Sie können NSX Data Center for vSphere-Sicherheitsrichtlinien über Neutron-Sicherheitsgruppen erzwingen. Diese Funktion kann auch zum Einfügen der Netzwerkdienste von Drittanbietern verwendet werden.

Sowohl Anbieter- als auch Standardsicherheitsgruppen können NSX Data Center for vSphere-Sicherheitsrichtlinien verwenden. Regelbasierte Anbieter- und Standardsicherheitsgruppen können auch zusammen mit auf Sicherheitsrichtlinien basierten Sicherheitsgruppen genutzt werden. Eine Sicherheitsgruppe, die einer Sicherheitsrichtlinie zugewiesen ist, darf jedoch keine Regeln enthalten.

Sicherheitsrichtlinien haben Vorrang vor allen Sicherheitsgruppenregeln. Wenn mehr als eine Sicherheitsrichtlinie an einem Port erzwungen wird, bestimmt NSX Data Center for vSphere die Reihenfolge, in der die Richtlinien erzwungen werden. Sie können die Reihenfolge auf dem vSphere Client auf der Seite „Sicherheit > Firewall“ unter Netzwerk und Sicherheit ändern.

Voraussetzungen

Erstellen Sie die gewünschten Sicherheitsrichtlinien in NSX Data Center for vSphere. Weitere Informationen finden Sie unter „Erstellen einer Sicherheitsrichtlinie“ im Administratorhandbuch für NSX.

Prozedur

  1. Melden Sie sich beim Integrated OpenStack Manager als root-Benutzer an.
    ssh root@mgmt-server-ip
  2. Ändern Sie die Neutron-Konfiguration.
    viocli update neutron
  3. Fügen Sie im Abschnitt nsxv die Parameter use_nsx_policies, default_policy_id und allow_tenant_rules_with_policy hinzu und konfigurieren Sie sie.
    Option Beschreibung

    use_nsx_policies

    Geben Sie true ein.

    default_policy_id

    Geben Sie die ID der NSX Data Center for vSphere-Sicherheitsrichtlinie ein, die Sie mit der Standardsicherheitsgruppe für neue Projekte verknüpfen möchten. Wenn Sie keine Standardsicherheitsrichtlinie verwenden möchten, lassen Sie diesen Parameter auskommentiert.

    Um die ID einer Sicherheitsrichtlinie zu finden, melden Sie sich bei vSphere Client an und wählen Sie Menü > Netzwerk und Sicherheit aus. Klicken Sie auf Service Composer und öffnen Sie die Registerkarte Sicherheitsrichtlinien. Klicken Sie unten links in der Tabelle auf das Symbol Spalten anzeigen. Wählen Sie Objekt-ID aus und klicken Sie auf OK. Die ID jeder Sicherheitsrichtlinie wird in der Tabelle angezeigt.

    allow_tenant_rules_with_policy

    Geben Sie true ein, um Mandanten das Erstellen von Sicherheitsgruppen und Regeln zu erlauben, oder geben Sie false ein, um zu verhindern, dass Mandanten Sicherheitsgruppen oder Regeln erstellen.

    Die Konfigurationsdatei entspricht nun weitestgehend Folgendem:

    conf:
      [...]
      plugins:
        nsx:
          [...]
          nsxv:
            use_nsx_policies: true
            default_policy_id: policy-5
            allow_tenant_rules_with_policy: true
    
  4. Wenn Sie zusätzliche Sicherheitsgruppen mit Sicherheitsrichtlinien verwenden möchten, können Sie die folgenden Schritte ausführen:
    • Um eine NSX Data Center for vSphere-Sicherheitsrichtlinie mit einer neuen Sicherheitsgruppe zu verknüpfen, geben Sie beim Erstellen der Gruppe die gewünschte Richtlinie an:
      toolbox
      export OS_PASSWORD=admin-account-password
      neutron security-group-create security-group-name --tenant-id tenant-uuid --policy=policy-id
    • Führen Sie auf dem Neutron-Server den folgenden Befehl aus, um eine vorhandene Sicherheitsgruppe zu einer sicherheitsrichtlinienbasierten Gruppe zu migrieren:
      kubectl -n openstack exec -it neutron-server-pod-name -- /bin/bash
      nsxadmin -r security-groups -o migrate-to-policy --property policy-id=policy-id --property security-group-id=security-group-uuid
      Hinweis: Mit diesem Befehl werden alle Regeln aus der angegebenen Sicherheitsgruppe entfernt. Stellen Sie sicher, dass die Zielrichtlinie so konfiguriert ist, dass die Netzwerkverbindung nicht unterbrochen wird.
  5. Konfigurieren Sie Neutron so, dass NSX Data Center for vSphere-Sicherheitsrichtlinien gegenüber Sicherheitsgruppen Priorität genießen.
    kubectl -n openstack exec -it neutron-server-pod-name -- /bin/bash
    sudo -u neutron nsxadmin --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/vmware/nsx.ini -r firewall-sections -o nsx-reorder