Esta característica permite el consumo de directivas de VMware NSX for vSphere desde OpenStack Cloud Management Platform mediante grupos de seguridad de OpenStack. El administrador de NSX puede definir directivas de seguridad para que el administrador de nube de OpenStack las comparta con otros usuarios de nube. Los usuarios de nube también podrán establecer sus propios grupos de seguridad con reglas si el administrador de nube habilita los grupos de seguridad normales. Los administradores de nube también pueden usar esta característica para insertar servicios de red de terceros.

A partir de VMware Integrated OpenStack 3.1, los grupos de seguridad de Neutron permiten que los administradores usen dos nuevas funcionalidades.

Grupos de seguridad de proveedor

También conocidos como reglas del administrador, cuando se configuran dichos grupos de seguridad, estos son obligatorios y se aplican a todas las máquinas virtuales de un arrendatario concreto. Un grupo de seguridad de proveedor se puede asociar a una directiva, o existir sin una.

Grupos de seguridad de NSX Service Composer: directiva de seguridad

Para obtener más información, consulte el capítulo Service Composer de la Guía de administración de VMware NSX for vSphere .

El administrador de nube de OpenStack puede definir cada directiva de VMware NSX for vSphere como una directiva predeterminada mediante la opción nsxv_default_policy_id del archivo custom.yml. Todos los nuevos arrendatarios tendrán esa directiva predeterminada. Se pueden definir y asignar más directivas como obligatorias u opcionales para un arrendatario determinado mediante la asociación de este con el proveedor o los grupos de seguridad opcionales, respectivamente. Los usuarios del arrendatario también podrán crear grupos de seguridad con reglas, pero no podrán reemplazar los grupos de seguridad establecidos por el administrador de nube.

Tras habilitar las directivas de VMware NSX for vSphere , los administradores de nube pueden configurar diferentes escenarios.

  1. Los administradores de nube pueden prohibir la creación de grupos de seguridad normales con varias opciones.

    • Si solo hay un grupo de seguridad predeterminado, este se asociará con la directiva predeterminada. A las máquinas virtuales del arrendatario se les aplicarán las reglas definidas en la directiva predeterminada.

    • Si el administrador de nube crea un grupo de seguridad con otra directiva, las máquinas virtuales del arrendatario se podrán asociar a dicho grupo de seguridad en vez de al grupo de seguridad predeterminado, y solo tendrán efecto las reglas definidas en la directiva actual.

    • Si hay grupos de seguridad de proveedor, además de las reglas de la directiva, a las máquinas virtuales del arrendatario también se les aplicarán las reglas definidas en dichos grupos.

  2. Los administradores de nube pueden permitir la creación de grupos de seguridad normales con varias opciones.

    • A las máquinas virtuales iniciadas con grupos de seguridad normales definidos por el usuario solo se les aplican las reglas definidas en estos grupos de seguridad.

    • Si hay un grupo de seguridad de proveedor, además de las reglas del grupo de seguridad normal, a las máquinas virtuales del arrendatario también se les aplicarán las reglas definidas en dichos grupos de seguridad de proveedor. En este caso, las reglas del grupo de seguridad de proveedor tendrán prioridad frente a las reglas del grupo de seguridad normal. Del mismo modo, si se usan grupos de seguridad basados en directivas con grupos de seguridad normales, tendrán prioridad las reglas basadas en directivas.

    • Puede haber grupos de seguridad con una directiva o con reglas, pero no con ambas.

Administrar los grupos de seguridad de NSX Service Composer: directiva de seguridad mediante comandos de la interfaz de la línea de comandos

Los administradores de nube también pueden cambiar la asociación de una directiva de grupo de seguridad mediante comandos de la interfaz de la línea de comandos a través de Integrated OpenStack Manager.

Acción

Ejemplo de comando

Cambiar la directiva asociada a un grupo de seguridad.

neutron security-group-update --policy=<NSX_Policy_ID> <SECURITY_GROUP_ID>

Migrar los grupos de seguridad existentes a grupos de seguridad basados en directivas mediante la utilidad nsxadmin.

Nota:

Esta acción eliminará las reglas existentes definidas por el usuario. Asegúrese de que la directiva contenga las reglas adecuadas para evitar la interrupción de la red.

nsxadmin -r security-groups -o migrate-to-policy --property policy-id=<NSX_Policy_ID> --property security-group-id=<SECURITY_GROUP_ID>

Aplicar los grupos de seguridad de proveedor en los puertos de máquinas virtuales existentes.

neutron port-update <PORT_ID> --provider-security-groups list=true <SECURITY_GROUP_ID1> <SECURITY_GROUP_ID2>

Asegurar que se coloque una nueva directiva creada en el lado de NSX antes de la sección de los grupos de seguridad de OpenStack mediante la utilidad nsxadmin.

Nota:

Cuando se aplique más de un grupo de seguridad basado en directivas a una máquina virtual o un puerto, el administrador de NSX controlará el orden en el que se aplicarán las reglas de la directiva mediante la sección del firewall.

sudo -u neutron nsxadmin --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/vmware/nsxv.ini -r firewall-sections -o nsx-reorder