セキュリティ グループは、vSphere インベントリの資産またはグループ オブジェクトの集合です。
セキュリティ グループは、論理スイッチ、vNIC、IP セット、仮想マシン (VM) など、さまざまなタイプのオブジェクトを入れるためのコンテナです。セキュリティ グループには、セキュリティ タグ、仮想マシン名、または論理スイッチ名に基づく動的なメンバーシップ基準を含めることができます。たとえば、セキュリティ タグ「web」を持つすべての仮想マシンは、Web サーバを対象にしたセキュリティ グループへ自動的に追加されます。セキュリティ グループを作成した後、そのグループにセキュリティ ポリシーを適用します。
重要: 移動またはコピーで仮想マシンの仮想マシン ID が再生成された場合、セキュリティ タグは新しい仮想マシン ID に伝達されません。
RDSH の Identity Firewall で使用するセキュリティ グループでは、作成時に[送信元でユーザー ID を有効にする]が選択されたセキュリティ ポリシーを使用する必要があります。RDSH の Identity Firewall で使用するセキュリティ グループには、Active Directory (AD) グループのみを含める必要があります。ネストされたセキュリティ グループもすべて AD グループにする必要があります。
Identity Firewall で使用されているセキュリティ グループには、Active Directory ディレクトリ グループのみを含めることができます。ネストされたグループには、Active Directory 以外のグループや仮想マシンなどの他の論理エンティティを含めることができます。
詳細についてはセキュリティ グループでのファイアウォール ルールの動作を参照してください。
Cross-vCenter NSX 環境では、ユニバーサル セキュリティ グループはプライマリ NSX Manager で定義され、セカンダリ NSX Manager とのユニバーサル同期の対象としてマークされます。アクティブ/スタンバイ環境で使用するとマークしない限り、ユニバーサル セキュリティ グループで、動的なメンバーシップ基準を定義することはできません。
Cross-vCenter NSX 環境でアクティブ/スタンバイ環境シナリオを使用する場合、SRM はリカバリ サイトに、アクティブ サイトにある保護対象のすべての仮想マシン用のプレースホルダ仮想マシンを作成します。プレースホルダ仮想マシンはアクティブではなく、スダンバイ モードのままになります。保護対象の仮想マシンが停止すると、リカバリ サイトのプレースホルダ仮想マシンがパワーオンされ、保護対象の仮想マシンのタスクを引き継ぎます。ユーザーは、ユニバーサル セキュリティ タグを使用したユニバーサル セキュリティ グループを含む分散ファイアウォール ルールを作成します。NSX Manager は、ユニバーサル セキュリティ タグを使用したユニバーサル セキュリティ グループを含む分散ファイアウォール ルールをプレースホルダ仮想マシンにレプリケートします。プレースホルダ仮想マシンがパワーオンすると、ユニバーサル セキュリティ タグを使用したユニバーサル セキュリティ グループを含むレプリケートされたファイアウォール ルールが正しく適用されます。
注:
- NSX 6.3 より前に作成されたユニバーサル セキュリティ グループを編集して、アクティブ/スタンバイ環境で使用することはできません。
