NSX セキュリティ コンポーネントをデザイン キャンバスに追加することで、構成済みの設定をブループリントの 1 つ以上の vSphere マシン コンポーネントで利用できるようになります。

セキュリティ グループ、タグ、およびポリシーは、NSX アプリケーションにおいて vRealize Automation の外部で構成されます。

デザイン キャンバスに追加するネットワークおよびセキュリティ コンポーネントの設定は、NSX 構成に基づいており、NSX プラグインがインストールされており、vSphere クラスタの NSX インベントリのためにデータ収集を実行する必要があります。ネットワークおよびセキュリティ コンポーネントは、NSX 固有のもので、vSphere マシン コンポーネントとのみ使用できます。 NSX の設定に関する詳細については、『NSX 管理ガイド』を参照してください。

NSXvSphere のコンピュート リソースのセキュリティ グループ、タグ、およびポリシーを構成して、ブループリントにセキュリティ制御機能を追加できます。データ収集の実行後に、vRealize Automation でセキュリティ構成を選択できるようになります。

セキュリティ グループ

セキュリティ グループとは、たとえば、Distributed Firewall ルール、サード パーティのセキュリティ サービスの統合(ウィルス対策や侵入検知)など、一連のセキュリティ ポリシーにマップされた vSphere インベントリのアセットまたはグループ オブジェクトのコレクションです。グループ化機能を使用すると、Distributed Firewall を保護するために、仮想マシンやネットワーク アダプタなどのリソースを割り当てるカスタム コンテナを作成できます。 グループの定義後に、ファイアウォール ルールにそのグループをソースまたはターゲットとして追加して保護することが可能です。

予約で指定したセキュリティ グループに加えて、ブループリントにもセキュリティ グループを追加できます。

セキュリティ グループはソース リソースで管理します。各種リソース タイプのセキュリティ グループの管理方法の詳細については、ベンダーのドキュメントを参照してください。

NSX の既存またはオンデマンドのセキュリティ グループをデザイン キャンバスに追加できます。

セキュリティ タグ

セキュリティ タグは、グループ化メカニズムとして使用できる修飾子オブジェクトまたは分類エントリです。作成するセキュリティ グループにオブジェクトを追加するときに、オブジェクトが満たす必要のある基準を定義します。 これにより、サポートされている多くのパラメータを使用してフィルタ基準を定義し、検索条件に一致するマシンを追加できるようになります。 たとえば、指定されたセキュリティ タグを使用してタグ化されているすべてのマシンを、セキュリティ グループに追加できます。

セキュリティ タグは、デザイン キャンバスに追加できます。

セキュリティ ポリシー

セキュリティ ポリシーは、セキュリティ グループに適用可能な一連のエンドポイント、ファイアウォール、およびネットワーク イントロスペクション サービスです。 オンデマンド セキュリティ グループをブループリントで使用すると、セキュリティ ポリシーを vSphere 仮想マシンに追加できます。セキュリティ ポリシーを予約に直接追加することはできません。データ収集後に、コンピュート リソースに対して NSX で定義されセキュリティ ポリシーをブループリントで選択できるようになります。

アプリケーションの隔離

アプリケーションの隔離を有効にすると、分離セキュリティ ポリシーが作成されます。アプリケーションの隔離では、論理ファイアウォールを使用して、ブループリントのアプリケーションに対するすべての受信トラフィックおよび送信トラフィックをブロックできます。 App の隔離ポリシーを含むブループリントによりプロビジョニングされたコンポーネント マシンは相互に通信できますが、他のセキュリティ グループが、アクセスを許可するセキュリティ ポリシーを備えたブループリントに追加されない限り、ファイアウォール外部には接続できません。