NSX prend en charge la création de stratégies lors de la configuration de l'architecture mutualisée dans votre environnement.
Pare-feu distribué pour les projets
Les catégories Urgence, Infrastructure, Environnement et DFW d'application sont prises en charge pour les projets de l'organisation. Les stratégies /infra ont la priorité la plus élevée, suivies des stratégies de projet. Les règles DFW de l'espace /infra peuvent s'étendre à un projet.
- Les règles créées sous l'espace
/infras'appliquent par défaut à toutes les charges de travail de l'environnement.- Pour définir l'étendue de vos règles, sélectionnez l'option appropriée pour Appliqué à, sur l'interface utilisateur de NSX. Par exemple, vous pouvez limiter les règles à une charge de travail spécifique à l'aide de l'option Appliqué à.
- Vous pouvez également utiliser l'option Appliqué à pour les groupes créés sous l'espace
/infraou pour les groupes par défaut du projet (ORG-default-PROJECT-<project-name>) générés par le système et qui contiennent toutes les machines virtuelles du projet.
- Les éléments suivants s'appliquent aux groupes créés dans l'espace
/infra:- L'appartenance dynamique évalue toutes les machines virtuelles du système, y compris les machines virtuelles d'un projet. Par exemple, si l'appartenance à un groupe inclut toutes les machines virtuelles balisées avec web, le groupe inclut les machines virtuelles disposant de la balise web à l'intérieur et à l'extérieur du projet.
- Pour Appartenance statique, vous pouvez ajouter des charges de travail connectées à un projet en faisant explicitement référence aux machines virtuelles () ou en utilisant les groupes par défaut du projet (
ORG-default-PROJECT-<project-name>). Les autres ressources créées sous un projet ne sont pas prises en charge par les groupes dans l'espace/infra.
Règles par défaut
Lors de la création du projet, une stratégie de sécurité par défaut est créée dans le projet en bas de la liste des stratégies dans la catégorie Application. La stratégie par défaut définit le comportement des machines virtuelles dans le projet si aucune autre règle n'est rencontrée.
La stratégie par défaut contient les règles suivantes :
- Règles autorisant la communication avec DHCP.
(src:ANY dst:ANY services:DHCP Client|DHCP Server Action Allow) - Règles autorisant la communication entre les charges de travail dans le projet.
(src:Project default groups (ORG-default-PROJECT-<project-name> dst:Project default groups (ORG-default-PROJECT-<project-name> services:ANY Action Allow) - Règles refusant toute autre communication.
(src:ANY dst:ANY services:ANY Action Deny)
La stratégie par défaut garantit que les machines virtuelles d'un projet peuvent uniquement atteindre les autres machines virtuelles du même projet (DHCP). La communication avec les machines virtuelles en dehors du projet ou avec d'autres adresses IP créées par le système est bloquée et ne peut être autorisée qu'en ajoutant ou en modifiant des règles dans la stratégie de sécurité par défaut.
Ajouter un pare-feu distribué pour les projets
Pour les stratégies de projet, lorsque l'étendue est définie sur Quelconque, les stratégies sont limitées à ce projet. Les règles de projet ont accès uniquement aux groupes du projet et aux groupes qui ont été partagés avec le projet.
PATCH /policy/api/v1/orgs/default/projects/<project-id>/infra/domains/default/security-policies/<security-policy-id>
Exemple de demande :
PATCH https://{{nsx-manager-ip}}/policy/api/v1/orgs/default/projects/project-1/infra/domains/default/security-policies/web-dbCorps :
{
"resource_type": "SecurityPolicy",
"description": "web-db",
"display_name": "web-db",
"rules": [
{
"resource_type": "Rule",
"description": "web-db-rule-1",
"display_name": "web-db-rule-1",
"sequence_number": 1,
"source_groups": [
"/orgs/default/projects/project-1/infra/domains/default/groups/group-1"
],
"destination_groups": [
"/orgs/default/projects/project-1/infra/domains/default/groups/group-1"
],
"services" : ["/infra/services/HTTP"],
"action" : "ALLOW",
"_revision": 0
}
],
"sequence_number": 1,
"_revision": 0
}
