安全标记是可与一台或一组虚拟机相关联的 VMware Cloud Director 标签。

安全标记旨在与安全组配合使用。创建安全标记后,可以将其与可在防火墙规则中使用的安全组相关联。您可以创建、编辑或分配用户定义的安全标记。也可以查看哪些虚拟机或安全组已应用特定的安全标记。

安全标记的常见用例是动态分组对象以简化防火墙规则。例如,您可能根据给定虚拟机上预期发生的活动类型来创建多个不同的安全标记。您为数据库服务器创建一个安全标记,为电子邮件服务器创建另一个安全标记,然后将相应的标记应用于托管数据库服务器或电子邮件服务器的虚拟机。以后,您可以将标记分配给安全组并根据其编写一个防火墙规则,根据虚拟机运行的是数据库服务器还是电子邮件服务器来应用不同的安全设置。如果您以后更改虚拟机的功能,则可以从安全标记中移除虚拟机,而无需编辑防火墙规则。

使用 VMware Cloud Director Tenant Portal创建并分配安全标记

使用 VMware Cloud Director Tenant Portal,您可以创建安全标记,并将其分配给一个或一组虚拟机。

您可以创建安全标记,并将其分配给一台虚拟机或一组虚拟机。

过程

  1. 虚拟数据中心仪表板屏幕上,单击要浏览的虚拟数据中心对应的卡视图,然后在网络下选择安全
  2. 选择一个安全服务,然后单击配置服务
  3. 单击安全标记选项卡。
  4. 单击创建 (创建按钮) 按钮,然后输入安全标记的名称。
  5. (可选) 输入安全标记的描述。
  6. (可选) 将安全标记分配给一台虚拟机或一组虚拟机。
    浏览以下类型的对象下拉菜单中, 虚拟机默认处于选中状态。
    1. 从左侧面板中选择虚拟机。
    2. 单击向右箭头,将安全标记分配给选定的虚拟机。
      该虚拟机将移至右侧面板,并获得此安全标记。
  7. 完成将标记分配给所选虚拟机后,单击保留

结果

此时安全标记已创建,并且已分配给选定的虚拟机(如果选择)。

下一步做什么

安全标记设计为与安全组配合使用。有关创建安全组的详细信息,请参见使用 VMware Cloud Director Tenant Portal创建安全组

使用 VMware Cloud Director Tenant Portal更改安全标记分配

创建安全标记后,可以使用 VMware Cloud Director Tenant Portal手动将其分配给虚拟机。还可以编辑安全标记,以将其从已分配给的虚拟机中移除。

如果已创建安全标记,则可以将其分配给虚拟机。您可以使用安全标记分组虚拟机,以便编写防火墙规则。例如,您可以将安全标记分配给一组具有高度敏感数据的虚拟机。

过程

  1. 虚拟数据中心仪表板屏幕上,单击要浏览的虚拟数据中心对应的卡视图,然后在网络下选择安全
  2. 选择一个安全服务,然后单击配置服务
  3. 单击安全标记选项卡。
  4. 从安全标记列表中,选择要编辑的安全标记,然后单击编辑按钮。
  5. 选择左侧面板中的虚拟机,然后通过单击向右箭头为其分配安全标记。
    右侧面板中的虚拟机将被分配给安全标记。
  6. 选择右侧面板中的虚拟机,然后通过单击向左箭头从这些虚拟机中移除该标记。
    左侧面板中的虚拟机没有分配安全标记。
  7. 添加完更改后,单击保留

结果

此时安全标记将分配给所选虚拟机。

下一步做什么

安全标记设计为与安全组配合使用。有关创建安全组的详细信息,请参见使用 VMware Cloud Director Tenant Portal创建安全组

使用 VMware Cloud Director Tenant Portal 查看应用的安全标记

使用 VMware Cloud Director Tenant Portal,可以查看应用于环境中的虚拟机的安全标记。此外,还可以查看应用于所处环境中的安全组的安全标记。

前提条件

安全标记必须已经创建完毕并已应用于虚拟机或安全组。

过程

  1. 虚拟数据中心仪表板屏幕上,单击要浏览的虚拟数据中心对应的卡视图,然后在网络下选择安全
  2. 选择一个安全服务,然后单击配置服务
  3. 查看从安全标记选项卡分配的标记。
    1. 安全标记选项卡上,选择要查看其分配情况的安全标记,然后单击编辑按钮。
    2. 分配/取消分配 VM 下,您可以查看分配给安全标记的虚拟机的列表。
    3. 单击放弃
  4. 安全组选项卡查看分配的标记。
    1. 单击分组对象选项卡,然后单击安全组
    2. 选择一个安全组。
    3. 包括成员下的列表中,您可以查看分配给安全组的安全标记。

结果

您可以查看现有安全标记以及关联的虚拟机和安全组。这样,您可以确定一种策略来根据安全标记和安全组创建防火墙规则。

使用 VMware Cloud Director Tenant Portal编辑安全标记

使用 VMware Cloud Director Tenant Portal,可以编辑用户定义的安全标记。

如果您要更改虚拟机的环境或功能,则可能还需要使用其他安全标记,以便防火墙规则适用于新的虚拟机配置。例如,如果您的虚拟机不再存储敏感数据,则可能需要分配不同的安全标记,以便不再针对该虚拟机运行适用于敏感信息的防火墙规则。

过程

  1. 虚拟数据中心仪表板屏幕上,单击要浏览的虚拟数据中心对应的卡视图,然后在网络下选择安全
  2. 选择一个安全服务,然后单击配置服务
  3. 单击安全标记选项卡。
  4. 从安全标记列表中选择要编辑的安全标记。
  5. 单击编辑按钮。
  6. 编辑安全标记的名称和描述。
  7. 将标记分配给您选择的虚拟机或从中移除分配。
  8. 要保存更改,请单击保留

下一步做什么

如果您编辑安全标记,可能还需要编辑关联的安全组或防火墙规则。有关安全组的详细信息,请参见在 VMware Cloud Director Tenant Portal中使用 NSX Data Center for vSphere Edge 网关的安全组

使用 VMware Cloud Director Tenant Portal删除安全标记

使用 VMware Cloud Director Tenant Portal,可以删除用户定义的安全标记。

如果虚拟机的功能或环境发生改变,则可能需要删除安全标记。例如,如果您为 Oracle 数据库设置了安全标记,但您决定使用其他数据库服务器,则可以移除该安全标记,以便不再对虚拟机运行适用于 Oracle 数据库的防火墙规则。

过程

  1. 虚拟数据中心仪表板屏幕上,单击要浏览的虚拟数据中心对应的卡视图,然后在网络下选择安全
  2. 选择一个安全服务,然后单击配置服务
  3. 单击安全标记选项卡。
  4. 从安全标记列表中选择要删除的安全标记。
  5. 单击删除按钮。
  6. 单击确定,确认删除。

结果

安全标记将被删除。

下一步做什么

如果要删除安全标记,则可能需要同时编辑关联的安全组或防火墙规则。有关安全组的详细信息,请参见 在 VMware Cloud Director Tenant Portal中使用 NSX Data Center for vSphere Edge 网关的安全组