Da sich die NSX-Distributed-Firewall für vSphere Distributed Switch (VDS) an Organisationen richtet, die NSX ausschließlich für Sicherheitsfunktionen in bestehenden vSphere-Umgebungen einsetzen möchten, sollte im Vorfeld bedacht werden, dass hierbei keine Migration auf die NSX-Overlay-Technologie möglich ist. Außerdem sind folgende Punkte als Voraussetzung für die Installation notwendig:

• NSX-T Data Center ab Version 3.2.
• Das NSX-Plug-in im vCenter benötigt mindestens die vSphere-Version 7.0.3 oder höher.
• ESXi-Version 6.7 und 7.0 wird unterstützt (NSX-Plug-in jedoch nur ab vSphere 7.0.3).
• Installation eines vSphere Distributed Switch in Version 6.6 oder höher.
• Für die Bereitstellung einer "thick disk" muss auf dem Host mindestens 300 GByte freier Speicherplatz bereitstehen.
• Der vCenter muss als Compute Manager im NSX eingetragen werden (automatischer Prozess).
• Zwischen dem NSX-Manager und dem vCenter gibt es eine 1:1-Beziehung, der NSX-Manager kann daher keine zusätzlichen vCenter administrieren.

Außerdem sollten Sie vorab die Spezifikationen der IP-Adressen, NTP-Server, DNS-Server und Domain Search List heraussuchen. Für den NSX-Manager müssen Sie einen Eintrag im DNS-Server erstellen. Im ersten Schritt laden Sie die Software des NSX-Managers vom VMware-Portal herunter. Wählen Sie hierfür die OVA-Datei (Open Virtual Appliance) namens "NSX Manager with vCenter Plugin".

Installation per Wizard

Anschließend starten Sie direkt aus dem vCenter über das NSX-Plug-in die NSX-Manager-Installation. Nun beginnt die Konfiguration der NSX-Manager-Appliance. Hierbei führt Sie der Wizard durch insgesamt acht verschiedene Menüpunkte (Bild 2). Der erste Schritt ist das Auswählen der lokalen Installationsdatei, die Sie zuvor heruntergeladen haben. Anschließend definieren Sie den Namen der virtuellen Maschine und der Ordner im vCenter. Nachdem Sie die Compute-Ressourcen vergeben haben, werden im vierten Punkt die Installationsschritte von eins bis drei verifiziert.

Danach legen Sie die Größe der Appliance fest. Hierbei stehen die Optionen "Extra Small", "Small", "Medium" und "Large" zur Verfügung. "Extra Small" ist nur für die "NSX Cloud"-Variante spezifiziert und "Small" nur für Testumgebungen unterstützt. NSX Cloud dient dazu, über die NSX-Managementumgebung im eigenen Rechenzentrum native Firewallregeln in AWS oder Azure zu verwalten. "Medium" ist für eine Umgebung mit bis zu 128 Hypervisoren ausgelegt und "Large" für Installationen ab 128 Hypervisoren.

Im sechsten Schritt geben Sie die Quelle des Speicherplatzes an. Nun werden die Netzwerkparameter abgefragt wie Portgruppe, Hostname, die IP-Adresse, Subnet-Maske, Default-Gateway, DNS-Server, Domain Search List und NTP-Server. Anschließend erfolgt die Vergabe verschiedener Passwörter. Diese müssen mindestens zwölf Zeichen lang sein und gewisse Sicherheitsanforderungen inklusive Sonderzeichen erfüllen. Nach Abschluss der OVA-Konfiguration wird die virtuelle Maschine ausgerollt. Den zeitlichen Vorgang können Sie im vCenter unter dem Fenster "Task" beobachten.

Aktuell wird nur ein NSX-Manager mit der NSX-Security-VDS-Konfiguration implementiert. Bei einer standardmäßigen NSX-Installation bilden drei Manager einen Cluster. Datenbanken und Konfigurationen sind dementsprechend synchronisiert. Der Manager-Cluster wird über eine virtuelle IP-Adresse (VIP) angesprochen. Am Cluster sind die Management-Plane- und Control-Plane-Funktion intern komplett separiert (Bild 3). Die Management-Kommunikation vom Manager zum ESXi-Host findet über den TCP-Port 1234 statt. Die Control-Plane-Funktion vom Manager zum ESXi-Host läuft über TCP-Port 1235. Die Firewallregeln werden über die Control-Plane-Konnektivität gepusht beziehungsweise administriert. Wenn Sie eine virtuelle Maschine von Host zu Host via vMotion verschieben, pusht NSX automatisch die Firewallregeln zum neuen ESXi-Host.

Lizenz aktivieren und Transport-Node vorbereiten

Nun ist der Manager mittels HTTPS bereits über den Browser erreichbar. Gehen Sie in der Manager-GUI auf den Menüpunkt "NSX License Key" und tragen Sie den Lizenzschlüssel ein. VMware bietet hierzu dedizierte Lizenzen für Kunden an, die nur die Sicherheitsfeatures von NSX nutzen möchten. Die genauen Spezifikationen können Sie im Knowledge-Base-Artikel 87077 nachlesen. Als Nächstes haben Sie am vCenter über das NSX-Plug-in die Wahl zwischen "Security Only" und "Virtual Networking". Starten Sie für den Sicherheitsanwendungsfall die "Security Only"-Option. Die "Virtual Networking"-Variante konfiguriert ein standardisiertes Routing- und Switching-Konstrukt.

Jetzt folgt das Präparieren der Hosts für NSX über das vCenter-GUI. Hierbei wird ein sogenanntes VIB (vSphere Installation Bundle) ausgerollt. Sie können die ESXi-VIB-Installation pro vSphere-Cluster auswählen; dedizierte einzelne ESXi-Hosts wie bei der generellen NSX-Variante lassen sich nicht selektieren.

Die Grundinstallation der NSX-Security-VDS-Version ist damit abgeschlossen. Der Manager-Cluster korrespondiert mit den ESXi-Hosts. Eine erfolgreiche Kommunikation können Sie in der Manager-GUI unter "System / Fabric / Host Transport Nodes" verifizieren. Alternativ verbinden Sie sich per SSH auf den ESXi-Host und führen folgende Befehle zur Überprüfung der Konfiguration aus:

1. vSphere Installation Bundle: esxcli software vib list | grep nsxt
2. Management-Plane-Kommunikation vom NSX-Manager zum ESXi-Host: esxcli network ip connection list | grep 1234
3. Control-Plane-Kommunikation vom Manager zum ESXi-Host: esxcli network ip connection list |grep 1235

Im Fall eines Fehlers sind diese Befehle ebenfalls sehr nützlich und geben beispielsweise Aufschluss, wenn ein Datenstrom zwischen ESXi-Host und NSX-Manager nicht funktioniert oder falls ein Service am ESXi-Host nicht startet.

Das vCenter-Installations-Plug-in hat derweil während unseres Setups im Hintergrund einige Objekte über API-Calls am NSX-Manager angelegt. Auch wurde der "Compute Manager" (vCenter) implementiert, um die Kommunikation zwischen vCenter und NSX-Manager zu gewährleisten. Schließlich wurde eine Transportzone und ein "Transport Node Profile" erzeugt. Sie können diese Konfiguration am NSX-Manager verifizieren.

Im dritten Teil konfigurieren wir die NSX-Firewallregeln im Detail, integrieren erweiterte Sicherheitsfunktionen wie IDPS und Malware-Prevention und erklären, wie sich auch Container-Workloads mit NSX absichern lassen. Im ersten Teil beleuchteten wir, wie sich mit Software-defined Networking und Mikrosegmentierung der Grundstein für ein Zero-Trust-Sicherheitsmodell legen lässt und wie Sie Workloads in vSphere ohne Ausfallzeit absichern.

Über den Autor: Jörg Rösch arbeitet als Lead Solution Engineer Network & Security bei VMware. Er ist seit mehr als 20 Jahren im Netzwerk- und Sicherheitsbereich aktiv und verfügt über detaillierte Kenntnisse in den Bereichen Konzeptionierung, Architektur, Betrieb, Planung und Implementierung.