Sie erstellen eine Sicherheitsgruppe (Security Group) auf der NSX Manager-Ebene.

Vorbereitungen

Wenn Sie eine auf Active Directory-Gruppenobjekten basierende Sicherheitsgruppe erstellen, stellen Sie sicher, dass mindestens eine Domäne bei NSX Manager registriert ist. NSX Manager ruft Gruppen- und Benutzerinformationen sowie die Beziehung zwischen diesen aus jeder Domäne ab, die bei NSX Manager registriert ist. Weitere Informationen dazu finden Sie unter Registrieren einer Windows-Domäne mit NSX Manager.

Prozedur

  1. Melden Sie sich beim vSphere Web Client an.
  2. Klicken Sie auf Networking & Security und anschließend unter Bestandsliste für Netzwerk und Sicherheit (Networking & Security Inventory) auf NSX Manager (NSX Managers).
  3. Klicken Sie in der Spalte Name auf einen NSX Manager und klicken Sie dann auf die Registerkarte Verwalten (Manage).
    • Zur Verwaltung globaler Sicherheitsgruppen müssen Sie den primären NSX Manager auswählen.

  4. Klicken Sie auf die Registerkarte Gruppieren von Objekten (Grouping Objects) auf Sicherheitsgruppe (Security Group) und dann auf das Symbol Security Group hinzufügen (Add Security Group).
  5. Geben Sie einen Namen und optional eine Beschreibung für die Sicherheitsgruppe ein.
  6. (Optional) : Wenn Sie eine universelle Sicherheitsgruppe erstellen müssen, wählen Sie Dieses Objekt für globale Synchronisierung markieren (Mark this object for universal synchronization) aus.
  7. Klicken Sie auf Weiter (Next).
  8. Definieren Sie auf der Seite „Dynamische Mitgliedschaft“ die Kriterien, die ein Objekt erfüllen muss, bevor es zur von Ihnen erstellten Sicherheitsgruppe hinzugefügt werden kann. Dies hilft Ihnen dabei, virtuelle Maschinen aufzunehmen, indem Sie die Filterkriterien mit einer Anzahl an unterstützen Parametern zur Übereinstimmung mit den Suchkriterien definieren.
    Anmerkung:

    Wenn Sie eine universelle Sicherheitsgruppe erstellen, ist der Schritt Dynamische Mitgliedschaft definieren nicht verfügbar.

    Beispielsweise können Sie ein Kriterium definieren, nach dem alle virtuellen Maschinen mit einem bestimmten Sicherheits-Tag (wie AntiVirus.virusFound) zu der Sicherheitsgruppe hinzugefügt werden. Bei Sicherheits-Tags wird die Groß- und Kleinschreibung berücksichtigt.

    Sie können aber auch alle virtuellen Maschinen zur Sicherheitsgruppe hinzufügen, die den Namen W2008 enthalten, sowie virtuelle Maschinen, die sich im logischen Switch global_wire befinden.

    Sek.

  9. Klicken Sie auf Weiter (Next).
  10. Wählen Sie auf der Seite „Einzubeziehende Objekte auswählen“ die Registerkarte der Ressource, die Sie hinzufügen möchten, und wählen Sie eine oder mehrere Ressourcen aus, die zur Sicherheitsgruppe hinzugefügt werden sollen. Sie können die folgenden Objekte zu einer Sicherheitsgruppe hinzufügen:
    Tabelle 1. Objekte, die in Sicherheitsgruppen und universellen Sicherheitsgruppen hinzugefügt werden können.

    Sicherheitsgruppe

    Universelle Sicherheitsgruppe

    • Andere Sicherheitsgruppen, die innerhalb der von Ihnen erstellten Sicherheitsgruppe verschachtelt werden sollen.

    • Cluster

    • logischen Switch

    • Netzwerk

    • Virtuelle App

    • Datencenter

    • IP-Sätze

    • Verzeichnisgruppen

      Anmerkung:

      Die Active Directory-Konfiguration für NSX-Sicherheitsgruppen unterscheidet sich von der AD-Konfiguration für vSphere SSO. Die AD-Gruppenkonfiguration für NSX ist für Endbenutzer bestimmt, die auf virtuelle Gastmaschinen zugreifen, während die Konfiguration für vSphere SSO für Administratoren bestimmt ist, die vSphere und NSX verwenden. Damit diese Verzeichnisgruppen verwendet werden können, müssen sie mit Active Directory synchronisiert werden. Weitere Informationen dazu finden Sie unter Überblick über die identitätsbasierte Firewall (IDFW).

    • MAC-Sätze

    • Sicherheits-Tag

    • vNIC

    • Virtuelle Maschine

    • Ressourcenpool

    • Verteilte virtuelle Portgruppe

    • Andere universelle Sicherheitsgruppen, die innerhalb der von Ihnen erstellten universellen Sicherheitsgruppe verschachtelt werden sollen.

    • Universelle IP-Sätze

    • Universelle MAC-Sätze

    Die hier ausgewählten Objekte sind immer in der Sicherheitsgruppe eingeschlossen, unabhängig davon, ob die Kriterien in Schritt 8 erfüllt werden.

    Wenn Sie einer Sicherheitsgruppe eine Ressource hinzufügen, werden automatisch auch alle zugewiesenen Ressourcen hinzugefügt. Wenn Sie beispielsweise eine virtuelle Maschine auswählen, wird die zugewiesene vNIC automatisch zur Sicherheitsgruppe hinzugefügt.

  11. Klicken Sie auf Weiter (Next) und wählen Sie die Objekte aus, die Sie aus der Sicherheitsgruppe ausschließen möchten.
    Anmerkung:

    Wenn Sie eine universelle Sicherheitsgruppe erstellen, ist der Schritt Auszuschließende Objekte auswählen nicht verfügbar.

    Die hier ausgewählten Objekte sind immer aus der Sicherheitsgruppe ausgeschlossen, unabhängig davon, ob die Kriterien für die dynamische Mitgliedschaft erfüllt werden.

  12. Klicken Sie auf Beenden (Finish).

Beispiel

Die Mitgliedschaft in einer Sicherheitsgruppe richtet sich nach Folgendem:

{Ergebnis des Ausdrucks (entnommen aus Schritt 8) + Einbeziehungen (angegeben in Schritt 10} – Ausschluss (angegeben in Schritt 11)

Dies bedeutet, dass die Einbeziehungsobjekte zuerst zum Ergebnis des Ausdrucks hinzugefügt werden. Ausschlussobjekte werden dann vom kombinierten Ergebnis subtrahiert.