Es posible crear un grupo de seguridad en el nivel de NSX Manager.

Los grupos de seguridad universal se utilizan en dos tipos de implementación: entornos Cross-vCenter NSX activos y entornos Cross-vCenter NSX en espera activos, donde un sitio está activo en un momento determinado y el resto se encuentra en espera.
  • Los grupos de seguridad universal en un entorno activo pueden contener solo los siguientes objetos incluidos: grupos de seguridad, conjuntos de direcciones IP, conjuntos de direcciones MAC. No puede configurar la pertenencia dinámica ni los objetos excluidos.
  • Los grupos de seguridad universal en un entorno en espera activo pueden incluir los siguientes objetos: conjuntos de grupos de seguridad, direcciones IP, conjuntos de direcciones MAC, etiquetas de seguridad universal. También puede configurar la pertenencia dinámica solo mediante el nombre de máquina virtual. No puede configurar objetos excluidos.
Nota:

Las máquinas virtuales desconectadas que se basen en un criterio dinámico, como el nombre del equipo o de su sistema operativo, no se incluirán en los grupos de seguridad. NSX solo recibe una vez los criterios dinámicos cuando la máquina virtual se enciende. Después de encenderse, los detalles de los invitados se sincronizan con NSX Manager y se mantienen en NSX Manager aunque la máquina virtual se desconecte.

Nota: Los grupos de seguridad universal creados antes de la versión 6.3 no se pueden editar para su uso en una implementación en espera activa.

Requisitos previos

Si crea un grupo de seguridad basado en objetos de grupos de Active Directory, asegúrese de que haya uno o varios dominios registrados en NSX Manager. NSX Manager obtiene información del grupo y del usuario, así como de la relación existente entre estos elementos, desde cada dominio con el que está registrado. Consulte Registrar un dominio de Windows con NSX Manager.

Procedimiento

  1. En vSphere Web Client, haga clic en Redes y seguridad (Networking & Security) > Grupos y etiquetas (Groups and Tags).
  2. Acceda al Grupo de seguridad (Security Group):
    • En NSX 6.4.1 y versiones posteriores, asegúrese de que se encuentra en la pestaña Grupos de seguridad (Security Groups).
    • En NSX 6.4.0, asegúrese de que se encuentra en la pestaña Agrupar objetos (Grouping Objects) > Grupo de seguridad (Security Group).
  3. Si hay varias direcciones IP disponibles en el menú desplegable NSX Manager, seleccione una de ellas o bien mantenga la selección predeterminada.
    • Para administrar los grupos de seguridad universal, se debe seleccionar el NSX Manager principal.
  4. Haga clic en Agregar (Add) o en el icono Agregar un nuevo grupo de seguridad (Add New Security Group).
  5. Escriba un nombre y, de manera opcional, una descripción para el grupo de seguridad.
  6. (opcional) Si está creando un grupo de seguridad universal, seleccione Sincronización universal (Universal Synchronization) o Marcar este objeto para sincronización universal (Mark this object for universal synchronization).
  7. (opcional) Si está creando un grupo de seguridad universal para usarlo en una implementación en espera activa, seleccione Sincronización universal/Marcar este objeto para sincronización universal (Universal Synchronization / Mark this object for universal synchronization) y Utilizar para implementaciones en espera activas (Use for active standby deployments). La pertenencia dinámica para grupos de seguridad universales con implementación en espera activa se basa en el nombre de la máquina virtual
  8. Haga clic en Siguiente (Next).
  9. En la página Pertenencia dinámica (Dynamic Membership), defina los criterios que debe cumplir un objeto para que se pueda agregar al grupo de seguridad que va a crear. Al definir un filtro de criterios con una serie de parámetros compatibles con los criterios de búsqueda, se pueden incluir máquinas virtuales.
    Nota: Si crea un grupo de seguridad universal, el paso Definir pertenencia dinámica (Define dynamic membership) no está disponible para las implementaciones activas activas. Está disponible en las implementaciones en espera activas, únicamente en función del nombre de la máquina virtual.
    Por ejemplo, puede incluir un criterio para agregar al grupo de seguridad todas las máquinas virtuales etiquetadas con la etiqueta de seguridad específica (como AntiVirus.virusFound). Las etiquetas de seguridad distinguen entre mayúsculas y minúsculas.

    O bien puede agregar al grupo de seguridad todas las máquinas virtuales que contengan el nombre W2008 y las máquinas virtuales que estén en el conmutador lógico global_wire.

    sec
  10. Haga clic en Siguiente (Next).
  11. En la página Seleccionar los objetos que se van a incluir (Select objects to include), seleccione la pestaña del recurso que desea agregar y, a continuación, seleccione uno o varios recursos para agregarlos al grupo de seguridad. Puede incluir los siguientes objetos en un grupo de seguridad.
    Tabla 1. Objetos que pueden incluirse en grupos de seguridad y grupos de seguridad universales.
    Grupo de seguridad Grupo de seguridad universal
    • Otros grupos de seguridad para agrupar dentro del grupo de seguridad que se va a crear.
    • Clúster
    • Conmutador lógico
    • Red
    • Aplicación virtual
    • Centro de datos
    • Conjuntos de direcciones IP
    • Grupos de directorios
      Nota: La configuración de Active Directory para los grupos de seguridad de NSX es diferente de la configuración de Active Directory para vSphere SSO. La configuración de grupos de AD de NSX es para los usuarios finales que acceden a máquinas virtuales invitadas, mientras que vSphere SSO es para los administradores que utilizan vSphere y NSX. Para utilizar estos grupos de directorio debe sincronizarse con Active Directory. Consulte Introducción al firewall de identidad.
    • Conjuntos de direcciones MAC
    • Etiqueta de seguridad
    • vNIC
    • Máquina virtual
    • Grupo de recursos
    • Grupo de puertos virtuales distribuidos
    • Otros grupos de seguridad universales para agrupar dentro del grupo de seguridad universal que se va a crear.
    • Conjuntos de direcciones IP universales
    • Conjuntos de direcciones MAC universales
    • Etiqueta de seguridad universal (solo para implementaciones en espera activas)
    Los objetos aquí seleccionados se incluyen siempre en el grupo de seguridad, independientemente de que coincidan o no con los criterios que definió antes en la página Dynamic Membership (Membresía dinámica).

    Cuando se agrega un recurso a un grupo de seguridad, todos los recursos asociados se agregan automáticamente. Por ejemplo, cuando selecciona una máquina virtual, la vNIC asociada se agrega automáticamente al grupo de seguridad.

  12. Haga clic en Siguiente (Next) y seleccione los objetos que desea excluir del grupo de seguridad.
    Nota: Si crea un grupo de seguridad universal, el paso Seleccionar los objetos que se van a excluir (Select objects to exclude) no está disponible.
    Los objetos seleccionados aquí siempre se excluyen del grupo de seguridad, más allá de si coinciden o no con los criterios dinámicos.
  13. Haga clic en Siguiente (Next).
    Se muestra la ventana Listo para completar (Ready to Complete) con un resumen del grupo de seguridad.
  14. Haga clic en Finalizar (Finish).

Ejemplo

La pertenencia a un grupo de seguridad se determina de la siguiente manera:

{Resultado de la expresión [derivado de Definir pertenencia dinámica(Define dynamic membership)] + inclusión [especificado en Seleccionar objetos para incluir(Select objects to include)]} - Exclusión [especificado en Seleccionar objetos para excluir(Select objects to exclude)]

Esto significa que los elementos de inclusión se agregan primero al resultado de la expresión. A continuación, se restan los elementos de exclusión del resultado total.