创建或编辑 VMware Aria Automation 云模板时,请使用最合适的网络资源以满足您的目标。

云平台无关的安全组资源

可以在 模板页面上使用 云平台无关 > 安全组资源添加安全组资源。资源在云模板代码中显示为 Cloud.SecurityGroup 资源类型。默认资源显示为:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      constraints: []
      securityGroupType: existing

可以在云模板设计中将安全组资源指定为现有类型 (securityGroupType: existing) 或按需类型 (securityGroupType: new)。

您可以将现有安全组添加到云模板,也可以使用已添加到网络配置文件的现有安全组。

对于 NSX-VNSX-T,以及与 VMware Cloud on AWS 结合使用并启用了 Policy Manager 交换机的 NSX-T,可以在设计或修改云模板时添加现有安全组或定义新安全组。NSX-TNSX-V 以及 VMware Cloud on AWS(与 NSX-T Policy Manager 结合使用时)支持按需安全组。

对于除 Microsoft Azure 以外的所有云帐户类型,可以将一个或多个安全组关联到一个计算机网卡。Microsoft Azure 虚拟机网卡 (machineName) 只能关联到一个安全组。

默认情况下,安全组属性 securityGroupType 设置为 existing。要创建按需安全组,请为 securityGroupType 属性输入 new。要为按需安全组指定防火墙规则,请在安全组资源的 Cloud.SecurityGroup 部分中使用 rules 属性。

现有安全组

现有安全组在源云帐户资源(如 NSX-TAmazon Web Services)中创建。VMware Aria Automation 会从源中收集它们的数据。可以从可用资源列表中选择一个现有安全组作为 VMware Aria Automation 网络配置文件的一部分。在云模板设计中,可以通过以下两种方式指定现有安全组:通过其在指定网络配置文件中的成员资格以固有方式指定;使用安全组资源中的 securityGroupType: existing 设置通过名称具体指定。如果将安全组添加到网络配置文件,请至少将一个功能标记添加到该网络配置文件。按需安全组资源在云模板设计中使用时需要限制标记。

在云模板设计中,可以将一个安全组资源关联到一个或多个计算机资源。

注: 如果要在云模板设计中使用某计算机资源置备到 Microsoft Azure 虚拟机网卡 ( machineName),则只能将该计算机资源关联到一个安全组。

按需安全组

可在定义或修改云模板设计时使用安全组资源代码中的 securityGroupType: new 设置定义按需安全组。

可以对 NSX-VNSX-T 以及 Amazon Web Services(与 NSX-T Policy 类型结合使用时)使用按需安全组,以将一组特定的防火墙规则应用于一个联网计算机资源或一组分组资源。每个安全组可以包含多个指定的防火墙规则。可以使用按需安全组指定服务或者协议和端口。请注意,可以指定服务或协议,但不能同时指定两者。如果指定协议,还可以指定端口。如果指定服务,则无法指定端口。如果规则既不包含服务也不包含协议,则默认服务值为“任意”。

此外,还可以在防火墙规则中指定 IP 地址和 IP 范围。Automation Assembler 中的网络、安全性和负载均衡器示例中显示了一些防火墙规则示例。

NSX-VNSX-T 按需安全组中创建防火墙规则时,默认设置允许指定的网络流量。默认设置还允许其他网络流量。要控制网络流量,必须为每个规则指定一个访问类型。规则访问类型包括:
  • 允许(默认值)- 允许在此防火墙规则中指定的网络流量。
  • 拒绝 - 阻止在此防火墙规则中指定的网络流量。主动告知客户端连接被拒绝。
  • 丢弃 - 拒绝在此防火墙规则中指定的网络流量。以静默方式丢弃数据包,就好像侦听器未联机一样。
有关使用 access: Allowaccess: Deny 防火墙规则的示例设计,请参见 Automation Assembler 中的网络、安全性和负载均衡器示例
注: 云管理员可以创建仅包含 NSX 按需安全组的云模板设计,并可以部署该设计以创建可重用的现有安全组资源,组织成员可以将该资源作为现有安全组添加到网络配置文件和云模板设计。

对于源和目标 IP 地址,防火墙规则支持 IPv4 或 IPv6 格式的 CIDR 值。有关在防火墙规则中使用 IPv6 CIDR 值的示例设计,请参见 Automation Assembler 中的网络、安全性和负载均衡器示例

VMware Cloud on AWS 的按需安全组和现有安全组

可以通过使用安全组资源代码中的 securityGroupType: new 设置在云模板中为 VMware Cloud on AWS 计算机定义按需安全组。

按需安全组的示例代码片段如下所示:
resources:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      name: vmc-odsg
      securityGroupType: new
      rules: 
        - name: datapath
          direction: inbound
          protocol: TCP
          ports: 5011
          access: Allow
          source: any

此外,也可以为联网 VMware Cloud on AWS 计算机定义现有安全组,且可以选择包含限制标记,如以下示例中所示:

  Cloud_SecurityGroup_2:
    type: Cloud.SecurityGroup
    properties:
      constraints: [xyz]
      securityGroupType: existing
Cloud_SecurityGroup_3:
  type: Cloud.SecurityGroup
  properties:
    securityGroupType: existing
     constraints:
        - tag: xyz
支持迭代式云模板开发。
  • 如果安全组与部署中的一个或多个计算机关联,则删除操作会显示一条消息,指出无法删除该安全组。
  • 如果安全组未与部署中的任意计算机关联,则删除操作将显示一条消息,指出安全组将从此部署中删除,并且此操作无法撤消。现有安全组将从云模板中删除,而按需安全组将销毁。

使用 NSX-V 安全标记和 NSX-T 虚拟机标记

可以从 VMware Aria Automation 云模板中的受管资源查看和使用 NSX-V 安全标记以及 NSX-T 虚拟机标记和具有 Policy 的 NSX-T 虚拟机标记。

支持将 NSX-VNSX-T 安全标记用于 vSphere。此外,还支持将 NSX-T 安全标记用于 VMware Cloud on AWS

注:

与部署到 vSphere 的虚拟机一样,可以为要在 VMware Cloud on AWS 上部署的虚拟机配置计算机标记。您还可以在初始部署后更新计算机标记。通过这些计算机标记,VMware Aria Automation 可以在部署期间将虚拟机动态分配给适当的 NSX-T 安全组。

如果计算机连接到 NSX-V 网络,则可以在云模板的计算资源中使用 key: nsxSecurityTag 和标记值指定 NSX-V 安全标记,如以下示例所示:
tags:
  - key: nsxSecurityTag
  - value: security_tag_1
  - key: nsxSecurityTag
  - value: security_tag_2

指定的值必须与 NSX-V 安全标记相对应。如果 NSX-V 中没有与指定的 nsxSecurityTag 键值匹配的安全标记,则部署将失败。

注:

NSX-V 安全标记要求计算机连接到 NSX-V 网络。如果计算机连接到 vSphere 网络,则会忽略 NSX-V 安全标记。在任何一种情况下,也都会标记 vSphere 计算机。

NSX-T 没有单独的安全标记。在云模板中的计算资源上指定的任何标记都会使部署的虚拟机与在 NSX-T 中指定的所有标记相关联。对于 NSX-T(包括具有 Policy 的 NSX-T),虚拟机标记也在云模板中表示为键值对。key 设置等同于 NSX-T 中的 scope 设置,value 设置等同于 NSX-T 中指定的 Tag Name

请注意,如果使用 VMware Aria Automation V2T Migration Assistant 将云帐户从 NSX-V 迁移到 NSX-T(包括具有 Policy 的 NSX-T),Migration Assistant 将创建 nsxSecurityTag 键值对。在这种情况下,或者如果出于任何原因在云模板中明确指定 nsxSecurityTag 用于 NSX-T(包括具有 Policy 的 NSX-T),部署将创建虚拟机标记,其中“范围”设置为空,“标记名称”与指定的 value 匹配。在 NSX-T 中查看此类标记时,“范围”列将为空。

为避免混淆,请勿对 NSX-T 使用 nsxSecurityTag 键值对。如果指定 nsxSecurityTag 键值对用于 NSX-T(包括具有 Policy 的 NSX-T),则部署将创建虚拟机标记,其中范围设置为空,标记名称与指定的 value 匹配。在 NSX-T 中查看此类标记时,“范围”列将为空。

在按需安全组防火墙规则中使用应用程序隔离策略

可以使用应用程序隔离策略仅允许通过云模板置备的资源之间的内部流量。使用应用程序隔离,通过云模板置备的计算机可以相互通信,但无法连接到防火墙外部。可以在网络配置文件中创建应用程序隔离策略。此外,还可以通过使用具有拒绝防火墙规则或者专用或出站网络的按需安全组,在云模板设计中指定应用程序隔离。

创建的应用程序隔离策略的优先级较低。如果应用多个策略,将优先使用具有较高权重的策略。

创建应用程序隔离策略时,会生成一个自动生成的策略名称。此外,还可以在特定于关联资源端点和项目的其他云模板设计和迭代中重用该策略。应用程序隔离策略名称在云模板中不可见,但在部署云模板设计后将在项目页面(基础架构 > 管理 > 项目)上显示为自定义属性。

对于项目中的同一个关联端点,需要使用按需安全组进行应用程序隔离的任何部署都可以使用同一个应用程序隔离策略。策略创建后,便无法删除。指定应用程序隔离策略时,VMware Aria Automation 会在项目中针对关联端点搜索策略,如果找到策略,则重用,如果找不到策略,则进行创建。仅当应用程序隔离策略初始部署后,策略名称才显示在项目的自定义属性列表中。

在迭代式云模板开发中使用安全组

在迭代式开发过程中更改安全组限制时,如果安全组未与云模板中的计算机相关联,则安全组会在迭代中按指定的方式更新。但是,如果安全组已与计算机相关联,则重新部署将失败。必须在迭代式云模板开发期间将现有安全组和/或 securityGroupType 资源属性与关联的计算机分离,然后在每次重新部署之间重新关联。假设您已经初步部署云模板,则所需的工作流如下所示。
  1. Automation Assembler 模板设计器中,将安全组与云模板中的所有关联计算机分离。
  2. 单击更新现有部署以重新部署模板。
  3. 移除模板中的现有安全组限制标记和/或 securityGroupType 属性。
  4. 在模板中添加新的安全组限制标记和/或 securityGroupType 属性。
  5. 将新的安全组限制标记和/或 securityGroupType 属性实例与模板中的计算机相关联。
  6. 单击更新现有部署以重新部署模板。

可用的实施后操作

有关可用于云模板和部署资源的常用实施后操作列表,请参见可以对 Automation Assembler 部署或支持的资源运行哪些操作

了解更多

有关使用安全组进行网络隔离的信息,请参见 VMware Aria Automation 中的安全资源

有关在网络配置文件中使用安全组的信息,请参见了解有关 VMware Aria Automation中的网络配置文件的更多信息在 VMware Aria Automation 的网络配置文件和云模板设计中使用安全组设置

有关在云模板中使用安全组的示例,请参见 Automation Assembler 中的网络、安全性和负载均衡器示例