可以在 NSX Manager 级别创建安全组。

通用安全组可用于两种类型的部署:活动跨 vCenter NSX 环境和活动/备用跨 vCenter NSX 环境(其中一个站点在给定时间处于活动状态,而其余站点则处于备用状态)。
  • 活动环境中的通用安全组只能包含以下已包括的对象:安全组、IP 集、MAC 集。您无法配置动态成员资格或已排除的对象。
  • 活动/备用环境中的通用安全组可以包含以下已包括的对象:安全组、IP 集、MAC 集、通用安全标记。您还可以仅使用虚拟机名称配置动态成员资格。您无法配置已排除的对象。
注:

基于动态条件(如计算机操作系统名称和计算机名称)且已关闭电源的虚拟机不会包括到安全组中。NSX 仅在虚拟机打开电源时接收一次动态条件。打开电源后,客户机详细信息会同步到 NSX Manager,并且一直保留在 NSX Manager 中,即使以后关闭了虚拟机电源也是如此。

注: 在 6.3 以前的版本中创建的通用安全组无法进行编辑以在活动/备用部署中使用。

前提条件

如果您正在根据 Active Directory 组对象创建安全组,请确保已向 NSX Manager 注册了一个或多个域。NSX Manager 从向其注册的每个域获取组和用户信息以及两者之间的关系。请参见在 NSX Manager 中注册 Windows 域

过程

  1. vSphere Web Client 中,单击网络和安全 (Networking & Security) > 组和标记 (Groups and Tags)
  2. 导航到安全组 (Security Group)
    • NSX 6.4.1 和更高版本中,确保您处于安全组 (Security Groups)选项卡中。
    • NSX 6.4.0 中,确保您处于分组对象 (Grouping Objects) > 安全组 (Security Group)选项卡中。
  3. 如果 NSX Manager 下拉菜单中有多个 IP 地址,请选择一个 IP 地址或保留默认选择。
    • 要管理通用安全组,必须选择主 NSX Manager
  4. 单击添加 (Add)添加新安全组 (Add New Security Group)图标。
  5. 键入此安全组的名称和描述(可选)。
  6. (可选) 如果要创建通用安全组,请选择通用同步 (Universal Synchronization)标记此对象待进行通用同步 (Mark this object for universal synchronization)
  7. (可选) 如果要创建通用安全组以用于活动/备用部署,请同时选中通用同步/标记此对象待进行通用同步 (Universal Synchronization / Mark this object for universal synchronization)用于活动/备用部署 (Use for active standby deployments)。在活动/备用部署中,通用安全组的动态成员资格基于虚拟机名称
  8. 单击下一步 (Next)
  9. 在“动态成员资格”页面上,定义对象要添加到所创建安全组所需具备的条件。这样,您可以通过使用支持的大量参数定义筛选条件以匹配搜索条件来包含虚拟机。
    注: 如果您正在创建通用安全组,则 定义动态成员资格 (Define dynamic membership)步骤在活动/活动部署中不可用。该步骤可在仅基于虚拟机名称的活动/备用部署中使用。
    例如,您可以加入一个条件,将标记有指定安全标记(如 AntiVirus.virusFound)的所有虚拟机添加到安全组中。 安全标记区分大小写。

    或者,可以将所有包含名称 W2008 的虚拟机以及位于逻辑交换机 global_wire 中的虚拟机添加到安全组中。

    秒
  10. 单击下一步 (Next)
  11. 在“选择要包括的对象”页面上,选择要添加的资源所对应的选项卡,并选择一个或多个要添加到安全组中的资源。可以在安全组中包括以下对象。
    表 1. 安全组和通用安全组中可以包括的对象。
    安全组 通用安全组
    • 其他安全组(可以嵌入正在创建的安全组)。
    • 群集
    • 逻辑交换机
    • 网络
    • 虚拟应用程序
    • 数据中心
    • IP 集
    • 目录组
      注: NSX 安全组的 Active Directory 配置不同于 vSphere SSO 的 AD 配置。NSX AD 组配置用于供最终用户访问客户机虚拟机,而 vSphere SSO 用于供管理员使用 vSphere 和 NSX。要使用这些目录组,您必须与 Active Directory 进行同步。请参见 身份防火墙概述
    • MAC 集
    • 安全标记
    • 虚拟网卡
    • 虚拟机
    • 资源池
    • 分布式虚拟端口组
    • 其他通用安全组(可以嵌入正在创建的通用安全组)。
    • 通用 IP 集
    • 通用 MAC 集
    • 通用安全标记(仅限活动/备用部署)
    无论此处选定的对象是否满足您之前在“动态成员资格”页面中定义的条件,它们都始终包含在安全组中。

    将资源添加到安全组时,将自动添加所有关联的资源。例如,选择虚拟机后,关联的虚拟网卡将自动添加到安全组中。

  12. 单击下一步 (Next),然后选择要从安全组中排除的对象。
    注: 如果您正在创建通用安全组,则 选择要排除的对象步骤不可用。
    此处选定的对象无论是否满足动态条件,都将从安全组中排除。
  13. 单击下一步 (Next)
    将显示包含安全组摘要的 即将完成 (Ready to Complete)窗口。
  14. 单击完成 (Finish)

示例

将按下列方式确定安全组的成员资格:

{表达式结果(源自定义动态成员资格 (Define dynamic membership))+ 包含项(在选择要包括的对象 (Select objects to include)中指定} - 排除项(在选择要排除的对象 (Select objects to exclude)中指定)

这意味着,首先会将包含项与表达式结果相加。然后,将从组合结果中减去排除项。