Vous pouvez créer des groupes dans un NSX VPC et les utiliser dans des stratégies de pare-feu pour répondre à des exigences de sécurité spécifiques pour les charges de travail qui s'exécutent dans le NSX VPC.

Groupes par défaut dans un NSX VPC

Le système crée un groupe par défaut pour chaque NSX VPC ajouté à votre projet. Le groupe par défaut vous permet de limiter l'étendue des règles de pare-feu à un NSX VPC particulier.

La convention de dénomination suivante est utilisée pour identifier le groupe par défaut dans un NSX VPC :

PROJECT-<Project_Name>-VPC-<VPC_Name>-default

Project_Name et VPC_Name sont remplacés par des valeurs réelles dans votre système.

Ce groupe par défaut représente le NSX VPC proprement dit. Les membres de ce groupe par défaut sont les sous-réseaux, les ports de sous-réseau et les interfaces de VM (VIF) connectés aux sous-réseaux NSX VPC. Si la VM est à double interface, par exemple, lorsqu'une interface est connectée à un sous-réseau VPC et que l'autre interface est connectée à un segment dans l'espace par défaut, l'interface VIF de cette VM sur le segment n'est pas membre du groupe par défaut du VPC.

Cas d'utilisation classique d'utilisation de groupe par défaut VPC :

Supposons qu'un administrateur de projet ou un utilisateur dans l'espace par défaut souhaite bloquer le trafic vers toutes les VM dans le NSX VPC. Ils peuvent utiliser le groupe par défaut VPC dans leur stratégie de pare-feu.

Groupes créés par l'utilisateur dans un NSX VPC

Les objets NSX suivants sont pris en charge pour l'ajout statique à une définition du groupe dans un NSX VPC :
  • Sous-réseaux
  • Ports de sous-réseau
  • VIF
  • Machines virtuelles
  • Groupes

Dans l'onglet Définir les membres de la boîte de dialogue Définir les membres, le système affiche uniquement les objets appartenant au NSX VPC. Les objets partagés avec le NSX VPC ne sont pas répertoriés dans cette boîte de dialogue, car les objets partagés ne peuvent pas être ajoutés en tant que membres dans un groupe VPC.

Les objets NSX suivants sont pris en charge pour l'ajout à des critères d'appartenance à un groupe dynamique dans un NSX VPC :
  • Machine virtuelle
  • Sous-réseau
  • Port de sous-réseau

Lorsque vous ajoutez un groupe dans un NSX VPC avec des critères dynamiques basés sur des balises de VM, les VM connectées aux sous-réseaux dans le NSX VPC deviennent les membres effectifs du groupe.

Les groupes partagés avec un NSX VPC ne peuvent être utilisés que dans les champs Source ou Destination de la règle de pare-feu et non dans le champ Appliqué à de cette règle.

Ajout de groupes dans un NSX VPC

  1. Sélectionnez un projet dans le menu déroulant Projet.
  2. Cliquez sur l'onglet VPC.
  3. Développez le VPC dans lequel vous souhaitez ajouter des groupes.
  4. Développez la section Sécurité, puis cliquez sur le nombre en regard de Groupes.

    La page Définir des groupes de VPC s'ouvre.

  5. Utilisez désormais la procédure standard pour ajouter des groupes dans le NSX VPC.