Lors de la création ou de la modification de vos modèles de cloud VMware Aria Automation, utilisez les ressources de sécurité les mieux adaptées à vos objectifs.
Ressource de groupe de sécurité indépendante du cloud
Cloud.SecurityGroup. La ressource par défaut s'affiche sous la forme suivante :
Cloud_SecurityGroup_1:
type: Cloud.SecurityGroup
properties:
constraints: []
securityGroupType: existing
Vous pouvez spécifier une ressource de groupe de sécurité dans une conception de modèle de cloud comme existante (securityGroupType: existing) ou à la demande (securityGroupType: new).
Vous pouvez ajouter un groupe de sécurité existant à votre modèle de cloud ou vous pouvez utiliser un groupe de sécurité existant qui a été ajouté à un profil réseau.
Pour NSX-V et NSX-T, ainsi que pour NSX-T pour lequel avec le commutateur de gestionnaire de stratégies est activé en combinaison avec VMware Cloud on AWS, vous pouvez ajouter un groupe de sécurité existant ou définir un nouveau groupe de sécurité lorsque vous concevez ou modifiez votre modèle de cloud. Les groupes de sécurité à la demande sont pris en charge pour NSX-T et NSX-V, et VMware Cloud on AWS lorsqu'ils sont utilisés avec le gestionnaire de stratégies de NSX-T.
Pour tous les types de compte de cloud, à l'exception de Microsoft Azure, vous pouvez associer un ou plusieurs groupes de sécurité à la carte réseau d'une machine. La carte réseau d'une machine virtuelle Microsoft Azure (machineName) ne peut être associée qu'à un seul groupe de sécurité.
Par défaut, la propriété du groupe de sécurité securityGroupType est définie sur existing. Pour créer un groupe de sécurité à la demande, entrez new pour la propriété securityGroupType. Pour spécifier des règles de pare-feu pour un groupe de sécurité à la demande, utilisez la propriété rules dans la section Cloud.SecurityGroup de la ressource du groupe de sécurité.
Groupes de sécurité existants
Les groupes de sécurité existants sont créés dans une ressource de compte de cloud source, telle que NSX-T ou Amazon Web Services. Il s'agit de données collectées par VMware Aria Automation depuis la source. Vous pouvez sélectionner un groupe de sécurité existant dans la liste des ressources disponibles dans le cadre d'un profil réseau VMware Aria Automation. Dans une conception de modèle de cloud, vous pouvez spécifier un groupe de sécurité existant de manière inhérente par son appartenance à un profil réseau spécifié ou de manière spécifique par son nom à l'aide du paramètre securityGroupType: existing dans une ressource de groupe de sécurité. Si vous ajoutez un groupe de sécurité à un profil réseau, ajoutez au moins une balise de capacité au profil réseau. Les ressources du groupe de sécurité à la demande nécessitent une balise de contrainte lorsqu'elles sont utilisées dans une conception de modèle de cloud.
Vous pouvez associer une ressource de groupe de sécurité dans votre conception de modèle de cloud à une ou plusieurs ressources de machine.
Groupes de sécurité à la demande
Vous pouvez définir des groupes de sécurité à la demande lorsque vous définissez ou modifiez une conception de modèle de cloud à l'aide du paramètre securityGroupType: new dans le code de la ressource de groupe de sécurité.
Vous pouvez utiliser un groupe de sécurité à la demande pour NSX-V et NSX-T, ainsi que Amazon Web Services lorsqu'ils sont utilisés avec le type de stratégie NSX-T, pour appliquer un ensemble spécifique de règles de pare-feu à une ressource de machine en réseau ou à un ensemble de ressources groupées. Chaque groupe de sécurité peut contenir plusieurs règles de pare-feu nommées. Vous pouvez utiliser un groupe de sécurité à la demande pour spécifier des services ou des protocoles et des ports. Notez que vous pouvez spécifier un service ou un protocole, mais pas les deux. Vous pouvez spécifier un port en plus d'un protocole. Vous ne pouvez pas spécifier un port si vous spécifiez un service. Si la règle ne contient aucun service ou protocole, la valeur de service par défaut est Tous.
Vous pouvez également spécifier des adresses IP et des plages d'adresses IP dans les règles de pare-feu. Des exemples de règles de pare-feu sont présentés dans Exemples de ressources pour les réseaux, les groupes de sécurité et l'équilibreur de charge dans Automation Assembler.
- Autoriser (par défaut) : autorise le trafic réseau spécifié dans cette règle de pare-feu.
- Refuser : bloque le trafic réseau spécifié dans cette règle de pare-feu. Indique activement au client que la connexion est rejetée.
- Abandonner : rejette le trafic réseau spécifié dans cette règle de pare-feu. Abandonne silencieusement le paquet comme si l'écouteur n'était pas en ligne.
access: Allow et
access: Deny, reportez-vous à
Exemples de ressources pour les réseaux, les groupes de sécurité et l'équilibreur de charge dans Automation Assembler.
Les règles de pare-feu prennent en charge les valeurs CIDR au format IPv4 ou IPv6 pour les adresses IP source et de destination. Pour obtenir un exemple de conception qui utilise des valeurs CIDR au format IPv6 dans une règle de pare-feu, reportez-vous à Exemples de ressources pour les réseaux, les groupes de sécurité et l'équilibreur de charge dans Automation Assembler.
Groupes de sécurité à la demande et existants pour VMware Cloud on AWS
Vous pouvez définir un groupe de sécurité à la demande pour une machine VMware Cloud on AWS dans un modèle de cloud à l'aide du paramètre securityGroupType: new dans le code de la ressource de groupe de sécurité.
resources:
Cloud_SecurityGroup_1:
type: Cloud.SecurityGroup
properties:
name: vmc-odsg
securityGroupType: new
rules:
- name: datapath
direction: inbound
protocol: TCP
ports: 5011
access: Allow
source: any
Vous pouvez également définir un groupe de sécurité existant pour une machine VMware Cloud on AWS réseau et éventuellement inclure un balisage de contrainte, comme illustré dans les exemples suivants :
Cloud_SecurityGroup_2:
type: Cloud.SecurityGroup
properties:
constraints: [xyz]
securityGroupType: existing
Cloud_SecurityGroup_3:
type: Cloud.SecurityGroup
properties:
securityGroupType: existing
constraints:
- tag: xyz
- Si un groupe de sécurité est associé à une ou plusieurs machines du déploiement, une action de suppression affiche un message indiquant que le groupe de sécurité ne peut pas être supprimé.
- Si un groupe de sécurité n'est associé à aucune machine du déploiement, une action de suppression affiche un message indiquant que le groupe de sécurité sera supprimé de ce déploiement et que l'action ne peut pas être annulée. Un groupe de sécurité existant est supprimé du modèle de cloud, tandis qu'un groupe de sécurité à la demande est détruit.
Utilisation de balises de sécurité NSX-V et de machines virtuelles NSX-T
Vous pouvez voir et utiliser des balises de sécurité NSX-V et NSX-T, et des balises de machine virtuelle NSX-T avec stratégie à partir de ressources gérées dans des modèles de cloud VMware Aria Automation.
Les balises de sécurité NSX-V et NSX-T sont prises en charge pour une utilisation avec vSphere. Les balises de sécurité NSX-T sont également utilisables avec VMware Cloud on AWS.
Comme pour les machines virtuelles déployées sur vSphere, vous pouvez configurer des balises de machine pour déployer une machine virtuelle sur VMware Cloud on AWS. Vous pouvez également mettre à jour la balise de machine après le déploiement initial. Ces balises de machine permettent à VMware Aria Automation d'attribuer dynamiquement une machine virtuelle à un groupe de sécurité NSX-T approprié pendant le déploiement.
key: nsxSecurityTag et une valeur de balise dans la ressource de calcul du modèle de cloud, comme dans l'exemple suivant, à condition que la machine soit connectée à un réseau
NSX-V :
tags: - key: nsxSecurityTag - value: security_tag_1 - key: nsxSecurityTag - value: security_tag_2
La valeur spécifiée doit correspondre à une balise de sécurité NSX-V. Si aucune balise de sécurité NSX-V ne correspond à la valeur de clé nsxSecurityTag spécifiée, le déploiement échoue.
La balise de sécurité NSX-V requiert que la machine soit connectée à un réseau NSX-V. Si la machine est connectée à un réseau vSphere, la balise de sécurité NSX-V est ignorée. Dans l'un ou l'autre cas, la machine vSphere est également balisée.
NSX-T n'a pas de balise de sécurité distincte. Toute balise spécifiée sur la ressource de calcul dans le modèle de cloud entraîne l'association de la machine virtuelle déployée à toutes les balises spécifiées dans NSX-T. Pour NSX-T, y compris NSX-T avec stratégie, les balises de machine virtuelle sont également exprimées sous la forme d'une paire clé-valeur dans le modèle de cloud. Le paramètre key correspond au paramètre scope dans NSX-T et le paramètre value correspond au Tag Name spécifié dans NSX-T.
Notez que si vous avez utilisé l'assistant de migration VMware Aria Automation V2T pour migrer vos comptes de cloud de NSX-V vers NSX-T, y compris NSX-T avec stratégie, l'assistant de migration crée une paire clé-valeur nsxSecurityTag. Dans ce scénario, ou si nsxSecurityTag est explicitement spécifié pour une raison quelconque dans un modèle de cloud à utiliser avec NSX-T, y compris NSX-T avec stratégie, le déploiement crée une balise de machine virtuelle avec un paramètre de portée vide et un nom de balise qui correspond à la value spécifiée. Lorsque vous affichez ces balises dans NSX-T, la colonne Portée est vide.
Pour éviter toute confusion, n'utilisez pas une paire de clés nsxSecurityTag pour NSX-T. Si vous spécifiez une paire clé-valeur nsxSecurityTag à utiliser avec NSX-T, y compris NSX-T avec stratégie, le déploiement crée une balise de machine virtuelle avec un paramètre de portée vide et un nom de balise qui correspond à la value spécifiée. Lorsque vous affichez ces balises dans NSX-T, la colonne Portée est vide.
Utilisation des stratégies d'isolation d'application dans les règles de pare-feu du groupe de sécurité à la demande
Vous pouvez utiliser une stratégie d'isolation d'application pour autoriser uniquement le trafic interne entre les ressources provisionnées par le modèle de cloud. Avec l'isolation d'application, les machines provisionnées par le modèle de cloud peuvent communiquer entre elles, mais ne peuvent pas se connecter en dehors du pare-feu. Vous pouvez créer une stratégie d'isolation d'application dans le profil réseau. Vous pouvez également spécifier l'isolation d'application dans une conception de modèle cloud en utilisant un groupe de sécurité à la demande avec une règle de pare-feu Refuser, ou un réseau privé ou sortant.
Une stratégie d'isolation d'application est créée avec une priorité plus faible. Si vous appliquez plusieurs stratégies, les stratégies les plus volumineuses sont prioritaires.
Lorsque vous créez une stratégie d'isolation d'application, un nom de stratégie généré automatiquement est généré. La stratégie est également rendue disponible pour réutilisation dans d'autres conceptions et itérations de modèles de cloud spécifiques au point de terminaison et au projet de ressources associés. Le nom de la stratégie d'isolation d'application n'est pas visible dans le modèle de cloud, mais il est visible sous la forme d'une propriété personnalisée sur la page Projets () après le déploiement de la conception du modèle de cloud.
Pour le même point de terminaison associé dans un projet, tout déploiement nécessitant un groupe de sécurité à la demande pour l'isolation d'application peut utiliser la même stratégie d'isolation d'application. Une fois la stratégie créée, celle-ci n'est pas supprimée. Lorsque vous spécifiez une stratégie d'isolation d'application, VMware Aria Automation recherche dans le projet la stratégie relative au point de terminaison associé. Si la stratégie est présente, elle est réutilisée. Dans le cas contraire, une stratégie est créée. Le nom de la stratégie d'isolation d'application est visible uniquement après son déploiement initial dans la liste des propriétés personnalisées du projet.
Utilisation de groupes de sécurité dans un développement de modèle de cloud itératif
- Dans le concepteur de modèle Automation Assembler, détachez le groupe de sécurité de toutes les machines qui y sont associées dans le modèle de cloud.
- Redéployez le modèle en cliquant sur Mettre à jour un déploiement existant.
- Supprimez les balises de contrainte du groupe de sécurité et/ou les propriétés securityGroupType existantes dans le modèle.
- Ajoutez les nouvelles balises de contrainte du groupe de sécurité et/ou les propriétés securityGroupType dans le modèle.
- Associez les nouvelles balises de contrainte du groupe de sécurité et/ou les instances de propriété securityGroupType aux machines dans le modèle.
- Redéployez le modèle en cliquant sur Mettre à jour un déploiement existant.
Opérations de jour 2 disponibles
Pour obtenir la liste des opérations de jour 2 communes qui sont disponibles pour les ressources de modèle de cloud et de déploiement, reportez-vous à Actions pouvant être exécutées sur les déploiements de Automation Assembler ou les ressources prises en charge.
En savoir plus
Pour obtenir des informations sur l'utilisation d'un groupe de sécurité pour l'isolation réseau, consultez Ressources de sécurité dans VMware Aria Automation.
Pour plus d'informations sur l'utilisation de groupes de sécurité dans des profils réseau, consultez En savoir plus sur les profils réseau dans VMware Aria Automation et Utilisation des paramètres de groupe de sécurité dans les profils réseau et les conceptions de modèle de cloud dans VMware Aria Automation.
Pour obtenir des exemples d'utilisation de groupes de sécurité dans des modèles de cloud, consultez Exemples de ressources pour les réseaux, les groupes de sécurité et l'équilibreur de charge dans Automation Assembler.
