Hands-On Lab di VMware - HOL-1922-01-NET


Presentazione del laboratorio HOL-1922-01-NET - VMware NSX Cloud: Getting Started

Istruzioni per il laboratorio


Nota: per seguire l'intero laboratorio serviranno più di 120 minuti. Nel tempo a tua disposizione potrai presumibilmente completare solo 2-3 moduli.  I moduli non sono interdipendenti, pertanto puoi cominciare da quello che preferisci e procedere nell'ordine che ritieni opportuno. Per accedere ai vari moduli puoi usare il sommario.

Il sommario è disponibile nell'angolo in alto a destra del manuale del laboratorio.

VMware NSX Cloud consente ai clienti di astrarre e gestire le policy di rete e sicurezza negli ambienti di cloud pubblico come Amazon Web Services (AWS) e Microsoft Azure.

Considerando uno scenario in cui un'applicazione viene distribuita in AWS e Azure con un livello minimo di sicurezza, vedremo come VMware NSX Cloud assicura la coerenza operativa tramite l'integrazione di un ambiente cloud esistente nella gestione NSX e la microsegmentazione dei carichi di lavoro nativi eseguiti in AWS e Azure.

Elenco dei moduli del laboratorio:

 Responsabili del laboratorio:

  • Brian Heili, Staff Systems Engineer, USA
  • Puneet Chawla, Solutions Architect, USA

 

Puoi scaricare questo manuale dal sito dedicato ai documenti per gli Hands-on Lab dal seguente indirizzo:

http://docs.hol.vmware.com 

Questo laboratorio può essere disponibile in altre lingue.  Per impostare la tua preferenza relativa alla lingua e visualizzare il manuale localizzato per il laboratorio, puoi seguire le istruzioni fornite nel seguente documento:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Clausola di esclusione di responsabilità

Questa sessione può contenere riferimenti a funzionalità di soluzioni ancora in fase di sviluppo.

Questa sessione/panoramica delle nuove tecnologie non sottintende alcun obbligo per VMware di rendere disponibili tali funzionalità in alcuna delle soluzioni disponibili.

Le funzionalità sono soggette a modifiche e non devono essere incluse in contratti, ordini di acquisto o proposte commerciali di alcun tipo.

La fattibilità tecnica e la domanda del mercato influenzeranno le decisioni finali relative alla fornitura delle varie soluzioni.

I prezzi e i pacchetti di qualsiasi nuova tecnologia o funzionalità descritta o presentata in questo documento non sono ancora stati determinati.

 

 

Posizione della console principale

 

  1. L'area nel riquadro ROSSO contiene la console principale.  Il manuale del laboratorio è disponibile nella scheda a destra della console principale.
  2. Alcuni laboratori potrebbero offrire console aggiuntive in schede separate nella parte in alto a sinistra. Se necessario, verrai invitato ad aprire un'altra console specifica.
  3. All'inizio del laboratorio, il timer segnerà 90 minuti.  Non si potrà eseguire il salvataggio del laboratorio.  Tutto il lavoro dovrà essere portato a termine durante la sessione.  Puoi comunque fare clic su EXTEND (Estendi) per aumentare il tempo a disposizione.  Se stai partecipando a un evento VMware, puoi estendere la durata del laboratorio per due volte, fino a un totale di 30 minuti.  Ogni clic garantisce ulteriori 15 minuti.  Se non stai partecipando a un evento VMware, puoi estendere la durata del laboratorio fino a 9 ore e 30 minuti totali. Ogni clic garantisce un'ulteriore ora.

 

 

Metodi alternativi per l'immissione dei dati da tastiera

In questo modulo ti verrà richiesto di inserire del testo nella console principale. Oltre alla digitazione diretta, esistono altri due metodi particolarmente utili per inserire dati complessi.

 

 

Selezione e trascinamento dei contenuti del manuale del laboratorio nella finestra della console attiva

 
 

Puoi anche selezionare e trascinare il testo e i comandi dell'interfaccia della riga di comando (CLI) direttamente dal manuale del laboratorio nella finestra attiva della console principale.  

 

 

Accesso alla tastiera internazionale online

 

Puoi anche utilizzare la tastiera internazionale online disponibile nella console principale.

  1. Fai clic sull'icona della tastiera presente nella barra delle applicazioni Avvio veloce di Windows.

 

 

Singolo clic nella finestra della console attiva

 

In questo esempio, utilizzerai la tastiera online per inserire il simbolo @ usato negli indirizzi e-mail. Nelle tastiere USA, il simbolo @ si ottiene premendo i tasti Shift+2 (MAIUSC+2).

  1. Fai clic una volta nella finestra della console attiva.
  2. Fai clic sul tasto Shift.

 

 

Clic sul tasto @

 

  1. Fai clic sul tasto @.

Osserva il simbolo @ inserito nella finestra della console attiva.

 

 

Prompt di attivazione o filigrana

 

Quando avvii per la prima volta il laboratorio, sul desktop viene visualizzata una filigrana a indicare che Windows non è attivato.  

Uno dei vantaggi principali della virtualizzazione è che le macchine virtuali possono essere spostate ed eseguite su qualsiasi piattaforma.  Gli Hands-on Lab sfruttano questa caratteristica e pertanto possono essere eseguiti su più data center. Tuttavia, questi data center potrebbero non essere dotati degli stessi processori, causando così l'avvio di un controllo di attivazione Microsoft tramite Internet.

È comunque garantita la piena compliance di VMware e degli Hands-on Lab ai requisiti di licenza Microsoft.  Il laboratorio in uso è un pod completamente indipendente e non prevede l'accesso completo a Internet, necessario affinché Windows possa verificare l'attivazione.  Senza l'accesso completo a Internet, questo processo automatizzato non va a buon fine e viene quindi visualizzata questa filigrana.

Questo problema estetico non ha alcun effetto sul laboratorio.  

 

 

Informazioni nella parte inferiore dello schermo

 

Verifica che siano state completate tutte le routine di avvio e che il laboratorio sia pronto per l'esecuzione. Se compaiono indicazioni diverse da Ready (Pronto), attendi alcuni minuti.  Se dopo cinque minuti lo stato del laboratorio non è ancora passato a Ready, richiedi assistenza.

 

Modulo 1 - Introduzione agli ambienti ibridi on-premise e di cloud pubblico (30 minuti)

Introduzione


Nel nostro data center on-premise sono stati distribuiti i componenti del pannello di gestione e controllo di NSX, nonché alcune parti dell'applicazione. Il livello web front-end dell'applicazione è stato distribuito sia su AWS sia su Azure. Esamineremo l'inventario dei componenti.


Panoramica della soluzione


Questo laboratorio include numerosi elementi preconfigurati necessari per le prossime lezioni. Esamineremo brevemente la soluzione configurata e analizzeremo la funzionalità dell'ambiente configurato per il laboratorio.

Verranno analizzate le seguenti configurazioni:


 

Panoramica della soluzione

Quando le aziende spostano i carichi di lavoro sui provider di cloud pubblici richiedono una soluzione per estendere le proprie policy di rete e sicurezza dell'SDDC a questi ambienti pubblici. Questa estensione consente di eseguire i carichi di lavoro nei cloud pubblici con gli stessi controlli nativi esistenti nel data center on-premise. VMware NSX Cloud offre alle aziende la possibilità di estendere la sicurezza, la compliance e la governance di livello enterprise.

NSX fornisce soluzioni per gestire le problematiche collegate alle reti e alla sicurezza affrontate dalle aziende negli ambienti di cloud pubblico:

 

 

Componenti della soluzione

 

La soluzione è formata dai seguenti componenti che analizzeremo singolarmente nelle prossime lezioni:

 

 

Topologia del laboratorio

 

L'immagine illustra l'ambiente distribuito e usato durante le lezioni di questo laboratorio. Nello scenario analizzato in questo ambiente, uno sviluppatore distribuisce un'applicazione con i relativi componenti nel data center on-premise e su Microsoft Azure e Amazon Web Services (AWS). Le policy di sicurezza del deployment dell'applicazione non corrispondono agli standard aziendali. Pertanto sarà necessario utilizzare NSX per applicare policy coerenti all'ambiente dell'applicazione.

Il deployment di VMware NSX Cloud richiede uno o più ambienti di cloud pubblico. I componenti del pannello di gestione (NSX Manager e Cloud Services Manager) e del pannello di controllo di NSX (NSX Controller) sono stati preconfigurati nel data center on-premise.

 

Convalida del laboratorio


Questo laboratorio include numerosi elementi preconfigurati necessari per le prossime lezioni. Esamineremo brevemente la soluzione configurata e analizzeremo la funzionalità dell'ambiente configurato per il laboratorio.

Verranno analizzate le seguenti configurazioni:


 

Lo stato del laboratorio deve essere Ready

 

Verifica che siano state completate tutte le routine di avvio e che il laboratorio sia pronto per l'esecuzione. Se compaiono indicazioni diverse da Ready, attendi alcuni minuti.  Se dopo cinque minuti lo stato del laboratorio non è ancora passato a Ready, richiedi assistenza.

Se lo stato non è Ready e si tenta di procedere, il laboratorio non funzionerà.

 

 

Pagina dello stato di provisioning del laboratorio

Al momento è in corso il completamento del provisioning dei componenti del laboratorio per AWS e Azure. Viene visualizzata una pagina web che mostra lo stato delle risorse del laboratorio di cui è in corso il provisioning su AWS e Azure per l'avvio del laboratorio.

NOTA: le risorse distribuite su Amazon Web Services e Microsoft Azure sono accessibili esclusivamente dalla console principale dell'ambiente dell'HOL.

Il provisioning del laboratorio richiede 10-15 minuti.

 

 

Apertura di Google Chrome

 

  1. Fai clic sull'icona di Chrome presente nella barra delle applicazioni Avvio veloce di Windows.

 

 

Home page delle informazioni sull'account

 

La pagina delle informazioni sull'account e sullo stato del provisioning del laboratorio è stata impostata come home page di Chrome.

  1. Digita l'indirizzo e-mail che hai utilizzato per iscriverti al laboratorio.
  2. Digita VMware1! come password.
  3. Fai clic su Login.

 

 

Fine del provisioning del laboratorio

 

Al completamento del processo di provisioning, verrà visualizzata la pagina delle informazioni sull'account. Il processo richiede 10-15 minuti. Ritorneremo spesso in questa pagina nel corso dei moduli del laboratorio.

 

Connettività VPN ai cloud pubblici


È in corso la connessione VPN a AWS e Azure per questo laboratorio. Convalideremo l'accesso al nostro front-end web tramite un semplice ping.

Nota: se uno dei test ping dà esito negativo, richiedi assistenza prima di procedere con il laboratorio.


 

Apertura del prompt dei comandi

 

  1. Fai clic sull'icona del prompt dei comandi presente nella barra delle applicazioni Avvio veloce di Windows.

 

 

Esecuzione del ping dell'istanza web Azure

 

  1. Digita il seguente comando per eseguire il ping dell'istanza front-end web Azure per verificarne la connettività:
ping 172.18.10.4

 

 

Connessione VPN stabilita

 

La ricezione delle risposte indica che è stata stabilita la connessione con Azure.

 

 

Esecuzione del ping dell'istanza web AWS

 

  1. Digita il seguente comando per eseguire il ping dell'istanza front-end web AWS per verificarne la connettività:
ping 172.15.10.4

 

 

Connessione AWS stabilita

 

La ricezione delle risposte indica che è stata stabilita la connessione con AWS.

 

Panoramica dell'ambiente on-premise


L'ambiente del data center on-premise contiene i componenti del pannello di gestione e controllo di NSX, nonché le varie VM per l'applicazione di cui configureremo la protezione in questo laboratorio.


 

Topologia on-premise

 

Il nostro ambiente vPOD dell'HOL funge da ambiente del data center on-premise. Abbiamo distribuito i componenti del pannello di gestione e controllo di NSX. Inoltre, abbiamo distribuito le 4 VM dell'applicazione e del database che supporteranno le VM web front-end in esecuzione negli ambienti AWS e Azure.

Note: nell'ambito di questo laboratorio, il deployment di NSX è stato ridotto al minimo al fine di ridurne i tempi di avvio. Tale modello di deployment non è né consigliato né supportato.

 

 

Apertura di una nuova scheda del browser

 

  1. Fai clic sulla scheda vuota in Google Chrome per aprire una nuova scheda del browser.

 

 

Apertura di vCenter

 

  1. Fai clic sul segnalibro vCenter.

 

 

Login a vCenter

 

  1. Digita administrator@corp.local come nome utente.
  2. Digita VMware1! come password.
  3. Fai clic su Login.

 

 

Espansione dell'inventario

 

  1. Fai clic per espandere RegionA01.
  2. Fai clic per espandere RegionA01-COMP01.

 

 

Inventario delle VM

 

Possiamo vedere che le VM del pannello di gestione e controllo di NSX e le quattro VM dell'applicazione sono in esecuzione nel data center on-premise.

  1. Le tre VM del pannello di gestione e controllo di NSX sono state distribuite.
  2. Le quattro VM dell'applicazione on-premise sono state distribuite.

Nota: la funzionalità delle VM di NSX sarà analizzata nel modulo 3.

 

Panoramica dell'ambiente Microsoft Azure


Esamineremo i componenti dell'applicazione Microsoft Azure che sono stati configurati nell'ambiente del laboratorio.


 

Rete virtuale di elaborazione

 

Nella rete virtuale di elaborazione di Azure, sono stati configurati i componenti seguenti:

Servizi Azure

VM del livello web dell'applicazione

La distribuzione di NSX Cloud Gateway sarà eseguita nell'ambito degli esercizi del laboratorio.

 

Accesso alla console di gestione di Microsoft Azure


Una macchina virtuale dell'applicazione front-end web per questo laboratorio è in esecuzione su Azure. Nel corso del laboratorio, dovremo accedere alla console di gestione di Azure per verificare l'inventario e le configurazioni. In questa lezione stabiliremo l'accesso alla console di gestione di Azure.


 

Accesso alla console di gestione di Azure

 

  1. Fai clic sulla scheda Account Info (Informazioni sull'account) aperta in precedenza. Se la scheda è stata chiusa, aprine un'altra e fai clic sul segnalibro Account Info.

 

 

Individuazione dell'URL della console di gestione di Azure.

 

  1. Fai clic su Console URL (URL della console) per aprire una nuova scheda del browser ed effettuare la connessione alla console di gestione di Azure.

 

 

Immissione dell'indirizzo e-mail Azure

 

  1. Copia o digita l'indirizzo e-mail dell'account Azure (nome utente) dalla pagina delle informazioni sull'account.
  2. Fai clic su Next (Avanti).

 

 

 

Immissione della password Azure

 

  1. Copia o digita la password dell'account Azure dalla pagina delle informazioni sull'account.
  2. Fai clic su Sign In (Accedi).

 

 

 

Non restare collegato

 

  1. Se viene visualizzata questa schermata, fai clic su No.

 

 

Console di gestione di Azure

 

Verrà visualizzata la pagina della console di gestione di Azure.

 

Analisi dell'inventario di Microsoft Azure


In questa lezione esamineremo i componenti di Microsoft Azure che fanno parte della soluzione:

Nota: in alcune schermate dell'inventario di Azure potrebbero essere visualizzati elementi diversi (eliminati, terminati, scollegati, ecc.) da quelli riportati nelle screenshot. Si tratta di elementi del precedente deployment del laboratorio che sono stati rimossi, ma non ancora cancellati dalla UI di Azure.


 

Analisi delle reti virtuali configurate

 

  1. Fai clic su Virtual networks (Reti virtuali) sul lato sinistro della console di gestione di Azure.

 

 

Analisi delle reti virtuali configurate

 

Nell'area di Azure dove è stata distribuita la macchina virtuale dell'applicazione è disponibile un'unica rete virtuale configurata.

 

 

Selezione del menu Virtual Machines (Macchine virtuali)

 

  1. Fai clic su Virtual machines sul lato sinistro della console di Azure.

 

 

Analisi delle VM dell'applicazione Azure

 

Per questo laboratorio vengono eseguite tre VM:

 

 

Selezione della VM web

 

  1. Fai clic sulla macchina virtuale hol1922-ps-web01.

 

 

Selezione del menu Networking (Rete)

 

  1. Fai clic su Networking.

 

 

Gruppi di sicurezza della rete configurati

 

È stato configurato un solo gruppo di sicurezza della rete. Nel modulo 2 esamineremo in maggior dettaglio le regole configurate.

 

Panoramica dell'ambiente Amazon Web Services


Esamineremo i componenti dell'applicazione Amazon Web Services che sono stati configurati nell'ambiente del laboratorio.


 

VPC di elaborazione

 

Nel VPC di elaborazione di AWS, sono stati configurati i componenti seguenti:

Servizi AWS

Istanza del livello web dell'applicazione

La distribuzione di NSX Cloud Gateway sarà eseguita nell'ambito degli esercizi del laboratorio.

 

Accesso alla console di gestione di Amazon Web Services


Un'istanza dell'applicazione front-end web per questo laboratorio è in esecuzione su Amazon Web Services. Nel corso del laboratorio, dovremo accedere alla console di gestione di AWS per verificare l'inventario e le configurazioni. In questa lezione stabiliremo l'accesso alla console di gestione di AWS.


 

Accesso alla console di gestione di AWS

 

  1. Fai clic sulla scheda Account Information aperta in precedenza. Se la scheda è stata chiusa, aprine un'altra e fai clic sul segnalibro Account Info.

 

 

Individuazione dell'URL della console di gestione di AWS.

 

  1. Fai clic su Console URL per aprire una nuova scheda del browser ed effettuare la connessione alla console di gestione di AWS.

 

 

Accesso alla console di AWS

 

  1. Digita vmware_hol_user come nome utente IAM. Nota: l'account sarà diverso per i vari ambienti del laboratorio.
  2. Digita o copia la password dalla pagina delle informazioni sull'account.
  3. Fai clic sul pulsante Sign In.

 

 

 

Console di gestione di AWS

 

Verrà visualizzata la pagina della console di gestione di AWS.

 

 

Ingrandimento del browser

 

Per migliorare la leggibilità delle varie schermate del laboratorio, si consiglia di modificare l'impostazione Zoom in Google Chrome configurandola almeno su 90%.

  1. Fai clic sui tre punti nell'angolo superiore destro del browser per aprire il menu a discesa.
  2. Fai clic su '-' accanto a Zoom per impostare il valore su 90%.

 

 

Selezione dell'area

 

Verifica che la console stia visualizzando le risorse dell'area North California (California del Nord). Se è stata selezionata un'area diversa, le risorse del laboratorio non verranno visualizzate.

  1. Fai clic sul nome dell'area a sinistra del menu Support (Supporto) nell'angolo superiore destro.
  2. Seleziona US West (N. California).

 

Analisi dell'inventario di Amazon Web Services


In questa lezione esamineremo i componenti di Amazon Web Services e NSX che fanno parte della soluzione:

Nota: in alcune schermate dell'inventario di AWS potrebbero essere visualizzati elementi diversi (eliminati, terminati, scollegati, ecc.) da quelli riportati nelle screenshot. Si tratta di elementi del precedente deployment del laboratorio che sono stati rimossi, ma non ancora cancellati dalla UI di AWS.


 

Analisi dei Virtual Private Cloud configurati

 

  1. Fai clic su Services (Servizi) nell'angolo superiore sinistro della console di gestione di AWS.
  2. Fai clic su VPC in Network & Content Delivery (Rete e distribuzione dei contenuti).

 

 

Selezione dei VPC

 

  1. Fai clic su Your VPCs (Propri VPC) in VPC Dashboard (Dashboard dei VPC) a sinistra.

 

 

Analisi dei VPC configurati

 

Nell'area di AWS dove è stata distribuita l'istanza dell'applicazione è presente un unico VPC configurato. Gli ID dei VPC sono diversi per ogni pod del laboratorio.

 

 

Selezione del menu Security Groups (Gruppi di sicurezza)

 

  1. Fai clic su Security Groups a sinistra, in Security (Sicurezza).

 

 

Analisi dei gruppi di sicurezza configurati

 

Sono stati configurati dei gruppi di sicurezza per i VPC di elaborazione al fine di consentire alle istanze EC2 di comunicare all'interno e all'esterno del VPC.  Nel modulo 2 esamineremo in maggior dettaglio le regole configurate.

 

 

Selezione del servizio EC2

 

  1. Fai clic su Services nell'angolo superiore sinistro della console di AWS.
  2. Fai clic su EC2 in Compute (Elaborazione).

 

 

Selezione dell'impostazione Instances (Istanze)

 

  1. Fai clic su Instances in EC2 Dashboard (Dashboard EC2) a sinistra.

 

 

Notifica delle modifiche dell'interfaccia utente

 

  1. Se viene visualizzata questa notifica, fai clic su X per chiuderla.

 

 

Espansione della colonna

 

  1. Fai clic e trascina la maniglia della colonna per espandere la colonna del nome.

 

 

Analisi delle istanze EC2 di NSX

 

Per questo laboratorio vengono eseguite tre istanze EC2:

 

Conclusione


Il modulo 1 si conclude qui. Dopo aver eseguito l'accesso alla console di gestione di ogni posizione, abbiamo analizzato i componenti della soluzione che sono stati distribuiti nell'ambiente multi-cloud per il supporto dell'applicazione:


 

Congratulazioni, hai completato il modulo 1

Passa al modulo 2 per la verifica della funzionalità dell'applicazione. Puoi passare anche a un modulo che ti interessa di più.

 

Modulo 2 - Verifica della funzionalità dell'applicazione (15 minuti)

Introduzione


Nello scenario del laboratorio, un'applicazione multi-service è stata distribuita da uno sviluppatore su Amazon Web Services e Microsoft Azure. La maggior parte dei servizi dell'applicazione è stata distribuita nel data center on-premise. Un'altra istanza è stata distribuita sia su AWS che su Azure per il front-end web.


 

Schema dell'applicazione

 

La nostra applicazione è costituita da diversi servizi che vengono distribuiti nell'infrastruttura on-premise e su Amazon Web Services e Microsoft Azure.

Un'istanza del servizio front-end sarà distribuita su AWS e Azure. I rimanenti servizi di API, database, Redis e ADSB saranno eseguiti nel nostro data base on-premise. Gli aggiornamenti sulle posizioni degli aerei vengono recuperati da Internet e inseriti nel data center on-premise.

 

Analisi delle policy di sicurezza


Analizzeremo le policy di sicurezza applicate al front-end web dell'applicazione al momento del deployment da parte dello sviluppatore. Poiché NSX non è stato distribuito, vengono applicate le policy di sicurezza configurate in Amazon Web Services e Microsoft Azure.

Alle macchine virtuali dell'applicazione on-premise non è stata applicata alcuna policy di sicurezza. Esse verranno protette durante il deployment e la configurazione di NSX.


 

Apertura di Google Chrome

 

  1. Fai clic sull'icona di Chrome presente nella barra delle applicazioni Avvio veloce di Windows oppure apri Chrome se è già in esecuzione.

 

 

Home page delle informazioni sull'account

 

La pagina delle informazioni sull'account e sullo stato del provisioning del laboratorio è stata impostata come home page di Chrome. Se hai completato la lezione precedente, puoi fare clic sulla scheda delle informazioni sull'account aperta e continuare con il passaggio successivo.

  1. Digita l'indirizzo e-mail che hai utilizzato per iscriverti al laboratorio.
  2. Digita VMware1! come password.
  3. Fai clic su Login.

 

 

Fine del provisioning del laboratorio

 

Al completamento del processo di provisioning, verrà visualizzata la pagina delle informazioni sull'account. Il processo richiede 10-15 minuti. Ritorneremo spesso in questa pagina nel corso dei moduli del laboratorio.

 

 

Individuazione dell'URL della console di gestione di AWS.

 

  1. Fai clic su Console URL per aprire una nuova scheda del browser ed effettuare la connessione alla console di gestione di AWS (oppure fai clic sulla scheda di AWS aperta in Chrome se hai già effettuato l'accesso).

 

 

Accesso alla console di AWS

 

  1. Digita vmware_hol_user come nome utente IAM.
  2. Digita o copia la password dalla pagina delle informazioni sull'account.
  3. Fai clic sul pulsante Sign In.

 

 

 

Ingrandimento del browser

 

Per migliorare la leggibilità delle varie schermate del laboratorio, si consiglia di modificare l'impostazione Zoom in Google Chrome configurandola almeno su 90%.

  1. Fai clic sui tre punti nell'angolo superiore destro del browser per aprire il menu a discesa.
  2. Fai clic su '-' accanto a Zoom per impostare il valore su 90%.

 

 

Selezione dell'area

 

Verifica che la console stia visualizzando le risorse dell'area North California (California del Nord).

  1. Fai clic sul nome dell'area a sinistra del menu Support nell'angolo superiore destro.
  2. Seleziona US West (N. California).

 

 

Accesso alla dashboard EC2

 

  1. Fai clic su Services nell'angolo superiore sinistro della console di AWS.
  2. Fai clic su EC2 in Compute.

 

 

Accesso alle istanze distribuite

 

  1. Fai clic su Instances in EC2 Dashboard a sinistra.

 

 

Notifica delle modifiche dell'interfaccia utente

 

  1. Se viene visualizzata questa notifica, fai clic su X per chiuderla.

 

 

Espansione della colonna

 

  1. Fai clic e trascina la maniglia della colonna per espandere la colonna del nome.

 

 

Selezione dell'istanza hol1922-ps-web01

 

  1. Seleziona l'istanza hol1922-ps-web-01.

 

 

Apertura delle regole Inbound (Traffico in entrata)

 

  1. Fai clic su view inbound rules (Visualizza regole traffico in entrata) nella parte inferiore della schermata della scheda Description (Descrizione) dell'istanza. Questa istanza è stata configurata con un gruppo di sicurezza di AWS per il VPC di elaborazione.

 

 

Analisi delle policy di sicurezza AWS configurate

 

Viene visualizzato un elenco delle policy applicabili a questa istanza. È consentito il traffico web e SSH dalla console principale dell'HOL (gli intervalli degli IP di origine possono variare). È consentito qualsiasi traffico nell'ambiente VPC di AWS.

 

 

Apertura della scheda delle informazioni sull'account

 

  1. Fai clic sulla scheda Account Info in Google Chrome.

 

 

Individuazione dell'URL della console di gestione di Azure.

 

  1. Fai clic su Console URL per aprire una nuova scheda del browser ed effettuare la connessione alla console di gestione di Azure (oppure fai clic sulla scheda di Azure aperta in Chrome se hai già effettuato l'accesso).

 

 

Immissione dell'indirizzo e-mail Azure

 

  1. Copia o digita l'indirizzo e-mail dell'account Azure dalla pagina delle informazioni sull'account.
  2. Fai clic su Next.

 

 

 

Immissione della password Azure

 

  1. Copia o digita la password dell'account Azure dalla pagina delle informazioni sull'account.
  2. Fai clic su Sign In.

 

 

 

Non restare collegato

 

  1. Se viene visualizzata questa schermata, fai clic su No.

 

 

Console di gestione di Azure

 

Verrà visualizzata la pagina della console di gestione di Azure.

 

 

Selezione del menu Virtual Machines

 

  1. Fai clic su Virtual machines sul lato sinistro della console di Azure.

 

 

Selezione della VM web

 

  1. Fai clic sulla macchina virtuale hol1922-ps-web01.

 

 

Selezione del menu Networking (Rete)

 

  1. Fai clic su Networking.

 

 

Gruppi di sicurezza della rete configurati

 

Viene visualizzato un elenco delle policy applicabili a questa macchina virtuale. È consentito il traffico web e SSH dalla console principale dell'HOL (gli intervalli degli IP di origine possono variare). È consento qualsiasi traffico tra le macchine virtuali dell'applicazione nell'ambiente della rete virtuale.

 

Convalida dell'applicazione Azure


Un front-end web dell'applicazione è stato distribuito da uno sviluppatore in Microsoft Azure. Nelle prossime lezioni utilizzeremo NSX per proteggere questa applicazione. Verificheremo la funzionalità dell'applicazione prima del deployment NSX.


 

Accesso alle informazioni sull'account

 

  1. Fai clic sulla scheda Account Information aperta in precedenza. Se la scheda è stata chiusa, aprine un'altra e fai clic sul segnalibro Account Info.

 

 

Individuazione delle informazioni sull'istanza web

 

  1. Fai clic sul collegamento Web Frontend Instance Public URL (URL pubblico dell'istanza front-end web) di Azure per aprire una nuova scheda del browser ed effettuare la connessione all'applicazione.

 

 

Verifica del corretto funzionamento dell'applicazione

 

Verifica che l'applicazione funzioni correttamente. Viene riportato l'indirizzo IP del server che visualizza la pagina. Il front-end web funziona e possiamo testare i restanti componenti dell'applicazione:

  1. Fai clic su App Health.

 

 

Azure App Health

 

La comunicazione tra Azure e il data center on-premise avviene correttamente per tutti i componenti dell'applicazione.

 

Convalida dell'applicazione AWS


Un front-end web dell'applicazione è stato distribuito da uno sviluppatore in Amazon Web Services. Nelle prossime lezioni utilizzeremo NSX per proteggere questa applicazione. Verificheremo la funzionalità dell'applicazione prima del deployment NSX.


 

Accesso alle informazioni sull'account

 

  1. Fai clic sulla scheda delle Account Information aperta in precedenza. Se la scheda è stata chiusa, aprine un'altra e fai clic sul segnalibro Account Info.

 

 

Individuazione delle informazioni sull'istanza web

 

  1. Fai clic sul collegamento Web Frontend Instance Public URL di AWS per aprire una nuova scheda del browser ed effettuare la connessione all'applicazione.

 

 

Verifica del corretto funzionamento dell'applicazione

 

Verifica che l'applicazione funzioni correttamente. Viene riportato l'indirizzo IP del server che visualizza la pagina. Il front-end web funziona e possiamo testare i restanti componenti dell'applicazione:

  1. Fai clic su App Health.

 

 

Stato dell'app AWS

 

La comunicazione tra AWS e il data center on-premise avviene correttamente per tutti i componenti dell'applicazione.

 

Scansione delle porte degli ambienti dell'applicazione


Al fine di simulare un potenziale hacker, è stato installato nmap sulla console principale per eseguire la scansione delle porte dell'ambiente dell'applicazione nel data center on-premise e su Amazon Web Services e Microsoft Azure. Eseguiremo la scansione degli indirizzi IP dei server web front-end dell'applicazione e delle macchine virtuali on-premise, quindi analizzeremo le porte aperte.


 

Apertura di nmap

 

  1. Fai clic sull'icona di Zenmap nmap nella barra delle applicazioni.

 

 

Esecuzione della scansione nmap dell'intervallo di sottoreti IP dell'applicazione on-premise

 

  1. Copia o digita il seguente comando nella casella Command (prima cancella qualsiasi comando presente nella casella).
nmap -p 10-10000 -T5 -Pn --open 192.168.120.11-14
  1. Fai clic su Scan (Scansione) per avviare la scansione.

Per accelerare e semplificare la scansione, il programma di scansione nmap utilizza le seguenti opzioni:

  • -p 10-10000 per la scansione delle prime 10.000 porte
  • -Pn per disattivare i controlli ping
  • -T5 per attivare il template di più rapida esecuzione
  • --open per visualizzare solo le porte aperte o potenzialmente aperte
  • 192.168.120.11-14 per eseguire la scansione solo di un breve intervallo di indirizzi IP

 

 

Risultati della scansione delle VM on-premise

 

Possiamo vedere che alcune VM presentano delle porte aperte a qualsiasi accesso, mentre per tutte le VM è stato abilitato il protocollo SHH (porta 22):

  • VM ps-api01a VM (.11) con porta 80 aperta.
  • VM ps-db01a VM (.12) con porta 3306 aperta.
  • VM ps-redis01a VM (.13) con porta 6379 aperta.

Ciò significa anche che tutte le macchine virtuali o le istanze hanno accesso diretto al database e al servizio Redis. Questo movimento laterale è pericoloso ed espone l'ambiente a potenziali attacchi o abusi.

 

 

Esecuzione della scansione nmap dei server web

 

  1. Digita il seguente comando nella casella Command (presta attenzione allo spazio tra gli indirizzi IP).
nmap -F -Pn -T5 --open 172.18.10.4 172.15.10.4
  1. Fai clic su Scan per avviare la scansione.

Per accelerare e semplificare la scansione, il programma di scansione nmap utilizza le seguenti opzioni:

  • -F per eseguire una scansione rapida di un numero ridotto di porte
  • -Pn per disattivare i controlli ping
  • -T5 per attivare il template di più rapida esecuzione
  • --open per visualizzare solo le porte aperte o potenzialmente aperte
  • 172.18.10.4 172.15.10.4 per eseguire la scansione solo di 2 indirizzi IP

 

 

Risultati della scansione dei server web

 

La porta 80 di entrambi i server web in AWS e Azure è aperta a qualsiasi accesso, come anche la porta 22 (SSH).

 

Conclusione


Il modulo 2 si conclude qui. Abbiamo verificato il funzionamento dell'applicazione nel data center on-premise e su AWS e Azure. Esaminando le policy di sicurezza applicate, abbiamo scoperto che l'applicazione presenta dei componenti esposti a un accesso non necessario e a potenziali attacchi. Infine, abbiamo utilizzato un noto programma di scansione della sicurezza per convalidare queste porte aperte e l'accesso disponibile.


 

Congratulazioni, hai completato il modulo 2

Passa al modulo 3 per un'introduzione ai componenti di gestione di NSX. Puoi passare anche a un modulo che ti interessa di più.

 

Modulo 3 - Introduzione ai componenti di gestione di NSX (15 minuti)

Introduzione


Nell'ambito della soluzione VMware NSX Cloud, vengono distribuite macchine virtuali separate nell'ambiente data center on-premise per supportare l'interfaccia utente per la gestione e le operation della soluzione. Queste istante sono:

  • NSX Cloud Services Manager
  • NSX Manager

NSX Cloud Services Manager gestisce l'intero ciclo di vita dei componenti di NSX distribuiti in AWS e Azure e fornisce una vista unificata dell'inventario di NSX Manager e del cloud pubblico. Altre funzioni di NSX Cloud Services Manager includono:

  • Deployment e upgrade di NSX Cloud Gateway
  • Upgrade dell'agente di NSX tramite NSX Cloud Gateway
  • Backup/ripristino

NSX Manager fornisce la GUI (Graphical User Interface) e le API REST per creare, configurare e monitorare i componenti di NSX come NSX Controller e switch logici. NSX Manager, il pannello di gestione per l'ecosistema NSX, offre una vista aggregata ed è il componente di NSX che si occupa della gestione centralizzata della rete. Inoltre, fornisce un metodo per il monitoraggio e la risoluzione dei problemi dei carichi di lavoro collegati alle reti virtuali create da NSX. Infine, consente la configurazione e l'orchestrazione dei:

  • Componenti di rete logici (switching e routing logici)
  • Servizi di rete ed edge
  • Servizi di sicurezza e firewall distribuito

Convalida del laboratorio


Per completare le lezioni di questo modulo, è necessaria la connettività a Microsoft Azure e Amazon Web Services. Ora dobbiamo procedere rapidamente con la verificare di questa connettività, soprattutto se i tre moduli precedenti non sono stati completati.


 

Lo stato del laboratorio deve essere Ready

 

Verifica che siano state completate tutte le routine di avvio e che il laboratorio sia pronto per l'esecuzione. Se compaiono indicazioni diverse da Ready, attendi alcuni minuti.  Se dopo cinque minuti lo stato del laboratorio non è ancora passato a Ready, richiedi assistenza.

Se lo stato non è Ready e si tenta di procedere, il laboratorio non funzionerà.

 

 

Pagina dello stato di provisioning del laboratorio

Al momento è in corso il completamento del provisioning dei componenti del laboratorio per AWS e Azure. Viene visualizzata una pagina web che mostra lo stato delle risorse del laboratorio di cui è in corso il provisioning su AWS e Azure per l'avvio del laboratorio.

NOTA: le risorse distribuite su Amazon Web Services e Microsoft Azure sono accessibili esclusivamente dalla console principale dell'ambiente dell'HOL.

Il provisioning del laboratorio richiede 10-15 minuti.

 

 

Apertura di Google Chrome

 

  1. Fai clic sull'icona di Chrome presente nella barra delle applicazioni Avvio veloce di Windows.

 

 

Home page delle informazioni sull'account

 

La pagina delle informazioni sull'account e sullo stato del provisioning del laboratorio è stata impostata come home page di Chrome.

  1. Digita l'indirizzo e-mail che hai utilizzato per iscriverti al laboratorio.
  2. Digita VMware1! come password.
  3. Fai clic su Login.

 

 

Fine del provisioning del laboratorio

 

Al completamento del processo di provisioning, verrà visualizzata la pagina delle informazioni sull'account. Il processo richiede 10-15 minuti. Ritorneremo spesso in questa pagina nel corso dei moduli del laboratorio.

 

Accesso a NSX Cloud Services Manager


Uno degli obiettivi di NSX Cloud Services Manager è fornire una vista unificata dell'inventario di NSX e degli ambienti di cloud pubblico. In questa lezione, eseguiremo il login a NSX Cloud Services Manager.


 

Apertura di una nuova scheda del browser

 

  1. Fai clic sulla scheda vuota in Google Chrome per aprire una nuova scheda del browser.

 

 

Segnalibro di NSX Cloud Services Manager

 

  1. Fai clic sul segnalibro di CSM per effettuare la connessione alla console di NSX Cloud Services Manager.

 

 

Convalida del certificato

 

Alcune parti dell'ambiente di questo Hands-on Lab vengono create on-demand, pertanto i certificati non sono già convalidati. In un deployment di produzione, viene generato e utilizzato un certificato attendibile per garantire una connettività sicura. Per continuare il processo di login:

  1. Fai clic sul Advanced (Avanzate).
  2. Fai clic sul link Proceed (Procedi).

 

 

Accesso a NSX Cloud Services Manager

 

  1. Digita admin come nome utente.
  2. Digita VMware1! come password.
  3. Fai clic su Log In.

 

Esame dell'account configurato e dell'inventario di AWS


NSX Cloud Service Manager fornisce una vista unificata dell'inventario di NSX e AWS. Esamineremo l'inventario visualizzato da NSX Cloud Service Manager e lo confronteremo con quello di AWS.


 

Configurazione e inventario di CSM

 

  1. Fai clic su Clouds (Cloud).
  2. Fai clic su AWS.

 

 

Esame delle informazioni sull'account AWS

 

Le informazioni sull'account AWS sono state configurate in Cloud Services Manager. Tali informazioni differiranno per ogni pod del laboratorio.

 

 

Analisi del numero di VPC configurati

 

Per questo account AWS sono stati configurati diversi VPC nelle varie aree.

 

 

Analisi del numero di istanze configurate

 

In questo account AWS vengono eseguite 3 istanze.

 

 

Selezione dei VPC

 

  1. Fai clic su VPCs.

 

 

Riduzione dei VPC visualizzati

 

  1. Seleziona us-west-1 dal menu a discesa Region (Area) per ridurre i VPC visualizzati.

 

 

 

Revisione del VPC

 

Questo e il VPC che abbiamo visto nell'inventario di AWS nelle precedenti lezioni.

 

 

VPC non gestito da NSX: conferma

 

Lo stato del VPC di elaborazione è NSX Managed - No (Gestito da NSX - No). Successivamente nel corso del laboratorio distribuiremo i componenti di NSX in questo VPC per gestire le istanze AWS EC2 in esecuzione.

 

 

Selezione dell'impostazione Instances

 

  1. Fai clic su Instances (Istanze).

 

 

Istanze non gestite da NSX: conferma

 

Le istanze AWS EC2 per l'applicazione riportate nell'inventario di ASW sono presenti nell'elenco. Il cerchio che indica lo stato di NSX non è verde poiché i componenti di NSX non sono stati distribuiti.

 

Esame dell'account configurato e dell'inventario di Azure


NSX Cloud Service Manager fornisce una vista unificata dell'inventario di NSX e Azure. Esamineremo l'inventario visualizzato da NSX Cloud Service Manager e lo confronteremo con quello di Azure.


 

Configurazione e inventario di CSM

 

  1. Fai clic su Azure a sinistra.

 

 

Esame delle informazioni sull'account Azure

 

Le informazioni sull'account Azure sono state configurate in Cloud Services Manager. Tali informazioni differiranno per ogni pod del laboratorio.

 

 

Analisi del numero di reti virtuali configurate

 

Per l'account Azure è stata configurata una sola rete virtuale.

 

 

Analisi del numero di istanze configurate

 

In questo account Azure vengono eseguite 3 istanze.

 

 

Selezione dell'impostazione VNets (Reti virtuali)

 

  1. Fai clic su VNets.

 

 

Revisione della rete virtuale

 

Si tratta della rete virtuale che abbiamo visto nell'inventario di Azure nelle precedenti lezioni.

 

 

Rete virtuale non gestita da NSX: conferma

 

Lo stato della rete virtuale è NSX Managed - No. Successivamente nel corso del laboratorio distribuiremo i componenti di NSX in questa rete virtuale per gestire le macchine virtuali Azure in esecuzione.

 

 

Selezione dell'impostazione Instances

 

  1. Fai clic su Instances.

 

 

Istanze non gestite da NSX: conferma

 

Le macchine virtuali Azure per l'applicazione riportate nell'inventario di Azure sono presenti nell'elenco. Il cerchio che indica lo stato di NSX non è verde poiché i componenti di NSX non sono stati distribuiti.

 

Accesso a NSX Manager


Utilizzeremo NSX Manager, ovvero il pannello di gestione centralizzata della soluzione, per configurare le policy di sicurezza dell'applicazione e verificare che il deployment di NSX in Amazon Web Services e Microsoft Azure sia stato completato con successo. In questa lezione eseguiremo il login a NSX Manager.


 

Apertura di una nuova scheda del browser

 

  1. Fai clic sulla scheda vuota in Google Chrome per aprire una nuova scheda del browser.

 

 

Segnalibro di NSX Manager

 

  1. Fai clic sul segnalibro di NSX Manager per effettuare la connessione alla console di NSX Manager.

 

 

Accesso a NSX Manager

 

  1. Digita admin come nome utente.
  2. Digita VMware1! come password.
  3. Fai clic su Log In.

 

Esame dell'interfaccia utente di NSX Manager


In vista della configurazione di NSX per la gestione dell'applicazione, esamineremo diverse schermate dell'interfaccia utente di NSX Manager al fine di rivedere la configurazione corrente dell'ambiente del laboratorio, verificare il funzionamento dell'infrastruttura di gestione di NSX e familiarizzare con la nuova interfaccia HTML5.


 

Selezione del dashboard

 

  1. Fai clic su Dashboard.

 

 

Nodi di NSX Manager e NSX Controller

 

La schermata Dashboard fornisce una singola console per conoscere lo stato dei vari componenti del deployment NSX. A livello generale, puoi verificare se i componenti presentano problemi e conoscere, ad esempio, il numero di unità di bilanciamento del carico, regole firewall e sessioni VPN.

Per il nostro deployment NSX possiamo vedere in System (Sistema) che i nodi Manager e Controller sono verdi. Ciò significa che i nodi di NSX Manager e NSX Controller sono attivi.

NSX Manager è il pannello di gestione che fornisce la GUI (Graphical User Interface) e le API REST per creare, configurare e monitorare i componenti di NSX come controller, switch logici, policy firewall ed Edge Service Gateway.

NSX Controller è il pannello di controllo che consente la gestione avanzata dello stato distribuito dell'ambiente.

 

 

Verifica dello stato del fabric

 

Nel fabric NSX ci sono 3 host.

 

 

Selezione dell'impostazione Switching

 

  1. Fai clic su Switching a sinistra.

 

 

Un unico switch logico nell'inventario: conferma

 

Per le VM on-premise è stato creato un unico switch logico.

 

 

Selezione del numero di porte logiche

 

  1. Fai clic su 4 in Logical Ports (Porte logiche).

 

 

Espansione della colonna

 

1. Fai clic sulla maniglia della colonna e trascinala per aumentare le dimensioni della colonna.

 

 

Porte logiche

 

Le quattro porte logiche sullo switch logico LS-VLAN corrispondono alle quattro VM dell'applicazione distribuite on-premise.

 

Conclusione


Il modulo 3 si conclude qui. Abbiamo effettuato l'accesso a NSX Cloud Services Manager (CSM) che funge da interfaccia utente delle operation per la soluzione VMware NSX Cloud. Abbiamo anche esaminato gli inventari di AWS e Azure da NSX CSM. Infine, abbiamo eseguito il login a NSX Manager ed esaminato l'inventario degli oggetti NSX per confermare che sono presenti solo gli elementi predefiniti. Inoltre, abbiamo acquisito familiarità con la nuova interfaccia HTML5.


 

Congratulazioni, hai completato il modulo 3

Passa al modulo 4 per procedere con la protezione dell'ambiente dell'applicazione con NSX. Puoi passare anche a un modulo che ti interessa di più.

 

Modulo 4 - Protezione delle applicazioni di cloud ibrido con NSX (60 minuti)

Introduzione


La protezione dell'applicazione in Amazon Web Services (AWS), Microsoft Azure e nel data center on-premise richiede policy di sicurezza per i carichi di lavoro che verranno gestiti da NSX. NSX fornisce un firewall distribuito con funzionalità di raggruppamento logico per semplificare la configurazione e assicurare la coerenza.

Dopo aver distribuito il pannello di gestione centralizzato (NSX Manager e NSX Cloud Services Manager) e il pannello di controllo centralizzato (NSX Controller) nel data center on-premise, per proteggere l'applicazione è necessario completare i passaggi seguenti:

  1. NSX Cloud Gateway viene distribuito in tutti gli ambienti cloud con carichi di lavoro che devono essere gestiti da NSX.
  2. Un amministratore cloud creerà le policy logiche di rete e sicurezza utilizzando la UI o le API di NSX Manager.
  3. Un amministratore cloud genererà una serie di tag in NSX Cloud Services Manager.
  4. Uno sviluppatore applicherà i tag ai carichi di lavoro in AWS e Azure affinché vengano utilizzate le policy di NSX al momento della creazione di un'istanza.
  5. L'agente di NSX viene installato su ogni istanza AWS e su ogni macchina virtuale Azure che deve essere gestita da NSX.

 

Policy di sicurezza richieste

 

L'applicazione richiede queste policy di sicurezza di alto livello.

 

Convalida del laboratorio


Per completare le lezioni di questo modulo, è necessaria la connettività a Microsoft Azure e Amazon Web Services. Ora procederemo rapidamente con la verifica di questa connettività. Questa operazione è particolarmente importante se i tre moduli precedenti non sono stati completati.


 

Lo stato del laboratorio deve essere Ready (Pronto)

 

Verifica che siano state completate tutte le routine di avvio e che il laboratorio sia pronto per l'esecuzione. Se compaiono indicazioni diverse da Ready, attendi alcuni minuti.  Se dopo cinque minuti lo stato del laboratorio non è ancora passato a Ready, richiedi assistenza.

Se lo stato non è Ready e si tenta di procedere, il laboratorio non funzionerà.

 

 

Pagina dello stato di provisioning del laboratorio

Al momento è in corso il completamento del provisioning dei componenti del laboratorio per AWS e Azure. Viene visualizzata una pagina web che mostra lo stato delle risorse del laboratorio di cui è in corso il provisioning su AWS e Azure per l'avvio del laboratorio.

NOTA: le risorse distribuite su Amazon Web Services e Microsoft Azure sono accessibili esclusivamente dalla console principale dell'ambiente dell'HOL.

Il provisioning del laboratorio richiede 10-15 minuti.

 

 

Apertura di Google Chrome

 

  1. Fai clic sull'icona di Chrome presente nella barra delle applicazioni Avvio veloce di Windows.

 

 

Home page delle informazioni sull'account

 

La pagina delle informazioni sull'account e sullo stato del provisioning del laboratorio è stata impostata come home page di Chrome.

  1. Digita l'indirizzo e-mail che hai utilizzato per iscriverti al laboratorio.
  2. Digita VMware1! come password.
  3. Fai clic su Login.

 

 

Fine del provisioning del laboratorio

 

Al completamento del processo di provisioning, verrà visualizzata la pagina delle informazioni sull'account. Il processo richiede 10-15 minuti. Ritorneremo spesso in questa pagina nel corso dei moduli del laboratorio.

 

Verifica della connettività VPN ai cloud pubblici


È in corso la connessione VPN a AWS e Azure per questo laboratorio. Convalideremo l'accesso al nostro front-end web tramite un semplice ping.

Nota: se uno dei test ping dà esito negativo, richiedi assistenza prima di procedere con il laboratorio.


 

Apertura del prompt dei comandi

 

  1. Fai clic sull'icona del prompt dei comandi presente nella barra delle applicazioni Avvio veloce di Windows.

 

 

Esecuzione del ping dell'istanza web AWS

 

  1. Digita il seguente comando per eseguire il ping dell'istanza front-end web AWS per verificarne la connettività:
ping 172.15.10.4

 

 

Connessione AWS stabilita

 

La ricezione delle risposte indica che è stata stabilita la connessione con AWS.

 

 

Esecuzione del ping dell'istanza web Azure

 

  1. Digita il seguente comando per eseguire il ping dell'istanza front-end web Azure per verificarne la connettività:
ping 172.18.10.4

 

 

Connessione Azure stabilita

 

La ricezione delle risposte indica che è stata stabilita la connessione con Azure.

 

Distribuzione di NSX Cloud Gateway in Amazon Web Services


I componenti di NSX devono essere distribuiti per rendere disponibili le policy di sicurezza per le istanze dell'applicazione in Amazon Web Services. Innanzitutto, dobbiamo distribuire NSX Cloud Gateway nel VPC di elaborazione dove sono state distribuite le istanze dell'applicazione.

NSX Cloud Gateway, che funge da nodo di trasporto edge in NSX, fornisce i seguenti servizi in ogni VPC in cui viene distribuito:

  • Pannello di controllo del proxy (locale) per gli agenti di NSX
  • Servizi di tipo stateful come NAT e firewall edge
  • Hosting e push del software dell'agente di NSX
  • Polling dei tag Amazon Web Services

 

Apertura di Google Chrome

 

  1. Fai clic sull'icona di Chrome presente nella barra delle applicazioni Avvio veloce di Windows oppure apri Chrome se è già in esecuzione.

 

 

Apertura di una nuova scheda del browser

 

  1. Fai clic su una scheda vuota in Google Chrome per aprire una nuova scheda del browser oppure passa alla scheda di CSM se è già aperta.

 

 

Segnalibro di NSX Cloud Services Manager

 

  1. Fai clic sul segnalibro di CSM per effettuare la connessione alla console di NSX Cloud Services Manager.

 

 

Convalida del certificato

 

Questa procedura non è richiesta se hai già completato il modulo 3.

Alcune parti dell'ambiente di questo Hands-on Lab vengono create on-demand, pertanto i certificati non sono già convalidati. In un deployment di produzione, viene generato e utilizzato un certificato attendibile per garantire una connettività sicura. Per continuare il processo di login:

  1. Fai clic su Advanced  (Avanzate).
  2. Fai clic sul link Proceed (Continua).

 

 

Accesso a NSX Cloud Services Manager

 

  1. Digita admin come nome utente.
  2. Digita VMware1! come password.
  3. Fai clic su Login.

 

 

Selezione dell'account AWS

 

  1. Fai clic su Clouds ({BR}  (Cloud)
  2. Fai clic su AWS.

 

 

Selezione dei VPC

 

  1. Fai clic su VPCs nella parte superiore della finestra.

 

 

Riduzione dei VPC visualizzati

 

  1. Seleziona us-west-1 dal menu a discesa Region (Regione) per ridurre i VPC visualizzati.

 

 

 

Selezione del menu a discesa Actions (Azioni)

 

  1. Fai clic su Actions nella casella Compute-VPC.
  2. Fai clic su Deploy NSX Cloud Gateway (Distribuisci NSX Cloud Gateway).

 

 

Configurazione delle impostazioni di NSX Cloud Gateway

 

  1. Seleziona Private IP (IP privato).
  2. Fai clic su PEM File (File PEM) e seleziona nsx-management.
  3. Disattiva la policy di quarantena.
  4. Fai clic su Next (Avanti).

 

 

Configurazione delle impostazioni di alta disponibilità

 

NSX Cloud Gateway supporta il modello di deployment ad alta disponibilità. Per ridurre il tempo necessario per il completamente del laboratorio, non configureremo l'alta disponibilità.

  1. Deseleziona la casella Enable HA for NSX Cloud Gateway (Abilita alta disponibilità per NSX Cloud Gateway).
  2. Effettua una selezione per Availability Zone (Zona di disponibilità). Nota: se viene selezionata una zona di disponibilità errata, i menu della sottorete per i punti 3-5 saranno vuoti.
  3. Seleziona nsx-uplink-subnet per Uplink Subnet (Sottorete di uplink).
  4. Seleziona nsx-downlink-subnet per Downlink Subnet (Sottorete di downlink).
  5. Seleziona nsx-mgmt-subnet per Management Subnet (Sottorete di gestione).
  6. Fai clic su Deploy (Distribuisci).

 

 

Avvio della distribuzione di NSX Cloud Gateway

 

Il processo di deployment inizia per questo VPC. Il completamento del processo richiede circa 7-10 minuti. Nella schermata di stato del deployment verranno visualizzate le azioni completate durante il processo.

Il deployment di NSX Cloud Gateway fornisce il pannello di controllo locale per le policy NSX nel VPC, nonché l'area di installazione degli agenti di NSX che saranno distribuiti in una delle prossime lezioni.

Mentre viene completata la distribuzione di NSX Cloud Gateway, passa alla prossima lezione per configurare i raggruppamenti logici. Successivamente ritorneremo in NSX Cloud Services Manager per verificare il completamento del processo.

 

Creazione di raggruppamenti logici


NSX è in grado di utilizzare le informazioni contestuali sui carichi di lavoro per creare gruppi di policy dinamici, fornendo un modello operativo molto più semplice per la gestione delle policy di sicurezza. In questa lezione esamineremo i gruppi preconfigurati e poi completeremo alcuni di essi per semplificare la gestione delle policy.

CSM è in grado di sincronizzare le informazioni dell'inventario cloud per recuperare i tag che sono stati applicati ai carichi di lavoro del cloud. Solitamente, questi tag vengono aggiunti durante il deployment delle istanze e delle macchine virtuali in AWS e Azure, come ad esempio il nome e il livello dell'applicazione. NSX importerà anche i tag delle informazioni sull'ambiente cloud come il nome VPC o VNet eventualmente utilizzato.

Questi tag, insieme ai tag applicati alle macchine virtuali on-premise, saranno utilizzati per creare i raggruppamenti logici dinamici in NSX.


 

Apertura di una nuova scheda del browser

 

  1. Fai clic su una scheda vuota in Google Chrome per aprire una nuova scheda del browser oppure passa alla scheda di NSX Manager in Chrome se è già aperta.

 

 

Segnalibro di NSX Manager

 

  1. Fai clic sul segnalibro di NSX Manager per effettuare la connessione alla console di NSX Manager.

 

 

Accesso a NSX Manager

 

  1. Digita admin come nome utente.
  2. Digita VMware1! come password.
  3. Fai clic su Login.

 

 

Selezione di Groups (Gruppi) dal menu Inventory (Inventario)

 

  1. Fai clic su Inventory.
  2. Fai clic su Groups.

 

 

Seleziona IP Sets

 

1. Clicca su IP Sets.

 

 

 

Modificare Airport Data

 

1. Selezionare Airport Data.

2. Clicca su EDIT.

 

 

Aggiungi Members

 

1. Genere 104.25.0.0/16.

2. Clicca su SAVE.

 

 

Selezionare Groups

 

1. Clicca su Groups.

 

 

Esame dei gruppi creati

 

Sono già stati creati diversi gruppi per risparmiare tempo durante il laboratorio. Li esamineremo e poi completeremo la configurazione di due gruppi.

Essi verranno utilizzati nelle policy firewall che creeremo.

 

 

Esame del gruppo web

 

  1. Seleziona ps-web.
  2. Fai clic su Edit (Modifica).

 

 

Appartenenza al gruppo

 

  1. Fai clic su Membership Criteria (Criteri di appartenenza).

Nota: stiamo utilizzando il tag dinamico che NSX rileverà dall'inventario del cloud pubblico (dis:<cloud>: prefisso su questi tag) affinché AppTier includa le macchine virtuali front-end in questo gruppo. Lo stesso approccio viene adottato per tutti gli altri gruppi. A questo punto completeremo i gruppi di API e di isolamento dell'app.

 

 

Selezione di Cancel (Annulla)

 

  1. Fai clic su Cancel.

 

 

Modifica del gruppo di API

 

  1. Seleziona ps-api (verifica che la casella ps-web non sia selezionata).
  2. Fai clic su Edit.

 

 

Criteri di appartenenza basati sul tag Discovered (Rilevato)

 

Alle macchine virtuali eseguite nel data center on-premise già sono stati applicati i tag. Li utilizzeremo per completare questo gruppo.

  1. Fai clic su Membership Criteria.
  2. Fai clic su Criteria (Criteri).
  3. Seleziona Virtual Machine (Macchina virtuale).
  4. Seleziona Tag.
  5. Seleziona Equals (Uguale).
  6. Digita api.
  7. Seleziona Equals.
  8. Digita AppTier.
  9. Fai clic su Save (Salva).

 

 

Modifica del gruppo di isolamento dell'app

 

  1. Seleziona planespotter-app (verifica che la casella ps-api non sia selezionata).
  2. Fai clic su Edit.

 

 

Selezione del menu Criteria

 

  1. Fai clic su Membership Criteria.
  2. Fai clic su Criteria.

 

 

Tutte le VM con tag Azure

 

La prima voce includerà le macchine virtuali Azure con tag AppName = planespotter.

  1. Seleziona Virtual Machine.
  2. Seleziona Tag.
  3. Seleziona Equals.
  4. Digita planespotter.
  5. Seleziona Equals.
  6. Digita dis:Azure:AppName. (dis = tag Discovered)
  7. Fai clic su Criteria.

 

 

Tutte le VM con tag AWS

 

Questa voce includerà l'istanza AWS con tag AppName = planespotter.

  1. Seleziona Virtual Machine.
  2. Seleziona Tag.
  3. Seleziona Equals.
  4. Digita planespotter.
  5. Seleziona Equals.
  6. Digita dis:AWS:AppName. (dis = tag Discovered)
  7. Fai clic su Criteria.

 

 

Tutte le VM con tag NSX

 

Infine, includeremo tutte le macchine virtuali on-premise con tag AppName = planespotter.

  1. Seleziona Virtual Machine.
  2. Seleziona Tag.
  3. Seleziona Equals.
  4. Digita planespotter.
  5. Seleziona Equals.
  6. Digita AppName.
  7. Fai clic su Save.

 

 

Ritorno a NSX Cloud Services Manager

 

  1. Seleziona la scheda del browser NSX Cloud Services Manager che è stata precedentemente aperta in Google Chrome. Nota: l'ordine delle schede del browser potrebbe essere diverso se sono stati completati i moduli precedenti.

 

 

Distribuzione di NSX Cloud Gateway completata

 

  1. Una volta completata la distribuzione, fai clic su Finish (Fine).

 

 

Compute-VPC gestito da NSX

 

Dall'indicazione visualizzata, vediamo che Compute-VPC ora è gestito da NSX e presenta un gateway cloud. A questo punto distribuiremo NSX Cloud Gateway in Azure.

 

Distribuzione di NSX Cloud Gateway in Azure


I componenti di NSX devono essere distribuiti per rendere disponibili le policy di sicurezza per le macchine virtuali dell'applicazione in Microsoft Azure. Innanzitutto, dobbiamo distribuire NSX Cloud Gateway nella rete VNet di elaborazione dove sono state distribuite le macchine virtuali dell'applicazione.

NSX Cloud Gateway, che funge da nodo di trasporto edge in NSX, fornisce i seguenti servizi in ogni VNet in cui viene distribuito:

  • Pannello di controllo del proxy (locale) per gli agenti di NSX
  • Servizi di tipo stateful come NAT e firewall edge
  • Hosting e push del software dell'agente di NSX
  • Polling dei tag Azure

 

Selezione di Azure

 

  1. Fai clic su Clouds (Cloud) a sinistra.
  2. Fai clic su Azure a sinistra.

 

 

Selezione dell'impostazione VNets

 

  1. Fai clic su VNets.

 

 

Selezione del menu a discesa Actions

 

  1. Fai clic su Actions.
  2. Fai clic su Deploy NSX Cloud Gateway.

 

 

Configurazione delle impostazioni di NSX Cloud Gateway

 

  1. Copia la chiave pubblica SSH dal fondo della pagina web delle informazioni sull'account (copia tutte e tre le righe).
  2. Lascia l'opzione Quarantine Policy disattivata.
  3. Seleziona l'account di storage locale disponibile in Local Storage Account (una sola opzione).
  4. Fai clic su Advanced.

 

 

Impostazioni avanzate

 

  1. Seleziona Override Public Cloud Provider's DNS Server (Sostituisci il server DNS del provider di cloud pubblico).
  2. Digita 192.168.110.10
  3. Fai clic su Next.

 

 

Configurazione delle impostazioni di alta disponibilità

 

NSX Cloud Gateway supporta il modello di deployment ad alta disponibilità. Per ridurre il tempo necessario per il completamente del laboratorio, non configureremo l'alta disponibilità.

  1. Deseleziona la casella Enable HA for NSX Cloud Gateway.
  2. Seleziona nsx-uplink-subnet per Uplink Subnet.
  3. Seleziona nsx-downlink-subnet per Downlink Subnet.
  4. Seleziona nsx-mgmt-subnet per Management Subnet.
  5. Seleziona Allocate new IP (Alloca nuovo IP) per l'IP pubblico sulla scheda NIC di gestione.
  6. Fai clic su Deploy.

 

 

Avvio della distribuzione di NSX Cloud Gateway

 

Il processo di deployment inizia per questa VNet. Il completamento del processo richiede circa 7-10 minuti. Nella schermata di stato del deployment verranno visualizzate le azioni completate durante il processo.

Il deployment di NSX Cloud Gateway fornisce il pannello di controllo locale per le policy NSX nella VNet, nonché l'area di installazione degli agenti di NSX che saranno distribuiti in una delle prossime lezioni.

Mentre viene completata la distribuzione di NSX Cloud Gateway, passa alla prossima lezione per configurare le policy del firewall. Successivamente ritorneremo in NSX Cloud Services Manager per verificare il completamento del processo.

 

Attivazione delle policy del firewall


NSX è in grado di creare policy di sicurezza che sfruttano la natura dinamica degli ambienti cloud. Ciò fornisce un modello di deployment per le policy di sicurezza più semplice e coerente dal punto di vista operativo.


 

Passaggio alla scheda del browser NSX Manager

 

  1. Seleziona la scheda del browser NSX Manager che è stata precedentemente aperta in Google Chrome. Nota: l'ordine delle schede del browser potrebbe essere diverso se sono stati completati i moduli precedenti.

 

 

Selezione del menu Firewall

 

  1. Fai clic su Firewall a sinistra.

 

 

Modifica dello zoom del browser

 

  1. Fai clic sui tre punti nell'angolo in alto a destra.
  2. Modifica il livello dello zoom impostandolo sull'80% per migliorare la leggibilità delle regole.

 

 

Analisi delle policy configurate

 

Per risparmiare tempo, le policy di sicurezza che consentono all'applicazione di funzionare sono state preconfigurate. Prima di attivarle, esamineremo rapidamente alcuni punti.

 

 

Isolamento dell'app

 

  1. Fai clic su Applied To: (Applicato a).

Osserviamo che viene utilizzato il gruppo planespotter-app che abbiamo completato precedentemente. Così, questa sezione del firewall verrà applicata esclusivamente a tali macchine virtuali, offrendoci un meccanismo per isolare l'applicazione dal resto dell'ambiente.

 

 

Chiusura della schermata

 

  1. Fai clic su X per chiudere la schermata.

 

 

Gruppi di origine e di destinazione

 

I gruppi che abbiamo esaminato e completato vengono utilizzati come coppie Origine/Destinazione per l'applicazione, rendendo le policy più dinamiche e più facili da gestire.

 

 

Servizi di traffico

 

In NSX i servizi sono preconfigurati, semplificando la selezione dei tipi di traffico richiesti. Inoltre, stiamo utilizzando un servizio personalizzato per la porta HTTP 8080.

 

 

Registrazione attivata

 

La registrazione è stata attivata per tutte le regole e i registri vengono inviati al deployment Log Insight.

 

 

Regola Deny All

 

La regola Deny All finale è impostata su Drop, pertanto tutto il traffico non esplicitamente consentito viene bloccato (è necessario scorrere l'elenco verso il basso).

 

 

Attivazione di tutte le regole

 

  1. Fai clic sui tre punti accanto a planespotter-app-isolation nella parte superiore della pagina.
  2. Fai clic su Enable All Rules (Attiva tutte le regole).

 

 

Selezione del pulsante Publish (Pubblica) per salvare le regole

 

  1. Scorri la pagina verso l'alto e fai clic su Publish per salvare le regole.

Le policy di sicurezza per l'applicazione sono state attivate.

Abbiamo utilizzato i gruppi creati precedentemente per semplificare la configurazione dell'origine, della destinazione e del firewall.

Ritorneremo in NSX Cloud Services Manager successivamente per verificare lo stato di avanzamento della distribuzione di NSX Cloud Gateway.

 

 

Ritorno a NSX Cloud Services Manager

 

  1. Seleziona la scheda del browser NSX Cloud Services Manager che è stata precedentemente aperta in Google Chrome. Nota: l'ordine delle schede del browser potrebbe essere diverso se sono stati completati i moduli precedenti.

 

 

Distribuzione di NSX Cloud Gateway completata

 

  1. Una volta completata la distribuzione, fai clic su Finish. L'operazione può richiedere ancora qualche minuto.

 

 

Rete VNet gestita da NSX

 

Dall'indicazione visualizzata, vediamo che la rete HOL1922-VPN-vNET ora è gestito da NSX e presenta un gateway cloud.

 

Applicazione di tag all'applicazione AWS


Tag specifici di NSX vengono utilizzati per indicare gli elementi a cui l'interfaccia di rete dell'istanza EC2 deve essere logicamente "associata" in NSX. Durante l'associazione, le policy di sicurezza vengono distribuite tramite push. Prima di attivare l'agente di NSX sul front-end web, configureremo un tag.


 

Accesso alla console di gestione di AWS

 

  1. Fai clic sulla scheda delle Account Information (Informazioni sull'account) aperta in precedenza. Se la scheda è stata chiusa, aprine un'altra e fai clic sul segnalibro Account Info.

 

 

Individuazione dell'URL della console di gestione di AWS

 

  1. Fai clic su Console URL per aprire una nuova scheda del browser ed effettuare la connessione alla console di gestione di AWS.

 

 

Accesso alla console di AWS

 

  1. Digita vmware_hol_user come nome utente IAM.
  2. Digita o copia la password dalla pagina delle informazioni sull'account.
  3. Fai clic sul pulsante Sign In.

 

 

 

Selezione dell'area

 

Verifica che la console stia visualizzando le risorse dell'area North California.

  1. Fai clic sul nome dell'area a sinistra del menu Support nell'angolo superiore destro.
  2. Seleziona US West (N. California).

 

 

Selezione delle istanze EC2

 

  1. Fai clic su Services nell'angolo superiore sinistro della console di AWS.
  2. Fai clic su EC2 in Compute.

 

 

Selezione dell'impostazione Instances

 

  1. Fai clic su Instances nel menu a sinistra.

 

 

Notifica delle modifiche dell'interfaccia utente

 

  1. Se viene visualizzata questa notifica, fai clic su X per chiuderla.

 

 

Espansione della colonna

 

  1. Fai clic e trascina la maniglia della colonna per espandere la colonna del nome.

 

 

Selezione dell'istanza web

 

  1. Seleziona hol1922-ps-web01.

 

 

Selezione della scheda Tags per questa istanza

 

  1. Fai clic sulla scheda Tags sotto l'elenco delle istanze EC2.
  2. Fai clic su Add/Edit Tags (Aggiungi/Modifica tag).

 

 

Selezione del pulsante Create Tag (Crea tag)

 

  1. Fai clic su Create Tag.
  2. Digita nsx:network nella colonna Key (Chiave).
  3. Digita default nella colonna Value (Valore). Nota: non utilizzare il gruppo DEFAULT-nsx-compute-security-group con completamento automatico (se visualizzato).
  4. Fai clic su Save.

 

 

Abbiamo applicato il tag specifico di NSX al front-end web. Una volta distribuito l'agente di NSX, questo tag "assocerà" l'istanza allo switch logico NSX predefinito creato durante la distribuzione di NSX Cloud Gateway. A questa istanza verranno applicate anche le policy di sicurezza.

 

Applicazione di tag all'applicazione Azure


Tag specifici di NSX vengono utilizzati per indicare gli elementi a cui l'interfaccia di rete della macchina virtuale deve essere logicamente "associata" in NSX. Durante l'associazione, le policy di sicurezza vengono distribuite tramite push. Prima di attivare l'agente di NSX sul front-end web, configureremo un tag.


 

Accesso al portale Azure

 

  1. Fai clic sulla scheda delle informazioni sull'account aperta in precedenza. Se la scheda è stata chiusa, aprine un'altra e fai clic sul segnalibro Account Info.

 

 

Individuazione dell'URL del portale Azure.

 

  1. Fai clic su Console URL (URL della console) per aprire una nuova scheda del browser ed effettuare la connessione alla console di gestione di Azure.

 

 

Immissione dell'indirizzo e-mail Azure

 

  1. Copia o digita l'indirizzo e-mail dell'account Azure dalla pagina delle informazioni sull'account.
  2. Fai clic su Next.

 

 

 

Immissione della password Azure

 

  1. Copia o digita la password dell'account Azure dalla pagina delle informazioni sull'account.
  2. Fai clic su Sign In.

 

 

 

Non restare collegato

 

  1. Se viene visualizzata questa schermata, fai clic su No.

 

 

Console di gestione di Azure

 

Verrà visualizzata la pagina della console di gestione di Azure.

 

 

Selezione del menu Virtual Machines

 

  1. Fai clic sulla scheda Virtual Machines a sinistra.

 

 

Selezione della VM web

 

  1. Fai clic su hol1922-ps-web01.

 

 

Selezione del pulsante Change accanto al campo Tags

 

  1. Fai clic su Change accanto al campo Tags a destra.

 

 

Immissione delle informazioni sul tag

 

  1. Digita nsx.network come nome. Nota: in Azure viene utilizzato il punto invece dei due punti.
  2. Digita default come valore.
  3. Fai clic su Save.

 

 

Abbiamo applicato il tag specifico di NSX al front-end web. Una volta distribuito l'agente di NSX, questo tag "assocerà" la macchina virtuale allo switch logico NSX predefinito creato durante la distribuzione di NSX Cloud Gateway. Le policy di sicurezza verranno applicate anche a questa macchina virtuale.

 

Installazione dell'agente di NSX negli ambienti di cloud pubblico


Per continuare il processo di protezione dei front-end web, è necessario distribuire l'agente di NSX. L'agente di NSX fornisce le funzioni di data plane all'interno di ogni istanza di Amazon Web Services o ogni macchina virtuale di Microsoft Azure in cui è installato. Sono inclusi:

  • Motore di applicazione del firewall distribuito
  • Endpoint del tunnel per le reti di overlay

Le best practice suggeriscono di includere l'agente nelle immagini "gold master" utilizzate nell'ambiente di cloud pubblico di un'organizzazione. L'agente di NSX può essere installato anche in istanze esistenti (distribuite o preesistenti) utilizzando diversi metodi di automazione.

L'agente di NSX verrà installato su tutti i front-end web tramite uno script. Esamineremo il processo in Azure dove vedremo la posizione dello script di installazione e il comando da eseguire. Per AWS, eseguiremo un approccio automatizzato in cui un singolo script viene eseguito per completare l'installazione.


 

Apertura di PuTTY nella console principale

 

  1. Fai clic sull'icona PuTTY presente nella barra delle applicazioni Avvio veloce di Windows.

 

 

Individuazione del front-end web di Azure

 

  1. Seleziona ps-web01a-azure.
  2. Fai clic su Load.
  3. Fai clic su Open.

 

 

Password

 

  1. Inserisci VMware1!VMware1! come password.

 

 

Ritorno a NSX Cloud Services Manager

 

  1. Seleziona la scheda del browser NSX Cloud Services Manager che è stata precedentemente aperta in Google Chrome. Nota: l'ordine delle schede del browser potrebbe essere diverso se sono stati completati i moduli precedenti.

 

 

Selezione di Azure

 

  1. Fai clic su Clouds.
  2. Fai clic su Azure.

 

 

Selezione dell'impostazione VNets

 

  1. Fai clic su VNets.

 

 

Modifica dello zoom del browser

 

  1. Fai clic sui tre punti nell'angolo in alto a destra.
  2. Modifica il livello dello zoom impostandolo sul 75%.

 

 

Selezione della rete VNet

 

  1. Fai clic sulla rete VNet per selezionarla.

 

 

Copia del percorso dello script di installazione

 

  1. Fai clic sul menu Agent Download & Installation (Download e installazione dell'agente) per espanderlo.
  2. Copia l'indirizzo riportato nel campo Linux Download Location (Percorso di download Linux).

 

 

Come incollare il percorso

 

Ritorna a PuTTY.

  1. Digita wget seguito da uno spazio.
  2. Incolla il percorso di download nella finestra PuTTY precedentemente aperta facendo clic con il pulsante destro del mouse al suo interno.
  3. Premi Invio.

 

 

Script scaricato

 

Lo script di installazione è stato scaricato.

 

 

Come incollare il comando da CSM

 

  1. Copia il comando riportato nel campo Linux Installation Command (Comando di installazione Linux) dalla scheda del browser di CSM.

 

 

Comando di installazione dell'agente

 

  1. Incolla il comando di installazione nella finestra PuTTY precedentemente aperta facendo clic con il pulsante destro del mouse al suo interno.
  2. Premi Invio per avviare l'installazione dell'agente.

 

 

Installazione dell'agente completata

 

Il completamento dell'installazione dell'agente richiede 3-5 minuti.

 

 

Nuova sessione PuTTY

 

  1. Fai clic sull'icona PuTTY nell'angolo superiore sinistro della sessione PuTTY aperta.
  2. Seleziona New Session (Nuova sessione).

 

 

Individuazione del front-end web di AWS

 

  1. Seleziona ps-web01a-aws.
  2. Fai clic su Load (Carica).
  3. Fai clic su Open  (Apri).

 

 

Verifica della connessione

 

La prima volta che viene effettuata la connessione all'istanza, viene visualizzata una finestra di conferma per verificare la connessione.

  1. Fai clic su Yes (Sì).

 

 

Installazione dell'agente di NSX

 

  1. Digita il comando seguente per avviare lo script di installazione dell'agente di NSX:
./install_agent.sh

 

 

Agente di NSX installato

 

Il completamento dell'installazione dell'agente richiede 3-5 minuti.

 

 

Modifica dello zoom del browser

 

  1. Fai clic sui tre punti nell'angolo in alto a destra.
  2. Modifica il livello dello zoom impostandolo sul 90-100%.

 

Convalida del deployment di NSX


Dopo il deployment dei componenti di NSX in Compute-VPC, esamineremo la configurazione di NSX in NSX Manager e NSX Cloud Services Manager per verificarne il funzionamento.


 

Passaggio alla scheda del browser NSX Manager

 

  1. Seleziona la scheda del browser NSX Manager che è stata precedentemente aperta in Google Chrome. Nota: l'ordine delle schede del browser potrebbe essere diverso se sono stati completati i moduli precedenti. Digita admin come nome utente e VMware1! come password se la sessione è scaduta.

 

 

Selezione del menu Fabric

 

  1. Fai clic su Fabric a sinistra.

 

 

Selezione del menu Edges

 

  1. Fai clic su Edges nella parte superiore della finestra.

 

 

Espansione della colonna

 

  1. Fai clic e trascina per espandere la larghezza della colonna.

 

 

Nodi edge appena creati

 

Sono stati creati due nodi edge, uno in ogni cloud pubblico.

Nota: i nomi degli edge saranno diversi in ciascun laboratorio.

 

 

Selezione del menu Transport Nodes (Nodi di trasporto)

 

  1. Fai clic su Transport Nodes nella parte superiore della finestra.

 

 

Espansione della colonna

 

  1. Fai clic e trascina per espandere la larghezza della colonna.

 

 

Nodi di trasporto appena creati

 

Sono stati creati due nuovi nodi di trasporto (i gateway cloud appena distribuiti). Inoltre, sono presenti altri tre host ESX che sono stati già configurati come nodi di trasporto di NSX nel data center on-premise.

 

 

Selezione del menu Switching

 

  1. Fai clic su Switching a sinistra.

 

 

Espansione della colonna

 

  1. Fai clic e trascina per espandere la larghezza della colonna.

 

 

Modifiche dell'inventario degli switch

 

Sono stati creati quattro nuovi switch logici (uno switch logico VLAN e uno di overlay per ogni cloud pubblico).

 

 

Porte logiche

 

Le macchine virtuali e le istanze del cloud pubblico sono collegate allo switch VLAN predefinito in ciascun cloud.

 

 

Selezione dell'opzione Groups dal menu Inventory

 

  1. Fai clic su Inventory.
  2. Fai clic su Groups.

 

 

Selezione del gruppo planespotter-app

 

  1. Fai clic su planespotter-app.

 

 

Appartenenza al gruppo

 

Il gruppo planespotter-app presenta 6 macchine virtuali come membri effettivi.

  1. Fai clic sul numero 6 accanto alla voce Virtual Machine.

 

 

Istanze dell'applicazione presenti nell'elenco dei membri

 

  1. Seleziona Virtual Machine nel campo Member Objects (Oggetti membri).

Viene visualizzato l'elenco di tutte le macchine virtuali on-premise e sul cloud pubblico.

 

 

Selezione del menu Virtual Machines (Macchine virtuali)

 

  1. Fai clic su Virtual Machines dal menu Inventory, a sinistra.

 

 

Inventario delle VM

 

Viene visualizzato in un'unica finestra l'inventario completo di tutte le macchine virtuali e tutte le istanze on-premise e nel cloud pubblico.

  1. Fai clic sul numero 7 accanto a una delle macchine virtuali nel cloud pubblico.

 

 

Tag VM

 

Vengono visualizzati tutti i tag di questa macchina virtuale, inclusi i tag Discovered (definiti dall'utente) che abbiamo usato precedentemente per la creazione dei gruppi.

 

 

Ritorno a NSX Cloud Services Manager

 

  1. Seleziona la scheda del browser NSX Cloud Services Manager che è stata precedentemente aperta in Google Chrome. Nota: l'ordine delle schede del browser potrebbe essere diverso se sono stati completati i moduli precedenti.

 

 

Configurazione e inventario di CSM

 

  1. Fai clic su Clouds.
  2. Fai clic su AWS.

 

 

Selezione del menu Accounts (Account)

 

  1. Fai clic su Accounts.

 

 

Risincronizzazione dell'account

 

Per accelerare l'aggiornamento dell'API della dashboard di CSM, forzeremo la risincronizzazione dell'inventario di AWS.

  1. Fai clic su Actions.
  2. Fai clic su Resync Account (Risincronizza account).

 

 

Selezione dei VPC

 

  1. Fai clic su VPCs.

 

 

Riduzione dei VPC visualizzati

 

  1. Seleziona us-west-1 dal menu a discesa Region per ridurre i VPC visualizzati.

 

 

 

Selezione dell'impostazione Instances

 

  1. Fai clic su Instances nella casella Compute-VPC.

 

 

Istanze dell'applicazione gestite da NSX

 

  1. Vediamo che l'istanza dell'applicazione e il gateway sono gestiti da NSX.
  2. Le istanze VPN e Rogue non hanno ricevuto un tag AWS o non presentano un agente NSX installato.

 

 

Configurazione e inventario di CSM

 

  1. Fai clic su Azure a sinistra.

 

 

Selezione del menu Accounts

 

  1. Fai clic su Accounts.

 

 

Risincronizzazione dell'account

 

Per accelerare l'aggiornamento dell'API della dashboard di CSM, forzeremo la risincronizzazione dell'inventario di Azure.

  1. Fai clic su Actions.
  2. Fai clic su Resync Account.

 

 

Selezione dell'impostazione VNets

 

  1. Fai clic su VNets.

 

 

Selezione della freccia Indietro

 

  1. Fai clic sulla freccia Indietro.

 

 

Selezione dell'impostazione Instances

 

  1. Fai clic su Instances.

 

 

Istanze dell'applicazione gestite da NSX

 

  1. Vediamo che l'istanza dell'applicazione e il gateway sono gestiti da NSX.
  2. Le istanze VPN e Rogue non hanno ricevuto un tag Azure o non presentano un agente NSX installato.

 

Convalida del funzionamento dell'applicazione negli ambienti multi-cloud


Prima della distribuzione di NSX, l'applicazione in esecuzione su Amazon Web Services e Microsoft Azure era completamente aperta al traffico Internet e diverse porte non necessarie erano esposte a potenziali rischi, costituendo una superficie di attacco. In questa lezione esamineremo il funzionamento dell'applicazione e verificheremo la connettività di base.


 

Accesso alle informazioni sull'account

 

  1. Fai clic sulla scheda delle informazioni sull'account aperta in precedenza. Se la scheda è stata chiusa, aprine un'altra e fai clic sul segnalibro Account Info.

 

 

Individuazione delle informazioni sull'istanza web di AWS

 

  1. Fai clic sul collegamento Web Frontend Public URL per aprire una nuova scheda del browser ed effettuare la connessione all'applicazione.

 

 

Verifica del corretto funzionamento dell'applicazione

 

Verifica che l'applicazione funzioni correttamente. Viene riportato l'indirizzo IP del server che visualizza la pagina. Il front-end web funziona e possiamo testare i restanti componenti dell'applicazione:

  1. Fai clic su App Health.

 

 

Stato dell'app AWS

 

La comunicazione tra AWS e il data center on-premise avviene correttamente per tutti i componenti dell'applicazione.

 

 

Accesso alle informazioni sull'account

 

  1. Fai clic sulla scheda delle informazioni sull'account aperta in precedenza. Se la scheda è stata chiusa, aprine un'altra e fai clic sul segnalibro Account Info.

 

 

Individuazione delle informazioni sulla VM web di Azure

 

  1. Fai clic sul collegamento Web Frontend Instance Public URL per aprire una nuova scheda del browser ed effettuare la connessione all'applicazione.

 

 

Verifica del corretto funzionamento dell'applicazione

 

Verifica che l'applicazione funzioni correttamente. Viene riportato l'indirizzo IP del server che visualizza la pagina. Il front-end web funziona e possiamo testare i restanti componenti dell'applicazione:

  1. Fai clic su App Health.

 

 

Azure App Health

 

La comunicazione tra Azure e il data center on-premise avviene correttamente per tutti i componenti dell'applicazione.

 

Esecuzione della scansione di sicurezza degli ambienti applicativi ibridi


Apriremo di nuovo l'applicazione nmap per eseguire la scansione delle porte dell'ambiente applicativo on-premise. Eseguiremo la scansione degli indirizzi in cui sono state distribuite le istanze dell'applicazione ed esamineremo le porte restate aperte dopo la distribuzione di NSX nell'ambiente per verificare che le porte non necessarie siano chiuse.


 

Apertura di nmap

 

  1. Fai clic sull'icona di Zenmap nmap nella barra delle applicazioni.

 

 

Esecuzione della scansione nmap dell'intervallo di sottoreti IP dell'applicazione on-premise

 

  1. Digita il seguente comando nella casella Command (cancella eventuali comandi già presenti).
nmap -p 10-10000 -T5 -Pn --open 192.168.120.11-14
  1. Fai clic su Scan per avviare la scansione.

Per accelerare e semplificare la scansione, il programma di scansione nmap utilizza le seguenti opzioni:

  • -p 10-10000 per la scansione delle prime 10.000 porte
  • -Pn per disattivare i controlli ping
  • -T5 per attivare il template di più rapida esecuzione
  • --open per visualizzare solo le porte aperte o potenzialmente aperte
  • 192.168.120.11-14 per eseguire la scansione solo di un breve intervallo di indirizzi IP

 

 

Risultati della scansione delle VM on-premise

 

Possiamo vedere che il livello di sicurezza delle VM on-premise è stato migliorato. In conformità alle policy del firewall che abbiamo impostato in NSX, l'unica porta ora esposta alle altre VM è la SSH (porta 22). Precedentemente, le VM API, DB e Redis avevano tutte le rispettive porte esposte a qualsiasi accesso.

 

Visibilità del traffico


NSX fornisce altri strumenti operativi per la visibilità del traffico dell'ambiente applicativo in esecuzione nei cloud pubblici. Esamineremo alcune funzionalità di NSX per l'aggregazione delle statistiche sul traffico.


 

Passaggio alla scheda del browser NSX Manager

 

  1. Seleziona la scheda del browser NSX Manager che è stata precedentemente aperta in Google Chrome. Nota: l'ordine delle schede del browser potrebbe essere diverso se sono stati completati i moduli precedenti. Digita admin come nome utente e VMware1! come password se la sessione è scaduta.

 

 

Modifica dello zoom del browser

 

  1. Fai clic sui tre punti nell'angolo in alto a destra.
  2. Modifica il livello dello zoom impostandolo sull'80% per migliorare la leggibilità delle informazioni visualizzate nei prossimi passaggi.

 

 

Selezione del menu Firewall

 

  1. Fai clic su Firewall a sinistra.

 

 

Statistiche del firewall

 

  1. Fai clic sull'icona delle statistiche del flusso a destra della prima regola firewall.

 

 

Statistiche del flusso

 

Vengono visualizzati pacchetti, byte e numero di sessioni per questa regola.

 

 

Selezione del menu Switching

 

  1. Fai clic su Switching a sinistra.

 

 

Selezione del menu Ports

 

  1. Fai clic su Ports.

 

 

Selezione della prima porta della VM

 

In questo elenco vengono visualizzate tutte le porte dello switch logico di NSX, oltre alla porta di uplink. I nomi delle porte corrispondono al nome della macchina virtuale o funzione collegata.

  1. Fai clic sulla prima porta logica dell'elenco con il prefisso "Cloud". Si tratta di uno dei front-end web in esecuzione nel cloud pubblico.

 

 

Selezione della scheda Monitor

 

Sono disponibili ulteriori informazioni su questa porta.

  1. Fai clic su Monitor.

 

 

Statistiche della porta

 

NSX fornisce le statistiche sul traffico per questa macchina virtuale front-end web in esecuzione nel cloud pubblico. Inoltre, NSX consente di monitorare queste statistiche nel tempo.

  1. Fai clic su Begin Tracking (Inizia monitoraggio). Verrà aperta un'altra scheda del browser.

 

 

Monitoraggio di una porta

 

Viene aperta una nuova scheda del browser e la porta viene monitorata. Attendi qualche secondo e osserva l'aggiornamento della pagina.

 

Syslog


NSX offre la possibilità di registrare tutte le regole firewall nel server syslog desiderato. Tutte le policy di firewall configurate prevedono la registrazione in syslog (vRealize Log Insight). L'ambiente on-premise è configurato in modo da inviare tutti i registri al server syslog specificato.

Attiveremo la registrazione dai deployment NSX nel cloud pubblico ed esamineremo i registri in vRealize Log Insight. Innanzitutto imposteremo la destinazione syslog sul gateway. Quindi, attiveremo la registrazione per gli agenti. Questa procedura verrà eseguita per entrambi i cloud pubblici distribuiti.


 

Nuova sessione PuTTY

 

  1. Fai clic sull'icona PuTTY nell'angolo superiore sinistro della sessione PuTTY aperta.
  2. Seleziona New Session.

 

 

Individuazione di NSX Manager

 

  1. Seleziona nsxmgr-01a.corp.local.
  2. Fai clic su Load.
  3. Fai clic su Open.

 

 

Immissione della password

 

  1. Digita VMware1! come password.

 

 

Immissione del comando on ?

 

  1. Digita on ? per visualizzare un elenco con le informazioni sul primo gateway.

 

 

Copia/incolla dell'identificatore UUID del primo PCG in "on"

 

  1. Copia la prima voce UUID PCG evidenziandola.
  2. Fai clic con il pulsante destro del mouse nella finestra per incollare la voce accanto a "on".
  3. Premi la barra spaziatrice per aggiungere uno spazio alla fine (non premere Invio).

 

 

Completamento del comando

 

  1. Completa il comando incollando il seguente comando e premendo Invio.
exec set logging-server 192.168.110.24 proto udp level info messageid FIREWALL-PKTLOG

 

 

Registrazione configurata

 

La registrazione è stata configurata sul primo gateway.

 

 

Immissione del comando on ?

 

  1. Digita on ? per visualizzare un elenco con le informazioni sul primo gateway.

 

 

Copia/incolla dell'identificatore UUID del primo PCG in "on"

 

  1. Copia la prima voce UUID PCG evidenziandola.
  2. Fai clic con il pulsante destro del mouse nella finestra per incollare la voce accanto a "on".
  3. Premi la barra spaziatrice per aggiungere uno spazio alla fine (non premere Invio).

 

 

Completamento del comando

 

  1. Completa il comando incollando il seguente comando e premendo Invio.
exec set gw-controller vm-log-forwarding enabled

 

 

Registrazione configurata per l'agente

 

La registrazione è stata configurata sull'agente collegato al primo gateway.

 

 

Immissione del comando on ?

 

  1. Digita on ? per visualizzare un elenco con le informazioni sul secondo gateway.

 

 

Copia/incolla dell'identificatore UUID del secondo PCG in "on"

 

  1. Copia la prima voce UUID PCG evidenziandola.
  2. Fai clic con il pulsante destro del mouse nella finestra per incollare la voce accanto a "on".
  3. Premi la barra spaziatrice per aggiungere uno spazio alla fine (non premere Invio).

 

 

Completamento del comando

 

  1. Completa il comando incollando il seguente comando e premendo Invio.
exec set logging-server 192.168.110.24 proto udp level info messageid FIREWALL-PKTLOG

 

 

Registrazione configurata

 

La registrazione è stata configurata sul secondo gateway.

 

 

Immissione del comando on ?

 

  1. Digita on ? per visualizzare un elenco con le informazioni sul secondo gateway.

 

 

Copia/incolla dell'identificatore UUID del secondo PCG in "on"

 

  1. Copia la prima voce UUID PCG evidenziandola.
  2. Fai clic con il pulsante destro del mouse nella finestra per incollare la voce accanto a "on".
  3. Premi la barra spaziatrice per aggiungere uno spazio alla fine (non premere Invio).

 

 

Completamento del comando

 

  1. Completa il comando incollando il seguente comando e premendo Invio.
exec set gw-controller vm-log-forwarding enabled

 

 

Registrazione configurata per l'agente

 

La registrazione per l'agente è stata configurata sul secondo gateway.

 

 

Apertura delle schede del browser per l'applicazione

 

  1. Fai clic su ogni scheda del browser aperta per l'applicazione e aggiorna entrambe le pagine per generare traffico (utilizza i link URL delle pagine delle informazioni sull'account se le schede sono state chiuse).

 

 

Apertura di una nuova scheda del browser

 

  1. Fai clic sulla scheda vuota in Google Chrome per aprire una nuova scheda del browser.

 

 

Selezione del segnalibro Log Insight

 

  1. Fai clic su segnalibro Log Insight.

 

 

Accesso a Log Insight

 

  1. Digita admin come nome utente.
  2. Digita VMware1! come password.
  3. Fai clic su Login.

 

 

Log Insight

 

Viene visualizzata una pagina con una panoramica generale.

 

 

Selezione del traffico DFW di NSX

 

  1. Fai clic su VMware - NSX-T.
  2. Fai clic su NSX - Distributed Firewall - Traffic.

 

 

Traffico DFW

 

Vengono visualizzate le principali porte/origini/destinazioni firewall, inclusi i nostri front-end web.

Nota: se non viene visualizzato alcun dato, genera più traffico dalle pagine web dell'applicazione oppure modifica l'impostazione "Latest 5 minutes of data" (Ultimi 5 minuiti di dati) in "Latest hour of data" (Ultima ora di dati).

 

 

Analisi interattiva

 

  1. Passa il mouse su Top Firewall Sources (Principali origini firewall) e fai clic sull'icona dell'analisi interattiva.

 

 

Aggiunta di un filtro

 

  1. Fai clic su Add Filter (Aggiungi filtro).

 

 

Aggiunta del filtro NSX-Agent

 

  1. Digita vmw_nsxt_subcomp.
  2. Seleziona contains (Contiene).
  3. Digita nsx-agent.
  4. Fai clic sulla lente di ingrandimento.

 

 

Voce relativa all'agente

 

Possiamo vedere le voci relative agli agenti di NSX.

 

Conclusione


Il modulo 4 e l'Hands-on Lab si concludono qui. L'applicazione distribuita nell'ambiente di cloud ibrido è stata protetta con successo attraverso l'installazione dei componenti di NSX in Amazon Web Services e Microsoft Azure e l'applicazione di policy di sicurezza coerenti alle istanze dell'applicazione. Abbiamo esaminato anche le opzioni di visibilità e registrazione.


 

Congratulazioni, hai completato il modulo 4 e l'Hands-on Lab.

Segui le istruzioni riportate alla fine di questa lezione per terminare il laboratorio. Puoi passare anche a un modulo che ti interessa di più.

 

 

Come terminare il laboratorio

 

Per terminare il lab, fai clic sul pulsante END (Fine).

 

Conclusioni

Grazie per aver partecipato agli Hands-on Lab di VMware. Per continuare la tua esperienza online, consulta gli altri laboratori disponibili sul sito web http://hol.vmware.com/

SKU del laboratorio: HOL-1922-01-NET

Versione: 20190313-170914