Mit Service Composer können Sie Netzwerk- und Sicherheitsdienste für Anwendungen in einer virtuellen Infrastruktur bereitstellen und zuweisen. Sie können diese Dienste einer Sicherheitsgruppe (Security Group) zuweisen. Diese Dienste werden auf die virtuellen Maschinen in der Sicherheitsgruppe angewendet.
Security Group
Zuerst erstellen Sie eine Sicherheitsgruppe, um die Assets zu definieren, die geschützt werden sollen. Sicherheitsgruppen können statisch (dazu gehören bestimmte virtuelle Maschinen) oder dynamisch sein, wobei die Mitgliedschaft auf eine der folgenden Weisen definiert werden kann:
- vCenter-Container (Cluster, Portgruppen oder Datencenter)
- Sicherheits-Tags, IPset, MACset oder sogar andere Sicherheitsgruppen. Beispielsweise können Sie ein Kriterium hinzufügen, nach dem alle Mitglieder mit einem bestimmten Sicherheits-Tag (wie AntiVirus.virusFound) zu der Sicherheitsgruppe hinzugefügt werden.
- Verzeichnisgruppen (wenn NSX Manager bei Active Directory registriert ist)
- Reguläre Ausdrücke, wie beispielsweise virtuelle Maschinen mit dem Namen VM1
Beachten Sie, dass sich die Mitgliedschaft der Sicherheitsgruppe ständig ändert. Beispielsweise wird eine virtuelle Maschine, die mit dem Tag AntiVirus.virusFound versehen ist, in die Sicherheitsgruppe „Quarantäne“ verschoben. Wenn der Virus gelöscht und das Tag aus der virtuellen Maschine entfernt wurde, wird die virtuelle Maschine wieder aus der Sicherheitsgruppe „Quarantäne“ verschoben.
Sicherheitsrichtlinie
Dienst | Beschreibung | Geltungsbereich |
---|---|---|
Firewallregeln | Diese Regeln legen den Datenverkehr fest, der von, zu oder innerhalb der Sicherheitsgruppe zulässig ist. | vNIC |
Endpoint-Dienst | Dienste von Drittanbietern, wie beispielsweise Virenschutz- oder Vulnerability Management-Dienste. | virtuelle Maschinen |
Netzwerk-Introspektionsdienste | Diese Dienste überwachen Ihr Netzwerk, wie beispielsweise IPS. | virtuelle Maschinen |
Während einer Dienstbereitstellung in NSX wählt der Drittanbieter die Kategorie des bereitgestellten Dienstes aus. Für jede Anbietervorlage wird ein voreingestelltes Dienstprofil erstellt.
Bei der Aktualisierung der Drittanbieter-Dienste auf NSX 6.1 werden voreingestellte Dienstprofile für die aktualisierten Anbietervorlagen erstellt. Vorhandene Dienstrichtlinien, die Regeln für Guest Introspection beinhalten, werden aktualisiert, um auf die während der Aktualisierung erstellten Dienstprofile zu verweisen.
Zuweisen einer Sicherheitsrichtlinie zu einer Sicherheitsgruppe
Sie können eine Sicherheitsrichtlinie (beispielsweise SP1) zu einer Sicherheitsgruppe (beispielsweise SG1) zuweisen. Die für SP1 konfigurierten Dienste werden auf alle virtuellen Maschinen angewendet, die Mitglieder von SG1 sind.
Wenn eine virtuelle Maschine zu mehr als einer Sicherheitsgruppe gehört, dann sind die auf die virtuelle Maschine angewendeten Dienste abhängig vom Vorrang der Sicherheitsrichtlinie, die den Sicherheitsgruppen zugewiesen ist.
Die Service Composer-Profile können als Sicherungen oder zur Verwendung in anderen Umgebungen exportiert und importiert werden. Diese Methode zum Verwalten von Netzwerk- und Sicherheitsdiensten bietet Ihnen eine detaillierte und reproduzierbare Verwaltung von Sicherheitsrichtlinien.