È possibile creare gruppi in un VPC NSX e utilizzarli nei criteri del firewall per soddisfare requisiti di sicurezza specifici per i carichi di lavoro in esecuzione in VPC NSX.
Gruppi predefiniti in un VPC NSX
Il sistema crea un gruppo predefinito per ogni VPC NSX aggiunto al progetto. Il gruppo predefinito consente di limitare l'ambito delle regole del firewall a un progetto VPC NSX specifico.
La seguente convenzione di denominazione viene utilizzata per identificare il gruppo predefinito in un VPC NSX:
ORG-default-PROJECT-<Project_Name>-VPC-<VPC_Name>-default
Project_Name e VPC_Name vengono sostituiti con i valori effettivi nel sistema.
Questo gruppo predefinito rappresenta il VPC NSX stesso. I membri di questo gruppo predefinito sono subnet, porte di subnet e interfacce di macchine virtuali (VIF) connesse alle subnet VPC NSX. Se la macchina virtuale è dual-homed, ad esempio quando un'interfaccia è connessa a una subnet del VPC e l'altra interfaccia è connessa a un segmento nello spazio predefinito, la VIF di questa macchina virtuale nel segmento non sarà un membro del gruppo predefinito di VPC.
Un caso d'uso tipico per l'utilizzo del gruppo predefinito di VPC è il seguente:
Si supponga che un amministratore del progetto o un utente nello spazio predefinito desideri bloccare il traffico verso tutte le macchine virtuali all'interno del VPC NSX. Possono utilizzare il gruppo predefinito di VPC nel criterio del firewall.
Gruppi creati dall'utente in un VPC NSX
- Subnet
- Porte subnet
- VIF
- Macchine virtuali
- Gruppi
Nella scheda Membri della finestra di dialogo Imposta membri, il sistema visualizza solo gli oggetti di proprietà di VPC NSX. Gli oggetti condivisi con VPC NSX non sono elencati in questa finestra di dialogo perché gli oggetti condivisi non possono essere aggiunti come membri in un gruppo di VPC.
- Macchina virtuale
- Subnet
- Porta subnet
Quando si aggiunge un gruppo in un VPC NSX con criteri dinamici basati su tag di macchina virtuale, le macchine virtuali connesse alle subnet in VPC NSX diventano i membri effettivi del gruppo.
I gruppi condivisi con un VPC NSX possono essere utilizzati solo nei campi Origine o Destinazione della regola del firewall e non nel campo Si applica a della regola del firewall.
Aggiunta di gruppi in un VPC NSX
- Selezionare un progetto dal menu a discesa Progetto.
- Fare clic sulla scheda VPC.
- Espandere il VPC in cui si desidera aggiungere gruppi.
- Espandere la sezione Sicurezza e quindi fare clic sul numero accanto a Gruppi.
Viene aperta la pagina Imposta gruppi VPC.
- A questo punto, utilizzare la procedura standard per aggiungere gruppi in VPC NSX.