NSX Manager レベルでセキュリティ グループを作成できます。

前提条件

RDSH で使用するセキュリティ ポリシーを作成する場合は、次のことを確認してください。

  • Active Directory サーバが NSX Manager に統合されている必要があります。
  • ホストで分散ファイアウォールを有効にし、NSX 6.4.0 にアップグレードする必要があります。
  • ゲスト マシンで、更新された VMware Tools が実行されている必要があります。
  • ゲスト イントロスペクション サービス仮想マシンのバージョンが 6.4 以降でなければなりません。
  • ファイアウォール ルールの新しいセクションにルールを作成する必要があります。
  • ルールで [送信元でユーザー ID を有効にする] を選択する必要があります。
  • リモート デスクトップ アクセスのルールでは、[適用先] フィールドを使用できません。
  • RDSH の IDFW では ICMP がサポートされていません。

手順

  1. vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] > [セキュリティ (Security)] > [Service Composer] の順に移動します。
  2. [セキュリティ グループ (Security Groups)] タブを表示していることを確認します。
  3. [セキュリティ グループの追加 (Add Security Group)] または [追加 (Add)] アイコンをクリックします。

    RDSH の Identity Firewall で使用するセキュリティ グループでは、作成時に[送信元でユーザー ID を有効にする]が選択されたセキュリティ ポリシーを使用する必要があります。RDSH の Identity Firewall で使用するセキュリティ グループには、Active Directory (AD) グループのみを含める必要があります。ネストされたセキュリティ グループもすべて AD グループにする必要があります。

  4. セキュリティ グループの名前と説明を入力して、[次へ (Next)] をクリックします。
  5. [動的メンバーシップ] ページで、作成中のセキュリティ グループに追加するオブジェクトに必要となる基準を定義します。
    たとえば、指定したセキュリティ タグ(AntiVirus.virusFound など)でタグ付けされたメンバーのすべてをセキュリティ グループに追加するための基準を含めることができます。

    または、W2008 という名前を含むすべての仮想マシンや、論理スイッチ global_wire に含まれる仮想マシンをセキュリティ グループに追加することもできます。

    セキュリティ タグでは大文字と小文字が区別されます。
    注: 特定のセキュリティ タグが適用された仮想マシンでセキュリティ グループを定義する場合、動的ワークフローまたは条件付きワークフローを作成できます。タグが仮想マシンに適用されるとすぐに、仮想マシンは自動的にそのセキュリティ グループに追加されます。
  6. [次へ (Next)] をクリックします。
  7. [含めるオブジェクトの選択] ページで、ドロップダウンからオブジェクト タイプを選択します。
    リモート デスクトップ セッションで使用するセキュリティ グループには、ディレクトリ グループのみを含めることができます。
  8. リストに追加するオブジェクトを選択します。セキュリティ グループには次のオブジェクトを含めることができます。
    • 作成中のセキュリティ グループ内にネストされた他のセキュリティ グループ。
    • クラスタ
    • 論理スイッチ
    • ネットワーク
    • 仮想アプリケーション
    • データセンター
    • IP セット
    • Active Directory グループ
      注: NSX セキュリティ グループの Active Directory 設定は、vSphere SSO の Active Directory 設定とは異なります。NSX Active Directory グループの設定はゲスト仮想マシンにアクセスするエンド ユーザー用であり、vSphere SSO は vSphere および NSX を使用する管理者用です。
    • MAC セット
      注: Service Composer では、ポリシー設定に MAC セットが含まれているセキュリティ グループの使用が許可されていますが、特定の MAC セット用のルールを適用することはできません。Service Composer はレイヤー 3 で動作し、レイヤー 2 構造をサポートしません。
    • セキュリティ タグ
    • vNIC
    • 仮想マシン
    • リソース プール
    • 分散仮想ポート グループ
    ここで選択したオブジェクトは、動的基準を満たすかどうかにかかわらず、常にセキュリティ グループに含まれます。

    セキュリティ グループに 1 つのリソースを追加すると、関連するすべてのリソースも自動的に追加されます。たとえば、仮想マシンを選択すると、関連する vNIC が自動的にセキュリティ グループに追加されます。

  9. [次へ (Next)] をクリックして、セキュリティ グループから除外するオブジェクトをダブルクリックします。
    ここで選択されるオブジェクトは、動的基準に一致する場合やリストに選定されている場合でも、常にセキュリティ グループから除外されます。
  10. [終了 (Finish)] をクリックします。

セキュリティ グループのメンバーシップは、次のように決まります。

{式の結果(手順 5 から派生)+ 含まれるアイテム(手順 7 で指定} - 除外されるアイテム(手順 9 で指定)。つまり、式の結果では、含まれるアイテムが最初に追加されます。次に、除外されるアイテムが、結合された結果から差し引かれます。