Sie können Gruppen in einer NSX VPC erstellen und sie in Firewallrichtlinien verwenden, um bestimmte Sicherheitsanforderungen für die Arbeitslasten zu erfüllen, die innerhalb der NSX VPC ausgeführt werden.

Standardgruppen in einer NSX VPC

Das System erstellt eine Standardgruppe vom Typ Generisch für jede NSX VPC, die Sie in Ihrem Projekt hinzufügen. Mit der Standardgruppe können Sie den Geltungsbereich der Firewallregeln auf eine bestimmte NSX VPC beschränken.

Mit der folgenden Benennungskonvention wird die Standardgruppe in einer NSX VPC gekennzeichnet:

ORG-default-PROJECT-<Project_Name>-VPC-<VPC_Name>-default

Project_Name und VPC_Name werden durch tatsächliche Werte in Ihrem System ersetzt.

Diese Standardgruppe stellt die NSX VPC selbst dar. Die Mitglieder dieser Standardgruppe sind Subnetze, Subnetz-Ports und VM-Schnittstellen (VIFs), die mit den NSX VPC-Subnetzen verbunden sind. Wenn die VM dual vernetzt ist, z. B. wenn eine Schnittstelle mit einem VPC-Subnetz und die andere Schnittstelle mit einem Segment im Standardbereich verbunden ist, ist die VIF dieser VM im Segment kein Mitglied der VPC-Standardgruppe.

Ein typischer Anwendungsfall für die Verwendung der VPC-Standardgruppe lautet wie folgt:

Angenommen, ein Projektadministrator oder ein Benutzer im Standardbereich möchte den Datenverkehr zu allen VMs innerhalb der NSX VPC blockieren. Er kann die VPC-Standardgruppe in seiner Firewallrichtlinie verwenden.

Vom Benutzer erstellte Gruppen in einer NSX VPC

Die folgenden NSX-Objekte werden für das statische Hinzufügen zu einer Gruppendefinition innerhalb einer NSX VPC unterstützt:
  • Subnetze
  • Subnetz-Ports
  • VIFs
  • Virtuelle Maschinen
  • Gruppen

Auf der Registerkarte Mitglieder des Dialogfelds Mitglieder festlegen zeigt das System nur die Objekte an, die der NSX VPC gehören. Objekte, die für die NSX VPC freigegeben sind, werden in diesem Dialogfeld nicht aufgeführt, da freigegebene Objekte nicht als Mitglieder zu einer VPC-Gruppe hinzugefügt werden können.

Die folgenden NSX-Objekte werden für das Hinzufügen zu dynamischen Gruppenmitgliedschaftskriterien in einer NSX VPC unterstützt:
  • Virtuelle Maschine
  • Subnetz
  • Subnetz-Port

Wenn Sie eine Gruppe in einer NSX VPC mit dynamischen Kriterien basierend auf VM-Tags hinzufügen, werden die mit den Subnetzen in der NSX VPC verbundenen VMs zu effektiven Mitgliedern der Gruppe.

Gruppen, die für eine NSX VPC freigegeben sind, können nur in den Feldern Quelle oder Ziel der Firewallregel verwendet werden. Im Feld Angewendet auf der Firewallregel sind sie nicht zulässig.

Hinzufügen von Gruppen in einer NSX VPC

  1. Wählen Sie im Dropdown-Menü Projekt ein Projekt aus.
  2. Klicken Sie auf die Registerkarte VPCs.
  3. Erweitern Sie die VPC, der Sie Gruppen hinzufügen möchten.
  4. Erweitern Sie den Bereich Sicherheit und klicken Sie dann auf die Anzahl neben Gruppen.

    Die Seite VPC-Gruppen festlegen wird geöffnet.

  5. Verwenden Sie nun das Standardverfahren zum Hinzufügen von Gruppen in der NSX VPC.