NSX Manager レベルでセキュリティ グループを作成できます。

ユニバーサル セキュリティ グループは、アクティブ環境とアクティブ/スタンバイ環境の 2 種類の Cross-vCenter NSX 環境で使用されます。アクティブ/スタンバイ環境の場合は、一度に 1 つのサイトがアクティブな環境となり、残りのサイトはスタンバイ状態になります。
  • アクティブ環境のユニバーサル セキュリティ グループには、セキュリティ グループ、IP セット、MAC セットの対象オブジェクトのみを含めることができます。動的メンバーシップや除外されたオブジェクトは設定できません。
  • アクティブ/スタンバイ環境のユニバーサル セキュリティ グループには、セキュリティ グループ、IP セット、MAC セット、ユニバーサル セキュリティ タグの対象オブジェクトを含めることができます。仮想マシン名をのみを使用して動的メンバーシップを設定することもできます。除外されたオブジェクトは設定できません。
注:

コンピュータの OS 名やコンピュータ名などの動的基準に基づいてパワーオフされた仮想マシンは、セキュリティ グループに含まれません。動的基準は、仮想マシンのパワーオン時に NSX によって 1 回のみ受信されます。パワーオン後は、ゲストの詳細が NSX Manager と同期され、仮想マシンがパワーオフした後も NSX Manager で維持されます。

注: NSX 6.3 より前に作成されたユニバーサル セキュリティ グループを編集して、アクティブ/スタンバイ環境で使用することはできません。

前提条件

Active Directory グループ オブジェクトに基づいてセキュリティ グループを作成する場合、1 つ以上のドメインが NSX Manager に登録されていることを確認します。NSX Manager は、グループ、ユーザー情報、およびこれらの関係を登録先の各ドメインから取得します。「NSX Manager への Windows ドメインの登録」を参照してください。

手順

  1. vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] > [グループとタグ (Groups and Tags)] の順にクリックします。
  2. [セキュリティ グループ (Security Group)] に移動します。
    • NSX 6.4.1 以降では、[セキュリティ グループ (Security Groups)] タブに移動します。
    • NSX 6.4.0 では、[グループ オブジェクト (Grouping Objects)] > [セキュリティ グループ (Security Group)] タブの順に移動します。
  3. [NSX Manager] ドロップダウン メニューで複数の IP アドレスが利用可能な場合は、IP アドレスを 1 つ選択するか、デフォルトの IP アドレスを使用します。
    • ユニバーサル セキュリティ グループを管理するには、プライマリ NSX Manager を選択する必要があります。
  4. [追加 (Add)] または [新規セキュリティ グループの追加 (Add New Security Group)] アイコンをクリックします。
  5. セキュリティ グループの名前と説明(説明は任意)を入力します。
  6. (オプション) ユニバーサル セキュリティ グループを作成する場合は、[ユニバーサル同期 (Universal Synchronization)] または [このオブジェクトをユニバーサル同期の対象としてマーク (Mark this object for universal synchronization)] を選択します。
  7. (オプション) アクティブ/スタンバイ環境で使用するユニバーサル セキュリティ グループを作成する場合は、[ユニバーサル同期/このオブジェクトをユニバーサル同期の対象としてマーク (Universal Synchronization / Mark this object for universal synchronization)][アクティブ/スタンバイ環境での使用 (Use for active standby deployments)] の両方を選択します。アクティブ/スタンバイ環境では、仮想マシン名に基づいたユニバーサル セキュリティ グループの動的メンバーシップが使用されます。
  8. [次へ (Next)] をクリックします。
  9. [動的メンバーシップ] ページで、作成中のセキュリティ グループに追加するオブジェクトに必要となる基準を定義します。これにより、フィルタ基準を定義して、検索基準を満たす仮想マシンを含めることができます。フィルタ基準では、多数のパラメータがサポートされています。
    注: ユニバーサル セキュリティ グループを作成する場合、アクティブ/アクティブ環境で [動的メンバーシップの定義 (Define dynamic membership)] の手順は利用できません。アクティブ/スタンバイ環境では、仮想マシン名のみに基づいて使用できます。
    たとえば、指定したセキュリティ タグ(AntiVirus.virusFound など)でタグ付けされた仮想マシンのすべてをセキュリティ グループに追加するための基準を含めることができます。セキュリティ タグでは大文字と小文字が区別されます。

    または、W2008 という名前を含むすべての仮想マシンや、論理スイッチ global_wire に含まれる仮想マシンをセキュリティ グループに追加できます。

    Sec
  10. [次へ (Next)] をクリックします。
  11. [含めるオブジェクトの選択] ページで、追加するリソースのタブを選択し、セキュリティ グループに追加するリソースを 1 つ以上選択します。セキュリティ グループには次のオブジェクトを含めることができます。
    表 1. セキュリティ グループおよびユニバーサル セキュリティ グループに含めることができるオブジェクト。
    セキュリティ グループ ユニバーサル セキュリティ グループ
    • 作成中のセキュリティ グループ内にネストされた他のセキュリティ グループ。
    • クラスタ
    • 論理スイッチ
    • ネットワーク
    • 仮想アプリケーション
    • データセンター
    • IP セット
    • ディレクトリ グループ
      注: NSX セキュリティ グループの Active Directory の設定は、vSphere SSO の Active Directory の設定とは異なります。NSX Active Directory グループの設定はゲスト仮想マシンにアクセスするエンド ユーザー用であり、vSphere SSO は vSphere および NSX を使用する管理者用です。これらのディレクトリ グループを使用するには、Active Directory との同期が必要です。「 Identity Firewall の概要」を参照してください。
    • MAC セット
    • セキュリティ タグ
    • vNIC
    • 仮想マシン
    • リソース プール
    • 分散仮想ポート グループ
    • 作成中のユニバーサル セキュリティ グループ内にネストされた他のユニバーサル セキュリティ グループ。
    • ユニバーサル IP セット
    • ユニバーサル MAC セット
    • ユニバーサル セキュリティ タグ(アクティブ/スタンバイ環境のみ)
    ここで選択したオブジェクトは、[動的メンバーシップ] ページで以前に定義した基準を満たすかどうかにかかわらず、常にセキュリティ グループに含まれます。

    セキュリティ グループに 1 つのリソースを追加すると、関連するすべてのリソースも自動的に追加されます。たとえば、仮想マシンを選択すると、関連する vNIC が自動的にセキュリティ グループに追加されます。

  12. [次へ (Next)] をクリックして、セキュリティ グループから除外するオブジェクトを選択します。
    注: ユニバーサル セキュリティ グループを作成する場合、 [除外するオブジェクトの選択] の手順は使用できません。
    ここで選択したオブジェクトは、動的基準を満たすかどうかにかかわらず、常にセキュリティ グループから除外されます。
  13. [次へ (Next)] をクリックします。
    [設定内容の確認 (Ready to Complete)] ウィンドウが表示され、セキュリティ グループの概要が示されます。
  14. [終了 (Finish)] をクリックします。

セキュリティ グループのメンバーシップは、次のように決まります。

{式の結果([動的メンバーシップの定義 (Define dynamic membership)] から派生)+ 含まれるアイテム([含めるオブジェクトの選択 (Select objects to include)] で指定)} - 除外されるアイテム([除外するオブジェクトの選択 (Select objects to exclude)] で指定)

つまり、含まれるアイテムが最初に式の結果に追加されます。次に、除外されるアイテムが、結合された結果から差し引かれます。