NSX admite la creación de directivas al configurar varios tenants en su entorno.
Firewall distribuido para proyectos.
Las categorías de DFW de emergencia, infraestructura, entorno y aplicación son compatibles con los proyectos dentro de la organización. Las directivas de /infra tienen la prioridad más alta seguida de las directivas de proyecto. Las reglas de DFW del espacio /infra pueden extenderse a un proyecto.
- Las reglas creadas en el espacio
/infrase aplican de forma predeterminada a todas las cargas de trabajo del entorno.- Para definir el ámbito de las reglas, seleccione la opción adecuada para Se aplica a en la interfaz de usuario de NSX. Por ejemplo, puede restringir las reglas a una carga de trabajo específica mediante la opción Se aplica a .
- También puede utilizar la opción Se aplica a para los grupos creados en el espacio
/infrao para los grupos predeterminados del proyecto (ORG-default-PROJECT-<project-name>) que genera el sistema y que contienen todas las máquinas virtuales del proyecto.
- Lo siguiente se aplica a los grupos creados en el espacio
/infra:- La pertenencia dinámica evalúa todas las máquinas virtuales del sistema, incluidas las máquinas virtuales de un proyecto. Por ejemplo, si la pertenencia a un grupo incluye todas las máquinas virtuales etiquetadas con web, el grupo incluirá máquinas virtuales con la etiqueta web dentro y fuera del proyecto.
- Para la pertenencia estática, puede agregar cargas de trabajo conectadas a un proyecto haciendo referencia explícita a las máquinas virtuales () o mediante los grupos predeterminados del proyecto (
ORG-default-PROJECT-<project-name>). Otros recursos creados en un proyecto no serán compatibles con los grupos en el espacio/infra.
Reglas predeterminadas
En Creación de proyectos, se crea una directiva de seguridad predeterminada dentro del proyecto en la parte inferior de la lista de directivas en la categoría Aplicación. La directiva predeterminada define el comportamiento de las máquinas virtuales dentro del proyecto si no se encuentra ninguna otra regla.
La directiva predeterminada contiene las siguientes reglas:
- Reglas que permiten la comunicación con DHCP.
(src:ANY dst:ANY services:DHCP Client|DHCP Server Action Allow) - Reglas que permiten la comunicación entre cargas de trabajo dentro del proyecto.
(src:Project default groups (ORG-default-PROJECT-<project-name> dst:Project default groups (ORG-default-PROJECT-<project-name> services:ANY Action Allow) - Reglas que denieguen las demás comunicaciones.
(src:ANY dst:ANY services:ANY Action Deny)
La directiva predeterminada garantiza que las máquinas virtuales de un proyecto solo puedan acceder a otras máquinas virtuales del mismo proyecto (y DHCP). La comunicación con las máquinas virtuales fuera del proyecto o con otras direcciones IP creadas por el sistema se bloquea y solo es posible agregando reglas o modificando reglas en la directiva de seguridad predeterminada.
Agregar firewall distribuido para proyectos
Para las directivas de proyecto, cuando el ámbito se establece en Cualquiera, las directivas se limitan a ese proyecto. Las reglas de proyecto solo tienen acceso a los grupos del proyecto y a los grupos que se han compartido con el proyecto.
PATCH /policy/api/v1/orgs/default/projects/<project-id>/infra/domains/default/security-policies/<security-policy-id>
Solicitud de ejemplo:
PATCH https://{{nsx-manager-ip}}/policy/api/v1/orgs/default/projects/project-1/infra/domains/default/security-policies/web-dbCuerpo:
{
"resource_type": "SecurityPolicy",
"description": "web-db",
"display_name": "web-db",
"rules": [
{
"resource_type": "Rule",
"description": "web-db-rule-1",
"display_name": "web-db-rule-1",
"sequence_number": 1,
"source_groups": [
"/orgs/default/projects/project-1/infra/domains/default/groups/group-1"
],
"destination_groups": [
"/orgs/default/projects/project-1/infra/domains/default/groups/group-1"
],
"services" : ["/infra/services/HTTP"],
"action" : "ALLOW",
"_revision": 0
}
],
"sequence_number": 1,
"_revision": 0
}
