服务编排有助于置备网络和安全服务并将其分配给虚拟基础架构中的应用程序。您可以将这些服务映射到安全组,这些服务即会应用到安全组中的虚拟机。

安全组

首先创建安全组来定义要保护的资产。安全组可以是静态的(包含特定虚拟机),也可以是动态的,其中的成员资格可以通过以下一种或多种方式来定义:

  • vCenter 容器(群集、端口组或数据中心)
  • 安全标记、IPset、MACset 或甚至其他安全组。例如,您可以加入一个条件,将使用指定安全标记(例如 AntiVirus.virusFound)进行标记的所有成员添加到安全组中。
  • 目录组(如果已向 Active Directory 注册 NSX Manager)
  • 正则表达式,如名称为 VM1 的虚拟机

请注意,安全组成员资格经常发生变化。例如,以 AntiVirus.virusFound 标记进行标记的虚拟机移到隔离安全组中。清除病毒并从虚拟机中删除此标记后,该虚拟机再次移出隔离安全组。

重要说明: 如果虚拟机的虚拟机 ID 因执行移动或复制操作而重新生成,则安全标记不会传播到新虚拟机 ID。

安全策略

安全策略是以下服务配置的集合。
表 1. 包含在安全策略中的安全服务
服务 说明 适用对象
防火墙规则 定义允许流向安全组、从安全组流出以及在安全组内流动的流量的规则。 虚拟网卡
Endpoint 服务 第三方解决方案提供商服务,如防病毒或漏洞管理服务。 虚拟机
网络自检服务 监控网络的服务,如 IPS。 虚拟机

在 NSX 中部署服务期间,第三方供应商可选择正在部署的服务的服务类别。系统会为每个供应商模板创建一个默认服务配置文件。

将第三方供应商服务升级到 NSX 6.1 时,系统会为正在升级的供应商模板创建默认服务配置文件。包含 Guest Introspection 规则的现有服务策略将更新为引用在升级过程中创建的服务配置文件。

将安全策略映射到安全组

可以将安全策略(如 SP1)映射到安全组(如 SG1)。针对 SP1 配置的服务应用于所有属于 SG1 的虚拟机。

注: 当您需要将大量安全组连接到同一安全策略时,请创建一个可以包含所有这些子安全组的伞安全组,并将通用安全策略应用于该伞安全组。此举将确保 NSX 分布式防火墙可以高效地利用 ESXi 主机内存。
图 1. 服务编排概述
SP

如果一个虚拟机属于多个安全组,则应用于该虚拟机的服务将取决于映射到这些安全组的安全策略的优先级。

服务编排配置文件可以作为备份导出和导入,或者在其他环境中使用。这种管理网络和安全服务的方法有助于实现可操作和可重复的安全策略管理。