Gruppi e firewall distribuito

NSX supporta la creazione di gruppi e criteri durante la configurazione della multi-tenancy nell'ambiente.

I gruppi e le regole del firewall di un progetto si applicano solo alle macchine virtuali nel progetto, ovvero alle macchine virtuali connesse alle reti nel progetto. Le regole di un progetto, incluse quelle con Qualsiasi applicate a DFW, non influiscono sui carichi di lavoro esterni al progetto.

Nota: Il raggruppamento e le regole del firewall dello spazio /infra si applicano a ogni macchina virtuale nella distribuzione di NSX, incluse quelle nei progetti. Ad esempio, un gruppo basato su un tag include tutte le macchine virtuali con lo stesso tag dei membri, interne ed esterne al progetto.

Gruppi

Per ogni progetto creato, il sistema crea un gruppo predefinito. Il gruppo predefinito rappresenta il progetto stesso. Tutti i segmenti creati in un progetto vengono aggiunti al gruppo predefinito del progetto dal sistema. Solo le macchine virtuali collegate ai segmenti del gruppo vengono aggiunte al gruppo. Il gruppo predefinito consente di limitare l'ambito delle regole a un progetto specifico.

Il gruppo predefinito dispone di un'espressione dell'ambito del gruppo che definisce il percorso dell'ambito del gruppo. Gli amministratori possono applicare le regole dello spazio /infra solo ai progetti nel gruppo predefinito direttamente o tramite un'appartenenza statica a un gruppo dello spazio /infra.

Per tutti gli altri gruppi creati sono supportati i seguenti elementi:

Membri statici: macchina virtuale, segmenti, porte segmenti e indirizzi IP
Membri dinamici: macchina virtuale

Creare un gruppo eseguendo la seguente chiamata API:

PATCH /policy/api/v1/orgs/default/projects/<project-id>/infra/domains/default/groups/<group-id>

Richiesta di esempio per la creazione di un gruppo basato su macchina virtuale:

URL:

PATCH https://{{nsx-manager-ip}}/policy/api/v1/orgs/default/projects/project-1/infra/domains/default/groups/group-1

Corpo:

{
  "expression": [
  {
    "member_type": "VirtualMachine",    
    "key": "Name",
    "operator": "CONTAINS",
    "value": "App",
    "resource_type": "Condition"
  }
  ],
  "description": "my group",
  "display_name": "g1",
  "_revision": 0
}

Firewall distribuito

Le categorie Emergenza, Infrastruttura, Ambiente e DFW applicazioni sono supportate per i progetti nell'organizzazione. I criteri /infra hanno la precedenza più alta seguita dai criteri del progetto. Le regole DFW dello spazio /infra possono estendersi a un progetto.

Le regole create nello spazio /infra vengono applicate per impostazione predefinita a tutti i carichi di lavoro nell'ambiente.
- Per definire l'ambito delle regole, selezionare l'opzione appropriata per Si applica a nell'interfaccia utente di NSX. Ad esempio, è possibile limitare le regole a un carico di lavoro specifico utilizzando l'opzione Si applica a.
- È inoltre possibile utilizzare l'opzione Si applica a per i gruppi creati nello spazio /infra o per i gruppi predefiniti del progetto (ORG-default-PROJECT-<name-of-project>) generati dal sistema che contengono tutte le macchine virtuali del progetto.
Ai gruppi creati nello spazio /infra si applica quanto segue:
- L'appartenenza dinamica valuta tutte le macchine virtuali del sistema, incluse le macchine virtuali in un progetto. Ad esempio, se un'appartenenza al gruppo include tutte le macchine virtuali contrassegnate con web, il gruppo includerà le macchine virtuali con il tag web interne ed esterne al progetto.
- Per l'appartenenza statica, è possibile aggiungere carichi di lavoro connessi a un progetto facendo riferimento in modo esplicito alle macchine virtuali (Membri > Macchine virtuali) o utilizzando i gruppi predefiniti del progetto (ORG-default-PROJECT-<name-of-project>). Le altre risorse create in un progetto non sono supportate dai gruppi dello spazio /infra.

Alcuni criteri predefiniti vengono creati dal sistema quando viene creato un progetto. I criteri predefiniti consentono di limitare l'ambito dei criteri a un determinato progetto.

Per i criteri di progetto, quando l'ambito è impostato su Qualsiasi, i criteri sono limitati a tale progetto. Le regole del progetto hanno accesso solo ai gruppi nel progetto e ai gruppi condivisi con il progetto.

Applicare i criteri di sicurezza eseguendo la seguente chiamata API:

PATCH /policy/api/v1/orgs/default/projects/<project-id>/infra/domains/default/security-policies/<security-policy-id>

Richiesta di esempio:

URL:

PATCH https://{{nsx-manager-ip}}/policy/api/v1/orgs/default/projects/project-1/infra/domains/default/security-policies/web-db

Corpo:

{
  "resource_type": "SecurityPolicy",
    "description": "web-db",
    "display_name": "web-db",
    "rules": [
    {
      "resource_type": "Rule",
      "description": "web-db-rule-1",
      "display_name": "web-db-rule-1",
      "sequence_number": 1,
      "source_groups": [
        "/orgs/default/projects/project-1/infra/domains/default/groups/group-1"
      ],
      "destination_groups": [
        "/orgs/default/projects/project-1/infra/domains/default/groups/group-1"
      ],
      "services" : ["/infra/services/HTTP"],
      "action" : "ALLOW",
      "_revision": 0
    }
  ],
  "sequence_number": 1,
  "_revision": 0
}