Service Composer では、ネットワークおよびセキュリティ サービスを仮想インフラストラクチャ内のアプリケーションにプロビジョニングして割り当てることができます。これらのサービスをセキュリティ グループにマッピングすると、サービスがセキュリティ グループの仮想マシンに適用されます。

セキュリティ グループ

まず、保護する資産を定義するためにセキュリティ グループを作成します。特定の仮想マシンを含む固定のセキュリティ グループか、動的なセキュリティ グループを作成できます。動的なセキュリティ グループの場合は、次の方法でメンバーシップを定義できます。

  • vCenter Server コンテナ(クラスタ、ポート グループ、またはデータセンター)
  • セキュリティ タグ、IPset、MACset、または他のセキュリティ グループ。たとえば、指定したセキュリティ タグ(AntiVirus.virusFound など)でタグ付けされたメンバーのすべてをセキュリティ グループに追加するための基準を含めることができます。
  • ディレクトリ グループ(NSX Manager が Active Directory に登録されている場合)
  • VM1 という名前の仮想マシンなどの正規表現

セキュリティ グループ メンバーシップは常に変動します。たとえば、AntiVirus.virusFound タグが付けられた仮想マシンは、検疫セキュリティ グループに追加されます。ウイルスがクリーンアップされ、このタグが仮想マシンから削除されると、検疫セキュリティ グループから除外されます。

重要: 移動またはコピーで仮想マシンの仮想マシン ID が再生成された場合、セキュリティ タグは新しい仮想マシン ID に伝達されません。

セキュリティ ポリシー

セキュリティ ポリシーは、次のサービス設定の集合体です。
表 1. セキュリティ ポリシーに含まれるセキュリティ サービス
サービス 説明 適用先
ファイアウォール ルール セキュリティ グループとの間、またはセキュリティ グループ内で許可されるトラフィックを定義するルール。 vNIC
Endpoint サービス アンチウイルスや脆弱性管理サービスなどのサードパーティ ソリューション プロバイダのサービス。 仮想マシン
ネットワーク イントロスペクション サービス ネットワークを監視するサービス(IPS など)。 仮想マシン

サード パーティ ベンダーのサービスは、NSX でのサービスのデプロイ時にサービス カテゴリを選択します。各ベンダー テンプレートに、デフォルトのサービス プロファイルが作成されます。

サード パーティ ベンダーのサービスが NSX 6.1 にアップグレードされる際、アップグレードされるベンダー テンプレートに、デフォルトのサービス プロファイルが作成されます。ゲスト イントロスペクション ルールを含む既存のサービス ポリシーは、アップグレード中に作成されたサービス プロファイルを参照するように更新されます。

セキュリティ グループへのセキュリティ ポリシーのマッピング

セキュリティ ポリシー(SP1 など)をセキュリティ グループ(SG1 など)にマッピングします。SP1 に設定されたサービスは、SG1 のメンバーであるすべての仮想マシンに適用されます。

注: 同じセキュリティ ポリシーを適用する必要がある多数のセキュリティ グループがある場合、1 つのアンブレラ セキュリティ グループを作成し、その中にそれらのすべての子セキュリティ グループを格納して、そのアンブレラ セキュリティ グループに共通セキュリティ ポリシーを適用します。これにより、NSX 分散ファイアウォールが ESXi ホスト メモリを効率的に利用できるようになります。
図 1. Service Composer の概要
SP

仮想マシンが複数のセキュリティ グループに属している場合は、セキュリティ グループにマッピングされたセキュリティ ポリシーの優先順位に応じて、仮想マシンにサービスが適用されます。

Service Composer プロファイルをエクスポートおよびインポートして、他の環境で使用することができます。ネットワークおよびセキュリティ サービスをこの方法で管理すると、繰り返し利用可能で実用的なセキュリティ ポリシー管理が可能になります。