Vous pouvez créer des groupes dans un VPC NSX et les utiliser dans des stratégies de pare-feu pour répondre à des exigences de sécurité spécifiques pour les charges de travail qui s'exécutent dans le VPC NSX.

Groupes par défaut dans un VPC NSX

Le système crée un groupe par défaut de type Générique pour chaque VPC NSX ajouté à votre projet. Le groupe par défaut vous permet de limiter l'étendue des règles de pare-feu à un VPC NSX particulier.

La convention de dénomination suivante est utilisée pour identifier le groupe par défaut dans un VPC NSX:

ORG-default-PROJECT-<Project_Name>-VPC-<VPC_Name>-default

Project_Name et VPC_Name sont remplacés par des valeurs réelles dans votre système.

Ce groupe par défaut représente le VPC NSX proprement dit. Les membres de ce groupe par défaut sont les sous-réseaux, les ports de sous-réseau et les interfaces de VM (VIF) connectés aux sous-réseaux VPC NSX. Si la VM est à double interface, par exemple, lorsqu'une interface est connectée à un sous-réseau VPC et que l'autre interface est connectée à un segment dans l'espace par défaut, l'interface VIF de cette VM sur le segment n'est pas membre du groupe par défaut du VPC.

Cas d'utilisation classique d'utilisation de groupe par défaut VPC :

Supposons qu'un administrateur de projet ou un utilisateur dans l'espace par défaut souhaite bloquer le trafic vers toutes les VM dans le VPC NSX. Ils peuvent utiliser le groupe par défaut VPC dans leur stratégie de pare-feu.

Groupes créés par l'utilisateur dans un VPC NSX

Les groupes de type Générique et Adresses IP uniquement sont pris en charge dans un VPC NSX.

Les objets NSX suivants sont pris en charge pour l'ajout statique à une définition du groupe dans un VPC NSX :
  • Sous-réseaux
  • Ports de sous-réseau
  • VIF
  • Machines virtuelles
  • Groupes

Dans l'onglet Membres de la boîte de dialogue Définir les membres, le système affiche uniquement les objets appartenant au VPC NSX ou partagés avec le VPC NSX.

Les objets NSX suivants sont pris en charge pour l'ajout à des critères d'appartenance à un groupe dynamique dans un VPC NSX :
  • Machine virtuelle
  • Sous-réseau
  • Port de sous-réseau

Lorsque vous ajoutez un groupe dans un VPC NSX avec des critères dynamiques basés sur des balises de VM, les VM connectées aux sous-réseaux dans le VPC NSX deviennent les membres effectifs du groupe.

Les groupes partagés avec un VPC NSX ne peuvent être utilisés que dans les champs Source ou Destination de la règle de pare-feu et non dans le champ Appliqué à de cette règle.

Ajout de groupes dans un VPC NSX

  1. Sélectionnez un projet dans le menu déroulant Projet.
  2. Cliquez sur l'onglet VPC.
  3. Développez le VPC dans lequel vous souhaitez ajouter des groupes.
  4. Développez la section Sécurité, puis cliquez sur le nombre en regard de Groupes.

    La page Définir des groupes de VPC s'ouvre.

  5. Utilisez désormais la procédure standard pour ajouter des groupes dans le VPC NSX.