Depois de adicionar uma conta de nuvem no Cloud Assembly, a coleta de dados descobre as informações de rede e segurança da conta na nuvem e as disponibiliza para uso em perfis de rede e outras opções.

Grupos de segurança e regras de firewall oferecem suporte ao isolamento de rede. Grupos de segurança são coletados por dados. Regras de firewall não são coletadas por dados.

Usando a sequência de menu Infraestrutura > Recursos > Segurança, é possível visualizar grupos de segurança sob demanda que foram criados em designs de modelo de nuvem do Cloud Assembly e grupos de segurança existentes que foram criados em aplicativos de origem, como o NSX-T e o Amazon Web Services. Os grupos de segurança disponíveis são expostos pelo processo de coleta de dados.

Você pode usar uma tag para corresponder a interface de máquina (NIC) com um grupo de segurança em uma definição de modelo de nuvem ou em um perfil de rede. Você pode visualizar os grupos de segurança disponíveis e adicionar ou remover tags para os grupos de segurança selecionados. Um autor de modelo de nuvem pode atribuir um ou mais grupos de segurança a uma NIC de máquina para controlar a segurança da implantação.

No design de modelo de nuvem, o parâmetro securityGroupType no recurso de grupo de segurança é especificado como existing para um grupo de segurança existente ou como new para um grupo de segurança sob demanda.

Grupos de segurança existentes

Os grupos de segurança existentes são exibidos e classificados na coluna Origem como Discovered.

Os grupos de segurança existentes do endpoint da conta de nuvem subjacente, como aplicativos NSX-V, NSX-T ou Amazon Web Services, estão disponíveis para uso.

Um administrador de nuvem pode atribuir uma ou mais tags a um grupo de segurança existente para permitir que ele seja usado em um modelo de nuvem. Um autor de modelo de nuvem pode usar um recurso Cloud.SecurityGroup em um design de modelo de nuvem para alocar um grupo de segurança existente usando restrições de tag. Um grupo de segurança existente requer que pelo menos uma tag de restrição seja especificada no recurso de segurança no design de modelo de nuvem.

Se você editar um grupo de segurança existente diretamente no aplicativo de origem, como no aplicativo NSX de origem, em vez de no Cloud Assembly, as atualizações não ficarão visíveis no Cloud Assembly até que a coleta de dados seja executada e os dados coletem a conta de nuvem associada ou o ponto de integração de dentro do Cloud Assembly. A coleta de dados é executada automaticamente a cada 10 minutos.

Grupos de segurança existentes têm suporte para contas de nuvem de gerenciadores globais e locais do NSX-T e para as contas de nuvem do vCenter que estão associadas aos gerenciadores locais. O Cloud Assembly enumera grupos de segurança existentes, ou faz a coleta de dados desses grupos, e os anexa às interfaces de rede (NICs) da máquina. Você pode criar um grupo de segurança global adicionando um grupo de segurança existente a um gerenciador global do NSX-T. Em seguida, o grupo de segurança global pode ser consumido pelos gerenciadores locais associados. Grupos de segurança globais podem abranger um, todos ou um subconjunto dos gerenciadores locais associados.
  • Grupos de segurança existentes globais são suportados e enumerados para todas as regiões definidas.
  • Grupos de segurança globais estão listados na página Infraestrutura > Recursos com todas as contas de nuvem às quais eles se aplicam.
  • Você pode associar uma interface de máquina (NIC) a um grupo de segurança global existente diretamente em um modelo de nuvem ou no perfil de rede selecionado.
  • As seguintes operações de Dia 2 são compatíveis com grupos de segurança globais:
    • Reconfiguração do grupo de segurança em um modelo de nuvem de um grupo de segurança global para local, e vice-versa.
    • Expansão horizontal/vertical de máquinas que estão associadas a grupos de segurança globais.

Grupos de segurança sob demanda

Os grupos de segurança sob demanda que você cria no Cloud Assembly, seja em um modelo de nuvem ou em um perfil de rede, são exibidos e classificados na coluna Origem como Managed by Cloud Assembly. Os grupos de segurança sob demanda que você cria como parte de um perfil de rede são classificados internamente como um grupo de segurança de isolamento com regras de firewall pré-configuradas e não são adicionados a um design de modelo de nuvem como um recurso de grupo de segurança. Os grupos de segurança sob demanda que você cria em um design de modelo de nuvem e que podem conter regras de firewall expressas são adicionados como parte de um recurso de grupo de segurança que é classificado como new.

Observação:

Você pode criar regras de firewall para grupos de segurança sob demanda para o NSX-V e o NSX-T diretamente em um recurso de grupo de segurança no código do design de modelo de nuvem. A coluna Aplicado a não contém grupos de segurança classificados ou gerenciados por um Firewall Distribuído (DFW) do NSX. Regras de firewall válidas para aplicativos são para o tráfego do DFW leste/oeste. Algumas regras de firewall apenas podem ser gerenciadas no aplicativo de origem e não podem ser editadas no Cloud Assembly. Por exemplo, as regras de Ethernet, emergência, infraestrutura e ambiente são gerenciadas no NSX-T.

Grupos de segurança sob demanda não têm suporte no momento para contas de nuvem de gerenciadores globais do NSX-T.

Saiba mais

Para obter mais informações sobre como usar grupos de segurança em perfis de rede, consulte Saiba mais sobre perfis de rede no vRealize Automation.

Para obter informações sobre como definir regras de firewall, consulte Usando configurações de grupos de segurança em perfis de rede e designs de modelo de nuvem no vRealize Automation.

Para obter mais informações sobre como usar grupos de segurança em um modelo de nuvem, consulte Mais sobre grupos de segurança e recursos de tag nos modelos de nuvem vRealize Automation.

Para obter exemplos de códigos de design de modelo de nuvem que contêm grupos de segurança, consulte Redes, recursos de segurança e balanceadores de carga no vRealize Automation.