NSX prend en charge la création de groupes et de stratégies lors de la configuration de l'architecture mutualisée dans votre environnement.
Groupes
Un groupe par défaut est créé par le système pour chaque projet que vous créez. Le groupe par défaut représente le projet proprement dit. Tous les segments créés dans un projet sont ajoutés au groupe par défaut du projet par le système. Seules les VM attachées aux segments du groupe sont ajoutées au groupe. Le groupe par défaut permet de limiter l'étendue des règles à un projet particulier.
Le groupe par défaut dispose d'une expression d'étendue de groupe qui définit le chemin de l'étendue du groupe. Les administrateurs peuvent appliquer des règles de l'espace /infra
uniquement aux projets sous le groupe Par défaut, directement ou via une appartenance statique à un groupe à partir de l'espace /infra
.
Les éléments suivants sont pris en charge pour tous les groupes supplémentaires que vous créez :
- Membres statiques : VM, segments, ports de segment et adresses IP
- Membres dynamiques : VM
PATCH /policy/api/v1/orgs/default/projects/<project-id>/infra/domains/default/groups/<group-id>Exemple de demande de création d'un groupe basé sur une VM :
PATCH https://{{nsx-manager-ip}}/policy/api/v1/orgs/default/projects/project-1/infra/domains/default/groups/group-1Corps :
{ "expression": [ { "member_type": "VirtualMachine", "key": "Name", "operator": "CONTAINS", "value": "App", "resource_type": "Condition" } ], "description": "my group", "display_name": "g1", "_revision": 0 }
Pare-feu distribué
Les catégories Urgence, Infrastructure, Environnement et DFW d'application sont prises en charge pour les projets de l'organisation. Les stratégies /infra
ont la priorité la plus élevée, suivies des stratégies de projet. Les règles DFW de l'espace /infra
peuvent s'étendre à un projet.
- Les règles créées sous l'espace
/infra
s'appliquent par défaut à toutes les charges de travail de l'environnement.- Pour définir l'étendue de vos règles, sélectionnez l'option appropriée pour Appliqué à, sur l'interface utilisateur de NSX. Par exemple, vous pouvez limiter les règles à une charge de travail spécifique à l'aide de l'option Appliqué à.
- Vous pouvez également utiliser l'option Appliqué à pour les groupes créés sous l'espace
/infra
ou pour les groupes par défaut du projet (ORG-default-PROJECT-<name-of-project>
) générés par le système et qui contiennent toutes les machines virtuelles du projet.
- Les éléments suivants s'appliquent aux groupes créés dans l'espace
/infra
:- L'appartenance dynamique évalue toutes les machines virtuelles du système, y compris les machines virtuelles d'un projet. Par exemple, si l'appartenance à un groupe inclut toutes les machines virtuelles balisées avec web, le groupe inclut les machines virtuelles disposant de la balise web à l'intérieur et à l'extérieur du projet.
- Pour Appartenance statique, vous pouvez ajouter des charges de travail connectées à un projet en faisant explicitement référence aux machines virtuelles (
ORG-default-PROJECT-<name-of-project>
). Les autres ressources créées sous un projet ne sont pas prises en charge par les groupes dans l'espace/infra
.
) ou en utilisant les groupes par défaut du projet (
Certaines stratégies par défaut sont créées par le système lors de la création d'un projet. Les stratégies par défaut permettent de limiter l'étendue des stratégies à un projet particulier.
Pour les stratégies de projet, lorsque l'étendue est définie sur Quelconque, les stratégies sont limitées à ce projet. Les règles de projet ont accès uniquement aux groupes du projet et aux groupes qui ont été partagés avec le projet.
PATCH /policy/api/v1/orgs/default/projects/<project-id>/infra/domains/default/security-policies/<security-policy-id>
Exemple de demande :
PATCH https://{{nsx-manager-ip}}/policy/api/v1/orgs/default/projects/project-1/infra/domains/default/security-policies/web-dbCorps :
{ "resource_type": "SecurityPolicy", "description": "web-db", "display_name": "web-db", "rules": [ { "resource_type": "Rule", "description": "web-db-rule-1", "display_name": "web-db-rule-1", "sequence_number": 1, "source_groups": [ "/orgs/default/projects/project-1/infra/domains/default/groups/group-1" ], "destination_groups": [ "/orgs/default/projects/project-1/infra/domains/default/groups/group-1" ], "services" : ["/infra/services/HTTP"], "action" : "ALLOW", "_revision": 0 } ], "sequence_number": 1, "_revision": 0 }