Vous pouvez appliquer des stratégies de sécurité NSX Data Center for vSphere via des groupes de sécurité Neutron. Cette fonctionnalité peut également être utilisée pour insérer des services réseau tiers.

Les groupes de sécurité de fournisseurs et standard peuvent consommer des stratégies de sécurité NSX Data Center for vSphere. Les groupes de sécurité de fournisseurs et standard basés sur des règles peuvent également être utilisés en même temps que les groupes de sécurité basés sur les stratégies de sécurité. Cependant, un groupe de sécurité associé à une stratégie de sécurité ne peut pas contenir également des règles.

Les stratégies de sécurité sont prioritaires sur toutes les règles de groupe de sécurité. Si plusieurs stratégies de sécurité sont appliquées sur un port, l'ordre dans lequel les stratégies sont appliquées est déterminé par NSX Data Center for vSphere. Vous pouvez modifier l'ordre dans le vSphere Client sur la page Sécurité > Pare-feu sous Mise en réseau et sécurité.

Conditions préalables

Créez les stratégies de sécurité voulues dans NSX Data Center for vSphere. Reportez-vous à la section « Créer une stratégie de sécurité » du Guide d'administration de NSX.

Procédure

  1. Connectez-vous à Integrated OpenStack Manager en tant qu'utilisateur root.
    ssh root@mgmt-server-ip
  2. Modifiez la configuration Neutron.
    viocli update neutron
  3. Dans la section nsxv, ajoutez les paramètres use_nsx_policies, default_policy_id et allow_tenant_rules_with_policy, puis configurez-les.
    Option Description

    use_nsx_policies

    Entrez Vrai.

    default_policy_id

    Entrez l'ID de la stratégie de sécurité NSX Data Center for vSphere que vous souhaitez associer au groupe de sécurité par défaut pour les nouveaux projets. Si vous ne souhaitez pas utiliser de stratégie de sécurité par défaut, vous pouvez laisser ce paramètre commenté.

    Pour trouver l'ID d'une stratégie de sécurité, connectez-vous à vSphere Client et sélectionnez Menu > Mise en réseau et sécurité. Cliquez sur Service Composer et ouvrez l'onglet Stratégies de sécurité. Cliquez sur l'icône Afficher les colonnes en bas à gauche du tableau. Sélectionnez Id d'objet et cliquez sur OK. L'ID de chaque stratégie de sécurité s'affiche dans le tableau.

    allow_tenant_rules_with_policy

    Entrez true pour autoriser les locataires à créer des groupes et des règles de sécurité ou false pour les en empêcher.

    Le fichier de configuration a maintenant l'aspect suivant :

    conf:
      [...]
      plugins:
        nsx:
          [...]
          nsxv:
            use_nsx_policies: true
            default_policy_id: policy-5
            allow_tenant_rules_with_policy: true
    
  4. Si vous souhaitez utiliser des groupes de sécurité supplémentaires avec les stratégies de sécurité, vous pouvez effectuer les étapes suivantes :
    • Pour associer une stratégie de sécurité NSX Data Center for vSphere à un nouveau groupe de sécurité, spécifiez la stratégie souhaitée lors de la création du groupe :
      toolbox
      export OS_PASSWORD=admin-account-password
      neutron security-group-create security-group-name --tenant-id tenant-uuid --policy=policy-id
    • Pour migrer un groupe de sécurité existant vers un groupe basé sur les stratégies de sécurité, exécutez la commande suivante depuis le serveur Neutron :
      kubectl -n openstack exec -it neutron-server-pod-name -- /bin/bash
      nsxadmin -r security-groups -o migrate-to-policy --property policy-id=policy-id --property security-group-id=security-group-uuid
      Note : Cette commande supprime toutes les règles du groupe de sécurité spécifié. Veillez à ce que la stratégie cible soit configurée de façon telle que la connexion réseau ne soit pas interrompue.
  5. Configurer Neutron pour fixer la priorité des stratégies de sécurité NSX Data Center for vSphere sur les groupes de sécurité.
    kubectl -n openstack exec -it neutron-server-pod-name -- /bin/bash
    sudo -u neutron nsxadmin --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/vmware/nsx.ini -r firewall-sections -o nsx-reorder