核心功能
vmware-nsx-security 是专为 VMware NSX-T / NSX 4.x 打造的安全运维技能,提供 21 个 MCP 工具覆盖分布式防火墙(DFW)全生命周期管理:
核心能力矩阵
| 模块 | 功能 |
|------|------|
| DFW 策略 | 创建/更新/删除安全策略,支持分类(Emergency/Infrastructure/Application)和序列号编排 |
| DFW 规则 | 细粒度规则管理,含源/目的组、服务端口、动作(ALLOW/DROP/REJECT)及命中统计 |
| 安全组 | 基于标签、IP 范围或网段的动态成员组,驱动微分段策略 |
| VM 标签 | 为虚拟机应用 NSX 标签,实现工作负载标识与策略绑定 |
| Traceflow | 注入探测包追踪网络路径,诊断 DFW 丢弃原因及策略匹配链 |
| IDPS | 入侵检测/防御配置查询与签名状态监控 |
显著优势
- 企业级安全设计:所有写操作经
vmware-policy审计落盘至 SQLite,支持双确认删除、dry-run 预览、引用检查(删除组前自动扫描 DFW 规则依赖) - 微分段最佳实践内置:文档详述默认放行管理流量、标签验证、Traceflow 预检等关键 judgment,降低策略锁死风险
- 多目标管理:通过
--target支持生产/测试多 NSX Manager 无缝切换,密码隔离存储于环境变量 - 零外部依赖:纯本地 stdio MCP,无 webhook、无出站调用、无后台服务
局限与风险
- 范围受限:明确不包含 NSX 网络层(网段/网关/NAT/路由),需配合
vmware-nsx技能;不涉及虚拟机生命周期管理 - 证书与代理:企业 TLS 代理环境需配置
UV_NATIVE_TLS=true或直接使用 v1.5.15+ 的mcp子命令 - 知识门槛:需理解 NSX Policy API 概念(category 优先级、stateful/stateless 差异、标签 scope/value 语法)
- Traceflow 限制:仅支持 Overlay 网段,VLAN-backed 段不兼容;需源 VM 开机且传输节点可达
适用人群
- 负责 NSX 零信任网络架构的安全工程师与云网络管理员
- 需自动化 DFW 策略编排的 DevOps/SRE 团队
- 通过 MCP 集成实现"对话式运维"的平台工程团队
安全等级说明
- 审计完备:全操作链可回溯,支持
vmware-audit log查询 - 凭证隔离:密码不落地配置文件中,权限最小化(
chmod 600) - 无代码执行:仅调用 NSX REST API,禁止 guest OS 操作或任意命令执行