NSX-T – IDS/IPS Konfiguration entfernen

19. März 2021 at 21:08

NSX-T wurde in Version 3.1 mit Distributed IDS/IPS ausgestattet. Doch der mit NSX-T 3.0 eingeführte Global Manager unterstützt kein IDS/IPS. Dies ist normalerweise auch kein Problem, da man die IDS/IPS-Konfiguration vornehmen kann, nachdem der Local Manager in den Global Manager importiert wurde.
In meinem Fall hatte ich nun aber einen Local Manager der in der Vergangenheit einmal IDS/IPS aktiviert hatte (aber in der Zwischenzeit abgeschaltet wurde), der nun nachträglich in einen Global Manager importiert werden sollte.
Doch verweigerte der Global Manager den Import.

IDS wird vom NSX-T Global Manager nicht unterstützt.
Beim Hinzufügen des Managers in den Global Manager wird unter anderem IDS als nicht unterstützt angegeben.

Während die weiteren nicht unterstützten Funktionalitäten entfernt werden konnten, so lies sich IDS nicht erklären. Schließlich hatte ich IDS/IPS global deaktiviert und sogar die Lizenz dafür entfernt.

Distributed IDS/IPS ist nicht lizensiert.
Distributed IDS/IPS ist nicht lizensiert.

Ursachenforschung

Meine Idee war das die Transport Nodes noch eine IDS-Konfiguration haben, bzw. das irgendwo in NSX-T für die Funktion IDS so etwas wie enable=false steht.

Und Erfolg!
Der API-Call GET https://<NSX-Manager>/policy/api/v1/infra/settings/firewall/security/intrusion-services/cluster-configs ergab das ich mit der Vermutung Recht hatte:

Tatsächlich war für drei Cluster (von denen lediglich nur noch zwei existierten) eine IDS/IPS-Konfiguration hinterlegt. Um dies zu überprüfen, habe ich den selben API-Call gegen einen anderen NSX-Manager ausgeführt, dort war die Rückgabe leer:

Behebung

Ich fertigte also ein aktuelles Backup der NSX-T-Konfiguration an und bemühte erneut die API: DELETE https://<NSX-Manager>/policy/api/v1/infra/settings/firewall/security/intrusion-services/cluster-configs/<cluster-id> Dabei ist <cluster-id> die ID aus der vorherigen Ausgabe, also beispielsweise 2d1027a2-d9f5-4e32-b134-2683c0c0eed6:domain-c36646
Nachdem ich dies für alle drei Cluster durchführte, überprüfte ich zunächst ob NSX-T noch funktioniert oder irgendwelche Fehler aufweist. Dies war nicht der Fall,so konnte ich mit der Integration in den Global Manager fortfahren und erneut probieren und siehe da, der Import war möglich:

Der Local Manager kann nun in den Global Manager importiert werden.
Der Local Manager kann nun in den Global Manager importiert werden.