OpenStack での NSX Data Center for vSphere セキュリティポリシーの使用

Neutron セキュリティグループを通して NSX Data Center for vSphere セキュリティポリシーを適用できます。この機能を使用して、サードパーティのネットワークサービスを挿入することもできます。

プロバイダセキュリティグループおよび標準セキュリティグループはいずれも NSX Data Center for vSphere セキュリティポリシーを使用できます。ルールベースのプロバイダセキュリティグループおよび標準セキュリティグループを、セキュリティポリシーベースのセキュリティグループと併用することもできます。ただし、セキュリティポリシーに関連付けられているセキュリティグループにルールも含めることはできません。

セキュリティポリシーはどのセキュリティグループルールよりも優先されます。複数のセキュリティポリシーがポートに適用されている場合、ポリシーが適用される順番は NSX Data Center for vSphere によって決まります。この順番は、vSphere Web Client の [セキュリティ] > [ファイアウォール] ページの [ネットワークとセキュリティ] で変更できます。

前提条件

NSX Data Center for vSphere で目的のセキュリティポリシーを作成します。『NSX 管理ガイド』のセキュリティポリシーの作成を参照してください。

手順

OpenStack 管理サーバに viouser としてログインします。
デプロイで custom.yml ファイルを使用していない場合は、テンプレート custom.yml ファイルを /opt/vmware/vio/custom ディレクトリにコピーします。
```
sudo mkdir -p /opt/vmware/vio/custom
sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
```
テキストエディタで /opt/vmware/vio/custom/custom.yml ファイルを開きます。

nsxv_use_nsx_policies、nsxv_default_policy_id、および nsxv_allow_tenant_rules_with_policy パラメータのコメントを解除して設定します。

オプション	説明
nsxv_use_nsx_policies	`true` と入力します。
nsxv_default_policy_id	新しいプロジェクトのデフォルトセキュリティグループに関連付ける NSX Data Center for vSphere セキュリティポリシーの ID を入力します。セキュリティポリシーをデフォルトで使用しない場合は、このパラメータをコメントアウトしたまま残すことができます。セキュリティポリシーの ID を特定するには、[ホーム] > [ネットワークとセキュリティ] の順に選択して、[Service Composer] をクリックします。[セキュリティポリシー] タブを開いて、テーブルの左下にある [列の表示] アイコンをクリックします。[オブジェクト ID] を選択して、[OK] をクリックします。テーブルに、各セキュリティポリシーの ID が表示されます。
nsxv_allow_tenant_rules_with_policy	セキュリティグループおよびルールの作成をテナントに許可するには `true`、セキュリティグループまたはルールの作成をテナントに禁止するには `false` を入力します。

オプション

説明

nsxv_use_nsx_policies

true と入力します。

nsxv_default_policy_id

新しいプロジェクトのデフォルトセキュリティグループに関連付ける NSX Data Center for vSphere セキュリティポリシーの ID を入力します。セキュリティポリシーをデフォルトで使用しない場合は、このパラメータをコメントアウトしたまま残すことができます。

セキュリティポリシーの ID を特定するには、[ホーム] > [ネットワークとセキュリティ] の順に選択して、[Service Composer] をクリックします。[セキュリティポリシー] タブを開いて、テーブルの左下にある [列の表示] アイコンをクリックします。[オブジェクト ID] を選択して、[OK] をクリックします。テーブルに、各セキュリティポリシーの ID が表示されます。

nsxv_allow_tenant_rules_with_policy

セキュリティグループおよびルールの作成をテナントに許可するには true、セキュリティグループまたはルールの作成をテナントに禁止するには false を入力します。

更新された設定をデプロイします。
```
sudo viocli deployment configure
```
設定をデプロイすると、OpenStack サービスが一時的に中断されます。
コントローラノードに viouser としてログインします。
root ユーザーに切り替えて、クラウド管理者の認証情報ファイルをロードします。
```
sudo su -
source ~/cloudadmin.rc
```
セキュリティポリシーと共に追加のセキュリティグループを使用する場合は、次の手順を実行できます。
- NSX Data Center for vSphere セキュリティポリシーを新しいセキュリティグループに関連付けるには、グループを作成し、目的のポリシーを使用して更新します。
```
neutron security-group-create security-group-name --tenant-id tenant-uuid
neutron security-group-update --policy=policy-id security-group-uuid
```
- 既存のセキュリティグループをセキュリティポリシーベースグループに移行するには、次のコマンドを実行します。
```
sudo -u neutron nsxadmin -r security-groups -o migrate-to-policy --property policy-id=policy-id --property security-group-id=security-group-uuid
```
  注：
  このコマンドは、指定したセキュリティグループからすべてのルールを削除します。ネットワーク接続が中断されないようにターゲットポリシーが設定されていることを確認します。

セキュリティグループ上で NSX Data Center for vSphere セキュリティポリシーを優先するように Neutron を設定します。

sudo -u neutron nsxadmin --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/vmware/nsxv.ini -r firewall-sections -o nsx-reorder