Практические занятия VMware - HOL-1922-01-NET


Обзор практического занятия HOL-1922-01-NET «VMware NSX Cloud: начало работы»

Инструкции по практическому занятию


Примечание. На прохождение занятия потребуется более 120 минут. В течение сеанса вы завершите только 2–3 модуля.  Эти модули не зависят друг от друга, поэтому можно начать с любого модуля. Для доступа к каждому модулю можно использовать раздел «Содержание».

Раздел «Содержание» доступен в правом верхнем углу руководства по практическому занятию.

VMware NSX Cloud дает заказчикам возможность абстрагировать политики сети и безопасности и управлять ими в средах общедоступных облаков, например Amazon Web Services (AWS) и Microsoft Azure.

На примере сценария развертывания приложения с минимальными средствами безопасности в средах AWS и Azure мы рассмотрим, как VMware NSX Cloud обеспечивает согласованность эксплуатации благодаря использованию NSX для управления существующей облачной средой и микросегментации, применяемой к облачным рабочим нагрузкам в AWS и Azure.

Список модулей практического занятия:

 Инструкторы:

  • Брайан Хейли (Brian Heili), штатный системный инженер, США
  • Пунит Чаула (Puneet Chawla), архитектор решений, США

 

Данное руководство можно скачать на сайте документации по практическим занятиям по адресу:

http://docs.hol.vmware.com 

Это практическое занятие может быть доступно на других языках.  Чтобы выбрать язык и скачать локализованное руководство вместе с практическим занятием, следуйте инструкциям в этом документе:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Заявление об ограничении ответственности

Данный сеанс может содержать обзор возможностей, находящихся на стадии разработки.

Этот сеанс или обзор новых технологий не подразумевает обязательств компании VMware реализовать эти возможности в выпускаемых продуктах.

Возможности продукта могут быть изменены и не должны быть включены ни в какие договоры, заказы на покупку или торговые соглашения.

Окончательный набор возможностей будет зависеть от технической выполнимости и требований рынка.

Стоимость и комплектация новых технологий и возможностей, представленных или упомянутых в данном документе, не определены.

 

 

Расположение основной консоли

 

  1. Область в КРАСНОМ прямоугольнике содержит основную консоль.  Руководство по практическому занятию находится на вкладке справа от основной консоли.
  2. В практическом занятии могут быть доступны дополнительные консоли, расположенные на отдельных вкладках вверху слева. При необходимости появится запрос на открытие требуемой консоли.
  3. В начале практического занятия таймер показывает 90 минут.  Это практическое занятие нельзя сохранить.  Всю работу необходимо завершить в течение одного сеанса.  Вы также можете нажать EXTEND («ПРОДЛИТЬ»), чтобы увеличить время.  Если вы находитесь на мероприятии VMware, длительность практического занятия можно увеличить дважды (на 30 минут в целом).  Каждое нажатие кнопки увеличивает длительность на 15 минут.  Вне мероприятий VMware длительность практического занятия можно увеличить до 9 часов 30 минут. Каждое нажатие кнопки увеличивает длительность на один час.

 

 

Альтернативные способы ввода данных с клавиатуры

В ходе этого модуля вы будете вводить текст в основной консоли. Помимо прямого ввода текста, существует два полезных метода ввода комплексных данных.

 

 

Перетаскивание содержимого руководства по практическому занятию в активное окно консоли

 
 

Вы также можете перетащить текст и команды интерфейса командной строки напрямую из руководства по практическому занятию в активное окно основной консоли.  

 

 

Доступ к международной клавиатуре в Интернете

 

Вы также можете использовать международную клавиатуру в Интернете, доступную в основной консоли.

  1. Нажмите значок клавиатуры на панели быстрого запуска Windows.

 

 

Одно нажатие в активном окне консоли

 

В этом примере вы используете интернет-клавиатуру для ввода символа «@», который используется в адресах электронной почты. Для ввода символа «@» на клавиатуре с английской раскладкой (США) необходимо нажать клавиши Shift+2.

  1. Нажмите один раз в активном окне консоли.
  2. Нажмите клавишу Shift.

 

 

Нажатие клавиши «@»

 

  1. Нажмите клавишу «@».

Обратите внимание на появление символа «@» в активном окне консоли.

 

 

Запрос активации или водяной знак

 

В начале практического занятия вы можете заметить водяной знак на виртуальном компьютере. Это указывает на то, что операционная система Windows не активирована.  

Одно из главных преимуществ виртуализации — возможность перемещения и выполнения виртуальных машин на любой платформе. В практических занятиях используется это преимущество, и их можно выполнять в нескольких ЦОД.  Однако эти ЦОД могут быть оснащены разными процессорами, поэтому происходит проверка активации Microsoft через Интернет.

Решения VMware и практические занятия полностью соответствуют требованиям Microsoft к лицензированию.  Текущее практическое занятие — это полностью изолированный модуль без полного доступа к Интернету, который требуется Windows для проверки активации.  Без полного доступа к Интернету этот автоматический процесс завершается с ошибкой и появляется данный водяной знак.

Эта небольшая проблема никак не влияет на практическое занятие.  

 

 

Посмотрите на нижнюю правую часть экрана

 

Перед началом убедитесь, что все процедуры подготовки практического занятия завершены. Если на экране отображается любое другое сообщение, кроме Ready («Готово»), подождите несколько минут.  Если через 5 минут сообщение не изменилось на Ready («Готово»), обратитесь за помощью.

 

Модуль 1. Общие сведения о гибридных средах, объединяющих локальные центры обработки данных и общедоступные облака (30 минут)

Введение


Компоненты плоскостей управления и контроля NSX, а также части приложения были инициализированы в нашем локальном центре обработки данных. Веб-уровень интерфейса нашего приложения был развернут в средах AWS и Azure. Мы рассмотрим иерархию компонентов.


Обзор решения


Это практическое занятие содержит много предварительно настроенных элементов, необходимых для последующих уроков. Мы ознакомимся с кратким обзором настроенного решения и узнаем о возможностях настроенной среды практического занятия.

Мы рассмотрим следующие конфигурации.


 

Обзор решения

Компаниям, которые переносят рабочие нагрузки в общедоступные облака, необходимо расширить политики сети и безопасности программных ЦОД на эти общедоступные среды. Благодаря такому расширению рабочие нагрузки можно выполнять в общедоступных облаках с помощью тех же средств управления, которые используются в локальном ЦОД. VMware NSX Cloud предоставляет компаниям возможность расширить корпоративные политики безопасности, управления и соответствия нормативным требованиям.

NSX помогает решить основные проблемы, связанные с сетью и безопасностью, с которыми компании сталкиваются в средах общедоступных облаков.

 

 

Компоненты решения

 

Решение состоит из перечисленных ниже компонентов, каждый из которых будет рассмотрен в следующих уроках.

 

 

Топология практического занятия

 

На рисунке выше представлена инициализированная среда, которая используется во время уроков в рамках этого практического занятия. Для этой среды рассматривается сценарий, при котором разработчик развертывает приложение с компонентами в локальном центре обработки данных, средах Microsoft Azure и Amazon Web Services (AWS). При развертывании приложения не использовались политики безопасности, соответствующие корпоративным стандартам компании, поэтому будет необходимо применить согласованные политики к среде приложения с помощью NSX.

Для развертывания VMware NSX Cloud необходимо наличие одной или нескольких сред общедоступного облака. Компоненты плоскости управления (NSX Manager и Cloud Services Manager) и плоскости контроля (NSX Controller) были предварительно настроены в локальном центре обработки данных.

 

Проверка готовности практического занятия


Это практическое занятие содержит много предварительно настроенных элементов, необходимых для последующих уроков. Мы ознакомимся с кратким обзором настроенного решения и узнаем о возможностях настроенной среды практического занятия.

Мы рассмотрим следующие конфигурации.


 

Практическое занятие должно быть в состоянии Ready («Готово»)

 

Перед началом убедитесь, что все процедуры подготовки практического занятия завершены. Если на экране отображается любое другое сообщение, кроме Ready («Готово»), подождите несколько минут.  Если через 5 минут сообщение не изменилось на Ready («Готово»), обратитесь за помощью.

Если продолжить при состоянии, отличном от Ready («Готово»), занятие не будет работать.

 

 

Страница состояния инициализации практического занятия

В настоящее время выполняется инициализация практического занятия в средах AWS и Azure. На специальной веб-странице будет отображаться состояние ресурсов практического занятия, которые инициализируются в средах AWS и Azure в рамках подготовки этого занятия.

ПРИМЕЧАНИЕ. Ресурсы, инициализированные в средах Amazon Web Services и Microsoft Azure, доступны только в основной консоли среды практического занятия.

Инициализация практического занятия может занять 10–15 минут.

 

 

Открытие Google Chrome

 

  1. Нажмите значок Chrome на панели быстрого запуска Windows.

 

 

Домашняя страница данных учетной записи

 

В качестве домашней страницы Chrome установлена страница данных учетной записи, на которой также отображается состояние инициализации практического занятия.

  1. В поле Email Address («Адрес электронной почты») введите адрес электронной почты, который использовался при регистрации для практического занятия.
  2. Введите VMware1! в поле Password («Пароль»).
  3. Нажмите кнопку Login («Вход»).

 

 

Завершение инициализации практического занятия

 

Когда процесс инициализации завершится, откроется страница данных учетной записи. Этот процесс может занять 10–15 минут. В модулях практического занятия мы будем часто возвращаться на эту страницу.

 

Установка VPN-подключения к общедоступным облакам


Для этого практического занятия необходимо установить VPN-подключение к AWS и Azure. Мы проверим доступ к веб-интерфейсу с помощью удобной проверки связи.

Примечание. Если какая-либо из проверок связи завершится с ошибкой, обратитесь за помощью, прежде чем продолжить работу с занятием.


 

Открытие командной строки

 

  1. Нажмите значок командной строки на панели быстрого запуска Windows.

 

 

Проверка связи с экземпляром веб-интерфейса Azure

 

  1. Чтобы проверить связь с экземпляром веб-интерфейса Azure, введите следующую команду.
ping 172.18.10.4

 

 

Успешное подключение к Azure

 

Если приходят ответы, подключение к Azure установлено.

 

 

Проверка связи с экземпляром веб-интерфейса AWS

 

  1. Чтобы проверить связь с экземпляром веб-интерфейса AWS, введите следующую команду.
ping 172.15.10.4

 

 

Успешное подключение к AWS

 

Если приходят ответы, подключение к AWS установлено.

 

Обзор локальной среды


Среда локального ЦОД содержит компоненты плоскостей управления и контроля NSX, а также несколько виртуальных машин для приложения, безопасность которого мы будем обеспечивать на этом практическом занятии.


 

Топология локальной среды

 

Среда vPod нашего практического занятия выполняет функцию среды локального ЦОД. Мы развернули компоненты плоскостей управления и контроля NSX. Кроме того, мы развернули 4 ВМ приложений и баз данных для поддержки виртуальных машин веб-интерфейса, выполняемых в наших средах AWS и Azure.

Примечание. Чтобы сократить время подготовки к практическому занятию, развертывание решения NSX было выполнено в минимальной комплектации. Такая модель развертывания не поддерживается и не является рекомендованной.

 

 

Открытие новой вкладки в браузере

 

  1. Чтобы открыть новую вкладку в браузере Google Chrome, нажмите Empty Tab («Новая вкладка»).

 

 

Открытие vCenter

 

  1. Нажмите закладку vCenter.

 

 

Вход в vCenter

 

  1. Введите administrator@corp.local в поле User name («Имя пользователя»).
  2. Введите VMware1! в поле Password («Пароль»).
  3. Нажмите кнопку Login («Вход»).

 

 

Просмотр иерархии

 

  1. Разверните элемент RegionA01.
  2. Разверните элемент RegionA01-COMP01.

 

 

Иерархия ВМ

 

В нашем локальном центре обработки данных уже выполняются ВМ плоскостей управления и контроля NSX и четыре ВМ приложений.

  1. Мы развернули три ВМ плоскостей управления и контроля NSX.
  2. Мы развернули четыре локальных ВМ приложений.

Примечание. Возможности ВМ NSX описаны в модуле 3.

 

Обзор среды Microsoft Azure


Рассмотрим компоненты приложения в Microsoft Azure, настроенные в среде практического занятия.


 

Виртуальная вычислительная сеть

 

В виртуальной вычислительной сети в Azure были настроены указанные ниже компоненты.

Службы Azure

ВМ веб-уровня приложения

Описанный шлюз NSX Cloud Gateway будет развертываться в рамках упражнений на этом практическом занятии.

 

Доступ к консоли управления Microsoft Azure


Виртуальная машина веб-интерфейса приложения для этого занятия выполняется в Azure. В течение этого занятия вам будет необходимо переходить в консоль управления Azure для проверки иерархии и конфигураций. В ходе этого урока будет настроен доступ к консоли управления Azure.


 

Доступ к консоли управления Azure

 

  1. Перейдите на открытую ранее вкладку Account Information («Данные учетной записи»). Если эта вкладка была закрыта, откройте новую и нажмите закладку Account Info («Данные учетной записи»).

 

 

Найдите URL-адрес консоли управления Azure

 

  1. Чтобы открыть новую вкладку в браузере и подключиться к консоли управления Azure, перейдите по ссылке в поле Console URL («URL-адрес консоли»).

 

 

Ввод адреса электронной почты Azure

 

  1. Скопируйте или введите адрес электронной почты для учетной записи Azure, указанный в поле Username («Имя пользователя») на странице Account Information («Данные учетной записи»).
  2. Нажмите кнопку Next («Далее»).

 

 

 

Ввод пароля Azure

 

  1. Скопируйте или введите пароль для учетной записи Azure со страницы Account Information («Данные учетной записи»).
  2. Нажмите кнопку Sign In («Вход»).

 

 

 

Отказ от сохранения данных для входа

 

  1. Если отобразится этот экран, нажмите кнопку No («Нет»).

 

 

Консоль управления Azure

 

Откроется страница консоли управления Azure.

 

Просмотр иерархии Microsoft Azure


В этом уроке мы рассмотрим компоненты Microsoft Azure, которые входят в решение.

Обратите внимание, что на некоторых экранах иерархии Azure могут отображаться удаленные, прерванные, отсоединенные и другие элементы, которые отличаются от представленных на снимках экрана. Это элементы, созданные в ходе предыдущего практического занятия. Они были удалены, но еще не стерты из пользовательского интерфейса Azure.


 

Просмотр настроенных виртуальных сетей

 

  1. Нажмите Virtual networks («Виртуальные сети») в левой части консоли управления Azure.

 

 

Просмотр настроенных виртуальных сетей

 

В этом регионе Azure, в котором развернута виртуальная машина приложения, настроена только одна виртуальная сеть.

 

 

Нажатие элемента Virtual Machines («Виртуальные машины»)

 

  1. Нажмите элемент Virtual machines («Виртуальные машины») в левой части консоли управления Azure.

 

 

Просмотр виртуальных машин приложения в среде Azure

 

В этом практическом занятии используются три ВМ:

 

 

Выбор ВМ веб-уровня

 

  1. Выберите виртуальную машину hol1922-ps-web01.

 

 

Нажатие элемента Networking («Сеть»)

 

  1. Нажмите элемент Networking («Сеть»).

 

 

Настроенные группы безопасности сети

 

Настроена одна группа безопасности сети. Мы более подробно рассмотрим настроенные правила в модуле 2.

 

Обзор среды Amazon Web Services


Рассмотрим компоненты приложения в Amazon Web Services, настроенные в среде практического занятия.


 

Облако Compute VPC

 

В облаке Compute Virtual Private Cloud (Compute VPC) в AWS были настроены указанные ниже компоненты.

Службы AWS

Экземпляр веб-уровня приложения

Описанный шлюз NSX Cloud Gateway будет развертываться в рамках упражнений на этом практическом занятии.

 

Доступ к консоли управления Amazon Web Services


Экземпляр веб-интерфейса приложения выполняется в Amazon Web Services. В течение этого занятия вам будет необходимо переходить в консоль управления AWS для проверки иерархии и конфигураций. В ходе этого урока будет настроен доступ к консоли управления AWS.


 

Доступ к консоли управления AWS

 

  1. Перейдите на открытую ранее вкладку Account Information («Данные учетной записи»). Если эта вкладка была закрыта, откройте новую и нажмите закладку Account Info («Данные учетной записи»).

 

 

Найдите URL-адрес консоли управления AWS

 

  1. Чтобы открыть новую вкладку в браузере и подключиться к консоли управления AWS, перейдите по ссылке в поле Console URL («URL-адрес консоли»).

 

 

Вход в консоль AWS

 

  1. Введите vmware_hol_user в поле IAM User Name («Имя пользователя IAM»). Примечание. В разных средах практического занятия учетная запись может отличаться от указанной.
  2. Скопируйте или введите пароль со страницы Account Information («Данные учетной записи»).
  3. Нажмите кнопку Sign In («Вход»).

 

 

 

Консоль управления AWS

 

Откроется страница консоли управления AWS.

 

 

Изменение масштаба в браузере

 

Чтобы повысить удобство чтения текста на некоторых экранах в рамках этого практического занятия, рекомендуется установить для параметра Zoom («Масштаб») в Google Chrome значение не менее 90%.

  1. Чтобы отобразить раскрывающееся меню, нажмите кнопку в виде трех точек в правом верхнем углу браузера.
  2. Нажмите знак «» рядом с параметром Zoom («Масштаб»), чтобы задать значение 90%.

 

 

Выбор региона

 

Убедитесь, что в консоли отображаются ресурсы для региона North California («Северная Калифорния»). Если выбран другой регион, ресурсы практического занятия не отобразятся.

  1. Нажмите элемент Region Name («Название региона») слева от элемента Support («Поддержка») в правом верхнем углу.
  2. Выберите пункт US West (N. California) («Запад США (Северная Калифорния)»).

 

Просмотр иерархии Amazon Web Services


В этом уроке мы рассмотрим компоненты Amazon Web Services и NSX, которые входят в решение.

Обратите внимание, что на некоторых экранах иерархии AWS могут отображаться удаленные, прерванные, отсоединенные и другие элементы, которые отличаются от представленных на снимках экрана. Это элементы, созданные в ходе предыдущего практического занятия. Они были удалены, но еще не стерты из пользовательского интерфейса AWS.


 

Просмотр настроенных облаков Virtual Private Cloud

 

  1. Нажмите Services («Службы») в левом верхнем углу консоли управления AWS.
  2. В разделе Network & Content Delivery («Предоставление сетей и содержимого») нажмите VPC.

 

 

Нажатие элемента Your VPCs («Ваши облака VPC»)

 

  1. В разделе VPC Dashboard («Панель мониторинга VPC») нажмите Your VPCs («Ваши облака VPC»).

 

 

Просмотр настроенных облаков VPC

 

В этом регионе AWS, в котором развернут экземпляр приложения, настроено только одно облако VPC. В каждом модуле практического занятия будут использоваться разные идентификаторы VPC.

 

 

Нажатие элемента Security Groups («Группы безопасности»)

 

  1. В разделе Security («Безопасность») слева нажмите элемент Security Groups («Группы безопасности»).

 

 

Просмотр настроенных групп безопасности

 

Для облаков Compute VPC настроены группы безопасности, благодаря которым экземпляры EC2 могут обмениваться данными с облаком VPC.  Мы более подробно рассмотрим настроенные правила в модуле 2.

 

 

Нажатие элемента EC2

 

  1. Нажмите Services («Службы») в левом верхнем углу консоли управления AWS.
  2. В разделе Compute («Вычислительные ресурсы») нажмите EC2.

 

 

Нажатие элемента Instances («Экземпляры»)

 

  1. В разделе EC2 Dashboard («Панель мониторинга EC2») нажмите Instances («Экземпляры»).

 

 

Уведомление об изменениях пользовательского интерфейса

 

  1. Если откроется указанное выше окно, нажмите X, чтобы закрыть уведомление.

 

 

Раскрытие столбца

 

  1. Чтобы развернуть столбец Name («Имя»), перетащите маркер края этого столбца.

 

 

Просмотр экземпляров EC2 NSX

 

В этом практическом занятии используются три экземпляра EC2:

 

Заключение


На этом модуль 1 завершается. Мы выполнили вход в консоль управления каждой среды размещения и рассмотрели компоненты решения, развернутые в многооблачной среде для поддержки нашего приложения.


 

На этом модуль 1 завершен.

Теперь можно перейти к модулю 2 для проверки возможностей приложения. Кроме того, можно перейти к другим интересующим вас модулям.

 

Модуль 2. Проверка возможностей приложения (15 минут)

Введение


В сценарии этого практического занятия разработчик приложений развернул приложение, состоящее из нескольких служб, в средах Amazon Web Services и Microsoft Azure. Большинство служб приложения развернуто в локальном центре обработки данных. В средах AWS и Azure развернут дополнительный экземпляр для веб-интерфейса.


 

Схема приложения

 

Приложение состоит из нескольких служб, развернутых в локальной среде и в средах Amazon Web Services и Microsoft Azure.

В средах AWS и Azure будет развернут экземпляр службы веб-интерфейса. Остальные службы (API-интерфейса, БД, Redis и ADSB) будут выполняться в локальном ЦОД. Обновленные данные о местонахождении самолетов передаются из Интернета в локальный ЦОД.

 

Просмотр политик безопасности


Рассмотрим политики безопасности, которые разработчик применил к веб-интерфейсу приложения при его развертывании. Поскольку платформа NSX еще не развернута, применяются политики безопасности, настроенные в средах Amazon Web Services и Microsoft Azure.

К локальным виртуальным машинам приложения не применяются политики безопасности. Безопасность этих ВМ будет обеспечена при развертывании и настройке NSX.


 

Открытие Google Chrome

 

  1. Нажмите значок Chrome на панели быстрого запуска Windows (или откройте браузер Chrome, если он уже запущен).

 

 

Домашняя страница данных учетной записи

 

В качестве домашней страницы Chrome установлена страница данных учетной записи, на которой также отображается состояние инициализации практического занятия. Если вы завершили предыдущий урок, можно выбрать открытую вкладку с данными учетной записи и перейти к следующему шагу.

  1. В поле Email Address («Адрес электронной почты») введите адрес электронной почты, который использовался при регистрации для практического занятия.
  2. Введите VMware1! в поле Password («Пароль»).
  3. Нажмите кнопку Login («Вход»).

 

 

Завершение инициализации практического занятия

 

Когда процесс инициализации завершится, откроется страница данных учетной записи. Этот процесс может занять 10–15 минут. В модулях практического занятия мы будем часто возвращаться на эту страницу.

 

 

Найдите URL-адрес консоли управления AWS

 

  1. Перейдите по ссылке в поле Console URL («URL-адрес консоли»), чтобы открыть новую вкладку в браузере и подключиться к консоли управления AWS (или перейдите на открытую вкладку AWS в Chrome, если вход уже выполнен).

 

 

Вход в консоль AWS

 

  1. Введите vmware_hol_user в поле IAM User Name («Имя пользователя IAM»).
  2. Скопируйте или введите пароль со страницы Account Information («Данные учетной записи»).
  3. Нажмите кнопку Sign In («Вход»).

 

 

 

Изменение масштаба в браузере

 

Чтобы повысить удобство чтения текста на некоторых экранах в рамках этого практического занятия, рекомендуется установить для параметра Zoom («Масштаб») в Google Chrome значение не менее 90%.

  1. Чтобы отобразить раскрывающееся меню, нажмите кнопку в виде трех точек в правом верхнем углу браузера.
  2. Нажмите знак «» рядом с параметром Zoom («Масштаб»), чтобы задать значение 90%.

 

 

Выбор региона

 

Убедитесь, что в консоли отображаются ресурсы для региона North California («Северная Калифорния»).

  1. Нажмите элемент Region Name («Название региона») слева от элемента Support («Поддержка») в правом верхнем углу.
  2. Выберите пункт US West (N. California) («Запад США (Северная Калифорния)»).

 

 

Переход в раздел EC2 Dashboard («Панель мониторинга EC2»)

 

  1. Нажмите Services («Службы») в левом верхнем углу консоли управления AWS.
  2. В разделе Compute («Вычислительные ресурсы») нажмите EC2.

 

 

Переход к развернутым экземплярам

 

  1. В разделе EC2 Dashboard («Панель мониторинга EC2») нажмите Instances («Экземпляры»).

 

 

Уведомление об изменениях пользовательского интерфейса

 

  1. Если откроется указанное выше окно, нажмите X, чтобы закрыть уведомление.

 

 

Раскрытие столбца

 

  1. Чтобы развернуть столбец Name («Имя»), перетащите маркер края этого столбца.

 

 

Выбор экземпляра hol1922-ps-web01

 

  1. Выберите экземпляр hol1922-ps-web01.

 

 

Открытие правил входящего трафика

 

  1. На вкладке Description («Описание») выбранного экземпляра нажмите view inbound rules («Просмотр правил входящего трафика») в нижней части экрана. В этом экземпляре настроена группа безопасности AWS для облака Compute-VPC.

 

 

Просмотр настроенных политик безопасности AWS

 

Отобразится список политик, которые применяются к этому экземпляру. Веб- и SSH-трафик разрешены в главной консоли практического занятия (диапазоны исходных IP-адресов могут различаться). В среде AWS VPC разрешен весь трафик.

 

 

Открытие вкладки данных учетной записи

 

  1. Нажмите вкладку Account Info («Данные учетной записи») в браузере Google Chrome.

 

 

Найдите URL-адрес консоли управления Azure

 

  1. Перейдите по ссылке в поле Console URL («URL-адрес консоли»), чтобы открыть новую вкладку в браузере и подключиться к консоли управления Azure (или перейдите на открытую вкладку Azure в Chrome, если вход уже выполнен).

 

 

Ввод адреса электронной почты Azure

 

  1. Скопируйте или введите адрес электронной почты для учетной записи Azure со страницы Account Information («Данные учетной записи»).
  2. Нажмите кнопку Next («Далее»).

 

 

 

Ввод пароля Azure

 

  1. Скопируйте или введите пароль для учетной записи Azure со страницы Account Information («Данные учетной записи»).
  2. Нажмите кнопку Sign In («Вход»).

 

 

 

Отказ от сохранения данных для входа

 

  1. Если отобразится этот экран, нажмите кнопку No («Нет»).

 

 

Консоль управления Azure

 

Откроется страница консоли управления Azure.

 

 

Нажатие элемента Virtual Machines («Виртуальные машины»)

 

  1. Нажмите Virtual machines («Виртуальные машины») в левой части консоли управления Azure.

 

 

Выбор ВМ веб-уровня

 

  1. Выберите виртуальную машину hol1922-ps-web01.

 

 

Нажатие элемента Networking («Сеть»)

 

  1. Нажмите элемент Networking («Сеть»).

 

 

Настроенные группы безопасности сети

 

Отобразится список политик, которые применяются к этой виртуальной машине. Веб- и SSH-трафик разрешены в главной консоли практического занятия (диапазоны исходных IP-адресов могут различаться). В среде виртуальной сети разрешен весь трафик между виртуальными машинами приложения.

 

Проверка приложения в Azure


Разработчик развернул веб-интерфейс для приложения в среде Microsoft Azure. В следующих уроках мы будем использовать NSX для обеспечения безопасности этого приложения. Мы проверим возможности приложения, доступные до развертывания NSX.


 

Доступ к данным учетной записи

 

  1. Перейдите на открытую ранее вкладку Account Information («Данные учетной записи»). Если эта вкладка была закрыта, откройте новую и нажмите закладку Account Info («Данные учетной записи»).

 

 

Найдите сведения о веб-экземпляре

 

  1. Чтобы открыть новую вкладку в браузере и подключиться к приложению, перейдите по ссылке в поле Web Frontend Instance Public URL («Общедоступный URL-адрес экземпляра веб-интерфейса»).

 

 

Проверка работоспособности приложения

 

Убедитесь, что приложение работает. IP-адрес сервера, отображающего страницу, сохранен. Веб-интерфейс работает, и можно продолжить проверку остальных компонентов приложения.

  1. Нажмите элемент App Health («Работоспособность приложения»).

 

 

Работоспособность приложения в Azure

 

Все компоненты приложения успешно обмениваются данными между средой Azure и локальным ЦОД.

 

Проверка приложения в AWS


Разработчик развернул веб-интерфейс для приложения в среде Amazon Web Services. В следующих уроках мы будем использовать NSX для обеспечения безопасности этого приложения. Мы проверим возможности приложения, доступные до развертывания NSX.


 

Доступ к данным учетной записи

 

  1. Перейдите на открытую ранее вкладку Account Information («Данные учетной записи»). Если эта вкладка была закрыта, откройте новую и нажмите закладку Account Info («Данные учетной записи»).

 

 

Найдите сведения о веб-экземпляре

 

  1. Чтобы открыть новую вкладку в браузере и подключиться к приложению, перейдите по ссылке в поле Web Frontend Instance Public URL («Общедоступный URL-адрес экземпляра веб-интерфейса»).

 

 

Проверка работоспособности приложения

 

Убедитесь, что приложение работает. IP-адрес сервера, отображающего страницу, сохранен. Веб-интерфейс работает, и можно продолжить проверку остальных компонентов приложения.

  1. Нажмите элемент App Health («Работоспособность приложения»).

 

 

Работоспособность приложения в AWS

 

Все компоненты приложения успешно обмениваются данными между средой AWS и локальным ЦОД.

 

Проверка портов в средах приложений


Чтобы смоделировать потенциальные действия злоумышленника, в основной консоли мы установили служебную программу nmap для проверки портов в среде приложения в локальном ЦОД, Amazon Web Services и Microsoft Azure. Мы проверим IP-адреса серверов веб-интерфейса приложения и локальных виртуальных машин, а также открытые порты.


 

Запуск nmap

 

  1. Нажмите значок Zenmap nmap на панели задач.

 

 

Проверка диапазона IP-адресов локальной подсети приложения с помощью nmap

 

  1. Скопируйте или введите следующую команду в поле Command («Команда»). Если в поле введены другие команды, их нужно предварительно стереть.
nmap -p 10-10000 -T5 -Pn --open 192.168.120.11-14
  1. Чтобы начать проверку, нажмите кнопку Scan («Проверка»).

Чтобы ускорить выполнение проверки и предотвратить перегруженность, для сканера nmap используются следующие параметры.

  • -p 10-10000 — проверка первых 10 000 портов
  • -Pn — отключение проверок связи
  • -T5 — включение шаблона с самым коротким сроком выполнения
  • --open — отображение только открытых или возможно открытых портов
  • 192.168.120.11-14 — проверка только небольшого диапазона IP-адресов

 

 

Результаты проверки локальных ВМ

 

В результатах проверки видны порты, открытые для всех типов трафика, и, кроме того, для всех ВМ включена передача данных по протоколу SSH (порт 22).

  • В ВМ ps-api01a (.11) открыт порт 80.
  • В ВМ ps-db01a (.12) открыт порт 3306.
  • В ВМ ps-redis01a (.13) открыт порт 6379.

Это также значит, что у всех виртуальных машин или экземпляров будет непосредственный доступ к базе данных и службе Redis. Такое горизонтальное перемещение в нашей среде представляет опасность и открывает возможности для атаки или вредоносных действий.

 

 

Проверка nmap на веб-серверах

 

  1. Введите следующую команду в поле Command («Команда») (обратите внимание на пробел между IP-адресами).
nmap -F -Pn -T5 --open 172.18.10.4 172.15.10.4
  1. Чтобы начать проверку, нажмите кнопку Scan («Проверка»).

Чтобы ускорить выполнение проверки и предотвратить перегруженность, для сканера nmap используются следующие параметры.

  • -F — выполнение ускоренной проверки для меньшего числа портов
  • -Pn — отключение проверок связи
  • -T5 — включение шаблона с самым коротким сроком выполнения
  • --open — отображение только открытых или возможно открытых портов
  • 172.18.10.4 172.15.10.4 — проверка только двух IP-адресов

 

 

Результаты проверки веб-серверов

 

На обоих веб-серверах в средах AWS и Azure порт 80 открыт для всех служб, а также разрешена передача данных по протоколу SSH (порт 22).

 

Заключение


На этом модуль 2 завершается. Мы проверили работоспособность приложения в локальном ЦОД, средах AWS и Azure. В ходе проверки применяемых политик безопасности мы обнаружили, что некоторые компоненты приложения могут быть уязвимы из-за возможности несанкционированного доступа и вредоносных атак. Наконец, мы проверили открытые порты и возможности доступа с помощью стандартного сканера безопасности.


 

На этом модуль 2 завершен.

Теперь можно перейти к модулю 3, в котором содержатся общие сведения о компонентах управления NSX. Кроме того, можно перейти к другим интересующим вас модулям.

 

Модуль 3. Общие сведения о компонентах управления NSX (15 минут)

Введение


В среде локального ЦОД развертываются отдельные виртуальные машины, являющиеся компонентами решения VMware NSX Cloud, которые поддерживают пользовательский интерфейс управления и эксплуатации этого решения. К ним относятся:

  • NSX Cloud Services Manager
  • NSX Manager

NSX Cloud Services Manager управляет полным жизненным циклом развернутых компонентов NSX в средах AWS и Azure и обеспечивает единое представление NSX Manager и иерархии общедоступного облака. Кроме того, NSX Cloud Services Manager предоставляет следующие возможности.

  • Развертывание и обновление шлюза NSX Cloud Gateway
  • Обновление агента NSX через шлюз NSX Cloud Gateway
  • Резервное копирование и восстановление

NSX Manager предоставляет графический интерфейс пользователя и API-интерфейсы REST для создания, настройки и мониторинга компонентов NSX, например контроллеров NSX Controller и логических коммутаторов. NSX Manager представляет собой плоскость управления для экосистемы NSX. Это компонент NSX для централизованного управления сетью, обеспечивающий единое представление. NSX Manager предоставляет способ мониторинга рабочих нагрузок, которые связаны с виртуальными сетями, созданными NSX, а также метод поиска и устранения неполадок, связанных с этими рабочими нагрузками. Это решение обеспечивает настройку и управление для следующих элементов.

  • Компоненты логической сети: логические коммутаторы и маршрутизаторы
  • Сетевые службы и службы Edge
  • Службы безопасности и распределенный брандмауэр

Проверка готовности практического занятия


Чтобы пройти уроки в этом модуле, вам необходимо подключение к средам Microsoft Azure и Amazon Web Services. Следует уделить несколько минут проверке соответствующих возможностей подключения, особенно если не были завершены предыдущие три модуля.


 

Практическое занятие должно быть в состоянии Ready («Готово»)

 

Перед началом убедитесь, что все процедуры подготовки практического занятия завершены. Если на экране отображается любое другое сообщение, кроме Ready («Готово»), подождите несколько минут.  Если через 5 минут сообщение не изменилось на Ready («Готово»), обратитесь за помощью.

Если продолжить при состоянии, отличном от Ready («Готово»), занятие не будет работать.

 

 

Страница состояния инициализации практического занятия

В настоящее время выполняется инициализация практического занятия в средах AWS и Azure. На специальной веб-странице будет отображаться состояние ресурсов практического занятия, которые инициализируются в средах AWS и Azure в рамках подготовки этого занятия.

ПРИМЕЧАНИЕ. Ресурсы, инициализированные в средах Amazon Web Services и Microsoft Azure, доступны только в основной консоли среды практического занятия.

Инициализация практического занятия может занять 10–15 минут.

 

 

Открытие Google Chrome

 

  1. Нажмите значок Chrome на панели быстрого запуска Windows.

 

 

Домашняя страница данных учетной записи

 

В качестве домашней страницы Chrome установлена страница данных учетной записи, на которой также отображается состояние инициализации практического занятия.

  1. В поле Email Address («Адрес электронной почты») введите адрес электронной почты, который использовался при регистрации для практического занятия.
  2. Введите VMware1! в поле Password («Пароль»).
  3. Нажмите кнопку Login («Вход»).

 

 

Завершение инициализации практического занятия

 

Когда процесс инициализации завершится, откроется страница данных учетной записи. Этот процесс может занять 10–15 минут. В модулях практического занятия мы будем часто возвращаться на эту страницу.

 

Вход в NSX Cloud Services Manager


Одна из возможностей NSX Cloud Services Manager — это единое представление иерархий NSX и сред общедоступного облака. В этом уроке мы выполним вход в NSX Cloud Services Manager.


 

Открытие новой вкладки в браузере

 

  1. Чтобы открыть новую вкладку в браузере Google Chrome, нажмите Empty Tab («Новая вкладка»).

 

 

Закладка NSX Cloud Services Manager

 

  1. Нажмите закладку CSM, чтобы подключиться к консоли NSX Cloud Services Manager.

 

 

Проверка сертификатов

 

Некоторые части этой среды практического занятия создавались по требованию, поэтому сертификаты еще не стали доверенными. При развертывании в рабочей среде создается доверенный сертификат, с помощью которого обеспечивается безопасность подключения. Чтобы продолжить вход в систему, выполните указанные ниже действия.

  1. Нажмите кнопку Advanced («Дополнительные сведения»).
  2. Нажмите ссылку Proceed («Продолжить»).

 

 

Вход в NSX Cloud Services Manager

 

  1. В поле Username («Имя пользователя») введите admin.
  2. Введите VMware1! в поле Password («Пароль»).
  3. Нажмите кнопку Log In («Вход»).

 

Просмотр настроенной учетной записи и иерархии AWS


NSX Cloud Services Manager обеспечивает единое представление иерархий NSX и AWS. Мы рассмотрим иерархию, представленную в NSX Cloud Services Manager, и сравним ее с иерархией AWS.


 

Конфигурация и иерархия Cloud Services Manager (CSM)

 

  1. Нажмите Clouds («Облака»).
  2. Выберите AWS.

 

 

Просмотр данных учетной записи AWS

 

Данные учетной записи AWS были настроены в Cloud Services Manager. Для каждого модуля практического занятия эти данные будут разными.

 

 

Просмотр количества настроенных облаков VPC

 

В учетной записи AWS настроены несколько облаков VPC в различных регионах.

 

 

Просмотр количества настроенных экземпляров

 

В этой учетной записи AWS выполняются 3 экземпляра.

 

 

Нажатие элемента VPCs («Облака VPC»)

 

  1. Нажмите VPCs («Облака VPC»).

 

 

Уменьшение числа облаков VPC в представлении

 

  1. Чтобы уменьшить число облаков VPC в представлении, выберите элемент us-west-1 в раскрывающемся меню Region («Регион»).

 

 

 

Просмотр VPC

 

На рисунке представлено облако VPC, которое отображалось в иерархии AWS в предыдущих уроках.

 

 

NSX не используется для управления облаком VPC

 

Для облака Compute-VPC отображается состояние «NSX Managed — No» («Под управлением NSX — Нет»). Позже в этом практическом занятии мы развернем компоненты NSX в VPC для управления работающими экземплярами AWS EC2.

 

 

Нажатие элемента Instances («Экземпляры»)

 

  1. Нажмите элемент Instances («Экземпляры»).

 

 

Убедитесь в том, что NSX не используется для управления экземплярами

 

Отобразится список экземпляров AWS EC2 для приложения, которые были представлены в иерархии AWS. Индикатор состояния NSX не обозначен зеленым цветом, поскольку компоненты NSX не развернуты.

 

Вход в NSX Manager


NSX Manager — это централизованная плоскость управления для решения, с помощью которой мы настроим политики безопасности для приложения и проверим успешность развертывания NSX в средах Amazon Web Services и Microsoft Azure. В этом уроке мы выполним вход в NSX Manager.


 

Открытие новой вкладки в браузере

 

  1. Чтобы открыть новую вкладку в браузере Google Chrome, нажмите Empty Tab («Новая вкладка»).

 

 

Закладка NSX Manager

 

  1. Нажмите закладку NSX Manager, чтобы подключиться к консоли NSX Manager.

 

 

Вход в NSX Manager

 

  1. В поле Username («Имя пользователя») введите admin.
  2. Введите VMware1! в поле Password («Пароль»).
  3. Нажмите кнопку Log In («Вход»).

 

Просмотр настроенной учетной записи и иерархии Azure


NSX Cloud Services Manager обеспечивает единое представление иерархий NSX и Azure. Мы рассмотрим иерархию, представленную в NSX Cloud Services Manager, и сравним ее с иерархией Azure.


 

Конфигурация и иерархия Cloud Services Manager (CSM)

 

  1. Нажмите значок Azure на левой панели.

 

 

Просмотр данных учетной записи Azure

 

Данные учетной записи Azure были настроены в Cloud Services Manager. Для каждого модуля практического занятия эти данные будут разными.

 

 

Просмотр количества настроенных виртуальных сетей

 

В этой учетной записи Azure настроена одна виртуальная сеть.

 

 

Просмотр количества настроенных экземпляров

 

В этой учетной записи Azure выполняются 3 экземпляра.

 

 

Нажатие элемента VNets («Виртуальные сети»)

 

  1. Нажмите элемент VNets («Виртуальные сети»).

 

 

Просмотр виртуальной сети

 

На рисунке представлена виртуальная сеть, которая отображалась в иерархии Azure в предыдущих уроках.

 

 

NSX не используется для управления виртуальной сетью

 

Для виртуальной сети отображается состояние «NSX Managed — No» («Под управлением NSX — Нет»). Позже в этом практическом занятии мы развернем компоненты NSX в этой виртуальной сети для управления работающими виртуальными машинами Azure.

 

 

Нажатие элемента Instances («Экземпляры»)

 

  1. Нажмите элемент Instances («Экземпляры»).

 

 

Убедитесь в том, что NSX не используется для управления экземплярами

 

Отобразится список экземпляров виртуальных машин Azure для приложения, которые были представлены в иерархии Azure. Индикатор состояния NSX не обозначен зеленым цветом, поскольку компоненты NSX не развернуты.

 

Просмотр пользовательского интерфейса NSX Manager


В ходе подготовки к настройке NSX для управления приложением мы рассмотрим несколько экранов пользовательского интерфейса NSX Manager, на которых представлена текущая конфигурация среды практического занятия. Кроме того, мы проверим работоспособность инфраструктуры управления NSX и ознакомимся с новым интерфейсом HTML5.


 

Нажатие элемента Dashboard («Панель мониторинга»)

 

  1. Нажмите элемент Dashboard («Панель мониторинга»).

 

 

Узлы NSX Manager и NSX Controller

 

На экране Dashboard («Панель мониторинга») отображается состояние различных компонентов NSX. На ней представлены общие проблемы с компонентами, а также количество средств балансировки нагрузки, правил брандмауэра и сеансов VPN.

Мы видим, что в нашем случае в разделе System («Система») состояние узлов NSX Manager и NSX Controller — Manager Nodes и Controller Nodes — обозначено зеленым цветом. Это значит, что узлы NSX Manager и NSX Controller запущены.

NSX Manager — это компонент плоскости управления, предоставляющий графический интерфейс пользователя и API-интерфейсы REST для создания, настройки и мониторинга компонентов NSX, например контроллеров, логических коммутаторов, политик брандмауэра и шлюзов Edge Service Gateway.

NSX Controller — это компонент плоскости контроля, представляющий собой передовую распределенную систему управления состоянием в среде.

 

 

Просмотр состояния матрицы

 

В матрице NSX установлены 3 узла.

 

 

Нажатие элемента Switching («Коммутация»)

 

  1. Нажмите элемент Switching («Коммутация») на левой панели.

 

 

Проверка наличия одного логического коммутатора в иерархии

 

Для локальных ВМ был создан один логический коммутатор.

 

 

Нажатие в поле с числом логических портов

 

  1. В столбце Logical Ports («Логические порты») нажмите 4.

 

 

Раскрытие столбца

 

1. Перетащите маркер края столбца, чтобы изменить размер этого столбца при необходимости.

 

 

Логические порты

 

Четыре логических порта на логическом коммутаторе LS-VLAN соответствуют четырем ВМ приложений, развернутым в локальной среде.

 

Заключение


На этом модуль 3 завершается. Мы выполнили вход в консоль NSX Cloud Services Manager (CSM), которая используется как пользовательский интерфейс эксплуатации для решения VMware NSX Cloud. Кроме того, мы просмотрели иерархии сред AWS и Azure в NSX CSM. Наконец, мы выполнили вход в NSX Manager, убедились, что в иерархии объектов NSX представлены только объекты по умолчанию, и ознакомились с новым интерфейсом HTML5.


 

На этом модуль 3 завершен.

Теперь можно перейти к модулю 4, в котором мы обеспечим безопасность среды приложения с помощью NSX. Кроме того, можно перейти к другим интересующим вас модулям.

 

Модуль 4. Обеспечение безопасности приложений в гибридном облаке с помощью NSX (60 минут)

Введение


Для обеспечения безопасности приложения в Amazon Web Services (AWS), Microsoft Azure и локальном центре обработки данных к рабочим нагрузкам, управление которыми будет осуществляться с помощью NSX, необходимо применить политики безопасности. NSX предоставляет распределенный брандмауэр с возможностями создания логических групп, которые упрощают настройку и обеспечивают согласованность.

После развертывания центральной плоскости управления (NSX Manager и NSX Cloud Services Manager) и центральной плоскости контроля (контроллеры NSX Controller) в локальном центре обработки данных необходимо предпринять приведенные ниже шаги для обеспечения безопасности приложения.

  1. Шлюз NSX Cloud Gateway развертывается в каждой облачной среде с рабочими нагрузками, управление которыми будет осуществляться с помощью NSX.
  2. Администратор облака создаст логические сети и политики безопасности с помощью пользовательского интерфейса или API-интерфейсов NSX Manager.
  3. Администратор облака создаст набор меток в средстве NSX Cloud Services Manager.
  4. Разработчик применит метки к рабочим нагрузкам в AWS и Azure для использования политик NSX в момент создания экземпляра.
  5. Агент NSX устанавливается на каждом экземпляре AWS и виртуальной машине Azure, управление которыми будет осуществляться с помощью NSX.

 

Обязательные политики безопасности

 

Для приложения следует использовать приведенные ниже общие политики безопасности.

 

Проверка готовности практического занятия


Чтобы пройти уроки в этом модуле, вам необходимо подключение к средам Microsoft Azure и Amazon Web Services. Следует уделить несколько минут проверке соответствующих возможностей подключения, особенно если не были завершены предыдущие три модуля.


 

Практическое занятие должно быть в состоянии Ready («Готово»)

 

Перед началом убедитесь, что все процедуры подготовки практического занятия завершены. Если на экране отображается любое другое сообщение, кроме Ready («Готово»), подождите несколько минут.  Если через 5 минут сообщение не изменилось на Ready («Готово»), обратитесь за помощью.

Если продолжить при состоянии, отличном от Ready («Готово»), занятие не будет работать.

 

 

Страница состояния инициализации практического занятия

В настоящее время выполняется инициализация практического занятия в средах AWS и Azure. На специальной веб-странице будет отображаться состояние ресурсов практического занятия, которые инициализируются в средах AWS и Azure в рамках подготовки этого занятия.

ПРИМЕЧАНИЕ. Ресурсы, инициализированные в средах Amazon Web Services и Microsoft Azure, доступны только из основной консоли среды практического занятия.

Инициализация практического занятия может занять 10–15 минут.

 

 

Открытие Google Chrome

 

  1. Нажмите значок Chrome на панели быстрого запуска Windows.

 

 

Главная страница данных учетной записи

 

В качестве главной страницы Chrome установлена страница данных учетной записи, на которой также отображается состояние инициализации практического занятия.

  1. В поле Email Address («Адрес электронной почты») введите адрес электронной почты, который использовался при регистрации для практического занятия.
  2. Введите VMware1! в поле Password («Пароль»).
  3. Нажмите кнопку Login («Вход»).

 

 

Завершение инициализации практического занятия

 

Когда процесс инициализации завершится, отобразится страница данных учетной записи. Этот процесс может занять 10–15 минут. В модулях практического занятия мы будем часто возвращаться на эту страницу.

 

Проверка VPN-подключения к общедоступным облакам


Для этого практического занятия необходимо установить VPN-подключение к AWS и Azure. Мы проверим доступ к веб-интерфейсу с помощью удобной проверки связи.

Примечание. Если какая-либо из проверок связи завершится с ошибкой, обратитесь за помощью, прежде чем продолжить работу с занятием.


 

Открытие командной строки

 

  1. Нажмите значок командной строки на панели быстрого запуска Windows.

 

 

Проверка связи с экземпляром веб-интерфейса AWS

 

  1. Чтобы проверить связь с экземпляром веб-интерфейса AWS, введите следующую команду.
ping 172.15.10.4

 

 

Успешное подключение к AWS

 

Если приходят ответы, подключение к AWS установлено.

 

 

Проверка связи с экземпляром веб-интерфейса Azure

 

  1. Чтобы проверить связь с экземпляром веб-интерфейса Azure, введите следующую команду.
ping 172.18.10.4

 

 

Успешное подключение к Azure

 

Если приходят ответы, подключение к Azure установлено.

 

Развертывание шлюза NSX Cloud Gateway в Amazon Web Services


Чтобы создать политики безопасности для экземпляров приложения в Amazon Web Services, необходимо развернуть компоненты NSX. Сначала следует развернуть шлюз NSX Cloud Gateway в облаке Compute VPC, в котором развернуты экземпляры приложения.

Шлюз NSX Cloud Gateway является транспортным узлом Edge в NSX и предоставляет следующие службы в каждом облаке VPC, в котором он развернут.

  • Плоскость контроля с прокси-сервером (локальным) для агентов NSX
  • Службы с сохранением состояния, например NAT и брандмауэр Edge
  • Размещение и распространение программного обеспечения агентов NSX
  • Опрос меток Amazon Web Services

 

Открытие Google Chrome

 

  1. Нажмите значок Chrome на панели быстрого запуска Windows (или откройте браузер Chrome, если он уже запущен).

 

 

Открытие новой вкладки в браузере

 

  1. Чтобы открыть новую вкладку в браузере Google Chrome, нажмите Empty Tab («Новая вкладка») (или перейдите на вкладку CSM, если она уже открыта).

 

 

Закладка NSX Cloud Services Manager

 

  1. Нажмите закладку CSM, чтобы подключиться к консоли NSX Cloud Services Manager.

 

 

Проверка сертификатов

 

Этот шаг не будет отображаться, если вы завершили модуль 3.

Некоторые части сред этого практического занятия создавались по требованию, поэтому сертификаты еще не стали доверенными. При развертывании в рабочей среде создается доверенный сертификат, с помощью которого обеспечивается безопасность подключения. Чтобы продолжить вход в систему, выполните указанные ниже действия.

  1. Нажмите кнопку Advanced («Дополнительные сведения»).
  2. Нажмите ссылку Proceed («Продолжить»).

 

 

Вход в NSX Cloud Services Manager

 

  1. В поле Username («Имя пользователя») введите admin.
  2. Введите VMware1! в поле Password («Пароль»).
  3. Нажмите кнопку Log In («Вход»).

 

 

Переход к учетной записи AWS

 

  1. Нажмите элемент Clouds («Облака»).
  2. Выберите AWS.

 

 

Выбор элемента VPCs («Облака VPC»)

 

  1. Выберите элемент VPCs («Облака VPC») в верхней части страницы.

 

 

Конкретизация представления облаков VPC

 

  1. Чтобы конкретизировать представление облаков VPC, выберите элемент us-west-1 в раскрывающемся меню Region («Регион»).

 

 

 

Открытие раскрывающегося меню Actions («Действия»)

 

  1. Нажмите меню Actions («Действия») в окне Compute-VPC.
  2. Выберите элемент Deploy NSX Cloud Gateway («Развернуть шлюз NSX Cloud Gateway»).

 

 

Параметры конфигурации шлюза NSX Cloud Gateway

 

  1. Выберите пункт Private IP («Частный IP-адрес»).
  2. Нажмите список в поле PEM File («Файл PEM») и выберите пункт nsx-management.
  3. Отключите политику карантина.
  4. Нажмите кнопку Next («Далее»).

 

 

Настройка параметров высокой доступности

 

Шлюз NSX Cloud Gateway поддерживает модель развертывания с высокой доступностью. Чтобы ускорить выполнение практического занятия, мы не будем настраивать режим высокой доступности.

  1. Снимите флажок Enable HA for NSX Cloud Gateway («Включить режим высокой доступности для шлюза NSX Cloud Gateway»).
  2. Выберите зону доступности в поле Availability Zone («Зона доступности»). Примечание. Если выбрана некорректная зона доступности, меню подсети для шагов 3–5 будут пустыми.
  3. Для параметра Uplink Subnet («Подсеть исходящих подключений») выберите значение nsx-uplink-subnet.
  4. Для параметра Downlink Subnet («Подсеть входящих подключений») выберите значение nsx-downlink-subnet.
  5. Для параметра Management Subnet («Подсеть управления») выберите значение nsx-mgmt-subnet.
  6. Нажмите кнопку Deploy («Развернуть»).

 

 

Начало развертывания шлюза NSX Cloud Gateway

 

Начинается процесс развертывания в этом облаке VPC. Для его завершения требуется около 7–10 минут. На экране состояния развертывания будут отображаться сведения о выполняемых действиях.

Шлюз NSX Cloud Gateway предоставляет локальную плоскость контроля для политик NSX в облаке VPC, а также определяет место установки агентов NSX, которые будут развернуты в следующем уроке.

Перейдите к следующему уроку, чтобы настроить локальные группы, пока выполняется развертывание шлюза NSX Cloud Gateway. Затем мы вернемся в NSX Cloud Services Manager, чтобы проверить выполнение развертывания.

 

Создание логических групп


NSX может использовать контекстуальную информацию о рабочих нагрузках для создания динамических групп политик. Это значительно упрощает эксплуатационную модель для управления политиками безопасности. В этом уроке мы рассмотрим предварительно настроенные группы и завершим настройку некоторых из них, чтобы упростить управление политиками.

CSM может синхронизировать сведения об иерархии облака для извлечения меток, которые были применены к рабочим нагрузкам облака. Обычно такие метки добавляются в процессе развертывания экземпляров и виртуальных машин в AWS и Azure. Метками могут быть имя приложения, уровень приложения и т. д. NSX также импортирует метки с данными об облачной среде, например имя облака VPC или виртуальной сети, которые тоже могут использоваться.

Эти метки, а также метки, примененные к локальным виртуальным машинам, будут использоваться для создания динамических логических групп в NSX.


 

Открытие новой вкладки в браузере

 

  1. Чтобы открыть новую вкладку в браузере Google Chrome, нажмите Empty Tab («Новая вкладка») (или перейдите на вкладку NSX Manager в Chrome, если она уже открыта).

 

 

Закладка NSX Manager

 

  1. Нажмите закладку NSX Manager, чтобы подключиться к консоли NSX Manager.

 

 

Вход в NSX Manager

 

  1. В поле Username («Имя пользователя») введите admin.
  2. Введите VMware1! в поле Password («Пароль»).
  3. Нажмите кнопку Log In («Вход»).

 

 

Выбор элемента Groups («Группы») в меню иерархии

 

  1. Выберите элемент Inventory («Иерархия»).
  2. Нажмите Groups («Группы»).

 

 

Просмотр созданных групп

 

Для экономии времени в рамках данного практического занятия уже было создано несколько групп. Мы просмотрим две такие группы, а затем завершим их настройку.

Они будут использоваться в политиках брандмауэра, которые мы создадим позже.

 

 

Просмотр группы ps-web

 

  1. Выберите элемент ps-web.
  2. Нажмите кнопку Edit («Изменить»).

 

 

Членство в группах

 

  1. Перейдите в раздел Membership Criteria («Критерии членства»).

Обратите внимание, что мы используем динамическую метку, которая будет обнаружена NSX в иерархии общедоступного облака (метки с префиксом dis:<cloud>:), чтобы AppTier включил клиентские виртуальные машины в эту группу. Такой же подход используется и для остальных групп. После этого мы завершим настройку групп API-интерфейсов и изоляции приложений.

 

 

Нажатие кнопки Cancel («Отмена»)

 

  1. Нажмите кнопку Cancel («Отмена»).

 

 

Изменение группы API-интерфейсов

 

  1. Установите флажок ps-api и убедитесь, что флажок ps-web не установлен.
  2. Нажмите кнопку Edit («Изменить»).

 

 

Критерии членства на основе обнаруженных меток

 

К виртуальным машинам, работающим в локальном центре обработки данных, уже применены метки. Мы будем использовать их для завершения настройки этой группы.

  1. Перейдите в раздел Membership Criteria («Критерии членства»).
  2. Выберите элемент Criteria («Критерии»).
  3. Выберите элемент Virtual Machine («Виртуальная машина»).
  4. Выберите элемент Tag («Метка»).
  5. Выберите элемент Equals («Равно»).
  6. Введите api.
  7. Выберите элемент Equals («Равно»).
  8. Введите AppTier.
  9. Нажмите кнопку Save («Сохранить»).

 

 

Изменение группы изоляции приложений

 

  1. Установите флажок planespotter-app и убедитесь, что флажок ps-api не установлен.
  2. Нажмите кнопку Edit («Изменить»).

 

 

Выбор элемента Criteria («Критерии»)

 

  1. Перейдите в раздел Membership Criteria («Критерии членства»).
  2. Выберите элемент Criteria («Критерии»).

 

 

Все виртуальные машины с меткой Azure

 

Первая запись будет содержать имя виртуальной машины Azure с меткой AppName = planespotter.

  1. Выберите элемент Virtual Machine («Виртуальная машина»).
  2. Выберите элемент Tag («Метка»).
  3. Выберите элемент Equals («Равно»).
  4. Введите planespotter.
  5. Выберите элемент Equals («Равно»).
  6. Введите dis:Azure:AppName (префикс dis обозначает обнаруженные метки).
  7. Выберите элемент Criteria («Критерии»).

 

 

Все виртуальные машины с меткой AWS

 

Эта запись будет содержать имя экземпляра AWS с меткой AppName = planespotter.

  1. Выберите элемент Virtual Machine («Виртуальная машина»).
  2. Выберите элемент Tag («Метка»).
  3. Выберите элемент Equals («Равно»).
  4. Введите planespotter.
  5. Выберите элемент Equals («Равно»).
  6. Введите dis:AWS:AppName (префикс dis обозначает обнаруженные метки).
  7. Выберите элемент Criteria («Критерии»).

 

 

Все виртуальные машины с меткой NSX

 

Наконец, мы добавим в группу все локальные виртуальные машины с меткой AppName = planespotter.

  1. Выберите элемент Virtual Machine («Виртуальная машина»).
  2. Выберите элемент Tag («Метка»).
  3. Выберите элемент Equals («Равно»).
  4. Введите planespotter.
  5. Выберите элемент Equals («Равно»).
  6. Введите AppName.
  7. Нажмите кнопку Save («Сохранить»).

 

 

Возврат к NSX Cloud Services Manager

 

  1. Выберите открытую ранее вкладку NSX Cloud Services Manager в браузере Google Chrome. Примечание. Порядок вкладок браузера может отличаться от показанного на снимке экрана, если вы уже прошли предыдущие модули.

 

 

Завершение развертывания шлюза NSX Cloud Gateway

 

  1. Нажмите кнопку Finish («Готово») после окончания развертывания.

 

 

Облако Compute-VPC находится под управлением NSX

 

Облако Compute-VPC теперь имеет статус NSX Managed («Под управлением NSX»), и в нем развернут шлюз NSX Cloud Gateway. Далее мы развернем шлюз NSX Cloud Gateway в среде Azure.

 

Развертывание шлюза NSX Cloud Gateway в Azure


Чтобы создать политики безопасности для виртуальных машин приложения в Microsoft Azure, необходимо развернуть компоненты NSX. Сначала следует развернуть шлюз NSX Cloud Gateway в виртуальной вычислительной сети, в которой развернуты виртуальные машины приложения.

Шлюз NSX Cloud Gateway является транспортным узлом Edge в NSX и предоставляет следующие службы в каждой виртуальной сети, в которой он развернут.

  • Плоскость контроля с прокси-сервером (локальным) для агентов NSX
  • Службы с сохранением состояния, например NAT и брандмауэр Edge
  • Размещение и распространение программного обеспечения агентов NSX
  • Опрос меток Azure

 

Переход к Azure

 

  1. Щелкните элемент Clouds («Облака») на левой панели.
  2. Щелкните элемент Azure на левой панели.

 

 

Выбор элемента VNets («Виртуальные сети»)

 

  1. Нажмите элемент VNets («Виртуальные сети»).

 

 

Открытие раскрывающегося меню Actions («Действия»)

 

  1. Нажмите элемент Actions («Действия»).
  2. Выберите элемент Deploy NSX Cloud Gateway («Развернуть шлюз NSX Cloud Gateway»).

 

 

Параметры конфигурации шлюза NSX Cloud Gateway

 

  1. Скопируйте открытый ключ SSH в поле SSH Public Key («Открытый ключ SSH») в нижней части веб-страницы Account Info («Данные учетной записи») (скопируйте все три строки).
  2. Оставьте политику карантина в состоянии Disabled («Отключена»).
  3. Выберите доступную учетную запись локального хранилища в поле Local Storage Account («Учетная запись локального хранилища») (только один вариант).
  4. Нажмите кнопку Advanced («Расширенные параметры»).

 

 

Расширенные параметры

 

  1. Выберите Override Public Cloud Provider's DNS Server («Переопределить DNS-сервер поставщика общедоступного облака»).
  2. Введите 192.168.110.10
  3. Нажмите кнопку Next («Далее»).

 

 

Настройка параметров высокой доступности

 

Шлюз NSX Cloud Gateway поддерживает модель развертывания с высокой доступностью. Чтобы ускорить выполнение практического занятия, мы не будем настраивать режим высокой доступности.

  1. Снимите флажок Enable HA for NSX Cloud Gateway («Включить режим высокой доступности для шлюза NSX Cloud Gateway»).
  2. Для параметра Uplink Subnet («Подсеть исходящих подключений») выберите значение nsx-uplink-subnet.
  3. Для параметра Downlink Subnet («Подсеть входящих подключений») выберите значение nsx-downlink-subnet.
  4. Для параметра Management Subnet («Подсеть управления») выберите значение nsx-mgmt-subnet.
  5. Для параметра Public IP on Mgmt NIC (Общедоступный IP-адрес в адаптере управления NIC) выберите Allocate new IP («Выделить новый IP-адрес»).
  6. Нажмите кнопку Deploy («Развернуть»).

 

 

Начало развертывания шлюза NSX Cloud Gateway

 

Начинается процесс развертывания этой виртуальной сети. Для его завершения требуется около 7–10 минут. На экране состояния развертывания будут отображаться сведения о выполняемых действиях.

Шлюз NSX Cloud Gateway предоставляет локальную плоскость контроля для политик NSX в виртуальной сети, а также определяет место установки агентов NSX, которые будут развернуты в следующем уроке.

Перейдите к следующему уроку, чтобы настроить политики брандмауэра, пока выполняется развертывание шлюза NSX Cloud Gateway. Затем мы вернемся в NSX Cloud Services Manager, чтобы проверить выполнение развертывания.

 

Включение политик брандмауэра


NSX может создавать политики безопасности, в которых учитываются динамические возможности облачных сред. Благодаря этому обеспечивается оптимизация и согласованность модели развертывания политик безопасности.


 

Переход на вкладку NSX Manager в браузере

 

  1. Выберите открытую ранее вкладку NSX Manager в браузере Google Chrome. Примечание. Порядок вкладок браузера может отличаться от показанного на снимке экрана, если вы уже прошли предыдущие модули.

 

 

Выбор элемента Firewall («Брандмауэр»)

 

  1. Выберите элемент Firewall («Брандмауэр») на левой панели.

 

 

Изменение масштаба в браузере

 

  1. Нажмите кнопку в виде трех точек в правом верхнем углу.
  2. Измените значение Zoom («Масштаб») на 80% для удобства чтения при дальнейшей работе.

 

 

Просмотр настроенных политик

 

Для экономии времени политики безопасности, необходимые для работы приложения, были созданы заранее. Прежде чем их включить, мы рассмотрим несколько параметров.

 

 

Изоляция приложения

 

  1. Нажмите Applied To («Применяется к:»).

Обратите внимание, что используется группа planespotter-app, которую мы настроили ранее. Это означает, что этот раздел правил брандмауэра применяется только к виртуальным машинам этой группы, благодаря чему мы можем изолировать приложение от других компонентов среды.

 

 

Закрытие окна

 

  1. Нажмите значок X, чтобы закрыть окно.

 

 

Группы источников и адресатов

 

Группы, которые мы рассмотрели и настроили ранее, используются в парах «источник-адресат» для приложения, что повышает динамичность политик и упрощает управление ими.

 

 

Службы трафика

 

Службы предварительно настроены в NSX, что упрощает выбор требуемых типов трафика. Мы также используем специализированную службу для HTTP-порта 8080.

 

 

Ведение журналов включено

 

Ведение журналов включено для всех правил, при этом журналы отправляются в Log Insight.

 

 

Правило Deny All («Отклонять весь трафик»)

 

Окончательное правило Deny All («Отклонять весь трафик») настроено таким образом, чтобы отклонять весь трафик, который не разрешен явно (необходимо прокрутить экран вниз).

 

 

Включение всех правил

 

  1. Нажмите кнопку в виде трех точек рядом с элементом planespotter-app-isolation в верхней части страницы.
  2. Щелкните Enable All Rules («Включить все правила»).

 

 

Нажатие кнопки Publish («Опубликовать») для сохранения правил

 

  1. Прокрутите экран вверх и нажмите кнопку Publish («Опубликовать»), чтобы сохранить правила.

Политики безопасности для приложения включены.

Мы использовали группы, которые создали ранее, для упрощения настройки источника, адресата и раздела брандмауэра.

Далее мы вернемся к NSX Cloud Services Manager, чтобы проверить ход развертывания шлюза NSX Cloud Gateway.

 

 

Возврат к NSX Cloud Services Manager

 

  1. Выберите открытую ранее вкладку NSX Cloud Services Manager в браузере Google Chrome. Примечание. Порядок вкладок браузера может отличаться от показанного на снимке экрана, если вы уже прошли предыдущие модули.

 

 

Завершение развертывания шлюза NSX Cloud Gateway

 

  1. Нажмите кнопку Finish («Готово») после окончания развертывания. Развертывание может занять несколько минут.

 

 

Виртуальная сеть находится под управлением NSX

 

Сеть HOL1922-VPN-vNET теперь имеет статус NSX Managed («Под управлением NSX»), и в ней развернут шлюз NSX Cloud Gateway.

 

Применение меток к приложению в AWS


Метки для NSX используются для указания места логического подключения сетевого интерфейса экземпляра EC2 в NSX. В процессе подключения применяются политики безопасности. Прежде чем включать агент NSX в веб-интерфейсе, мы настроим метку.


 

Доступ к консоли управления AWS

 

  1. Перейдите на открытую ранее вкладку Account Information («Данные учетной записи»). Если эта вкладка была закрыта, откройте новую и нажмите закладку Account Info («Данные учетной записи»).

 

 

Найдите URL-адрес консоли управления AWS

 

  1. Чтобы открыть новую вкладку в браузере и подключиться к консоли управления AWS, перейдите по ссылке в поле Console URL («URL-адрес консоли»).

 

 

Вход в консоль AWS

 

  1. Введите vmware_hol_user в поле IAM User Name («Имя пользователя IAM»).
  2. Скопируйте или введите пароль со страницы Account Information («Данные учетной записи»).
  3. Нажмите кнопку Sign In («Вход»).

 

 

 

Выбор региона

 

Убедитесь, что в консоли отображаются ресурсы для региона North California («Северная Калифорния»).

  1. Нажмите элемент Region Name («Название региона») слева от элемента Support («Поддержка») в правом верхнем углу.
  2. Выберите пункт US West (N. California) («Запад США (Северная Калифорния)»).

 

 

Переход в раздел EC2 Instances («Экземпляры EC2»)

 

  1. Нажмите Services («Службы») в левом верхнем углу консоли управления AWS.
  2. В разделе Compute («Вычислительные ресурсы») нажмите EC2.

 

 

Выбор элемента Instances («Экземпляры»)

 

  1. Нажмите элемент Instances («Экземпляры») в меню слева.

 

 

Уведомление об изменениях пользовательского интерфейса

 

  1. Если откроется указанное выше окно, нажмите X, чтобы закрыть уведомление.

 

 

Раскрытие столбца

 

  1. Чтобы развернуть столбец Name («Имя»), перетащите маркер края этого столбца.

 

 

Выбор веб-экземпляра

 

  1. Выберите экземпляр hol1922-ps-web01.

 

 

Переход на вкладку Tags («Метки») для этого экземпляра

 

  1. Выберите вкладку Tags («Метки») под списком экземпляров EC2.
  2. Нажмите кнопку Add/Edit Tags («Добавить или изменить метки»).

 

 

Нажатие кнопки Create Tag («Создать метку»)

 

  1. Нажмите кнопку Create Tag («Создать метку»).
  2. Введите nsx:network в столбце Key («Ключ»).
  3. Введите default в столбце Value («Значение»). (Примечание. Не используйте вариант DEFAULT-nsx-compute-security-group, который может автоматически отобразиться при вводе)
  4. Нажмите кнопку Save («Сохранить»).

 

 

Заключение

Мы применили к веб-интерфейсу специальную метку для NSX. После развертывания агента NSX эта метка свяжет экземпляр с логическим коммутатором NSX по умолчанию, который был создан при развертывании шлюза NSX Cloud Gateway. Политики безопасности также будут применены к этому экземпляру.

 

Применение меток к приложению в Azure


Метки для NSX используются для указания места логического подключения сетевого интерфейса виртуальной машины в NSX. В процессе подключения применяются политики безопасности. Прежде чем включать агент NSX в веб-интерфейсе, мы настроим метку.


 

Доступ к порталу Azure

 

  1. Перейдите на открытую ранее вкладку Account Information («Данные учетной записи»). Если эта вкладка была закрыта, откройте новую и нажмите закладку Account Info («Данные учетной записи»).

 

 

Найдите URL-адрес портала Azure

 

  1. Чтобы открыть новую вкладку в браузере и подключиться к консоли управления Azure, перейдите по ссылке в поле Console URL («URL-адрес консоли»).

 

 

Ввод адреса электронной почты Azure

 

  1. Скопируйте или введите адрес электронной почты для учетной записи Azure со страницы Account Information («Данные учетной записи»).
  2. Нажмите кнопку Next («Далее»).

 

 

 

Ввод пароля Azure

 

  1. Скопируйте или введите пароль для учетной записи Azure со страницы Account Information («Данные учетной записи»).
  2. Нажмите кнопку Sign In («Вход»).

 

 

 

Отказ от сохранения данных для входа

 

  1. Если отобразится этот экран, нажмите кнопку No («Нет»).

 

 

Консоль управления Azure

 

Откроется страница консоли управления Azure.

 

 

Выбор элемента Virtual Machines («Виртуальные машины»)

 

  1. Выберите элемент Virtual Machines («Виртуальные машины») на левой панели.

 

 

Переход к виртуальной машине веб-уровня

 

  1. Выберите ВМ hol1922-ps-web01.

 

 

Нажатие кнопки Change («Изменить») рядом с Tags («Метки»)

 

  1. Щелкните Change («Изменить») рядом с элементом Tags («Метки») справа.

 

 

Ввод данных о метке

 

  1. Введите nsx.network в столбце Name («Имя»). (Примечание. В Azure используется точка, а не двоеточие)
  2. Введите default в столбце Value («Значение»).
  3. Нажмите кнопку Save («Сохранить»).

 

 

Заключение

Мы применили к веб-интерфейсу специальную метку для NSX. После развертывания агента NSX эта метка свяжет виртуальную машину с логическим коммутатором NSX по умолчанию, который был создан при развертывании шлюза NSX Cloud Gateway. Политики безопасности также будут применены к этой виртуальной машине.

 

Установка агента NSX в средах общедоступных облаков


Чтобы продолжить процесс обеспечения безопасности веб-интерфейсов, необходимо развернуть агент NSX. Агент NSX предоставляет возможности плоскости данных во всех экземплярах Amazon Web Services или виртуальных машинах Microsoft Azure, в которых он установлен. К ним относятся следующие возможности.

  • Механизм для применения правил распределенного брандмауэра
  • Конечное устройство туннеля для сети наложения

Лучшая методика заключается во включении агента в «эталонные образы», используемые в среде общедоступного облака организации. Агент NSX также можно установить в развернутых (действующих) экземплярах с помощью различных методов автоматизации.

Агент NSX будет развернут в каждом веб-интерфейсе с помощью сценария. Мы продемонстрируем процесс развертывания в Azure, чтобы вы могли увидеть расположение сценария установки и команду для запуска. Для AWS мы продемонстрируем автоматизированный подход, в рамках которого запускается один сценарий для выполнения установки.


 

Открытие PuTTY в основной консоли

 

  1. Нажмите значок PuTTY на панели быстрого запуска Windows.

 

 

Переход к веб-интерфейсу Azure

 

  1. Выберите ps-web01a-azure.
  2. Нажмите кнопку Load («Загрузить»).
  3. Нажмите кнопку Open («Открыть»).

 

 

Пароль

 

  1. Введите VMware1!VMware1! в качестве пароля.

 

 

Возврат к NSX Cloud Services Manager

 

  1. Выберите открытую ранее вкладку NSX Cloud Services Manager в браузере Google Chrome. Примечание. Порядок вкладок браузера может отличаться от показанного на снимке экрана, если вы уже прошли предыдущие модули.

 

 

Переход к Azure

 

  1. Нажмите элемент Clouds («Облака»).
  2. Нажмите элемент Azure.

 

 

Выбор элемента VNets («Виртуальные сети»)

 

  1. Нажмите элемент VNets («Виртуальные сети»).

 

 

Изменение масштаба в браузере

 

  1. Нажмите кнопку в виде трех точек в правом верхнем углу.
  2. Измените значение Zoom («Масштаб») на 75%.

 

 

Выбор элемента VNets («Виртуальные сети»)

 

  1. Щелкните в поле VNet («Виртуальная сеть»), чтобы выбрать его.

 

 

Копирование адреса сценария установки

 

  1. Щелкните раздел Agent Download & Installation («Скачивание и установка агента»), чтобы развернуть его.
  2. Скопируйте значение в поле Linux Download Location («Адрес для скачивания в Linux»).

 

 

Вставка адреса

 

Вернитесь к PuTTY.

  1. Введите wget и пробел.
  2. Щелкните правой кнопкой мыши в открытом окне PuTTY и вставьте адрес для скачивания.
  3. Нажмите клавишу ВВОД.

 

 

Сценарий скачан

 

Сценарий установки был скачан.

 

 

Вставка команды из CSM

 

  1. Скопируйте значение, указанное в поле Linux Installation Command («Команда установки для Linux»), на вкладке CSM в браузере.

 

 

Команда для установки агента

 

  1. Щелкните правой кнопкой мыши в окне PuTTY и вставьте команду установки.
  2. Нажмите клавишу ВВОД, чтобы начать установку агента.

 

 

Завершение установки агента

 

На установку агента NSX может потребоваться 3–5 минут.

 

 

Новый сеанс PuTTY

 

  1. Нажмите значок PuTTY в левом верхнем углу открытого сеанса PuTTY.
  2. Выберите элемент New Session («Новый сеанс»).

 

 

Переход к веб-интерфейсу AWS

 

  1. Выберите ps-web01a-aws.
  2. Нажмите кнопку Load («Загрузить»).
  3. Нажмите кнопку Open («Открыть»).

 

 

Проверка подключения

 

При первом подключении к экземпляру отобразится окно подтверждения для проверки подключения.

  1. Нажмите кнопку Yes («Да»).

 

 

Установка агента NSX

 

  1. Введите приведенную ниже команду, чтобы запустить сценарий установки агента NSX, который включает в себя все шаги установки.
./install_agent.sh

 

 

Агент NSX установлен

 

На установку агента NSX может потребоваться 3–5 минут.

 

 

Изменение масштаба в браузере

 

  1. Нажмите кнопку в виде трех точек в правом верхнем углу.
  2. Измените значение Zoom («Масштаб») на 90% или 100%.

 

Проверка конфигурации NSX


После развертывания компонентов NSX в облаке Compute-VPC мы поэтапно проверим конфигурацию NSX в NSX Manager и NSX Cloud Services Manager.


 

Переход на вкладку NSX Manager в браузере

 

  1. Выберите открытую ранее вкладку NSX Manager в браузере Google Chrome. Примечание. Порядок вкладок браузера может отличаться от показанного на снимке экрана, если вы уже прошли предыдущие модули. Введите admin в качестве имени пользователя и VMware1! в качестве пароля, если время его действия истекло.

 

 

Выбор элемента Fabric («Матрица»)

 

  1. Выберите элемент Fabric («Матрица») на левой панели.

 

 

Выбор элемента Edges («Устройства Edge»).

 

  1. Выберите элемент Edges («Устройства Edge») в верхней части страницы.

 

 

Раскрытие столбца

 

  1. Перетащите маркер края столбца, чтобы развернуть этот столбец.

 

 

Новые узлы Edge

 

Создано два узла Edge, по одному в каждом общедоступном облаке.

Примечание. Имя каждого узла Edge будет различаться в каждом практическом занятии.

 

 

Выбор элемента Transport Nodes («Транспортные узлы»)

 

  1. Выберите элемент Transport Nodes («Транспортные узлы») в верхней части страницы.

 

 

Раскрытие столбца

 

  1. Перетащите маркер края столбца, чтобы развернуть этот столбец.

 

 

Новые транспортные узлы

 

Было создано два новых транспортных узла (новые шлюзы NSX Cloud Gateway). Они созданы в дополнение к трем узлам ESX, которые уже настроены в качестве транспортных узлов NSX в локальном центре обработки данных.

 

 

Выбор элемента Switching («Коммутация»)

 

  1. Нажмите элемент Switching («Коммутация») на левой панели.

 

 

Раскрытие столбца

 

  1. Перетащите маркер края столбца, чтобы развернуть этот столбец.

 

 

Изменения в иерархии коммутаторов

 

Были созданы четыре новых логических коммутатора (по одному коммутатору VLAN и коммутатору сети наложения в каждом общедоступном облаке).

 

 

Логические порты

 

Экземпляры общедоступного облака и виртуальные машины подключены к коммутаторам VLAN по умолчанию в каждом облаке.

 

 

Выбор элемента Groups («Группы») в меню иерархии

 

  1. Выберите элемент Inventory («Иерархия»).
  2. Выберите элемент Groups («Группы»).

 

 

Выбор группы planespotter-app

 

  1. Щелкните planespotter-app.

 

 

Членство в группе

 

В группе planespotter-app числится 6 виртуальных машин в качестве действующих членов.

  1. Щелкните 6 рядом с элементом Virtual Machine («Виртуальная машина»).

 

 

Экземпляры приложения указаны как члены

 

  1. В поле Member Objects («Объекты-члены») выберите элемент Virtual Machine («Виртуальная машина»).

Перечислены все виртуальные машины, размещенные в локальной среде и общедоступном облаке.

 

 

Выбор элемента Virtual Machines («Виртуальные машины»)

 

  1. Щелкните Virtual Machines («Виртуальные машины») слева под элементом Inventory («Иерархия»).

 

 

Иерархия ВМ

 

В одном месте представлена полная иерархия виртуальных машин и экземпляров в локальной среде и в общедоступном облаке.

  1. Щелкните 7 рядом с одной из виртуальных машин общедоступного облака.

 

 

Метки ВМ

 

Отображаются все метки выбранной виртуальной машины, в том числе обнаруженные (определенные пользователем) метки, которые мы использовали при создании групп ранее.

 

 

Возврат к NSX Cloud Services Manager

 

  1. Выберите открытую ранее вкладку NSX Cloud Services Manager в браузере Google Chrome. Примечание. Порядок вкладок браузера может отличаться от показанного на снимке экрана, если вы уже прошли предыдущие модули.

 

 

Конфигурация и иерархия Cloud Services Manager

 

  1. Нажмите элемент Clouds («Облака»).
  2. Выберите AWS.

 

 

Выбор элемента Accounts («Учетные записи»)

 

  1. Выберите элемент Accounts («Учетные записи»).

 

 

Повторная синхронизация учетной записи

 

Чтобы ускорить обновление API-интерфейса панели мониторинга CSM, мы принудительно выполним повторную синхронизацию иерархии AWS.

  1. Нажмите элемент Actions («Действия»).
  2. Щелкните Resync Account («Повторно синхронизировать учетную запись»).

 

 

Выбор элемента VPCs («Облака VPC»)

 

  1. Нажмите VPCs («Облака VPC»).

 

 

Конкретизация представления облаков VPC

 

  1. Чтобы конкретизировать представление облаков VPC, выберите элемент us-west-1 в раскрывающемся меню Region («Регион»).

 

 

 

Выбор элемента Instances («Экземпляры»)

 

  1. Щелкните Instances («Экземпляры») в окне Compute-VPC.

 

 

Экземпляры приложения находятся под управлением NSX

 

  1. Теперь для экземпляра приложения и шлюза указано, что они находятся под управлением NSX.
  2. Экземплярам VPN и Rogue не была назначена метка AWS, или для них не была выполнена установка агента NSX.

 

 

Конфигурация и иерархия Cloud Services Manager

 

  1. Щелкните элемент Azure на левой панели.

 

 

Выбор элемента Accounts («Учетные записи»)

 

  1. Выберите элемент Accounts («Учетные записи»).

 

 

Повторная синхронизация учетной записи

 

Чтобы ускорить обновление API-интерфейса панели мониторинга CSM, мы принудительно выполним повторную синхронизацию для иерархии Azure.

  1. Нажмите элемент Actions («Действия»).
  2. Щелкните Resync Account («Повторно синхронизировать учетную запись»).

 

 

Выбор элемента VNets («Виртуальные сети»)

 

  1. Нажмите элемент VNets («Виртуальные сети»).

 

 

Нажатие стрелки назад

 

  1. Нажмите стрелку назад.

 

 

Выбор элемента Instances («Экземпляры»)

 

  1. Нажмите элемент Instances («Экземпляры»).

 

 

Экземпляры приложения находятся под управлением NSX

 

  1. Теперь для экземпляра приложения и шлюза указано, что они находятся под управлением NSX.
  2. Экземплярам VPN и Rogue не была назначена метка Azure, или для них не была выполнена установка агента NSX.

 

Проверка работы приложения в многооблачных средах


До развертывания NSX приложение, которое выполняется в средах Amazon Web Services и Microsoft Azure, не было защищено от кибератак, а некоторые ненужные порты увеличивали площадь атаки. В этом уроке мы еще раз рассмотрим возможности приложения и протестируем базовые подключения.


 

Доступ к данным учетной записи

 

  1. Перейдите на открытую ранее вкладку Account Information («Данные учетной записи»). Если эта вкладка была закрыта, откройте новую и нажмите закладку Account Info («Данные учетной записи»).

 

 

Найдите сведения о веб-экземпляре в AWS

 

  1. Чтобы открыть новую вкладку в браузере и подключиться к приложению, перейдите по ссылке в поле Web Frontend Public URL («Общедоступный URL-адрес веб-интерфейса»).

 

 

Проверка работоспособности приложения

 

Убедитесь, что приложение работает. IP-адрес сервера, отображающего страницу, сохранен. Веб-интерфейс работает, и можно продолжить проверку остальных компонентов приложения.

  1. Нажмите элемент App Health («Работоспособность приложения»).

 

 

Работоспособность приложения в AWS

 

Все компоненты приложения успешно обмениваются данными между средой AWS и локальным ЦОД.

 

 

Доступ к данным учетной записи

 

  1. Перейдите на открытую ранее вкладку Account Information («Данные учетной записи»). Если эта вкладка была закрыта, откройте новую и нажмите закладку Account Info («Данные учетной записи»).

 

 

Найдите сведения о виртуальной машине веб-уровня в Azure

 

  1. Чтобы открыть новую вкладку в браузере и подключиться к приложению, перейдите по ссылке в поле Web Frontend Instance Public URL («Общедоступный URL-адрес экземпляра веб-интерфейса»).

 

 

Проверка работоспособности приложения

 

Убедитесь, что приложение работает. IP-адрес сервера, отображающего страницу, сохранен. Веб-интерфейс работает, и можно продолжить проверку остальных компонентов приложения.

  1. Нажмите элемент App Health («Работоспособность приложения»).

 

 

Работоспособность приложения в Azure

 

Все компоненты приложения успешно обмениваются данными между средой Azure и локальным ЦОД.

 

Выполнение проверки безопасности в гибридных средах приложения


Мы вернемся к приложению nmap, чтобы выполнить проверку портов в локальной среде приложения. Мы проверим адреса, по которым развернуты экземпляры приложения, и открытые порты после развертывания NSX в среде, чтобы убедиться, что ненужные порты закрыты.


 

Запуск nmap

 

  1. Нажмите значок Zenmap nmap на панели задач.

 

 

Проверка диапазона IP-адресов локальной подсети приложения с помощью nmap

 

  1. Скопируйте или введите следующую команду в поле Command («Команда») (если в поле введены другие команды, их нужно предварительно стереть).
nmap -p 10-10000 -T5 -Pn --open 192.168.120.11-14
  1. Чтобы начать проверку, нажмите кнопку Scan («Проверка»).

Чтобы ускорить выполнение проверки и предотвратить перегруженность, для сканера nmap используются следующие параметры.

  • -p 10-10000 — проверка первых 10 000 портов
  • -Pn — отключение проверок связи
  • -T5 — включение шаблона с самым коротким сроком выполнения
  • --open — отображение только открытых или возможно открытых портов
  • 192.168.120.11-14 — проверка только небольшого диапазона IP-адресов

 

 

Результаты проверки локальных ВМ

 

Мы видим, что уровень безопасности локальных ВМ повысился. В соответствии с политиками брандмауэра, которые мы задали в NSX, на данный момент другим ВМ открыт только порт SSH (порт 22). Ранее порты ВМ api, db и redis были полностью открыты.

 

Визуализация трафика


NSX предоставляет дополнительные средства эксплуатации для визуализации трафика в среде приложения в общедоступных облаках. Мы рассмотрим некоторые возможности сбора сводной статистики трафика в NSX.


 

Переход на вкладку NSX Manager в браузере

 

  1. Выберите открытую ранее вкладку NSX Manager в браузере Google Chrome. Примечание. Порядок вкладок браузера может отличаться от показанного на снимке экрана, если вы уже прошли предыдущие модули. Введите admin в качестве имени пользователя и VMware1! в качестве пароля, если время его действия истекло.

 

 

Изменение масштаба в браузере

 

  1. Нажмите кнопку в виде трех точек в правом верхнем углу.
  2. Измените значение Zoom («Масштаб») на 80% для удобства чтения при дальнейшей работе.

 

 

Выбор элемента Firewall («Брандмауэр»)

 

  1. Выберите элемент Firewall («Брандмауэр») на левой панели.

 

 

Статистика брандмауэра

 

  1. Щелкните значок Flow Statistics («Статистика потоков») справа от первого правила брандмауэра.

 

 

Статистика потоков

 

В этом разделе отображаются сведения о пакетах, объеме данных (в байтах) и количестве сеансов для этого правила.

 

 

Выбор элемента Switching («Коммутация»)

 

  1. Нажмите элемент Switching («Коммутация») на левой панели.

 

 

Выбор элемента Ports («Порты»)

 

  1. Нажмите элемент Ports («Порты»).

 

 

Переход к первому порту ВМ

 

Здесь отображены все порты на логическом коммутаторе NSX, а также порт исходящих подключений. Имена портов соответствуют именам подключенных виртуальных машин или связанных с ними возможностей.

  1. Щелкните первый элемент с префиксом Cloud в столбце Logical Port («Логический порт»). Это будет один из веб-интерфейсов, выполняемых в общедоступном облаке.

 

 

Переход на вкладку Monitor («Мониторинг»)

 

Доступны дополнительные сведения об этом порте.

  1. Выберите вкладку Monitor («Мониторинг»).

 

 

Статистика порта

 

NSX предоставляет статистику трафика для этой виртуальной машины веб-интерфейса, которая запущена в общедоступном облаке. NSX может также отслеживать такую статистику за период времени.

  1. Щелкните Begin Tracking («Начать отслеживание»). Откроется еще одна вкладка в браузере.

 

 

Отслеживание порта

 

Откроется новая вкладка браузера, и будет запущено отслеживание порта. Через несколько секунд страница обновится.

 

Системный журнал


NSX дает возможность регистрировать все правила брандмауэра на сервере системного журнала по вашему выбору. Для всех настроенных политик брандмауэра задана регистрация данных в системном журнале (vRealize Log Insight). Локальная среда настроена для отправки всех журналов на сервер системного журнала.

Мы включим ведение журналов в компонентах NSX в общедоступном облаке и рассмотрим журналы в vRealize Log Insight. Сначала мы укажем назначение системного журнала на шлюзе. Затем необходимо включить ведения журналов для агентов. Эти шаги будут выполнены для обоих общедоступных облаков.


 

Новый сеанс PuTTY

 

  1. Нажмите значок PuTTY в левом верхнем углу открытого сеанса PuTTY.
  2. Выберите элемент New Session («Новый сеанс»).

 

 

Выбор NSX Manager

 

  1. Выберите элемент nsxmgr-01a.corp.local.
  2. Нажмите кнопку Load («Загрузить»).
  3. Нажмите кнопку Open («Открыть»).

 

 

Ввод пароля

 

  1. Введите VMware1! в качестве пароля.

 

 

Ввод On ?

 

  1. Введите on ?, чтобы отобразить список и получить данные о первом шлюзе.

 

 

Копирование и вставка универсального уникального идентификатора первого экземпляра PCG в поле «on»

 

  1. Выделите и скопируйте универсальный уникальный идентификатор первого экземпляра PCG.
  2. Щелкните правой кнопкой мыши в окне PuTTY, чтобы вставить строку рядом с «on».
  3. Нажмите пробел, чтобы добавить пробел в конце (не нажимайте клавишу ВВОД).

 

 

Выполнение команды

 

  1. Чтобы выполнить команду, вставьте следующую команду в конце и нажмите клавишу ВВОД.
exec set logging-server 192.168.110.24 proto udp level info messageid FIREWALL-PKTLOG

 

 

Ведение журнала настроено

 

Ведение журнала на первом шлюзе настроено.

 

 

Ввод On ?

 

  1. Введите on ?, чтобы отобразить список и получить данные о первом шлюзе.

 

 

Копирование и вставка универсального уникального идентификатора первого экземпляра PCG в поле «on»

 

  1. Выделите и скопируйте универсальный уникальный идентификатор первого экземпляра PCG.
  2. Щелкните правой кнопкой мыши в окне PuTTY, чтобы вставить строку рядом с «on».
  3. Нажмите пробел, чтобы добавить пробел в конце (не нажимайте клавишу ВВОД).

 

 

Выполнение команды

 

  1. Чтобы выполнить команду, вставьте следующую команду в конце и нажмите клавишу ВВОД.
exec set gw-controller vm-log-forwarding enabled

 

 

Ведение журнала для агента настроено

 

Ведение журнала для агента, подключенного к первому шлюзу, настроено.

 

 

Ввод On ?

 

  1. Введите on ?, чтобы отобразить список и получить данные о втором шлюзе.

 

 

Копирование и вставка универсального уникального идентификатора второго экземпляра PCG в поле «on»

 

  1. Выделите и скопируйте универсальный уникальный идентификатор второго экземпляра PCG.
  2. Щелкните правой кнопкой мыши в окне PuTTY, чтобы вставить строку рядом с «on».
  3. Нажмите пробел, чтобы добавить пробел в конце (не нажимайте клавишу ВВОД).

 

 

Выполнение команды

 

  1. Чтобы выполнить команду, вставьте следующую команду в конце и нажмите клавишу ВВОД.
exec set logging-server 192.168.110.24 proto udp level info messageid FIREWALL-PKTLOG

 

 

Ведение журнала настроено

 

Ведение журнала на втором шлюзе настроено.

 

 

Ввод On ?

 

  1. Введите on ?, чтобы отобразить список и получить данные о втором шлюзе.

 

 

Копирование и вставка универсального уникального идентификатора второго экземпляра PCG в поле «on»

 

  1. Выделите и скопируйте универсальный уникальный идентификатор второго экземпляра PCG.
  2. Щелкните правой кнопкой мыши в окне PuTTY, чтобы вставить строку рядом с «on».
  3. Нажмите пробел, чтобы добавить пробел в конце (не нажимайте клавишу ВВОД).

 

 

Выполнение команды

 

  1. Чтобы выполнить команду, вставьте следующую команду в конце и нажмите клавишу ВВОД.
exec set gw-controller vm-log-forwarding enabled

 

 

Ведение журнала для агента настроено

 

Ведение журнала для агента настроено на втором шлюзе.

 

 

Открытие вкладки приложения в браузере

 

  1. Щелкните каждую открытую вкладку браузера с приложением и обновите обе страницы, чтобы создать трафик (используйте ссылки на странице Account Info («Данные учетной записи»), если эти вкладки закрыты).

 

 

Открытие новой вкладки в браузере

 

  1. Чтобы открыть новую вкладку в браузере Google Chrome, нажмите Empty Tab («Новая вкладка»).

 

 

Выбор закладки Log Insight

 

  1. Нажмите закладку Log Insight.

 

 

Вход в Log Insight

 

  1. Введите admin в поле Username («Имя пользователя»).
  2. Введите VMware1! в поле Password («Пароль»).
  3. Нажмите кнопку Login («Вход»).

 

 

Log Insight

 

Откроется страница General Overview («Общий обзор»).

 

 

Переход к NSX - Distributed Firewall - Traffic («NSX — распределенный брандмауэр — трафик»)

 

  1. Щелкните элемент VMware - NSX-T.
  2. Щелкните NSX - Distributed Firewall - Traffic («NSX — распределенный брандмауэр — трафик»).

 

 

Трафик распределенного брандмауэра

 

Здесь отображаются основные источники, адреса и порты брандмауэра, в том числе веб-интерфейсы.

Примечание. Если данные не отображаются, создайте больше трафика с веб-страниц с приложением или измените значение Latest 5 minutes of data («Данные за последние 5 минут») на Latest hour of data («Данные за последний час»).

 

 

Интерактивный анализ

 

  1. Наведите курсор на строку Top Firewall Sources («Основные источники брандмауэра») и нажмите значок Interactive Analysis («Интерактивный анализ»).

 

 

Добавление фильтра

 

  1. Щелкните Add Filter («Добавить фильтр»).

 

 

Добавление фильтра NSX-Agent

 

  1. Введите vmw_nsxt_subcomp.
  2. Выберите contains («содержит»).
  3. Введите nsx-agent.
  4. Щелкните значок увеличительного стекла.

 

 

Запись об агенте

 

Мы видим записи, связанные с агентами NSX.

 

Заключение


На этом завершается модуль 4 и практическое занятие. Мы успешно обеспечили безопасность приложения, развернутого в гибридной облачной среде, благодаря установке компонентов NSX в Amazon Web Services и Microsoft Azure и применению согласованных политик безопасности к экземплярам приложения. Кроме того, мы рассмотрели способы визуализации и варианты ведения журналов.


 

На этом модуль 4 и практическое занятие завершены.

Следуйте инструкциям в конце этого урока, чтобы завершить практическое занятие. Кроме того, можно перейти к другим интересующим вас модулям.

 

 

Завершение практического занятия

 

Чтобы завершить практическое занятие, нажмите кнопку END («ЗАВЕРШИТЬ»).  

 

Заключение

Спасибо за участие в практических занятиях VMware! Полный каталог можно найти по ссылке: http://hol.vmware.com/

Код занятия (SKU): HOL-1922-01-NET

Версия: 20190313-170845