创建或编辑 vRealize Automation 云模板时,请为您的目标使用最合适的安全组资源。了解云模板中可用的安全组选项。

云平台无关的安全组资源

目前只有一种类型的安全组资源。可以在云模板“设计”页面上使用 云平台无关 > 安全组资源添加安全组资源。资源在云模板代码中显示为 Cloud.SecurityGroup 资源类型。默认资源显示为:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      constraints: []
      securityGroupType: existing

可以在云模板设计中将安全组资源指定为现有类型 (securityGroupType: existing) 或按需类型 (securityGroupType: new)。

可以将现有安全组直接添加到云模板设计,也可以使用已添加到网络配置文件的现有安全组。各种云帐户类型都支持现有安全组。

对于 NSX-VNSX-T,可以在设计或修改云模板时添加现有安全组或定义新的安全组。NSX-TNSX-V 仅支持按需安全组。

对于除 Microsoft Azure 以外的所有云帐户类型,可以将一个或多个安全组关联到一个计算机网卡。Microsoft Azure 虚拟机网卡 (machineName) 只能关联到一个安全组。

默认情况下,安全组属性 securityGroupType 设置为 existing。要创建按需安全组,请为 securityGroupType 属性输入 new。要为按需安全组指定防火墙规则,请在安全组资源的 Cloud.SecurityGroup 部分中使用 rules 属性。

现有安全组

现有安全组在源云帐户资源(如 NSX-TAmazon Web Services)中创建。vRealize Automation 会从源中收集它们的数据。可以从可用资源列表中选择一个现有安全组作为 vRealize Automation 网络配置文件的一部分。在云模板设计中,可以通过以下两种方式指定现有安全组:通过其在指定网络配置文件中的成员资格内在指定;使用安全组资源中的 securityGroupType: existing 设置通过名称具体指定。如果将安全组添加到网络配置文件,请至少将一个功能标记添加到该网络配置文件。按需安全组资源在云模板设计中使用时需要限制标记。

在云模板设计中,可以将一个安全组资源关联到一个或多个计算机资源。

注: 如果要在云模板设计中使用某计算机资源置备到 Microsoft Azure 虚拟机网卡 ( machineName),则只能将该计算机资源关联到一个安全组。

按需 NSX-VNSX-T 安全组

可在定义或修改云模板设计时使用安全组资源代码中的 securityGroupType: new 设置定义按需安全组。

可以使用按需 NSX-VNSX-T 安全组将一组特定的防火墙规则应用于一个联网计算机资源或一组分组资源。每个安全组可以包含多个指定的防火墙规则。可以使用按需安全组指定服务或者协议和端口。请注意,可以指定服务或协议,但不能同时指定两者。如果指定协议,还可以指定端口。如果指定服务,则无法指定端口。如果规则既不包含服务也不包含协议,则默认服务值为“任意”。

此外,还可以在防火墙规则中指定 IP 地址和 IP 范围。 vRealize Automation 云模板中的网络、安全性和负载均衡器示例中显示了一些防火墙规则示例。
NSX-VNSX-T 按需安全组中创建防火墙规则时,默认设置不仅允许指定的网络流量,还允许其他网络流量。要控制网络流量,必须为每个规则指定一个访问类型。规则访问类型包括:
  • 允许(默认值)- 允许在此防火墙规则中指定的网络流量。
  • 拒绝 - 阻止在此防火墙规则中指定的网络流量。主动告知客户端连接被拒绝。
  • 丢弃 - 拒绝此防火墙规则中指定的网络流量。以静默方式丢弃数据包,就好像侦听器未联机一样。
有关使用 access: Allowaccess: Deny 防火墙规则的示例设计,请参见 vRealize Automation 云模板中的网络、安全性和负载均衡器示例
注: 云管理员可以创建仅包含 NSX 按需安全组的云模板设计,并可以部署该设计以创建可重用的现有安全组资源,组织成员可以将该资源作为现有安全组添加到网络配置文件和云模板设计。

对于源和目标 IP 地址,防火墙规则支持 IPv4 或 IPv6 格式的 CIDR 值。有关在防火墙规则中使用 IPv6 CIDR 值的示例设计,请参见 vRealize Automation 云模板中的网络、安全性和负载均衡器示例

在按需安全组防火墙规则中使用应用程序隔离策略

可以使用应用程序隔离策略仅允许通过云模板置备的资源之间的内部流量。使用应用程序隔离,通过云模板置备的计算机可以相互通信,但无法连接到防火墙外部。可以在网络配置文件中创建应用程序隔离策略。此外,还可以通过使用具有拒绝防火墙规则或者专用或出站网络的按需安全组,在云模板设计中指定应用程序隔离。

创建的应用程序隔离策略的优先级较低。如果应用多个策略,将优先使用具有较高权重的策略。

创建应用程序隔离策略时,会为该策略分配一个自动生成的策略名称。此外,还可以在特定于关联资源端点和项目的其他云模板设计和设计迭代中重用该策略。应用程序隔离策略名称在云模板设计代码中不可见,但在部署云模板设计后将在项目页面(基础架构 > 管理 > 项目)上显示为自定义属性。

对于项目中的同一个关联端点,需要使用按需安全组进行应用程序隔离的任何部署都可以使用同一个应用程序隔离策略。策略创建后,便无法删除。指定应用程序隔离策略时,vRealize Automation 会在项目中针对关联端点搜索策略,如果找到策略,则重用,如果找不到策略,则进行创建。仅当应用程序隔离策略初始部署后,策略名称才显示在项目的自定义属性列表中。

在迭代式云模板开发中使用安全组

在迭代式开发过程中更改安全组限制时,如果安全组未与云模板中的计算机相关联,则会在迭代中按指定的方式更新安全组。但是,如果安全组已与计算机相关联,则重新部署将失败。必须在迭代式云模板开发期间将现有安全组和/或 securityGroupType 资源属性与关联的计算机分离,并在每次重新部署之间重新关联。假设您已经初步部署云模板,则所需的工作流如下所示:
  1. 在 Cloud Assembly 模板设计器中,将安全组与云模板中的所有关联计算机分离。
  2. 单击更新现有部署以重新部署模板。
  3. 移除模板中的现有安全组限制标记和/或 securityGroupType 属性。
  4. 在模板中添加新的安全组限制标记和/或 securityGroupType 属性。
  5. 将新的安全组限制标记和/或 securityGroupType 属性实例与模板中的计算机相关联。
  6. 单击更新现有部署以重新部署模板。

可用的实施后操作

有关可用于云模板和部署资源的常用实施后操作列表,请参见可以对 vRealize Automation Cloud Assembly 部署运行哪些操作

了解更多

有关使用安全组进行网络隔离的相关信息,请参见vRealize Automation 中的安全资源

有关在网络配置文件中使用安全组设置的信息,请参见了解有关 vRealize Automation中的网络配置文件的更多信息在 vRealize Automation Cloud Assembly 的网络配置文件和云模板设计中使用安全组设置

有关说明示例安全资源和设置的云模板设计示例,请参见 vRealize Automation 云模板中的网络、安全性和负载均衡器示例