Puede configurar la directiva de seguridad como NSX Manager para las máquinas virtuales de carga de trabajo en el modo Modo forzado de nube nativa.

A partir de NSX-T Data Center 3.0, podrá crear reglas y directivas de seguridad en VPC/VNet desde distintas cuentas o suscripciones.
Nota: Las reglas de DFW dependen de las etiquetas asignadas a las máquinas virtuales. Dado que cualquiera con los permisos de nube pública adecuados puede modificar estas etiquetas, NSX-T Data Center asume que se puede confiar en dichos usuarios y que la responsabilidad de garantizar y auditar que las máquinas virtuales estén etiquetadas correctamente en todo momento recae en el administrador de red de la nube pública.

Requisitos previos

Compruebe si tiene una VPC o VNet de tránsito o de equipo en el modo Modo forzado de nube nativa.

Procedimiento

  1. En NSX Manager, edite o cree grupos para las máquinas virtuales de carga de trabajo. Por ejemplo, los nombres de máquinas virtuales que comienzan por web, app, db pueden ser tres grupos distintos. Consulte instrucciones en Agregar un grupo. Consulte también Agrupar las máquinas virtuales utilizando NSX-T Data Center y etiquetas de nube pública para obtener información sobre el uso de etiquetas de nube pública para crear grupos con las máquinas virtuales de carga de trabajo.

    Las máquinas virtuales de carga de trabajo que coinciden con los criterios se agregan al grupo. Las máquinas virtuales que no coinciden con ningún criterio de agrupamiento se colocan en el grupo de seguridad de default en AWS y en el grupo de seguridad de red default-vnet-<vnet-ID>-sg en Microsoft Azure.

    Nota: No puede usar los grupos creados automáticamente por NSX Cloud.
  2. En NSX Manager, cree reglas de firewall distribuido (DFW) con los grupos en estos campos Origen, Destino o Se aplica a. Consulte instrucciones en Agregar un firewall distribuido.
    Nota: Solo se admiten las directivas con estado para las máquinas virtuales de carga de trabajo de nube pública. Las directivas sin estado se pueden crear en NSX Manager, pero no coincidirán con ningún grupo que contenga máquinas virtuales de carga de trabajo de nube pública.

    Los perfiles de contexto de capa 7 no son compatibles con las reglas de DFW para las máquinas virtuales de carga de trabajo en el modo Modo forzado de nube nativa.

  3. En CSM, quite de la lista Administrado por el usuario las máquinas virtuales que desea que administre NSX. Consulte instrucciones en Cómo utilizar la lista Administrado por el usuario.
    Nota: Agregar máquinas virtuales a la lista Administrado por el usuario es un paso manual que se recomienda aplicar en el flujo de trabajo de 0 días nada más agregar el inventario de nube pública en CSM. Si no ha agregado ninguna máquina virtual a la lista Administrado por el usuario, no es necesario que elimine ninguna.
  4. Para los grupos y las reglas de DFW que encuentran una coincidencia en la nube pública, ocurrirá automáticamente lo siguiente:
    1. En AWS, NSX Cloud crea un nuevo grupo de seguridad denominado nsx-<NSX GUID>.
    2. En Microsoft Azure, NSX Cloud crea un grupo de seguridad de aplicaciones (ASG) que se corresponde con el grupo creado en NSX Manager, así como un grupo de seguridad de red (NSG) correspondiente a las reglas de DFW que coinciden con las máquinas virtuales de carga de trabajo agrupadas.
      NSX Cloud sincroniza NSX Manager y las reglas de DFW y los grupos de nube pública cada 30 segundos.
  5. Resincronice la cuenta de nube pública en CSM:
    1. Inicie sesión en CSM y vaya a su cuenta de nube pública.
    2. En su cuenta de nube pública, haga clic en Acciones > Volver a sincronizar una cuenta. Espere a que se complete la resincronización.
    3. Vaya a la VPC o VNet y haga clic en el indicador Errores de color rojo. Accederá a la vista de instancias.
    4. Cambie la vista a Detalles si está en modo de cuadrícula y haga clic en Error en la columna Realización de reglas para ver errores, si hubiera alguno.

Qué hacer a continuación

Consulte Limitaciones actuales y errores comunes.