NSX supporta la creazione di criteri durante la configurazione della multi-tenancy nell'ambiente.
Firewall distribuito per i progetti
Le categorie Emergenza, Infrastruttura, Ambiente e DFW applicazione sono supportate per i progetti nell'organizzazione. I criteri /infra hanno la priorità più alta seguiti dai criteri del progetto. Le regole DFW dello spazio /infra possono estendersi a un progetto.
- Le regole create nello spazio
/infravengono applicate per impostazione predefinita a tutti i carichi di lavoro nell'ambiente.- Per definire l'ambito delle regole, selezionare l'opzione appropriata per Si applica a nell'interfaccia utente di NSX. Ad esempio, è possibile limitare le regole a un carico di lavoro specifico utilizzando l'opzione Si applica a.
- È inoltre possibile utilizzare l'opzione Si applica a per i gruppi creati nello spazio
/infrao per i gruppi predefiniti del progetto (ORG-default-PROJECT-<project-name>) generati dal sistema che contengono tutte le macchine virtuali del progetto.
- Ai gruppi creati nello spazio
/infrasi applica quanto segue:- L'appartenenza dinamica valuta tutte le macchine virtuali del sistema, incluse le macchine virtuali in un progetto. Ad esempio, se un'appartenenza al gruppo include tutte le macchine virtuali contrassegnate con web, il gruppo includerà le macchine virtuali con il tag web interne ed esterne al progetto.
- Per l'appartenenza statica, è possibile aggiungere carichi di lavoro connessi a un progetto facendo riferimento in modo esplicito alle macchine virtuali () o utilizzando i gruppi predefiniti del progetto (
ORG-default-PROJECT-<project-name>). Le altre risorse create in un progetto non sono supportate dai gruppi dello spazio/infra.
Regole predefinite
Al momento della creazione del progetto, viene creato un criterio di sicurezza predefinito all'interno del progetto, nella parte inferiore dell'elenco dei criteri nella categoria Applicazione. Il criterio predefinito definisce il comportamento per le macchine virtuali all'interno del progetto se non vengono rilevate altre regole.
Il criterio predefinito contiene le regole seguenti:
- Regole che consentono la comunicazione con DHCP.
(src:ANY dst:ANY services:DHCP Client|DHCP Server Action Allow) - Regole che consentono la comunicazione tra i carichi di lavoro all'interno del progetto.
(src:Project default groups (ORG-default-PROJECT-<project-name> dst:Project default groups (ORG-default-PROJECT-<project-name> services:ANY Action Allow) - Regole che negano tutte le altre comunicazioni.
(src:ANY dst:ANY services:ANY Action Deny)
Il criterio predefinito garantisce che le macchine virtuali all'interno di un progetto possano raggiungere solo altre macchine virtuali nello stesso progetto (e DHCP). La comunicazione con le macchine virtuali esterne al progetto o con altri indirizzi IP creati dal sistema è bloccata e può essere consentita solo aggiungendo regole o modificando regole nel criterio di sicurezza predefinito.
Aggiunta di un firewall distribuito per i progetti
Per i criteri di progetto, quando l'ambito è impostato su Qualsiasi, i criteri sono limitati a tale progetto. Le regole del progetto hanno accesso solo ai gruppi nel progetto e ai gruppi condivisi con il progetto.
PATCH /policy/api/v1/orgs/default/projects/<project-id>/infra/domains/default/security-policies/<security-policy-id>
Richiesta di esempio:
PATCH https://{{nsx-manager-ip}}/policy/api/v1/orgs/default/projects/project-1/infra/domains/default/security-policies/web-dbCorpo:
{
"resource_type": "SecurityPolicy",
"description": "web-db",
"display_name": "web-db",
"rules": [
{
"resource_type": "Rule",
"description": "web-db-rule-1",
"display_name": "web-db-rule-1",
"sequence_number": 1,
"source_groups": [
"/orgs/default/projects/project-1/infra/domains/default/groups/group-1"
],
"destination_groups": [
"/orgs/default/projects/project-1/infra/domains/default/groups/group-1"
],
"services" : ["/infra/services/HTTP"],
"action" : "ALLOW",
"_revision": 0
}
],
"sequence_number": 1,
"_revision": 0
}
