Sie erstellen eine Sicherheitsgruppe (Security Group) auf der NSX Manager-Ebene.

Globale Sicherheitsgruppen werden in zwei Bereitstellungstypen verwendet: Aktiv-Cross-vCenter-NSX-Umgebungen und aktive Standby-Cross-vCenter NSX-Umgebungen, in denen eine Site zu einem bestimmten Zeitpunkt aktiv ist, während sich die anderen Sites in Standby befinden.
  • Globale Sicherheitsgruppen in einer Aktiv-Umgebung können nur die folgenden eingeschlossenen Objekte enthalten: Sicherheitsgruppen, IP Sets, MAC Sets. Sie können keine dynamische Mitgliedschaft oder ausgeschlossene Objekte konfigurieren.
  • Globale Sicherheitsgruppen in einer Aktiv/Standby-Umgebung können die folgenden eingeschlossenen Objekte enthalten: Sicherheitsgruppen, IP Sets, MAC Sets, globalen Sicherheits-Tags. Sie können auch eine dynamische Mitgliedschaft nur mithilfe des VM-Namens konfigurieren. Ausgeschlossene Objekte können nicht konfiguriert werden.
Hinweis:

Ausgeschaltete VMs, die auf dynamischen Kriterien wie Computer-Betriebssystem und Computername basieren, sind nicht in Sicherheitsgruppen enthalten. Dynamische Kriterien werden von NSX nur einmal beim Einschalten der virtuellen Maschine empfangen. Nach dem Einschalten werden die Gastdetails mit NSX Manager synchronisiert und für NSX Manager gespeichert. Dies ist auch dann der Fall, wenn die virtuelle Maschine später ausgeschaltet wird.

Hinweis: Vor Version 6.3 erstellte universelle Sicherheitsgruppen können nicht für die Verwendung in aktiven Standby-Bereitstellungen bearbeitet werden.

Voraussetzungen

Wenn Sie eine auf Active Directory-Gruppenobjekten basierende Sicherheitsgruppe erstellen, stellen Sie sicher, dass mindestens eine Domäne bei NSX Manager registriert ist. NSX Manager ruft Gruppen- und Benutzerinformationen sowie die Beziehung zwischen diesen aus jeder Domäne ab, die bei NSX Manager registriert ist. Weitere Informationen dazu finden Sie unter Registrieren einer Windows-Domäne mit NSX Manager.

Prozedur

  1. Klicken Sie im vSphere Web Client auf Netzwerk und Sicherheit (Networking & Security) > Gruppen und Tags (Groups and Tags).
  2. Navigieren Sie zur Sicherheitsgruppe (Security Group):
    • Stellen Sie bei NSX 6.4.1 und höher sicher, dass Sie sich auf der Registerkarte Sicherheitsgruppen (Security Groups) befinden.
    • Stellen Sie bei NSX 6.4.0 sicher, dass Sie sich auf der Registerkarte Gruppieren von Objekten (Grouping Objects) > Sicherheitsgruppe (Security Group) befinden.
  3. Wenn im Dropdown-Menü NSX Manager mehrere IP-Adressen verfügbar sind, wählen Sie eine IP-Adresse aus oder behalten Sie die Standardauswahl bei.
    • Um universelle Sicherheitsgruppen zu verwalten, muss der primäre NSX Manager ausgewählt werden.
  4. Klicken Sie auf Hinzufügen (Add) oder auf das Symbol Neue Sicherheitsgruppe hinzufügen (Add New Security Group).
  5. Geben Sie einen Namen und optional eine Beschreibung für die Sicherheitsgruppe ein.
  6. (Optional) Wenn Sie eine universelle Sicherheitsgruppe erstellen, wählen Sie Globale Synchronisierung (Universal Synchronization) oder Dieses Objekt für globale Synchronisierung markieren (Mark this object for universal synchronization) aus.
  7. (Optional) Wenn Sie eine universelle Sicherheitsgruppe für eine aktive Standby-Bereitstellung erstellen, wählen Sie Globale Synchronisierung/Dieses Objekt für globale Synchronisierung markieren (Universal Synchronization / Mark this object for universal synchronization) und Für aktive Standby-Bereitstellungen verwenden (Use for active standby deployments) aus. Die dynamische Mitgliedschaft für universelle Sicherheitsgruppen mit aktiver Standby-Bereitstellung basiert auf dem Namen der virtuellen Maschine.
  8. Klicken Sie auf Weiter (Next).
  9. Definieren Sie auf der Seite „Dynamische Mitgliedschaft“ die Kriterien, die ein Objekt erfüllen muss, bevor es zur von Ihnen erstellten Sicherheitsgruppe hinzugefügt werden kann. Dies hilft Ihnen dabei, virtuelle Maschinen aufzunehmen, indem Sie die Filterkriterien mit einer Anzahl an unterstützen Parametern zur Übereinstimmung mit den Suchkriterien definieren.
    Hinweis: Wenn Sie eine globale Sicherheitsgruppe erstellen, ist der Schritt Dynamische Mitgliedschaft definieren (Define dynamic membership) in Aktiv/Aktiv-Umgebungen nicht verfügbar. Er steht nur in Aktiv/Standby-Bereitstellungen auf der Basis des Namens der virtuellen Maschine zur Verfügung.
    Beispielsweise können Sie ein Kriterium definieren, nach dem alle virtuellen Maschinen mit einem bestimmten Sicherheits-Tag (wie AntiVirus.virusFound) zu der Sicherheitsgruppe hinzugefügt werden. Bei Sicherheits-Tags wird die Groß- und Kleinschreibung berücksichtigt.

    Sie können aber auch alle virtuellen Maschinen zur Sicherheitsgruppe hinzufügen, die den Namen W2008 enthalten, sowie virtuelle Maschinen, die sich im logischen Switch global_wire befinden.

    Sek.
  10. Klicken Sie auf Weiter (Next).
  11. Wählen Sie auf der Seite „Einzubeziehende Objekte auswählen“ die Registerkarte der Ressource, die Sie hinzufügen möchten, und wählen Sie eine oder mehrere Ressourcen aus, die zur Sicherheitsgruppe hinzugefügt werden sollen. Sie können die folgenden Objekte zu einer Sicherheitsgruppe hinzufügen:
    Tabelle 1. Objekte, die in Sicherheitsgruppen und universellen Sicherheitsgruppen hinzugefügt werden können.
    Sicherheitsgruppe Universelle Sicherheitsgruppe
    • Andere Sicherheitsgruppen, die innerhalb der von Ihnen erstellten Sicherheitsgruppe verschachtelt werden sollen.
    • Cluster
    • Logischer Switch
    • Netzwerk
    • Virtuelle App
    • Datencenter
    • IP Set
    • Verzeichnisgruppen
      Hinweis: Die Active Directory-Konfiguration für NSX-Sicherheitsgruppen unterscheidet sich von der AD-Konfiguration für vSphere SSO. Die AD-Gruppenkonfiguration für NSX ist für Endbenutzer bestimmt, die auf virtuelle Gastmaschinen zugreifen, während die Konfiguration für vSphere SSO für Administratoren bestimmt ist, die vSphere und NSX verwenden. Damit diese Verzeichnisgruppen verwendet werden können, müssen sie mit Active Directory synchronisiert werden. Weitere Informationen dazu finden Sie unter Überblick über die identitätsbasierte Firewall (IDFW).
    • MAC Set
    • Sicherheits-Tag
    • vNIC
    • Virtuelle Maschine
    • Ressourcenpool
    • Verteilte virtuelle Portgruppe
    • Andere universelle Sicherheitsgruppen, die innerhalb der von Ihnen erstellten universellen Sicherheitsgruppe verschachtelt werden sollen.
    • Universelle IP Set
    • Universelle MAC Set
    • Globaler Sicherheits-Tag (nur Aktiv/Standby-Bereitstellungen)
    Die hier ausgewählten Objekte sind immer in die Sicherheitsgruppe eingeschlossen, unabhängig davon, ob die Kriterien erfüllt werden, die Sie zuvor auf der Seite „Dynamische Mitgliedschaft“ festgelegt haben.

    Wenn Sie einer Sicherheitsgruppe eine Ressource hinzufügen, werden automatisch auch alle zugewiesenen Ressourcen hinzugefügt. Wenn Sie beispielsweise eine virtuelle Maschine auswählen, wird die zugewiesene vNIC automatisch zur Sicherheitsgruppe hinzugefügt.

  12. Klicken Sie auf Weiter (Next) und wählen Sie die Objekte aus, die Sie aus der Sicherheitsgruppe ausschließen möchten.
    Hinweis: Wenn Sie eine universelle Sicherheitsgruppe erstellen, ist der Schritt Auszuschließende Objekte auswählen nicht verfügbar.
    Die hier ausgewählten Objekte sind immer aus der Sicherheitsgruppe ausgeschlossen, unabhängig davon, ob die Kriterien für die dynamische Mitgliedschaft erfüllt werden.
  13. Klicken Sie auf Weiter (Next).
    Das Fenster Bereit zum Abschließen (Ready to Complete) mit einer Übersicht über die Sicherheitsgruppe wird angezeigt.
  14. Klicken Sie auf Beenden (Finish).

Beispiel

Die Mitgliedschaft in einer Sicherheitsgruppe richtet sich nach Folgendem:

{Ergebnis des Ausdrucks (abgeleitet von Dynamische Mitgliedschaft definieren (Define dynamic membership)) + Einschlüsse (angegeben in Einzubeziehende Objekte auswählen (Select objects to include)} – Ausschluss (angegeben in Auszuschließende Objekte auswählen (Select objects to exclude))

Dies bedeutet, dass die Einbeziehungsobjekte zuerst zum Ergebnis des Ausdrucks hinzugefügt werden. Ausschlussobjekte werden dann vom kombinierten Ergebnis subtrahiert.