此功能將透過 OpenStack 安全群組,實現從 OpenStack 雲端管理平台耗用 VMware NSX for vSphere 原則。NSX 管理員可定義由 OpenStack 雲端管理員與雲端使用者共用的安全性原則。如果雲端管理員啟用了一般安全群組,則雲端使用者也可定義其自己的安全群組及規則。雲端管理員也可使用此功能插入協力廠商網路服務。

VMware Integrated OpenStack 3.1 開始,Neutron 安全群組可讓管理員使用兩項新功能。
提供者安全群組
亦稱為管理員規則,已設定時這些安全群組具有強制性,且會套用至指定承租人的所有虛擬機器。提供者安全群組可以與原則相關聯,也可獨立於原則存在。
NSX Service Composer - 安全性原則安全群組
如需詳細資訊,請參閱 VMware NSX for vSphere 管理指南》中的 〈Service Composer〉一章。
OpenStack 雲端管理員可透過設定 custom.yml 檔案中的 nsxv_default_policy_id 選項,將每個 VMware NSX for vSphere 原則定義為預設原則。所有新承租人均會將此原則做為其預設原則。可透過將更多原則分別與提供者或選擇性安全群組進行關聯,進而為指定承租人將其定義或指派為強制性或選擇性原則。承租人使用者也可以建立安全群組及規則,但他們無法覆寫雲端管理員所設定的安全群組。
啟用 VMware NSX for vSphere 原則之後,雲端管理員可設定不同的案例。
  1. 雲端管理員可禁止建立含不同選項的一般安全群組。
    • 僅當存在預設安全群組時,此預設安全群組才會與預設原則相關聯。會透過預設原則中的規則強制執行承租人虛擬機器。
    • 如果雲端管理員建立了含不同原則的安全群組,則承租人虛擬機器可以與這個安全群組 (而非預設安全群組) 相關聯,並且只有在目前原則中定義的規則才會生效。
    • 如果已存在提供者安全群組,則除了原則規則之外,亦會透過於提供者安全群組中定義之規則,來強制執行承租人虛擬機器。
  2. 雲端管理員可允許建立含不同選項的一般安全群組。
    • 僅會透過於這些安全群組中定義的規則,來強制執行藉由使用者定義之一般安全群組啟動的虛擬機器。
    • 如果已存在提供者安全群組,則除了一般安全群組中的規則之外,亦會透過於提供者安全群組中定義之規則,來強制執行承租人虛擬機器。在這種情況下,提供者安全群組規則優先於一般安全群組規則。相似地,如果將原則式安全群組與一般安全群組搭配使用,則原則式規則優先。
    • 您可以讓安全群組具有原則或規則,但無法二者兼具。

透過 CLI 命令管理 NSX Service Composer - 安全性原則

雲端管理員也可透過 Integrated OpenStack Manager 使用 CLI 命令變更安全群組原則的關聯性。
動作 命令範例
為安全群組變更相關聯的原則。 neutron security-group-update --policy=<NSX_Policy_ID> <SECURITY_GROUP_ID>
使用 nsxadmin 公用程式將現有安全群組移轉到原則式安全群組。
備註: 此動作會刪除使用者所定義的現有規則。確保在原則中具有適當的規則以避免網路中斷。
nsxadmin -r security-groups -o migrate-to-policy --property policy-id=<NSX_Policy_ID> --property security-group-id=<SECURITY_GROUP_ID>
對現有虛擬機器連接埠強制執行提供者安全群組。 neutron port-update <PORT_ID> --provider-security-groups list=true <SECURITY_GROUP_ID1> <SECURITY_GROUP_ID2>
確保已透過使用 nsxadmin 公用程式將 NSX 端所建立的新原則放置到所有 OpenStack 安全群組區段之前。
備註: 對虛擬機器/連接埠上強制執行多個原則式安全群組時,強制執行之原則規則的順序將會由 NSX 管理員透過防火牆區段控制。
sudo -u neutron nsxadmin --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/vmware/nsxv.ini -r firewall-sections -o nsx-reorder