Verwenden von NSX Data Center for vSphere-Sicherheitsrichtlinien in OpenStack

Sie können NSX Data Center for vSphere-Sicherheitsrichtlinien über Neutron-Sicherheitsgruppen erzwingen. Diese Funktion kann auch zum Einfügen der Netzwerkdienste von Drittanbietern verwendet werden.

Sowohl Anbieter- als auch Standardsicherheitsgruppen können NSX Data Center for vSphere-Sicherheitsrichtlinien verwenden. Regelbasierte Anbieter- und Standardsicherheitsgruppen können auch zusammen mit auf Sicherheitsrichtlinien basierten Sicherheitsgruppen genutzt werden. Eine Sicherheitsgruppe, die einer Sicherheitsrichtlinie zugewiesen ist, darf jedoch keine Regeln enthalten.

Sicherheitsrichtlinien haben Vorrang vor allen Sicherheitsgruppenregeln. Wenn mehr als eine Sicherheitsrichtlinie an einem Port erzwungen wird, bestimmt NSX Data Center for vSphere die Reihenfolge, in der die Richtlinien erzwungen werden. Sie können die Reihenfolge auf dem vSphere Client auf der Seite „Sicherheit > Firewall“ unter Netzwerk und Sicherheit ändern.

Voraussetzungen

Erstellen Sie die gewünschten Sicherheitsrichtlinien in NSX Data Center for vSphere. Informationen dazu finden Sie im Administratorhandbuch für NSX unter Erstellen einer Sicherheitsrichtlinie.

Prozedur

Melden Sie sich beim Integrated OpenStack Manager als root-Benutzer an.
```
ssh root@mgmt-server-ip
```
Ändern Sie die Neutron-Konfiguration.
```
viocli update neutron
```

Fügen Sie im Abschnitt nsxv die Parameter use_nsx_policies, default_policy_id und allow_tenant_rules_with_policy hinzu und konfigurieren Sie sie.

Option	Beschreibung
use_nsx_policies	Geben Sie `true` ein.
default_policy_id	Geben Sie die ID der NSX Data Center for vSphere-Sicherheitsrichtlinie ein, die Sie mit der Standardsicherheitsgruppe für neue Projekte verknüpfen möchten. Wenn Sie keine Standardsicherheitsrichtlinie verwenden möchten, lassen Sie diesen Parameter auskommentiert. Um die ID einer Sicherheitsrichtlinie zu finden, melden Sie sich bei vSphere Client an und wählen Sie Menü > Netzwerk und Sicherheit aus. Klicken Sie auf Service Composer und öffnen Sie die Registerkarte Sicherheitsrichtlinien. Klicken Sie unten links in der Tabelle auf das Symbol Spalten anzeigen. Wählen Sie Objekt-ID aus und klicken Sie auf OK. Die ID jeder Sicherheitsrichtlinie wird in der Tabelle angezeigt.
allow_tenant_rules_with_policy	Geben Sie `true` ein, um Mandanten das Erstellen von Sicherheitsgruppen und Regeln zu erlauben, oder geben Sie `false` ein, um zu verhindern, dass Mandanten Sicherheitsgruppen oder Regeln erstellen.

Option

Beschreibung

use_nsx_policies

Geben Sie true ein.

default_policy_id

Geben Sie die ID der NSX Data Center for vSphere-Sicherheitsrichtlinie ein, die Sie mit der Standardsicherheitsgruppe für neue Projekte verknüpfen möchten. Wenn Sie keine Standardsicherheitsrichtlinie verwenden möchten, lassen Sie diesen Parameter auskommentiert.

Um die ID einer Sicherheitsrichtlinie zu finden, melden Sie sich bei vSphere Client an und wählen Sie Menü > Netzwerk und Sicherheit aus. Klicken Sie auf Service Composer und öffnen Sie die Registerkarte Sicherheitsrichtlinien. Klicken Sie unten links in der Tabelle auf das Symbol Spalten anzeigen. Wählen Sie Objekt-ID aus und klicken Sie auf OK. Die ID jeder Sicherheitsrichtlinie wird in der Tabelle angezeigt.

allow_tenant_rules_with_policy

Geben Sie true ein, um Mandanten das Erstellen von Sicherheitsgruppen und Regeln zu erlauben, oder geben Sie false ein, um zu verhindern, dass Mandanten Sicherheitsgruppen oder Regeln erstellen.

Die Konfigurationsdatei entspricht nun weitestgehend Folgendem:

conf:
  [...]
  plugins:
    nsx:
      [...]
      nsxv:
        use_nsx_policies: true
        default_policy_id: policy-5
        allow_tenant_rules_with_policy: true

Wenn Sie zusätzliche Sicherheitsgruppen mit Sicherheitsrichtlinien verwenden möchten, können Sie die folgenden Schritte ausführen:
- Um eine NSX Data Center for vSphere-Sicherheitsrichtlinie mit einer neuen Sicherheitsgruppe zu verknüpfen, geben Sie beim Erstellen der Gruppe die gewünschte Richtlinie an:
```
toolbox
export OS_PASSWORD=admin-account-password
neutron security-group-create security-group-name --tenant-id tenant-uuid --policy=policy-id
```
- Führen Sie auf dem Neutron-Server den folgenden Befehl aus, um eine vorhandene Sicherheitsgruppe zu einer sicherheitsrichtlinienbasierten Gruppe zu migrieren:
```
kubectl -n openstack exec -it neutron-server-pod-name -- /bin/bash
nsxadmin -r security-groups -o migrate-to-policy --property policy-id=policy-id --property security-group-id=security-group-uuid
```
  Hinweis: Mit diesem Befehl werden alle Regeln aus der angegebenen Sicherheitsgruppe entfernt. Stellen Sie sicher, dass die Zielrichtlinie so konfiguriert ist, dass die Netzwerkverbindung nicht unterbrochen wird.

Konfigurieren Sie Neutron so, dass NSX Data Center for vSphere-Sicherheitsrichtlinien gegenüber Sicherheitsgruppen Priorität genießen.

kubectl -n openstack exec -it neutron-server-pod-name -- /bin/bash
sudo -u neutron nsxadmin --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/vmware/nsx.ini -r firewall-sections -o nsx-reorder