随着 NSX-T 3.2 版本的发布,NSX-T 在架构和功能上有了很多增强,其中一项功能便是简化了安全场景的部署,用户可以通过 vCenter/NSX-T 快速为集群部署分布式防火墙功能,也无需像之前一样为集群准备 N-VDS 或者做 VDS 映射,极大简化了流程。
目前在安全场景下,NSX-T 有三种部署方式。
NSX-T 的三种部署方式
为了清楚地对比三种部署模式,我做了张思维导图:
不难从上图中看到,3.2 下 vCenter 集成方式和快速向导方式都减少了配置复杂度,两者的区别仅在于前者是通过 vCenter UI+NSX 插件的形式管理,后者是通过 NSX Manager 进行管理。
限于篇幅,本文仅做第三种方式的安装和使用展示,其他两种方式翻到文末获取下载方式。
NSX-T 安全场景快速向导部署
vCenter VDS 准备
建议在部署 NSX 之前,先为业务准备好 vDS:
vDS 版本最低支持 6.6:
vDS 创建完成:
为 ESXi 关联 vDS 的步骤略。关联完成后 ESXi 虚拟交换机如下图所示:
NSX Manager 部署
登陆 vCenter,右键选中集群或主机,点击“部署 OVF 模板”:
选择 OVA 文件,接着安装向导输入虚拟机名称、运行位置、存储、规模、网络、root/admin 用户密码等信息。
中间截图略。
等待部署完成后开机。
NSX Manager 初始化
添加 License:
添加 vCenter。点击“系统>Fabric>计算管理器>添加计算管理器”:
输入 vCenter 相关的登陆凭据:
添加完成:
为集群安装 NSX
在 NSX-T UI 中,点击“系统>配置>快速入门”:
找到要部署 NSX 的集群,选择“仅安全”:
等待安装完成:
系统会自动为集群配置传输节点配置文件:
功能测试
在 vCenter vDS 中创建端口组:
创建完成后,NSX 会自动将分布式端口组添加到下列位置:
准备测试虚拟机,配置好地址:
测试虚拟机和外部网络通信正常:
创建 NSX 防火墙策略
添加下列防火墙策略,禁止测试虚拟机到外部的 HTTP 访问,允许剩余的访问:
其中 VM-53.50 组使用静态绑定规则,选择测试虚拟机:
再次访问外部网络,发现 ping 正常工作,而 HTTP 访问被拒绝,表示 NSX 防火墙功能正常工作:
至此,就可以根据需求正常使用 NSX DFW 功能了。
---本文完---
关注公众号“NSX很可爱的”,在后台回复“NSX 部署手册”可获取本文及相关文档的下载链接。
另外,为了更加及时地为大家提供产品答疑,分享一些产品动态,我们云网络团队也组建了社区微信群,欢迎扫码进群。
