Les stratégies NSX vous permettent de spécifier des règles pour les objets, tels que les machines virtuelles, les ports logiques, les adresses IP et les adresses MAC, sans vous préoccuper des mécanismes des règles. Vous gérez les stratégies dans NSX Policy Manager au lieu de l'instance de NSX Manager.

Avant de configurer des stratégies, vous devez installer NSX Policy Manager. Pour plus d'informations, consultez le Guide d'installation de NSX-T. Dans NSX Policy Manager, vous devez également ajouter un ou plusieurs points d'application, afin de fournir des informations sur l'instance de NSX Manager sur laquelle les stratégies seront appliquées.

L'exemple suivant décrit comment utiliser une stratégie pour gérer la mise en réseau d'une application.

L'application a trois niveaux (Web, application et base de données) et vous souhaitez que les règles suivantes s'appliquent aux machines virtuelles de l'application :
  • Autoriser le trafic entre la couche Web et la couche d'application.
  • Autoriser le trafic entre la couche d'application et la couche de base de données.
  • Autoriser le trafic entre n'importe quel système et la couche Web.
Dans l'instance de NSX Manager, procédez comme suit :
  • Définissez le nom de la charge de travail des machines virtuelles Web comme Web suivi d'une chaîne d'identification.
  • Définissez le nom de la charge de travail des machines virtuelles d'application comme App suivi d'une chaîne d'identification.
  • Définissez le nom de la charge de travail des machines virtuelles de base de données comme DB suivi d'une chaîne d'identification.
Dans l'instance de NSX Policy Manager, procédez comme suit :
  • Créez un domaine et spécifiez les éléments suivants :
    • Créez un groupe appelé WebGroup constitué de machines virtuelles dont le nom de la charge de travail commence par Web.
    • Créez un groupe appelé AppGroup constitué de machines virtuelles dont le nom de la charge de travail commence par App.
    • Créez un groupe appelé DBGroup constitué de machines virtuelles dont le nom de la charge de travail commence par DB.
    • Spécifiez les stratégies de sécurité qui contrôlent la communication entre les groupes.
  • Vérifiez la configuration du domaine pour vous assurer qu'il n'y a aucune erreur.
  • Sélectionnez les points d'application.

Une fois que vous avez sélectionné les points d'application, le Gestionnaire de stratégie NSX communique avec NSX Manager qui implémentera les stratégies de sécurité au niveau des points d'application.

Contrôle d'accès basé sur les rôles

NSX Policy Manager comprend deux utilisateurs prédéfinis : admin et audit. Vous pouvez intégrer NSX Policy Manager avec VMware Identity Manager (vIDM) et configurer le contrôle d'accès en fonction du rôle (RBAC) pour les utilisateurs gérés par vIDM.

Pour les utilisateurs gérés par vIDM, la stratégie d'authentification qui s'applique est celle configurée par l'administrateur vIDM et non la stratégie d'authentification de NSX Policy Manager qui s'applique uniquement aux utilisateurs admin et audit.