您可以将 NSX 安全组件添加到设计画布,使其已配置的设置可用于蓝图中的一个或多个 vSphere 计算机组件。

NSX 应用程序中,安全组、标记和策略在 vRealize Automation 外部配置。

添加到设计画布中的网络与安全组件设置派生自 NSX 配置,将要求您安装了 NSX 插件并对 vSphere 群集运行数据收集来收集 NSX 清单。网络与安全组件特定于 NSX,并且只能供 vSphere 计算机组件使用。有关配置 NSX 的信息,请参见NSX 管理指南》

通过在 NSX 中为 vSphere 计算资源配置安全组、标记和策略,您可以向蓝图添加安全控件。运行数据收集之后,即可在 vRealize Automation 中选择安全配置。

安全组

安全组是 vSphere 清单中映射到一组安全策略的一系列资产或分组对象,例如,Distributed Firewall 规则以及防病毒和入侵检测等第三方安全服务集成。使用分组功能,您可以创建可分配虚拟机和网络适配器等资源的自定义容器,使之受 Distributed Firewall 保护。定义组后,可以将该组作为源或目标添加到防火墙规则,使之受到保护。

除了预留中指定的安全组外,您还可以将安全组添加到蓝图。

安全组在源资源中进行管理。有关为各种资源类型管理安全组的信息,请参见供应商文档。

您可以将 NSX 现有安全组或按需安全组添加到设计画布中。

安全标记

安全标记是可用作分组机制的限定符对象或分类条目。您可定义对象添加到所创建的安全组时必须满足的条件。这样,您可以通过定义支持大量参数的筛选标准,将与搜索条件匹配的计算机包括在内。例如,您可以将所有具有指定安全标记的计算机添加到安全组。

您可以向设计画布添加安全标记。

安全策略

安全策略是可以应用于安全组的一组端点、防火墙和网络自检服务。通过使用蓝图中的按需安全组,您可以将安全策略添加到 vSphere 虚拟机。但是,您不能将安全策略直接添加到预留。数据收集完成后,即可在蓝图中选择已在 NSX 中为计算资源定义的安全策略。

应用程序隔离

启用“应用程序隔离”后,将创建单独的安全策略。应用程序隔离使用逻辑防火墙阻止所有入站和出站流量流向蓝图中的应用程序。通过包含应用程序隔离策略的蓝图置备的组件计算机可以相互通信,但无法连接到防火墙外部,除非向蓝图中添加其他安全组,并配置相应的安全策略以允许访问。