Vous pouvez créer un groupe de sécurité au niveau de l'instance de NSX Manager.

Les groupes de sécurité universels sont utilisés dans deux types de déploiements : environnements cross-vCenter NSX actifs et environnements cross-vCenter NSX en veille active, où un site est en direct à un moment donné et le reste est en attente.
  • Des groupes de sécurité universels dans un environnement actif ne peuvent contenir que les objets inclus suivants : groupes de sécurité, ensembles d'adresses IP, ensembles d'adresses MAC. Vous ne pouvez pas configurer une appartenance dynamique ou des objets exclus.
  • Des groupes de sécurité universels dans un environnement en veille active peuvent contenir les objets inclus suivants : groupes de sécurité, ensembles d'adresses IP, ensembles d'adresses MAC, balises de sécurité universelle. Vous pouvez également configurer une appartenance dynamique en utilisant le nom de VM uniquement. Vous ne pouvez pas configurer d'objets exclus.
Note :

Les machines virtuelles désactivées basées sur des critères dynamiques tels que le nom du système d'exploitation de l'ordinateur et le nom de l'ordinateur ne sont pas incluses dans les groupes de sécurité. Les critères dynamiques sont reçus par NSX une seule fois, lorsque la machine virtuelle est activée. Après l'activation, les détails de l'invité sont synchronisés avec NSX Manager et restent sur l'instance de NSX Manager, même si la machine virtuelle est désactivée ultérieurement.

Note : Les groupes de sécurité universels créés avant la version 6.3 ne peuvent pas être modifiés pour une utilisation dans les déploiements en mode Veille active.

Conditions préalables

Si vous créez un groupe de sécurité basé sur des objets de groupe Active Directory, vérifiez qu'un ou plusieurs domaines ont été enregistrés dans NSX Manager. NSX Manager obtient de chaque domaine enregistré des informations sur les utilisateurs et les groupes, ainsi que sur la relation entre eux. Reportez-vous à la section Enregistrer un domaine Windows avec NSX Manager.

Procédure

  1. Dans vSphere Web Client, cliquez sur Mise en réseau et sécurité (Networking & Security) > Groupes et balises (Groups and Tags).
  2. Accédez à Groupe de sécurité (Security Group) :
    • Dans NSX 6.4.1 et versions ultérieures, vérifiez que vous êtes dans l’onglet Groupes de sécurité (Security Groups).
    • Dans NSX 6.4.0, vérifiez que vous êtes dans l’onglet Regroupement des objets (Grouping Objects) > Groupe de sécurité (Security Group).
  3. Si plusieurs adresses IP sont disponibles dans le menu déroulant NSX Manager, sélectionnez une adresse IP ou conservez la sélection par défaut.
    • Pour gérer les groupes de sécurité universels, l’instance principale de NSX Manager doit être sélectionnée.
  4. Cliquez sur Ajouter (Add) ou sur l'icône Ajouter un groupe de sécurité (Add New Security Group).
  5. Tapez le nom et une description (facultative) du groupe de sécurité.
  6. (Facultatif) Si vous créez un groupe de sécurité universel, sélectionnez Synchronisation universelle (Universal Synchronization) ou Marquer cet objet pour la synchronisation universelle (Mark this object for universal synchronization).
  7. (Facultatif) Si vous créez un groupe de sécurité universel à utiliser dans un déploiement en mode Veille active, sélectionnez à la fois Synchronisation universelle/Marquer cet objet pour la synchronisation universelle (Universal Synchronization / Mark this object for universal synchronization) et Utiliser pour les déploiements en mode actif/de secours (Use for active standby deployments). L'appartenance dynamique pour les groupes de sécurité universels avec déploiement en mode Veille active est basée sur le nom de la machine virtuelle.
  8. Cliquez sur Suivant (Next).
  9. Sur la page Appartenance dynamique, définissez les critères auxquels un objet doit répondre pour être ajouté au groupe de sécurité que vous créez. Cela vous permet d'inclure des machines virtuelles en définissant un critère de filtre avec un certain nombre de paramètres pris en charge afin de correspondre aux critères de recherche.
    Note : Si vous créez un groupe de sécurité universel, l'étape Définir l'appartenance dynamique (Define dynamic membership) n'est pas disponible dans les déploiements actifs actifs. Il est disponible dans les déploiements en veille active, en fonction du nom de la machine virtuelle uniquement.
    Par exemple, vous pouvez inclure dans le groupe de sécurité un critère prévoyant l'ajout de toutes les machines virtuelles disposant de la balise de sécurité spécifiée (par exemple AntiVirus.virusFound). Les balises de sécurité sont sensibles à la casse.

    Sinon, vous pouvez ajouter au groupe de sécurité toutes les machines virtuelles contenant le nom W2008 et les machines virtuelles situées dans le commutateur logique global_wire.

    sec
  10. Cliquez sur Suivant (Next).
  11. Sur la page Sélectionner les objets à inclure, sélectionnez l'onglet de la ressource à ajouter et choisissez une ou plusieurs ressources à ajouter au groupe de sécurité. Vous pouvez inclure les objets suivants dans un groupe de sécurité.
    Tableau 1. Objets pouvant être inclus dans des groupes de sécurité et des groupes de sécurité universels.
    Groupe de sécurité Groupe de sécurité universel
    • Autres groupes de sécurité à imbriquer dans le groupe de sécurité que vous créez.
    • Cluster
    • Commutateur logique
    • Réseau
    • Application virtuelle
    • Centre de données
    • Ensembles d'adresses IP
    • Groupes de répertoires
      Note : La configuration Active Directory pour les groupes de sécurité NSX est différente de celle pour vSphere SSO. La configuration de groupe AD NSX concerne les utilisateurs finaux qui accèdent aux machines virtuelles invitées, alors que vSphere SSO est destiné aux administrateurs qui utilisent vSphere et NSX. Pour consommer ces groupes de répertoires, vous devez vous synchroniser avec Active Directory. Reportez-vous à la section Présentation d'Identity Firewall.
    • Ensembles d'adresses MAC
    • Balise de sécurité
    • vNIC
    • Machine virtuelle
    • Pool de ressources
    • Groupe de ports virtuels distribués
    • Autres groupes de sécurité universels à imbriquer dans le groupe de sécurité universel que vous créez.
    • Ensembles d'adresses IP universelles
    • Ensembles de MAC universels
    • Balise de sécurité universelle (déploiements en veille active uniquement)
    Les objets sélectionnés ici sont toujours inclus dans le groupe de sécurité, indépendamment de leur correspondance aux critères que vous avez définis précédemment sur la page Appartenance dynamique.

    Lorsque vous ajoutez une ressource à un groupe de sécurité, toutes les ressources associées sont ajoutées automatiquement. Par exemple, lorsque vous sélectionnez une machine virtuelle, la vNIC associée est ajoutée automatiquement au groupe de sécurité.

  12. Cliquez sur Suivant (Next) et sélectionnez les objets à exclure du groupe de sécurité.
    Note : Si vous créez un groupe de sécurité universel, l'étape Sélectionner des objets à exclure n'est pas disponible.
    Les objets sélectionnés ici sont toujours exclus du groupe de sécurité, indépendamment de leur correspondance aux critères dynamiques.
  13. Cliquez sur Suivant (Next).
    La fenêtre Prêt à terminer (Ready to Complete) s'affiche avec un résumé du groupe de sécurité.
  14. Cliquez sur Terminer (Finish).

Exemple

L'appartenance à un groupe de sécurité est déterminée comme suit :

{Résultat de l'expression (dérivé de Définir l'appartenance dynamique (Define dynamic membership)) + Inclusions (spécifiées dans Sélectionner les objets à inclure (Select objects to include)} - Exclusion (spécifiée dans Sélectionner les objets à exclure (Select objects to exclude))

Cela signifie que les éléments d'inclusion sont d'abord ajoutés au résultat de l'expression. Les éléments d'exclusion sont ensuite soustraits du résultat combiné.