通过 NSX 策略,您可以为虚拟机、逻辑端口、IP 地址和 MAC 地址等对象指定规则,而不必担心这些规则的机制。您可以通过 NSX Policy Manager(而不是 NSX Manager)管理策略。

在配置策略之前,您必须安装 NSX Policy Manager。有关详细信息,请参见《NSX-T 安装指南》。在 NSX Policy Manager 中,您还必须添加一个或多个实施点,以提供有关将应用策略的 NSX Manager 的信息。

以下示例说明了如何使用策略管理应用程序的网络连接。

应用程序具有三层(Web、应用程序和数据库),并且您希望将以下规则应用于应用程序的虚拟机:
  • 允许 Web 层和应用程序层之间的流量。
  • 允许应用程序层和数据库层之间的流量。
  • 允许任何系统和 Web 层之间的流量。
在 NSX Manager 上执行以下步骤:
  • 将 Web 虚拟机的工作负载名称设置为 Web,并后跟某个标识字符串。
  • 将应用程序虚拟机的工作负载名称设置为 App,并后跟某个标识字符串。
  • 将数据库虚拟机的工作负载名称设置为 DB,并后跟某个标识字符串。
在 NSX Policy Manager 上执行以下步骤:
  • 创建一个域并指定以下内容:
    • 创建一个名为 WebGroup 的组,其中包含工作负载名称以 Web 开头的虚拟机。
    • 创建一个名为 AppGroup 的组,其中包含工作负载名称以 App 开头的虚拟机。
    • 创建一个名为 DBGroup 的组,其中包含工作负载名称以 DB 开头的虚拟机。
    • 指定用于控制组之间通信的安全策略。
  • 验证域配置以确保没有错误。
  • 选择实施点。

选择实施点后,NSX Policy Manager 将在这些实施点与 NSX Manager 通信,而这些实施点将实施安全策略。

基于角色的访问控制

NSX Policy Manager 具有两个内置用户:adminaudit。您可以将 NSX Policy Manager 与 VMware Identity Manager (vIDM) 集成在一起,并为 vIDM 管理的用户配置基于角色的访问控制 (Role-Based Access Control, RBAC)。

对于由 vIDM 管理的用户,应用的身份验证策略是由 vIDM 管理员配置的身份验证策略,而不是 NSX Policy Manager 的身份验证策略,后者仅适用于 adminaudit 用户。