Service Composer vous aide à provisionner et à attribuer des services de réseau et de sécurité à des applications dans une infrastructure virtuelle. Vous pouvez mapper ces services sur un groupe de sécurité pour les appliquer aux machines virtuelles de ce groupe de sécurité.
Groupe de sécurité
Commencez par créer un groupe de sécurité pour définir les ressources à protéger. Les groupes de sécurité peuvent être statiques (notamment des machines virtuelles spécifiques) ou dynamiques. Dans ce dernier cas, vous pouvez définir l'appartenance de plusieurs façons :
- Des conteneurs vCenter (clusters, groupes de ports ou centres de données).
- Des balises de sécurité, des ensembles IP, des ensembles MAC ou même d'autres groupes de sécurité. Par exemple, vous pouvez inclure un critère permettant d'ajouter tous les membres marqués avec la balise de sécurité spécifiée (telle que AntiVirus.virusFound) au groupe de sécurité.
- Des groupes de répertoires (si NSX Manager est enregistré dans Active Directory)
- Des expressions régulières telles que des machines virtuelles portant le nom VM1.
Notez que l'appartenance à un groupe de sécurité change constamment. Par exemple, une machine virtuelle marquée avec la balise AntiVirus.virusFound est déplacée vers le groupe de sécurité Quarantaine. Une fois le virus éliminé et la balise supprimée de la machine virtuelle, cette dernière sort du groupe de sécurité Quarantaine.
Stratégie de sécurité
| Service | Description | S'applique à |
|---|---|---|
| Règles de pare-feu | Règles qui définissent le trafic autorisé en provenance, à destination ou au sein du groupe de sécurité. | vNIC |
| Service Endpoint | Services de fournisseurs de solutions tiers, tels que des services antivirus ou de gestion de la vulnérabilité. | machines virtuelles |
| Services d'introspection réseau | Services qui surveillent votre réseau, tels qu'IPS. | machines virtuelles |
Pendant le déploiement du service dans NSX, le fournisseur tiers sélectionne la catégorie de service pour le service en cours de déploiement. Un profil de service par défaut est créé pour chaque modèle de fournisseur.
Lorsque des services de fournisseur tiers sont mis à niveau vers NSX 6.1, les profils de service par défaut sont créés pour les modèles de fournisseur en cours de mise à niveau. Les stratégies de service existantes qui comprennent des règles Guest Introspection sont mises à jour pour faire référence aux profils de service créés pendant la mise à niveau.
Mappage d'une stratégie de sécurité sur un groupe de sécurité
Vous pouvez mapper une stratégie de sécurité (par exemple, SP1) sur un groupe de sécurité (par exemple, SG1). Les services configurés pour SP1 sont appliqués à toutes les machines virtuelles membres du SG1.
Si une machine virtuelle appartient à plusieurs groupes de sécurité, les services appliqués à la machine virtuelle dépendent de la priorité de la stratégie de sécurité mappée sur les groupes de sécurité.
Vous pouvez exporter et importer des profils Service Composer en tant que sauvegardes pour les utiliser dans d'autres environnements. Cette méthode de gestion des services réseau et de sécurité est utile pour gérer des stratégies de sécurité exécutables et reproductibles.
