Puede crear grupos en una VPC de NSX y utilizarlos en las directivas de firewall para cumplir con los requisitos de seguridad específicos de las cargas de trabajo que se ejecutan dentro de la VPC de NSX.
Grupos predeterminados en una VPC de NSX
El sistema crea un grupo predeterminado para cada VPC de NSX que se agrega a su proyecto. El grupo predeterminado le ayuda a restringir el ámbito de las reglas de firewall a una VPC de NSX en particular.
La siguiente convención de nomenclatura se utiliza para identificar el grupo predeterminado en una VPC de NSX:
ORG-default-PROJECT-<Nombre-proyecto>-VPC-<Nombre_VPC>-default
Nombre_Proyecto y Nombre_VPC se reemplazan por valores reales en su sistema.
Este grupo predeterminado representa la propia VPC de NSX. Los miembros de este grupo predeterminado son subredes, puertos de subredes e interfaces de máquinas virtuales (VIF) que están conectadas a las subredes de VPC de NSX. Si la máquina virtual es de doble hogar (por ejemplo, cuando una interfaz está conectada a una subred de VPC y la otra está conectada a un segmento del espacio predeterminado), la VIF de esta máquina virtual en el segmento no será miembro del grupo predeterminado de VPC.
A continuación se muestra un caso práctico típico para usar el grupo predeterminado de VPC:
Supongamos que un administrador de proyecto o un usuario del espacio predeterminado desea bloquear el tráfico a todas las máquinas virtuales dentro de la VPC de NSX. Pueden utilizar el grupo predeterminado de VPC en su directiva de firewall.
Grupos creados por el usuario en una VPC de NSX
- Subredes
- Puertos de subred
- VIF
- Máquinas virtuales
- Grupos
En la pestaña Miembros del cuadro de diálogo Establecer miembros, el sistema muestra solo los objetos que son propiedad de la VPC de NSX. Los objetos que se comparten con la VPC de NSX no aparecen en este cuadro de diálogo porque los objetos compartidos no se pueden agregar como miembros en un grupo de VPC.
- Máquina virtual
- Subred
- Puerto de subred
Cuando se agrega un grupo en una VPC de NSX con criterios dinámicos basados en etiquetas de máquina virtual, las máquinas virtuales que están conectadas a las subredes en la VPC de NSX se convierten en miembros efectivos del grupo.
Los grupos que se comparten con una VPC de NSX solo se pueden utilizar en los campos Origen o Destino de la regla de firewall, y no en el campo Se aplica a de la regla de firewall.
Agregar grupos en una VPC de NSX
- Seleccione un proyecto en el menú desplegable Proyecto.
- Haga clic en la pestaña VPC.
- Expanda la VPC a la que desea agregar grupos.
- Expanda la sección Seguridad y, a continuación, haga clic en el número junto a Grupos.
Se abrirá la página Establecer grupos de VPC.
- A continuación, siga el procedimiento estándar para agregar grupos en la VPC de NSX.