Mit dieser Funktion wird der Verbrauch der VMware NSX for vSphere -Richtlinie aus der OpenStack-Cloud-Verwaltungsplattform über OpenStack-Sicherheitsgruppen aktiviert. Der NSX-Administrator kann Sicherheitsrichtlinien definieren, die der OpenStack-Cloudadministrator für Cloudbenutzer freigibt. Die Cloudbenutzer können auch ihre eigenen Sicherheitsgruppen mit Regeln definieren, wenn der Cloudadministrator reguläre Sicherheitsgruppen aktiviert. Diese Funktion kann auch von Cloudadministratoren verwendet werden, um Netzwerkdienste von Drittanbietern einzufügen.

Ab VMware Integrated OpenStack 3.1 können Administratoren mit Neutron-Sicherheitsgruppen zwei neue Funktionalitäten verwenden.

Anbietersicherheitsgruppen

Diese Sicherheitsgruppen sind, wenn sie konfiguriert sind, verpflichtend und gelten für alle VMs eines bestimmten Mandanten. Die Sicherheitsgruppen sind auch als Administratorregeln bekannt. Eine Anbietersicherheitsgruppe kann mit einer Richtlinie verbunden werden oder ohne eine Richtlinie vorhanden sein.

Sicherheitsgruppen von NSX Service Composer – Sicherheitsrichtlinie

Weitere Informationen finden Sie im Kapitel Service Composer im VMware NSX for vSphere -Administratorhandbuch.

Jede Richtlinie von VMware NSX for vSphere kann vom OpenStack-Cloudadministrator als Standardrichtlinie durch Festlegen der Option nsxv_default_policy_id in der custom.yml-Datei definiert werden. Alle neuen Mandanten verfügen über diese Richtlinie als Standardrichtlinie. Weitere Richtlinien können definiert und als erforderlich oder optional für einen bestimmten Mandanten zugewiesen werden, indem sie entweder mit dem Anbieter oder optionalen Sicherheitsgruppen verbunden werden. Mandantenbenutzer können auch Sicherheitsgruppen mit Regeln erstellen, sie können jedoch keine vom Cloudadministrator festgelegten Sicherheitsgruppen überschreiben.

Nach der Aktivierung von VMware NSX for vSphere -Richtlinien können Cloudadministratoren verschiedene Szenarios konfigurieren.

  1. Cloudadministratoren können die Erstellung regulärer Sicherheitsgruppen mit unterschiedlichen Optionen untersagen.

    • Wenn nur eine standardmäßige Sicherheitsgruppe vorhanden ist, ist diese mit der Standardrichtlinie verbunden. Mandanten-VMs werden mit den in der Standardrichtlinie definierten Regeln erzwungen.

    • Wenn der Cloudadministrator eine Sicherheitsgruppe mit einer unterschiedlichen Richtlinie erstellt, können Mandanten-VMs mit dieser Sicherheitsgruppe anstatt der standardmäßigen Sicherheitsgruppe verbunden werden. Nur die in der aktuellen Richtlinie definierten Regeln sind gültig.

    • Wenn zusätzlich zu den Richtlinienregeln Anbietersicherheitsgruppen vorhanden sind, werden Mandanten-VMs auch mit den in den Anbietersicherheitsgruppen definierten Regeln erzwungen.

  2. Cloudadministratoren können die Erstellung regulärer Sicherheitsgruppen mit unterschiedlichen Optionen zulassen.

    • Mit benutzerdefinierten regulären Sicherheitsgruppen gestartete VMs werden nur mit den in diesen Sicherheitsgruppen definierten Regeln erzwungen.

    • Wenn zusätzlich zu den Regeln in der regulären Sicherheitsgruppe eine Anbietersicherheitsgruppe vorhanden ist, werden Mandanten-VMs auch mit den in den Anbietersicherheitsgruppen definierten Regeln erzwungen. In diesem Fall haben Regeln der Anbietersicherheitsgruppen Vorrang gegenüber regulären Sicherheitsgruppenregeln. Ebenso haben richtlinienbasierte Regeln Vorrang, wenn Sie richtlinienbasierte Sicherheitsgruppen mit regulären Sicherheitsgruppen verwenden.

    • Sie können über Sicherheitsgruppen mit einer Richtlinie oder Regeln verfügen, nicht aber mit beidem.

Verwalten der Sicherheitsgruppen von NSX Service Composer – Sicherheitsrichtlinie über CLI-Befehle

Cloudadministratoren können auch die Verbindung der Sicherheitsgruppenrichtlinie unter Verwendung von CLI-Befehlen über den Integrated OpenStack Manager ändern.

Aktion

Befehlsbeispiel

Ändern der verbundenen Richtlinie für eine Sicherheitsgruppe

neutron security-group-update --policy=<NSX_Policy_ID> <SECURITY_GROUP_ID>

Migrieren der vorhandenen Sicherheitsgruppen zu richtlinienbasierten Sicherheitsgruppen unter Verwendung des nsxadmin-Hilfsprogramms.

Anmerkung:

Mit dieser Aktion werden vorhandene, vom Benutzer definierte Regeln gelöscht. Stellen Sie sicher, dass Sie über die entsprechenden Regeln in der Richtlinie verfügen, um eine Netzwerkunterbrechung zu vermeiden.

nsxadmin -r security-groups -o migrate-to-policy --property policy-id=<NSX_Policy_ID> --property security-group-id=<SECURITY_GROUP_ID>

Erzwingen von Anbietersicherheitsgruppen auf vorhandenen VM-Ports

neutron port-update <PORT_ID> --provider-security-groups list=true <SECURITY_GROUP_ID1> <SECURITY_GROUP_ID2>

Stellen Sie sicher, dass eine neue, auf der NSX-Seite erstellte Richtlinie vor dem Abschnitt mit allen OpenStack-Sicherheitsgruppen platziert wird. Verwenden Sie dazu das nsxadmin-Hilfsprogramm.

Anmerkung:

Wenn mehr als eine richtlinienbasierte Sicherheitsgruppe auf einer VM/auf einem Port erzwungen wird, wird die Reihenfolge, in der die Richtlinienregeln erzwungen werden, vom NSX-Administrator über den Abschnitt „Firewall“ gesteuert.

sudo -u neutron nsxadmin --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/vmware/nsxv.ini -r firewall-sections -o nsx-reorder