Vous pouvez appliquer des stratégies de sécurité NSX Data Center for vSphere via des groupes de sécurité Neutron. Cette fonctionnalité peut également être utilisée pour insérer des services réseau tiers.

Les groupes de sécurité de fournisseurs et standard peuvent consommer des stratégies de sécurité NSX Data Center for vSphere. Les groupes de sécurité de fournisseurs et standard basés sur des règles peuvent également être utilisés en même temps que les groupes de sécurité basés sur les stratégies de sécurité. Cependant, un groupe de sécurité associé à une stratégie de sécurité ne peut pas contenir également des règles.

Les stratégies de sécurité sont prioritaires sur toutes les règles de groupe de sécurité. Si plusieurs stratégies de sécurité sont appliquées sur un port, l'ordre dans lequel les stratégies sont appliquées est déterminé par NSX Data Center for vSphere. Vous pouvez modifier l'ordre dans le vSphere Client sur la page Sécurité > Pare-feu sous Mise en réseau et sécurité.

1. Connectez-vous à Serveur de gestion OpenStack en tant que viouser.
2. Si votre déploiement n'utilise pas de fichier custom.yml, copiez le fichier de modèle custom.yml dans le répertoire /opt/vmware/vio/custom.

   sudo mkdir -p /opt/vmware/vio/custom
   sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml

3. Ouvrez le fichier /opt/vmware/vio/custom/custom.yml dans un éditeur de texte.
4. Supprimez les commentaires des paramètres nsxv_use_nsx_policies, nsxv_default_policy_id et nsxv_allow_tenant_rules_with_policy et configurez-les.

   Option	Description
   nsxv_use_nsx_policies	Entrez Vrai.
   nsxv_default_policy_id	Entrez l'ID de la stratégie de sécurité NSX Data Center for vSphere que vous souhaitez associer au groupe de sécurité par défaut pour les nouveaux projets. Si vous ne souhaitez pas utiliser de stratégie de sécurité par défaut, vous pouvez laisser ce paramètre commenté. Pour rechercher l'ID d'une stratégie de sécurité, sélectionnez Menu > Mise en réseau et sécurité et cliquez sur Service Composer. Ouvrez l'onglet Stratégies de sécurité et cliquez sur l'icône Afficher les colonnes en bas à gauche du tableau. Sélectionnez Id d'objet et cliquez sur OK. L'ID de chaque stratégie de sécurité s'affiche dans le tableau.
   nsxv_allow_tenant_rules_with_policy	Entrez true pour autoriser les locataires à créer des groupes et des règles de sécurité ou false pour les en empêcher.

5. Déployez la configuration mise à jour.

   sudo viocli deployment configure

   Le déploiement de la configuration interrompt brièvement les services OpenStack.

6. Connectez-vous au nœud de contrôleur en tant que viouser.
7. Basculez vers l'utilisateur root et chargez le fichier d'informations d'identification d'administrateur cloud.

   sudo su -
   source ~/cloudadmin.rc

8. Si vous souhaitez utiliser des groupes de sécurité supplémentaires avec les stratégies de sécurité, vous pouvez effectuer les étapes suivantes :

   • Pour associer une stratégie de sécurité NSX Data Center for vSphere à un nouveau groupe de sécurité, créez le groupe et mettez-le à jour avec la stratégie souhaitée :

     neutron security-group-create security-group-name --tenant-id tenant-uuid
     neutron security-group-update --policy=policy-id security-group-uuid

   • Pour migrer un groupe de sécurité existant vers un groupe basé sur les stratégies de sécurité, exécutez la commande suivante :

     sudo -u neutron nsxadmin -r security-groups -o migrate-to-policy --property policy-id=policy-id --property security-group-id=security-group-uuid

     Note:

     Cette commande supprime toutes les règles du groupe de sécurité spécifié. Veillez à ce que la stratégie cible soit configurée de façon telle que la connexion réseau ne soit pas interrompue.

9. Configurer Neutron pour fixer la priorité des stratégies de sécurité NSX Data Center for vSphere sur les groupes de sécurité.

   sudo -u neutron nsxadmin --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/vmware/nsxv.ini -r firewall-sections -o nsx-reorder