Al crear o editar plantillas de nube de vRealize Automation, utilice las opciones de recursos de seguridad más adecuadas para sus objetivos.

Recurso de grupo de seguridad independiente de la nube

Para agregar un recurso de grupo de seguridad, utilice el recurso Independiente de la nube > Grupo de seguridad en la página de Plantilla. El recurso se muestra en el código de la plantilla de nube como un tipo de recurso Cloud.SecurityGroup. El recurso predeterminado se muestra de la siguiente manera:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      constraints: []
      securityGroupType: existing

Especifique un recurso de grupo de seguridad en un diseño de plantilla de nube como existente (securityGroupType: existing) o a petición (securityGroupType: new).

Puede agregar un grupo de seguridad existente al diseño de plantilla de nube o utilizar un grupo de seguridad existente ya agregado a un perfil de red.

Para NSX-V y NSX-T, así como NSX-T con el conmutador de administrador de directivas habilitado en combinación con VMware Cloud on AWS, puede agregar un grupo de seguridad existente o definir un nuevo grupo de seguridad mientras diseña o modifica la plantilla de nube. Los grupos de seguridad a petición son compatibles con NSX-T, NSX-V y VMware Cloud on AWS cuando se utilizan con el administrador de directivas de NSX-T.

Para todos los tipos de cuenta de nube excepto Microsoft Azure, puede asociar uno o varios grupos de seguridad a una NIC de máquina. Una NIC de máquina virtual de Microsoft Azure (machineName) solo se puede asociar a un grupo de seguridad.

De forma predeterminada, la propiedad del grupo de seguridad securityGroupType está establecida en existing. Para crear un grupo de seguridad a petición, introduzca new como la propiedad securityGroupType. Para especificar reglas de firewall en un grupo de seguridad a petición, utilice la propiedad rules en la sección Cloud.SecurityGroup del recurso de grupo de seguridad.

Grupos de seguridad existentes

Los grupos de seguridad existentes se crean en un recurso de cuenta de nube de origen, como NSX-T o Amazon Web Services. Son datos recopilados por vRealize Automation desde el origen. Puede seleccionar un grupo de seguridad existente de una lista de recursos disponibles como parte de un perfil de red de vRealize Automation. En un diseño de plantilla de nube, puede especificar un grupo de seguridad existente de forma inherente por su pertenencia a un perfil de red especificado o de forma específica por nombre con el ajuste securityGroupType: existing en un recurso de grupo de seguridad. Si agrega un grupo de seguridad a un perfil de red, agregue al menos una etiqueta de capacidad al perfil de red. Los recursos de grupos de seguridad a petición requieren una etiqueta de restricción cuando se utilizan en un diseño de plantilla de nube.

Puede asociar un recurso de grupo de seguridad en el diseño de plantilla de nube a uno o varios recursos de máquina.

Nota: Si planea utilizar un recurso de máquina en el diseño de plantilla de nube para aprovisionar una NIC de máquina virtual de Microsoft Azure ( machineName), solo debe asociar el recurso de máquina con un único grupo de seguridad.

Grupos de seguridad a petición

Puede definir grupos de seguridad a petición al definir o modificar un diseño de plantilla de nube mediante el ajuste de securityGroupType: new en el código del recurso de grupo de seguridad.

Puede utilizar un grupo de seguridad a petición para NSX-V y NSX-T, así como Amazon Web Services, cuando se utiliza con el tipo de directiva de NSX-T, para aplicar un conjunto específico de reglas de firewall a un recurso de máquina en red o un conjunto de recursos agrupados. Cada grupo de seguridad puede contener varias reglas de firewall con nombre. Puede utilizar un grupo de seguridad a petición para especificar servicios o protocolos y puertos. Tenga en cuenta que se puede especificar un servicio o un protocolo, pero no ambos, y que sí se puede especificar un puerto además de un protocolo. No es posible, sin embargo, especificar un puerto si se especifica un servicio. Si la regla no contiene un servicio ni un protocolo, el valor predeterminado del servicio es Cualquiera.

También puede especificar direcciones IP y rangos de IP en reglas de firewall. Algunos ejemplos de reglas de firewall se muestran en Redes, seguridad y equilibradores de carga en vRealize Automation.

Cuando se crean reglas de firewall en un grupo de seguridad a petición de NSX-V o de NSX-T, el valor predeterminado permite el tráfico de red especificado. El valor predeterminado también permite otro tráfico de red. Para controlar el tráfico de red, debe especificar un tipo de acceso para cada regla. Los tipos de acceso a la regla son:
  • Permitir (predeterminado): permite el tráfico de red que se especifica en esta regla de firewall.
  • Rechazar: bloquea el tráfico de red que se especifica en esta regla de firewall. Indica activamente al cliente que se rechazó la conexión.
  • Descartar: rechaza el tráfico de red que se especifica en esta regla de firewall. Descarta el paquete de forma silenciosa como si el agente de escucha no estuviera conectado.
Para ver un ejemplo del diseño en el que se utilizan las reglas de firewall access: Allow y access: Deny, consulte Redes, seguridad y equilibradores de carga en vRealize Automation.
Nota: Un administrador de nube puede crear un diseño de plantilla de nube que contenga solo un grupo de seguridad de NSX a petición e implementar ese diseño para crear un recurso de grupo de seguridad existente reutilizable que los miembros de la organización puedan agregar a los perfiles de red y los diseños de plantilla de nube como un grupo de seguridad existente.

Las reglas de firewall son compatibles con los valores de IPv4 o IPv6 en formato CIDR para las direcciones IP de origen y destino. Para obtener un ejemplo de un diseño que utilice valores de IPv6 en formato CIDR en una regla de firewall, consulte Redes, seguridad y equilibradores de carga en vRealize Automation.

Grupos de seguridad a petición y existentes para VMware Cloud on AWS

Puede definir un grupo de seguridad a petición para una máquina de VMware Cloud on AWS en una plantilla de nube mediante el ajuste de securityGroupType: new en el código del recurso de grupo de seguridad.

A continuación se muestra un fragmento de código de ejemplo para un grupo de seguridad a petición:
resources:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      name: vmc-odsg
      securityGroupType: new
      rules: 
        - name: datapath
          direction: inbound
          protocol: TCP
          ports: 5011
          access: Allow
          source: any

También puede definir un grupo de seguridad existente para una máquina de VMware Cloud on AWS en red y, opcionalmente, incluir el etiquetado de restricciones, como se muestra en los siguientes ejemplos:

  Cloud_SecurityGroup_2:
    type: Cloud.SecurityGroup
    properties:
      constraints: [xyz]
      securityGroupType: existing
Cloud_SecurityGroup_3:
  type: Cloud.SecurityGroup
  properties:
    securityGroupType: existing
     constraints:
        - tag: xyz
Se admite el desarrollo iterativo de plantillas de nube.
  • Si un grupo de seguridad está asociado a una o varias máquinas de la implementación, una acción de eliminación muestra un mensaje que indica que el grupo de seguridad no se puede eliminar.
  • Si un grupo de seguridad no está asociado a ninguna máquina de la implementación, una acción de eliminación muestra un mensaje que indica que el grupo de seguridad se eliminará de esta implementación y que la acción no se puede deshacer. Un grupo de seguridad existente se elimina de la plantilla de nube, mientras que un grupo de seguridad a petición se destruye.

Usar etiquetas de seguridad de NSX-V y etiquetas de máquina virtual de NSX-T

Puede ver y utilizar etiquetas de seguridad de NSX-V, NSX-T y NSX-T con etiquetas de máquina virtual de directiva de recursos administrados en plantillas de nube de vRealize Automation.

Las etiquetas de seguridad de NSX-V y NSX-T son compatibles para su uso con vSphere. Las etiquetas de seguridad de NSX-T también se admiten para su uso con VMware Cloud on AWS.

Nota:

Al igual que con las máquinas virtuales implementadas en vSphere, puede configurar etiquetas de máquina para que una máquina virtual se implemente en VMware Cloud on AWS. También puede actualizar la etiqueta de máquina después de la implementación inicial. Estas etiquetas de máquina permiten que vRealize Automation asigne dinámicamente una máquina virtual a un grupo de seguridad de NSX-T adecuado durante la implementación.

Puede especificar etiquetas de seguridad de NSX-V mediante key: nsxSecurityTag y un valor de etiqueta en el recurso informático de la plantilla de nube, como se muestra en el siguiente ejemplo, siempre que la máquina esté conectada a una red de NSX-V:
tags:
  - key: nsxSecurityTag
  - value: security_tag_1
  - key: nsxSecurityTag
  - value: security_tag_2

El valor especificado debe corresponder a una etiqueta de seguridad de NSX-V. Si no hay etiquetas de seguridad en NSX-V que coincidan con el valor de la clave de nsxSecurityTag especificado, se producirá un error en la implementación.

Nota:

El etiquetado de seguridad de NSX-V requiere que la máquina esté conectada a una red de NSX-V. Si la máquina está conectada a una red de vSphere, se ignora el etiquetado de seguridad de NSX-V. En cualquier caso, la máquina vSphere también está etiquetada.

NSX-T no tiene una etiqueta de seguridad independiente. Cualquier etiqueta especificada en el recurso informático de la plantilla de nube hace que la máquina virtual implementada se asocie con todas las etiquetas especificadas en NSX-T. Para NSX-T, incluido NSX-T con directiva, las etiquetas de máquina virtual también se expresan como un par clave-valor en la plantilla de nube. La opción key equivale a la opción scope en NSX-T y la opción value es igual a Tag Name especificado en NSX-T.

Tenga en cuenta que si utilizó el asistente de migración de V2T de vRealize Automation para migrar las cuentas de nube de NSX-V a NSX-T, incluido NSX-T con directiva, el asistente de migración crea un par clave-valor de nsxSecurityTag. En este escenario, o si nsxSecurityTag se especifica de forma explícita por cualquier motivo en una plantilla de nube para su uso con NSX-T, incluido NSX-T con directiva, la implementación crea una etiqueta de máquina virtual con una configuración de ámbito vacía con un nombre de etiqueta que coincida con el value especificado. Cuando vea estas etiquetas en NSX-T, la columna Ámbito estará vacía.

Para evitar confusiones, no utilice un pares de claves nsxSecurityTag para NSX-T. Si especifica un par clave-valor de nsxSecurityTag para usar con NSX-T, incluido NSX-T con directiva, la implementación crea una etiqueta de máquina virtual con una configuración de ámbito vacía con un nombre de etiqueta que coincida con el value especificado. Cuando vea estas etiquetas en NSX-T, la columna Ámbito estará vacía.

Utilizar las directivas de aislamiento de aplicaciones en reglas de firewall de grupo de seguridad a petición

Puede utilizar una directiva de aislamiento de aplicaciones para permitir solo el tráfico interno entre los recursos aprovisionados por la plantilla de nube. Con el aislamiento de aplicaciones, las máquinas que la plantilla de nube aprovisiona se pueden comunicar entre sí, pero no conectarse fuera del firewall. Es posible crear una directiva de aislamiento de aplicaciones en el perfil de red, También es posible especificar el aislamiento de aplicaciones en un diseño de plantilla de nube mediante un grupo de seguridad a petición con la regla de firewall Rechazar, o bien mediante una red privada o saliente.

Se crea una directiva de aislamiento de aplicaciones con una prioridad más baja. Si se aplican varias directivas, tendrán prioridad las que tengan la ponderación más alta.

Al crear una política de aislamiento de aplicaciones, se genera un nombre de política generada automáticamente. La directiva también está disponible para su reutilización en otros diseños e iteraciones de plantilla de nube específicos del endpoint y del proyecto de recursos asociados. El nombre de la directiva de aislamiento de aplicaciones no está visible en la plantilla de nube, pero se puede ver como una propiedad personalizada en la página del proyecto (Infraestructura > Administración > Proyectos) después de implementar el diseño de plantilla de nube.

Para el mismo endpoint asociado en un proyecto, cualquier implementación que requiera un grupo de seguridad a petición para el aislamiento de aplicaciones puede utilizar la misma directiva de aislamiento de aplicaciones. Una vez creada, la directiva no se elimina. Cuando se especifica una directiva de aislamiento de aplicaciones, vRealize Automation busca la directiva dentro del proyecto y que tenga relación con el endpoint asociado. Si encuentra la directiva, la reutiliza; si no la encuentra, la crea. El nombre de la directiva de aislamiento de aplicaciones solo está visible después de su implementación inicial en la lista de propiedades personalizadas del proyecto.

Utilizar grupos de seguridad en el desarrollo iterativo de la plantilla de nube

Si, al cambiar las restricciones de grupo de seguridad durante el desarrollo iterativo, el grupo de seguridad no está asociado a una máquina en la plantilla de nube, este se actualiza en la iteración según lo especificado. Sin embargo, cuando el grupo de seguridad ya está asociado a una máquina, se produce un error al volver a implementar. Debe desasociar los grupos de seguridad existentes o las propiedades de recursos securityGroupType de las máquinas asociadas durante el desarrollo iterativo de la plantilla de nube y, luego, volver a asociarlos entre cada reimplementación. El flujo de trabajo necesario es el siguiente, suponiendo que se implementó inicialmente la plantilla de nube.
  1. En el diseñador de plantillas de Cloud Assembly, desasocie el grupo de seguridad de todas las máquinas con las que está asociado en la plantilla de nube.
  2. Vuelva a implementar la plantilla haciendo clic en Actualizar una implementación existente.
  3. Elimine las etiquetas de restricción o las propiedades securityGroupType de grupo de seguridad en la plantilla.
  4. Agregue nuevas etiquetas de restricción y propiedades securityGroupType de grupo de seguridad en la plantilla.
  5. Asocie las etiquetas de restricción y las instancias de propiedades securityGroupType de grupo de seguridad nuevas a las máquinas en la plantilla.
  6. Vuelva a implementar la plantilla haciendo clic en Actualizar una implementación existente.

Operaciones del día 2 disponibles

Para obtener una lista de las operaciones comunes del día 2 que están disponibles para los recursos de implementación y de plantilla de nube, consulte Acciones que se pueden ejecutar en las implementaciones de recursos admitidos de Cloud Assembly.

Más información

Para obtener información relacionada con el uso de un grupo de seguridad para el aislamiento de red, consulte Recursos de seguridad en vRealize Automation.

Para obtener información sobre el uso de grupos de seguridad en perfiles de red, consulte Más información sobre los perfiles de red en vRealize Automation y Usar la configuración del grupo de seguridad en perfiles de red y diseños de plantilla de nube en vRealize Automation.

Para ver ejemplos de uso de grupos de seguridad en plantillas de nube, consulte Redes, seguridad y equilibradores de carga en vRealize Automation.