Neutron セキュリティ グループを通して NSX Data Center for vSphere セキュリティ ポリシーを適用できます。この機能を使用して、サード パーティのネットワーク サービスを挿入することもできます。

プロバイダ セキュリティ グループおよび標準セキュリティ グループはいずれも NSX Data Center for vSphere セキュリティ ポリシーを使用できます。ルール ベースのプロバイダ セキュリティ グループおよび標準セキュリティ グループを、セキュリティ ポリシー ベースのセキュリティ グループと併用することもできます。ただし、セキュリティ ポリシーに関連付けられているセキュリティ グループにルールも含めることはできません。

セキュリティ ポリシーはどのセキュリティ グループ ルールよりも優先されます。複数のセキュリティ ポリシーがポートに適用されている場合、ポリシーが適用される順番は NSX Data Center for vSphere によって決まります。この順番は、vSphere Client[セキュリティ] > [ファイアウォール] ページの [ネットワークとセキュリティ] で変更できます。

前提条件

NSX Data Center for vSphere で目的のセキュリティ ポリシーを作成します。『NSX 管理ガイド』の「セキュリティ ポリシーの作成」を参照してください。

手順

  1. Integrated OpenStack Managerroot ユーザーとしてログインします。
    ssh root@mgmt-server-ip
  2. Neutron の構成を変更します。
    viocli update neutron
  3. nsxv セクションで、use_nsx_policies パラメータ、default_policy_id パラメータ、および allow_tenant_rules_with_policy パラメータを追加して、それらを構成します。
    オプション 説明

    use_nsx_policies

    true と入力します。

    default_policy_id

    新しいプロジェクトのデフォルト セキュリティ グループに関連付ける NSX Data Center for vSphere セキュリティ ポリシーの ID を入力します。セキュリティ ポリシーをデフォルトで使用しない場合は、このパラメータをコメント アウトしたまま残すことができます。

    セキュリティ ポリシーの ID を確認するには、vSphere Client にログインし、[メニュー] > [ネットワークおよびセキュリティ] の順に選択します。[Service Composer] をクリックして、[セキュリティ ポリシー] タブを開きます。表の左下にある [列の表示] アイコンをクリックします。[オブジェクト ID] を選択して、[OK] をクリックします。テーブルに、各セキュリティ ポリシーの ID が表示されます。

    allow_tenant_rules_with_policy

    セキュリティ グループおよびルールの作成をテナントに許可するには true、セキュリティ グループまたはルールの作成をテナントに禁止するには false を入力します。

    構成ファイルは次のようになります。

    conf:
      [...]
      plugins:
        nsx:
          [...]
          nsxv:
            use_nsx_policies: true
            default_policy_id: policy-5
            allow_tenant_rules_with_policy: true
    
  4. セキュリティ ポリシーと共に追加のセキュリティ グループを使用する場合は、次の手順を実行できます。
    • NSX Data Center for vSphere のセキュリティ ポリシーを新しいセキュリティ グループに関連付けるには、グループ作成時に目的のポリシーを指定します。
      toolbox
      export OS_PASSWORD=admin-account-password
      neutron security-group-create security-group-name --tenant-id tenant-uuid --policy=policy-id
    • 既存のセキュリティ グループをセキュリティ ポリシーベース グループに移行するには、Neutron サーバから次のコマンドを実行します。
      kubectl -n openstack exec -it neutron-server-pod-name -- /bin/bash
      nsxadmin -r security-groups -o migrate-to-policy --property policy-id=policy-id --property security-group-id=security-group-uuid
      注: このコマンドは、指定したセキュリティ グループからすべてのルールを削除します。ネットワーク接続が中断されないようにターゲット ポリシーが構成されていることを確認します。
  5. セキュリティ グループ上で NSX Data Center for vSphere セキュリティ ポリシーを優先するように Neutron を構成します。
    kubectl -n openstack exec -it neutron-server-pod-name -- /bin/bash
    sudo -u neutron nsxadmin --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/vmware/nsx.ini -r firewall-sections -o nsx-reorder