Es posible crear un grupo de seguridad en el nivel de NSX Manager.

Por qué y cuándo se efectúa esta tarea

Los grupos de seguridad universal se utilizan en dos tipos de implementación: entornos Cross-vCenter NSX activos activos y entornos Cross-vCenter NSX en espera activos, donde un sitio está activo en un momento determinado y el resto se encuentra en espera.

  • Los grupos de seguridad universal en un entorno activo activo pueden contener sólo los siguientes objetos incluidos: grupos de seguridad, conjuntos de direcciones IP, conjuntos de direcciones MAC. No puede configurar la pertenencia dinámica ni los objetos excluidos.

  • Los grupos de seguridad universal en un entorno en espera activo pueden incluir los siguientes objetos: conjuntos de grupos de seguridad, direcciones IP, conjuntos de direcciones MAC, etiquetas de seguridad universal. También puede configurar la pertenencia dinámica solo mediante el nombre de máquina virtual. No puede configurar objetos excluidos.

Nota:

Los grupos de seguridad universal creados antes de la versión 6.3 no se pueden editar para su uso en una implementación en espera activa.

Requisitos

Si crea un grupo de seguridad basado en objetos de grupos de Active Directory, asegúrese de que haya uno o varios dominios registrados en NSX Manager. NSX Manager obtiene información del grupo y del usuario, así como de la relación existente entre estos elementos, desde cada dominio con el que está registrado. Consulte Registrar un dominio de Windows con NSX Manager.

Procedimiento

  1. Inicie sesión en vSphere Web Client.
  2. Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redes y seguridad (Networking & Security Inventory), haga clic en NSX Managers.
  3. Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestaña Administrar (Manage).
    • Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos de seguridad universales.

  4. Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupo de seguridad (Security Group) y en el icono Agregar grupo de seguridad (Add Security Group).
  5. Escriba un nombre y, de manera opcional, una descripción para el grupo de seguridad.
  6. (Opcional) : Si está creando un grupo de seguridad universal, seleccione Marcar este objeto para sincronización universal (Mark this object for universal synchronization).
  7. (Opcional) : Si está creando un grupo de seguridad universal para usarlo en una implementación en espera activa, seleccione Marcar este objeto para sincronización universal (Mark this object for universal synchronization) y Utilizar para implementaciones en espera activas (Use for active standby deployments). La pertenencia dinámica para grupos de seguridad universales con implementación en espera activa se basa en el nombre de la máquina virtual
  8. Haga clic en Siguiente (Next).
  9. En la página Pertenencia dinámica (Dynamic Membership), defina los criterios que debe cumplir un objeto para que se pueda agregar al grupo de seguridad que va a crear. Al definir un filtro de criterios con una serie de parámetros compatibles con los criterios de búsqueda, se pueden incluir máquinas virtuales.
    Nota:

    Si crea un grupo de seguridad universal, el paso Definir pertenencia dinámica (Define dynamic membership) no está disponible para las implementaciones activas activas. Está disponible en las implementaciones en espera activas, únicamente en función del nombre de la máquina virtual.

    Por ejemplo, puede incluir un criterio para agregar al grupo de seguridad todas las máquinas virtuales etiquetadas con la etiqueta de seguridad específica (como AntiVirus.virusFound). Las etiquetas de seguridad distinguen entre mayúsculas y minúsculas.

    O bien puede agregar al grupo de seguridad todas las máquinas virtuales que contengan el nombre W2008 y las máquinas virtuales que estén en el conmutador lógico global_wire.

    sec

  10. Haga clic en Siguiente (Next).
  11. En la página Seleccionar los objetos que se van a incluir (Select objects to include), seleccione la pestaña del recurso que desea agregar y, a continuación, seleccione uno o varios recursos para agregarlos al grupo de seguridad. Puede incluir los siguientes objetos en un grupo de seguridad.
    Tabla 1. Objetos que pueden incluirse en grupos de seguridad y grupos de seguridad universales.

    Grupo de seguridad

    Grupo de seguridad universal

    • Otros grupos de seguridad para agrupar dentro del grupo de seguridad que se va a crear.

    • Clúster

    • Conmutador lógico

    • Red

    • Aplicación virtual

    • Centro de datos

    • Conjuntos de direcciones IP

    • Grupos de directorios

      Nota:

      La configuración de Active Directory para los grupos de seguridad de NSX es diferente de la configuración de Active Directory para vSphere SSO. La configuración de grupos de AD de NSX es para los usuarios finales que acceden a máquinas virtuales invitadas, mientras que vSphere SSO es para los administradores que utilizan vSphere y NSX. Para utilizar estos grupos de directorio debe sincronizarse con Active Directory. Consulte Introducción al firewall de identidad.

    • Conjuntos de direcciones MAC

    • Etiqueta de seguridad

    • vNIC

    • Máquina virtual

    • Grupo de recursos

    • Grupo de puertos virtuales distribuidos

    • Otros grupos de seguridad universales para agrupar dentro del grupo de seguridad universal que se va a crear.

    • Conjuntos de direcciones IP universales

    • Conjuntos de direcciones MAC universales

    • Etiqueta de seguridad universal (solo para implementaciones en espera activas)

    Los objetos seleccionados aquí siempre se incluyen en el grupo de seguridad, más allá de si coinciden o no con los criterios mencionados en el Paso 8.

    Cuando se agrega un recurso a un grupo de seguridad, todos los recursos asociados se agregan automáticamente. Por ejemplo, cuando selecciona una máquina virtual, la vNIC asociada se agrega automáticamente al grupo de seguridad.

  12. Haga clic en Siguiente (Next) y seleccione los objetos que desea excluir del grupo de seguridad.
    Nota:

    Si crea un grupo de seguridad universal, el paso Seleccionar los objetos que se van a excluir (Select objects to exclude) no está disponible.

    Los objetos seleccionados aquí siempre se excluyen del grupo de seguridad, más allá de si coinciden o no con los criterios dinámicos.

  13. Haga clic en Siguiente (Next).

    Se muestra la ventana Listo para completar (Ready to Complete) con un resumen del grupo de seguridad.

  14. Haga clic en Finalizar (Finish).

Ejemplo

La pertenencia a un grupo de seguridad se determina de la siguiente manera:

{Resultado de la expresión [derivado de Definir pertenencia dinámica(Define dynamic membership)] + inclusión [especificado en Seleccionar objetos para incluir(Select objects to include)]} - Exclusión [especificado en Seleccionar objetos para excluir(Select objects to exclude)]

Esto significa que los elementos de inclusión se agregan primero al resultado de la expresión. A continuación, se restan los elementos de exclusión del resultado total.