NSX unterstützt die Erstellung von Gruppen und Richtlinien beim Einrichten der Multi-Tenant-Funktion in Ihrer Umgebung.

Die Gruppen und die Firewallregeln eines Projekts gelten nur für die VMs im Projekt, also für VMs, die mit den Netzwerken im Projekt verbunden sind. Die Regeln innerhalb eines Projekts, einschließlich jener mit ANY, die auf eine DFW angewendet werden, wirken sich nicht auf Arbeitslasten außerhalb des Projekts aus.
Hinweis: Die Gruppierungs- und Firewallregeln aus dem /infra-Bereich gelten für jede VM in der NSX-Bereitstellung, einschließlich derjenigen in den Projekten. Beispielsweise enthält eine Gruppe, die auf einem Tag basiert, alle VMs mit demselben Tag wie Mitglieder, sowohl innerhalb als auch außerhalb des Projekts.

Gruppen

Eine Standardgruppe wird vom System für jedes von Ihnen erstellte Projekt erstellt. Die Standardgruppe stellt das Projekt selbst dar. Alle in einem Projekt erstellten Segmente werden vom System zur Standardgruppe des Projekts hinzugefügt. Nur die an die Segmente der Gruppe angehängten VMs werden der Gruppe hinzugefügt. Die Standardgruppe hilft dabei, den Geltungsbereich der Regeln auf ein bestimmtes Projekt zu beschränken.

Die Standardgruppe verfügt über einen Gruppen-Geltungsbereichsausdruck, der den Pfad des Gruppengeltungsbereichs definiert. Administratoren können Regeln aus dem /infra-Bereich nur auf Projekte unter der Standardgruppe anwenden, entweder direkt oder über eine statische Mitgliedschaft in einer Gruppe aus dem /infra-Bereich.

Folgendes wird für alle von Ihnen erstellten zusätzlichen Gruppen unterstützt:

  • Statische Mitglieder – VM, Segmente, Segmentports, IP-Adressen
  • Dynamische Mitglieder – VM
Erstellen Sie eine Gruppe, indem Sie den folgenden API-Aufruf ausführen: 
PATCH /policy/api/v1/orgs/default/projects/<project-id>/infra/domains/default/groups/<group-id>
Beispielanforderung zum Erstellen einer VM-basierten Gruppe:
URL: 
PATCH https://{{nsx-manager-ip}}/policy/api/v1/orgs/default/projects/project-1/infra/domains/default/groups/group-1
Text: 
{
  "expression": [
  {
    "member_type": "VirtualMachine",    
    "key": "Name",
    "operator": "CONTAINS",
    "value": "App",
    "resource_type": "Condition"
  }
  ],
  "description": "my group",
  "display_name": "g1",
  "_revision": 0
}

Verteilte Firewall

Die Kategorien Notfall, Infrastruktur, Umgebung und Anwendungs-DFW werden für die Projekte innerhalb der Organisation unterstützt. Die /infra-Richtlinien haben den höchsten Vorrang, gefolgt von den Projektrichtlinien. Die DFW-Regeln aus dem /infra-Bereich können auf ein Projekt ausgeweitet werden.

  • Regeln, die unter dem /infra-Bereich erstellt wurden, gelten standardmäßig für alle Arbeitslasten in der Umgebung.
    • Um den Geltungsbereich Ihrer Regeln zu definieren, wählen Sie auf der NSX-Benutzeroberfläche die entsprechende Option für Angewendet auf aus. Beispielsweise können Sie die Regeln auf eine bestimmte Arbeitslast beschränken, indem Sie die Option Angewendet auf verwenden.
    • Sie können die Option Angewendet auf auch für Gruppen verwenden, die unter dem /infra-Bereich erstellt wurden, oder für die vom System generierten Standardgruppen des Projekts (ORG-default-PROJECT-<name-of-project>), die alle VMs des Projekts enthalten.
  • Folgendes gilt für Gruppen, die im /infra-Bereich erstellt wurden:
    • Die dynamische Mitgliedschaft wertet alle VMs des Systems aus, einschließlich der VMs in einem Projekt. Wenn beispielsweise eine Gruppenmitgliedschaft alle VMs enthält, die mit web gekennzeichnet sind, enthält die Gruppe VMs mit dem Tag web innerhalb und außerhalb des Projekts.
    • Für die statische Mitgliedschaft können Sie Arbeitslasten hinzufügen, die mit einem Projekt verbunden sind, indem Sie sich entweder explizit auf die VMs (Mitglieder > Virtuelle Maschinen) beziehen oder indem Sie die Standardgruppen des Projekts (ORG-default-PROJECT-<name-of-project>) verwenden. Andere Ressourcen, die unter einem Projekt erstellt wurden, werden von Gruppen im /infra-Bereich nicht unterstützt.

Einige Standardrichtlinien werden vom System erstellt, wenn ein Projekt erstellt wird. Mithilfe der Standardrichtlinien kann der Geltungsbereich der Richtlinien auf ein bestimmtes Projekt beschränkt werden.

Wenn für Projektrichtlinien der Geltungsbereich auf „Beliebig“ festgelegt ist, sind die Richtlinien auf dieses Projekt beschränkt. Projektregeln haben nur Zugriff auf Gruppen im Projekt und auf Gruppen, die für das Projekt freigegeben wurden.

Wenden Sie Sicherheitsrichtlinien an, indem Sie den folgenden API-Aufruf ausführen: 
PATCH /policy/api/v1/orgs/default/projects/<project-id>/infra/domains/default/security-policies/<security-policy-id>

Beispielanforderung:

URL: 
PATCH https://{{nsx-manager-ip}}/policy/api/v1/orgs/default/projects/project-1/infra/domains/default/security-policies/web-db
Text: 
{
  "resource_type": "SecurityPolicy",
    "description": "web-db",
    "display_name": "web-db",
    "rules": [
    {
      "resource_type": "Rule",
      "description": "web-db-rule-1",
      "display_name": "web-db-rule-1",
      "sequence_number": 1,
      "source_groups": [
        "/orgs/default/projects/project-1/infra/domains/default/groups/group-1"
      ],
      "destination_groups": [
        "/orgs/default/projects/project-1/infra/domains/default/groups/group-1"
      ],
      "services" : ["/infra/services/HTTP"],
      "action" : "ALLOW",
      "_revision": 0
    }
  ],
  "sequence_number": 1,
  "_revision": 0
}