NSX-V セキュリティポリシー

Neutron セキュリティグループを通して NSX Data Center for vSphere セキュリティポリシーを適用できます。この機能を使用して、サードパーティのネットワークサービスを挿入することもできます。

プロバイダセキュリティグループおよび標準セキュリティグループはいずれも NSX Data Center for vSphere セキュリティポリシーを使用できます。ルールベースのプロバイダセキュリティグループおよび標準セキュリティグループを、セキュリティポリシーベースのセキュリティグループと併用することもできます。ただし、セキュリティポリシーに関連付けられているセキュリティグループにルールも含めることはできません。

セキュリティポリシーはどのセキュリティグループルールよりも優先されます。複数のセキュリティポリシーがポートに適用されている場合、ポリシーが適用される順番は NSX Data Center for vSphere によって決まります。この順番は、vSphere Client の [セキュリティ] > [ファイアウォール] ページの [ネットワークとセキュリティ] で変更できます。

前提条件

NSX Data Center for vSphere で目的のセキュリティポリシーを作成します。『NSX 管理ガイド』のセキュリティポリシーの作成を参照してください。

手順

Integrated OpenStack Manager に root ユーザーとしてログインします。
```
ssh root@mgmt-server-ip
```
Neutron の構成を変更します。
```
viocli update neutron
```

nsxv セクションで、use_nsx_policies パラメータ、default_policy_id パラメータ、および allow_tenant_rules_with_policy パラメータを追加して、それらを構成します。

オプション	説明
use_nsx_policies	`true` と入力します。
default_policy_id	新しいプロジェクトのデフォルトセキュリティグループに関連付ける NSX Data Center for vSphere セキュリティポリシーの ID を入力します。セキュリティポリシーをデフォルトで使用しない場合は、このパラメータをコメントアウトしたまま残すことができます。セキュリティポリシーの ID を確認するには、vSphere Client にログインし、[メニュー] > [ネットワークおよびセキュリティ] の順に選択します。[Service Composer] をクリックして、[セキュリティポリシー] タブを開きます。表の左下にある [列の表示] アイコンをクリックします。[オブジェクト ID] を選択して、[OK] をクリックします。テーブルに、各セキュリティポリシーの ID が表示されます。
allow_tenant_rules_with_policy	セキュリティグループおよびルールの作成をテナントに許可するには `true`、セキュリティグループまたはルールの作成をテナントに禁止するには `false` を入力します。

オプション

説明

use_nsx_policies

true と入力します。

default_policy_id

新しいプロジェクトのデフォルトセキュリティグループに関連付ける NSX Data Center for vSphere セキュリティポリシーの ID を入力します。セキュリティポリシーをデフォルトで使用しない場合は、このパラメータをコメントアウトしたまま残すことができます。

セキュリティポリシーの ID を確認するには、vSphere Client にログインし、[メニュー] > [ネットワークおよびセキュリティ] の順に選択します。[Service Composer] をクリックして、[セキュリティポリシー] タブを開きます。表の左下にある [列の表示] アイコンをクリックします。[オブジェクト ID] を選択して、[OK] をクリックします。テーブルに、各セキュリティポリシーの ID が表示されます。

allow_tenant_rules_with_policy

セキュリティグループおよびルールの作成をテナントに許可するには true、セキュリティグループまたはルールの作成をテナントに禁止するには false を入力します。

構成ファイルは次のようになります。

conf:
  [...]
  plugins:
    nsx:
      [...]
      nsxv:
        use_nsx_policies: true
        default_policy_id: policy-5
        allow_tenant_rules_with_policy: true

セキュリティポリシーと共に追加のセキュリティグループを使用する場合は、次の手順を実行できます。
- NSX Data Center for vSphere のセキュリティポリシーを新しいセキュリティグループに関連付けるには、グループ作成時に目的のポリシーを指定します。
```
toolbox
export OS_PASSWORD=admin-account-password
neutron security-group-create security-group-name --tenant-id tenant-uuid --policy=policy-id
```
- 既存のセキュリティグループをセキュリティポリシーベースグループに移行するには、Neutron サーバから次のコマンドを実行します。
```
kubectl -n openstack exec -it neutron-server-pod-name -- /bin/bash
nsxadmin -r security-groups -o migrate-to-policy --property policy-id=policy-id --property security-group-id=security-group-uuid
```
  注：このコマンドは、指定したセキュリティグループからすべてのルールを削除します。ネットワーク接続が中断されないようにターゲットポリシーが構成されていることを確認します。

セキュリティグループ上で NSX Data Center for vSphere セキュリティポリシーを優先するように Neutron を構成します。

kubectl -n openstack exec -it neutron-server-pod-name -- /bin/bash
sudo -u neutron nsxadmin --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/vmware/nsx.ini -r firewall-sections -o nsx-reorder