Neutron 보안 그룹을 통해 NSX Data Center for vSphere 보안 정책을 적용할 수 있습니다. 이 기능은 타사 네트워크 서비스를 삽입하는 데도 사용할 수 있습니다.

제공자 보안 그룹과 표준 보안 그룹은 모두 NSX Data Center for vSphere 보안 정책을 사용할 수 있습니다. 규칙 기반 제공자 및 표준 보안 그룹도 보안 정책 기반 보안 그룹과 함께 사용될 수 있습니다. 하지만 보안 정책과 연결된 보안 그룹도 규칙을 포함할 수 없습니다.

보안 정책은 모든 보안 그룹 규칙보다 우선합니다. 2개 이상의 보안 정책이 포트에 적용되는 경우 정책이 적용되는 순서는 NSX Data Center for vSphere에 의해 결정됩니다. vSphere Client에서 네트워킹 및 보안 아래의 보안 > 방화벽 페이지에서 순서를 변경할 수 있습니다.

사전 요구 사항

NSX Data Center for vSphere에서 원하는 보안 정책을 생성합니다. "NSX 관리 가이드" 에서 "보안 정책 생성"을 참조하십시오.

프로시저

  1. Integrated OpenStack Managerroot 사용자로 로그인합니다.
    ssh root@mgmt-server-ip
  2. Neutron 구성을 수정합니다.
    viocli update neutron
  3. nsxv 섹션에서 use_nsx_policies, default_policy_idallow_tenant_rules_with_policy 매개 변수를 추가하고 구성합니다.
    옵션 설명

    use_nsx_policies

    true를 입력합니다.

    default_policy_id

    새 프로젝트에 대한 기본 보안 그룹과 연결할 NSX Data Center for vSphere 보안 정책의 ID를 입력합니다. 기본적으로 보안 정책을 사용하지 않으려면 이 매개 변수를 주석 처리된 상태로 둡니다.

    보안 정책의 ID를 찾으려면 vSphere Client에 로그인하고 메뉴 > 네트워킹 및 보안을 선택합니다. Service Composer를 클릭하고 보안 정책 탭을 엽니다. 테이블의 왼쪽 아래에 있는 열 표시 아이콘을 클릭합니다. 개체 ID를 선택하고 확인을 클릭합니다. 각 보안 정책의 ID가 테이블에 표시됩니다.

    allow_tenant_rules_with_policy

    true를 입력하여 테넌트가 보안 그룹 및 규칙을 생성하도록 허용하거나 false를 입력하여 테넌트가 보안 그룹 또는 규칙을 생성하지 못하도록 방지합니다.

    이제 구성 파일이 다음과 유사합니다.

    conf:
      [...]
      plugins:
        nsx:
          [...]
          nsxv:
            use_nsx_policies: true
            default_policy_id: policy-5
            allow_tenant_rules_with_policy: true
    
  4. 보안 정책과 함께 추가 보안 그룹을 사용하려면 다음과 같은 단계를 수행합니다.
    • NSX Data Center for vSphere 보안 정책을 새 보안 그룹과 연결하려면 그룹을 생성할 때 원하는 정책을 지정합니다.
      toolbox
      export OS_PASSWORD=admin-account-password
      neutron security-group-create security-group-name --tenant-id tenant-uuid --policy=policy-id
    • 기존 보안 그룹을 보안 정책 기반 그룹으로 마이그레이션하려면 Neutron 서버에서 다음 명령을 실행합니다.
      kubectl -n openstack exec -it neutron-server-pod-name -- /bin/bash
      nsxadmin -r security-groups -o migrate-to-policy --property policy-id=policy-id --property security-group-id=security-group-uuid
      참고: 이 명령은 지정된 보안 그룹에서 모든 규칙을 제거합니다. 대상 정책이 구성되어 있어 네트워크 연결이 중단되지 않는지 확인합니다.
  5. Neutron을 구성하여 보안 그룹에 대해 NSX Data Center for vSphere 보안 정책의 우선 순위를 지정합니다.
    kubectl -n openstack exec -it neutron-server-pod-name -- /bin/bash
    sudo -u neutron nsxadmin --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/vmware/nsx.ini -r firewall-sections -o nsx-reorder