Bei einem meiner vergangenen Projekte habe ich an einem Thema gearbeitet, dass auch Daniel Paluszek in seinem Blog Post Security Compliance – Pre-configure your vApp firewall rules inside vCloud Director using NSX DFW (Part 1 of 2) behandelt hat. Allerdings hatte ich im Detail etwas andere Anforderungen, die komplette Konfiguration sollte im vCloud Director User Interface zu sehen sein und die Benennung der virtuellen Maschinen durfte keine Rolle spielen. Somit wurde das Konzept der Dynamic Security Group mit Tag geboren. VMware NSX Security Groups und Security Tags können auch in einer vCloud Director Multi-Mandanten Umgebung problemlos genutzt werden.
Kern-Komponenten dieses Konzepts:
- Eine App-Spezifische, statische NSX Distributed Firewall (DFW) Regel
- Eine Security Group, welche als Quelle oder Ziel in der DFW Regel genutzt wird
- Ein Security Tag, welches das Kriterium für die Security Group darstellt
Am Ende können neue Firewall Regeln durch das Hinzufügen eines Security Tag auf VMs angewendet werden. Security Tags können über das User Interface, die vCloud Director API for NSX oder mit meinem PowerShell Module sehr schnell verwaltet werden (Älterer Blog Post: PowerShell Module for vCloud Director NSX API).
Dieser Artikel wurde in voller Länge nur auf Englisch verfasst – Hier geht es zum vollständigen Artikel.
