Les utilisateurs d'un projet peuvent créer leurs propres stratégies de pare-feu distribué pour sécuriser le flux du trafic est-ouest dans le projet. Les règles de pare-feu distribué d'un projet n'affectent pas les charges de travail en dehors du projet.
Règles DFW par défaut dans un projet
Pour chaque projet ajouté dans NSX, le système crée une stratégie DFW par défaut dans le projet. La stratégie par défaut s'affiche au bas de la liste des stratégies dans la catégorie Pare-feu de l'application. La stratégie par défaut définit le comportement des machines virtuelles dans le projet si aucune autre règle n'est rencontrée.
La convention de dénomination suivante est utilisée pour identifier la stratégie DFW par défaut dans un projet :
ORG-default PROJECT-<Project_Name> Default Layer 3 sectionProject_Name est remplacé par la valeur réelle dans votre système.
Par exemple, la capture d'écran suivante montre les règles de stratégie DFW par défaut dans un projet.
Comme indiqué dans cette capture d'écran, la stratégie par défaut est appliquée à DFW et contient les règles de pare-feu suivantes :
- La règle 1017 autorise le trafic IPv6-ICMP.
- La règle 1018 autorise la communication avec le client et le serveur DHCPv4.
- La règle 1019 autorise la communication avec le client et le serveur DHCPv6. (Ajouté dans NSX 4.1.1)
- La règle 1020 autorise la communication entre les VM de charge de travail dans le projet.
- La règle 1021 annule toutes les autres communications qui ne correspondent à aucune des règles ci-dessus.
La stratégie DFW par défaut garantit que les machines virtuelles d'un projet peuvent uniquement atteindre les autres machines virtuelles du même projet, y compris le serveur DHCP. La communication avec les machines virtuelles en dehors du projet est bloquée. Les machines virtuelles connectées aux segments à l'intérieur du projet ne peuvent pas effectuer un test ping de leur passerelle par défaut. Si une telle communication est requise, vous devez ajouter de nouvelles règles ou modifier des règles existantes dans la stratégie DFW par défaut.
Règles DFW créées par l'utilisateur dans un projet
- Règles DFW dans l'espace par défaut (priorité la plus élevée)
- Règles DFW dans le projet
- (À partir de NSX 4.1.1) : règles de pare-feu E-O dans les VPC NSX du projet (priorité la plus faible)
Les règles DFW dans l'espace par défaut peuvent s'étendre à un projet.
Par exemple, vous pouvez choisir d'appliquer les règles au groupe de projet par défaut (ORG-default-PROJECT-<Project_Name>). Le groupe par défaut du projet contient uniquement les machines virtuelles de charge de travail d'un projet.
- Groupes créés dans le projet.
- Groupes qui sont partagés avec le projet.
Les groupes partagés avec les projets ne peuvent être utilisés que dans les champs Source ou Destination des règles de pare-feu et non dans le champ Appliqué à de ces règles.
(À partir de NSX 4.1.1) : si vous ajoutez des VPC NSX à un projet, les groupes par défaut créés par le système dans les VPC NSX peuvent être utilisés dans les champs Source, Destination et Appliqué à des règles de pare-feu du projet. Cependant, les groupes créés par l'utilisateur dans les VPC NSX ne peuvent pas être utilisés dans les règles de pare-feu du projet.
Les règles de pare-feu d'un projet s'appliquent uniquement aux machines virtuelles du projet, c'est-à-dire aux machines virtuelles connectées aux segments du projet. Les règles de pare-feu d'un projet, y compris les règles Any-Any appliquées à DFW, n'affectent pas les charges de travail en dehors du projet.
Ajout d'une stratégie DFW dans un projet
Le workflow d'interface utilisateur pour l'ajout d'une stratégie DFW dans un projet reste identique à celui pour l'ajout de stratégies dans la vue Par défaut (espace par défaut) de votre déploiement NSX.
La seule différence est que dans l'interface utilisateur vous devez d'abord sélectionner un projet dans le menu déroulant sélecteur de projet de la barre d'application en haut, puis accéder à
pour ajouter des stratégies DFW dans le projet sélectionné.