此功能將透過 OpenStack 安全群組,實現從 OpenStack 雲端管理平台耗用 VMware NSX for vSphere 原則。NSX 管理員可定義由 OpenStack 雲端管理員與雲端使用者共用的安全性原則。如果雲端管理員啟用了一般安全群組,則雲端使用者也可定義其自己的安全群組及規則。雲端管理員也可使用此功能插入協力廠商網路服務。
從 VMware Integrated OpenStack 3.1 開始,Neutron 安全群組可讓管理員使用兩項新功能。
OpenStack 雲端管理員可透過設定 custom.yml 檔案中的 nsxv_default_policy_id
選項,將每個 VMware NSX for vSphere 原則定義為預設原則。所有新承租人均會將此原則做為其預設原則。可透過將更多原則分別與提供者或選擇性安全群組進行關聯,進而為指定承租人將其定義或指派為強制性或選擇性原則。承租人使用者也可以建立安全群組及規則,但他們無法覆寫雲端管理員所設定的安全群組。
啟用 VMware NSX for vSphere 原則之後,雲端管理員可設定不同的案例。
雲端管理員可禁止建立含不同選項的一般安全群組。
僅當存在預設安全群組時,此預設安全群組才會與預設原則相關聯。會透過預設原則中的規則強制執行承租人虛擬機器。
如果雲端管理員建立了含不同原則的安全群組,則承租人虛擬機器可以與這個安全群組 (而非預設安全群組) 相關聯,並且只有在目前原則中定義的規則才會生效。
如果已存在提供者安全群組,則除了原則規則之外,亦會透過於提供者安全群組中定義之規則,來強制執行承租人虛擬機器。
雲端管理員可允許建立含不同選項的一般安全群組。
僅會透過於這些安全群組中定義的規則,來強制執行藉由使用者定義之一般安全群組啟動的虛擬機器。
如果已存在提供者安全群組,則除了一般安全群組中的規則之外,亦會透過於提供者安全群組中定義之規則,來強制執行承租人虛擬機器。在這種情況下,提供者安全群組規則優先於一般安全群組規則。相似地,如果將原則式安全群組與一般安全群組搭配使用,則原則式規則優先。
您可以讓安全群組具有原則或規則,但無法二者兼具。
透過 CLI 命令管理 NSX Service Composer - 安全性原則
雲端管理員也可透過 Integrated OpenStack Manager 使用 CLI 命令變更安全群組原則的關聯性。
動作 |
命令範例 |
---|---|
為安全群組變更相關聯的原則。 |
|
使用
備註︰
此動作會刪除使用者所定義的現有規則。確保在原則中具有適當的規則以避免網路中斷。 |
|
對現有虛擬機器連接埠強制執行提供者安全群組。 |
|
確保已透過使用
備註︰
對虛擬機器/連接埠上強制執行多個原則式安全群組時,強制執行之原則規則的順序將會由 NSX 管理員透過防火牆區段控制。 |
|