（07）实现On-demond SecurityGroup-vRA7.3简单集成NSX6.3

实现On-demand SecurityGroup比较简单，不过需要提前在NSX中创建好Security Policy。

创建NSX Security Policy

需要登录NSX管理界面，在Service Composer中创建好一个Security Policy，我这里创建的是一个非常简单的Linux SSH Policy（只包含一条SSH放行策略）；

Linux SSH Policy创建后会自动在Firewall中生成一条规则，这条规则默认是灰色的还没生效；

同步规则

vRA默认一小时和NSX同步一次，需要动去同步刚才创建的Security Policy到VRA中；

创建蓝图

创建名为：CentOS7 with Security Group 的蓝图；

选择NSX传输区域；

拖拽一台vSphere (vCenter) Machine, 相关配置步骤省略;

在Network&Security Categories中将On-demand Security Group拖拽到Design Canvas中；

修改ID，并添加在NSX创建的Linux SSH Security Policies；

将vSphere (vCenter) Machine和Security Group关联；

最后再关联一个RoutedNetwork网络；

最后点击Finish完成蓝图的创建，并发布；

效果测试

在Catalog中提交一个Centos7 with Security Group申请进行测试；

申请完成后在Items中的Deployments中可以看到Deployment中包含了Security Group；

最后登录NSX管理界面中的Firewall中可以看到，已经自动将申请的VM加入这个防火墙策略，并启用了该条策略。

总结：自此On-demand Security Group已经创建测试完成，在On-demand Security Group蓝图中每提交一个申请就会自动在NSX分布式防火墙中为本次申请的虚拟机应用相应的防火墙规则。

下一篇文章为大家来带vRO 7.3从入门到放弃系列的文章。