Puede aplicar directivas de seguridad de NSX Data Center for vSphere a través de grupos de seguridad de Neutron. También se puede usar esta función para insertar servicios de red de terceros.

Los grupos de seguridad estándar y de proveedor pueden emplear las directivas de seguridad de NSX Data Center for vSphere. Los grupos de seguridad estándar y de proveedor basados en reglas también pueden utilizarse junto con los grupos de seguridad basados en directivas de seguridad. Sin embargo, un grupo de seguridad asociado con una directiva de seguridad no puede contener reglas.

Las directivas de seguridad tienen prioridad sobre todas las reglas del grupo de seguridad. Si se aplica más de una directiva de seguridad en un puerto, el orden en el que se aplican las directivas se determina mediante NSX Data Center for vSphere. Puede cambiar el orden en vSphere Client en la página Seguridad > Firewall, en Redes y seguridad.

Requisitos previos

Cree las directivas de seguridad que desee en NSX Data Center for vSphere. Consulte "Crear una directiva de seguridad" en la Guía de administración de NSX-T.

Procedimiento

  1. Inicie sesión en Integrated OpenStack Manager como el usuario de root.
    ssh root@mgmt-server-ip
  2. Modifique la configuración de Neutron.
    viocli update neutron
  3. En la sección nsxv, agregue los parámetros use_nsx_policies, default_policy_id y allow_tenant_rules_with_policy, y configúrelos.
    Opción Descripción

    use_nsx_policies

    Introduzca true.

    default_policy_id

    Introduzca el identificador de la directiva de seguridad de NSX Data Center for vSphere que desea asociar con el grupo de seguridad predeterminado para los proyectos nuevos. Si no desea utilizar una directiva de seguridad de forma predeterminada, puede dejar que este parámetro siga siendo un comentario.

    Para encontrar el identificador de una directiva de seguridad, inicie sesión en vSphere Client y seleccione Menú > Redes y seguridad. Haga clic en Service Composer y abra la pestaña Directivas de seguridad. Haga clic en el icono Mostrar columnas en la parte inferior izquierda de la tabla. Seleccione Identificador del objeto y haga clic en Aceptar. El identificador de cada directiva de seguridad se muestra en la tabla.

    allow_tenant_rules_with_policy

    Escriba true para permitir que los tenants creen reglas y grupos de seguridad, o false para evitar que los tenants creen reglas o grupos de seguridad.

    El archivo de configuración ahora tiene un aspecto similar al siguiente:

    conf:
      [...]
      plugins:
        nsx:
          [...]
          nsxv:
            use_nsx_policies: true
            default_policy_id: policy-5
            allow_tenant_rules_with_policy: true
    
  4. Si desea utilizar grupos de seguridad adicionales con directivas de seguridad, puede llevar a cabo los siguientes pasos:
    • Para asociar una directiva de seguridad de NSX Data Center for vSphere con un nuevo grupo de seguridad, especifique la directiva deseada al crear el grupo:
      toolbox
      export OS_PASSWORD=admin-account-password
      neutron security-group-create security-group-name --tenant-id tenant-uuid --policy=policy-id
    • Para migrar un grupo de seguridad existente a un grupo basado en directivas de seguridad, ejecute el siguiente comando desde el servidor Neutron:
      kubectl -n openstack exec -it neutron-server-pod-name -- /bin/bash
      nsxadmin -r security-groups -o migrate-to-policy --property policy-id=policy-id --property security-group-id=security-group-uuid
      Nota: Este comando quita todas las reglas del grupo de seguridad especificado. Asegúrese de que la directiva de destino está configurada de manera tal que no se interrumpirá la conexión de red.
  5. Configure Neutron para dar prioridad a las directivas de seguridad de NSX Data Center for vSphere a través de los grupos de seguridad.
    kubectl -n openstack exec -it neutron-server-pod-name -- /bin/bash
    sudo -u neutron nsxadmin --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/vmware/nsx.ini -r firewall-sections -o nsx-reorder