Mit NSX-Richtlinien können Sie Regeln für Objekte wie VMs, logische Ports, IP-Adressen und MAC-Adressen angeben, ohne sich um die Funktionsweise der Regeln kümmern zu müssen. Sie verwalten die Richtlinien nicht über den NSX Manager, sondern über den NSX Policy Manager.

Bevor Sie Richtlinien konfigurieren, müssen Sie den NSX Policy Manager installieren. Weitere Informationen finden Sie im Installationshandbuch für NSX-T. Im NSX Policy Manager müssen Sie auch einen oder mehrere Erzwingungspunkte hinzufügen, wobei Sie Informationen über den NSX Manager bereitstellen, der die Richtlinien anwenden wird.

Das folgende Beispiel veranschaulicht, wie Sie das Netzwerk für eine Anwendung mithilfe einer Richtlinie verwalten.

Die Anwendung weist drei Ebenen auf (Web, Anwendung und Datenbank). Die folgenden Regeln sollen auf die VMs der Anwendung angewendet werden:
  • Datenverkehr zwischen der Web- und der Anwendungsebene zulassen
  • Datenverkehr zwischen der Anwendungsebene und der Datenbankebene zulassen
  • Datenverkehr zwischen einem System und der Webebene zulassen
Führen Sie die folgenden Schritte in NSX Manager aus:
  • Legen Sie Web gefolgt von einer eindeutigen Zeichenfolge als den Arbeitslastnamen der Web-VMs fest.
  • Legen Sie App gefolgt von einer eindeutigen Zeichenfolge als den Arbeitslastnamen der Anwendungs-VMs fest.
  • Legen Sie DB gefolgt von einer eindeutigen Zeichenfolge als den Arbeitslastnamen der Datenbank-VMs fest.
Führen Sie die folgenden Schritte im NSX Policy Manager aus:
  • Erstellen Sie eine Domäne und geben Sie Folgendes an:
    • Erstellen Sie eine Gruppe mit dem Namen WebGroup, die aus VMs besteht, deren Arbeitslastname mit Web beginnt.
    • Erstellen Sie eine Gruppe mit dem Namen AppGroup, die aus VMs besteht, deren Arbeitslastname mit App beginnt.
    • Erstellen Sie eine Gruppe mit dem Namen DBGroup, die aus VMs besteht, deren Arbeitslastname mit DB beginnt.
    • Geben Sie Sicherheitsrichtlinien an, die die Kommunikation zwischen den Gruppen steuern.
  • Überprüfen Sie die Domänenkonfiguration, um sicherzustellen, dass keine Fehler vorhanden sind.
  • Wählen Sie Erzwingungspunkte aus.

Nach der Auswahl der Erzwingungspunkte kommuniziert der NSX Policy Manager an den Erzwingungspunkten mit dem NSX Manager, der die Sicherheitsrichtlinien implementiert.

Rollenbasierte Zugriffssteuerung

NSX Policy Manager verfügt über die zwei integrierten Benutzer admin und audit. Sie können NSX Policy Manager in VMware Identity Manager (vIDM) integrieren und die rollenbasierte Zugriffssteuerung (RBAC) für die von vIDM verwalteten Benutzer konfigurieren.

Für diese Benutzer gilt die vom vIDM-Administrator konfigurierte Authentifizierungsrichtlinie und nicht die Authentifizierungsrichtlinie von NSX Policy Manager, die nur für die Benutzer admin und audit gilt.