Wenn Sie die vRealize Automation-Cloud-Vorlagen erstellen oder bearbeiten, verwenden Sie die für Ihre Zwecke am besten geeigneten Sicherheitsressourcenoptionen.

Cloud-unabhängige Sicherheitsgruppenressource

Sie fügen eine Sicherheitsgruppenressource mithilfe der Ressource Cloud-unabhängig > Sicherheitsgruppe auf der Seite Vorlage hinzu. Die Ressource wird im Code der Cloud-Vorlage als Cloud.SecurityGroup-Ressourcentyp angezeigt. Die Standardressource wird wie folgt angezeigt:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      constraints: []
      securityGroupType: existing

Sie geben eine Sicherheitsgruppenressource im Cloud-Vorlagen-Design entweder als vorhanden (securityGroupType: existing) oder als bedarfsgesteuert (securityGroupType: new) an.

Sie können eine vorhandene Sicherheitsgruppe zu Ihrer Cloud-Vorlage hinzufügen oder eine vorhandene Sicherheitsgruppe verwenden, die zu einem Netzwerkprofil hinzugefügt wurde.

Für NSX-V und NSX-T sowie NSX-T können Sie bei aktiviertem Richtlinienmanager-Switch in Kombination mit VMware Cloud on AWS eine vorhandene Sicherheitsgruppe hinzufügen oder eine neue Sicherheitsgruppe definieren, während Sie die Cloud-Vorlage entwerfen oder ändern. Bedarfsgesteuerte Sicherheitsgruppen werden für NSX-T, NSX-V und VMware Cloud on AWS bei der Verwendung mit NSX-T-Richtlinienmanager unterstützt.

Für alle Cloud-Kontotypen außer Microsoft Azure können Sie eine oder mehrere Sicherheitsgruppen einer Netzwerkkarte der Maschine zuordnen. Die Netzwerkkarte einer virtuellen Microsoft Azure-Maschine (machineName) kann nur einer Sicherheitsgruppe zugeordnet werden.

Standardmäßig ist die Sicherheitsgruppeneigenschaft securityGroupType auf existing festgelegt. Um eine bedarfsgesteuerte Sicherheitsgruppe zu erstellen, geben Sie new für die Eigenschaft securityGroupType ein. Verwenden Sie zum Angeben von Firewallregeln für eine bedarfsgesteuerte Sicherheitsgruppe die Eigenschaft rules im Abschnitt Cloud.SecurityGroup der Sicherheitsgruppenressource.

Vorhandene Sicherheitsgruppen

Vorhandene Sicherheitsgruppen werden in einer Cloud-Konto-Quellressource wie NSX-T oder Amazon Web Services erstellt. Es handelt sich um Daten, die von vRealize Automation aus der Quelle erfasst werden. Sie können eine vorhandene Sicherheitsgruppe aus einer Gruppe verfügbarer Ressourcen als Teil eines vRealize Automation-Netzwerkprofils auswählen. In Cloud-Vorlagen-Design können Sie eine vorhandene Sicherheitsgruppe grundsätzlich über ihre Mitgliedschaft in einem angegebenen Netzwerkprofil oder speziell mit einem Namen angeben, indem Sie die Einstellung securityGroupType: existing in einer Sicherheitsgruppenressource verwenden. Wenn Sie einem Netzwerkprofil eine Sicherheitsgruppe hinzufügen, fügen Sie dem Netzwerkprofil mindestens ein Funktions-Tag hinzu. Bedarfsgesteuerte Sicherheitsgruppenressourcen benötigen bei Verwendung in einem Cloud-Vorlagen-Design ein Einschränkungs-Tag.

Sie können einer oder mehreren Maschinenressourcen eine Sicherheitsgruppenressource im Cloud-Vorlagen-Design zuordnen.

Hinweis: Wenn Sie eine Maschinenressource im Cloud-Vorlagen-Design verwenden möchten, um eine Netzwerkkarte für eine virtuelle Microsoft Azure-Maschine ( machineName) bereitzustellen, sollten Sie die Maschinenressource nur mit einer einzelnen Sicherheitsgruppe verknüpfen.

Bedarfsgesteuerte Sicherheitsgruppen

Sie können bedarfsgesteuerte Sicherheitsgruppen festlegen, während Sie ein Cloud-Vorlagen-Design mithilfe der Einstellung securityGroupType: new im Code der Sicherheitsgruppenressource definieren oder ändern.

Sie können eine bedarfsgesteuerte Sicherheitsgruppe für NSX-V und NSX-T sowie Amazon Web Services zusammen mit dem NSX-T-Richtlinientyp verwenden, um einen spezifischen Satz von Firewallregeln auf eine Maschinenressource im Netzwerk oder einen Satz gruppierter Ressourcen anzuwenden. Jede Sicherheitsgruppe kann mehrere benannte Firewallregeln enthalten. Sie können eine bedarfsgesteuerte Sicherheitsgruppe verwenden, um Dienste oder Protokolle und Ports anzugeben. Beachten Sie, dass Sie entweder einen Dienst oder ein Protokoll angeben können. Sie können zusätzlich zu einem Protokoll einen Port angeben. Sie können keinen Port festlegen, wenn Sie einen Dienst angeben. Wenn die Regel weder einen Dienst noch ein Protokoll enthält, wird „Beliebig“ als Standardwert für den Dienst verwendet.

Sie können auch IP-Adressen und IP-Bereiche in Firewallregeln angeben. Einige Beispiele für Firewallregeln werden in Netzwerke, Sicherheitsressourcen und Lastausgleichsdienste in vRealize Automation gezeigt.

Wenn Sie Firewallregeln in einer bedarfsgesteuerten NSX-V- oder NSX-T-Sicherheitsgruppe erstellen, lässt die Standardeinstellung den angegebenen Netzwerkdatenverkehr zu. Die Standardeinstellung lässt auch anderen Netzwerkdatenverkehr zu. Um den Netzwerkdatenverkehr zu steuern, müssen Sie für jede Regel einen Zugriffstyp angeben. Die Regelzugriffstypen sind:
  • Zulassen (Standard) – Lässt den Netzwerkdatenverkehr zu, der in dieser Firewallregel angegeben ist.
  • Verweigern – Blockiert den Netzwerkdatenverkehr, der in dieser Firewallregel angegeben ist. Gibt dem Client aktiv an, dass die Verbindung abgelehnt wird.
  • Verwerfen – Lehnt den Netzwerkdatenverkehr ab, der in dieser Firewallregel angegeben ist. Verwirft das Paket im Hintergrund, als wäre der Listener nicht online.
Ein Beispiel für ein Design, das eine access: Allow- und eine access: Deny-Firewallregel verwendet, finden Sie unter Netzwerke, Sicherheitsressourcen und Lastausgleichsdienste in vRealize Automation.
Hinweis: Ein Cloud-Administrator kann ein Cloud-Vorlage-Design mit nur einer bedarfsgesteuerten NSX-Sicherheitsgruppe erstellen und dieses Design bereitstellen, um eine wiederverwendbare vorhandene Sicherheitsgruppenressource anzulegen, die von Mitgliedern der Organisation als vorhandene Sicherheitsgruppe zu Netzwerkprofilen und Cloud-Vorlagen-Designs hinzugefügt werden kann.

Firewallregeln unterstützen CIDR-Werte für IP-Quell- und -Zieladressen sowohl im IPv4- als auch im IPv6-Format. Ein Beispieldesign, das IPv6-CIDR-Werte in einer Firewallregel verwendet, finden Sie unter Netzwerke, Sicherheitsressourcen und Lastausgleichsdienste in vRealize Automation.

Bedarfsgesteuerte und vorhandene Sicherheitsgruppen für VMware Cloud on AWS

Sie können eine bedarfsgesteuerte Sicherheitsgruppe für eine VMware Cloud on AWS-Maschine in einer Cloud-Vorlage festlegen, indem Sie die Einstellung securityGroupType: new im Code der Sicherheitsgruppenressource verwenden.

Im Folgenden wird ein Beispiel eines Codeausschnitts für eine bedarfsgesteuerte Sicherheitsgruppe angezeigt:
resources:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      name: vmc-odsg
      securityGroupType: new
      rules: 
        - name: datapath
          direction: inbound
          protocol: TCP
          ports: 5011
          access: Allow
          source: any

Gemäß folgenden Beispielen können Sie auch eine vorhandene Sicherheitsgruppe für eine VMware Cloud on AWS-Maschine im Netzwerk definieren und optional Einschränkungs-Tags hinzuziehen:

  Cloud_SecurityGroup_2:
    type: Cloud.SecurityGroup
    properties:
      constraints: [xyz]
      securityGroupType: existing
Cloud_SecurityGroup_3:
  type: Cloud.SecurityGroup
  properties:
    securityGroupType: existing
     constraints:
        - tag: xyz
Die Entwicklung iterativer Cloud-Vorlagen wird unterstützt.
  • Wenn eine Sicherheitsgruppe mit einer oder mehreren Maschinen in der Bereitstellung verknüpft ist, wird beim Löschen eine Meldung mit dem Hinweis angezeigt, dass die Sicherheitsgruppe nicht gelöscht werden kann.
  • Wenn eine Sicherheitsgruppe mit keiner Maschine in der Bereitstellung verknüpft ist, wird beim Löschen eine Meldung mit dem Hinweis angezeigt, dass die Sicherheitsgruppe aus dieser Bereitstellung gelöscht wird und die Aktion nicht rückgängig gemacht werden kann. Eine vorhandene Sicherheitsgruppe wird aus der Cloud-Vorlage gelöscht, während eine bedarfsgesteuerte Sicherheitsgruppe dauerhaft gelöscht wird.

Verwenden von NSX-V-Sicherheits-Tags und NSX-T-VM-Tags

Sie können NSX-V-Sicherheits-Tags, NSX-T und NSX-T mit Richtlinien-VM-Tags aus verwalteten Ressourcen in Cloud-Vorlagen von vRealize Automation anzeigen und verwenden.

NSX-V- und NSX-T-Sicherheits-Tags werden für die Verwendung mit vSphere unterstützt. NSX-T-Sicherheits-Tags werden auch für die Verwendung mit VMware Cloud on AWS unterstützt.

Hinweis:

Wie bei auf vSphere bereitgestellten VMs können Sie Maschinen-Tags für eine VM konfigurieren, die auf VMware Cloud on AWS bereitgestellt werden soll. Sie können das Maschinen-Tag auch nach der ersten Bereitstellung aktualisieren. Mithilfe dieser Maschinen-Tags kann vRealize Automation einer entsprechenden NSX-T-Sicherheitsgruppe während der Bereitstellung dynamisch eine VM zuweisen.

Sie können NSX-V-Sicherheits-Tags angeben, indem Sie key: nsxSecurityTag und einen Tag-Wert in der Computing-Ressource der Cloud-Vorlage unter der Voraussetzung verwenden, dass die Maschine mit einem NSX-V-Netzwerk verbunden ist. Weitere Informationen finden Sie in folgendem Beispiel:
tags:
  - key: nsxSecurityTag
  - value: security_tag_1
  - key: nsxSecurityTag
  - value: security_tag_2

Der angegebene Wert muss einem NSX-V-Sicherheits-Tag entsprechen. Wenn es keine Sicherheits-Tags in NSX-V gibt, die dem angegebenen nsxSecurityTag-Schlüsselwert entsprechen, schlägt die Bereitstellung fehl.

Hinweis:

Für NSX-V-Sicherheits-Tagging muss die Maschine mit einem NSX-V-Netzwerk verbunden sein. Wenn die Maschine mit einem vSphere-Netzwerk verbunden ist, wird das NSX-V-Sicherheits-Tagging ignoriert. In beiden Fällen wird die vSphere-Maschine ebenfalls gekennzeichnet.

NSX-T verfügt über kein separates Sicherheits-Tag. Jedes Tag, das auf der Computing-Ressource in der Cloud-Vorlage angegeben ist, führt dazu, dass die bereitgestellte VM allen Tags zugeordnet wird, die in NSX-T angegeben sind. Bei NSX-T, einschließlich NSX-T mit Richtlinie, werden VM-Tags auch als Schlüssel-Wert-Paar in der Cloud-Vorlage ausgedrückt. Die key-Einstellung entspricht der scope-Einstellung in NSX-T, und die value-Einstellung entspricht Tag Name, angegeben in NSX-T.

Wenn Sie den V2T-Migrationsassistenten von vRealize Automation zum Migrieren Ihrer Cloud-Konten von NSX-V nach NSX-T, einschließlich NSX-T mit Richtlinie, verwendet haben, erstellt der Migrationsassistent ein nsxSecurityTag-Schlüssel-Wert-Paar. In diesem Szenario oder wenn das nsxSecurityTag aus irgendeinem Grund explizit in einer Cloud-Vorlage zur Verwendung mit NSX-T, einschließlich NSX-T mit Richtlinie, angegeben ist, erstellt die Bereitstellung ein VM-Tag mit einer leeren Scope-Einstellung mit einem Tag-Namen, der mit dem angegebenen value übereinstimmt. Wenn Sie solche Tags in NSX-T anzeigen, ist die Spalte für den Geltungsbereich leer.

Um Verwechslungen zu vermeiden, verwenden Sie keine nsxSecurityTag-Schlüsselpaare für NSX-T. Wenn Sie ein nsxSecurityTag-Schlüssel-Wert-Paar zur Verwendung mit NSX-T, einschließlich NSX-T mit Richtlinie, angeben, erstellt die Bereitstellung ein VM-Tag mit einer leeren Einstellung für den Geltungsbereich und einem Tag-Namen, der mit dem angegebenen value übereinstimmt. Wenn Sie solche Tags in NSX-T anzeigen, ist die Spalte für den Geltungsbereich leer.

Verwenden von App-Isolierungsrichtlinien in Firewallregeln der bedarfsgesteuerten Sicherheitsgruppe

Sie können eine App-Isolierungsrichtlinie verwenden, um nur internen Datenverkehr zwischen den Ressourcen zuzulassen, die von der Cloud-Vorlage bereitgestellt werden. Mit App-Isolierung können die von der Cloud-Vorlage bereitgestellten Maschinen zwar miteinander kommunizieren, aber keine Verbindung außerhalb der Firewall herstellen. Sie können eine App-Isolierungsrichtlinie im Netzwerkprofil erstellen. Sie können App-Isolierung auch in einem Cloud-Vorlagen-Design angeben, indem Sie eine bedarfsgesteuerte Sicherheitsgruppe mit einer Firewallregel vom Typ „Verweigern“ oder ein privates oder ausgehendes Netzwerk verwenden.

Eine App-Isolierungsrichtlinie wird mit einem niedrigeren Vorrang erstellt. Wenn Sie mehrere Richtlinien anwenden, werden die Richtlinien mit der höheren Gewichtung vorrangig behandelt.

Wenn Sie eine App-Isolierungsrichtlinie erstellen, wird ein automatisch generierter Richtlinienname erzeugt. Die Richtlinie wird auch für die Wiederverwendung in anderen Cloud-Vorlagen-Designs und Iterationen, die spezifisch für den zugehörigen Ressourcen-Endpoint und das Projekt sind, zur Verfügung gestellt. Der Name der App-Isolierungsrichtlinie ist in der Cloud-Vorlage nicht sichtbar, wird aber nach der Bereitstellung des Cloud-Vorlagen-Designs als benutzerdefinierte Eigenschaft auf der Projektseite angezeigt (Infrastruktur > Verwaltung > Projekte).

Für denselben verknüpften Endpoint in einem Projekt kann jede Bereitstellung, die eine bedarfsgesteuerte Sicherheitsgruppe für die App-Isolierung benötigt, dieselbe App-Isolierungsrichtlinie verwenden. Sobald die Richtlinie erstellt wurde, wird sie nicht mehr gelöscht. Wenn Sie eine App-Isolierungsrichtlinie angeben, sucht vRealize Automation nach der Richtlinie innerhalb des Projekts und in Bezug auf den zugehörigen Endpoint. Wird die Richtlinie gefunden, wird sie erneut verwendet, andernfalls wird sie erstellt. Der Name der App-Isolierungsrichtlinie ist erst nach der anfänglichen Bereitstellung in der Liste der benutzerdefinierten Eigenschaften des Projekts sichtbar.

Verwenden von Sicherheitsgruppen bei der iterativen Entwicklung von Cloud-Vorlagen

Wenn Sie Sicherheitsgruppeneinschränkungen während der iterativen Entwicklung ändern und die Sicherheitsgruppe nicht mit einer Maschine in der Cloud-Vorlage verknüpft ist, wird die Sicherheitsgruppe in der Iteration wie angegeben aktualisiert. Wenn die Sicherheitsgruppe aber bereits mit einer Maschine verknüpft ist, schlägt die erneute Bereitstellung fehl. Während der iterativen Bereitstellung von Cloud-Vorlagen müssen Sie vorhandene Sicherheitsgruppen und/oder securityGroupType-Ressourceneigenschaften von verknüpften Maschinen trennen und dann zwischen jeder erneuten Bereitstellung neu verknüpfen. Der erforderliche Workflow lautet wie folgt, vorausgesetzt, die Cloud-Vorlage wurde zuerst bereitgestellt.
  1. Trennen Sie im Cloud Assembly-Vorlagendesigner die Sicherheitsgruppe von allen verknüpften Maschinen in der Cloud-Vorlage.
  2. Stellen Sie die Vorlagen erneut bereit, indem Sie auf Vorhandene Bereitstellung aktualisieren klicken.
  3. Entfernen Sie die Einschränkungs-Tags der vorhandenen Sicherheitsgruppe und/oder securityGroupType-Eigenschaften in der Vorlage.
  4. Fügen Sie der Vorlage Einschränkungs-Tags der neuen Sicherheitsgruppe und/oder securityGroupType-Eigenschaften hinzu.
  5. Verknüpfen Sie die Einschränkungs-Tags der neuen Sicherheitsgruppe und/oder Instanzen der securityGroupType-Eigenschaft mit den Maschinen in der Vorlage.
  6. Stellen Sie die Vorlagen erneut bereit, indem Sie auf Vorhandene Bereitstellung aktualisieren klicken.

Verfügbare Tag-2-Vorgänge

Eine Liste allgemeiner Tag-2-Vorgänge, die für Cloud-Vorlagen- und Bereitstellungsressourcen verfügbar sind, finden Sie unter Welche Aktionen kann ich auf Cloud Assembly-Bereitstellungen ausführen?.

Weitere Informationen

Informationen zur Verwendung einer Sicherheitsgruppe für die Netzwerkisolierung finden Sie unter Sicherheitsressourcen in vRealize Automation.

Informationen zur Verwendung von Sicherheitsgruppen in Netzwerkprofilen finden Sie unter Weitere Informationen zu Netzwerkprofilen in vRealize Automation und Verwenden von Sicherheitsgruppeneinstellungen in Netzwerkprofilen und Cloud-Vorlagendesigns in vRealize Automation.

Beispiele zur Verwendung von Sicherheitsgruppen in Cloud-Vorlagen finden Sie unter Netzwerke, Sicherheitsressourcen und Lastausgleichsdienste in vRealize Automation.