Wenn Sie die VMware Aria Automation-Cloud-Vorlagen erstellen oder bearbeiten, verwenden Sie die für Ihre Zwecke am besten geeigneten Sicherheitsressourcenoptionen.
Cloud-unabhängige Sicherheitsgruppenressource
Cloud.SecurityGroup-Ressourcentyp angezeigt. Die Standardressource wird wie folgt angezeigt:
Cloud_SecurityGroup_1:
type: Cloud.SecurityGroup
properties:
constraints: []
securityGroupType: existing
Sie geben eine Sicherheitsgruppenressource im Cloud-Vorlagen-Design entweder als vorhanden (securityGroupType: existing) oder als bedarfsgesteuert (securityGroupType: new) an.
Sie können eine vorhandene Sicherheitsgruppe zu Ihrer Cloud-Vorlage hinzufügen oder eine vorhandene Sicherheitsgruppe verwenden, die zu einem Netzwerkprofil hinzugefügt wurde.
Für NSX-V und NSX-T sowie NSX-T können Sie bei aktiviertem Richtlinienmanager-Switch in Kombination mit VMware Cloud on AWS eine vorhandene Sicherheitsgruppe hinzufügen oder eine neue Sicherheitsgruppe definieren, während Sie die Cloud-Vorlage entwerfen oder ändern. Bedarfsgesteuerte Sicherheitsgruppen werden für NSX-T, NSX-V und VMware Cloud on AWS bei der Verwendung mit NSX-T-Richtlinienmanager unterstützt.
Für alle Cloud-Kontotypen außer Microsoft Azure können Sie eine oder mehrere Sicherheitsgruppen einer Netzwerkkarte der Maschine zuordnen. Die Netzwerkkarte einer virtuellen Microsoft Azure-Maschine (machineName) kann nur einer Sicherheitsgruppe zugeordnet werden.
Standardmäßig ist die Sicherheitsgruppeneigenschaft securityGroupType auf existing festgelegt. Um eine bedarfsgesteuerte Sicherheitsgruppe zu erstellen, geben Sie new für die Eigenschaft securityGroupType ein. Verwenden Sie zum Angeben von Firewallregeln für eine bedarfsgesteuerte Sicherheitsgruppe die Eigenschaft rules im Abschnitt Cloud.SecurityGroup der Sicherheitsgruppenressource.
Vorhandene Sicherheitsgruppen
Vorhandene Sicherheitsgruppen werden in einer Cloud-Konto-Quellressource wie NSX-T oder Amazon Web Services erstellt. Es handelt sich um Daten, die von VMware Aria Automation aus der Quelle erfasst werden. Sie können eine vorhandene Sicherheitsgruppe aus einer Gruppe verfügbarer Ressourcen als Teil eines VMware Aria Automation-Netzwerkprofils auswählen. In Cloud-Vorlagen-Design können Sie eine vorhandene Sicherheitsgruppe grundsätzlich über ihre Mitgliedschaft in einem angegebenen Netzwerkprofil oder speziell mit einem Namen angeben, indem Sie die Einstellung securityGroupType: existing in einer Sicherheitsgruppenressource verwenden. Wenn Sie einem Netzwerkprofil eine Sicherheitsgruppe hinzufügen, fügen Sie dem Netzwerkprofil mindestens ein Funktions-Tag hinzu. Bedarfsgesteuerte Sicherheitsgruppenressourcen benötigen bei Verwendung in einem Cloud-Vorlagen-Design ein Einschränkungs-Tag.
Sie können einer oder mehreren Maschinenressourcen eine Sicherheitsgruppenressource im Cloud-Vorlagen-Design zuordnen.
Bedarfsgesteuerte Sicherheitsgruppen
Sie können bedarfsgesteuerte Sicherheitsgruppen festlegen, während Sie ein Cloud-Vorlagen-Design mithilfe der Einstellung securityGroupType: new im Code der Sicherheitsgruppenressource definieren oder ändern.
Sie können eine bedarfsgesteuerte Sicherheitsgruppe für NSX-V und NSX-T sowie Amazon Web Services zusammen mit dem NSX-T-Richtlinientyp verwenden, um einen spezifischen Satz von Firewallregeln auf eine Maschinenressource im Netzwerk oder einen Satz gruppierter Ressourcen anzuwenden. Jede Sicherheitsgruppe kann mehrere benannte Firewallregeln enthalten. Sie können eine bedarfsgesteuerte Sicherheitsgruppe verwenden, um Dienste oder Protokolle und Ports anzugeben. Beachten Sie, dass Sie entweder einen Dienst oder ein Protokoll angeben können. Sie können zusätzlich zu einem Protokoll einen Port angeben. Sie können keinen Port festlegen, wenn Sie einen Dienst angeben. Wenn die Regel weder einen Dienst noch ein Protokoll enthält, wird „Beliebig“ als Standardwert für den Dienst verwendet.
Sie können auch IP-Adressen und IP-Bereiche in Firewallregeln angeben. Einige Beispiele für Firewallregeln werden in Ressourcenbeispiele für Netzwerke, Sicherheitsgruppen und Lastausgleich in Automation Assembler gezeigt.
- Zulassen (Standard) – Lässt den Netzwerkdatenverkehr zu, der in dieser Firewallregel angegeben ist.
- Verweigern – Blockiert den Netzwerkdatenverkehr, der in dieser Firewallregel angegeben ist. Gibt dem Client aktiv an, dass die Verbindung abgelehnt wird.
- Verwerfen – Lehnt den Netzwerkdatenverkehr ab, der in dieser Firewallregel angegeben ist. Verwirft das Paket im Hintergrund, als wäre der Listener nicht online.
access: Allow- und eine
access: Deny-Firewallregel verwendet, finden Sie unter
Ressourcenbeispiele für Netzwerke, Sicherheitsgruppen und Lastausgleich in Automation Assembler.
Firewallregeln unterstützen CIDR-Werte für IP-Quell- und -Zieladressen sowohl im IPv4- als auch im IPv6-Format. Ein Beispieldesign, das IPv6-CIDR-Werte in einer Firewallregel verwendet, finden Sie unter Ressourcenbeispiele für Netzwerke, Sicherheitsgruppen und Lastausgleich in Automation Assembler.
Verwenden von Einschränkungen für die Platzierung von Sicherheitsgruppen
Cloud_SecurityGroup_4:
type: Cloud.SecurityGroup
properties:
securityGroupType: new
constraints:
- tag: na
na verfügen.
- Wenn mehrere Endpoints die Einschränkung erfüllen, wird der Endpoint ausgewählt, dessen Cloud-Zone die höchste Bereitstellungspriorität hat.
- Wenn kein Endpoint die Einschränkung erfüllt, schlägt die Bereitstellung fehl.
- Wenn die Sicherheitsgruppe an eine andere Ressource angehängt ist, muss der entsprechende Endpoint dieser Ressource die Sicherheitsgruppeneinschränkungen zusätzlich zu den Platzierungseinschränkungen für die Ressource selbst erfüllen.
Bedarfsgesteuerte und vorhandene Sicherheitsgruppen für VMware Cloud on AWS
Sie können eine bedarfsgesteuerte Sicherheitsgruppe für eine VMware Cloud on AWS-Maschine in einer Cloud-Vorlage festlegen, indem Sie die Einstellung securityGroupType: new im Code der Sicherheitsgruppenressource verwenden.
resources:
Cloud_SecurityGroup_1:
type: Cloud.SecurityGroup
properties:
name: vmc-odsg
securityGroupType: new
rules:
- name: datapath
direction: inbound
protocol: TCP
ports: 5011
access: Allow
source: any
Gemäß folgenden Beispielen können Sie auch eine vorhandene Sicherheitsgruppe für eine VMware Cloud on AWS-Maschine im Netzwerk definieren und optional Einschränkungs-Tags hinzuziehen:
Cloud_SecurityGroup_2:
type: Cloud.SecurityGroup
properties:
constraints: [xyz]
securityGroupType: existing
Cloud_SecurityGroup_3:
type: Cloud.SecurityGroup
properties:
securityGroupType: existing
constraints:
- tag: xyz
- Wenn eine Sicherheitsgruppe mit einer oder mehreren Maschinen in der Bereitstellung verknüpft ist, wird beim Löschen eine Meldung mit dem Hinweis angezeigt, dass die Sicherheitsgruppe nicht gelöscht werden kann.
- Wenn eine Sicherheitsgruppe mit keiner Maschine in der Bereitstellung verknüpft ist, wird beim Löschen eine Meldung mit dem Hinweis angezeigt, dass die Sicherheitsgruppe aus dieser Bereitstellung gelöscht wird und die Aktion nicht rückgängig gemacht werden kann. Eine vorhandene Sicherheitsgruppe wird aus der Cloud-Vorlage gelöscht, während eine bedarfsgesteuerte Sicherheitsgruppe dauerhaft gelöscht wird.
Verwenden von NSX-V-Sicherheits-Tags und NSX-T-VM-Tags
Sie können NSX-V-Sicherheits-Tags, NSX-T und NSX-T mit Richtlinien-VM-Tags aus verwalteten Ressourcen in Cloud-Vorlagen von VMware Aria Automation anzeigen und verwenden.
NSX-V- und NSX-T-Sicherheits-Tags werden für die Verwendung mit vSphere unterstützt. NSX-T-Sicherheits-Tags werden auch für die Verwendung mit VMware Cloud on AWS unterstützt.
Wie bei auf vSphere bereitgestellten VMs können Sie Maschinen-Tags für eine VM konfigurieren, die auf VMware Cloud on AWS bereitgestellt werden soll. Sie können das Maschinen-Tag auch nach der ersten Bereitstellung aktualisieren. Mithilfe dieser Maschinen-Tags kann VMware Aria Automation einer entsprechenden NSX-T-Sicherheitsgruppe während der Bereitstellung dynamisch eine VM zuweisen.
key: nsxSecurityTag und einen Tag-Wert in der Computing-Ressource der Cloud-Vorlage unter der Voraussetzung verwenden, dass die Maschine mit einem
NSX-V-Netzwerk verbunden ist. Weitere Informationen finden Sie in folgendem Beispiel:
tags: - key: nsxSecurityTag - value: security_tag_1 - key: nsxSecurityTag - value: security_tag_2
Der angegebene Wert muss einem NSX-V-Sicherheits-Tag entsprechen. Wenn es keine Sicherheits-Tags in NSX-V gibt, die dem angegebenen nsxSecurityTag-Schlüsselwert entsprechen, schlägt die Bereitstellung fehl.
Für NSX-V-Sicherheits-Tagging muss die Maschine mit einem NSX-V-Netzwerk verbunden sein. Wenn die Maschine mit einem vSphere-Netzwerk verbunden ist, wird das NSX-V-Sicherheits-Tagging ignoriert. In beiden Fällen wird die vSphere-Maschine ebenfalls gekennzeichnet.
NSX-T verfügt über kein separates Sicherheits-Tag. Jedes Tag, das auf der Computing-Ressource in der Cloud-Vorlage angegeben ist, führt dazu, dass die bereitgestellte VM allen Tags zugeordnet wird, die in NSX-T angegeben sind. Bei NSX-T, einschließlich NSX-T mit Richtlinie, werden VM-Tags auch als Schlüssel-Wert-Paar in der Cloud-Vorlage ausgedrückt. Die key-Einstellung entspricht der scope-Einstellung in NSX-T, und die value-Einstellung entspricht Tag Name, angegeben in NSX-T.
Wenn Sie den V2T-Migrationsassistenten von VMware Aria Automation zum Migrieren Ihrer Cloud-Konten von NSX-V nach NSX-T, einschließlich NSX-T mit Richtlinie, verwendet haben, erstellt der Migrationsassistent ein nsxSecurityTag-Schlüssel-Wert-Paar. In diesem Szenario oder wenn das nsxSecurityTag aus irgendeinem Grund explizit in einer Cloud-Vorlage zur Verwendung mit NSX-T, einschließlich NSX-T mit Richtlinie, angegeben ist, erstellt die Bereitstellung ein VM-Tag mit einer leeren Einstellung für den Geltungsbereich und einem Tag-Namen, der mit dem angegebenen value übereinstimmt. Wenn Sie solche Tags in NSX-T anzeigen, ist die Spalte für den Geltungsbereich leer.
Um Verwechslungen zu vermeiden, verwenden Sie keine nsxSecurityTag-Schlüsselpaare für NSX-T. Wenn Sie ein nsxSecurityTag-Schlüssel-Wert-Paar zur Verwendung mit NSX-T, einschließlich NSX-T mit Richtlinie, angeben, erstellt die Bereitstellung ein VM-Tag mit einer leeren Einstellung für den Geltungsbereich und einem Tag-Namen, der mit dem angegebenen value übereinstimmt. Wenn Sie solche Tags in NSX-T anzeigen, ist die Spalte für den Geltungsbereich leer.
Verwenden von App-Isolierungsrichtlinien in Firewallregeln der bedarfsgesteuerten Sicherheitsgruppe
Sie können eine App-Isolierungsrichtlinie verwenden, um nur internen Datenverkehr zwischen den Ressourcen zuzulassen, die von der Cloud-Vorlage bereitgestellt werden. Mit App-Isolierung können die von der Cloud-Vorlage bereitgestellten Maschinen zwar miteinander kommunizieren, aber keine Verbindung außerhalb der Firewall herstellen. Sie können eine App-Isolierungsrichtlinie im Netzwerkprofil erstellen. Sie können App-Isolierung auch in einem Cloud-Vorlagen-Design angeben, indem Sie eine bedarfsgesteuerte Sicherheitsgruppe mit einer Firewallregel vom Typ „Verweigern“ oder ein privates oder ausgehendes Netzwerk verwenden.
Eine App-Isolierungsrichtlinie wird mit einem niedrigeren Vorrang erstellt. Wenn Sie mehrere Richtlinien anwenden, werden die Richtlinien mit der höheren Gewichtung vorrangig behandelt.
Wenn Sie eine App-Isolierungsrichtlinie erstellen, wird ein automatisch generierter Richtlinienname erzeugt. Die Richtlinie wird auch für die Wiederverwendung in anderen Cloud-Vorlagen-Designs und Iterationen, die spezifisch für den zugehörigen Ressourcen-Endpoint und das Projekt sind, zur Verfügung gestellt. Der Name der App-Isolierungsrichtlinie ist in der Cloud-Vorlage nicht sichtbar, wird aber nach der Bereitstellung des Cloud-Vorlagen-Designs als benutzerdefinierte Eigenschaft auf der Projektseite angezeigt ().
Für denselben verknüpften Endpoint in einem Projekt kann jede Bereitstellung, die eine bedarfsgesteuerte Sicherheitsgruppe für die App-Isolierung benötigt, dieselbe App-Isolierungsrichtlinie verwenden. Sobald die Richtlinie erstellt wurde, wird sie nicht mehr gelöscht. Wenn Sie eine App-Isolierungsrichtlinie angeben, sucht VMware Aria Automation nach der Richtlinie innerhalb des Projekts und in Bezug auf den zugehörigen Endpoint. Wird die Richtlinie gefunden, wird sie erneut verwendet, andernfalls wird sie erstellt. Der Name der App-Isolierungsrichtlinie ist erst nach der anfänglichen Bereitstellung in der Liste der benutzerdefinierten Eigenschaften des Projekts sichtbar.
Verwenden von Sicherheitsgruppen bei der iterativen Entwicklung von Cloud-Vorlagen
- Trennen Sie im Automation Assembler-Vorlagendesigner die Sicherheitsgruppe von allen verknüpften Maschinen in der Cloud-Vorlage.
- Stellen Sie die Vorlagen erneut bereit, indem Sie auf Vorhandene Bereitstellung aktualisieren klicken.
- Entfernen Sie die Einschränkungs-Tags der vorhandenen Sicherheitsgruppe und/oder securityGroupType-Eigenschaften in der Vorlage.
- Fügen Sie der Vorlage Einschränkungs-Tags der neuen Sicherheitsgruppe und/oder securityGroupType-Eigenschaften hinzu.
- Verknüpfen Sie die Einschränkungs-Tags der neuen Sicherheitsgruppe und/oder Instanzen der securityGroupType-Eigenschaft mit den Maschinen in der Vorlage.
- Stellen Sie die Vorlagen erneut bereit, indem Sie auf Vorhandene Bereitstellung aktualisieren klicken.
Verfügbare Tag-2-Vorgänge
Eine Liste allgemeiner Tag-2-Vorgänge, die für Cloud-Vorlagen- und Bereitstellungsressourcen verfügbar sind, finden Sie unter Welche Aktionen kann ich in Automation Assembler-Bereitstellungen oder unterstützten Ressourcen ausführen?.
Weitere Informationen
Informationen zur Verwendung einer Sicherheitsgruppe für die Netzwerkisolierung finden Sie unter Sicherheitsressourcen in VMware Aria Automation.
Informationen zur Verwendung von Sicherheitsgruppen in Netzwerkprofilen finden Sie unter Weitere Informationen zu Netzwerkprofilen in VMware Aria Automation und Verwenden von Sicherheitsgruppeneinstellungen in Netzwerkprofilen und Cloud-Vorlagendesigns in VMware Aria Automation.
Beispiele zur Verwendung von Sicherheitsgruppen in Cloud-Vorlagen finden Sie unter Ressourcenbeispiele für Netzwerke, Sicherheitsgruppen und Lastausgleich in Automation Assembler.
