Nachdem Sie ein Cloud-Konto in Automation Assembler hinzugefügt haben, erkennt die Datenerfassung die Netzwerk- und Sicherheitsinformationen des Cloud-Kontos und stellt diese Informationen zur Verwendung in Netzwerkprofilen und für andere Optionen bereit.
Sicherheitsgruppen und Firewallregeln unterstützen die Netzwerkisolierung. Sicherheitsgruppen basieren auf erfassten Daten. Firewallregeln basieren nicht auf erfassten Daten.
Mithilfe der Menüabfolge können Sie in Automation Assembler-Cloud-Vorlagendesigns erstellte bedarfsgesteuerte Sicherheitsgruppen und vorhandene in Quellanwendungen erstellte Sicherheitsgruppen anzeigen, wie z. B. NSX-T und Amazon Web Services. Verfügbare Sicherheitsgruppen werden mithilfe des Datenerfassungsprozesses angezeigt.
Mithilfe eines Tags können Sie die Maschinenschnittstelle (NIC) mit einer Sicherheitsgruppe in einer Cloud-Vorlagendefinition oder einem Netzwerkprofil abgleichen. Sie können die verfügbaren Sicherheitsgruppen anzeigen und Tags für ausgewählte Sicherheitsgruppen hinzufügen oder entfernen. Ein Cloud-Vorlagen-Autor kann einer Maschinen-Netzwerkkarte eine oder mehrere Sicherheitsgruppen zuweisen, um die Sicherheit für die Bereitstellung zu steuern.
Im Cloud-Vorlagendesign wird der Parameter securityGroupType in der Sicherheitsgruppenressource als existing für eine vorhandene Sicherheitsgruppe oder als new für eine bedarfsgesteuerte Sicherheitsgruppe angegeben.
Vorhandene Sicherheitsgruppen
Vorhandene Sicherheitsgruppen werden in der Spalte Ursprung als Discovered angezeigt und klassifiziert.
Vorhandene Sicherheitsgruppen aus dem zugrunde liegenden Cloud-Konto-Endpoint, z. B. NSX-V-, NSX-T- oder Amazon Web Services-Anwendungen, stehen zur Verwendung bereit.
Ein Cloud-Administrator kann einer vorhandenen Sicherheitsgruppe ein oder mehrere Tags zuweisen, damit diese in einer Cloud-Vorlage verwendet werden kann. Ein Cloud-Vorlagen-Autor kann eine Cloud.SecurityGroup-Ressource in einem Cloud-Vorlagendesign verwenden, um eine vorhandene Sicherheitsgruppe mithilfe von Tag-Einschränkungen zuzuteilen. Für eine vorhandene Sicherheitsgruppe muss mindestens ein Einschränkungs-Tag in der Sicherheitsressource im Cloud-Vorlagendesign angegeben werden.
Wenn Sie eine vorhandene Sicherheitsgruppe direkt in der Quellanwendung (beispielsweise in der NSX-Quellanwendung) anstatt in Automation Assembler bearbeiten, werden die Updates in Automation Assembler erst dann angezeigt, wenn die Datenerfassung ausgeführt und Daten im zugehörigen Cloud-Konto oder Integrationspunkt innerhalb von Automation Assembler erfasst werden. Die Datenerfassung wird automatisch alle 10 Minuten durchgeführt.
- Globale vorhandene Sicherheitsgruppen werden unterstützt und für alle definierten Regionen aufgezählt.
- Globale Sicherheitsgruppen werden auf der Seite mit allen Cloud-Konten aufgelistet, für die sie gelten.
- Sie können eine Maschinenschnittstelle (NIC) direkt mit einer vorhandenen globalen Sicherheitsgruppe in einer Cloud-Vorlage oder im ausgewählten Netzwerkprofil verknüpfen.
- Die folgenden Tag-2-Vorgänge werden für globale Sicherheitsgruppen unterstützt:
- Neukonfiguration einer Sicherheitsgruppe in einer Cloud-Vorlage von einer globalen zu einer lokalen Sicherheitsgruppe und umgekehrt.
- Horizontale/vertikale Skalierung von Maschinen, die globalen Sicherheitsgruppen zugeordnet sind.
Bedarfsgesteuerte Sicherheitsgruppen
Bedarfsgesteuerte Sicherheitsgruppen, die Sie in Automation Assembler entweder in einer Cloud-Vorlage oder in einem Netzwerkprofil erstellen, werden in der Spalte Ursprung als Managed by Automation Assembler angezeigt und klassifiziert. Bedarfsgesteuerte Sicherheitsgruppen, die Sie als Teil eines Netzwerkprofils erstellen, werden intern als eine Isolationssicherheitsgruppe mit vorkonfigurierten Firewallregeln eingestuft und nicht zu Cloud-Vorlagendesign als Sicherheitsgruppenressource hinzugefügt. Bedarfsgesteuerte Sicherheitsgruppen, die Sie in Cloud-Vorlagendesign erstellen und die ausdrückliche Firewallregeln enthalten können, werden als Teil einer Sicherheitsgruppenressource hinzugefügt, die als new eingestuft wird.
Sie können Firewallregeln für bedarfsgesteuerte Sicherheitsgruppen für NSX-V und NSX-T direkt in einer Sicherheitsgruppenressource im Code des Cloud-Vorlagendesigns erstellen. Die Spalte Angewendet auf enthält keine Sicherheitsgruppen, die von einer verteilten NSX-Firewall (Distributed Firewall, DFW) klassifiziert oder verwaltet werden. Die für die Anwendungen geltenden Firewallregeln gelten für den Ost/West-DFW-Datenverkehr. Einige Firewallregeln können nur in der Quellanwendung verwaltet und nicht in Automation Assembler bearbeitet werden. Beispielsweise werden Ethernet-, Notfall-, Infrastruktur- und Umgebungsregeln in NSX-T verwaltet.
Bedarfsgesteuerte Sicherheitsgruppen werden derzeit für Cloud-Konten des globalen NSX-T Managers nicht unterstützt.
Weitere Informationen
Weitere Informationen zur Verwendung von Sicherheitsgruppen in Netzwerkprofilen finden Sie unter Weitere Informationen zu Netzwerkprofilen in VMware Aria Automation.
Weitere Informationen zum Definieren von Firewallregeln finden Sie unter Verwenden von Sicherheitsgruppeneinstellungen in Netzwerkprofilen und Cloud-Vorlagendesigns in VMware Aria Automation.
Weitere Informationen zur Verwendung von Sicherheitsgruppen in Cloud-Vorlagen finden Sie unter Weitere Informationen zu Sicherheitsgruppen- und Tag-Ressourcen in VMware Aria Automation-Cloud-Vorlagen.
Codebeispiele für das Cloud-Vorlagendesign, die Sicherheitsgruppen enthalten, finden Sie unter Ressourcenbeispiele für Netzwerke, Sicherheitsgruppen und Lastausgleich in Automation Assembler.
