Puede crear grupos en una NSX VPC y utilizarlos en las directivas de firewall para cumplir con los requisitos de seguridad específicos de las cargas de trabajo que se ejecutan dentro de la NSX VPC.

Grupos predeterminados en una NSX VPC

El sistema crea un grupo predeterminado para cada NSX VPC que se agrega a su proyecto. El grupo predeterminado le ayuda a restringir el ámbito de las reglas de firewall a una NSX VPC en particular.

La siguiente convención de nomenclatura se utiliza para identificar el grupo predeterminado en una NSX VPC:

PROJECT-<Nombre-proyecto>-VPC-<Nombre_VPC>-default

Nombre_Proyecto y Nombre_VPC se reemplazan por valores reales en su sistema.

Este grupo predeterminado representa la propia NSX VPC. Los miembros de este grupo predeterminado son subredes, puertos de subredes e interfaces de máquinas virtuales (VIF) que están conectadas a las subredes de NSX VPC. Si la máquina virtual es de doble hogar (por ejemplo, cuando una interfaz está conectada a una subred de VPC y la otra está conectada a un segmento del espacio predeterminado), la VIF de esta máquina virtual en el segmento no será miembro del grupo predeterminado de VPC.

A continuación se muestra un caso práctico típico para usar el grupo predeterminado de VPC:

Supongamos que un administrador de proyecto o un usuario del espacio predeterminado desea bloquear el tráfico a todas las máquinas virtuales dentro de la NSX VPC. Pueden utilizar el grupo predeterminado de VPC en su directiva de firewall.

Grupos creados por el usuario en una NSX VPC

Los siguientes objetos de NSX son compatibles para agregar de forma estática a una definición de grupo dentro de una NSX VPC:
  • Subredes
  • Puertos de subred
  • VIF
  • Máquinas virtuales
  • Grupos

En la pestaña Miembros del cuadro de diálogo Establecer miembros, el sistema muestra solo los objetos que son propiedad de la NSX VPC. Los objetos que se comparten con la NSX VPC no aparecen en este cuadro de diálogo porque los objetos compartidos no se pueden agregar como miembros en un grupo de VPC.

Los siguientes objetos de NSX se pueden agregar a los criterios de pertenencia a grupos dinámicos dentro de una NSX VPC:
  • Máquina virtual
  • Subred
  • Puerto de subred

Cuando se agrega un grupo en una NSX VPC con criterios dinámicos basados en etiquetas de máquina virtual, las máquinas virtuales que están conectadas a las subredes en la NSX VPC se convierten en miembros efectivos del grupo.

Los grupos que se comparten con una NSX VPC solo se pueden utilizar en los campos Origen o Destino de la regla de firewall, y no en el campo Se aplica a de la regla de firewall.

Agregar grupos en una NSX VPC

  1. Seleccione un proyecto en el menú desplegable Proyecto.
  2. Haga clic en la pestaña VPC.
  3. Expanda la VPC a la que desea agregar grupos.
  4. Expanda la sección Seguridad y, a continuación, haga clic en el número junto a Grupos.

    Se abrirá la página Establecer grupos de VPC.

  5. A continuación, siga el procedimiento estándar para agregar grupos en la NSX VPC.