Verwenden von NSX Data Center for vSphere-Sicherheitsrichtlinien in OpenStack

Sie können NSX Data Center for vSphere-Sicherheitsrichtlinien über Neutron-Sicherheitsgruppen erzwingen. Diese Funktion kann auch zum Einfügen der Netzwerkdienste von Drittanbietern verwendet werden.

Sowohl Anbieter- als auch Standardsicherheitsgruppen können NSX Data Center for vSphere-Sicherheitsrichtlinien verwenden. Regelbasierte Anbieter- und Standardsicherheitsgruppen können auch zusammen mit auf Sicherheitsrichtlinien basierten Sicherheitsgruppen genutzt werden. Eine Sicherheitsgruppe, die einer Sicherheitsrichtlinie zugewiesen ist, darf jedoch keine Regeln enthalten.

Sicherheitsrichtlinien haben Vorrang vor allen Sicherheitsgruppenregeln. Wenn mehr als eine Sicherheitsrichtlinie an einem Port erzwungen wird, bestimmt NSX Data Center for vSphere die Reihenfolge, in der die Richtlinien erzwungen werden. Sie können die Reihenfolge auf dem vSphere Client auf der Seite „Sicherheit > Firewall“ unter Netzwerk und Sicherheit ändern.

Voraussetzungen

Erstellen Sie die gewünschten Sicherheitsrichtlinien in NSX Data Center for vSphere. Informationen dazu finden Sie im Administratorhandbuch für NSX unter Erstellen einer Sicherheitsrichtlinie.

Prozedur

Melden Sie sich beim OpenStack Management Server als viouser an.
Wenn die Datei custom.yml in Ihrer Bereitstellung nicht verwendet wird, kopieren Sie die Vorlagendatei custom.yml in das Verzeichnis /opt/vmware/vio/custom.
```
sudo mkdir -p /opt/vmware/vio/custom
sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
```
Öffnen Sie die Datei /opt/vmware/vio/custom/custom.yml in einem Texteditor.

Heben Sie die Auskommentierung der Parameter nsxv_use_nsx_policies, nsxv_default_policy_id und nsxv_allow_tenant_rules_with_policy auf und konfigurieren Sie sie.

Option	Beschreibung
nsxv_use_nsx_policies	Geben Sie `true` ein.
nsxv_default_policy_id	Geben Sie die ID der NSX Data Center for vSphere-Sicherheitsrichtlinie ein, die Sie mit der Standardsicherheitsgruppe für neue Projekte verknüpfen möchten. Wenn Sie keine Standardsicherheitsrichtlinie verwenden möchten, lassen Sie diesen Parameter auskommentiert. Suchen Sie die ID einer Sicherheitsrichtlinie, indem Sie Menü > Netzwerk und Sicherheit auswählen und auf Service Composer klicken. Öffnen Sie die Registerkarte Sicherheitsrichtlinien und klicken Sie unten links in der Tabelle auf das Symbol Spalten anzeigen. Wählen Sie Objekt-ID aus und klicken Sie auf OK. Die ID jeder Sicherheitsrichtlinie wird in der Tabelle angezeigt.
nsxv_allow_tenant_rules_with_policy	Geben Sie `true` ein, um Mandanten das Erstellen von Sicherheitsgruppen und Regeln zu erlauben, oder geben Sie `false` ein, um zu verhindern, dass Mandanten Sicherheitsgruppen oder Regeln erstellen.

Option

Beschreibung

nsxv_use_nsx_policies

Geben Sie true ein.

nsxv_default_policy_id

Geben Sie die ID der NSX Data Center for vSphere-Sicherheitsrichtlinie ein, die Sie mit der Standardsicherheitsgruppe für neue Projekte verknüpfen möchten. Wenn Sie keine Standardsicherheitsrichtlinie verwenden möchten, lassen Sie diesen Parameter auskommentiert.

Suchen Sie die ID einer Sicherheitsrichtlinie, indem Sie Menü > Netzwerk und Sicherheit auswählen und auf Service Composer klicken. Öffnen Sie die Registerkarte Sicherheitsrichtlinien und klicken Sie unten links in der Tabelle auf das Symbol Spalten anzeigen. Wählen Sie Objekt-ID aus und klicken Sie auf OK. Die ID jeder Sicherheitsrichtlinie wird in der Tabelle angezeigt.

nsxv_allow_tenant_rules_with_policy

Geben Sie true ein, um Mandanten das Erstellen von Sicherheitsgruppen und Regeln zu erlauben, oder geben Sie false ein, um zu verhindern, dass Mandanten Sicherheitsgruppen oder Regeln erstellen.

Stellen Sie die aktualisierte Konfiguration bereit.
```
sudo viocli deployment configure
```
Die Bereitstellung der Konfiguration führt zu einer kurzen Unterbrechung der OpenStack-Dienste.
Melden Sie sich beim Controller-Knoten als viouser an.
Wechseln Sie zum root-Benutzer und laden Sie die Datei mit den Anmeldedaten des Cloud-Administrators.
```
sudo su -
source ~/cloudadmin.rc
```
Wenn Sie zusätzliche Sicherheitsgruppen mit Sicherheitsrichtlinien verwenden möchten, können Sie die folgenden Schritte ausführen:
- Wenn Sie eine NSX Data Center for vSphere-Sicherheitsrichtlinie einer neuen Sicherheitsgruppe zuweisen möchten, erstellen Sie die Gruppe und aktualisieren Sie sie mit der gewünschten Richtlinie:
```
neutron security-group-create security-group-name --tenant-id tenant-uuid
neutron security-group-update --policy=policy-id security-group-uuid
```
- Führen Sie den folgenden Befehl aus, um eine vorhandene Sicherheitsgruppe in eine sicherheitsrichtlinienbasierte Gruppe zu migrieren:
```
sudo -u neutron nsxadmin -r security-groups -o migrate-to-policy --property policy-id=policy-id --property security-group-id=security-group-uuid
```
  Hinweis:
  Mit diesem Befehl werden alle Regeln aus der angegebenen Sicherheitsgruppe entfernt. Stellen Sie sicher, dass die Zielrichtlinie so konfiguriert ist, dass die Netzwerkverbindung nicht unterbrochen wird.

Konfigurieren Sie Neutron so, dass NSX Data Center for vSphere-Sicherheitsrichtlinien gegenüber Sicherheitsgruppen Priorität genießen.

sudo -u neutron nsxadmin --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/vmware/nsxv.ini -r firewall-sections -o nsx-reorder