Cloud Assembly 中添加云帐户后,数据收集会发现该云帐户的网络和安全性信息,并使该信息可用于网络配置文件和其他选项。

安全组和防火墙规则支持网络隔离。将从安全组收集数据,防火墙规则未收集数据。

使用基础架构 > 资源 > 安全菜单序列,可以查看在 Cloud Assembly 云模板设计中创建的按需安全组以及在源应用程序(如 NSX-TAmazon Web Services)中创建的现有安全组。可用安全组通过数据收集过程公开。

可以使用标记将计算机接口(网卡)与云模板定义或网络配置文件中的安全组相匹配。可以查看可用的安全组,并为选定的安全组添加或移除标记。云模板作者可以将一个或多个安全组分配给计算机网卡,以控制部署的安全性。

在云模板设计中,对于现有安全组,将安全组资源中的 securityGroupType 参数指定为 existing,对于按需安全组,将该参数指定为 new

现有安全组

现有安全组将在来源列中显示并归类为 Discovered

底层云帐户端点(如 NSX-VNSX-TAmazon Web Services 应用程序)中的现有安全组可供使用。

云管理员可以将一个或多个标记分配给现有安全组,以便能够在云模板中使用该安全组。云模板作者可以使用云模板设计中的 Cloud.SecurityGroup 资源,通过使用标记限制来分配现有安全组。现有安全组要求在云模板设计的安全资源中至少指定一个限制标记。

如果直接在源应用程序(例如源 NSX 应用程序)而非 Cloud Assembly 中编辑现有安全组,则在 Cloud Assembly 中不会显示更新,直到运行数据收集并在 Cloud Assembly 中对关联的云帐户或集成点收集数据。数据收集每隔 10 分钟自动运行一次。

NSX-T 全局管理器和本地管理器云帐户以及与本地管理器关联的 vCenter 云帐户支持现有安全组。 Cloud Assembly 会枚举现有安全组并将其连接到计算机的网络接口(网卡)或进行数据收集。可以通过在 NSX-T 全局管理器上添加现有安全组来创建全局安全组。然后,关联的本地管理器可以使用此全局安全组。全局安全组可以跨越一个、全部或部分关联的本地管理器。
  • 对于所有定义的区域,支持并枚举全局现有安全组。
  • 基础架构 > 资源页面上会列出全局安全组及其应用于的所有云帐户。
  • 可以直接在云模板或选定的网络配置文件中将计算机接口(网卡)与现有全局安全组相关联。
  • 全局安全组支持以下实施后操作:
    • 在云模板中将安全组从全局安全组重新配置为本地安全组,反之亦然。
    • 横向扩展/缩减与全局安全组关联的计算机。

按需安全组

Cloud Assembly 的云模板或网络配置文件中创建的按需安全组将在来源列中显示并归类为 Managed by Cloud Assembly。在网络配置文件中创建的按需安全组在内部分类为具有预配置防火墙规则的隔离安全组,不会作为安全组资源添加到云模板设计中。在云模板设计中创建的按需安全组,以及可以包含快速防火墙规则的按需安全组,将作为分类为 new 的安全组资源的一部分进行添加。

注:

可以直接在云模板设计代码的安全组资源中为 NSX-VNSX-T 的按需安全组创建防火墙规则。应用对象列不包含由 NSX 分布式防火墙 (DFW) 分类或管理的安全组。应用于应用程序的防火墙规则适用于东西向 DFW 流量。某些防火墙规则只能在源应用程序中进行管理,无法在 Cloud Assembly 中进行编辑。例如,在 NSX-T 中管理以太网、紧急情况、基础架构和环境规则。

NSX-T 全局管理器云帐户当前不支持按需安全组。

了解更多

有关在网络配置文件中使用安全组的详细信息,请参见了解有关 vRealize Automation中的网络配置文件的更多信息

有关定义防火墙规则的信息,请参见在 vRealize Automation 的网络配置文件和云模板设计中使用安全组设置

有关在云模板中使用安全组的详细信息,请参见详细了解 vRealize Automation 云模板中的安全组和标记资源

有关包含安全组的云模板设计代码示例,请参见 vRealize Automation 中的网络、安全资源和负载均衡器