È possibile configurare il criterio di sicurezza in NSX Manager per le macchine virtuali dei carichi di lavoro in Modalità Cloud applicato nativo.

A partire da NSX 3.0, è possibile creare regole e criteri di sicurezza in VPC/VNet da account o sottoscrizioni differenti.
Nota: Le regole DFW dipendono dai tag assegnati alle macchine virtuali. Poiché questi tag possono essere modificati da chiunque disponga di autorizzazioni appropriate per il cloud pubblico, NSX presuppone che questi utenti siano attendibili e la responsabilità di garantire e controllare che alle macchine virtuali vengano sempre assegnati i tag corretti è dell'amministratore di rete del cloud pubblico.

Prerequisiti

Verificare di disporre di un VPC/VNet di transito o di elaborazione in Modalità Cloud applicato nativo.

Procedura

  1. In NSX Manager, modificare o creare gruppi per le macchine virtuali dei carichi di lavoro, ad esempio i nomi delle macchine virtuali che iniziano con Web, app, database, possono essere tre gruppi separati. Per istruzioni, vedere Aggiunta di un gruppo. Vedere anche Raggruppare le macchine virtuali utilizzando i tag del cloud pubblico e NSX per informazioni sull'utilizzo dei tag del cloud pubblico per creare gruppi per le macchine virtuali dei carichi di lavoro.

    Le macchine virtuali dei carichi di lavoro che corrispondono ai criteri vengono aggiunte al gruppo. Le macchine virtuali che non corrispondono ad alcun criterio di raggruppamento vengono inserite nel Gruppo di sicurezza default in AWS e nel Gruppo di sicurezza di rete default-vnet-<vnet-ID>-sg in Microsoft Azure.

    Nota: Non è possibile utilizzare i gruppi creati automaticamente da NSX Cloud.
  2. In NSX Manager, creare regole DFW (firewall distribuito) con questi gruppi nei campi Origine, Destinazione o Si applica a. Per istruzioni, vedere Aggiunta di un firewall distribuito.
    Nota: Per le macchine virtuali dei carichi di lavoro del cloud pubblico sono supportati solo i criteri stateful. In NSX Manager è possibile creare criteri stateless, che tuttavia non saranno associati ad alcun gruppo contenente macchine virtuali dei carichi di lavoro del cloud pubblico.

    I profili di contesto L7 non sono supportati per le regole DFW delle macchine virtuali dei carichi di lavoro in Modalità Cloud applicato nativo.

  3. In CSM, rimuovere tali macchine virtuali dall'elenco Gestito dall'utente che si desidera inserire nella gestione NSX. Per istruzioni, vedere Come utilizzare l'elenco Gestito dall'utente.
    Nota: L'aggiunta di macchine virtuali all'elenco Gestito dall'utente è un passaggio manuale fortemente consigliato nel workflow del giorno 0, non appena si aggiunge l'inventario del cloud pubblico in CSM. Se non è stata aggiunta alcuna macchina virtuale all'elenco Gestito dall'utente, non è necessario rimuoverle da tale elenco.
  4. Per i gruppi e le regole DFW che trovano una corrispondenza nel cloud pubblico, si verificherà automaticamente quanto segue:
    1. In AWS, NSX Cloud crea un nuovo gruppo di sicurezza, ad esempio nsx-<NSX GUID>.
    2. In Microsoft Azure, NSX Cloud crea un gruppo di sicurezza delle applicazioni (ASG) corrispondente al gruppo creato in NSX Manager e un gruppo di sicurezza di rete (NSG) corrispondente alle regole DFW associate alle macchine virtuali dei carichi di lavoro raggruppate.
      NSX Cloud sincronizza NSX Manager e i gruppi del cloud pubblico e le regole DFW ogni 30 secondi.
  5. Risincronizzare l'account del cloud pubblico in CSM:
    1. Accedere a CSM e passare all'account del cloud pubblico.
    2. Dall'account del cloud pubblico, fare clic su Azioni > Risincronizza account. Attendere il completamento della risincronizzazione.
    3. Passare a VPC/VNet e fare clic sull'indicatore Errori di colore rosso. Questo consente di passare alla vista delle istanze.
    4. Passare alla vista dei dettagli se è attiva la vista Griglia e fare clic su Non riuscita nella colonna della realizzazione delle regole per visualizzare gli eventuali errori.

Operazioni successive

Vedere Limitazioni attuali ed errori comuni.