您可以在 NSX Manager 中为处于云原生实施模式的工作负载虚拟机配置安全策略。

NSX 3.0 开始,您可以在不同帐户或订阅的 VPC/VNet 中创建安全策略和规则。
注: DFW 规则取决于分配给虚拟机的标记。由于这些标记可由拥有相应公有云权限的任何人进行修改,因此 NSX 假定此类用户是可信的,并且将由公有云网络管理员负责确保和审核虚拟机始终进行了正确标记。

前提条件

确认您有一个处于云原生实施模式的转换或计算 VPC/VNet。

过程

  1. NSX Manager 中,编辑或创建工作负载虚拟机的组,例如,以 web、app、db 开头的虚拟机名称可以分别表示三个不同的组。有关说明,请参见添加组。另请参见使用 NSX 和公有云标记对虚拟机分组,以了解有关使用公有云标记为工作负载虚拟机创建组的信息。

    将匹配条件的工作负载虚拟机添加到组中。将与任何分组条件都不匹配的虚拟机放置到 AWS 中的 default 安全组和 Microsoft Azure 中的 default-vnet-<vnet-ID>-sg 网络安全组中。

    注: 您不能使用由 NSX Cloud 自动创建的组。
  2. NSX Manager目标应用对象字段中,使用这些组创建分布式防火墙 (DFW) 规则。有关说明,请参见添加分布式防火墙
    注: 公有云工作负载虚拟机仅支持有状态策略。无状态策略可以在 NSX Manager 中创建,但不会与包含公有云工作负载虚拟机的任何组进行匹配。

    处于云原生实施模式的工作负载虚拟机的 DFW 规则不支持 L7 上下文配置文件。

  3. CSM 中,从“用户管理”列表中移除要由 NSX 管理的那些虚拟机。有关说明,请参见如何使用用户管理列表
    注: 将虚拟机添加到“用户管理”列表是一个手动步骤,强烈建议在 CSM 中添加公有云清单后立即在初始工作流中执行该步骤。如果尚未将任何虚拟机添加到“用户管理”列表,则不需要从列表中移除虚拟机。
  4. 对于在公有云中找到匹配项的组和 DFW 规则,将自动执行以下操作:
    1. 在 AWS 中,NSX Cloud 会创建一个新安全组,其名称类似于 nsx-<NSX GUID>
    2. 在 Microsoft Azure 中,NSX Cloud 会创建一个应用程序安全组 (Application Security Group, ASG)(对应于在 NSX Manager 中创建的组)和一个网络安全组 (Network Security Group, NSG)(对应于与分组工作负载虚拟机匹配的 DFW 规则)。
      NSX Cloud 将每 30 秒同步一次 NSX Manager、公有云组和 DFW 规则。
  5. CSM 中重新同步公有云帐户:
    1. 登录到 CSM 并转到公有云帐户。
    2. 从公有云帐户中,单击操作 > 重新同步帐户。等待重新同步完成。
    3. 转到 VPC/VNet,然后单击红色的错误指示信息。这将转到“实例”视图。
    4. 如果当前位于“网格”视图,则将该视图切换到“详细信息”,然后在“规则实现”列中单击失败以查看错误(如果有)。

下一步做什么

请参见 当前限制和常见错误