificación de activación de Microsoft a través de Internet.

Tenga la seguridad de que VMware y los laboratorios prácticos cumplen todos los requisitos de licencias de Microsoft.  El laboratorio que está utilizando es un módulo independiente y no dispone de acceso total a Internet, que es un requisito para que Windows verifique la activación.  Sin acceso total a Internet, este proceso automatizado falla y se muestra esta marca de agua.

Este problema superficial no afecta al laboratorio.  

 

 

Comprobar el sector inferior derecho de la pantalla

 

Compruebe que el laboratorio haya finalizado todas las rutinas de arranque y que esté listo para empezar. Si ve otro mensaje que no sea «Ready», aguarde unos minutos.  Si después de cinco minutos el laboratorio no ha cambiado a «Ready», solicite ayuda.

 

Módulo 1: Introducción a los entornos híbridos locales y de cloud pública (30 minutos)

Introducción


Los componentes de los planos de gestión y control de NSX, así como partes de la aplicación, ya están aprovisionados en nuestro centro de datos local. El nivel web de la interfaz de nuestra aplicación está implementado tanto en AWS como en Azure. Examinaremos el inventario de componentes.


Descripción de la solución


En este laboratorio se incluyen muchos elementos preconfigurados que serán necesarios en futuras lecciones. Veremos una breve descripción de la solución configurada y revisaremos la funcionalidad del entorno de laboratorio configurado.

Repasaremos configuraciones como:


 

Descripción de la solución

A medida que las empresas trasladan las cargas de trabajo a los proveedores de cloud pública, necesitan una manera de extender las políticas de red y seguridad de su centro de datos definido por software (SDDC) a estos entornos públicos. Esta extensión permite que las cargas de trabajo puedan ejecutarse en clouds públicas con los mismos controles nativos que están presentes en un centro de datos local. VMware NSX Cloud proporciona a las empresas la capacidad de extender la seguridad, la conformidad y el control empresariales.

NSX es capaz de solucionar los mayores desafíos para la red y la seguridad a los que se enfrentan las empresas en los entornos de cloud pública:

 

 

Componentes de la solución

 

La solución consta de los siguientes componentes, que examinaremos en las próximas lecciones:

 

 

Topología del laboratorio

 

La imagen muestra el entorno aprovisionado que utilizaremos para las lecciones en este laboratorio. Este entorno nos permitirá estudiar un escenario en el que un desarrollador implementa una aplicación con componentes en el centro de datos local, en Microsoft Azure y en Amazon Web Services (AWS). La implementación de la aplicación carece de políticas de seguridad que cumplan los estándares corporativos de la empresa, por lo que será necesario utilizar NSX para aplicar políticas coherentes en el entorno de la aplicación.

Para implementar VMware NSX Cloud es necesario disponer de uno o varios entornos de cloud pública. Los componentes de NSX del plano de gestión (NSX Manager y Cloud Services Manager) y del plano de control (NSX Controller) se han preconfigurado en el centro de datos local.

 

Validación del laboratorio


En este laboratorio se incluyen muchos elementos preconfigurados que serán necesarios en futuras lecciones. Veremos una breve descripción de la solución configurada y revisaremos la funcionalidad del entorno de laboratorio configurado.

Repasaremos configuraciones como:


 

El laboratorio debe mostrar el estado «Ready»

 

Compruebe que el laboratorio haya finalizado todas las rutinas de arranque y que esté listo para empezar. Si ve otro mensaje que no sea «Ready», aguarde unos minutos.  Si después de cinco minutos el laboratorio no ha cambiado a «Ready», solicite ayuda.

Si continúa antes de que el laboratorio muestre «Ready», el laboratorio no funcionará.

 

 

Página de estado de aprovisionamiento del laboratorio

Se está completando el aprovisionamiento de las partes del laboratorio correspondientes a AWS y Azure. Se ha proporcionado un sitio web que muestra el estado de los recursos del laboratorio que se están aprovisionando en AWS y Azure en el arranque del laboratorio.

NOTA: Solo es posible acceder a los recursos aprovisionados en Amazon Web Services y Microsoft Azure desde la consola principal del entorno del laboratorio práctico.

Es posible que el aprovisionamiento del laboratorio tarde entre 10 y 15 minutos.

 

 

Apertura de Google Chrome

 

  1. Haga clic en el icono de Chrome de la barra de tareas de Inicio rápido de Windows.

 

 

Página principal de información de la cuenta

 

Se ha configurado la página de información de cuenta y estado de aprovisionamiento del laboratorio como página principal de Chrome.

  1. Escriba la dirección de correo electrónico que ha usado para registrarse en el laboratorio.
  2. Escriba VMware1! como contraseña.
  3. Haga clic en Login.

 

 

Completar el aprovisionamiento del laboratorio

 

La página de información de la cuenta se mostrará cuando se haya completado el proceso de aprovisionamiento. Este proceso puede durar entre 10 y 15 minutos. Volveremos a referirnos a esta página repetidamente a lo largo de los módulos del laboratorio.

 

Establecimiento de conectividad VPN con clouds públicas


Se está estableciendo la conectividad VPN de este laboratorio con AWS y Azure. Validaremos el acceso a nuestra interfaz web con un sencillo ping.

Nota: Si alguna de las pruebas de ping falla, solicite ayuda antes de proceder con el laboratorio.


 

Apertura del símbolo del sistema

 

  1. Haga clic en el icono del símbolo del sistema que se encuentra en la barra de tareas de Inicio rápido de Windows.

 

 

Envío de ping a la instancia web de Azure

 

  1. Escriba el siguiente comando para enviar un ping a la instancia de la interfaz web de Azure y comprobar la conexión:
ping 172.18.10.4

 

 

Conectividad con Azure establecida

 

Podremos confirmar la conectividad con Azure si recibimos respuestas.

 

 

Envío de ping a la instancia web de AWS

 

  1. Escriba el siguiente comando para enviar un ping a la instancia de la interfaz web de AWS y comprobar la conectividad:
ping 172.15.10.4

 

 

Conectividad con AWS establecida

 

Podremos confirmar la conectividad con AWS si recibimos respuestas.

 

Descripción del entorno local


El entorno del centro de datos local contiene los componentes de los planos de gestión y control de NSX, así como las distintas máquinas virtuales para la aplicación que protegeremos en este laboratorio.


 

Topología local

 

El entorno vPod del laboratorio práctico cumple la función de entorno de centro de datos local. Hemos implementado los componentes de los planos de gestión y control de NSX. Además, hemos implementado las cuatro máquinas virtuales de la aplicación y la base de datos que respaldarán a las máquinas virtuales de interfaz web que se ejecutan en entornos de AWS y Azure.

Nota: Se ha minimizado la implementación de NSX exclusivamente para el laboratorio con la finalidad de reducir el tiempo de arranque del mismo. No se trata de un modelo de implementación recomendado o compatible.

 

 

Apertura de una pestaña nueva en el navegador

 

  1. Haga clic en Nueva pestaña en Google Chrome para abrir una nueva pestaña del navegador.

 

 

Apertura de vCenter

 

  1. Haga clic en el marcador de vCenter.

 

 

Inicio de sesión en vCenter

 

  1. Escriba administrator@corp.local en el campo «User name».
  2. Escriba VMware1! como contraseña.
  3. Haga clic en Login.

 

 

Expansión del inventario

 

  1. Haga clic para desplegar RegionA01.
  2. Haga clic para desplegar RegionA01-COMP01.

 

 

Inventario de máquinas virtuales

 

Como puede ver, las máquinas virtuales de los planos de gestión y control de NSX, así como cuatro máquinas virtuales de la aplicación, se ejecutan en nuestro centro de datos local.

  1. Se han implementado las tres máquinas virtuales de los planos de control y de gestión de NSX.
  2. Se han implementado las cuatro máquinas virtuales locales de la aplicación.

Nota: La funcionalidad de máquina virtual de NSX se estudiará en el módulo 3.

 

Descripción del entorno de Microsoft Azure


Revisaremos los componentes de las aplicaciones de Microsoft Azure que se han configurado en el entorno del laboratorio.


 

Red virtual de recursos informáticos

 

Se han configurado los siguientes componentes de la red virtual (VNet) de recursos informáticos de Azure:

Servicios de Azure

Máquina virtual de nivel web de la aplicación

NSX Cloud Gateway, que se muestra aquí, se implementará como parte de los ejercicios del laboratorio.

 

Acceso a la consola de gestión de Microsoft Azure


Una máquina virtual de la interfaz web de la aplicación se está ejecutando en Azure para este laboratorio. A lo largo del laboratorio, será necesario acceder a la consola de gestión de Azure para comprobar el inventario y las configuraciones. Esta lección le permitirá acceder a la consola de gestión de Microsoft Azure.


 

Acceso a la consola de gestión de Azure

 

  1. Haga clic en la pestaña de información de la cuenta que abrió anteriormente. Si cerró esta pestaña, abra una nueva y haga clic en el marcador Account Info.

 

 

Localizar la URL de la consola de gestión de Azure

 

  1. Haga clic en la URL de la consola para abrir una nueva pestaña en el navegador y conectarse a la consola de gestión de Azure.

 

 

Introducir la dirección de correo electrónico de Azure

 

  1. Copie o escriba la dirección de correo electrónico de la cuenta de Azure (campo «Username») que aparece en la página de información de la cuenta.
  2. Haga clic en Next.

 

 

 

Introducir la contraseña de Azure

 

  1. Copie o escriba la contraseña de la cuenta de Azure que aparece en la página de información de la cuenta.
  2. Haga clic en Sign In.

 

 

 

Evitar que la sesión permanezca iniciada

 

  1. Si aparece esta pantalla, haga clic en No.

 

 

Consola de gestión de Azure

 

Aparecerá la página de la consola de gestión de Azure.

 

Descripción del entorno de Amazon Web Services


Revisaremos los componentes de las aplicaciones de Amazon Web Services que se han configurado en el entorno del laboratorio.


 

VPC de recursos informáticos

 

Se han configurado los siguientes componentes de VPC de recursos informáticos de AWS:

Servicios de AWS

Instancia de nivel web de la aplicación

NSX Cloud Gateway, que se muestra aquí, se implementará como parte de los ejercicios del laboratorio.

 

Revisión del inventario de Microsoft Azure


En esta lección, revisaremos los componentes de Microsoft Azure que forman parte de la solución:

Nota: Es posible que algunas pantallas de inventario de Azure muestren entradas eliminadas, canceladas, desconectadas, etc. que no correspondan con las capturas de pantalla. Estos elementos pertenecen a implementaciones anteriores del laboratorio. Ya se han eliminado, pero todavía no se han borrado de la interfaz de usuario de Azure.


 

Revisión de las redes virtuales configuradas

 

  1. Haga clic en Virtual networks a la izquierda de la consola de gestión de Azure.

 

 

Revisión de las redes virtuales configuradas

 

Solo hay una red virtual configurada en esta región de Azure en la que se ha implementado la máquina virtual de la aplicación.

 

 

Hacer clic en «Virtual Machines»

 

  1. Haga clic en Virtual machines a la izquierda de la consola de Azure.

 

 

Revisión de las máquinas virtuales de la aplicación de Azure

 

En este laboratorio se ejecutan tres máquinas virtuales:

 

 

Selección de la máquina virtual web

 

  1. Haga clic en la máquina virtual hol1922-ps-web01.

 

 

Hacer clic en «Networking»

 

  1. Haga clic en Networking.

 

 

Grupos de seguridad de red configurados

 

Hay un grupo de seguridad de red configurado. Estudiaremos las normas configuradas más a fondo en el módulo 2.

 

Acceso a la consola de gestión de Amazon Web Services


Para este laboratorio, una instancia de la interfaz web de la aplicación se está ejecutando en Amazon Web Services. A lo largo del laboratorio, será necesario acceder a la consola de gestión de AWS para comprobar el inventario y las configuraciones. Esta lección muestra cómo acceder a la consola de gestión de AWS.


 

Acceso a la consola de gestión de AWS

 

  1. Haga clic en la pestaña de información de la cuenta que abrió anteriormente. Si cerró esta pestaña, abra una nueva y haga clic en el marcador Account Info.

 

 

Localizar la URL de la consola de gestión de AWS

 

  1. Haga clic en la URL de la consola para abrir una pestaña nueva en el navegador y conectarse a la consola de gestión de AWS.

 

 

Inicio de sesión en la consola de AWS

 

  1. Escriba vmware_hol_user en el campo «IAM User Name». Nota: La cuenta varía según el entorno de laboratorio.
  2. Escriba o copie la contraseña que aparece en la página de información de la cuenta.
  3. Haga clic en el botón Sign In.

 

 

 

Consola de gestión de AWS

 

Aparecerá la página de la consola de gestión de AWS.

 

 

Ampliar el zoom del navegador

 

Para que le resulte más fácil leer el contenido de las pantallas de este laboratorio, le recomendamos que ajuste el zoom de Google Chrome al 90 % como mínimo.

  1. Haga clic en los tres puntos de la esquina superior derecha del navegador para abrir el menú desplegable.
  2. Haga clic en el símbolo «-» junto a «Zoom» para ajustarlo al 90 %.

 

 

Seleccionar una región

 

Compruebe que la consola muestra los recursos de la región del Norte de California. Si selecciona una región distinta, no se mostrarán los recursos del laboratorio.

  1. Haga clic en Region Name a la izquierda de «Support», en el lado superior derecho.
  2. Seleccione US West (N. California).

 

Revisión del inventario de Amazon Web Services


En esta lección revisaremos los componentes de Amazon Web Services y NSX que forman parte de la solución:

Nota: Es posible que algunas pantallas de inventario de AWS muestren entradas eliminadas, canceladas, desconectadas, etc. que no correspondan con las capturas de pantalla. Estos elementos pertenecen a implementaciones anteriores del laboratorio. Ya se han eliminado, pero todavía no se han borrado de la interfaz de usuario de AWS.


 

Revisar las clouds privadas virtuales configuradas

 

  1. Haga clic en Services en la esquina superior izquierda de la consola de gestión de AWS.
  2. Haga clic en VPC, bajo «Networking & Content Delivery».

 

 

Hacer clic en sus VPC

 

  1. Haga clic en Your VPCs bajo «VPC Dashboard», a la izquierda.

 

 

Revisar VPC configuradas

 

En esta región de AWS, en la que se ha implementado la instancia de la aplicación, solo hay una VPC configurada. Los ID de la VPC serán diferentes en cada módulo del laboratorio.

 

 

Hacer clic en «Security Groups»

 

  1. Haga clic en Security Groups en el lado izquierdo, bajo «Security».

 

 

Revisión de los grupos de seguridad de red configurados

 

Hay grupos de seguridad configurados para las VPC de recursos informáticos que permiten a las instancias de EC2 comunicarse con la VPC en ambas direcciones.  Estudiaremos las normas configuradas más a fondo en el módulo 2.

 

 

Hacer clic en EC2

 

  1. Haga clic en Services en la esquina superior izquierda de la consola de AWS.
  2. Haga clic en EC2, bajo «Compute».

 

 

Hacer clic en «Instances»

 

  1. Haga clic en Instances bajo «EC2 Dashboard», a la izquierda.

 

 

Confirmar cambios en la interfaz de usuario

 

  1. Si se encuentra con esta notificación, haga clic en X para cerrarla.

 

 

Expandir la columna

 

  1. Haga clic y arrastre el título de la columna para ampliar la columna «Name».

 

 

Revisión de instancias EC2 de NSX

 

En este laboratorio hay tres instancias de EC2 en ejecución:

 

Conclusión


Aquí concluye el módulo 1. Al iniciar sesión correctamente en las consolas de gestión de cada ubicación hemos revisado los componentes de la solución implementados en el entorno multicloud para desplegar nuestra aplicación:


 

Enhorabuena, ha finalizado el Módulo 1.

Continúe con el módulo 2 para validar la funcionalidad de la aplicación. También puede continuar con cualquier otro módulo que sea de su interés.

 

Módulo 2: Verificación de la funcionalidad de la aplicación (15 minutos)

Introducción


En el escenario de este laboratorio, un desarrollador ha implementado una aplicación multiservicio en Amazon Web Services y Microsoft Azure. Ha implementado la mayoría de los servicios de la aplicación en el centro de datos local. También ha implementado una instancia adicional en AWS y Azure para la interfaz web.


 

Diagrama de la aplicación

 

La aplicación consiste en múltiples servicios implementados en nuestra ubicación local, así como en Amazon Web Services y Microsoft Azure.

Una instancia de la interfaz de servicios se implementará en AWS y Azure. El resto de los servicios de base de datos, API, Redis y ADSB se ejecutarán en nuestro centro de datos local. Las actualizaciones sobre la ubicación de las aeronaves se reciben por Internet en el centro de datos local.

 

Revisión de las políticas de seguridad


Revisaremos las políticas de seguridad que se aplicaron a la interfaz web de la aplicación cuando el desarrollador la implementó. Puesto que no se ha implementado NSX, las políticas de seguridad que se han aplicado son las que se configuraron en Amazon Web Services y Microsoft Azure.

No se han aplicado políticas de seguridad a las máquinas virtuales locales de la aplicación. También las protegeremos al implementar y configurar NSX.


 

Apertura de Google Chrome

 

  1. Haga clic en el icono de Chrome en la barra de tareas de Inicio rápido de Windows (o abra Chrome si ya se está ejecutando).

 

 

Página principal de información de la cuenta

 

Se ha configurado la página de información de cuenta y estado de aprovisionamiento del laboratorio como página principal de Chrome. Si ha completado la lección anterior, puede hacer clic en la pestaña de información de la cuenta que ya está abierta y continuar con el siguiente paso.

  1. Escriba la dirección de correo electrónico que ha usado para registrarse en el laboratorio.
  2. Escriba VMware1! como contraseña.
  3. Haga clic en Login.

 

 

Completar el aprovisionamiento del laboratorio

 

La página de información de la cuenta se mostrará cuando se haya completado el proceso de aprovisionamiento. Este proceso puede durar entre 10 y 15 minutos. Volveremos a referirnos a esta página repetidamente a lo largo de los módulos del laboratorio.

 

 

Localizar la URL de la consola de gestión de AWS

 

  1. Haga clic en Console URL para abrir una pestaña nueva en el navegador y conectarse a la consola de gestión de AWS (o haga clic en la pestaña de AWS que ya está abierta en Chrome si ya ha realizado el inicio de sesión).

 

 

Inicio de sesión en la consola de AWS

 

  1. Escriba vmware_hol_user en el campo «IAM User Name».
  2. Escriba o copie la contraseña que aparece en la página de información de la cuenta.
  3. Haga clic en el botón Sign In.

 

 

 

Ampliar el zoom del navegador

 

Para que le resulte más fácil leer el contenido de las pantallas de este laboratorio, le recomendamos que ajuste el zoom de Google Chrome al 90 % como mínimo.

  1. Haga clic en los tres puntos de la esquina superior derecha del navegador para abrir el menú desplegable.
  2. Haga clic en el símbolo «-» junto a «Zoom» para ajustarlo al 90 %.

 

 

Seleccionar una región

 

Compruebe que la consola muestra los recursos de la región del Norte de California.

  1. Haga clic en Region Name a la izquierda de «Support», en el lado superior derecho.
  2. Seleccione US West (N. California).

 

 

Ir al panel de gestión de EC2

 

  1. Haga clic en Services en la esquina superior izquierda de la consola de AWS.
  2. Haga clic en EC2, bajo «Compute».

 

 

Ir a las instancias implementadas

 

  1. Haga clic en Instances bajo «EC2 Dashboard», a la izquierda.

 

 

Confirmar cambios en la interfaz de usuario

 

  1. Si se encuentra con esta notificación, haga clic en X para cerrarla.

 

 

Expandir la columna

 

  1. Haga clic y arrastre el título de la columna para ampliar la columna «Name».

 

 

Seleccionar la instancia hol1922-vpn-server

 

  1. Seleccione la instancia hol1922-vpn-server.

 

 

Apertura de las normas de entrada

 

  1. Haga clic en view inbound rules en la pestaña «Description» de la instancia, que se encuentra en la parte inferior de la pantalla. Esta instancia está configurada con un grupo de seguridad de AWS para la VPC de recursos informáticos.

 

 

Revisión de las políticas de seguridad de AWS configuradas

 

Se muestra una lista de las políticas que se han aplicado a esta instancia. El tráfico web y de Secure Shell (SSH) desde la consola principal del laboratorio práctico está permitido (el rango de direcciones IP de origen puede variar). En el entorno de VPC de AWS se permite todo tipo de tráfico.

 

 

Apertura de la pestaña de información de la cuenta

 

  1. Haga clic en la pestaña de información de la cuenta en Google Chrome.

 

 

Localizar la URL de la consola de gestión de Azure

 

  1. Haga clic en Console URL para abrir una pestaña nueva en el navegador y conectarse a la consola de gestión de Azure (o haga clic en la pestaña de Azure que ya está abierta en Chrome si ya ha realizado el inicio de sesión).

 

 

Introducir la dirección de correo electrónico de Azure

 

  1. Copie o escriba la dirección de correo electrónico de la cuenta de Azure que aparece en la página de información de la cuenta.
  2. Haga clic en Next.

 

 

 

Introducir la contraseña de Azure

 

  1. Copie o escriba la contraseña de la cuenta de Azure que aparece en la página de información de la cuenta.
  2. Haga clic en Sign In.

 

 

 

Evitar que la sesión permanezca iniciada

 

  1. Si aparece esta pantalla, haga clic en No.

 

 

Consola de gestión de Azure

 

Aparecerá la página de la consola de gestión de Azure.

 

 

Hacer clic en «Virtual Machines»

 

  1. Haga clic en Virtual machines a la izquierda de la consola de Azure.

 

 

Selección de la máquina virtual «Web»

 

  1. Haga clic en la máquina virtual hol1922-ps-web01.

 

 

Hacer clic en «Networking»

 

  1. Haga clic en Networking.

 

 

Grupos de seguridad de red configurados

 

Se muestra una lista de las políticas que se han aplicado a esta máquina virtual. El tráfico web y de SSH desde la consola principal del laboratorio práctico está permitido (el rango de direcciones IP de origen puede variar). Dentro del entorno de la red virtual se permite todo el tráfico entre máquinas virtuales de la aplicación.

 

Validación de la aplicación en Azure


Un desarrollador ha implementado una interfaz web para la aplicación en Microsoft Azure. En las próximas lecciones utilizaremos NSX para proteger esta aplicación. Validaremos la funcionalidad de la aplicación previa a NSX.


 

Acceso a la información de la cuenta

 

  1. Haga clic en la pestaña de información de la cuenta que abrió anteriormente. Si cerró esta pestaña, abra una nueva y haga clic en el marcador Account Info.

 

 

Localizar la información sobre la instancia web

 

  1. Haga clic en el enlace Web Frontend Instance Public URL de Azure para abrir una nueva pestaña en el navegador y conectarse a la aplicación.

 

 

Verificar que la aplicación se encuentra en funcionamiento

 

Verifique que la aplicación se encuentra en funcionamiento. Se indica la dirección IP del servidor que presenta la página. La interfaz web funciona y podemos continuar probando el resto de los componentes de la aplicación:

  1. Haga clic en App Health.

 

 

Azure App Health

 

Todos los componentes de la aplicación se comunican correctamente entre Azure y nuestro centro de datos local.

 

Validación de la aplicación en AWS


Un desarrollador ha implementado una interfaz web para la aplicación en Amazon Web Services. En las próximas lecciones utilizaremos NSX para proteger esta aplicación. Validaremos la funcionalidad de la aplicación previa a NSX.


 

Acceso a la información de la cuenta

 

  1. Haga clic en la pestaña de información de la cuenta que abrió anteriormente. Si cerró esta pestaña, abra una nueva y haga clic en el marcador Account Info.

 

 

Localizar la información sobre la instancia web

 

  1. Haga clic en el enlace Web Frontend Instance Public URL de AWS para abrir una nueva pestaña en el navegador y conectarse a la aplicación.

 

 

Verificar que la aplicación se encuentra en funcionamiento

 

Verifique que la aplicación se encuentra en funcionamiento. Se indica la dirección IP del servidor que presenta la página. La interfaz web funciona y podemos continuar probando el resto de los componentes de la aplicación:

  1. Haga clic en App Health.

 

 

Estado de la aplicación en AWS

 

Todos los componentes de la aplicación se comunican correctamente entre AWS y nuestro centro de datos local.

 

Escaneo de los puertos de los entornos de la aplicación


Para simular a un posible hacker, se ha instalado nmap en la consola principal para que escanee los puertos del entorno de la aplicación en nuestro centro de datos local, Amazon Web Services y Microsoft Azure. Escanearemos las direcciones IP de los servidores web de la interfaz de la aplicación y de las máquinas virtuales locales y revisaremos los puertos abiertos.


 

Apertura de nmap

 

  1. Haga clic en el icono de Zenmap nmap en la barra de tareas.

 

 

Escaneo nmap del rango de subredes IP de la aplicación local

 

  1. Copie o escriba el siguiente comando en el cuadro Command (antes de hacerlo, borre cualquier otro comando que haya en el cuadro).
nmap -p 10-10000 -T5 -Pn --open 192.168.120.11-14
  1. Haga clic en Scan para iniciar el escaneo.

Para acelerar el escaneo y reducir las aglomeraciones, el escáner de nmap utiliza las siguientes opciones:

  • «-p 10-10000» para escanear los primeros 10 000 puertos.
  • «-Pn» para desactivar las comprobaciones con ping.
  • «-T5» para activar la plantilla más rápida.
  • «--open» para mostrar solo los puertos abiertos o los puertos que quizás estén abiertos.
  • «192.168.120.11-14» para escanear únicamente un pequeño rango de direcciones IP.

 

 

Resultados del escaneo de las máquinas virtuales locales

 

Podrá ver que los siguientes resultados están abiertos a todos los accesos y que todas las máquinas virtuales tienen SSH (puerto 22) habilitado:

  • El puerto 80 de la máquina virtual ps-api01a (.11) está abierto.
  • El puerto 3306 de la máquina virtual ps-db01a (.12) está abierto.
  • El puerto 6379 de la máquina virtual ps-redis01a (.13) está abierto.

Esto también significa que es posible acceder directamente a nuestra base de datos o al servicio Redis desde cualquier máquina virtual o instancia. Este movimiento lateral en nuestro entorno es peligroso, ya que posibilita mayores ataques o abusos.

 

 

Escaneo nmap de los servidores web

 

  1. Escriba el siguiente comando en el cuadro Command (tenga en cuenta los espacios entre las direcciones IP).
nmap -F -Pn -T5 --open 172.18.10.4 172.15.10.4
  1. Haga clic en Scan para iniciar el escaneo.

Para acelerar el escaneo y reducir las aglomeraciones, el escáner de nmap utiliza las siguientes opciones:

  • «-F» para realizar un escaneo rápido en menos puertos.
  • «-Pn» para desactivar las comprobaciones con ping.
  • «-T5» para activar la plantilla más rápida.
  • «--open» para mostrar solo los puertos abiertos o los puertos que quizás estén abiertos.
  • «172.18.10.4 172.15.10.4» para escanear únicamente dos direcciones IP.

 

 

Resultados del escaneo de los servidores web

 

Los servidores web en AWS y Azure tienen el puerto 80 abierto a todos los accesos, además de SSH (puerto 22).

 

Conclusión


Aquí concluye el módulo 2. Hemos comprobado que la aplicación funciona en el centro de datos local, en AWS y en Azure. Al revisar las políticas de seguridad aplicadas, hemos descubierto que la aplicación cuenta con componentes que están expuestos a accesos innecesarios y ataques potencialmente maliciosos. Finalmente, hemos usado un escáner de seguridad común para comprobar estos puertos abiertos y accesos disponibles.


 

Enhorabuena, ha finalizado el Módulo 2.

Continúe con el módulo 3 para recibir una introducción a los componentes de gestión de NSX. También puede continuar con cualquier otro módulo que sea de su interés.

 

Módulo 3: Introducción a los componentes de gestión de NSX (15 minutos)

Introducción


Como parte de la solución VMware NSX Cloud, se implementan máquinas virtuales separadas en nuestro entorno de centro de datos local a fin de respaldar la interfaz de usuario para la gestión y las operaciones de la solución. Se trata de las siguientes instancias:

  • NSX Cloud Services Manager
  • NSX Manager

NSX Cloud Services Manager gestiona el ciclo de vida completo de los componentes de NSX implementados en AWS y Azure, y ofrece una visión unificada de NSX Manager y el inventario de la cloud pública. NSX Cloud Services Manager también incluye las siguientes funciones:

  • Implementación y actualización de NSX Cloud Gateway
  • Actualizaciones del agente de NSX mediante NSX Cloud Gateway
  • Copia de seguridad y restauración

NSX Manager proporciona la interfaz de usuario gráfica (GUI) y las API basadas en REST para crear, configurar y supervisar componentes de NSX, como las controladoras y los conmutadores lógicos de NSX. NSX Manager constituye el plano de gestión del ecosistema NSX. Ofrece una vista global y es el componente de gestión centralizada de redes de NSX. Proporciona un método para solucionar problemas en las cargas de trabajo conectadas a redes virtuales creadas por NSX y supervisarlas. Permite configurar y coordinar:

  • Componentes de red lógicos: conmutación y enrutamiento lógicos
  • Servicios perimetrales y de redes
  • Servicios de seguridad y cortafuegos distribuido

Validación del laboratorio


Para completar las lecciones de este módulo, es necesario disponer de una conexión a Microsoft Azure y Amazon Web Services. Dedicaremos unos momentos a validar esta conexión, especialmente si no se han completado los tres módulos anteriores.


 

El laboratorio debe mostrar el estado «Ready»

 

Compruebe que el laboratorio haya finalizado todas las rutinas de arranque y que esté listo para empezar. Si ve otro mensaje que no sea «Ready», aguarde unos minutos.  Si después de cinco minutos el laboratorio no ha cambiado a «Ready», solicite ayuda.

Si continúa antes de que el laboratorio muestre «Ready», el laboratorio no funcionará.

 

 

Página de estado de aprovisionamiento del laboratorio

Se está completando el aprovisionamiento de las partes del laboratorio correspondientes a AWS y Azure. Se ha proporcionado un sitio web que muestra el estado de los recursos del laboratorio que se están aprovisionando en AWS y Azure en el arranque del laboratorio.

NOTA: Solo es posible acceder a los recursos aprovisionados en Amazon Web Services y Microsoft Azure desde la consola principal del entorno del laboratorio práctico.

Es posible que el aprovisionamiento del laboratorio tarde entre 10 y 15 minutos.

 

 

Apertura de Google Chrome

 

  1. Haga clic en el icono de Chrome de la barra de tareas de Inicio rápido de Windows.

 

 

Página principal de información de la cuenta

 

Se ha configurado la página de información de cuenta y estado de aprovisionamiento del laboratorio como página principal de Chrome.

  1. Escriba la dirección de correo electrónico que ha usado para registrarse en el laboratorio.
  2. Escriba VMware1! como contraseña.
  3. Haga clic en Login.

 

 

Completar el aprovisionamiento del laboratorio

 

La página de información de la cuenta se mostrará cuando se haya completado el proceso de aprovisionamiento. Este proceso puede durar entre 10 y 15 minutos. Volveremos a referirnos a esta página repetidamente a lo largo de los módulos del laboratorio.

 

Inicio de sesión en NSX Cloud Services Manager


Una de las funciones de NSX Cloud Services Manager es ofrecer una visión unificada del inventario entre los entornos de NSX y la cloud pública. En esta lección iniciaremos sesión en NSX Cloud Services Manager.


 

Apertura de una pestaña nueva en el navegador

 

  1. Haga clic en Nueva pestaña en Google Chrome para abrir una nueva pestaña del navegador.

 

 

Marcador de NSX Cloud Services Manager

 

  1. Haga clic en el marcador de CSM para conectarse a la consola de NSX Cloud Services Manager.

 

 

Validación del certificado

 

Algunas partes de este entorno de laboratorio práctico se han creado a la carta, así que los certificados todavía no son de confianza. En una implementación de producción se generaría un certificado de confianza que se usaría para proteger la conectividad. Para continuar con el proceso de inicio de sesión:

  1. Haga clic en Advanced.
  2. Haga clic en el enlace Proceed.

 

 

Inicio de sesión en NSX Cloud Services Manager

 

  1. Escriba admin en el campo «Username».
  2. Escriba VMware1! como contraseña.
  3. Haga clic en Log In.

 

Revisión de la cuenta y el inventario configurados de AWS


NSX Cloud Service Manager proporciona una visión unificada de los inventarios de NSX y AWS. Revisaremos el inventario que indica NSX Cloud Service Manager y lo compararemos con el inventario de AWS.


 

Configuración e inventario de CSM

 

  1. Haga clic en Clouds.
  2. Haga clic en AWS.

 

 

Revisión de la información de la cuenta de AWS

 

La información de la cuenta de AWS se ha configurado en Cloud Services Manager. Esta información será diferente en cada módulo del laboratorio.

 

 

Revisión de la cantidad de VPC configuradas

 

Existen varias VPC configuradas en esta cuenta de AWS en las distintas regiones.

 

 

Revisión de la cantidad de instancias configuradas

 

Hay tres instancias ejecutándose en esta cuenta de AWS.

 

 

Hacer clic en «VPCs»

 

  1. Haga clic en VPCs.

 

 

Delimitar la vista de las VPC

 

  1. En el menú desplegable «Region», seleccione us-west-1 para delimitar la vista de las VPC.

 

 

 

Revisión de la VPC

 

Esta es la VPC que vimos en el inventario de AWS en las lecciones anteriores.

 

 

Confirmación de que NSX no gestiona la VPC

 

La VPC de recursos informáticos muestra el estado «NSX Managed - No». En otra parte de este laboratorio implementaremos los componentes de NSX en esta VPC para gestionar las instancias AWS EC2 en ejecución.

 

 

Hacer clic en «Instances»

 

  1. Haga clic en Instances.

 

 

Confirmación de que NSX no gestiona las instancias

 

Se muestran las instancias AWS EC2 para la aplicación que aparecieron en el inventario de AWS. El círculo que muestra el estado de NSX no es de color verde, porque los componentes de NSX no están implementados.

 

Revisión de la cuenta y el inventario configurados de Azure


NSX Cloud Service Manager proporciona una visión unificada de los inventarios de NSX y Azure. Revisaremos el inventario que indica NSX Cloud Service Manager y lo compararemos con el inventario de Azure.


 

Configuración e inventario de CSM

 

  1. Haga clic en Azure en el lado izquierdo.

 

 

Revisión de la información de la cuenta de Azure

 

La información de la cuenta de Azure se ha configurado en Cloud Services Manager. Esta información será diferente en cada módulo del laboratorio.

 

 

Revisión de la cantidad de VNets configuradas

 

Hay una red virtual configurada en esta cuenta de Azure.

 

 

Revisión de la cantidad de instancias configuradas

 

Hay tres instancias ejecutándose en esta cuenta de Azure.

 

 

Hacer clic en «VNets»

 

  1. Haga clic en VNets.

 

 

Revisión de la VNet

 

Esta es la VNet que hemos visto en el inventario de Azure en las lecciones anteriores.

 

 

Confirmación de que NSX no gestiona la VNet

 

La VNet muestra el estado «NSX Managed - No». En otra parte de este laboratorio implementaremos los componentes de NSX en esta VNet para gestionar las máquinas virtuales de Azure en ejecución.

 

 

Hacer clic en «Instances»

 

  1. Haga clic en Instances.

 

 

Confirmación de que NSX no gestiona las instancias

 

Se muestran las máquinas virtuales para la aplicación de Azure que aparecieron en el inventario de Azure. El círculo que muestra el estado de NSX no es de color verde, porque los componentes de NSX no están implementados.

 

Inicio de sesión en NSX Manager


Puesto que NSX Manager conforma el plano de gestión centralizada de la solución, lo usaremos para configurar las políticas de seguridad de nuestra aplicación y para comprobar que la implementación de NSX en Amazon Web Services y Microsoft Azure se realice correctamente. En esta lección iniciaremos sesión en NSX Manager.


 

Apertura de una pestaña nueva en el navegador

 

  1. Haga clic en Nueva pestaña en Google Chrome para abrir una nueva pestaña del navegador.

 

 

Marcador de NSX Manager

 

  1. Haga clic en el marcador de NSX Manager para conectarse a la consola de NSX Manager.

 

 

Inicio de sesión en NSX Manager

 

  1. Escriba admin en el campo «Username».
  2. Escriba VMware1! como contraseña.
  3. Haga clic en Log In.

 

Revisión de la interfaz de usuario de NSX Manager


Antes de preparar la configuración de NSX para gestionar nuestra aplicación, veremos varias de las pantallas de la interfaz de usuario de NSX Manager a fin de examinar la configuración actual del entorno de laboratorio, comprobar que la infraestructura de gestión de NSX es funcional y familiarizarnos con la nueva interfaz HTML5.


 

Hacer clic en «Dashboard»

 

  1. Haga clic en Dashboard.

 

 

Nodos de Manager y Controller

 

El panel de gestión ofrece una única ubicación en la que consultar el estado de los distintos componentes de la implementación de NSX. Mediante una vista general, puede consultar si hay algún problema en los componentes, entre otros datos, como la cantidad de equilibradores de carga, las normas del cortafuegos y las sesiones de VPN.

En el caso de nuestra implementación de NSX, podemos ver bajo «System» que los nodos de Manager y Controller aparecen en verde. Esto significa que los nodos de NSX Manager y NSX Controller se encuentran en funcionamiento.

NSX Manager es el componente del plano de gestión que proporciona la interfaz de usuario gráfica (GUI) y las API basadas en REST para crear, configurar y supervisar los componentes de NSX, como las controladoras, los conmutadores lógicos, las políticas del cortafuegos y las puertas de enlace de servicios perimetrales.

NSX Controller es el componente del plano de control que proporciona la gestión de estado distribuido y avanzado en nuestro entorno.

 

 

Revisión del estado de la estructura

 

Hay tres hosts configurados en la estructura de NSX.

 

 

Hacer clic en «Switching»

 

  1. Haga clic en Switching en el lado izquierdo.

 

 

Confirmación de la presencia de un conmutador lógico en el inventario

 

Hay un conmutador lógico que ha sido creado para nuestras máquinas virtuales locales.

 

 

Hacer clic en el número de puerto lógico

 

  1. Haga clic en el 4 bajo «Logical Ports».

 

 

Expandir la columna

 

1. Haga clic y arrastre el ajuste de la columna para expandir el tamaño de las columnas según desee.

 

 

Puertos lógicos

 

Los cuatro puertos lógicos del conmutador lógico de LS-VLAN corresponden a las cuatro máquinas virtuales de la aplicación implementadas localmente.

 

Conclusión


Aquí concluye el módulo 3. Hemos iniciado sesión en NSX Cloud Services Manager (CSM), que sirve como interfaz de usuario operativa para la solución de VMware NSX Cloud. También hemos revisado los inventarios de AWS y Azure desde NSX CSM. Además, hemos iniciado sesión en NSX Manager y hemos revisado el inventario de objetos de NSX para confirmar que solo los predeterminados están presentes, y para familiarizarnos con la nueva interfaz HTML5.


 

Enhorabuena, ha finalizado el módulo 3.

Continúe con el módulo 4 para proteger el entorno de la aplicación mediante NSX. También puede continuar con cualquier otro módulo que sea de su interés.

 

Módulo 4: Protección de las aplicaciones de cloud híbrida mediante NSX (60 minutos)

Introducción


Para proteger la aplicación en Amazon Web Services (AWS), Microsoft Azure y el centro de datos local es necesario disponer de políticas de seguridad para las cargas de trabajo que gestionará NSX. NSX proporciona un cortafuegos distribuido con funciones de agrupación lógica para simplificar la configuración y ofrecer coherencia.

Una vez implementados el plano centralizado de gestión (NSX Manager y NSX Cloud Services Manager) y el plano centralizado de control (controladores de NSX) en el centro de datos local, es necesario dar los siguientes pasos para proteger la aplicación:

  1. Implementar NSX Cloud Gateway en aquellos entornos de cloud que contengan cargas de trabajo que NSX deba gestionar.
  2. Un administrador de cloud creará políticas de seguridad y redes lógicas mediante la interfaz de usuario o las API de NSX Manager.
  3. Un administrador de cloud generará un conjunto de etiquetas en NSX Cloud Services Manager.
  4. Un desarrollador etiquetará las cargas de trabajo en AWS y Azure para el consumo de políticas de NSX durante la creación de instancias.
  5. El agente de NSX se instala en cada instancia de AWS y cada máquina virtual de Azure que vaya a gestionar NSX.

 

Políticas de seguridad necesarias

 

Estas son las políticas de seguridad de alto nivel que la aplicación requiere.

 

Validación del laboratorio


Para completar las lecciones de este módulo, es necesario disponer de una conexión a Microsoft Azure y Amazon Web Services. Dedicaremos unos momentos a validar esta conexión, especialmente si no se han completado los tres módulos anteriores.


 

El laboratorio debe mostrar el estado «Ready»

 

Compruebe que el laboratorio haya finalizado todas las rutinas de arranque y que esté listo para empezar. Si ve otro mensaje que no sea «Ready», aguarde unos minutos.  Si después de cinco minutos el laboratorio no ha cambiado a «Ready», solicite ayuda.

En caso de continuar antes de que el laboratorio muestre «Ready», el laboratorio no funcionará.

 

 

Página de estado de la implementación del laboratorio

Se está completando la implementación de las partes del laboratorio en AWS y Azure. Se ha proporcionado un sitio web que muestra el estado de los recursos del laboratorio que se están aprovisionando en AWS y Azure en el arranque del laboratorio.

NOTA: Solo es posible acceder a los recursos aprovisionados en Amazon Web Services y Microsoft Azure desde la consola principal del entorno del laboratorio práctico.

Es posible que el aprovisionamiento del laboratorio tarde entre 10 y 15 minutos.

 

 

Apertura de Google Chrome

 

  1. Haga clic en el icono de Chrome de la barra de tareas de Inicio rápido de Windows.

 

 

Página principal de información de la cuenta

 

Se ha configurado la página de información de cuenta y estado de aprovisionamiento del laboratorio como página principal de Chrome.

  1. Escriba la dirección de correo electrónico que ha usado para registrarse en el laboratorio.
  2. Escriba VMware1! como contraseña.
  3. Haga clic en Login.

 

 

Completar el aprovisionamiento del laboratorio

 

La página de información de la cuenta se mostrará cuando se haya completado el proceso de aprovisionamiento. Este proceso puede durar entre 10 y 15 minutos. Volveremos a referirnos a esta página repetidamente a lo largo de los módulos del laboratorio.

 

Verificar la conectividad VPN con clouds públicas


Se está estableciendo la conectividad VPN de este laboratorio con AWS y Azure. Validaremos el acceso a nuestra interfaz web con un sencillo ping.

Nota: Si alguna de las pruebas de ping falla, solicite ayuda antes de proceder con el laboratorio.


 

Apertura del símbolo del sistema

 

  1. Haga clic en el icono del símbolo del sistema que se encuentra en la barra de tareas de Inicio rápido de Windows.

 

 

Envío de ping a la instancia web de AWS

 

  1. Escriba el siguiente comando para enviar un ping a la instancia de la interfaz web de AWS y comprobar la conectividad:
ping 172.15.10.4

 

 

Conectividad con AWS establecida

 

Podremos confirmar la conectividad con AWS si recibimos respuestas.

 

 

Envío de ping a la instancia web de Azure

 

  1. Escriba el siguiente comando para enviar un ping a la instancia de la interfaz web de Azure y comprobar la conexión:
ping 172.18.10.4

 

 

Conectividad con Azure establecida

 

Podremos confirmar la conectividad con Azure si recibimos respuestas.

 

Implementación de NSX Cloud Gateway en Amazon Web Services


Es necesario implementar los componentes de NSX para proporcionar políticas de seguridad a las instancias de la aplicación en Amazon Web Services. El primer paso es implementar NSX Cloud Gateway en la VPC de recursos informáticos donde se hayan implementado las instancias de la aplicación.

Como nodo de transporte perimetral en NSX, NSX Cloud Gateway proporciona los siguientes servicios en cada VPC en la que se implementa:

  • Plano de control proxy (local) para agentes de NSX
  • Servicios con estado, como traducción de direcciones de red (NAT) y cortafuegos perimetral
  • Alojamiento y distribución del software del agente de NSX
  • Consulta de las etiquetas de Amazon Web Services

 

Apertura de Google Chrome

 

  1. Haga clic en el icono de Chrome en la barra de tareas de Inicio rápido de Windows (o abra Chrome si ya se está ejecutando).

 

 

Apertura de una pestaña nueva en el navegador

 

  1. Haga clic en Nueva pestaña en Google Chrome para abrir una nueva pestaña del navegador (o pase a la pestaña de CSM si ya la tenía abierta).

 

 

Marcador de NSX Cloud Services Manager

 

  1. Haga clic en el marcador de CSM para conectarse a la consola de NSX Cloud Services Manager.

 

 

Validación del certificado

 

Este paso no se mostrará si ha completado el módulo 3.

Algunas partes de estos entornos de laboratorio práctico se han creado a la carta, por lo que los certificados todavía no son de confianza. En una implementación de producción se generaría un certificado de confianza que se usaría para proteger la conectividad. Para continuar con el proceso de inicio de sesión:

  1. Haga clic en Advanced.
  2. Haga clic en el enlace Proceed.

 

 

Inicio de sesión en NSX Cloud Services Manager

 

  1. Escriba admin en el campo «Username».
  2. Escriba VMware1! como contraseña.
  3. Haga clic en Log In.

 

 

Selección de la cuenta de AWS

 

  1. Haga clic en Clouds.
  2. Haga clic en AWS.

 

 

Hacer clic en «VPCs»

 

  1. Haga clic en VPCs en la parte superior.

 

 

Delimitar la vista de las VPC

 

  1. En el menú desplegable «Region», seleccione us-west-1 para delimitar la vista de las VPC.

 

 

 

Hacer clic en el menú desplegable «Actions»

 

  1. Haga clic en Actions en el cuadro «Compute-VPC».
  2. Haga clic en Deploy NSX Cloud Gateway.

 

 

Configuración de NSX Cloud Gateway

 

  1. Seleccione Private IP.
  2. Haga clic en PEM File y seleccione nsx-management.
  3. Seleccione Disabled junto a «Quarantine Policy on the Associated VPC».
  4. Haga clic en Next.

 

 

Configuración de alta disponibilidad

 

NSX Cloud Gateway es compatible con un modelo de implementación de alta disponibilidad (HA). Para reducir la duración del laboratorio práctico, no configuraremos la HA.

  1. Desactive la casilla «Enable HA for NSX Cloud Gateway».
  2. Seleccione su zona de disponibilidad en Availability Zone. Nota: Si se selecciona una zona de disponibilidad incorrecta, los menús de las subredes de los pasos 3 a 5 estarán vacíos.
  3. Seleccione nsx-uplink-subnet en el campo «Uplink Subnet».
  4. Seleccione nsx-downlink-subnet en el campo «Downlink Subnet».
  5. Seleccione nsx-mgmt-subnet en el campo «Management Subnet».
  6. Haga clic en Deploy.

 

 

Inicio de la implementación de NSX Cloud Gateway

 

Se inicia el proceso de implementación en esta VPC. Puede tardar aproximadamente entre 7 y 10 minutos. La pantalla de progreso de la implementación mostrará información sobre las acciones que se están completando durante el proceso.

La implementación de NSX Cloud Gateway proporciona el plano de control local para las políticas de NSX en la VPC, así como una ubicación de instalación para los agentes de NSX que se implementarán en una próxima lección.

Continúe con la siguiente lección para configurar agrupaciones lógicas mientras se completa la implementación de NSX Cloud Gateway. Después regresaremos a NSX Cloud Services Manager para verificar que se haya completado.

 

Creación de agrupaciones lógicas


NSX puede utilizar información contextual sobre cargas de trabajo para crear grupos dinámicos de políticas. Esto proporciona un modelo operativo para la gestión de políticas de seguridad significativamente simplificado. En esta lección, revisaremos los grupos preconfigurados y terminaremos varios de ellos para simplificar la gestión de políticas.

CSM puede sincronizar la información del inventario de cloud para extraer las etiquetas que se han aplicado a las cargas de trabajo de cloud. Normalmente, estas etiquetas se añaden durante la implementación de instancias y máquinas virtuales en AWS y Azure. Ejemplos de etiquetas pueden ser el nombre de la aplicación, el nivel de la aplicación, etc. NSX también importará etiquetas con información sobre el entorno de cloud, como el nombre de la VPC o VNet, que también puede usarse.

Estas etiquetas, junto a las que se han aplicado a nuestras máquinas virtuales locales, servirán para crear agrupaciones lógicas dinámicas en NSX.


 

Apertura de una pestaña nueva en el navegador

 

  1. Haga clic en Nueva pestaña en Google Chrome para abrir una nueva pestaña del navegador (o pase a la pestaña de NSX Manager en Chrome si ya la tenía abierta).

 

 

Marcador de NSX Manager

 

  1. Haga clic en el marcador de NSX Manager para conectarse a la consola de NSX Manager.

 

 

Inicio de sesión en NSX Manager

 

  1. Escriba admin en el campo «Username».
  2. Escriba VMware1! como contraseña.
  3. Haga clic en Log In.

 

 

Hacer clic en «Groups» en el menú «Inventory»

 

  1. Haga clic en Inventory.
  2. Haga clic en Groups.

 

 

Seleccionar IP Sets

 

1. Haga clic en IP Sets.

 

 

 

Editar Airport Data

 

1. Seleccionar Airport Data.

2. Haga clic en EDIT.

 

 

Añadir miembros

 

1. Tipo 104.25.0.0/16.

2. Haga clic en SAVE.

 

 

Seleccionar Groups

 

1. Haga clic en Groups.

 

 

Revisar los grupos creados

 

Se han creado varios grupos para ahorrar tiempo en el laboratorio. Los revisaremos y completaremos la configuración de dos de los grupos.

Estos se usarán en las políticas de cortafuegos que crearemos.

 

 

Revisar el grupo «Web»

 

  1. Seleccione ps-web.
  2. Haga clic en Edit.

 

 

Pertenencia a grupos

 

  1. Haga clic en Membership Criteria.

Observe que utilizamos la etiqueta dinámica que NSX identificará en el inventario de cloud pública (estas etiquetas presentan el prefijo dis:<cloud>:) para que AppTier incluya las máquinas virtuales de interfaz en este grupo. Seguiremos esta misma estrategia para el resto de los grupos. A continuación, terminaremos los grupos de API y de aislamiento de aplicaciones.

 

 

Hacer clic en «Cancel»

 

  1. Haga clic en Cancel.

 

 

Edición del grupo de API

 

  1. Seleccione ps-api (compruebe que la casilla junto a «ps-web» esté desactivada).
  2. Haga clic en Edit.

 

 

Criterios de pertenencia a grupos basados en la etiqueta identificada

 

Ya se han aplicado etiquetas a las máquinas virtuales que se ejecutan en nuestro centro de datos local. Las usaremos para completar este grupo.

  1. Haga clic en Membership Criteria.
  2. Haga clic en Criteria.
  3. Seleccione Virtual Machine.
  4. Seleccione Tag.
  5. Seleccione Equals.
  6. Escriba api.
  7. Seleccione Equals.
  8. Escriba AppTier.
  9. Haga clic en Save.

 

 

Edición del grupo de aislamiento de aplicaciones

 

  1. Seleccione planespotter-app (compruebe que la casilla junto a «ps-api» esté desactivada).
  2. Haga clic en Edit.

 

 

Hacer clic en «Criteria»

 

  1. Haga clic en Membership Criteria.
  2. Haga clic en Criteria.

 

 

Todas las máquinas virtuales con etiqueta de Azure

 

La primera entrada servirá para incluir la máquina virtual de Azure cuyo «AppName» incluya la etiqueta de planespotter.

  1. Seleccione Virtual Machine.
  2. Seleccione Tag.
  3. Seleccione Equals.
  4. Escriba planespotter.
  5. Seleccione Equals.
  6. Escriba dis:Azure:AppName («dis» se refiere a «etiqueta identificada»).
  7. Haga clic en Criteria.

 

 

Todas las máquinas virtuales con etiqueta de AWS

 

Esta entrada servirá para incluir la instancia de AWS cuyo «AppName» incluya la etiqueta de planespotter.

  1. Seleccione Virtual Machine.
  2. Seleccione Tag.
  3. Seleccione Equals.
  4. Escriba planespotter.
  5. Seleccione Equals.
  6. Escriba dis:AWS:AppName («dis» se refiere a «etiqueta identificada»).
  7. Haga clic en Criteria.

 

 

Todas las máquinas virtuales con etiqueta de NSX

 

Para terminar, incluiremos todas las máquinas virtuales locales cuyo «AppName» incluya la etiqueta de planespotter.

  1. Seleccione Virtual Machine.
  2. Seleccione Tag.
  3. Seleccione Equals.
  4. Escriba planespotter.
  5. Seleccione Equals.
  6. Escriba AppName.
  7. Haga clic en Save.

 

 

Volver a NSX Cloud Services Manager

 

  1. Seleccione la pestaña de NSX Cloud Services Manager que abrimos antes en Google Chrome. Nota: Es posible que las pestañas se encuentren en otro orden si ha completado los módulos anteriores.

 

 

NSX Cloud Gateway ha terminado de implementarse

 

  1. Haga clic en Finish cuando la implementación se haya completado.

 

 

VPC de recursos informáticos gestionada por NSX

 

Ahora se indica que NSX gestiona la VPC de recursos informáticos y que se ha implementado Cloud Gateway. A continuación, implementaremos NSX Cloud Gateway en Azure.

 

Implementación de NSX Cloud Gateway en Azure


Es necesario implementar los componentes de NSX para proporcionar políticas de seguridad a las máquinas virtuales de la aplicación en Microsoft Azure. El primer paso es implementar NSX Cloud Gateway en la VNet de recursos informáticos en la que se han implementado las máquinas virtuales de la aplicación.

Como nodo de transporte perimetral en NSX, NSX Cloud Gateway proporciona los siguientes servicios en cada VNet en la que implementa:

  • Plano de control proxy (local) para agentes de NSX
  • Servicios con estado, como NAT y cortafuegos perimetral
  • Alojamiento y distribución del software del agente de NSX
  • Consulta de las etiquetas de Azure

 

Seleccionar Azure

 

  1. Haga clic en Clouds en el lado izquierdo.
  2. Haga clic en Azure en el lado izquierdo.

 

 

Hacer clic en «VNets»

 

  1. Haga clic en VNets.

 

 

Hacer clic en el menú desplegable «Actions»

 

  1. Haga clic en Actions.
  2. Haga clic en Deploy NSX Cloud Gateway.

 

 

Configuración de NSX Cloud Gateway

 

  1. Copie el contenido de SSH Public Key de la parte inferior de la página de información de la cuenta (copie las tres líneas de texto).
  2. Seleccione Disabled junto a «Quarantine Policy on the Associated VPC».
  3. Seleccione la cuenta en el campo Local Storage Account (solo hay una opción disponible).
  4. Haga clic en Advanced.

 

 

Configuraciones avanzadas

 

  1. Seleccione Override Public Cloud Provider's DNS Server.
  2. Escriba «192.168.110.10».
  3. Haga clic en Next.

 

 

Configuración de alta disponibilidad

 

NSX Cloud Gateway es compatible con un modelo de implementación de alta disponibilidad (HA). Para reducir la duración del laboratorio práctico, no configuraremos la HA.

  1. Desactive la casilla «Enable HA for NSX Cloud Gateway».
  2. Seleccione nsx-uplink-subnet en el campo «Uplink Subnet».
  3. Seleccione nsx-downlink-subnet en el campo «Downlink Subnet».
  4. Seleccione nsx-mgmt-subnet en el campo «Management Subnet».
  5. Seleccione Allocate new IP en el campo «Public IP on Mgmt NIC».
  6. Haga clic en Deploy.

 

 

Inicio de la implementación de NSX Cloud Gateway

 

Se inicia el proceso de implementación en esta VNet. Puede tardar aproximadamente entre 7 y 10 minutos. La pantalla de progreso de la implementación mostrará información sobre las acciones que se están completando durante el proceso.

La implementación de NSX Cloud Gateway proporciona el plano de control local para las políticas de NSX en la VNet, así como una ubicación de instalación para los agentes de NSX que se implementarán en una próxima lección.

Continúe con la siguiente lección para configurar políticas de cortafuegos mientras se completa la implementación de NSX Cloud Gateway. Después regresaremos a NSX Cloud Services Manager para verificar que se haya completado.

 

Activación de las políticas de cortafuegos


NSX puede crear políticas de seguridad que aprovechan la naturaleza dinámica de los entornos de cloud, lo que proporciona un modelo de implementación más optimizado y operativamente coherente para las políticas de seguridad.


 

Pasar a la pestaña de NSX Manager en el navegador

 

  1. Seleccione la pestaña de NSX Manager que abrimos antes en Google Chrome. Nota: Es posible que las pestañas se encuentren en otro orden si ha completado los módulos anteriores.

 

 

Hacer clic en «Firewall»

 

  1. Haga clic en Firewall en el lado izquierdo.

 

 

Cambiar el zoom del navegador

 

  1. Haga clic en los tres puntos en la parte superior derecha.
  2. Cambie el nivel del Zoom al 80 % para que las reglas sean más fáciles de leer.

 

 

Revisar las políticas configuradas

 

Para ahorrar tiempo, ya hemos creado las políticas de seguridad necesarias para el funcionamiento de nuestra aplicación. Antes de la activación, repasaremos brevemente algunos temas.

 

 

Aislamiento de aplicaciones

 

  1. Haga clic en «Applied To:».

Observe que el grupo «planespotter-app» que finalizamos anteriormente ya está en uso. Ahora aplicaremos esta sección del cortafuegos únicamente a estas máquinas virtuales, lo que nos proporciona un mecanismo para aislar esta aplicación del resto del entorno.

 

 

Cerrar el cuadro

 

  1. Haga clic en la X para cerrar el cuadro.

 

 

Grupos de origen y destino

 

Los grupos que hemos revisado y completado anteriormente se utilizan como pares de origen y destino para nuestra aplicación, de forma que las políticas sean más dinámicas y fáciles de mantener.

 

 

Servicios de tráfico

 

En NSX los servicios están preconfigurados, por lo que es más sencillo seleccionar los tipos de tráfico necesarios. También usamos un servicio personalizado para el puerto HTTP 8080.

 

 

Activar el registro

 

Se ha activado el registro para todas las reglas, y los registros se envían a la implementación de Log Insight.

 

 

Regla para rechazar todo

 

La regla final, «Rechazar todo», está configurada para bloquear todo el tráfico que no hayamos autorizado explícitamente (será necesario que se desplace hacia abajo).

 

 

Activar todas las reglas

 

  1. Haga clic en los tres puntos junto a «planespotter-app-isolation», en la parte superior.
  2. Haga clic en Enable All Rules.

 

 

Hacer clic en «Publish» para guardar las reglas

 

  1. Vuelva a desplazarse hacia arriba y haga clic en Publish para guardar las reglas.

Las políticas de seguridad para la aplicación se han activado.

Hemos aprovechado los grupos que creamos anteriormente para que sea más sencillo configurar el origen, el destino y la sección del cortafuegos.

A continuación, regresaremos a NSX Cloud Services Manager para comprobar el progreso de la implementación de NSX Cloud Gateway.

 

 

Volver a NSX Cloud Services Manager

 

  1. Seleccione la pestaña de NSX Cloud Services Manager que abrimos antes en Google Chrome. Nota: Es posible que las pestañas se encuentren en otro orden si ha completado los módulos anteriores.

 

 

NSX Cloud Gateway ha terminado de implementarse

 

  1. Haga clic en Finish cuando la implementación se haya completado. Puede que tarde unos minutos más.

 

 

VNet gestionada por NSX

 

Ahora se indica que NSX gestiona HOL1922-VPN-vNET y que se ha implementado Cloud Gateway.

 

Asignación de etiquetas a la aplicación de AWS


Las etiquetas específicas para NSX sirven para indicar la ubicación donde la interfaz de red de la instancia EC2 debería «conectarse» de forma lógica dentro de NSX. Las políticas de seguridad se envían durante la conexión. Antes de habilitar el agente de NSX en la interfaz web, configuraremos una etiqueta.


 

Acceso a la consola de gestión de AWS

 

  1. Haga clic en la pestaña de información de la cuenta que abrió anteriormente. Si cerró esta pestaña, abra una nueva y haga clic en el marcador Account Info.

 

 

Localizar la URL de la consola de gestión de AWS

 

  1. Haga clic en Console URL para abrir una pestaña nueva en el navegador y conectarse a la consola de gestión de AWS.

 

 

Inicio de sesión en la consola de AWS

 

  1. Escriba vmware_hol_user en el campo «IAM User Name».
  2. Escriba o copie la contraseña que aparece en la página de información de la cuenta.
  3. Haga clic en el botón Sign In.

 

 

 

Seleccionar una región

 

Compruebe que la consola muestra los recursos de la región del Norte de California.

  1. Haga clic en Region Name a la izquierda de «Support», en el lado superior derecho.
  2. Seleccione US West (N. California).

 

 

Ir a las instancias EC2

 

  1. Haga clic en Services en la esquina superior izquierda de la consola de AWS.
  2. Haga clic en EC2, bajo «Compute».

 

 

Hacer clic en «Instances»

 

  1. Haga clic en Instances en el menú de la izquierda.

 

 

Confirmar cambios en la interfaz de usuario

 

  1. Si se encuentra con esta notificación, haga clic en X para cerrarla.

 

 

Expandir la columna

 

  1. Haga clic y arrastre el título de la columna para expandir la columna «Name».

 

 

Selección de la instancia «Web»

 

  1. Seleccione hol1922-ps-web01.

 

 

Hacer clic en la pestaña «Tags» de esta instancia

 

  1. Haga clic en la pestaña Tags bajo la lista de instancias EC2.
  2. Haga clic en Add/Edit Tags.

 

 

Hacer clic en «Create Tag»

 

  1. Haga clic en Create Tag.
  2. Escriba nsx:network bajo «Key».
  3. Escriba default bajo «Value» (Nota: No utilice el texto autocompletado «DEFAULT-nsx-compute-security-group» que puede aparecer).
  4. Haga clic en Save.

 

 

Resumen

Hemos aplicado la etiqueta específica para NSX en la interfaz web. Una vez se implemente el agente de NSX, esta etiqueta «conectará» la instancia al conmutador lógico predeterminado de NSX que creamos durante la implementación de NSX Cloud Gateway. Las políticas de seguridad también se aplicarán a esta instancia.

 

Asignación de etiquetas a la aplicación de Azure


Las etiquetas específicas para NSX sirven para indicar la ubicación donde la interfaz de red de la máquina virtual debería «conectarse» de forma lógica dentro de NSX. Las políticas de seguridad se envían durante la conexión. Antes de habilitar el agente de NSX en la interfaz web, configuraremos una etiqueta.


 

Acceso al portal de Azure

 

  1. Haga clic en la pestaña de información de la cuenta que abrió anteriormente. Si cerró esta pestaña, abra una nueva y haga clic en el marcador Account Info.

 

 

Localización de la URL del portal de Azure

 

  1. Haga clic en la URL de la consola para abrir una nueva pestaña en el navegador y conectarse a la consola de gestión de Azure.

 

 

Introducción de la dirección de correo electrónico de Azure

 

  1. Copie o escriba la dirección de correo electrónico de la cuenta de Azure que aparece en la página de información de la cuenta.
  2. Haga clic en Next.

 

 

 

Introducción de la contraseña de Azure

 

  1. Copie o escriba la contraseña de la cuenta de Azure que aparece en la página de información de la cuenta.
  2. Haga clic en Sign In.

 

 

 

Evitar que la sesión permanezca iniciada

 

  1. Si aparece esta pantalla, haga clic en No.

 

 

Consola de gestión de Azure

 

Aparecerá la página de la consola de gestión de Azure.

 

 

Hacer clic en «Virtual Machines»

 

  1. Haga clic en Virtual Machines en el lado izquierdo.

 

 

Hacer clic en la máquina virtual web

 

  1. Haga clic en hol1922-ps-web01.

 

 

Hacer clic en «Change» junto a «Tags»

 

  1. Haga clic en Change junto a «Tags», en el lado derecho.

 

 

Introducción de la información sobre la etiqueta

 

  1. Escriba nsx.network en «Name». (Nota: En Azure es necesario introducir un solo punto en lugar de dos puntos).
  2. Escriba default en «Value».
  3. Haga clic en Save.

 

 

Resumen

Hemos aplicado la etiqueta específica para NSX en la interfaz web. Una vez se implemente el agente de NSX, esta etiqueta «conectará» la máquina virtual al conmutador lógico predeterminado de NSX que creamos durante la implementación de NSX Cloud Gateway. Las políticas de seguridad también se aplicarán a esta máquina virtual.

 

Instalación del agente de NSX en entornos de cloud pública


Para continuar el proceso de proteger las interfaces web, debemos implementar el agente de NSX. El agente de NSX proporciona las funciones del plano de datos en cada instancia de Amazon Web Services o máquina virtual de Microsoft Azure en la que se haya instalado. Esto incluye lo siguiente:

  • Motor de aplicación del cortafuegos distribuido
  • Punto de acceso de túnel para redes superpuestas

Una práctica recomendada sería incluir el agente en las imágenes maestras que se utilizan en el entorno de cloud pública de una organización. El agente de NSX también puede instalarse en instancias existentes implementadas empleando distintos métodos de automatización.

El agente de NSX se implementará en cada interfaz web mediante un script. Le mostraremos el proceso en Azure, donde podrá ver la ubicación del script de instalación y el comando de ejecución. En AWS le mostraremos un método automatizado en el que basta con ejecutar un solo script para completar la instalación.


 

Abrir PuTTY en la consola principal

 

  1. Haga clic en el icono de PuTTY de la barra de tareas de Inicio rápido de Windows.

 

 

Localización de la interfaz web de Azure

 

  1. Seleccione ps-web01a-azure.
  2. Haga clic en Load.
  3. Haga clic en Open.

 

 

Contraseña

 

  1. Escriba VMware1!VMware1! como contraseña.

 

 

Volver a NSX Cloud Services Manager

 

  1. Seleccione la pestaña de NSX Cloud Services Manager que abrimos antes en Google Chrome. Nota: Es posible que las pestañas se encuentren en otro orden si ha completado los módulos anteriores.

 

 

Seleccionar Azure

 

  1. Haga clic en Clouds.
  2. Haga clic en Azure.

 

 

Hacer clic en «VNets»

 

  1. Haga clic en VNets.

 

 

Cambiar el zoom del navegador

 

  1. Haga clic en los tres puntos en la parte superior derecha.
  2. Ajuste el nivel del zoom al 75 %.

 

 

Hacer clic en «VNet»

 

  1. Haga clic en el cuadro de la VNet para seleccionarla.

 

 

Copiar la ubicación del script de instalación

 

  1. Haga clic en Agent Download & Installation para expandirlo.
  2. Copie la ubicación que se muestra en Download Location para Linux.

 

 

Pegar la ubicación

 

Vuelva a PuTTY.

  1. Escriba wget, seguido de un espacio.
  2. Pegue la ubicación de Download Location en la ventana de PuTTY que abrió anteriormente haciendo clic con el botón derecho en la ventana de PuTTY.
  3. Pulse Entrar.

 

 

Descarga del script

 

El script de instalación se ha descargado.

 

 

Pegar comando de CSM

 

  1. Copie el contenido de Installation Command bajo Linux, en la pestaña de CSM en el navegador.

 

 

Comando de instalación del agente

 

  1. Pegue el contenido de Installation Command en la ventana de PuTTY que abrió anteriormente haciendo clic con el botón derecho en la ventana de PuTTY.
  2. Pulse Entrar para iniciar la instalación del agente.

 

 

Completar la instalación del agente

 

El agente de NSX puede tardar entre 3 y 5 minutos en instalarse.

 

 

Sesión de PuTTY nueva

 

  1. Haga clic en el icono de PuTTY en el lado superior izquierdo para abrir una sesión PuTTY.
  2. Seleccione New Session.

 

 

Localización de la interfaz web de AWS

 

  1. Seleccione ps-web01a-aws.
  2. Haga clic en Load.
  3. Haga clic en Open.

 

 

Verificar la conexión

 

La primera vez que se conecte a una instancia se mostrará una ventana de confirmación para que verifique la conexión.

  1. Haga clic en Yes.

 

 

Instalación del agente de NSX

 

  1. Escriba el siguiente comando para iniciar el script de instalación del agente de NSX que combina los pasos del proceso:
./install_agent.sh

 

 

Agente de NSX instalado

 

El agente de NSX puede tardar entre 3 y 5 minutos en instalarse.

 

 

Cambiar el zoom del navegador

 

  1. Haga clic en los tres puntos en la parte superior derecha.
  2. Ajuste el nivel del zoom al 90 % o al 100 %.

 

Validación de la implementación de NSX


Tras implementar los componentes de NSX en la VPC de recursos informáticos, revisaremos la configuración de NSX en NSX Manager y NSX Cloud Services Manager para verificar la operación.


 

Pasar a la pestaña de NSX Manager en el navegador

 

  1. Seleccione la pestaña de NSX Manager que abrimos antes en Google Chrome. Nota: Es posible que las pestañas se encuentren en otro orden si ha completado los módulos anteriores. Escriba admin en el campo «Username» y VMware1! como contraseña si se ha agotado el tiempo de la sesión.

 

 

Hacer clic en «Fabric»

 

  1. Haga clic en Fabric en el lado izquierdo.

 

 

Hacer clic en «Edges»

 

  1. Haga clic en Edges en la parte superior.

 

 

Expandir la columna

 

  1. Haga clic y arrastre para expandir la anchura de la columna.

 

 

Nodos perimetrales recién creados

 

Se han creado dos nodos perimetrales, uno en cada cloud pública.

Nota: El nombre de los perímetros será diferente en cada laboratorio.

 

 

Hacer clic en «Transport Nodes»

 

  1. Haga clic en Transport Nodes en la parte superior.

 

 

Expandir la columna

 

  1. Haga clic y arrastre para ampliar la columna.

 

 

Nodos de transporte recién creados

 

Se han creado dos nodos de transporte nuevos (las Cloud Gateways recién implementadas). Estos se añaden a los tres hosts ESX que ya se habían configurado como nodos de transporte de NSX en nuestro centro de datos local.

 

 

Hacer clic en «Switching»

 

  1. Haga clic en Switching en el lado izquierdo.

 

 

Expandir la columna

 

  1. Haga clic y arrastre para ampliar la columna.

 

 

Cambios en el inventario de conmutadores

 

Se han creado cuatro conmutadores lógicos nuevos (un conmutador lógico para VLAN y uno para superposición en cada cloud pública).

 

 

Puertos lógicos

 

Las instancias de cloud pública y las máquinas virtuales se conectan a los conmutadores para VLAN predeterminados en cada cloud.

 

 

Hacer clic en «Groups», bajo «Inventory»

 

  1. Haga clic en Inventory.
  2. Haga clic en Groups.

 

 

Hacer clic en el grupo «planespotter-app»

 

  1. Haga clic en planespotter-app.

 

 

Pertenencia a grupos

 

El grupo planespotter-app cuenta con 6 máquinas virtuales como miembros efectivos.

  1. Haga clic en 6 junto a «Virtual Machine».

 

 

Instancias de la aplicación consideradas miembros

 

  1. Seleccione Virtual Machine en el campo «Member Objects».

Se muestran todas las máquinas virtuales locales y en la cloud pública.

 

 

Hacer clic en «Virtual Machines»

 

  1. Haga clic en Virtual Machines en el lado izquierdo, bajo «Inventory».

 

 

Inventario de máquinas virtuales

 

Vemos en una sola ubicación el inventario completo de todas las máquinas virtuales e instancias locales y en la cloud pública.

  1. Haga clic en 7 junto a una de las máquinas virtuales de cloud pública.

 

 

Etiquetas de la máquina virtual

 

Se muestran todas las etiquetas de la máquina virtual, incluidas las etiquetas identificadas (definidas por el usuario) que usamos anteriormente al crear los grupos.

 

 

Volver a NSX Cloud Services Manager

 

  1. Seleccione la pestaña de NSX Cloud Services Manager que abrimos antes en Google Chrome. Nota: Es posible que las pestañas se encuentren en otro orden si ha completado los módulos anteriores.

 

 

Configuración e inventario de CSM

 

  1. Haga clic en Clouds.
  2. Haga clic en AWS.

 

 

Hacer clic en «Accounts»

 

  1. Haga clic en Accounts.

 

 

Resincronización de la cuenta

 

Para acelerar la actualización de la API del panel de gestión de CSM forzaremos una resincronización del inventario de AWS.

  1. Haga clic en Actions.
  2. Haga clic en Resync Account.

 

 

Hacer clic en «VPCs»

 

  1. Haga clic en VPCs.

 

 

Delimitar la vista de las VPC

 

  1. En el menú desplegable «Region», seleccione us-west-1 para delimitar la vista de las VPC.

 

 

 

Hacer clic en «Instances»

 

  1. Haga clic en Instances en el cuadro «Compute-VPC».

 

 

Gestión de NSX de las instancias de la aplicación

 

  1. Se muestra que NSX gestiona nuestra instancia de la aplicación y la puerta de enlace.
  2. La instancia VPN y la Rogue no han recibido la etiqueta de AWS ni la instalación del agente de NSX.

 

 

Configuración e inventario de CSM

 

  1. Haga clic en Azure en el lado izquierdo.

 

 

Hacer clic en «Accounts»

 

  1. Haga clic en Accounts.

 

 

Resincronización de la cuenta

 

Para acelerar la actualización de la API del panel de gestión de CSM forzaremos una resincronización del inventario de Azure.

  1. Haga clic en Actions.
  2. Haga clic en Resync Account.

 

 

Hacer clic en «VNets»

 

  1. Haga clic en VNets.

 

 

Hacer clic en la flecha atrás

 

  1. Haga clic en la flecha atrás.

 

 

Hacer clic en «Instances»

 

  1. Haga clic en Instances.

 

 

Gestión de NSX de las instancias de la aplicación

 

  1. Se muestra que NSX gestiona nuestra instancia de la aplicación y la puerta de enlace.
  2. Las instancias VPN y Rogue no han recibido la etiqueta de Azure ni la instalación del agente de NSX.

 

Validación de la funcionalidad de la aplicación en entornos multicloud


Antes de implementar NSX, la aplicación que se estaba ejecutando en Amazon Web Services y Microsoft Azure se dejó completamente abierta a Internet y había varios puertos innecesarios expuestos como posibles superficies de ataque. En esta lección repasaremos la funcionalidad de la aplicación y probaremos la conectividad básica.


 

Acceso a la información de la cuenta

 

  1. Haga clic en la pestaña de información de la cuenta que abrió anteriormente. Si cerró esta pestaña, abra una nueva y haga clic en el marcador Account Info.

 

 

Localizar la información sobre la instancia web en AWS

 

  1. Haga clic en el enlace Web Frontend Public URL para abrir una nueva pestaña en el navegador y conectarse a la aplicación.

 

 

Verificar que la aplicación se encuentra en funcionamiento

 

Verifique que la aplicación se encuentra en funcionamiento. Se indica la dirección IP del servidor que presenta la página. La interfaz web funciona y podemos continuar probando el resto de los componentes de la aplicación:

  1. Haga clic en App Health.

 

 

Estado de la aplicación en AWS

 

Todos los componentes de la aplicación se comunican correctamente entre AWS y nuestro centro de datos local.

 

 

Acceso a la información de la cuenta

 

  1. Haga clic en la pestaña de información de la cuenta que abrió anteriormente. Si cerró esta pestaña, abra una nueva y haga clic en el marcador Account Info.

 

 

Localizar la información sobre la máquina virtual web en Azure

 

  1. Haga clic en el enlace Web Frontend Instance Public URL para abrir una nueva pestaña en el navegador y conectarse a la aplicación.

 

 

Verificar que la aplicación se encuentra en funcionamiento

 

Verifique que la aplicación se encuentra en funcionamiento. Se indica la dirección IP del servidor que presenta la página. La interfaz web funciona y podemos continuar probando el resto de los componentes de la aplicación:

  1. Haga clic en App Health.

 

 

Azure App Health

 

Todos los componentes de la aplicación se comunican correctamente entre Azure y nuestro centro de datos local.

 

Escaneo de seguridad de los entornos de aplicaciones híbridos


Volveremos a utilizar la aplicación nmap para escanear los puertos del entorno de aplicaciones local. Escanearemos las direcciones donde se hayan implementado instancias de la aplicación y revisaremos los puertos abiertos tras la implementación de NSX en el entorno para comprobar que se han cerrado los puertos innecesarios.


 

Apertura de nmap

 

  1. Haga clic en el icono de Zenmap nmap en la barra de tareas.

 

 

Escaneo nmap del rango de subredes IP de la aplicación local

 

  1. Escriba el siguiente comando en el cuadro Command (antes de hacerlo, borre cualquier otro comando que haya en el cuadro).
nmap -p 10-10000 -T5 -Pn --open 192.168.120.11-14
  1. Haga clic en Scan para iniciar el escaneo.

Para acelerar el escaneo y reducir las aglomeraciones, el escáner de nmap utiliza las siguientes opciones:

  • «-p 10-10000» para escanear los primeros 10 000 puertos.
  • «-Pn» para desactivar las comprobaciones con ping.
  • «-T5» para activar la plantilla más rápida.
  • «--open» para mostrar solo los puertos abiertos o los puertos que quizás estén abiertos.
  • «192.168.120.11-14» para escanear únicamente un pequeño rango de direcciones IP.

 

 

Resultados del escaneo de las máquinas virtuales locales

 

Como puede ver, la situación de seguridad de nuestras máquinas virtuales locales ha mejorado. De acuerdo con las políticas de cortafuegos que hemos configurado en NSX, el único puerto que está expuesto a otras máquinas virtuales es el puerto SSH (puerto 22). Antes, todos los puertos respectivos de la API y las máquinas virtuales de base de datos y de Redis estaban expuestos a todos los accesos.

 

Visibilidad del tráfico


NSX ofrece herramientas operativas adicionales para proporcionar visibilidad del tráfico que se produce en el entorno de una aplicación que se ejecuta en clouds públicas. Examinaremos algunas de las funciones de NSX para la agregación de estadísticas sobre el tráfico.


 

Pasar a la pestaña de NSX Manager en el navegador

 

  1. Seleccione la pestaña de NSX Manager que abrimos antes en Google Chrome. Nota: Es posible que las pestañas se encuentren en otro orden si ha completado los módulos anteriores. Escriba admin en el campo «Username» y VMware1! como contraseña si se ha agotado el tiempo de la sesión.

 

 

Cambiar el zoom del navegador

 

  1. Haga clic en los tres puntos en la parte superior derecha.
  2. Cambie el nivel del Zoom al 80 % para que los pasos siguientes sean más fáciles de leer.

 

 

Hacer clic en «Firewall»

 

  1. Haga clic en Firewall en el lado izquierdo.

 

 

Estadísticas del cortafuegos

 

  1. Haga clic en el icono de estadísticas de flujo en el extremo derecho de la primera regla del cortafuegos.

 

 

Estadísticas de flujo

 

Se muestran los paquetes, bytes y el número de sesiones de esta regla.

 

 

Hacer clic en «Switching»

 

  1. Haga clic en Switching en el lado izquierdo.

 

 

Hacer clic en «Ports»

 

  1. Haga clic en Ports.

 

 

Hacer clic en el primer puerto de la máquina virtual

 

Se muestran todos los puertos del conmutador lógico de NSX, además del puerto de enlace ascendente. Los nombres de los puertos corresponden al nombre de la máquina virtual o la función relacionada.

  1. Haga clic en el primer puerto lógico de la lista con el prefijo «Cloud». Será una de las interfaces web que se ejecutan en la cloud pública.

 

 

Hacer clic en «Monitor»

 

Es posible consultar información adicional sobre este puerto.

  1. Haga clic en Monitor.

 

 

Estadísticas de los puertos

 

NSX ofrece estadísticas sobre el tráfico de esta máquina virtual de interfaz web que se ejecuta en la cloud pública. NSX también puede realizar un seguimiento de estas estadísticas a lo largo del tiempo.

  1. Haga clic en Begin Tracking. Se abrirá otra pestaña en el navegador.

 

 

Seguimiento de los puertos

 

Se ha abierto una pestaña nueva en el navegador y se ha iniciado el seguimiento del puerto. Aguarde unos momentos y observe las actualizaciones de la página.

 

Syslog


NSX le ofrece la posibilidad de registrar todas las reglas de cortafuegos en el servidor syslog que desee. Todas las políticas de cortafuegos configuradas se han establecido para que se registren en syslog (vRealize Log Insight). El entorno local se ha configurado para que envíe todos los registros a nuestro servidor syslog.

Activaremos el registro de las implementaciones de NSX en la cloud pública y examinaremos los registros en vRealize Log Insight. El primer paso será establecer el destino de syslog en la puerta de enlace. El segundo paso consistirá en activar el registro de los agentes. Estos pasos se realizarán para ambas clouds públicas implementadas.


 

Sesión de PuTTY nueva

 

  1. Haga clic en el icono de PuTTY en el lado superior izquierdo para abrir una sesión PuTTY.
  2. Seleccione New Session.

 

 

Localización de NSX Manager

 

  1. Seleccione nsxmgr-01a.corp.local.
  2. Haga clic en Load.
  3. Haga clic en Open.

 

 

Introducir la contraseña

 

  1. Escriba VMware1! como contraseña.

 

 

Escribir «On ?»

 

  1. Escriba on ? para mostrar una lista y obtener la información sobre la primera puerta de enlace.

 

 

Copiar y pegar el UUID del primer PCG en el campo «on»

 

  1. Resalte el identificador único universal (UUID) de la primera entrada de Public Cloud Gateway (PCG) y cópielo.
  2. Haga clic con el botón derecho en la ventana de PuTTY y péguelo junto a «on».
  3. Pulse la barra espaciadora para añadir un espacio al final (no pulse Entrar).

 

 

Completar el comando

 

  1. Para completar el comando, pegue el siguiente comando al final y pulse Entrar.
exec set logging-server 192.168.110.24 proto udp level info messageid FIREWALL-PKTLOG

 

 

Registro configurado

 

Se ha configurado el registro en la primera puerta de enlace.

 

 

Escribir «On ?»

 

  1. Escriba on ? para mostrar una lista y obtener la información sobre la primera puerta de enlace.

 

 

Copiar y pegar el UUID del primer PCG en el campo «on»

 

  1. Resalte el UUID de la primera entrada de PCG y cópielo.
  2. Haga clic con el botón derecho en la ventana de PuTTY y péguelo junto a «on».
  3. Pulse la barra espaciadora para añadir un espacio al final (no pulse Entrar).

 

 

Completar el comando

 

  1. Para completar el comando, pegue el siguiente comando al final y pulse Entrar.
exec set gw-controller vm-log-forwarding enabled

 

 

Registro del agente configurado

 

Se ha configurado el registro del agente conectado a la primera puerta de enlace.

 

 

Escribir «On ?»

 

  1. Escriba on ? para mostrar una lista y obtener la información sobre la segunda puerta de enlace.

 

 

Copiar y pegar el UUID del segundo PCG en el campo «on»

 

  1. Resalte el UUID de la primera entrada de PCG y cópielo.
  2. Haga clic con el botón derecho en la ventana de PuTTY y péguelo junto a «on».
  3. Pulse la barra espaciadora para añadir un espacio al final (no pulse Entrar).

 

 

Completar el comando

 

  1. Para completar el comando, pegue el siguiente comando al final y pulse Entrar.
exec set logging-server 192.168.110.24 proto udp level info messageid FIREWALL-PKTLOG

 

 

Registro configurado

 

Se ha configurado el registro en la segunda puerta de enlace.

 

 

Escribir «On ?»

 

  1. Escriba on ? para mostrar una lista y obtener la información sobre la segunda puerta de enlace.

 

 

Copiar y pegar el UUID del segundo PCG en el campo «on»

 

  1. Resalte el UUID de la primera entrada de PCG y cópielo.
  2. Haga clic con el botón derecho en la ventana de PuTTY y péguelo junto a «on».
  3. Pulse la barra espaciadora para añadir un espacio al final (no pulse Entrar).

 

 

Completar el comando

 

  1. Para completar el comando, pegue el siguiente comando al final y pulse Entrar.
exec set gw-controller vm-log-forwarding enabled

 

 

Registro del agente configurado

 

Se ha configurado el registro del agente en la segunda puerta de enlace.

 

 

Abrir las pestañas de la aplicación en el navegador

 

  1. Haga clic en las pestañas de la aplicación abiertas en el navegador y actualice ambas páginas para generar tráfico (utilice los enlaces URL de la página de información de la cuenta si las pestañas están cerradas).

 

 

Apertura de una pestaña nueva en el navegador

 

  1. Haga clic en Nueva pestaña en Google Chrome para abrir una nueva pestaña del navegador.

 

 

Hacer clic en el marcador de Log Insight

 

  1. Haga clic en el marcador de Log Insight.

 

 

Inicio de sesión en Log Insight

 

  1. Escriba admin en el campo «User name».
  2. Escriba VMware1! como contraseña.
  3. Haga clic en Login.

 

 

Log Insight

 

Se muestra la página de vista general.

 

 

Seleccionar el tráfico del cortafuegos distribuido de NSX

 

  1. Haga clic en VMware - NSX-T.
  2. Haga clic en NSX - Distributed Firewall - Traffic.

 

 

Tráfico del cortafuegos distribuido

 

Se muestran los principales puertos, destinos y fuentes del cortafuegos, incluidas las interfaces web.

Nota: Si no se muestran datos, genere más tráfico desde las páginas web de la aplicación o cambie «Latest 5 minutes of data» a «Latest hour of data».

 

 

Análisis interactivo

 

  1. Coloque el cursor sobre «Top Firewall Sources» y haga clic en el icono de análisis interactivo.

 

 

Añadir filtro

 

  1. Haga clic en Add Filter.

 

 

Añadir filtro para el agente de NSX

 

  1. Escriba vmw_nsxt_subcomp.
  2. Seleccione contains.
  3. Escriba nsx-agent.
  4. Haga clic en la lupa.

 

 

Entrada sobre el agente

 

Vemos las entradas relacionadas con los agentes de NSX.

 

Conclusión


Aquí concluyen el módulo 4 y el laboratorio práctico. La instalación de los componentes de NSX en Amazon Web Services y Microsoft Azure y la aplicación de políticas de seguridad coherentes a las instancias de la aplicación nos ha permitido proteger con éxito la aplicación que se implementó en nuestro entorno de cloud híbrida. También hemos estudiado las opciones relacionadas con la visibilidad y los registros.


 

Enhorabuena, ha finalizado el módulo 4 y el laboratorio práctico.

Siga las instrucciones que encontrará al final de la lección para finalizar el laboratorio. También puede continuar con cualquier otro módulo que sea de su interés.

 

 

Cómo finalizar el laboratorio

 

Para finalizar el laboratorio, haga clic en el botón FINALIZAR.  

 

Finalización

Gracias por participar en los Hands-on Labs de VMware. No deje de visitar http://hol.vmware.com/ para continuar con su experiencia de laboratorio en línea.

Código SKU del laboratorio: HOL-1922-01-NET

Versión: 20190313-170807