Arbeiten mit Sicherheitsgruppen

Eine Sicherheitsgruppe ist eine Sammlung von Assets oder Gruppierungsobjekten aus Ihrer vSphere-Bestandsliste.

Sicherheitsgruppen sind Container, die mehrere Objekttypen enthalten können, einschließlich logischer Switches, vNICs, IPsets und virtueller Maschinen (VM). Sicherheitsgruppen können dynamische Mitgliedschaftskriterien aufweisen, die auf Sicherheits-Tags, dem VM-Namen oder dem Namen logischer Switches basieren. Beispielsweise werden alle VMs mit dem Sicherheits-Tag „web“ automatisch einer speziellen Sicherheitsgruppe für Webserver hinzugefügt. Nach dem Erstellen einer Sicherheitsgruppe wird auf diese Gruppe eine Sicherheitsrichtlinie angewendet.

Wichtig: Wenn die VM-ID einer VM neu generiert wird, weil die VM verschoben oder kopiert wird, werden die Sicherheits-Tags nicht auf die neue VM-ID übertragen.

Sicherheitsgruppen, die mit der identitätsbasierten Firewall für RDSH verwendet werden, müssen Sicherheitsrichtlinien nutzen, die beim Erstellen mit der Option Benutzeridentität an der Quelle aktivieren markiert wurden. Sicherheitsgruppen, die mit der identitätsbasierten Firewall für RDSH verwendet werden, können nur Active Directory (AD)-Gruppen enthalten. Alle verschachtelten Sicherheitsgruppen müssen ebenfalls Active Directory-Gruppen sein.

Die in der identitätsbasierten Firewall verwendeten Sicherheitsgruppen können nur AD-Verzeichnisgruppen enthalten. Verschachtelte Gruppen können Nicht-AD-Gruppen oder andere logische Entitäten, z. B. virtuelle Maschinen, sein.

Weitere Informationen hierzu finden Sie unter Firewallregelverhalten in Sicherheitsgruppen.

In einer Cross-vCenter NSX-Umgebung sind auf dem primären NSX Manager universelle Sicherheitsgruppen definiert, die für die globale Synchronisierung mit sekundären NSX Managern markiert werden. Für universelle Sicherheitsgruppen können keine dynamischen Mitgliedschaftskriterien definiert werden, sofern sie nicht für die Verwendung in einem aktiven Standby-Bereitstellungsszenario markiert sind.

In einer Cross-vCenter NSX-Umgebung mit aktivem Standby-Bereitstellungsszenario erstellt der SRM für jede geschützte VM auf der aktiven Site eine Platzhalter-VM auf der Wiederherstellungs-Site. Die Platzhalter-VMs sind nicht aktiv und bleiben im Standby-Modus. Wenn die geschützte VM deaktiviert wird, werden die Platzhalter-VMs auf der Wiederherstellungs-Site hochgefahren, und sie übernehmen dann die Aufgaben der geschützten VM. Benutzer erstellen Regeln für die verteilte Firewall mit universellen Sicherheitsgruppen, die universelle Sicherheits-Tags auf der aktiven Site enthalten. Der NSX Manager repliziert die Regel für die verteilte Firewall mit den universellen Sicherheitsgruppen, in denen die universellen Sicherheits-Tags enthalten sind, auf den Platzhalter-VMs. Beim Hochfahren der Platzhalter-VMs werden die replizierten Firewallregeln mit den universellen Sicherheitsgruppen und den universellen Sicherheits-Tags korrekt durchgesetzt.

Hinweis:

Vor Version 6.3 erstellte universelle Sicherheitsgruppen können nicht für die Verwendung in aktiven Standby-Bereitstellungen bearbeitet werden.