Cette fonctionnalité permet d'utiliser une stratégie VMware NSX for vSphere à partir de la plate-forme de gestion de cloud OpenStack par l'intermédiaire de groupes de sécurité OpenStack. L'administrateur NSX peut définir des stratégies de sécurité que l'administrateur de cloud OpenStack partage avec les utilisateurs du cloud. Un utilisateur du cloud peut également définir ses propres groupes de sécurité avec des règles si l'administrateur de cloud active les groupes de sécurité normaux. Les administrateurs de cloud peuvent également utiliser cette fonctionnalité pour insérer des services réseau tiers.

À partir de VMware Integrated OpenStack 3.1, les groupes de sécurité Neutron permettent aux utilisateurs d'utiliser deux nouvelles fonctionnalités.

Groupes de sécurité de fournisseur

Également appelés règles d'administrateur, ces groupes de sécurité (lorsqu'ils sont configurés) sont obligatoires et s'appliquent à toutes les machines virtuelles d'un locataire spécifique. Un groupe de sécurité de fournisseur peut être associé à une stratégie ou exister sans stratégie.

NSX Service Composer - Groupes de sécurité basés sur une stratégie de sécurité

Pour plus d'informations, reportez-vous au chapitre Service Composer dans le VMware NSX for vSphere Guide de l'administrateur.

Chaque stratégie VMware NSX for vSphere peut être définie par l'administrateur de cloud OpenStack comme stratégie par défaut en définissant l'option nsxv_default_policy_id dans le fichier custom.yml. Cette stratégie est appliquée par défaut à tous les nouveaux locataires. Des stratégies supplémentaires peuvent être définies et attribuées comme étant obligatoires ou facultatives pour un locataire spécifique en les associant, respectivement, aux groupes de sécurité de fournisseur ou facultatifs. Les utilisateurs locataires peuvent également créer des groupes de sécurité avec des règles, mais ils ne peuvent pas remplacer les groupes de sécurité définis par l'administrateur de cloud.

Lorsque les stratégies VMware NSX for vSphere sont activées, différents scénarios peuvent être configurés par les administrateurs de cloud

  1. qui peuvent interdire la création de groupes de sécurité normaux avec des options différentes.

    • S'il n'existe qu'un seul groupe de sécurité par défaut, il est associé à la stratégie par défaut. Les règles définies dans la stratégie par défaut sont appliquées aux machines virtuelles des locataires.

    • Si l'administrateur de cloud crée un groupe de sécurité avec une stratégie différente, les machines virtuelles des locataires peuvent être associées à ce groupe de sécurité à la place du groupe de sécurité par défaut, et seules les règles définies dans la stratégie actuelle s'appliquent.

    • Si des groupes de sécurité de fournisseur existent, les règles définies dans ces groupes s'appliquent également aux machines virtuelles des locataires, en plus des règles de la stratégie.

  2. L'administrateur de cloud peut autoriser la création de groupes de sécurité normaux avec des options différentes.

    • Seules les règles définies dans ces groupes de sécurité normaux sont appliquées aux machines virtuelles lancées avec ces groupes de sécurité.

    • Si un groupe de sécurité de fournisseur existe, les règles définies dans ce groupe s'appliquent également aux machines virtuelles des locataires, en plus des règles définies dans le groupe de sécurité normal. Dans ce cas, les règles du groupe de sécurité de fournisseur ont priorité sur les règles du groupe de sécurité normal. De la même manière, si vous utilisez des groupes de sécurité basés sur une stratégie avec des groupes de sécurité normaux, les règles basées sur une stratégie prévalent.

    • Les groupes de sécurité peuvent inclure soit une stratégie, soit des règles, mais pas les deux.

Gérer des groupes de sécurité basés sur une stratégie de sécurité NSX Service Composer via des commandes CLI

Les administrateurs de cloud peuvent également modifier l'association des stratégies des groupes de sécurité à l'aide de commandes CLI à l'aide de Integrated OpenStack Manager.

Action

Exemple de commande

Modifier la stratégie associée à un groupe de sécurité.

neutron security-group-update --policy=<NSX_Policy_ID> <SECURITY_GROUP_ID>

Migrer les groupes de sécurité existants vers des groupes de sécurité basés sur une stratégie à l'aide de l'utilitaire nsxadmin.

Remarque :

Cette action supprime les règles existantes définies par l'utilisateur. Pour éviter une interruption du réseau, assurez-vous que la stratégie inclut les règles appropriées.

nsxadmin -r security-groups -o migrate-to-policy --property policy-id=<NSX_Policy_ID> --property security-group-id=<SECURITY_GROUP_ID>

Appliquer des groupes de sécurité de fournisseur aux ports des machines virtuelles existantes

neutron port-update <PORT_ID> --provider-security-groups list=true <SECURITY_GROUP_ID1> <SECURITY_GROUP_ID2>

Assurez-vous qu'une nouvelle stratégie, créée du côté NSX, est placée avant la section de tous les groupes de sécurité OpenStack à l'aide de l'utilitaire nsxadmin.

Remarque :

Lorsque plusieurs groupes de sécurité basés sur une stratégie sont appliqués sur une machine virtuelle ou un port, l'ordre dans lequel les règles de la stratégie sont appliquées est contrôlé par l'administrateur NSX via la section du pare-feu.

sudo -u neutron nsxadmin --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/vmware/nsxv.ini -r firewall-sections -o nsx-reorder