U kunt NSX for vSphere-beveiligingsonderdelen aan het ontwerpcanvas toevoegen om de bijbehorende geconfigureerde instellingen beschikbaar te maken voor een of meer vSphere-machineonderdelen in de blueprint.

Beveiligingsgroepen, tags en beleidsregels worden buiten vRealize Automation in de toepassing NSX geconfigureerd.

De instellingen voor netwerk- en beveiligingsonderdelen die u aan de blueprint toevoegt, worden afgeleid van uw configuratie van NSX for vSphere en NSX-T. Raadpleeg de Administration Guide in de NSX for vSphere-productdocumentatie of NSX-T-productdocumentatie, afhankelijk van welke toepassing u gebruikt, voor informatie over het configureren van NSX.

U kunt beveiligingsfuncties aan blueprints toevoegen door beveiligingsgroepen, tags en beleidsregels voor de vSphere-computerbron in NSX te configureren. Nadat u gegevensverzameling hebt uitgevoerd, zijn de beveiligingsconfiguraties beschikbaar in vRealize Automation.

Voor een voorbeeld van een NSX for vSphere-beveiligingsstrategie raadpleegt u deze blogpost over vRealize en NSX.

Bestaande beveiligingsgroepen en beveiligingsgroepen op aanvraag voor NSX for vSphere

Een beveiligingsgroep bestaat uit verschillende activa of groeperingsobjecten uit de vSphere-inventaris die aan een verzameling beveiligingsregels worden gekoppeld, bijvoorbeeld gedistribueerde firewallregels en integraties van beveiligingsservices van derden, zoals antivirus- en inbraakcontrole. De groeperingsfunctie stelt u in staat om aangepaste containers te maken, waaraan u bronnen kunt toewijzen, zoals virtual machines en netwerkadapters, voor gedistribueerde beveiliging van de firewall. Nadat een groep is gedefinieerd, kunt u deze groep als bron of bestemming ter beveiliging toevoegen aan de regel van de firewall.

In aanvulling op de beveiligingsgroepen voor de reservering, kunt u vSphere bestaande of on-demand beveiligingsgroepen toevoegen aan een blueprint.

U kunt een of meer on-demand beveiligingsgroepen maken. U kunt een of meer beveiligingsbeleidsdocumenten selecteren voor configuratie in een beveiligingsgroep.

Een beveiligingsbeleid is een set services voor endpoints, firewalls en netwerkintrospecties die kunnen worden toegepast op een beveiligingsgroep. U kunt beveiligingsbeleid toevoegen aan een vSphere virtual machine door een beveiligingsgroep op aanvraag op te nemen in een blueprint. U kunt het beveiligingsbeleid niet direct toevoegen aan een reservering. Nadat de gegevensverzameling is uitgevoerd, zijn beveiligingsbeleidsregels die zijn gedefinieerd in NSX for vSphere voor een computerbron beschikbaar voor selectie in een blueprint.

Beveiligingsgroepen worden beheerd in de basis van de bron. Voor informatie over het beheren van beveiligingsgroepen voor verschillende brontypen, raadpleegt u de documentatie van NSX for vSphere.

Opmerking:

Wanneer app-isolatie is uitgeschakeld, wordt een afzonderlijk beveiligingsbeleid gemaakt. App-isolatie maakt gebruik van een logische firewall om alle inkomend en uitgaand verkeer naar en van de toepassingen in de blueprint, te blokkeren. Onderdeelmachines die zijn ingericht door een blueprint met een beveiligingsbeleid dat gebruik maakt van app-isolatie, kunnen met elkaar communiceren maar geen verbinding maken buiten de firewall, tenzij de blueprint beschikt over andere beveiligingsgroepen met een beleid dat die toegang wel biedt.

Als een blueprint een load balancer bevat en app-isolatie is ingeschakeld, worden de load balancer-VIP's aan de app-isolatiebeveiligingsgroep toegevoegd als IPSet. Als een blueprint een beveiligingsgroep op aanvraag bevat die is gekoppeld aan een machinelaag die ook is gekoppeld aan een load balancer, bevat de beveiligingsgroep op aanvraag de machinelaag IPSet en VIP’s.

Bestaande beveiligingstags voor NSX for vSphere

U kunt bestaande beveiligingstagonderdelen voor NSX for vSphere toevoegen. Een beveiligingstag is een kwalificatieobject of categorisering die u als groeperingsmechanisme kunt gebruiken. U definieert de criteria waaraan een object moet voldoen om te worden toegevoegd aan de beveiligingsgroep die u maakt. Hierdoor hebt u de mogelijkheid om machines op te nemen door een filtercriterium te definiëren met een aantal ondersteunde parameters die zijn gericht op het voldoen aan de zoekcriteria. U kunt bijvoorbeeld alle machines die over een specifieke beveiligingstag beschikken toevoegen aan een beveiligingsgroep.