Sie erstellen eine Sicherheitsgruppe auf der NSX Manager-Ebene.

Voraussetzungen

Wenn Sie eine Sicherheitsrichtlinie für die Verwendung mit RDSH erstellen, müssen Sie Folgendes sicherstellen:

  • Der Active Directory-Server muss in den NSX Manager integriert sein.
  • Hosts müssen DFW aktiviert haben und auf NSX 6.4.0 aktualisiert sein.
  • Gast-Maschinen müssen aktualisierte VMware Tools ausführen.
  • Es muss GI-SVM in der Version 6.4 oder höher verwendet werden.
  • Die Regel muss in einem neuen Abschnitt der Firewallregeln erstellt werden.
  • Für die Regel muss Benutzeridentität an der Quelle aktivieren ausgewählt sein.
  • Das Feld Angewendet auf wird nicht für Regeln für den Zugriff auf Remote-Desktops unterstützt.
  • ICMP wird für IDFW für RDSH nicht unterstützt.

Prozedur

  1. Navigieren Sie im vSphere Web Clientzu Netzwerk und Sicherheit (Networking & Security) > Sicherheit (Security) > Service Composer.
  2. Stellen Sie sicher, dass Sie sich auf der Registerkarte Sicherheitsgruppen (Security Groups) befinden.
  3. Klicken Sie auf das Symbol Sicherheitsgruppe hinzufügen (Add Security Group) oder Hinzufügen (Add).

    Sicherheitsgruppen, die mit der identitätsbasierten Firewall für RDSH verwendet werden, müssen Sicherheitsrichtlinien nutzen, die beim Erstellen mit der Option Benutzeridentität an der Quelle aktivieren markiert wurden. Sicherheitsgruppen, die mit der identitätsbasierten Firewall für RDSH verwendet werden, können nur Active Directory (AD)-Gruppen enthalten. Alle verschachtelten Sicherheitsgruppen müssen ebenfalls Active Directory-Gruppen sein.

  4. Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe (Security Group) ein und klicken Sie auf Weiter (Next).
  5. Definieren Sie auf der Seite „Dynamische Mitgliedschaft“ die Kriterien, die ein Objekt erfüllen muss, bevor es zur von Ihnen erstellten Sicherheitsgruppe hinzugefügt werden kann.
    Beispielsweise können Sie ein Kriterium hinzufügen, nach dem alle Mitglieder mit einem bestimmten Sicherheits-Tag (wie AntiVirus.virusFound) zu der Sicherheitsgruppe hinzugefügt werden.

    Sie können aber auch alle virtuellen Maschinen zur Sicherheitsgruppe hinzufügen, die den Namen W2008 enthalten, SOWIE virtuelle Maschinen, die sich im logischen Switch global_wire befinden.

    Bei Sicherheits-Tags wird die Groß- und Kleinschreibung berücksichtigt.
    Hinweis: Wenn Sie eine Sicherheitsgruppe für virtuelle Maschinen definieren, auf die ein bestimmtes Sicherheits-Tag angewendet wird, können Sie einen dynamischen oder bedingten Workflow erstellen. In dem Moment, in dem das Tag auf eine virtuelle Maschine angewendet wird, wird die virtuelle Maschine automatisch zu dieser Sicherheitsgruppe hinzugefügt.
  6. Klicken Sie auf Weiter (Next).
  7. Wählen Sie auf der Seite „Einzubeziehende Objekte auswählen“ den Objekttyp aus dem Dropdown-Menü aus.
    Beachten Sie, dass Sicherheitsgruppen, die für Remote-Desktop-Sitzungen verwendet werden, nur Verzeichnisgruppen enthalten dürfen.
  8. Wählen Sie das Objekt aus, das Sie zur Einschlussliste hinzufügen möchten. Sie können die folgenden Objekte zu einer Sicherheitsgruppe hinzufügen:
    • Andere Sicherheitsgruppen, die innerhalb der von Ihnen erstellten Sicherheitsgruppe verschachtelt werden sollen.
    • Cluster
    • Logischer Switch
    • Netzwerk
    • Virtuelle App
    • Datencenter
    • IP Set
    • AD-Gruppen
      Hinweis: Die AD-Konfiguration für NSX-Sicherheitsgruppen unterscheidet sich von der AD-Konfiguration für vSphere SSO. Die AD-Gruppenkonfiguration für NSX ist für Endbenutzer bestimmt, die auf virtuelle Gastmaschinen zugreifen, während vSphere SSO für Administratoren bestimmt ist, die vSphere und NSX verwenden.
    • MAC Set
      Hinweis: Service Composer ermöglicht die Verwendung von Sicherheitsgruppen, die MAC Sets in Richtlinienkonfigurationen enthalten. Allerdings kann Service Composer keine Regeln für diese speziellen MAC Sets erzwingen. Service Composer arbeitet auf Schicht 3 und unterstützt keine Schicht2-Konstrukte.
    • Sicherheits-Tag
    • vNIC
    • Virtuelle Maschine
    • Ressourcenpool
    • Verteilte virtuelle Portgruppe
    Die hier ausgewählten Objekte sind immer in der Sicherheitsgruppe eingeschlossen, unabhängig davon, ob die Kriterien für die dynamische Mitgliedschaft erfüllt werden.

    Wenn Sie einer Sicherheitsgruppe eine Ressource hinzufügen, werden automatisch auch alle zugewiesenen Ressourcen hinzugefügt. Wenn Sie beispielsweise eine virtuelle Maschine auswählen, wird die zugewiesene vNIC automatisch zur Sicherheitsgruppe hinzugefügt.

  9. Klicken Sie auf Weiter (Next) und doppelklicken Sie auf die Objekte, die Sie aus der Sicherheitsgruppe ausschließen möchten.
    Die hier ausgewählten Objekte werden immer aus der Sicherheitsgruppe ausgeschlossen, sogar wenn sie den dynamischen Kriterien entsprechen oder in der Einschlussliste ausgewählt wurden.
  10. Klicken Sie auf Beenden (Finish).

Beispiel

Die Mitgliedschaft in einer Sicherheitsgruppe richtet sich nach Folgendem:

{Ergebnis des Ausdrucks (abgeleitet aus Schritt 5) + Einschlüsse (angegeben in Schritt 7} - Ausschluss (angegeben in Schritt 9) Dies bedeutet, dass Einschlusselemente zuerst zum Ergebnis des Ausdrucks hinzugefügt werden. Ausschlussobjekte werden dann vom kombinierten Ergebnis subtrahiert.