作為軟體定義資料中心內的網路與安全防護核心虛擬化構件,應該要確認所有NSX相關的組態與構件都能夠完善地受到保護,並且在出問題時可以完整地回復。
NSX Controller的快照與還原
三台NSX Controller都需要進行快照動作。在現行的NSX版本,管理介面上僅能進行NSX Controller的快照動作,但無法進行還原動作;而且也沒辦法像NSX Manager一樣設定Schedule定期進行備份。因此,建議先找一台Linux機器,然後直接利用NSX的API來進行Controller的快照作業。
要進行快照作業前,要確認以下兩個狀態:
1. 在NSX Installation的管理頁面內,顯示各台NSX Controller的狀態是Normal,而非Disconnected或其他異常狀態
2. 各台NSX Controller已經都加入同一個Cluster Majority。
完整的備份指令說明,請參考NSX的API Guide。不過,在Linux機器上,可以很簡單地跑cron-job或是手動下指令,例如使用curl指令發送API來進行快照作業:
以上API指令內的括號中,是NSX Admin的密碼、是NSX Manager VM的IP地址、controllerID則是要快照的那台Controller機器ID,例如controller-1、controller-3等。
藉由上面的API指令於cron-job內執行,可以定期將三台Controller的快照取出並儲存,比較會寫Script的人也可以依據cron-job執行的時間將時間參數放置到儲存的快照檔名內。
當要將Controller組態還原到之前的狀態時,先利用如WinSCP、FileZilla等工具,將各台Controller備份的快照檔案上傳到各台Controller的VM內。
接著,利用如PuTTY工具以SSH登入到各台Controller內(輸入NSX Controller的管理帳號及密碼),使用以下的指令還原到之前快照的狀態(當中的filename就是上傳的快照檔案名稱):
接著,當三台的Controller都已經被Restore,於第二及第三台Controller上要執行下列指令,將這兩台NSX Controller加入第一台NSX Controller所建立的叢集(Cluster)內:
當合併(Join)完成,Controller正常運作時,利用「show controller status」指令應該可以看到如圖3所示的訊息。如果三台Controller顯示都是「Join complete」且可以被「safely restarted」時,代表Controller的還原作業就成功了。
|
▲圖3 使用「show controller status」指令進行檢視。 |
Distributed Firewall的備份與還原
Distributed Firewall本身規則的儲存非常直接,只要有任何的防火牆規則更改,系統會先問管理者要不要發布(Publish)相關的變更到各台vSphere Host/VM。此時,旁邊就有一個Save Changes,管理者點擊後,就可以將目前的防火牆規則進行儲存。而且,即使不這樣做,系統也會幫忙做自動儲存(AutoSave)。到Saved Configurations內,就可以看到不同時間內的防火牆設定檔儲存,如圖4所示。
|
▲圖4 查看不同時間內的防火牆設定檔儲存。 |
如果要將之前自己或系統儲存的防火牆設定檔回復,作法如下所述。在工具列上面有一個圖示是「Load Saved Configuration」,點擊後,會出現如圖5所示的對話框,就可以選擇要回復到哪一個之前所儲存的防火牆政策,非常簡單。
|
▲圖5 選擇要回復到哪一個之前所儲存的防火牆政策。 |
但上面的儲存、回復都是儲存於NSX Manager內本身的防火牆設定檔管理,如果需要將分散式防火牆的組態備份到外部存放,或是由儲存於外部的防火牆規則來回復一個新的組態,則需要進行防火牆組態的匯出與匯入。
如圖6所示,到防火牆的Saved Configurations工作視窗內,可以看到工具列有兩個選項,包括Export Configuration與Import Configuration。利用Export Configuration,可以將對應的防火牆組態檔匯出到管理者執行瀏覽器的機器內進行儲存,而利用Import Configuration則可以由之前匯出的防火牆設定檔再重新匯入到系統內。
|
▲圖6 選擇使用Export Configuration或Import Configuration功能。 |
Service Composer的備份與還原
在Service Composer內有Security Group和Security Policy兩個重要的元件:Security Group定義要保護的系統元件,Security Policy則定義在這個Security Group內元件的安全政策,包括防火牆政策、系統防護政策、網路檢查政策等。
對於Service Composer的備份,是針對Security Policy來進行,可以選擇同時備份一個或多個Security Policy,而在備份這些Policy時,有應用到這些Security Policy的Security Group,也都會同時被備份到。