您可以針對原生雲端強制執行模式中的工作負載虛擬機器設定 NSX Manager 中的安全性原則。

NSX-T Data Center 3.0 開始,您可以從不同帳戶或訂閱,在 VPC/VNet 中建立安全性原則和規則。
備註: DFW 規則取決於指派給虛擬機器的標籤。由於這些標籤可由具有適當公有雲權限的任何人修改,因此 NSX-T Data Center 會假設此類使用者可信賴,且公有雲網路系統管理員需負責確保和稽核虛擬機器在任何時間都已正確標記。

必要條件

確認您在原生雲端強制執行模式中有傳送或計算 VPC/VNet。

程序

  1. NSX Manager 中,編輯或建立工作負載虛擬機器的群組,例如以 web、app、db 開頭的虛擬機器名稱可能是三個單獨的群組。如需指示,請參閱新增群組。另請參閱使用 NSX-T Data Center 和公有雲標記分組虛擬機器,以取得關於使用公有雲標籤為工作負載虛擬機器建立群組的資訊。

    符合準則的工作負載虛擬機器會新增至群組。不符合任何群組準則的虛擬機器會放置在 default 安全群組中 (AWS) 以及 default-vnet-<vnet-ID>-sg 網路安全群組中 (Microsoft Azure)。

    備註: 您無法使用由 NSX Cloud 自動建立的群組。
  2. NSX Manager 中,輸入來源目的地套用至欄位,建立具有這些群組的分散式防火牆 (DFW) 規則。如需指示,請參閱新增分散式防火牆
    備註: 公有雲工作負載虛擬機器僅支援可設定狀態的原則。無狀態原則可在 NSX Manager 中建立,但不會與任何包含公有雲工作負載虛擬機器的群組進行比對。

    原生雲端強制執行模式中工作負載虛擬機器的 DFW 規則不支援 L7 內容設定檔。

  3. CSM 中,從「使用者管理」清單中移除要置於 NSX 管理下的虛擬機器。如需指示,請參閱如何使用使用者管理清單
    備註: 將虛擬機器新增至「使用者管理」清單是一個手動步驟,強烈建議您在 CSM 中新增公有雲詳細目錄後,隨即在 0 天工作流程中進行此步驟。如果您尚未將任何虛擬機器新增至「使用者管理」清單,則不需要將其從中移除。
  4. 對於在公有雲中找到相符項目的群組和 DFW 規則,系統會自動執行下列動作:
    1. 在 AWS 中,NSX Cloud 會建立名稱類似於 nsx-<NSX GUID> 的新安全群組。
    2. 在 Microsoft Azure 中,NSX Cloud 會建立與在 NSX Manager 中所建立群組相對應的應用程式安全群組 (ASG),以及與分組工作負載虛擬機器相符之 DFW 規則對應的網路安全群組 (NSG)。
      NSX Cloud 每 30 秒會執行一次 NSX Manager 與公有雲群組和 DFW 規則的同步。
  5. CSM 中重新同步您的公有雲帳戶:
    1. 登入 CSM 並移至您的公有雲帳戶。
    2. 從公有雲帳戶中,按一下動作 > 重新同步帳戶。等待重新同步完成。
    3. 移至 VPC/VNet,然後按一下紅色的錯誤指示器。這會將您導向至執行個體視圖。
    4. 如果在 [網格] 中檢視,請將視圖切換至 [詳細資料],並按一下 [規則實現] 資料行中的失敗,以檢視錯誤 (若有的話)。

後續步驟

請參閱 目前的限制和常見錯誤