Une fois que vous avez ajouté un compte de cloud dans Cloud Assembly, la collecte de données détecte les informations de réseau et de sécurité du compte de cloud, et rend ces informations disponibles pour utilisation dans les profils réseau et d'autres options.
Les groupes de sécurité et les règles de pare-feu prennent en charge l'isolation réseau. Les données des groupes de sécurité sont collectées. Les données des règles de pare-feu ne sont pas collectées.
À l'aide de la séquence de menus Cloud Assembly et les groupes de sécurité existants qui ont été créés dans des applications sources, telles que NSX-T et Amazon Web Services. Les groupes de sécurité disponibles sont exposés par la collecte de données.
, vous pouvez afficher les groupes de sécurité à la demande qui ont été créés dans des conceptions de modèle de cloudVous pouvez utiliser une balise pour faire correspondre l'interface de machine (NIC) à un groupe de sécurité dans une définition de modèle de cloud ou dans un profil réseau. Vous pouvez afficher les groupes de sécurité disponibles et ajouter ou supprimer des balises pour les groupes de sécurité sélectionnés. L'auteur d'un modèle de cloud peut attribuer un ou plusieurs groupes de sécurité à une carte réseau d'une machine pour le déploiement.
Dans la conception de modèle de cloud, le paramètre securityGroupType de la ressource de groupe de sécurité est spécifié comme existing pour un groupe de sécurité existant ou new pour un groupe de sécurité à la demande.
Groupes de sécurité existants
Les groupes de sécurité existants sont affichés et classés dans la colonne Origine comme étant Discovered.
Les groupes de sécurité présents sur le point de terminaison du compte de cloud sous-jacent (par exemple, dans les applications NSX-V, NSX-T ou Amazon Web Services) sont disponibles et utilisables.
Un administrateur de cloud peut attribuer une ou plusieurs balises à un groupe de sécurité existant pour permettre à un modèle de cloud de l'utiliser. L'auteur d'un modèle de cloud peut utiliser une ressource Cloud.SecurityGroup dans une conception de modèle de cloud pour allouer un groupe de sécurité existant à l'aide de contraintes de balise. Un groupe de sécurité existant nécessite qu'au moins une balise de contrainte soit spécifiée dans la ressource de sécurité de la conception du modèle de cloud.
Si vous modifiez un groupe de sécurité existant directement dans l'application source (par exemple, dans l'application NSX source et non dans Cloud Assembly), les mises à jour ne deviendront visibles dans Cloud Assembly qu'après collecte des données sur le compte de cloud ou point d'intégration associé depuis Cloud Assembly. La collecte de données s'exécute automatiquement toutes les 10 minutes.
- Les groupes de sécurité existants globaux sont pris en charge et énumérés pour toutes les régions définies.
- Les groupes de sécurité globaux sont répertoriés sur la page avec tous les comptes de cloud auxquels ils s'appliquent.
- Vous pouvez associer une interface de machine (NIC) à un groupe de sécurité global existant directement dans un modèle de cloud ou dans le profil réseau sélectionné.
- Les opérations de jour 2 suivantes sont prises en charge pour les groupes de sécurité globaux :
- Reconfiguration d'un groupe de sécurité dans un modèle de cloud d'un groupe de sécurité global à un groupe de sécurité local, et vice versa.
- Montée en charge/réduction de charge des machines associées à des groupes de sécurité globaux.
Groupes de sécurité à la demande
Les groupes de sécurité à la demande que vous créez dans Cloud Assembly, que ce soit dans un modèle de cloud ou dans un profil réseau, sont affichés et classés dans la colonne Origine comme étant Managed by Cloud Assembly. Les groupes de sécurité à la demande que vous créez dans le cadre d'un profil réseau sont classés en interne en tant que groupe de sécurité d'isolation avec des règles de pare-feu préconfigurées et ne sont pas ajoutés à une conception de modèle de cloud en tant que ressource de groupe de sécurité. Les groupes de sécurité à la demande que vous créez dans une conception de modèle de cloud et qui peuvent contenir des règles de pare-feu express, sont ajoutés dans le cadre d'une ressource de groupe de sécurité classée comme new
.
Vous pouvez créer des règles de pare-feu pour les groupes de sécurité à la demande pour NSX-V et NSX-T directement dans une ressource de groupe de sécurité d'un code de conception de modèle de cloud. La colonne Appliqué à ne contient pas de groupes de sécurité classés ou gérés par un pare-feu distribué (DFW) NSX. Les règles de pare-feu qui s'appliquent aux applications s'appliquent au trafic DFW est/ouest. Certaines règles de pare-feu ne peuvent être gérées que dans l'application source et ne sont pas modifiables dans Cloud Assembly. Par exemple, les règles Ethernet, d'urgence, d'infrastructure et d'environnement sont gérées dans NSX-T.
Les groupes de sécurité à la demande ne sont actuellement pas pris en charge pour les comptes de cloud du gestionnaire global NSX-T.
En savoir plus
Pour plus d'informations sur l'utilisation des groupes de sécurité dans les profils réseau, reportez-vous à la section En savoir plus sur les profils réseau dans vRealize Automation.
Pour plus d'informations sur la définition des règles de pare-feu, reportez-vous à la section Utilisation des paramètres de groupe de sécurité dans les profils réseau et les conceptions de modèle de cloud dans vRealize Automation.
Pour plus d'informations sur l'utilisation des groupes de sécurité dans un modèle de cloud, reportez-vous à la section En savoir plus sur les ressources de groupe de sécurité et de balise dans les modèles de cloud vRealize Automation.
Pour obtenir des exemples de code de conception de modèle de cloud contenant des groupes de sécurité, consultez Réseaux, ressources de sécurité et équilibrages de charge dans vRealize Automation.