NSX unterstützt die Erstellung von Gruppen und Richtlinien beim Einrichten der Multi-Tenant-Funktion in Ihrer Umgebung.
Gruppen
Eine Standardgruppe wird vom System für jedes von Ihnen erstellte Projekt erstellt. Die Standardgruppe stellt das Projekt selbst dar. Alle in einem Projekt erstellten Segmente werden vom System zur Standardgruppe des Projekts hinzugefügt. Nur die an die Segmente der Gruppe angehängten VMs werden der Gruppe hinzugefügt. Die Standardgruppe hilft dabei, den Geltungsbereich der Regeln auf ein bestimmtes Projekt zu beschränken.
Die Standardgruppe verfügt über einen Gruppen-Geltungsbereichsausdruck, der den Pfad des Gruppengeltungsbereichs definiert. Administratoren können Regeln aus dem /infra
-Bereich nur auf Projekte unter der Standardgruppe anwenden, entweder direkt oder über eine statische Mitgliedschaft in einer Gruppe aus dem /infra
-Bereich.
Folgendes wird für alle von Ihnen erstellten zusätzlichen Gruppen unterstützt:
- Statische Mitglieder – VM, Segmente, Segmentports, IP-Adressen
- Dynamische Mitglieder – VM
PATCH /policy/api/v1/orgs/default/projects/<project-id>/infra/domains/default/groups/<group-id>Beispielanforderung zum Erstellen einer VM-basierten Gruppe:
PATCH https://{{nsx-manager-ip}}/policy/api/v1/orgs/default/projects/project-1/infra/domains/default/groups/group-1Text:
{ "expression": [ { "member_type": "VirtualMachine", "key": "Name", "operator": "CONTAINS", "value": "App", "resource_type": "Condition" } ], "description": "my group", "display_name": "g1", "_revision": 0 }
Verteilte Firewall
Die Kategorien Notfall, Infrastruktur, Umgebung und Anwendungs-DFW werden für die Projekte innerhalb der Organisation unterstützt. Die /infra
-Richtlinien haben den höchsten Vorrang, gefolgt von den Projektrichtlinien. Die DFW-Regeln aus dem /infra
-Bereich können auf ein Projekt ausgeweitet werden.
- Regeln, die unter dem
/infra
-Bereich erstellt wurden, gelten standardmäßig für alle Arbeitslasten in der Umgebung.- Um den Geltungsbereich Ihrer Regeln zu definieren, wählen Sie auf der NSX-Benutzeroberfläche die entsprechende Option für Angewendet auf aus. Beispielsweise können Sie die Regeln auf eine bestimmte Arbeitslast beschränken, indem Sie die Option Angewendet auf verwenden.
- Sie können die Option Angewendet auf auch für Gruppen verwenden, die unter dem
/infra
-Bereich erstellt wurden, oder für die vom System generierten Standardgruppen des Projekts (ORG-default-PROJECT-<name-of-project>
), die alle VMs des Projekts enthalten.
- Folgendes gilt für Gruppen, die im
/infra
-Bereich erstellt wurden:- Die dynamische Mitgliedschaft wertet alle VMs des Systems aus, einschließlich der VMs in einem Projekt. Wenn beispielsweise eine Gruppenmitgliedschaft alle VMs enthält, die mit web gekennzeichnet sind, enthält die Gruppe VMs mit dem Tag web innerhalb und außerhalb des Projekts.
- Für die statische Mitgliedschaft können Sie Arbeitslasten hinzufügen, die mit einem Projekt verbunden sind, indem Sie sich entweder explizit auf die VMs (
ORG-default-PROJECT-<name-of-project>
) verwenden. Andere Ressourcen, die unter einem Projekt erstellt wurden, werden von Gruppen im/infra
-Bereich nicht unterstützt.
) beziehen oder indem Sie die Standardgruppen des Projekts (
Einige Standardrichtlinien werden vom System erstellt, wenn ein Projekt erstellt wird. Mithilfe der Standardrichtlinien kann der Geltungsbereich der Richtlinien auf ein bestimmtes Projekt beschränkt werden.
Wenn für Projektrichtlinien der Geltungsbereich auf „Beliebig“ festgelegt ist, sind die Richtlinien auf dieses Projekt beschränkt. Projektregeln haben nur Zugriff auf Gruppen im Projekt und auf Gruppen, die für das Projekt freigegeben wurden.
PATCH /policy/api/v1/orgs/default/projects/<project-id>/infra/domains/default/security-policies/<security-policy-id>
Beispielanforderung:
PATCH https://{{nsx-manager-ip}}/policy/api/v1/orgs/default/projects/project-1/infra/domains/default/security-policies/web-dbText:
{ "resource_type": "SecurityPolicy", "description": "web-db", "display_name": "web-db", "rules": [ { "resource_type": "Rule", "description": "web-db-rule-1", "display_name": "web-db-rule-1", "sequence_number": 1, "source_groups": [ "/orgs/default/projects/project-1/infra/domains/default/groups/group-1" ], "destination_groups": [ "/orgs/default/projects/project-1/infra/domains/default/groups/group-1" ], "services" : ["/infra/services/HTTP"], "action" : "ALLOW", "_revision": 0 } ], "sequence_number": 1, "_revision": 0 }