Sie erstellen eine Sicherheitsgruppe (Security Group) auf der NSX Manager-Ebene.

Warum und wann dieser Vorgang ausgeführt wird

Globale Sicherheitsgruppen werden in zwei Bereitstellungstypen verwendet: Aktiv/Aktiv-Cross-vCenter-NSX-Umgebungen und Aktiv/Standby-Cross-vCenter NSX-Umgebungen, in denen eine Site zu einem bestimmten Zeitpunkt aktiv ist, während sich die anderen Sites in Standby befinden.

  • Globale Sicherheitsgruppen in einer Aktiv/Aktiv-Umgebung können nur die folgenden eingeschlossenen Objekte enthalten: Sicherheitsgruppen, IP Sets, MAC Sets. Sie können keine dynamische Mitgliedschaft oder ausgeschlossene Objekte konfigurieren.

  • Globale Sicherheitsgruppen in einer Aktiv/Standby-Umgebung können die folgenden eingeschlossenen Objekte enthalten: Sicherheitsgruppen, IP Sets, MAC Sets, globalen Sicherheits-Tags. Sie können auch eine dynamische Mitgliedschaft nur mithilfe des VM-Namens konfigurieren. Ausgeschlossene Objekte können nicht konfiguriert werden.

Anmerkung:

Vor Version 6.3 erstellte universelle Sicherheitsgruppen können nicht für die Verwendung in aktiven Standby-Bereitstellungen bearbeitet werden.

Voraussetzungen

Wenn Sie eine auf Active Directory-Gruppenobjekten basierende Sicherheitsgruppe erstellen, stellen Sie sicher, dass mindestens eine Domäne bei NSX Manager registriert ist. NSX Manager ruft Gruppen- und Benutzerinformationen sowie die Beziehung zwischen diesen aus jeder Domäne ab, die bei NSX Manager registriert ist. Weitere Informationen dazu finden Sie unter Registrieren einer Windows-Domäne mit NSX Manager.

Prozedur

  1. Melden Sie sich beim vSphere Web Client an.
  2. Klicken Sie auf Networking & Security und anschließend unter Bestandsliste für Netzwerk und Sicherheit (Networking & Security Inventory) auf NSX Manager (NSX Managers).
  3. Klicken Sie in der Spalte Name auf einen NSX Manager und klicken Sie dann auf die Registerkarte Verwalten (Manage).
    • Zur Verwaltung globaler Sicherheitsgruppen müssen Sie den primären NSX Manager auswählen.

  4. Klicken Sie auf die Registerkarte Gruppieren von Objekten (Grouping Objects) auf Sicherheitsgruppe (Security Group) und dann auf das Symbol Security Group hinzufügen (Add Security Group).
  5. Geben Sie einen Namen und optional eine Beschreibung für die Sicherheitsgruppe ein.
  6. (Optional) : Wenn Sie eine universelle Sicherheitsgruppe erstellen, wählen Sie Dieses Objekt für globale Synchronisierung markieren (Mark this object for universal synchronization) aus.
  7. (Optional) : Wenn Sie eine universelle Sicherheitsgruppe für eine aktive Standby-Bereitstellung erstellen, wählen Sie Dieses Objekt für globale Synchronisierung markieren (Mark this object for universal synchronization) und Für aktive Standby-Bereitstellungen verwenden (Use for active standby deployments) aus. Die dynamische Mitgliedschaft für universelle Sicherheitsgruppen mit aktiver Standby-Bereitstellung basiert auf dem Namen der virtuellen Maschine.
  8. Klicken Sie auf Weiter (Next).
  9. Definieren Sie auf der Seite „Dynamische Mitgliedschaft“ die Kriterien, die ein Objekt erfüllen muss, bevor es zur von Ihnen erstellten Sicherheitsgruppe hinzugefügt werden kann. Dies hilft Ihnen dabei, virtuelle Maschinen aufzunehmen, indem Sie die Filterkriterien mit einer Anzahl an unterstützen Parametern zur Übereinstimmung mit den Suchkriterien definieren.
    Anmerkung:

    Wenn Sie eine globale Sicherheitsgruppe erstellen, ist der Schritt Dynamische Mitgliedschaft definieren (Define dynamic membership) in Aktiv/Aktiv-Umgebungen nicht verfügbar. Er steht nur in Aktiv/Standby-Bereitstellungen auf der Basis des Namens der virtuellen Maschine zur Verfügung.

    Beispielsweise können Sie ein Kriterium definieren, nach dem alle virtuellen Maschinen mit einem bestimmten Sicherheits-Tag (wie AntiVirus.virusFound) zu der Sicherheitsgruppe hinzugefügt werden. Bei Sicherheits-Tags wird die Groß- und Kleinschreibung berücksichtigt.

    Sie können aber auch alle virtuellen Maschinen zur Sicherheitsgruppe hinzufügen, die den Namen W2008 enthalten, sowie virtuelle Maschinen, die sich im logischen Switch global_wire befinden.

    Sek.

  10. Klicken Sie auf Weiter (Next).
  11. Wählen Sie auf der Seite „Einzubeziehende Objekte auswählen“ die Registerkarte der Ressource, die Sie hinzufügen möchten, und wählen Sie eine oder mehrere Ressourcen aus, die zur Sicherheitsgruppe hinzugefügt werden sollen. Sie können die folgenden Objekte zu einer Sicherheitsgruppe hinzufügen:
    Tabelle 1. Objekte, die in Sicherheitsgruppen und universellen Sicherheitsgruppen hinzugefügt werden können.

    Sicherheitsgruppe

    Universelle Sicherheitsgruppe

    • Andere Sicherheitsgruppen, die innerhalb der von Ihnen erstellten Sicherheitsgruppe verschachtelt werden sollen.

    • Cluster

    • Logischer Switch

    • Netzwerk

    • Virtuelle App

    • Datencenter

    • IP-Sätze

    • Verzeichnisgruppen

      Anmerkung:

      Die Active Directory-Konfiguration für NSX-Sicherheitsgruppen unterscheidet sich von der AD-Konfiguration für vSphere SSO. Die AD-Gruppenkonfiguration für NSX ist für Endbenutzer bestimmt, die auf virtuelle Gastmaschinen zugreifen, während die Konfiguration für vSphere SSO für Administratoren bestimmt ist, die vSphere und NSX verwenden. Damit diese Verzeichnisgruppen verwendet werden können, müssen sie mit Active Directory synchronisiert werden. Weitere Informationen dazu finden Sie unter Überblick über die identitätsbasierte Firewall (IDFW).

    • MAC-Sätze

    • Sicherheits-Tag

    • vNIC

    • Virtuelle Maschine

    • Ressourcenpool

    • Verteilte virtuelle Portgruppe

    • Andere universelle Sicherheitsgruppen, die innerhalb der von Ihnen erstellten universellen Sicherheitsgruppe verschachtelt werden sollen.

    • Universelle IP-Sätze

    • Universelle MAC-Sätze

    • Globaler Sicherheits-Tag (nur Aktiv/Standby-Bereitstellungen)

    Die hier ausgewählten Objekte sind immer in der Sicherheitsgruppe eingeschlossen, unabhängig davon, ob die Kriterien in Schritt 8 erfüllt werden.

    Wenn Sie einer Sicherheitsgruppe eine Ressource hinzufügen, werden automatisch auch alle zugewiesenen Ressourcen hinzugefügt. Wenn Sie beispielsweise eine virtuelle Maschine auswählen, wird die zugewiesene vNIC automatisch zur Sicherheitsgruppe hinzugefügt.

  12. Klicken Sie auf Weiter (Next) und wählen Sie die Objekte aus, die Sie aus der Sicherheitsgruppe ausschließen möchten.
    Anmerkung:

    Wenn Sie eine universelle Sicherheitsgruppe erstellen, ist der Schritt Auszuschließende Objekte auswählen nicht verfügbar.

    Die hier ausgewählten Objekte sind immer aus der Sicherheitsgruppe ausgeschlossen, unabhängig davon, ob die Kriterien für die dynamische Mitgliedschaft erfüllt werden.

  13. Klicken Sie auf Weiter (Next).

    Das Fenster Bereit zum Abschließen (Ready to Complete) mit einer Übersicht über die Sicherheitsgruppe wird angezeigt.

  14. Klicken Sie auf Beenden (Finish).

Beispiel

Die Mitgliedschaft in einer Sicherheitsgruppe richtet sich nach Folgendem:

{Ergebnis des Ausdrucks (abgeleitet von Dynamische Mitgliedschaft definieren (Define dynamic membership)) + Einschlüsse (angegeben in Einzubeziehende Objekte auswählen (Select objects to include)} – Ausschluss (angegeben in Auszuschließende Objekte auswählen (Select objects to exclude))

Dies bedeutet, dass die Einbeziehungsobjekte zuerst zum Ergebnis des Ausdrucks hinzugefügt werden. Ausschlussobjekte werden dann vom kombinierten Ergebnis subtrahiert.