NSX ポリシーを使用すると、ルールの仕組みを気にせずに、仮想マシン、論理ポート、IP アドレス、MAC アドレスなどのオブジェクトのルールを指定できます。NSX Manager ではなく、NSX Policy Manager からポリシーを管理します。

ポリシーを設定する前に、NSX Policy Manager をインストールする必要があります。詳細については、『NSX-T インストール ガイド』を参照してください。NSX Policy Manager では、1 つ以上の適用ポイントを追加し、ポリシーが適用される NSX Manager に関する情報を提供する必要があります。

次の例は、ポリシーを使用してアプリケーションのネットワークを管理する方法を示しています。

アプリケーションには 3 つの層(Web、アプリケーション、データベース)があり、アプリケーションの仮想マシンに次のルールを適用する必要があります。
  • Web 層とアプリケーション層間のトラフィックを許可する。
  • アプリケーション層とデータベース層間のトラフィックを許可する。
  • 任意のシステムと Web 層間のトラフィックを許可する。
NSX Manager で、次の手順を実行します。
  • Web 仮想マシンのワークロード名を、Web の後に識別文字列を続けて設定します。
  • アプリケーション仮想マシンのワークロード名を、App の後に識別文字列を続けて設定します。
  • データベース仮想マシンのワークロード名を、DB の後に識別文字列を続けて設定します。
NSX Policy Manager で、次の手順を実行します。
  • ドメインを作成し、以下を指定します。
    • ワークロード名が Web で始まる仮想マシンで構成される WebGroup というグループを作成する。
    • ワークロード名が App で始まる仮想マシンで構成される AppGroup というグループを作成する。
    • ワークロード名が DB で始まる仮想マシンで構成される DBGroup というグループを作成する。
    • グループの間の通信を制御するセキュリティ ポリシーを指定する。
  • ドメイン設定を確認して、エラーがないことを確認します。
  • 適用ポイントを選択します。

適用ポイントを選択すると、NSX Policy Manager は、適用ポイントで、セキュリティ ポリシーを実装する NSX Manager と通信します。

ロールベースのアクセス コントロール

NSX Policy Manager には、adminaudit という 2 つの組み込みユーザーが用意されています。NSX Policy Manager と VMware Identity Manager (vIDM) を統合して、vIDM が管理するユーザーにロールベースのアクセス コントロール (RBAC) を設定できます。

vIDM によって管理されるユーザーに適用される認証ポリシーは、vIDM 管理者によって設定されたポリシーです。admin および audit ユーザーにのみ適用される NSX Policy Manager の認証ポリシーではありません。