Implementando vRealize Network Insight (vRNI) 5.2

Si bien éste no será un post en el que revelaremos las grandes ventajas y funcionalidades de vRealize Network Insight, si diremos que es una de las herramientas más potentes que existen para lograr una visión 360° de nuestro Centro de Datos, debido a que nos permite recolectar información de lo que pasa con el flujo de información en el mundo virtual, físico e incluso a través de nuestros ambientes multicloud. Para conocer un poco acerca de los beneficios claves de la solución ver aquí.

Sus principales Casos de Uso

  • Planificación de Microsegmentación para los clientes que no conocen el flujo de información en sus aplicaciones.
  • Visibilidad 360° no solo del ambiente virtual sino también de la capa física.
  • Implementación de mejores practicas para NSX en la infraestructura.

Dicho lo anterior, nos concentraremos en la implementación de la solución para un ambiente virtual y para esto debemos tener presente cada uno de los componentes que hacen parte de la solución.

image

PROCEDIMIENTO

Clic en el siguiente video para visualizar el procedimiento de instalación y configuración de vRealize Network Insight 5.2.

Instalación y utilización de PowerNSX

A continuación, se presentará la instalación y algunos ejemplos de utilización del producto PowerNSX que nos permitirá automatizar tareas repetitivas en el NSX Manager y ahorrar tiempo valioso en nuestras implementaciones y tareas de administración.

PASO 1: Instalación de PowerNSX

Para comenzar con PowerNSX se requiere un entorno que tenga PowerShell y PowerCLI instalados. PowerCLI Core ahora es compatible, por lo que este puede ser un dispositivo Windows, Linux o macOS.

Los pasos de instalación para las diversas plataformas requieren lo siguiente:

PowerShell y PowerCLI deberían estar instalados para Windows

  • Al menos PowerShell 3, se recomienda PowerShell 4 (Win7-8.1, Server 2012/R2), PowerShell 5 (Win10, Server2016)
  • PowerCLI 5.5 ya no es compatible y se requiere mínimo la versión 6.0 R3

PowerShell Core y PowerCLI Core deberían estar instalados para macOS y Linux

  • Al momento de escribir este artículo, la versión compatible es PowerShell Core alpha 18.
  • Adicionalmente se requiere la versión PowerCLI Core 1.0

El método recomendado para instalar PowerNSX es ejecutando una línea de PowerShell que descarga e invoca el Instalador PowerNSX directamente desde el repositorio GitHub de VMware. PowerNSX trasladará su mecanismo de distribución a la galería PowerShell en el futuro, por lo que se recomienda verificar https://powernsx.github.io para obtener las últimas instrucciones de instalación específicas de la plataforma.

Nota 1: Al seguir las secciones de ejemplo, copie las instrucciones de instalación apropiadas en https://powernsx.github.io en lugar de copiarlas manualmente desde este documento.

Nota 2: Este módulo no está soportado por VMware y no incluye garantías explícitas o implícitas, por lo que se recomienda probar y validar su funcionalidad en un ambiente de laboratorio antes de usar este producto en un entorno de producción.

clip_image001

Al hacer clic sobre el botón INSTALAR, la página nos llevará al proceso de instalación y a un breve resumen del PowerNSX.

La instalación a través de PowerShell Gallery solo es compatible con Windows en este momento. La Galería PowerShell está disponible de forma nativa en PowerShell 5 y superior, y se puede instalar fácilmente en versiones anteriores.

Consulte https://www.powershellgallery.com/ para obtener más detalles. Los métodos alternativos para la instalación, incluida la instalación en PowerShell Core (Linux, macOS) se pueden obtener en el siguiente enlace https://powernsx.github.io/get-started

Instalar PowerNSX a través de la Galería PowerShell – Windows

PowerNSX se puede instalar a través de una serie de métodos. Comenzar con PowerNSX es rápido y eficiente gracias a la distribución a través de la Galería de PowerShell en Windows, mientras que para los usuarios de macOS y Linux esto puede ser a través del script de instalación o ejecutarse manualmente.

Ejecute los siguientes comandos en una ventana de PowerShell para instalar PowerNSX en el usuario actual o para todos los usuarios de acuerdo a su necesidad. Si PowerCLI no está instalado, los componentes requeridos se descargan e instalan automáticamente. La galería PowerShell es el método recomendado para usuarios de Windows.

Ejecute el siguiente comando para instalar PowerNSX en el usuario actual:

Find-Module PowerNSX | Install-Module -scope CurrentUser

Para instalar en todos los usuarios, ejecute PowerShell como administrador:

Find-Module PowerNSX | Install-Module

clip_image002

Paso 2: Trabajando con PowerNSX

Una vez integrada la herramienta con PowerShell, es momento de aprovechar todas las ventajas de automatización que nos ofrece siguiendo algunos ejemplos comunes, que van desde la conexión al NSX Manager para listar sus propiedades hasta la creación de reglas en el Firewall Distribuido para procesos de micro segmentación.

Conectando a NSX Manager

Los administradores pueden aprovechar SSO o una conexión directa para garantizar el nivel correcto de acceso cuando se utiliza la API de NSX Manager. Con una conexión establecida para vCenter y NSX Manager, un administrador puede realizar operaciones con PowerNSX, de manera que es necesaria una cuenta de usuarios con permisos tanto en vCenter como en el NSX Manager.

La conexión con una cuenta SSO requiere una definición explícita del servidor vCenter. La cuenta que se conecta a vCenter se usará para conectarse a la API de NSX, que creará una sesión PowerCLI y PowerNSX con los permisos de SSO aplicados.

En la consola de PowerShell o PowerShell ISE ejecute el siguiente comando para realizar la conexión, a continuación ingrese usuario y contraseña con permisos en vCenter Server y en NSX Manager

/> Connect-NsxServer -vCenterServer IP/FQDN_vCenter_Server

clip_image003

Una vez conectado obtendrá una vista como la siguiente

clip_image004

Ejemplos de configuración con PowerNSX

En la página web oficial del PowerNSX, podremos encontrar algunos ejemplos para operar con NSX Manager como crear Logical Switches, DRL, Security Groups entre otros. Se recomienda visitar el enlace https://powernsx.github.io/get-started

Para efectos de mostrar la utilidad de Power NSX y teniendo en cuenta que debo hacer la creación de 150 Security Groups que me agrupen las 150 aplicaciones de un cliente, veo de gran utilidad utilizar esta herramienta ya que aprovisionarlos de forma manual a través de la interface grafica tardaría mayor tiempo y realmente no soy muy amigo de las tareas repetitivas, por lo que prefiero automatizarlas.

Ejemplo 1: Para visualizar los Security Groups creados en el NSX Manager basta con utilizar el siguiente comando

/> Get-NsxSecurityGroup | select name, objectid | ft -auto

clip_image005

Comprobamos que nos muestra lo mismo desde el NSX Manager UI

clip_image006

Ejemplo 2: Podemos ahora comprobar los miembros de un security group de la siguiente forma

/> Get-NsxSecurityGroup SecurityGroupName | Get-NsxSecurityGroupEffectiveMember

clip_image007

El cmdlet Get-NsxSecurityGroupEffectiveMember toma un objeto Security Grupo de la fuente de información y valida las máquinas virtuales que se resuelven. En el ejemplo anterior, las máquinas virtuales que resultan en el security Group SG_KASPERSKY se incluyen como propiedades.

El resultado del Ejemplo anterior devuelve el objeto primario de la membresía. Si bien es posible usar la notación de puntos para atravesar el objeto y encontrar más detalles, hay cmdlets adicionales que logran el mismo resultado.

/> Get-NsxSecurityGroup -name SecurityGroupName | Get-NsxSecurityGroupEffectiveVirtualMachine

clip_image008

Comprobamos que nos muestra lo mismo desde el NSX Manager UI

clip_image009

También es posible utilizar la notación de puntos como se mencionó anteriormente

/> (Get-NsxSecurityGroup -name SecurityGroupName).member.name

clip_image010

Ejemplo 3: Crear un Security Group desde PowerNSX

Para facilitar nuestra tarea de crear Security Groups desde PowerNSX basta con ejecutar el siguiente comando

/> New-NsxSecurityGroup SecurityGroupName

clip_image011

Verificamos ahora que sea visible desde la interface del NSX Manager

clip_image012

Para agregar miembros al Security Group creado basta con ejecutar el siguiente comando

/> Get-NsxSecurityGroup -name SG_Prueba_PowerNSX | Add-NsxSecurityGroupMember -Member (get-vm -Name VMName)

clip_image013

clip_image014

De igual forma si deseamos adicionar un Security Group como miembro de otro Security Group creado basta con ejecutar el siguiente comando

/> Get-NsxSecurityGroup -name SG_Prueba_PowerNSX | Add-NsxSecurityGroupMember -Member (Get-NsxSecurityGroup -Name SecurityGroupName)

clip_image015

clip_image016

Nota: Para miembros que contienen espacio se deben escribir el nombre del miembro entre comillas para evitar errores.

Adicionalmente, podríamos definir los miembros en una variable que puede contener una o varias máquinas virtuales de la siguiente forma, para posteriormente adicionarlas al Security Group creado

/> $Member= get-vm -Name ‘VMName’

Seguidamente para adicionar el miembro al security group solo hace falta ejecutar el siguiente comando

/> Get-NsxSecurityGroup -name SecurityGroupName | Add-NsxSecurityGroupMember -Member $Member

clip_image017

Además de verificar con el cmdlet (Get-NsxSecurityGroup -name SecurityGroupName).member.name que la máquina haya sido agregada al Security Group, podemos también corroborar que aparezca incluida desde la interface gráfica

clip_image018

clip_image019

Ejemplo 4: Para un proceso de micro segmentación se recomienda crear nuevas secciones para no modificar la sección por default. Esto lo podemos lograr con PowerNSX de la siguiente forma

/>New-NsxFirewallSection -Name SectionName-position bottom

clip_image020

La propiedad -position indica que se debe crear la sección antes de la sección por Default

clip_image021

Para obtener más ejemplos de cómo usar el cmdlet puede ejecutar el siguiente comando

/> Get-help New-NsxFirewallSection -Examples

clip_image022

Ejemplo 5: Por último, nos falta crear por lo menos una regla dentro de la sección por lo que nos apoyaremos en el siguiente comando.

Nota: Se debe ser consiente que todos los objetos puede ser Universales o Locales. Una regla de una sección que NO es universal no puede contener objetos universales por lo que si definimos una variable como $Servicename solo como get-nsxservice HTTPS tomará tanto las propiedades universales como locales y al ejecutar el comando de abajo fallará. Es por esta razón que en la variable $Servicename solo guardaremos sus valores locales como se muestra a continuación.

clip_image023

clip_image024

Una vez aclarado lo anterior, procedemos a ejecutar los siguientes comandos que nos crearán una regla con un origen, un destino, el servicio HTTPS, tendrá la acción de permitir el tráfico y estará logueando el tráfico con la Etiqueta “Testing creating a rule”

/> Get-NsxFirewallSection SectionName| New-NsxFirewallRule -Name NameRule -Source $Source -Destination $Destination -Action allow -Service $Servicename -AppliedTo $Appliedto -EnableLogging -Comment “Testing creating a rule”

$Source, $Destination y $Appliedto puede ser una VM, Security Group, Security Tags, etc. Para este ejemplo se han tomado las siguientes variables

$Source=get-vm -name Prueba5

$Destination= Get-NsxSecurityGroup -name ‘Grupo de prueba’

$Appliedto= Get-NsxSecurityGroup -name ‘Grupo de prueba’

$Servicename=get-nsxservice HTTPS -LocalOnly

clip_image025

clip_image026

clip_image027

Nota: Si desea crear la regla pero dejarla deshabilitada, basta con adicionar al final del comando la propiedad -Disabled

Para obtener más ejemplos del uso del comando ejecute el comando

/> Get-help New-NsxFirewalLRule -Examples

Desconectar sesión de NSX

El cierre de una sesión PowerNSX se logra desconectándose del NSX Manager

/> Disconnect-NsxServer