Sie können die Sicherheitsrichtlinie in NSX Manager für Arbeitslast-VMs im Native Cloud-erzwungener Modus konfigurieren.

Ab NSX-T Data Center 3.0 können Sie Sicherheitsrichtlinien und -regeln in VPCs/VNets aus unterschiedlichen Konten oder Abonnements erstellen.
Hinweis: Die DFW-Regeln hängen von den Tags ab, die VMs zugewiesen sind. Da diese Tags von jeder Person mit den entsprechenden Public-Cloud-Berechtigungen geändert werden können, geht NSX-T Data Center davon aus, dass diese Benutzer vertrauenswürdig sind und dass die Verantwortung für die Sicherstellung und Überwachung, dass VMs zu jeder Zeit korrekt gekennzeichnet sind, beim Public-Cloud-Netzwerkadministrator liegt.

Voraussetzungen

Stellen Sie sicher, dass Sie über ein bzw. eine Transit- oder Computing-VPC/-VNet im Native Cloud-erzwungener Modus verfügen.

Prozedur

  1. In NSX Manager können Sie Gruppen für Arbeitslast-VMs bearbeiten oder erstellen. VM-Namen, die mit web, app, db beginnen, könnten beispielsweise drei separaten Gruppen zugewiesen sein. Weitere Anweisungen finden Sie unter Hinzufügen einer Gruppe. Informationen zur Verwendung von Public Cloud-Tags zum Erstellen von Gruppen für Ihre Arbeitslast-VMs finden Sie auch unter Gruppen-VMs mit NSX-T Data Center und Public-Cloud-Tags.

    Arbeitslast-VMs, die den Kriterien entsprechen, werden der Gruppe hinzugefügt. VMs, die nicht mit den Gruppierungskriterien übereinstimmen, werden in der default-Sicherheitsgruppe in AWS und in der default-vnet-<vnet-ID>-sg-Netzwerksicherheitsgruppe in Microsoft Azure platziert.

    Hinweis: Sie können die von NSX Cloud automatisch erstellten Gruppen nicht verwenden.
  2. Erstellen Sie in NSX Manager Regeln für verteilte Firewalls für diese Gruppen in den Feldern Quelle, Ziel oder Angewendet auf. Weitere Anweisungen finden Sie unter Hinzufügen einer verteilten Firewall.
    Hinweis: Nur statusbehaftete Richtlinien werden für Public Cloud-Arbeitslast-VMs unterstützt. Statusfreie Richtlinien können in NSX Manager erstellt werden. Sie werden jedoch nicht mit Gruppen abgeglichen, die ihre Public Cloud-Arbeitslast-VMs enthalten.

    L7-Kontextprofile werden für die DFW-Regeln für Arbeitslast-VMs im Native Cloud-erzwungener Modus nicht unterstützt.

  3. Entfernen Sie in CSM die VMs aus der Whitelist, die in die NSX-Verwaltung einbezogen werden sollen. Weitere Anweisungen finden Sie unter Vorgehensweise zum Hinzufügen von VMs zur Whitelist oder zum Entfernen aus der Whitelist.
    Hinweis: Das Verschieben in die Whitelist ist ein manueller Schritt, der im day-0-Workflow dringend empfohlen wird, sobald Sie Ihren Public Cloud-Bestand in CSM hinzufügen. Wenn Sie keine VMs in die Whitelist verschoben haben, müssen Sie sie nicht aus der Whitelist entfernen.
  4. Für Gruppen und DFW-Regeln, die eine Übereinstimmung in der Public Cloud finden, erfolgt automatisch Folgendes:
    1. In AWS erstellt NSX Cloud eine neue Sicherheitsgruppe mit einer Bezeichnung wie nsx-<NSX GUID>.
    2. In Microsoft Azure erstellt NSX Cloud eine Anwendungssicherheitsgruppe (ASG), die der in NSX Manager erstellten Gruppe entspricht, sowie eine Netzwerksicherheitsgruppe (NSG), die den DFW-Regeln entspricht, die mit gruppierten Arbeitslast-VMs abgeglichen werden.
      NSX Cloud synchronisiert NSX Manager und Public Cloud-Gruppen sowie DFW-Regeln alle 30 Sekunden.
  5. Synchronisieren Sie Ihr Public Cloud-Konto in CSM erneut:
    1. Melden Sie sich bei CSM an und wechseln Sie zu Ihrem Public Cloud-Konto:
    2. Klicken Sie im Public Cloud-Konto auf Aktionen > Neusynchronisierungskonto. Warten Sie, bis die erneute Synchronisierung abgeschlossen ist.
    3. Navigieren Sie zum VPC/zur VNet und klicken Sie auf den roten Indikator Fehler. Dadurch gelangen Sie zur Ansicht „Instanzen“.
    4. Wechseln Sie die Ansicht auf „Details“, wenn Sie das Raster anzeigen und klicken Sie in der Spalte „Regelumsetzung“ auf Fehlgeschlagen, um ggf. vorhandene Fehler anzuzeigen.

Nächste Maßnahme

Siehe Aktuelle Einschränkungen und häufige Fehler.