セキュリティグループの作成

NSX Manager レベルでセキュリティグループを作成できます。

ユニバーサルセキュリティグループは、アクティブ環境とアクティブ/スタンバイ環境の 2 種類の Cross-vCenter NSX 環境で使用されます。アクティブ/スタンバイ環境の場合は、一度に 1 つのサイトがアクティブな環境となり、残りのサイトはスタンバイ状態になります。

アクティブ環境のユニバーサルセキュリティグループには、セキュリティグループ、IP セット、MAC セットの対象オブジェクトのみを含めることができます。動的メンバーシップや除外されたオブジェクトは設定できません。
アクティブ/スタンバイ環境のユニバーサルセキュリティグループには、セキュリティグループ、IP セット、MAC セット、ユニバーサルセキュリティタグの対象オブジェクトを含めることができます。仮想マシン名をのみを使用して動的メンバーシップを設定することもできます。除外されたオブジェクトは設定できません。

注：

コンピュータの OS 名やコンピュータ名などの動的基準に基づいてパワーオフされた仮想マシンは、セキュリティグループに含まれません。動的基準は、仮想マシンのパワーオン時に NSX によって 1 回のみ受信されます。パワーオン後は、ゲストの詳細が NSX Manager と同期され、仮想マシンがパワーオフした後も NSX Manager で維持されます。

注： NSX 6.3 より前に作成されたユニバーサルセキュリティグループを編集して、アクティブ/スタンバイ環境で使用することはできません。

前提条件

Active Directory グループオブジェクトに基づいてセキュリティグループを作成する場合、1 つ以上のドメインが NSX Manager に登録されていることを確認します。NSX Manager は、グループ、ユーザー情報、およびこれらの関係を登録先の各ドメインから取得します。「NSX Manager への Windows ドメインの登録」を参照してください。

手順

vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] > [グループとタグ (Groups and Tags)] の順にクリックします。
[セキュリティグループ (Security Group)] に移動します。
- NSX 6.4.1 以降では、[セキュリティグループ (Security Groups)] タブに移動します。
- NSX 6.4.0 では、[グループオブジェクト (Grouping Objects)] > [セキュリティグループ (Security Group)] タブの順に移動します。
[NSX Manager] ドロップダウンメニューで複数の IP アドレスが利用可能な場合は、IP アドレスを 1 つ選択するか、デフォルトの IP アドレスを使用します。
- ユニバーサルセキュリティグループを管理するには、プライマリ NSX Manager を選択する必要があります。
[追加 (Add)] または [新規セキュリティグループの追加 (Add New Security Group)] アイコンをクリックします。
セキュリティグループの名前と説明（説明は任意）を入力します。
（オプション） ユニバーサルセキュリティグループを作成する場合は、[ユニバーサル同期 (Universal Synchronization)] または [このオブジェクトをユニバーサル同期の対象としてマーク (Mark this object for universal synchronization)] を選択します。
（オプション） アクティブ/スタンバイ環境で使用するユニバーサルセキュリティグループを作成する場合は、[ユニバーサル同期/このオブジェクトをユニバーサル同期の対象としてマーク (Universal Synchronization / Mark this object for universal synchronization)] と [アクティブ/スタンバイ環境での使用 (Use for active standby deployments)] の両方を選択します。アクティブ/スタンバイ環境では、仮想マシン名に基づいたユニバーサルセキュリティグループの動的メンバーシップが使用されます。
[次へ (Next)] をクリックします。
[動的メンバーシップ] ページで、作成中のセキュリティグループに追加するオブジェクトに必要となる基準を定義します。これにより、フィルタ基準を定義して、検索基準を満たす仮想マシンを含めることができます。フィルタ基準では、多数のパラメータがサポートされています。

注：ユニバーサルセキュリティグループを作成する場合、アクティブ/アクティブ環境で [動的メンバーシップの定義 (Define dynamic membership)] の手順は利用できません。アクティブ/スタンバイ環境では、仮想マシン名のみに基づいて使用できます。
たとえば、指定したセキュリティタグ（AntiVirus.virusFound など）でタグ付けされた仮想マシンのすべてをセキュリティグループに追加するための基準を含めることができます。セキュリティタグでは大文字と小文字が区別されます。
または、W2008 という名前を含むすべての仮想マシンや、論理スイッチ global_wire に含まれる仮想マシンをセキュリティグループに追加できます。
[次へ (Next)] をクリックします。

[含めるオブジェクトの選択] ページで、追加するリソースのタブを選択し、セキュリティグループに追加するリソースを 1 つ以上選択します。セキュリティグループには次のオブジェクトを含めることができます。

表 1. セキュリティグループおよびユニバーサルセキュリティグループに含めることができるオブジェクト。
セキュリティグループ	ユニバーサルセキュリティグループ
作成中のセキュリティグループ内にネストされた他のセキュリティグループ。クラスタ論理スイッチネットワーク仮想アプリケーションデータセンター IP セットディレクトリグループ注： NSX セキュリティグループの Active Directory の設定は、vSphere SSO の Active Directory の設定とは異なります。NSX Active Directory グループの設定はゲスト仮想マシンにアクセスするエンドユーザー用であり、vSphere SSO は vSphere および NSX を使用する管理者用です。これらのディレクトリグループを使用するには、Active Directory との同期が必要です。「 Identity Firewall の概要」を参照してください。 MAC セットセキュリティタグ vNIC 仮想マシンリソースプール分散仮想ポートグループ	作成中のユニバーサルセキュリティグループ内にネストされた他のユニバーサルセキュリティグループ。ユニバーサル IP セットユニバーサル MAC セットユニバーサルセキュリティタグ（アクティブ/スタンバイ環境のみ）

ここで選択したオブジェクトは、[動的メンバーシップ] ページで以前に定義した基準を満たすかどうかにかかわらず、常にセキュリティグループに含まれます。

セキュリティグループに 1 つのリソースを追加すると、関連するすべてのリソースも自動的に追加されます。たとえば、仮想マシンを選択すると、関連する vNIC が自動的にセキュリティグループに追加されます。

[次へ (Next)] をクリックして、セキュリティグループから除外するオブジェクトを選択します。

注：ユニバーサルセキュリティグループを作成する場合、 [除外するオブジェクトの選択] の手順は使用できません。
ここで選択したオブジェクトは、動的基準を満たすかどうかにかかわらず、常にセキュリティグループから除外されます。
[次へ (Next)] をクリックします。
[設定内容の確認 (Ready to Complete)] ウィンドウが表示され、セキュリティグループの概要が示されます。
[終了 (Finish)] をクリックします。

例

セキュリティグループのメンバーシップは、次のように決まります。

{式の結果（[動的メンバーシップの定義 (Define dynamic membership)] から派生）+ 含まれるアイテム（[含めるオブジェクトの選択 (Select objects to include)] で指定）} - 除外されるアイテム（[除外するオブジェクトの選択 (Select objects to exclude)] で指定）

つまり、含まれるアイテムが最初に式の結果に追加されます。次に、除外されるアイテムが、結合された結果から差し引かれます。