您可以在 NSX Manager 级别创建安全组。

前提条件

如果您要创建安全策略以用于 RDSH,请确保:

  • Active Directory 服务器必须与 NSX Manager 集成。
  • 主机必须启用 DFW,并升级到 NSX 6.4.0。
  • 客户机必须运行更新的 VMware Tools。
  • GI SVM 的版本必须为 6.4 或更高版本。
  • 必须在防火墙规则的新区域中创建规则。
  • 规则必须选中在源中启用用户身份
  • 远程桌面访问规则不支持应用对象字段。
  • 适用于 RDSH 的 IDFW 不支持 ICMP。

过程

  1. vSphere Web Client 中,导航到网络和安全 (Networking & Security) > 安全 (Security) > 服务编排 (Service Composer)
  2. 确保您位于安全组 (Security Groups)选项卡中。
  3. 单击添加安全组 (Add Security Group)添加 (Add)图标。

    用于 RDSH 身份防火墙的安全组必须使用在创建时标记为在源中启用用户身份的安全策略。用于 RDSH 身份防火墙的安全组只能包含 Active Directory (AD) 组,并且所有嵌套的安全组也必须是 AD 组。

  4. 键入安全组的名称和描述,然后单击下一步 (Next)
  5. 在“动态成员资格”页面上,定义对象要添加到所创建安全组所需具备的条件。
    例如,您可以加入一个条件,将使用指定安全标记(例如 AntiVirus.virusFound)进行标记的所有成员添加到安全组中。

    或者,可以将所有包含名称 W2008 的虚拟机以及位于逻辑交换机 global_wire 中的虚拟机添加到安全组中。

    安全标记区分大小写。
    注: 如果通过应用了特定安全标记的虚拟机来定义安全组,则可以创建动态或条件工作流。该标记应用于虚拟机时,该虚拟机将自动添加到相应安全组中。
  6. 单击下一步 (Next)
  7. 在“选择要包括的对象”页面上,从下拉列表中选择对象类型。
    请注意,用于远程桌面会话的安全组只能包含目录组。
  8. 选择要添加到包括列表的对象。可以在安全组中包括以下对象。
    • 其他安全组(可以嵌入正在创建的安全组)。
    • 群集
    • 逻辑交换机
    • 网络
    • 虚拟应用程序
    • 数据中心
    • IP 集
    • AD 组
      注: NSX 安全组的 AD 配置不同于 vSphere SSO 的 AD 配置。NSX AD 组配置用于访问客户机虚拟机的最终用户,而 vSphere SSO 的 AD 配置适用于使用 vSphere 和 NSX 的管理员。
    • MAC 集
      注: 服务编排允许在策略配置中使用包含 MAC 集的安全组,但服务编排无法为该特定 MAC 集强制实施规则。服务编排在第 3 层上工作,而不支持第 2 层结构。
    • 安全标记
    • 虚拟网卡
    • 虚拟机
    • 资源池
    • 分布式虚拟端口组
    无论此处选定的对象是否满足动态条件,都将始终包含在安全组中。

    将资源添加到安全组时,将自动添加所有关联的资源。例如,选择虚拟机后,关联的虚拟网卡将自动添加到安全组中。

  9. 单击下一步 (Next),然后双击要从安全组中排除的对象。
    此处选定的对象始终都将从安全组中排除,即使这些对象满足动态条件或者已在包括列表中选定时亦如此。
  10. 单击完成 (Finish)

示例

将按下列方式确定安全组的成员资格:

{表达式结果(来自步骤 5) + 包含项(在步骤 7 中指定)} - 排除项(在步骤 9 中指定),这表示先将包含项添加到表达式结果中。然后,将从组合结果中减去排除项。