Groupes et pare-feu distribué

NSX prend en charge la création de groupes et de stratégies lors de la configuration de l'architecture mutualisée dans votre environnement.

Les groupes et les règles de pare-feu d'un projet s'appliquent uniquement aux machines virtuelles du projet, c'est-à-dire aux machines virtuelles connectées aux réseaux du projet. Les règles d'un projet, y compris celles avec ANY appliqué à DFW, n'ont pas d'incidence sur les charges de travail en dehors du projet.

Note : Le regroupement et les règles de pare-feu de l'espace /infra s'appliquent à chaque machine virtuelle dans le déploiement NSX, y compris celles des projets. Par exemple, un groupe basé sur une balise inclut toutes les machines virtuelles avec la même balise que les membres, à l'intérieur et à l'extérieur du projet.

Groupes

Un groupe par défaut est créé par le système pour chaque projet que vous créez. Le groupe par défaut représente le projet proprement dit. Tous les segments créés dans un projet sont ajoutés au groupe par défaut du projet par le système. Seules les VM attachées aux segments du groupe sont ajoutées au groupe. Le groupe par défaut permet de limiter l'étendue des règles à un projet particulier.

Le groupe par défaut dispose d'une expression d'étendue de groupe qui définit le chemin de l'étendue du groupe. Les administrateurs peuvent appliquer des règles de l'espace /infra uniquement aux projets sous le groupe Par défaut, directement ou via une appartenance statique à un groupe à partir de l'espace /infra.

Les éléments suivants sont pris en charge pour tous les groupes supplémentaires que vous créez :

Membres statiques : VM, segments, ports de segment et adresses IP
Membres dynamiques : VM

Créez un groupe en effectuant l'appel d'API suivant :

PATCH /policy/api/v1/orgs/default/projects/<project-id>/infra/domains/default/groups/<group-id>

Exemple de demande de création d'un groupe basé sur une VM :

URL :

PATCH https://{{nsx-manager-ip}}/policy/api/v1/orgs/default/projects/project-1/infra/domains/default/groups/group-1

Corps :

{
  "expression": [
  {
    "member_type": "VirtualMachine",    
    "key": "Name",
    "operator": "CONTAINS",
    "value": "App",
    "resource_type": "Condition"
  }
  ],
  "description": "my group",
  "display_name": "g1",
  "_revision": 0
}

Pare-feu distribué

Les catégories Urgence, Infrastructure, Environnement et DFW d'application sont prises en charge pour les projets de l'organisation. Les stratégies /infra ont la priorité la plus élevée, suivies des stratégies de projet. Les règles DFW de l'espace /infra peuvent s'étendre à un projet.

Les règles créées sous l'espace /infra s'appliquent par défaut à toutes les charges de travail de l'environnement.
- Pour définir l'étendue de vos règles, sélectionnez l'option appropriée pour Appliqué à, sur l'interface utilisateur de NSX. Par exemple, vous pouvez limiter les règles à une charge de travail spécifique à l'aide de l'option Appliqué à.
- Vous pouvez également utiliser l'option Appliqué à pour les groupes créés sous l'espace /infra ou pour les groupes par défaut du projet (ORG-default-PROJECT-<name-of-project>) générés par le système et qui contiennent toutes les machines virtuelles du projet.
Les éléments suivants s'appliquent aux groupes créés dans l'espace /infra :
- L'appartenance dynamique évalue toutes les machines virtuelles du système, y compris les machines virtuelles d'un projet. Par exemple, si l'appartenance à un groupe inclut toutes les machines virtuelles balisées avec web, le groupe inclut les machines virtuelles disposant de la balise web à l'intérieur et à l'extérieur du projet.
- Pour Appartenance statique, vous pouvez ajouter des charges de travail connectées à un projet en faisant explicitement référence aux machines virtuelles (Membres > Machines virtuelles) ou en utilisant les groupes par défaut du projet (ORG-default-PROJECT-<name-of-project>). Les autres ressources créées sous un projet ne sont pas prises en charge par les groupes dans l'espace /infra.

Certaines stratégies par défaut sont créées par le système lors de la création d'un projet. Les stratégies par défaut permettent de limiter l'étendue des stratégies à un projet particulier.

Pour les stratégies de projet, lorsque l'étendue est définie sur Quelconque, les stratégies sont limitées à ce projet. Les règles de projet ont accès uniquement aux groupes du projet et aux groupes qui ont été partagés avec le projet.

Appliquez des stratégies de sécurité en effectuant l'appel d'API suivant :

PATCH /policy/api/v1/orgs/default/projects/<project-id>/infra/domains/default/security-policies/<security-policy-id>

Exemple de demande :

URL :

PATCH https://{{nsx-manager-ip}}/policy/api/v1/orgs/default/projects/project-1/infra/domains/default/security-policies/web-db

Corps :

{
  "resource_type": "SecurityPolicy",
    "description": "web-db",
    "display_name": "web-db",
    "rules": [
    {
      "resource_type": "Rule",
      "description": "web-db-rule-1",
      "display_name": "web-db-rule-1",
      "sequence_number": 1,
      "source_groups": [
        "/orgs/default/projects/project-1/infra/domains/default/groups/group-1"
      ],
      "destination_groups": [
        "/orgs/default/projects/project-1/infra/domains/default/groups/group-1"
      ],
      "services" : ["/infra/services/HTTP"],
      "action" : "ALLOW",
      "_revision": 0
    }
  ],
  "sequence_number": 1,
  "_revision": 0
}