この機能を使用すると、OpenStack Cloud Management Platform から OpenStack セキュリティ グループを介して VMware NSX for vSphere ポリシーを使用できるようになります。NSX 管理者は、OpenStack クラウド管理者がクラウド ユーザーと共有するセキュリティ ポリシーを定義できます。クラウド管理者が標準のセキュリティ グループを有効にしている場合、クラウド ユーザーはルールに従って独自のセキュリティ グループを定義することもできます。クラウド管理者は、この機能を使用してサード パーティのネットワーク サービスを挿入することもできます。

VMware Integrated OpenStack 3.1 以降、管理者は Neutron セキュリティ グループの 2 つの新機能を使用することができます。

プロバイダ セキュリティ グループ

管理者ルールともいいます。構成されているセキュリティ グループは必須のグループであり、指定されたテナントのすべての仮想マシンに適用されます。プロバイダ セキュリティ グループには、ポリシーを関連付けることも、関連付けないこともできます。

NSX サービス コンポーザ - セキュリティ ポリシー セキュリティ グループ

詳細については、『VMware NSX for vSphere 管理ガイド』の「サービス コンポーザ」の章を参照してください。

OpenStack クラウド管理者は custom.yml ファイル内で nsxv_default_policy_id オプションを設定することにより、各 VMware NSX for vSphere ポリシーをデフォルト ポリシーとして定義することができます。新しいすべてのテナントに、このポリシーがデフォルトとして設定されます。追加のポリシーを定義し、これらをプロバイダ セキュリティ グループまたはオプションのセキュリティ グループにそれぞれ関連付けて、必須またはオプションとして指定したテナントに割り当てることができます。テナント ユーザーはルールに従ってセキュリティ グループを作成することもできますが、クラウド管理者が設定したセキュリティ グループをオーバーライドすることはできません。

VMware NSX for vSphere ポリシーが有効になると、クラウド管理者はさまざまな状況に対応できます。

  1. クラウド管理者は、さまざまな方法で標準セキュリティ グループの作成を禁止することができます。

    • デフォルトのセキュリティ グループのみが存在する場合、このデフォルトのセキュリティ グループにはデフォルト ポリシーが関連付けられます。テナントの仮想マシンには、デフォルト ポリシーで定義されたルールが適用されます。

    • クラウド管理者が異なるポリシーを含むセキュリティ グループを作成した場合、テナントの仮想マシンには、デフォルトのセキュリティ グループではなく、このセキュリティ グループを関連付けることができます。有効になるのは、現在のポリシーで定義されたルールのみです。

    • プロバイダ セキュリティ グループが存在する場合、テナントの仮想マシンには、ポリシー ルールに加えて、プロバイダ セキュリティ グループで定義されたルールも適用されます。

  2. クラウド管理者は、さまざまな方法で標準セキュリティ グループの作成を許可することができます。

    • ユーザー定義の標準セキュリティ グループを使用して起動された仮想マシンには、これらのセキュリティ グループ内で定義されたルールのみが適用されます。

    • プロバイダ セキュリティ グループが存在する場合、テナントの仮想マシンには、標準セキュリティ グループ内のルールに加えて、プロバイダ セキュリティ グループで定義されたルールも適用されます。この場合は、標準セキュリティ グループのルールよりもプロバイダ セキュリティ グループのルールの方が優先します。同様に、標準セキュリティ グループと一緒にポリシーベースのセキュリティ グループを使用する場合は、ポリシーベースのルールの方が優先します。

    • 1 つのポリシーまたは複数のルールを含むセキュリティ グループを作成できますが、両方を含むセキュリティ グループは作成できません。

CLI コマンドを使用した NSX サービス コンポーザ - セキュリティ ポリシー セキュリティ グループの管理

クラウド管理者は Integrated OpenStack Manager を介して CLI コマンドを使用することにより、セキュリティ グループ ポリシーの関連付けを変更できます。

アクション

コマンドの例

セキュリティ グループに関連付けられたポリシーを変更します。

neutron security-group-update --policy=<NSX_Policy_ID> <SECURITY_GROUP_ID>

nsxadmin ユーティリティを使用して、既存のセキュリティ グループをポリシーベースのセキュリティ グループに移行します。

注:

このアクションを行うと、ユーザーが定義した既存のルールが削除されます。ネットワーク中断を回避するため、適切なルールがポリシー内にあることを確認してください。

nsxadmin -r security-groups -o migrate-to-policy --property policy-id=<NSX_Policy_ID> --property security-group-id=<SECURITY_GROUP_ID>

既存の仮想マシンのポートにプロバイダ セキュリティ グループを適用します。

neutron port-update <PORT_ID> --provider-security-groups list=true <SECURITY_GROUP_ID1> <SECURITY_GROUP_ID2>

nsxadmin ユーティリティを使用して、NSX 側で作成された新しいポリシーが、すべての OpenStack セキュリティ グループ セクションの前に配置されていることを確認します。

注:

仮想マシン/ポートに複数のポリシーベース セキュリティ グループが適用されている場合、NSX 管理者はファイアウォール セクションを使用して、ポリシー ルールが適用される順番を制御します。

sudo -u neutron nsxadmin --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/vmware/nsxv.ini -r firewall-sections -o nsx-reorder