Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Funktionen der Sicherheitsrichtlinie

Übersicht der vorhandenen Netzwerkrichtlinien- und Sicherheitsgruppen in Contrail

Virtuelle Netzwerke sind in Contrail standardmäßig isoliert. Netzwerkrichtlinien werden verwendet, um die beiden Netzwerke zu verbinden, wobei Sicherheitsrichtlinien angewendet werden, um detailliertere Regeln zum Zulassen und Verweigern von Regeln für bestimmten Datenverkehr bereitzustellen.

In modernen Cloud-Umgebungen werden Workloads von einem Server zum anderen, von einem Rack zum anderen und so weiter verschoben. Daher müssen sich Benutzer weniger auf die Verwendung von IP-Adressen verlassen, um die zu schützenden Endpunkte zu identifizieren. Stattdessen müssen Benutzer Anwendungsattribute nutzen, um Richtlinien zu erstellen, damit die Richtlinien nicht aufgrund der Workload-Mobilität aktualisiert werden müssen.

Möglicherweise möchten Sie den Datenverkehr nach den verschiedenen Kategorien trennen, z. B.:

  • Name der Anwendung

  • Trennung des Datenverkehrs für bestimmte Komponentenebenen innerhalb der Anwendung

  • Trennung des Datenverkehrs basierend auf der Bereitstellungsumgebung für die Anwendungsinstanz

  • Trennung des Datenverkehrs basierend auf dem spezifischen geografischen Standort, an dem die Anwendung bereitgestellt wird

Darüber hinaus müssen Sie Workloads möglicherweise basierend auf Kombinationen von Tags gruppieren. Diese Absichten lassen sich mit vorhandenen Netzwerkrichtlinienkonstrukten oder Sicherheitsgruppenkonstrukten nur schwer ausdrücken. Außerdem müssen bestehende Richtlinienkonstrukte, die die Netzwerkkoordinaten nutzen, jedes Mal neu geschrieben oder aktualisiert werden, wenn Workloads verschoben werden oder sich ihre IP-Adressen ändern.

Verbesserungen der Sicherheitsrichtlinie

Da die Contrail-Umgebung gewachsen und komplexer geworden ist, ist es schwieriger geworden, mit den vorhandenen Netzwerkrichtlinien- und Sicherheitsgruppenkonstrukten die gewünschten Sicherheitsergebnisse zu erzielen. Die Contrail-Netzwerkrichtlinien wurden an das Routing gebunden, was es schwierig machte, Sicherheitsrichtlinien für Umgebungen auszudrücken, wie z. B. Querschnitte zwischen Kategorien oder eine mehrschichtige Anwendung, die Workloads in Entwicklungs- und Produktionsumgebungen ohne umgebungsübergreifenden Datenverkehr unterstützt.

Beginnend mit Contrail Release 4.1 werden die Einschränkungen der aktuellen Netzwerkrichtlinien- und Sicherheitsgruppenkonstrukte durch die Unterstützung der Entkopplung des Routings von Sicherheitsrichtlinien, Multidimensionen-Segmentierung und Richtlinienportabilität behoben. Diese Version verbessert auch die Benutzertransparenz und die Analysefunktionen für die Sicherheit.

Contrail Release 4.1 führt neue Firewall-Sicherheitsrichtlinienobjekte ein, darunter die folgenden Verbesserungen:

  • Routing und Richtlinienentkopplung: Einführung neuer Firewall-Richtlinienobjekte, die die Richtlinie vom Routing entkoppeln.

  • Multidimensionale Segmentierung: Segmentieren Sie den Datenverkehr und fügen Sie Sicherheitsfunktionen hinzu, basierend auf mehreren Dimensionen von Entitäten, z. B. Anwendung, Ebene, Bereitstellung, Standort, Benutzergruppe usw.

  • Richtlinienportabilität – Sicherheitsrichtlinien können in verschiedene Umgebungen portiert werden, z. B. "von der Entwicklung zur Produktion", "von PCI-Reklamation zur Produktion", "in Bare-Metal-Umgebung" und "in Containerumgebung".

  • Visibilität und Analysen

Verwenden von Tags und Konfigurationsobjekten zur Verbesserung der Sicherheitsrichtlinie

Ab Contrail Release 4.1 werden Tags und Konfigurationsobjekte verwendet, um neue Firewall-Richtlinienobjekte zu erstellen, die Routing- und Netzwerkrichtlinien entkoppeln und so eine Multidimension-Segmentierung und Richtlinienportabilität ermöglichen.

Mit der Multidimension-Datenverkehrssegmentierung können Sie den Datenverkehr basierend auf Dimensionen wie Anwendung, Ebene, Bereitstellung, Standort und Benutzergruppe segmentieren.

Sie können Sicherheitsrichtlinien auch in verschiedene Umgebungen portieren. Die Portabilität von Richtlinien wird durch die Bereitstellung von Übereinstimmungsbedingungen für Tags ermöglicht. Übereinstimmungstags müssen der Richtlinienregel hinzugefügt werden, um Tag-Werte von Quell- und Ziel-Workloads abzugleichen, ohne Tag-Werte zu erwähnen. Damit die Regel beispielsweise wirksam wird, müssen die ‘allow protocol tcp source application-tier=web destination application-tier=application match application and site’ Werte für die Anwendung und den Standort übereinstimmen.

Um ein Tag in der Befehlsbenutzeroberfläche zu erstellen, navigieren Sie zu Security > Tags. Tags können mit einem Projektbereich oder einem globalen Bereich erstellt werden. Weitere Informationen zu Tags finden Sie unter Sicherheitsrichtlinienfeatures. Siehe Abbildung 1.

Abbildung 1: Tag Create Tag erstellen

Ab Contrail Networking Release 21.3 erlaubt die Sicherheitsrichtlinie optionale benutzerdefinierte Tags, mit denen Sie Tag-IDs zusammen mit Tag-Namen definieren können.

Der Bereich der benutzerdefinierten Tag-IDs liegt zwischen 32000 und 64000.

Das Tag-Format ist: Tag-Typ-ID (obere 16 Bit) und Tag-Wert-ID (untere 16 Bit).

  • Benutzerdefinierter Tag-Typbereich: 0x8000 - 0xFFFF

  • Benutzerdefinierter Tag-Wert ID-Bereich: 0x8000 - 0xFFFF

Hinweis:

Das Definieren von benutzerdefinierten Tag-IDs ist optional. Wenn Sie die Tag-ID nicht definieren, generiert das Gerät automatisch eine Tag-ID innerhalb des Bereichs 0x0 – 0x7FFF. Beispiel: Application=Hrapp 0x0001 000.

Vordefinierte Tags

Sie können vordefinierte Tags basierend auf der Umgebung und den Bereitstellungsanforderungen auswählen.

Zu den vordefinierten Tags gehören:

  • Anwendung

  • Anwendungsebene

  • Einsatz

  • Website

  • label (ein spezielles Tag, mit dem der Benutzer Objekte beschriften kann)

Ab Contrail Networking Release 21.3 können Sie einen vordefinierten Tag-Typ mit benutzerdefinierter Tag-Wert-ID erstellen.

Zum Beispiel: Application=FinApp(user def tag value id : 32778) 0x0001 800a

Hinweis:

Sie können nur Dezimalwerte in der Befehlsschnittstelle eingeben. Der Bereich liegt zwischen 32767 und 65535.

Benutzerdefinierte Tags

Sie können auch benutzerdefinierte Tags für eine Kubernetes-Umgebung definieren. Sie können Tags in der Benutzeroberfläche definieren oder Konfigurationen im JSON-Format hochladen.

Ab Contrail Networking Release 21.3 unterstützen benutzerdefinierte Tags benutzerdefinierte Tags.

Beispiel für die Verwendung von Tags

application = HRAppapplication-tier = Website = USA

Für benutzerdefinierte Tags: Foo=HrApp(tag value id 32778 tag type id 32778) 0x800a 800a

Markieren von Objekten

Ein Benutzer kann die Objekte project, VN, VM und VMI mit Tags und Werten versehen, um seine Sicherheitsanforderungen abzubilden. Tags folgen der Hierarchie von Projekt, VN, VM und VMI und werden in dieser Reihenfolge vererbt. Dadurch hat der Benutzer die Möglichkeit, Standardeinstellungen für beliebige Tags auf beliebiger Ebene anzugeben. Richtlinien können ihre Sicherheit in Form von getaggten Endpunkten spezifizieren und zusätzlich in Form von IP-Präfixen, Netzwerk- und Adressgruppenendpunkten ausdrücken.

Anwendung der Richtlinie

Die Richtlinienanwendung ist ein neues Objekt, das mit Hilfe des Anwendungstags implementiert wird. Der Benutzer kann eine Liste von Richtlinien pro Anwendung erstellen, die während der Auswertung der Datenstromakzeptanz angewendet werden sollen. Einführung von Richtlinien für globale Gültigkeitsbereiche und projektbezogene Richtlinien. Es gibt Richtlinien mit globalem Geltungsbereich, die global auf alle Projekte angewendet werden können, und Richtlinien mit Projektbereich, die auf bestimmte Projekte angewendet werden.

Konfigurationsobjekte

Im Folgenden sind die Konfigurationsobjekte für die neuen Sicherheitsfunktionen aufgeführt.

  • Firewall-Richtlinie

  • Firewall-Regel

  • Richtlinien-Management

  • Anwendungsrichtlinie

  • service-gruppe

  • Adress-Gruppe

  • Etikett

  • Globale-Anwendungsrichtlinie

Konfigurationsobjekt Tag-Objekt

Jedes Konfigurationsobjekt-Tag-Objekt enthält:

  • tag: Einer der definierten Tag-Typen, der als String und eine 32-Bit-ID gespeichert wird.

  • Tagtyp: Enthält die Typzeichenfolge und die ID (die ersten 16 Bits des Tags) sowie Verweise auf den Tagressourcentyp

Für jeden vom Benutzer eingegebenen Wert wird eine eindeutige ID erstellt, die im Feld tag_id festgelegt wird. Das System kann bis zu 64 Millionen Tag-Werte haben. Im Durchschnitt kann jedes Tag bis zu 2k Werte haben, aber es gibt keine Einschränkungen pro Tag.

Tags und Beschriftungen können an jedes Objekt angehängt werden, z. B. Projekt, VN, VM, VMI und Richtlinie, und diese Objekte verfügen über eine Tag-Referenzliste zur Unterstützung mehrerer Tags.

RBAC steuert die Benutzer, die angefügte Tags ändern oder entfernen dürfen. Einige Tags (in der Regel Fakten) werden vom System standardmäßig oder mittels Introspektion angehängt.

Tag-APIs

Tag-APIs werden verwendet, um RBAC pro Tag in einem beliebigen Objekt (VMI, VM, Projekt ...) anzugeben.

  • RUHEPAUSE: HTTP POST to /set_tag_<tag_type>/<obj_uuid>

  • Python: set_tag_<tag_type> (object_type, object_uuid, tag_value)

Die Konfiguration unterstützt auch die folgenden APIs:

  • Tag-Abfrage

  • Tags (Richtlinie)

  • -Tags (Anwendungs-Tag)

  • Objekt-Abfrage

  • Tags (Objekt)

  • Tags (Typ, Wert)

Etikett

Beschriftung ist ein spezieller Tag-Typ, der zum Zuweisen von Beschriftungen für Objekte verwendet wird. Alle Tag-Konstrukte sind gültig, mit der Ausnahme, dass der Tag-Typ "label" ist. Ein Unterschied zu anderen Tags besteht darin, dass ein Objekt beliebig viele Beschriftungen haben kann. Alle anderen Tag-Typen sind auf ein Tag pro Objekt beschränkt.

Lokale und globale Tags

Tags können global oder lokal unter einem Projekt definiert werden. -Tag-Objekte sind untergeordnete Elemente von config-root oder einem Projekt. Ein Objekt kann mit einem Tag in seinem Projekt oder mit einem Tag mit globalem Gültigkeitsbereich versehen werden.

Analytics

Bei einer Tag-Abfrage mit einer SQL-where-Klausel und einer select-Klausel sollten Analysen Objekte ausgeben. Die Abfrage kann auch Bezeichnungen enthalten, und die Bezeichnungen können unterschiedliche Operatoren aufweisen.

Beispiel:

Der Benutzer möchte vielleicht wissen: eine Liste von VMIs, bei denen ’site == USA and deployment == Production'

Liste der VMIs, bei denen ’site == USA and deployment == Production has ’

Mit den Tags SQL, where-Klausel und select-Klausel sollte die Analyse Flows ausgeben.

Kontrollknoten

Der Steuerungsknoten übergibt die Tags zusammen mit Routenaktualisierungen an Agenten und andere Steuerungsknoten.

Agent

Der Agent erhält angehängte Tags zusammen mit Konfigurationsobjekten. Der Agent ruft auch Routenaktualisierungen ab, die Tags enthalten, die der IP-Route zugeordnet sind. Dieser Vorgang ähnelt dem Abrufen von Sicherheitsgruppen-IDs zusammen mit der Routenaktualisierung.

Adressgruppen-Konfigurationsobjekt

Es gibt mehrere Möglichkeiten, der Adressgruppe eine IP-Adresse hinzuzufügen.

  • Fügen Sie der Adressgruppe manuell IP-Präfixe per Konfiguration hinzu.

  • Kennzeichnen Sie eine Arbeitsauslastung mit der angegebenen Bezeichnung der Adressgruppe. Alle Ports, die mit der gleichen Bezeichnung gekennzeichnet sind, werden als Teil dieser Adressgruppe betrachtet.

  • Verwenden Sie Introspect-Workloads basierend auf bestimmten Kriterien, um der Adressgruppe eine IP-Adresse hinzuzufügen.

Konfiguration

Das address-group-Objekt bezieht sich auf ein Bezeichnungsobjekt, eine Beschreibung und eine Liste von IP-Präfixen. Das Label-Objekt wird mithilfe der Tag-APIs erstellt.

Agent

Der Agent ruft Adressgruppen- und Bezeichnungsobjekte ab, auf die in der Richtlinienkonfiguration verwiesen wird. Der Agent verwendet diese Adressgruppe für den Abgleich von Richtlinienregeln.

Analytics

Wenn die Adressgruppenbezeichnung angegeben wird, ruft Analytics alle damit verknüpften Objekte ab. Rufen Sie bei gegebener Adressgruppenbezeichnung alle zugehörigen Flows ab.

Servicegruppen-Konfigurationsobjekt

Konfiguration

Die Service-Gruppe enthält eine Liste von Ports und Protokollen. Die Open-Stack-Service-Gruppe enthält eine Liste von Service-Objekten. Das Service-Objekt enthält die folgenden Attribute: ID, Name, Servicegruppen-ID, Protokoll, source_port, destination_port, icmp_code, icmp_type, Timeout, Mandanten-ID.

Agent

Der Agent ruft das Dienstgruppenobjekt ab, auf das in einer Richtlinienregel verwiesen wird. Der Agent verwendet diese Dienstgruppe während der Richtlinienauswertung.

Konfigurationsobjekt "Anwendungsrichtliniensatz"

Das Konfigurationsobjekt application-policy-set kann auf ein Tag vom Typ application, network-policy objects und firewall-policy objects verweisen. Dieses Objekt kann lokal (Projekt) oder global sein.

Wenn ein Anwendungstag an ein Anwendungsrichtliniensatzobjekt angehängt wird, werden die Richtlinien, auf die von diesem Objekt verwiesen wird, automatisch auf die Ports angewendet, die dasselbe Anwendungstag haben.

Alle Firewall-Richtlinien, auf die von den application-policy-set-Objekten verwiesen wird, werden anhand von Sequenznummern sortiert. Wenn dasselbe Anwendungstag an mehrere Anwendungsrichtliniensätze angehängt ist, gelten alle diese Sätze, aber die Reihenfolge zwischen diesen Sätzen ist nicht definiert.

Ein Anwendungsrichtliniensatz (Standardrichtliniensatz genannt) ist insofern besonders, als Richtlinien, auf die von ihm verwiesen wird, standardmäßig auf alle Schnittstellen angewendet werden, nachdem Richtlinien angewendet wurden, auf die auf andere Anwendungsrichtliniensätze verwiesen wird.

Wenn das Anwendungstag für ein Objekt angezeigt wird, werden die zugehörigen Richtlinien an den Agenten gesendet. Der Agent verwendet diese Informationen, um die Liste der anzuwendenden Richtlinien und deren Reihenfolge während der Flow-Auswertung abzurufen. Der Benutzer kann zulässigen Objekten (Projekt, VN, VM oder VMI) ein Anwendungs-Tag zuweisen.

Konfigurationsobjekt für die Richtlinienverwaltung

Policy-management ist ein globales Containerobjekt für alle richtlinienbezogenen Konfigurationen.

Das Richtlinienverwaltungsobjekt enthält

  • Netzwerkrichtlinien (NPs)

  • Firewall-Richtlinien (FWPs)

  • application-policy-sets (Anwendungsrichtliniensätze)

  • Globale-Richtlinienobjekte

  • globale-policy-apply-Objekte

  • NPs – Liste der Contrail Networking-Richtlinienobjekte

  • FWPs – Liste der neuen Firewall-Richtlinienobjekte

  • Application-policies - Liste der Application-policy-Objekte

  • Global-policies - Liste der neuen Firewall-Richtlinienobjekte, die für den globalen Zugriff definiert sind

  • Global-policy-apply – Liste der globalen Richtlinien in einer Sequenz und diese Richtlinien, die während der Datenstromauswertung angewendet werden.

  • Referenzen zu Netzwerkrichtlinien (NP) sind verfügbar, wie sie heute sind.

Konfigurationsobjekt für Firewall-Richtlinien

Firewall-policy ist ein neues Richtlinienobjekt, das eine Liste von Firewallregelobjekten und das überwachte Flag enthält. Die Firewall-Richtlinie kann je nach Nutzung projektbezogen oder global sein. Enthält ein überwachtes boolesches Flag, das angibt, dass der Besitzer der Richtlinie angegeben hat, dass die Richtlinie überwacht wird. Der Standardwert ist False und muss nach der Überprüfung explizit auf True festgelegt werden. Generiert ein Protokollereignis für die Überwachung mit Zeitstempel und Benutzerdetails.

Konfigurationsobjekt "Firewall-Regel"

Firewall-rule ist ein neues Regelobjekt, das die folgenden Felder enthält. Die Syntax besteht darin, Informationen über ihr Layout innerhalb der Regel bereitzustellen.

  • <Sequenznummer> Der Link von firewall-policy zu firewall-policy-rule-Objekten enthält eine Zeichenfolgen-Objektsequenznummer. Die Sequenznummer bestimmt die Reihenfolge, in der die Regeln angewendet werden.

  • [< id >]

    Uuid

  • [Name < Name >]

    Eindeutiger Name, der vom Benutzer ausgewählt wird

  • [Beschreibung < Beschreibung >]

  • Öffentlich

  • {Erlauben | Verweigern}

  • [ Protokoll {< Protokollname > | beliebig } Zielport { < Portbereich > | beliebig } [ Quellport { < Portbereich > | beliebig} ] ] | service-group < name >

  • endpoint-1 { [IP < Präfix > ] | [virtual-network < vnname >] | [Adressgruppe < Gruppenname >] | [Tags T1 == V1 && T2 == V2 ... && Tn == Vn && label == Name des Labels...] | beliebig}

  • { -> | <- | <-> }

    Gibt die Verbindungsrichtung an. Alle Regeln sind verbindungsorientiert und diese Option gibt die Richtung der Verbindung an.

  • endpoint-2 { [IP < Präfix > ] | [virtual-network < vnname >] | [Adressgruppe < Gruppenname >] | [Tags T1 == V1 && T2 == V2 ... && Tn == Vn && label == Name des Labels...] | beliebig }

    Tags an Endpunkten unterstützen einen Ausdruck von Tags. Wir unterstützen nur die Operatoren '==' und '&&'. Der Benutzer kann Bezeichnungen auch als Teil des Ausdrucks angeben. Das Konfigurationsobjekt enthält eine Liste von Tag-Namen (oder global:tag-name im Falle von globalen Tags) für Endpunkte.

  • [ match_tags {T1 .... TN} | keine} ]

    Liste der Tag-Typen oder keine. Der Benutzer kann entweder eine Übereinstimmung mit einer Liste von Tags oder keine Übereinstimmung angeben. Übereinstimmung mit Liste der Tags Mittelwert, Quell- und Ziel-Tag-Werte sollten übereinstimmen, damit die Regel wirksam wird.

  • [ log| mirror | alert | activate | drop | reject | sdrop ]

    Komplexe Handlungen

  • { aktivieren | deaktivieren }

    Ein boolesches Flag, das angibt, dass die Regel aktiviert oder deaktiviert ist. Erleichtert das selektive Deaktivieren der Regeln, ohne die Regel aus der Richtlinie zu entfernen. Der Standardwert ist True.

  • Filter

Zusammenstellung von Regeln

Wenn der API-Server eine Anfrage zum Erstellen/Aktualisieren eines Firewall-Richtlinienregelobjekts erhält, analysiert er die Objektdaten, um sicherzustellen, dass alle virtuellen Netzwerke, Adressgruppen und Tag-Objekte vorhanden sind. Wenn einer von ihnen nicht vorhanden ist, wird der Antrag abgelehnt. Darüber hinaus wird tatsächlich ein Verweis auf die Objekte erstellt, die in den beiden Endpunkten erwähnt werden. Damit werden zwei Zwecke erreicht. Erstens erlauben wir Benutzern nicht, nicht vorhandene Objekte in der Regel zu benennen, und zweitens ist es dem Benutzer nicht erlaubt, diese Objekte zu löschen, ohne sie zuerst aus allen Regeln zu entfernen, die sich auf sie beziehen.

Verwenden der Contrail-Web-Benutzeroberfläche zur Verwaltung von Sicherheitsrichtlinien

Hinzufügen von Sicherheitsrichtlinien

  1. Um eine Sicherheitsrichtlinie hinzuzufügen, gehen Sie zu Konfigurieren > Sicherheit > globalen Richtlinien. Klicken Sie oben rechts auf die Schaltfläche Firewall-Richtlinien-Assistent. Der Firewallrichtlinien-Assistent wird angezeigt, in dem Sie Ihre neue Firewall-Richtlinie erstellen können, indem Sie einen Anwendungsrichtliniensatz hinzufügen oder auswählen. Siehe Abbildung 2.

    Abbildung 2: Firewall-Richtlinien-Assistent Firewall Policy Wizard

  2. Klicken Sie auf dem Bildschirm des Firewallrichtlinien-Assistenten auf das große +, um das Fenster Anwendungsrichtliniensätze anzuzeigen. Die vorhandenen Anwendungsrichtliniensätze werden angezeigt. Siehe Abbildung 3.

    Abbildung 3: Anwendungsrichtliniensätze Application Policy Sets

  3. Um eine neue Firewall-Richtlinie zu erstellen, klicken Sie in der Liste auf die Anwendungsrichtlinie, zu der die neue Firewall-Richtlinie gehören soll. Das Fenster "Anwendungsrichtliniensätze bearbeiten " wird angezeigt, in dem ein Feld für die Beschreibung des ausgewählten Richtliniensatzes und eine Liste der Firewall-Richtlinien angezeigt wird, die dem Satz zugeordnet sind. Siehe Abbildung 4, wo das HRPolicySet ausgewählt wurde.

    Abbildung 4: Bearbeiten von Anwendungsrichtliniensätzen Edit Application Policy Sets

  4. Um alle Firewall-Richtlinien anzuzeigen, klicken Sie auf der linken Seite auf den Link Anwendungsrichtliniensätze.

    Siehe Abbildung 5.

    Abbildung 5: Alle Firewall-Richtlinien All Firewall Policies

  5. Wählen Sie eine der aufgelisteten Firewall-Richtlinien aus, um die mit dieser Richtlinie verknüpften Regeln anzuzeigen oder zu bearbeiten. In Abbildung 6 sind alle Regeln für die AdminPolicy aufgeführt. Verwenden Sie die Dropdown-Menüs in den einzelnen Feldern, um Richtlinienregeln hinzuzufügen oder zu ändern, und verwenden Sie die +, --Symbole rechts neben jeder Regel, um die Regel hinzuzufügen oder zu löschen.

    Abbildung 6: Firewall-Richtlinienregeln Firewall Policy Rules

Verwalten von Richtlinien-Tags

Sie können die Contrail-Web-Benutzeroberfläche verwenden, um die Tags zu erstellen und zu verwalten, die zur Granularität der Sicherheitsrichtlinien verwendet werden. Sie können globale Tags haben, die für das gesamte System gelten, oder Projekt-Tags, die für bestimmte Verwendungen in bestimmten Projekten definiert werden.

  1. Informationen zum Verwalten von Richtlinien-Tags finden Sie unter Konfigurieren von >-Tags > globalen Tags. Das Fenster Tags wird angezeigt, in dem alle im System verwendeten Tags mit den zugehörigen virtuellen Netzwerken, Ports und Projekten für jedes Tag aufgelistet sind. Tags werden zuerst nach Typ definiert, z. B. Anwendung, Bereitstellung, Standort, Ebene usw. Siehe Abbildung 7.

    Abbildung 7: Tags Tags

  2. Sie können sich durch ein beliebiges aufgelistetes Tag klicken, um die Regeln anzuzeigen, auf die das Tag angewendet wird. Abbildung 8 zeigt die Anwendungstags, die auf die aktuellen Anwendungssätze angewendet werden. Sie erreichen diese Seite auch über Konfigurieren > Sicherheits- > globalen Richtlinien.

    Abbildung 8: Anzeigen von Anwendungstags View Application Tags

Anzeigen globaler Richtlinien

Unter Configure > Security > Global Policies können Sie nicht nur die in Anwendungsrichtliniensätzen enthaltenen Richtlinien, sondern auch alle Firewall-Richtlinien, alle Servicegruppen-Richtlinien und alle Adressgruppen-Richtlinien anzeigen.

  1. Klicken Sie zum Anzeigen und Verwalten der globalen Firewallrichtlinien unter > Security konfigurieren > Globale Richtlinien auf die Registerkarte Firewallrichtlinien, um die Details zu den Systemfirewallrichtlinien anzuzeigen (siehe Abbildung 9)

    Abbildung 9: Firewall-Richtlinien Firewall Policies

  2. Klicken Sie zum Anzeigen und Verwalten der Dienstgruppenrichtlinien unter Konfigurieren > Sicherheit > globalen Richtlinien auf die Registerkarte Dienstgruppen, um die Details zu den Systemrichtlinien für Dienstgruppen anzuzeigen (siehe Abbildung 10).

    Abbildung 10: Servicegruppen Service Groups

Visualisierung von Traffic-Gruppen

Verwenden Sie Monitor > Security > Traffic Groups , um visuelle Darstellungen der Anwendung von Richtlinien auf Datenverkehrsgruppen zu untersuchen. Siehe Abbildung 11, die eine visuelle Darstellung des Quell- und Zieldatenverkehrs für die letzte Stunde einer Datenverkehrsgruppe mit dem Namen Datenverkehrsgruppen darstellt. Der äußere Kreis stellt den Datenverkehr dar, der mit Anwendung, Bereitstellung oder Projekt gekennzeichnet ist. Der innere Kreis stellt den Datenverkehr dar, der mit tier gekennzeichnet ist. In der Mitte des Kreises werden die Ausgangs- und Zieladresse des Datenverkehrs angezeigt.

Abbildung 11: Datenverkehrsgruppen Traffic Groups

Sie können auf die rechte Seite des Bildschirms klicken, um Details zu den Richtlinienregeln abzurufen, die mit dem ausgewählten Datenverkehr übereinstimmen. Siehe Abbildung 12.

Abbildung 12: Datenverkehrsgruppen, Richtliniendetails Traffic Groups, Policy Details

Sie können auf die rechte Seite des Bildschirms klicken, um zum Fenster Einstellungen zu gelangen, in dem Sie den Ansichtstyp ändern und ändern können, welche Elemente in der visuellen Darstellung angezeigt werden. Siehe Abbildung 13.

Abbildung 13: Datenverkehrsgruppen, Einstellungen Traffic Groups, Settings

Sie können auf den Namen einer Richtlinie klicken, die abgeglichen wurde, um die Endpunktstatistiken, einschließlich Quelltags und Remote-Tags, des aktuell im Visual dargestellten Datenverkehrs anzuzeigen. Siehe Abbildung 14.

Abbildung 14: Datenverkehrsgruppen, Endpunktstatistiken Traffic Groups, Endpoint Statistics

Sie können tiefer durch eine verknüpfte Statistik klicken, um weitere Details zu dieser Statistik anzuzeigen (siehe Abbildung 16 und Abbildung 16).

Abbildung 15: Datenverkehrsgruppen, Details Traffic Groups, Details

Abbildung 16: Datenverkehrsgruppen, Details Traffic Groups, Details

Sie können die Einstellungen, welche Statistiken in den einzelnen Datenverkehrsgruppen angezeigt werden, auf dem Bildschirm "Datenverkehrsgruppeneinstellungen " ändern (siehe Abbildung 17).

Abbildung 17: Einstellungen für Traffic Groups Settings Datenverkehrsgruppen

Zugehörige Dokumentation

Tabelle der Versionshistorie
Release
Beschreibung
21.3
Ab Contrail Networking Release 21.3 erlaubt die Sicherheitsrichtlinie optionale benutzerdefinierte Tags, mit denen Sie Tag-IDs zusammen mit Tag-Namen definieren können.
21.3
Ab Contrail Networking Release 21.3 können Sie einen vordefinierten Tag-Typ mit benutzerdefinierter Tag-Wert-ID erstellen
21.3
Ab Contrail Networking Release 21.3 unterstützen benutzerdefinierte Tags benutzerdefinierte Tags.