Después de agregar una cuenta de nube en Cloud Assembly, la recopilación de datos detecta la información de redes y seguridad de la cuenta de nube y hace que esa información esté disponible para su uso en los perfiles de red y otras opciones.
Los grupos de seguridad y las reglas de firewall admiten el aislamiento de red. Se recopilan los datos de los grupos de seguridad. No se pueden recopilar los datos de las reglas de firewall.
Con la secuencia de menú , puede ver los grupos de seguridad a petición que se crearon en grupos de seguridad existentes y diseños de plantilla de nube de Cloud Assembly creados en aplicaciones de origen, como NSX-T y Amazon Web Services. Los grupos de seguridad disponibles se exponen mediante el proceso de recopilación de datos.
Puede utilizar una etiqueta para hacer coincidir la interfaz de máquina (NIC) con un grupo de seguridad en una definición de plantilla de nube o en un perfil de red. Puede ver los grupos de seguridad disponibles y agregar o eliminar etiquetas para grupos de seguridad seleccionados. Un creador de plantillas de nube puede asignar uno o varios grupos de seguridad a una NIC de máquina a fin de controlar la seguridad para la implementación.
En el diseño de plantilla de nube, el parámetro securityGroupType del recurso del grupo de seguridad se especifica como existing para un grupo de seguridad existente o como new para un grupo de seguridad a petición.
Grupos de seguridad existentes
Los grupos de seguridad existentes se muestran y se clasifican en la columna Origen como Discovered.
Se pueden emplear grupos de seguridad existentes del endpoint de la cuenta de nube subyacente, como las aplicaciones NSX-V, NSX-T o Amazon Web Services.
Un administrador de nube puede asignar una o varias etiquetas a un grupo de seguridad existente para que se pueda utilizar en una plantilla de nube. Un creador de plantillas de nube puede utilizar un recurso de Cloud.SecurityGroup en un diseño de plantilla de nube para asignar un grupo de seguridad existente mediante restricciones de etiqueta. Un grupo de seguridad existente requiere que se especifique al menos una etiqueta de restricción en el recurso de seguridad del diseño de plantilla de nube.
Si edita un grupo de seguridad existente directamente en la aplicación de origen, como en la aplicación de origen NSX en lugar de Cloud Assembly, las actualizaciones no podrán verse Cloud Assembly hasta que se ejecute la recopilación de datos y los datos recopilen el punto de integración o la cuenta de nube asociados de dentro de Cloud Assembly. La recopilación de datos se realiza automáticamente cada 10 minutos.
- Se admiten y se enumeran los grupos de seguridad globales existentes para todas las regiones definidas.
- Los grupos de seguridad globales se enumeran en la página con todas las cuentas de nube a las que se aplican.
- Puede asociar una interfaz de máquina (NIC) a un grupo de seguridad global existente directamente en una plantilla de nube o en el perfil de red seleccionado.
- Las siguientes operaciones del día 2 son compatibles con los grupos de seguridad globales:
- Reconfigurar el grupo de seguridad en una plantilla de nube desde un grupo de seguridad global hacia uno local y viceversa
- Escalar horizontalmente/Reducir horizontalmente máquinas asociadas a grupos de seguridad globales
Grupos de seguridad a petición
Los grupos de seguridad a petición que se crean en Cloud Assembly, ya sea en una plantilla de nube o en un perfil de red, se muestran y se clasifican en la columna Origen como Managed by Cloud Assembly. Los grupos de seguridad a petición creados como parte de un perfil de red se clasifican internamente como un grupo de seguridad de aislamiento con reglas de firewall configuradas previamente, y no se agregan a un diseño de plantilla de nube como un recurso de grupo de seguridad. Los grupos de seguridad a petición que se crean en un diseño de plantilla de nube y que pueden contener reglas de firewall exprés se agregan como parte de un recurso de grupo de seguridad que se clasifica como new.
Puede crear reglas de firewall para grupos de seguridad a petición para NSX-V y NSX-T directamente en un recurso de grupo de seguridad en el código del diseño de plantilla de nube. La columna Aplicado a no contiene grupos de seguridad clasificados o administrados por un firewall distribuido (Distributed Firewall, DFW) de NSX. Las reglas de firewall que corresponden a aplicaciones son para el tráfico de DFW de este a oeste. Algunas reglas de firewall solo se pueden administrar en la aplicación de origen y no se pueden editar en Cloud Assembly. Por ejemplo, las reglas de Ethernet, emergencia, infraestructura y entorno se administran en NSX-T.
Actualmente, no se admiten grupos de seguridad a petición para cuentas de nube de NSX-T de administrador global.
Más información
Para obtener más información sobre el uso de grupos de seguridad en perfiles de red, consulte Más información sobre los perfiles de red en vRealize Automation.
Para obtener información sobre cómo definir reglas de firewall, consulte Usar la configuración del grupo de seguridad en perfiles de red y diseños de plantilla de nube en vRealize Automation.
Para obtener más información sobre el uso de grupos de seguridad en una plantilla de nube, consulte Más información sobre los grupos de seguridad y recursos de etiqueta en plantillas de nube de vRealize Automation.
Para ver ejemplos de código del diseño de plantilla de nube que contengan grupos de seguridad, consulte Redes, seguridad y equilibradores de carga en vRealize Automation.
