透過 NSX 原則,您可以指定虛擬機器、邏輯連接埠、IP 位址和 MAC 位址等物件的規則,且無需擔心規則機制。您可以從 NSX Policy Manager 而非 NSX Manager 管理原則。

設定原則之前,您必須安裝 NSX Policy Manager。如需詳細資訊,請參閱《NSX-T 安裝指南》。在 NSX Policy Manager 中,還必須新增一或多個強制執行點,以提供將套用原則之 NSX Manager 的相關資訊。

下列範例說明如何使用原則來管理應用程式的網路。

應用程式具有三個階層 (Web、應用程式和資料庫),您希望下列規則套用至應用程式的虛擬機器:
  • 允許 Web 層和應用程式層之間的流量。
  • 允許應用程式層和資料庫層之間的流量。
  • 允許任何系統和 Web 層之間的流量。
在 NSX Manager 上執行下列步驟:
  • 將 Web 虛擬機器的工作負載名稱設定為 Web,後面跟隨一些識別字串。
  • 將應用程式虛擬機器的工作負載名稱設定為 App,後面跟隨一些識別字串。
  • 將資料庫虛擬機器的工作負載名稱設定為 DB,後面跟隨一些識別字串。
在 NSX Policy Manager 上執行下列步驟:
  • 建立網域並指定下列項目:
    • 建立名為 WebGroup 的群組,此群組由工作負載名稱開頭為 Web 的虛擬機器組成。
    • 建立名為 AppGroup 的群組,此群組由工作負載名稱開頭為 App 的虛擬機器組成。
    • 建立名為 DBGroup 的群組,此群組由工作負載名稱開頭為 DB 的虛擬機器組成。
    • 指定用於控制群組間通訊的安全性原則。
  • 驗證網域組態,以確保沒有任何錯誤。
  • 選取強制執行點。

在您選取強制執行點之後,NSX Policy Manager 便會與強制執行點上的 NSX Manager 通訊,這將實作安全性原則。

角色型存取控制

NSX Policy Manager 有兩個內建使用者:adminaudit。您可以將 NSX Policy Manager 與 VMware Identity Manager (vIDM) 整合,並針對 vIDM 所管理的使用者設定角色型存取控制 (RBAC)。

對於 vIDM 管理的使用者,適用的驗證原則是 vIDM 管理員設定的原則,而非僅適用於使用者 adminaudit 的 NSX Policy Manager 驗證原則。