Al crear o editar plantillas de nube de vRealize Automation, utilice las opciones de recursos de seguridad más adecuadas para sus objetivos.
Recurso de grupo de seguridad independiente de la nube
Cloud.SecurityGroup
. El recurso predeterminado se muestra de la siguiente manera:
Cloud_SecurityGroup_1: type: Cloud.SecurityGroup properties: constraints: [] securityGroupType: existing
Especifique un recurso de grupo de seguridad en un diseño de plantilla de nube como existente (securityGroupType: existing
) o a petición (securityGroupType: new
).
Puede agregar un grupo de seguridad existente al diseño de plantilla de nube o utilizar un grupo de seguridad existente ya agregado a un perfil de red.
Para NSX-V y NSX-T, así como NSX-T con el conmutador de administrador de directivas habilitado en combinación con VMware Cloud on AWS, puede agregar un grupo de seguridad existente o definir un nuevo grupo de seguridad mientras diseña o modifica la plantilla de nube. Los grupos de seguridad a petición son compatibles con NSX-T, NSX-V y VMware Cloud on AWS cuando se utilizan con el administrador de directivas de NSX-T.
Para todos los tipos de cuenta de nube excepto Microsoft Azure, puede asociar uno o varios grupos de seguridad a una NIC de máquina. Una NIC de máquina virtual de Microsoft Azure (machineName) solo se puede asociar a un grupo de seguridad.
De forma predeterminada, la propiedad del grupo de seguridad securityGroupType
está establecida en existing
. Para crear un grupo de seguridad a petición, introduzca new
como la propiedad securityGroupType
. Para especificar reglas de firewall en un grupo de seguridad a petición, utilice la propiedad rules
en la sección Cloud.SecurityGroup
del recurso de grupo de seguridad.
Grupos de seguridad existentes
Los grupos de seguridad existentes se crean en un recurso de cuenta de nube de origen, como NSX-T o Amazon Web Services. Son datos recopilados por vRealize Automation desde el origen. Puede seleccionar un grupo de seguridad existente de una lista de recursos disponibles como parte de un perfil de red de vRealize Automation. En un diseño de plantilla de nube, puede especificar un grupo de seguridad existente de forma inherente por su pertenencia a un perfil de red especificado o de forma específica por nombre con el ajuste securityGroupType: existing
en un recurso de grupo de seguridad. Si agrega un grupo de seguridad a un perfil de red, agregue al menos una etiqueta de capacidad al perfil de red. Los recursos de grupos de seguridad a petición requieren una etiqueta de restricción cuando se utilizan en un diseño de plantilla de nube.
Puede asociar un recurso de grupo de seguridad en el diseño de plantilla de nube a uno o varios recursos de máquina.
Grupos de seguridad a petición
Puede definir grupos de seguridad a petición al definir o modificar un diseño de plantilla de nube mediante el ajuste de securityGroupType: new
en el código del recurso de grupo de seguridad.
Puede utilizar un grupo de seguridad a petición para NSX-V y NSX-T, así como Amazon Web Services, cuando se utiliza con el tipo de directiva de NSX-T, para aplicar un conjunto específico de reglas de firewall a un recurso de máquina en red o un conjunto de recursos agrupados. Cada grupo de seguridad puede contener varias reglas de firewall con nombre. Puede utilizar un grupo de seguridad a petición para especificar servicios o protocolos y puertos. Tenga en cuenta que se puede especificar un servicio o un protocolo, pero no ambos, y que sí se puede especificar un puerto además de un protocolo. No es posible, sin embargo, especificar un puerto si se especifica un servicio. Si la regla no contiene un servicio ni un protocolo, el valor predeterminado del servicio es Cualquiera.
También puede especificar direcciones IP y rangos de IP en reglas de firewall. Algunos ejemplos de reglas de firewall se muestran en Redes, seguridad y equilibradores de carga en vRealize Automation.
- Permitir (predeterminado): permite el tráfico de red que se especifica en esta regla de firewall.
- Rechazar: bloquea el tráfico de red que se especifica en esta regla de firewall. Indica activamente al cliente que se rechazó la conexión.
- Descartar: rechaza el tráfico de red que se especifica en esta regla de firewall. Descarta el paquete de forma silenciosa como si el agente de escucha no estuviera conectado.
access: Allow
y
access: Deny
, consulte
Redes, seguridad y equilibradores de carga en vRealize Automation.
Las reglas de firewall son compatibles con los valores de IPv4 o IPv6 en formato CIDR para las direcciones IP de origen y destino. Para obtener un ejemplo de un diseño que utilice valores de IPv6 en formato CIDR en una regla de firewall, consulte Redes, seguridad y equilibradores de carga en vRealize Automation.
Grupos de seguridad a petición y existentes para VMware Cloud on AWS
Puede definir un grupo de seguridad a petición para una máquina de VMware Cloud on AWS en una plantilla de nube mediante el ajuste de securityGroupType: new
en el código del recurso de grupo de seguridad.
resources: Cloud_SecurityGroup_1: type: Cloud.SecurityGroup properties: name: vmc-odsg securityGroupType: new rules: - name: datapath direction: inbound protocol: TCP ports: 5011 access: Allow source: any
También puede definir un grupo de seguridad existente para una máquina de VMware Cloud on AWS en red y, opcionalmente, incluir el etiquetado de restricciones, como se muestra en los siguientes ejemplos:
Cloud_SecurityGroup_2: type: Cloud.SecurityGroup properties: constraints: [xyz] securityGroupType: existing
Cloud_SecurityGroup_3: type: Cloud.SecurityGroup properties: securityGroupType: existing constraints: - tag: xyz
- Si un grupo de seguridad está asociado a una o varias máquinas de la implementación, una acción de eliminación muestra un mensaje que indica que el grupo de seguridad no se puede eliminar.
- Si un grupo de seguridad no está asociado a ninguna máquina de la implementación, una acción de eliminación muestra un mensaje que indica que el grupo de seguridad se eliminará de esta implementación y que la acción no se puede deshacer. Un grupo de seguridad existente se elimina de la plantilla de nube, mientras que un grupo de seguridad a petición se destruye.
Usar etiquetas de seguridad de NSX-V y etiquetas de máquina virtual de NSX-T
Puede ver y utilizar etiquetas de seguridad de NSX-V, NSX-T y NSX-T con etiquetas de máquina virtual de directiva de recursos administrados en plantillas de nube de vRealize Automation.
Las etiquetas de seguridad de NSX-V y NSX-T son compatibles para su uso con vSphere. Las etiquetas de seguridad de NSX-T también se admiten para su uso con VMware Cloud on AWS.
Al igual que con las máquinas virtuales implementadas en vSphere, puede configurar etiquetas de máquina para que una máquina virtual se implemente en VMware Cloud on AWS. También puede actualizar la etiqueta de máquina después de la implementación inicial. Estas etiquetas de máquina permiten que vRealize Automation asigne dinámicamente una máquina virtual a un grupo de seguridad de NSX-T adecuado durante la implementación.
key: nsxSecurityTag
y un valor de etiqueta en el recurso informático de la plantilla de nube, como se muestra en el siguiente ejemplo, siempre que la máquina esté conectada a una red de
NSX-V:
tags: - key: nsxSecurityTag - value: security_tag_1 - key: nsxSecurityTag - value: security_tag_2
El valor especificado debe corresponder a una etiqueta de seguridad de NSX-V. Si no hay etiquetas de seguridad en NSX-V que coincidan con el valor de la clave de nsxSecurityTag
especificado, se producirá un error en la implementación.
El etiquetado de seguridad de NSX-V requiere que la máquina esté conectada a una red de NSX-V. Si la máquina está conectada a una red de vSphere, se ignora el etiquetado de seguridad de NSX-V. En cualquier caso, la máquina vSphere también está etiquetada.
NSX-T no tiene una etiqueta de seguridad independiente. Cualquier etiqueta especificada en el recurso informático de la plantilla de nube hace que la máquina virtual implementada se asocie con todas las etiquetas especificadas en NSX-T. Para NSX-T, incluido NSX-T con directiva, las etiquetas de máquina virtual también se expresan como un par clave-valor en la plantilla de nube. La opción key
equivale a la opción scope
en NSX-T y la opción value
es igual a Tag Name
especificado en NSX-T.
Tenga en cuenta que si utilizó el asistente de migración de V2T de vRealize Automation para migrar las cuentas de nube de NSX-V a NSX-T, incluido NSX-T con directiva, el asistente de migración crea un par clave-valor de nsxSecurityTag
. En este escenario, o si nsxSecurityTag
se especifica de forma explícita por cualquier motivo en una plantilla de nube para su uso con NSX-T, incluido NSX-T con directiva, la implementación crea una etiqueta de máquina virtual con una configuración de ámbito vacía con un nombre de etiqueta que coincida con el value
especificado. Cuando vea estas etiquetas en NSX-T, la columna Ámbito estará vacía.
Para evitar confusiones, no utilice un pares de claves nsxSecurityTag
para NSX-T. Si especifica un par clave-valor de nsxSecurityTag
para usar con NSX-T, incluido NSX-T con directiva, la implementación crea una etiqueta de máquina virtual con una configuración de ámbito vacía con un nombre de etiqueta que coincida con el value
especificado. Cuando vea estas etiquetas en NSX-T, la columna Ámbito estará vacía.
Utilizar las directivas de aislamiento de aplicaciones en reglas de firewall de grupo de seguridad a petición
Puede utilizar una directiva de aislamiento de aplicaciones para permitir solo el tráfico interno entre los recursos aprovisionados por la plantilla de nube. Con el aislamiento de aplicaciones, las máquinas que la plantilla de nube aprovisiona se pueden comunicar entre sí, pero no conectarse fuera del firewall. Es posible crear una directiva de aislamiento de aplicaciones en el perfil de red, También es posible especificar el aislamiento de aplicaciones en un diseño de plantilla de nube mediante un grupo de seguridad a petición con la regla de firewall Rechazar, o bien mediante una red privada o saliente.
Se crea una directiva de aislamiento de aplicaciones con una prioridad más baja. Si se aplican varias directivas, tendrán prioridad las que tengan la ponderación más alta.
Al crear una política de aislamiento de aplicaciones, se genera un nombre de política generada automáticamente. La directiva también está disponible para su reutilización en otros diseños e iteraciones de plantilla de nube específicos del endpoint y del proyecto de recursos asociados. El nombre de la directiva de aislamiento de aplicaciones no está visible en la plantilla de nube, pero se puede ver como una propiedad personalizada en la página del proyecto (
) después de implementar el diseño de plantilla de nube.Para el mismo endpoint asociado en un proyecto, cualquier implementación que requiera un grupo de seguridad a petición para el aislamiento de aplicaciones puede utilizar la misma directiva de aislamiento de aplicaciones. Una vez creada, la directiva no se elimina. Cuando se especifica una directiva de aislamiento de aplicaciones, vRealize Automation busca la directiva dentro del proyecto y que tenga relación con el endpoint asociado. Si encuentra la directiva, la reutiliza; si no la encuentra, la crea. El nombre de la directiva de aislamiento de aplicaciones solo está visible después de su implementación inicial en la lista de propiedades personalizadas del proyecto.
Utilizar grupos de seguridad en el desarrollo iterativo de la plantilla de nube
- En el diseñador de plantillas de Cloud Assembly, desasocie el grupo de seguridad de todas las máquinas con las que está asociado en la plantilla de nube.
- Vuelva a implementar la plantilla haciendo clic en Actualizar una implementación existente.
- Elimine las etiquetas de restricción o las propiedades securityGroupType de grupo de seguridad en la plantilla.
- Agregue nuevas etiquetas de restricción y propiedades securityGroupType de grupo de seguridad en la plantilla.
- Asocie las etiquetas de restricción y las instancias de propiedades securityGroupType de grupo de seguridad nuevas a las máquinas en la plantilla.
- Vuelva a implementar la plantilla haciendo clic en Actualizar una implementación existente.
Operaciones del día 2 disponibles
Para obtener una lista de las operaciones comunes del día 2 que están disponibles para los recursos de implementación y de plantilla de nube, consulte Acciones que se pueden ejecutar en las implementaciones de recursos admitidos de Cloud Assembly.
Más información
Para obtener información relacionada con el uso de un grupo de seguridad para el aislamiento de red, consulte Recursos de seguridad en vRealize Automation.
Para obtener información sobre el uso de grupos de seguridad en perfiles de red, consulte Más información sobre los perfiles de red en vRealize Automation y Usar la configuración del grupo de seguridad en perfiles de red y diseños de plantilla de nube en vRealize Automation.
Para ver ejemplos de uso de grupos de seguridad en plantillas de nube, consulte Redes, seguridad y equilibradores de carga en vRealize Automation.