安全组是 vSphere 清单中的资产或分组对象的集合。
安全组是可以包含多种对象类型的容器,包括逻辑交换机、虚拟网卡、IPset 和虚拟机 (VM)。安全组可以有基于安全标记、虚拟机名称或逻辑交换机名称的动态成员资格条件。例如,所有拥有安全标记“Web”的虚拟机都将自动添加到专用于 Web 服务器的特定安全组。创建安全组后,会对该安全组应用安全策略。
重要说明: 如果虚拟机的虚拟机 ID 因执行移动或复制操作而重新生成,则安全标记不会传播到新虚拟机 ID。
用于 RDSH 身份防火墙的安全组必须使用在创建时标记为在源中启用用户身份的安全策略。用于 RDSH 身份防火墙的安全组只能包含 Active Directory (AD) 组,并且所有嵌套的安全组也必须是 AD 组。
身份防火墙中使用的安全组只能包含 AD 目录组。嵌套的组可以是非 AD 组或其他逻辑实体,例如虚拟机。
有关详细信息,请参见安全组中的防火墙规则行为。
在跨 vCenter NSX 环境中,通用安全组在主 NSX Manager 上定义,并通过标记与辅助 NSX Manager 进行通用同步。通用安全组不能定义动态成员资格标准,除非这些安全组被标记为在活动/备用部署场景中使用。
在具有活动/备用部署场景的跨 vCenter NSX 环境中,SRM 会在恢复站点上为活动站点上的每个受保护虚拟机创建一个占位虚拟机。占位虚拟机不是活动的虚拟机,并处于待机模式。在受保护的虚拟机关闭时,恢复站点上的占位虚拟机即会打开电源并接管受保护虚拟机的任务。用户可以在活动站点上创建包含通用安全组和通用安全标记的分布式防火墙规则。NSX Manager 会将该包含通用安全组和通用安全标记的分布式防火墙规则复制到占位虚拟机上,并会在占位虚拟机打开电源时,正确执行包含通用安全组和通用安全标记的复制防火墙规则。
注:
- 在 6.3 以前的版本中创建的通用安全组无法进行编辑以在活动/备用部署中使用。