Une fois que vous avez ajouté un compte de cloud dans Cloud Assembly, la collecte de données détecte les informations de réseau et de sécurité du compte de cloud, et rend ces informations disponibles pour utilisation dans les profils réseau et d'autres options.

Les groupes de sécurité et les règles de pare-feu prennent en charge l'isolation réseau. Les données des groupes de sécurité sont collectées. Les données des règles de pare-feu ne sont pas collectées.

Groupes de sécurité

À l'aide de la séquence de menus Infrastructure > Ressources > Sécurité, vous pouvez afficher les groupes de sécurité à la demande qui ont été créés dans des conceptions de modèle de cloud Cloud Assembly et les groupes de sécurité existants qui ont été créés dans des applications sources, telles que NSX-T et Amazon Web Services. Les groupes de sécurité disponibles sont exposés par la collecte de données.

Vous pouvez afficher les groupes de sécurité disponibles et ajouter ou supprimer des balises pour les groupes de sécurité sélectionnés. L'auteur d'un modèle de cloud peut attribuer un ou plusieurs groupes de sécurité à une carte réseau d'une machine pour le déploiement.

Dans la conception de modèle de cloud, le paramètre securityGroupType de la ressource de groupe de sécurité est spécifié comme existing pour un groupe de sécurité existant ou new pour un groupe de sécurité à la demande.

Les groupes de sécurité présents sur le point de terminaison du compte de cloud sous-jacent (par exemple, dans les applications NSX-V, NSX-T ou Amazon Web Services) sont disponibles et utilisables. Les groupes de sécurité à la demande créés dans les conceptions de modèle de cloud de votre organisation font également l'objet d'une collecte de données. Les groupes de sécurité à la demande sont actuellement disponibles uniquement pour NSX-V et NSX-T.

Les groupes de sécurité existants sont affichés et classés dans la colonne Origine comme étant Discovered. Les groupes de sécurité à la demande que vous créez dans Cloud Assembly, que ce soit dans un modèle de cloud ou dans un profil réseau, sont affichés et classés dans la colonne Origine comme étant Managed by Cloud Assembly. Les groupes de sécurité à la demande que vous créez dans le cadre d'un profil réseau sont classés en interne en tant que groupe de sécurité d'isolation avec des règles de pare-feu préconfigurées et ne sont pas ajoutés à une conception de modèle de cloud en tant que ressource de groupe de sécurité. Les groupes de sécurité à la demande que vous créez dans une conception de modèle de cloud et qui peuvent contenir des règles de pare-feu express, sont ajoutés dans le cadre d'une ressource de groupe de sécurité classée comme new.

Si vous modifiez un groupe de sécurité existant directement dans l'application source (par exemple, dans l'application NSX source et non dans Cloud Assembly), les mises à jour ne deviendront visibles dans Cloud Assembly qu'après collecte des données sur le compte de cloud ou point d'intégration associé depuis Cloud Assembly. La collecte de données s'exécute automatiquement toutes les 10 minutes.

Un administrateur de cloud peut attribuer une ou plusieurs balises à un groupe de sécurité existant pour permettre à un modèle de cloud de l'utiliser. L'auteur d'un modèle de cloud peut utiliser une ressource Cloud.SecurityGroup dans une conception de modèle de cloud pour allouer un groupe de sécurité existant à l'aide de contraintes de balise. Un groupe de sécurité existant nécessite qu'au moins une balise de contrainte soit spécifiée dans la ressource de sécurité de la conception du modèle de cloud.

Utilisation de règles de pare-feu dans des groupes de sécurité

Vous pouvez créer des règles de pare-feu pour les groupes de sécurité à la demande pour NSX-V et NSX-T directement dans une ressource de groupe de sécurité d'un code de conception de modèle de cloud.

La colonne Appliqué à ne contient pas de groupes de sécurité classés ou gérés par un pare-feu distribué (DFW) NSX. Les règles de pare-feu pertinentes pour les applications correspondent au trafic DFW est/ouest.

Certaines règles de pare-feu ne peuvent être gérées que dans l'application source et ne sont pas modifiables dans Cloud Assembly. Par exemple, les règles Ethernet, d'urgence, d'infrastructure et d'environnement sont gérées dans NSX-T.

En savoir plus

Pour plus d'informations sur l'utilisation des groupes de sécurité dans les profils réseau, reportez-vous à la section En savoir plus sur les profils réseau dans vRealize Automation Cloud.

Pour plus d'informations sur la définition de règles de pare-feu, consultez Utilisation des paramètres de groupe de sécurité dans les profils réseau et les conceptions de modèle de cloud dans Cloud Assembly et Utilisation d'une ressource de groupe de sécurité dans un modèle de cloud vRealize Automation Cloud.

Pour obtenir des exemples de code de conception de modèle de cloud contenant des groupes de sécurité, consultez Exemples de modèles de cloud vRealize Automation Cloud pour les réseaux, la sécurité et l'équilibrage de charge.