可以在 NSX Manager 级别创建安全组。

过程

  1. 登录到 vSphere Web Client。
  2. 单击网络和安全 (Networking & Security),然后单击服务编排 (Service Composer)
  3. 单击安全组 (Security Groups)选项卡,然后单击添加安全组 (Add Security Group)图标。
  4. 键入安全组的名称和描述,然后单击下一步 (Next)
  5. 在“动态成员资格”页面上,定义对象要添加到所创建安全组所需具备的条件。

    例如,您可以加入一个条件,将使用指定安全标记(例如 AntiVirus.virusFound)进行标记的所有成员添加到安全组中。

    或者,可以将所有包含名称 W2008 的虚拟机以及位于逻辑交换机 global_wire 中的虚拟机添加到安全组中。

    安全标记区分大小写。

    注:

    如果通过应用了特定安全标记的虚拟机来定义安全组,则可以创建动态或条件工作流。该标记应用于虚拟机时,该虚拟机将自动添加到相应安全组中。

  6. 单击下一步 (Next)
  7. 在“选择要包括的对象”页面上,从下拉列表中选择对象类型。
  8. 双击要添加到包括列表中的对象。可以在安全组中包括以下对象。
    • 其他安全组(可以嵌入正在创建的安全组)。

    • 群集

    • 逻辑交换机

    • 网络

    • 虚拟应用程序

    • 数据中心

    • IP 集

    • AD 组

      注:

      NSX 安全组的 AD 配置不同于 vSphere SSO 的 AD 配置。NSX AD 组配置用于访问客户机虚拟机的最终用户,而 vSphere SSO 的 AD 配置适用于使用 vSphere 和 NSX 的管理员。

    • MAC 集

      注:

      服务编排允许在策略配置中使用包含 MAC 集的安全组,但服务编排无法为该特定 MAC 集强制实施规则。服务编排在第 3 层上工作,而不支持第 2 层结构。

    • 安全标记

    • 虚拟网卡

    • 虚拟机

    • 资源池

    • 分布式虚拟端口组

    无论此处选定的对象是否满足动态条件,都将始终包含在安全组中。

    将资源添加到安全组时,将自动添加所有关联的资源。例如,选择虚拟机后,关联的虚拟网卡将自动添加到安全组中。

  9. 单击下一步 (Next),然后双击要从安全组中排除的对象。

    此处选定的对象始终都将从安全组中排除,即使这些对象满足动态条件或者已在包括列表中选定时亦如此。

  10. 单击完成 (Finish)

示例

将按下列方式确定安全组的成员资格:

{表达式结果(来自步骤 4) + 包括(在Step 8 指定} - 排除(在步骤 8 指定)

这表示包括项先添加到表达式结果中。然后,将从组合结果中减去排除项。