Trabajar con grupos de seguridad

Un grupo de seguridad es una recopilación de activos u objetos agrupados del inventario de vSphere.

Los grupos de seguridad son contenedores que pueden contener varios tipos de objeto, incluidos conmutadores lógicos, vNIC, IPset y máquina virtual. Los grupos de seguridad pueden tener criterios de pertenencia dinámica basados en etiquetas de seguridad, nombre de VM o nombre de conmutador lógico. Por ejemplo, todas las VM que tengan la etiqueta de seguridad "web" se agregarán automáticamente a un grupo de seguridad específico destinado para servidores web. Tras crear un grupo de seguridad, se aplica una directiva de seguridad a ese grupo.

Importante: Si el VM-ID de una máquina virtual se vuelve a generar porque esta se movió o se copió, las etiquetas de seguridad no se propagan al nuevo VM-ID.

Los grupos de seguridad que se usen con el firewall de identidad de RDSH deben usar las directivas de seguridad en las que se marcó Habilitar la identidad del usuario en el origen (Enable User Identity at Source) cuando se crearon. Los grupos de seguridad que se usen con el firewall de identidad de RDSH solo pueden contener grupos de Active Directory (AD) y todos los grupos de seguridad anidados también deben ser grupos de AD.

Los grupos de seguridad usados en el firewall de identidad solo pueden contener grupos de directorios de AD. Los grupos anidados pueden ser sin grupos de AD u otras entidades lógicas, como máquinas virtuales.

Consulte Comportamiento de las reglas de firewall en los grupos de seguridad para obtener más información.

En un entorno cross-vCenter NSX, los grupos de seguridad universal se definen en la instancia principal de NSX Manager y se marcan para la sincronización universal con instancias secundarias de NSX Manager. Los grupos de seguridad universal no pueden tener definidos criterios de pertenencia dinámica salvo que estén marcados para ser utilizados en un escenario de implementación en espera activo.

En un entorno cross-vCenter NSX con un escenario de implementación en espera activo, SRM crea una máquina virtual de marcador en el sitio de recuperación para cada máquina virtual protegida en el sitio activo. Las máquinas virtuales de marcador no están activas y se encuentran en el modo de espera. Cuando la máquina virtual protegida se desactiva, las máquinas virtuales de marcador del sitio de recuperación se encienden y toman el control de las tareas de la máquina virtual protegida. Los usuarios crean reglas de firewall distribuido con grupos de seguridad universal que incluyen etiquetas de seguridad universales en el sitio activo. NSX Manager replica la regla de firewall distribuido con los grupos de seguridad universal que incluyen etiquetas de seguridad universales en las máquinas virtuales de marcador. Además, cuando estas máquinas virtuales se enciendan, las reglas de firewall replicadas con los grupos y las etiquetas de seguridad universales se aplicarán correctamente.

Nota:

Los grupos de seguridad universal creados antes de la versión 6.3 no se pueden editar para su uso en una implementación en espera activa.