U kunt NSX-beveiligingsonderdelen aan het ontwerpcanvas toevoegen om de bijbehorende geconfigureerde instellingen beschikbaar te maken voor een of meer vSphere-machineonderdelen in de blueprint.

Beveiligingsgroepen, tags en beleidsregels worden buiten vRealize Automation in de toepassing NSX geconfigureerd.

De instellingen voor het netwerk- en beveiligingsonderdeel die u aan het ontwerpcanvas toevoegt, worden overgenomen uit uw NSX-configuratie. Hiervoor moet u gegevensverzameling uitvoeren voor de NSX-inventaris voor vSphere-clusters. De netwerk- en beveiligingsonderdelen horen specifiek bij NSX en zijn alleen beschikbaar voor gebruik met vSphere-machineonderdelen. Voor meer informatie over het configureren van NSX kunt u de NSX Administration Guide raadplegen.

U kunt beveiligingsfuncties aan blueprints toevoegen door beveiligingsgroepen, tags en beleidsregels voor de vSphere-computerbron in NSX te configureren. Nadat u gegevensverzameling hebt uitgevoerd, zijn de beveiligingsconfiguraties beschikbaar in vRealize Automation.

Beveiligingsgroep

Een beveiligingsgroep bestaat uit verschillende activa of groeperingsobjecten uit de vSphere-inventaris die aan een verzameling beveiligingsregels worden gekoppeld, bijvoorbeeld gedistribueerde firewallregels en integraties van beveiligingsservices van derden, zoals antivirus- en inbraakcontrole. De groeperingsfunctie stelt u in staat om aangepaste containers te maken, waaraan u bronnen kunt toewijzen, zoals virtual machines en netwerkadapters, voor gedistribueerde beveiliging van de firewall. Nadat een groep is gedefinieerd, kunt u deze groep als bron of bestemming ter beveiliging toevoegen aan de regel van de firewall.

In aanvulling op de beveiligingsgroepen voor de reservering, kunt u NSX bestaande of on-demand beveiligingsgroepen toevoegen aan een blueprint.

U kunt een of meer on-demand beveiligingsgroepen maken. U kunt een of meer beveiligingsbeleidsdocumenten selecteren voor configuratie in een beveiligingsgroep.

Beveiligingsgroepen worden beheerd in de basis van de bron. Voor informatie over het beheren van beveiligingsgroepen voor verschillende brontypen, raadpleegt u de documentatie van NSX.

Als een blueprint een of meer load balancers bevat en app-isolatie is ingeschakeld voor de blueprint, worden de load balancer-VIP's aan de app-isolatiebeveiligingsgroep toegevoegd als IPSet. Als een blueprint een beveiligingsgroep op aanvraag bevat die is gekoppeld aan een machinelaag die ook is gekoppeld aan een load balancer, bevat de beveiligingsgroep op aanvraag de machinelaag en de IPSet met de load balancer-VIP.

Beveiligingstag

Een beveiligingstag is een kwalificatieobject of categorisering die u als groeperingsmechanisme kunt gebruiken. U definieert de criteria waaraan een object moet voldoen om te worden toegevoegd aan de beveiligingsgroep die u maakt. Hierdoor hebt u de mogelijkheid om machines op te nemen door een filtercriterium te definiëren met een aantal ondersteunde parameters die zijn gericht op het voldoen aan de zoekcriteria. U kunt bijvoorbeeld alle machines die over een specifieke beveiligingstag beschikken toevoegen aan een beveiligingsgroep.

U kunt een beveiligingstag toevoegen aan het ontwerpcanvas.

Beveiligingsbeleid

Een beveiligingsbeleid is een set services voor endpoints, firewalls en netwerkintrospecties die kunnen worden toegepast op een beveiligingsgroep. U kunt beveiligingsbeleid toevoegen aan een vSphere virtual machine door een beveiligingsgroep op aanvraag op te nemen in een blueprint. U kunt het beveiligingsbeleid niet direct toevoegen aan een reservering. Nadat de gegevensverzameling is uitgevoerd, is het beveiligingsbeleid dat is gedefinieerd in NSX voor een computerbron, beschikbaar voor selectie in blueprint.

App-isolatie

Wanneer app-isolatie is uitgeschakeld, wordt een afzonderlijk beveiligingsbeleid gemaakt. App-isolatie maakt gebruik van een logische firewall om alle inkomend en uitgaand verkeer naar en van de toepassingen in de blueprint, te blokkeren. Onderdeelmachines die zijn ingericht door een blueprint met een beveiligingsbeleid dat gebruik maakt van app-isolatie, kunnen met elkaar communiceren maar geen verbinding maken buiten de firewall, tenzij de blueprint beschikt over andere beveiligingsgroepen met een beleid dat die toegang wel biedt.