Vous pouvez configurer une stratégie de sécurité dans NSX Manager pour les machines virtuelles de charge de travail dans le Mode d'application du Cloud natif.

À partir de NSX-T Data Center 3.0, vous pouvez créer des stratégies de sécurité et des règles dans VPC/VNet à partir de différents comptes ou abonnements.
Note : Les règles DFW dépendent des balises attribuées aux machines virtuelles. Comme ces balises peuvent être modifiées par toute personne disposant des autorisations de cloud public appropriées, NSX-T Data Center suppose que ces utilisateurs sont dignes de confiance. L'administrateur réseau du cloud public doit s'assurer et auditer que les machines virtuelles sont correctement balisées à tout moment.

Conditions préalables

Vérifiez que vous disposez d'un VPC/VNet de calcul ou de transit dans le Mode d'application du Cloud natif.

Procédure

  1. Dans NSX Manager, modifiez ou créez des groupes pour les machines virtuelles de charge de travail ; par exemple, les noms de machines virtuelles commençant par web, app ou db, pourraient être trois groupes distincts. Reportez-vous à la section Ajouter un groupe pour obtenir des instructions. Reportez-vous à la section Regrouper les machines virtuelles à l'aide de NSX-T Data Center et de balises de cloud public pour des informations sur l'utilisation de balises de cloud public afin de créer des groupes pour vos machines virtuelles de charge de travail.

    Les machines virtuelles de charge de travail qui correspondent aux critères sont ajoutées au groupe. Celles qui ne correspondent à aucun critère de regroupement sont placées dans le groupe de sécurité default dans AWS et dans le groupe de sécurité réseau default-vnet-<vnet-ID>-sg dans Microsoft Azure.

    Note : Vous ne pouvez pas utiliser les groupes qui sont créés automatiquement par NSX Cloud.
  2. Dans NSX Manager, créez des règles de pare-feu distribué (DFW) avec ces groupes dans les champs Source, Destination ou Appliqué à. Reportez-vous à la section Ajouter un pare-feu distribué pour obtenir des instructions.
    Note : Seules les stratégies avec état sont prises en charge pour les machines virtuelles de charge de travail de cloud public. Les stratégies sans état peuvent être créées dans NSX Manager, mais elles ne correspondront à aucun groupe contenant vos machines virtuelles de charge de travail de cloud public.

    Les profils de contexte de couche 7 ne sont pas pris en charge pour les règles DFW pour les machines virtuelles de charge de travail dans le Mode d'application du Cloud natif.

  3. Dans CSM, supprimez de la liste blanche les machines virtuelles que vous souhaitez inclure dans la gestion NSX. Reportez-vous à la section Comment ajouter des machines virtuelles à la liste blanche ou les supprimer de celle-ci pour obtenir des instructions.
    Note : La mise sur liste blanche est une étape manuelle fortement recommandée dans le cadre du workflow de jour-0 dès que vous ajoutez votre inventaire de cloud public dans CSM. Si vous n'avez pas mis de machines virtuelles sur liste blanche, vous n'avez pas besoin de les supprimer de la liste blanche.
  4. Pour les règles de groupes et de DFW qui trouvent une correspondance dans le cloud public, ce qui suit s'effectue automatiquement :
    1. Dans AWS, NSX Cloud crée un nouveau groupe de sécurité nommé nsx-<NSX GUID>.
    2. Dans Microsoft Azure, NSX Cloud crée un groupe de sécurité d'application (ASG) correspondant au groupe créé dans NSX Manager et un groupe de sécurité réseau (NSG) correspondant aux règles DFW qui sont mises en correspondance avec les machines virtuelles de charge de travail regroupées.
      NSX Cloud synchronise NSX Manager, les groupes de cloud public et les règles DFW toutes les 30 secondes.
  5. Resynchronisez votre compte de cloud public dans CSM :
    1. Connectez-vous à CSM et accédez à votre compte de cloud public.
    2. Dans le compte de cloud public, cliquez sur Actions > Resynchroniser un compte. Attendez la fin de la resynchronisation.
    3. Accédez au VPC/VNet et cliquez sur l'indicateur Erreurs de couleur rouge. Cela vous permet d'accéder à la vue d'instances.
    4. Passez en mode Détails si vous étiez en mode Grille, puis cliquez sur En échec dans la colonne Réalisation des règles pour afficher les erreurs, le cas échéant.

Que faire ensuite

Reportez-vous à la section Limites actuelles et erreurs courantes.