您可以透過 Neutron 安全群組強制執行 NSX Data Center for vSphere 安全性原則。也可使用此功能插入第三方網路服務。

提供者安全群組和標準安全群組均可使用 NSX Data Center for vSphere 安全性原則。以規則為基礎的提供者安全群組和標準安全群組也可以與以安全性原則為基礎的安全群組搭配使用。但是，與安全性原則相關聯的安全群組不可同時包含規則。

安全性原則優先於所有安全群組規則。如果在連接埠上強制執行多個安全性原則，則強制執行原則的順序由 NSX Data Center for vSphere 決定。您可以在 vSphere Client 中的安全性 > 防火牆頁面的網路和安全性下變更順序。

1. 以 viouser 身分登入 OpenStack 管理伺服器。
2. 如果您的部署未使用 custom.yml 檔案，請將範本 custom.yml 檔案複製到 /opt/vmware/vio/custom 目錄。

   sudo mkdir -p /opt/vmware/vio/custom
   sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml

3. 在文字編輯器中開啟 /opt/vmware/vio/custom/custom.yml 檔案。
4. 取消 nsxv_use_nsx_policies、nsxv_default_policy_id 和 nsxv_allow_tenant_rules_with_policy 參數的註解，並對其進行設定。

   選項	說明
   nsxv_use_nsx_policies	輸入 true。
   nsxv_default_policy_id	輸入要與新專案的預設安全群組相關聯的 NSX Data Center for vSphere 安全性原則的識別碼。如果不想預設使用安全性原則，則可以將此參數保持已排除註解。 若要尋找安全性原則的識別碼，請選取功能表 > 網路與安全性，然後按一下 Service Composer。開啟安全性原則索引標籤，然後按一下資料表左下方的顯示資料行圖示。選取物件識別碼，然後按一下確定。每個安全性原則的識別碼都將顯示在資料表中。
   nsxv_allow_tenant_rules_with_policy	輸入 true 以允許承租人建立安全群組和規則，或輸入 false 以防止承租人建立安全群組或規則。

5. 部署已更新的組態。

   sudo viocli deployment configure

   部署組態會暫時中斷 OpenStack 服務。

6. 以 viouser 身分登入控制器節點。
7. 切換至 root 使用者，然後載入雲端管理員認證檔案。

   sudo su -
   source ~/cloudadmin.rc

8. 如果您要將其他安全群組與安全性原則搭配使用，則可以執行下列步驟：

   • 若要將 NSX Data Center for vSphere 安全性原則與新安全群組相關聯，請建立此群組，並使用所需原則進行更新：

     neutron security-group-create security-group-name --tenant-id tenant-uuid
     neutron security-group-update --policy=policy-id security-group-uuid

   • 若要將現有安全群組移轉到以安全性原則為基礎的群組，請執行下列命令：

     sudo -u neutron nsxadmin -r security-groups -o migrate-to-policy --property policy-id=policy-id --property security-group-id=security-group-uuid

     備註：

     此命令會從指定的安全群組中移除所有規則。請確保設定目標原則，以便網路連線不會中斷。

9. 設定 Neutron 以使 NSX Data Center for vSphere 安全性原則的優先順序高於安全群組。

   sudo -u neutron nsxadmin --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/vmware/nsxv.ini -r firewall-sections -o nsx-reorder