NSX-V esetén volt egy ilyen dokumentum, ami azt az esetet írta le, mikor az overlay-t nem kívánta használni valaki, viszont a többi képességet (load balancer stb.) de legfőképp az elosztott tűzfalat (DFW) viszont igen.
NSX-T esetében ilyen dokumentum nem lelhető fel, de ez nem jelenti azt, hogy ez nem lehetséges. Egy hete volt szerencsém egy VMware által tartott webinar-t meghallgatni „Technical Deep Dive – NSX-T – Advanced Security” címmel.
Ott állította az előadó, hogy ez „out of the box” működik, szóval elegendő az NSX-T VIB-eket – nevezzük úgy hogy hozzáadni a vCenter-t az NSX-T Manager-hez és a hoszton/klaszteren telepíteni az NSX-T-t – telepíteni és nincs más teendő, működik is a distributed firewall.
Na ez nem igaz. Jeleztem is az előadónak, de ő állítja, hogy ez így van. Furcsa, mert ha kipróbálja, akkor nyilvánvaló, hogy nincs igaza. Ezért sem hiszek a VMware dokumentációjának vakon és a vmware.com-ra végződő email-ről írogató emberekben sem bízom feltétlen.
Hogy kell az ilyet beállítani?
Az NVDS-t felejtsük el, használjuk a vDS7-et végre. Ha egy ilyet létrehozunk az NSX-T telepítése előtt akár, akkor azt az NSX-T képes felhasználni. A security focused design esetén is létrejön(nek) a host TEP interfész(ek), de nem lesznek használva semmire. Viszont az NSX telepítése előállít két transport zónát:
- overlay
- VLAN
Ez utóbbi az érdekes számunkra. Tegyük fel, hogy három VLAN-ban vannak jelenleg virtális gépeink:
- VLAN 100
- VLAN 200
- VLAN 300
Érhető hogy ezek a VLAN-ok jelenleg a port group-on definiált VLAN ID-val működnek – hacsak valaki nem olyan perverz hogy guest vlan tagging-et használ – közük nincs az NSX-T overlay-hez, az átjáró az valahol az NSX-en kívül van a hálózatban.
A fenti képen az alsó három port group-ról beszélek. Már látszik első ránézésre, hogy a felső kettő port group-nak van NSX relációja, de nézzük meg őket egyenként is.
Ahhoz hogy a DFW-t igénybe tudjuk venni ilyen VM-ek esetén is, másra nincs szükség, mint ugyanezeket a VLAN-okat létrehozni mint NSX szegmens. Egyet megmutatok a VLAN 100 esetén.
Ez majdnem pontosan ugyanazt a nézetet állítja elő ha vCenter Server-ből nézzük. Igen, a port group-ok neve lehet azonos, viszont legalább az ikonon látszik a kis „N” betű.
Az egyik ilyen port group-ra kattintva máris másképp néz ki.
Ha ehhez a port group-hoz tesszük hozzá a kívánt VM-et, abban a pillanatban használható a DFW.
Bárki állít, bármi mást, az erősen téved.