Quando si creano o si modificano i modelli cloud di vRealize Automation, utilizzare le opzioni delle risorse di sicurezza più appropriate per i propri obiettivi.
Risorsa del gruppo di sicurezza indipendente dal cloud
Cloud.SecurityGroup
. La risorsa predefinita viene visualizzata come:
Cloud_SecurityGroup_1: type: Cloud.SecurityGroup properties: constraints: [] securityGroupType: existing
È possibile specificare una risorsa del gruppo di sicurezza in una progettazione di modelli cloud come esistente (securityGroupType: existing
) o su richiesta (securityGroupType: new
).
È possibile aggiungere un gruppo di sicurezza esistente al modello cloud oppure utilizzare un gruppo di sicurezza esistente che è stato aggiunto a un profilo di rete.
Per NSX-V e NSX-T, oltre a NSX-T con il commutatore di gestione dei criteri abilitato in combinazione con VMware Cloud on AWS, è possibile aggiungere un gruppo di sicurezza esistente o definire un nuovo gruppo di sicurezza quando si progetta o si modifica il modello cloud. I gruppi di sicurezza su richiesta sono supportati per NSX-T, NSX-V e VMware Cloud on AWS quando viene utilizzato con la gestione dei criteri di NSX-T.
Per tutti i tipi di account cloud, ad eccezione di Microsoft Azure, è possibile associare uno o più gruppi di sicurezza alla scheda NIC di una macchina. La scheda NIC di una macchina virtuale di Microsoft Azure (machineName) può essere associata a un solo gruppo di sicurezza.
Per impostazione predefinita, la proprietà del gruppo di sicurezza securityGroupType
è impostata su existing
. Per creare un gruppo di sicurezza su richiesta, immettere new
per la proprietà securityGroupType
. Per specificare le regole del firewall per un gruppo di sicurezza su richiesta, utilizzare la proprietà rules
nella sezione Cloud.SecurityGroup
della risorsa del gruppo di sicurezza.
Gruppi di sicurezza esistenti
I gruppi di sicurezza esistenti vengono creati in una risorsa di account cloud di origine, ad esempio NSX-T o Amazon Web Services. Sono dati raccolti da vRealize Automation dall'origine. È possibile selezionare un gruppo di sicurezza esistente in un elenco di risorse disponibili come parte di un profilo di rete di vRealize Automation. In una progettazione di modelli cloud, è possibile specificare un gruppo di sicurezza esistente, intrinsecamente tramite la relativa appartenenza a un profilo di rete specificato o in modo specifico in base al nome, utilizzando l'impostazione securityGroupType: existing
in una risorsa del gruppo di sicurezza. Se si aggiunge un gruppo di sicurezza a un profilo di rete, aggiungere almeno un tag di funzionalità al profilo di rete. Le risorse del gruppo di sicurezza su richiesta richiedono un tag di vincolo quando vengono utilizzate nella progettazione di un modello cloud.
È possibile associare una risorsa del gruppo di sicurezza della progettazione del modello cloud a una o più risorse di macchina.
Gruppi di sicurezza su richiesta
È possibile definire gruppi di sicurezza su richiesta quando si definisce o si modifica una progettazione di modelli cloud utilizzando l'impostazione securityGroupType: new
nel codice di risorsa del gruppo di sicurezza.
È possibile utilizzare un gruppo di sicurezza su richiesta per NSX-V e NSX-T, nonché per Amazon Web Services quando viene utilizzato con il tipo di criterio di NSX-T, per applicare un set specifico di regole del firewall a una risorsa macchina di rete oppure a un set di risorse raggruppate. Ogni gruppo di sicurezza può contenere più regole del firewall denominate. È possibile utilizzare un gruppo di sicurezza su richiesta per specificare servizi o protocolli e porte. Si noti che è possibile specificare un servizio o un protocollo, ma non entrambi. È possibile specificare una porta oltre a un protocollo. Non è possibile specificare una porta se si specifica un servizio. Se la regola non contiene un servizio o un protocollo, il valore predefinito del servizio è Qualsiasi.
Nelle regole del firewall, è inoltre possibile specificare gli indirizzi IP e gli intervalli IP. Alcuni esempi di regole del firewall sono illustrati in Reti, risorse di sicurezza e bilanciamenti del carico in vRealize Automation.
- Consenti (impostazione predefinita): consente il traffico di rete specificato in questa regola del firewall.
- Nega: blocca il traffico di rete specificato in questa regola del firewall. Comunica attivamente al client che la connessione è stata rifiutata.
- Rimuovi: rifiuta il traffico di rete specificato in questa regola del firewall. Interrompe in modo invisibile il pacchetto come se il listener non fosse online.
access: Allow
e
access: Deny
, vedere
Reti, risorse di sicurezza e bilanciamenti del carico in vRealize Automation.
Le regole del firewall supportano i valori CIDR in formato IPv4 o IPv6 per gli indirizzi IP di origine e di destinazione. Per un esempio di progettazione che utilizza i valori CIDR IPv6 in una regola del firewall, vedere Reti, risorse di sicurezza e bilanciamenti del carico in vRealize Automation.
Gruppi di sicurezza su richiesta ed esistenti per VMware Cloud on AWS
È possibile definire un gruppo di sicurezza su richiesta per una macchina di VMware Cloud on AWS in un modello cloud utilizzando l'impostazione securityGroupType: new
nel codice di risorsa del gruppo di sicurezza.
resources: Cloud_SecurityGroup_1: type: Cloud.SecurityGroup properties: name: vmc-odsg securityGroupType: new rules: - name: datapath direction: inbound protocol: TCP ports: 5011 access: Allow source: any
È inoltre possibile definire un gruppo di sicurezza esistente per una macchina VMware Cloud on AWS di rete e includere facoltativamente tag di vincolo, come illustrato negli esempi seguenti:
Cloud_SecurityGroup_2: type: Cloud.SecurityGroup properties: constraints: [xyz] securityGroupType: existing
Cloud_SecurityGroup_3: type: Cloud.SecurityGroup properties: securityGroupType: existing constraints: - tag: xyz
- Se un gruppo di sicurezza è associato a una o più macchine nella distribuzione e si esegue un'azione di eliminazione, viene visualizzato un messaggio che indica che il gruppo di sicurezza non può essere eliminato.
- Se un gruppo di sicurezza non è associato ad alcuna macchina nella distribuzione e si esegue un'azione di eliminazione, viene visualizzato un messaggio che indica che il gruppo di sicurezza verrà eliminato da questa distribuzione e l'azione non potrà essere annullata. Un gruppo di sicurezza esistente viene eliminato dal modello cloud, mentre un gruppo di sicurezza su richiesta viene eliminato definitivamente.
Utilizzo dei tag di sicurezza di NSX-V e dei tag di macchina virtuale di NSX-T
È possibile visualizzare e utilizzare tag di sicurezza di NSX-V, NSX-T e NSX-T con i tag di macchina virtuale del criterio dalle risorse gestite nei modelli cloud di vRealize Automation.
I tag di sicurezza di NSX-V e NSX-T sono supportati per l'utilizzo con vSphere. I tag di sicurezza di NSX-T sono supportati anche per l'utilizzo con VMware Cloud on AWS.
Come per le macchine virtuali distribuite in vSphere, è possibile configurare i tag delle macchine per una macchina virtuale da distribuire in VMware Cloud on AWS. È inoltre possibile aggiornare il tag della macchina dopo la distribuzione iniziale. Questi tag della macchina consentono a vRealize Automation di assegnare dinamicamente una macchina virtuale a un gruppo di sicurezza di NSX-T appropriato durante la distribuzione.
key: nsxSecurityTag
e un valore di tag nella risorsa di elaborazione del modello cloud, come illustrato nell'esempio seguente, a condizione che la macchina sia connessa a una rete di
NSX-V:
tags: - key: nsxSecurityTag - value: security_tag_1 - key: nsxSecurityTag - value: security_tag_2
Il valore specificato deve corrispondere a un tag di sicurezza di NSX-V. Se non sono presenti tag di sicurezza in NSX-V che corrispondono al valore della chiave nsxSecurityTag
specificato, la distribuzione non riesce.
L'assegnazione dei tag di sicurezza di NSX-V richiede che la macchina sia connessa a una rete di NSX-V. Se la macchina è connessa a una rete di vSphere, l'assegnazione dei tag di sicurezza di NSX-V viene ignorata. In entrambi i casi, viene assegnato un tag anche alla macchina vSphere.
NSX-T non dispone di un tag di sicurezza separato. Qualsiasi tag specificato nella risorsa di elaborazione del modello cloud comporta l'associazione della macchina virtuale distribuita con tutti i tag specificati in NSX-T. Per NSX-T, incluso NSX-T con criterio, i tag di macchina virtuale vengono espressi anche come coppia chiave-valore nel modello cloud. L'impostazione key
corrisponde all'impostazione scope
in NSX-T e l'impostazione value
corrisponde al Tag Name
specificato in NSX-T.
Si tenga presente che se si utilizza l'assistente migrazione di vRealize Automation V2T per eseguire la migrazione degli account cloud da NSX-V a NSX-T, incluso NSX-T con criterio, l'assistente migrazione crea una coppia chiave-valore nsxSecurityTag
. In questo scenario o se nsxSecurityTag
è per qualsiasi motivo specificato esplicitamente in un modello cloud per l'utilizzo con NSX-T, incluso NSX-T con criterio, la distribuzione crea un tag di macchina virtuale con un'impostazione Ambito vuota con un nome di tag che corrisponde al value
specificato. Quando si visualizzano tali tag in NSX-T, la colonna Ambito sarà vuota.
Per evitare confusione, non utilizzare coppie chiave-valore nsxSecurityTag
nel caso di NSX-T. Se si specifica una coppia chiave-valore nsxSecurityTag
da utilizzare con NSX-T, incluso NSX-T con criterio, la distribuzione crea un tag di macchina virtuale con un'impostazione di ambito vuota con un nome di tag che corrisponde al value
specificato. Quando si visualizzano tali tag in NSX-T, la colonna dell'ambito sarà vuota.
Utilizzo dei criteri di isolamento app nelle regole del firewall del gruppo di sicurezza su richiesta
È possibile utilizzare un criterio di isolamento app per consentire solo il traffico interno tra le risorse di cui il modello cloud esegue il provisioning. Con l'isolamento app, le macchine sottoposte a provisioning dal modello cloud possono comunicare tra loro ma non possono connettersi all'esterno del firewall. È possibile creare un criterio di isolamento app nel profilo di rete. È inoltre possibile specificare l'isolamento app nella progettazione di un modello cloud utilizzando un gruppo di sicurezza su richiesta con una regola del firewall di negazione oppure una rete privata o in uscita.
Un criterio di isolamento app viene creato con una precedenza inferiore. Se si applicano più criteri, i criteri con il peso superiore avranno la precedenza.
Quando si crea un criterio di isolamento applicazione, viene generato automaticamente un nome di criterio. Il criterio viene inoltre reso disponibile per il riutilizzo in altre progettazioni di modelli cloud e iterazioni specifiche dell'endpoint e del progetto della risorsa associata. Il nome del criterio di isolamento app non è visibile nel modello cloud, ma è visibile come proprietà personalizzata nella pagina del progetto (
) dopo la distribuzione della progettazione del modello cloud.Per lo stesso endpoint associato in un progetto, tutte le distribuzioni che richiedono un gruppo di sicurezza su richiesta per l'isolamento app possono utilizzare lo stesso criterio di isolamento app. Una volta creato, il criterio non viene eliminato. Quando si specifica un criterio di isolamento app, vRealize Automation cerca il criterio all'interno del progetto e relativamente all'endpoint associato. Se lo trova, lo riutilizza. Se non lo trova, lo crea. Il nome del criterio di isolamento app è visibile solo dopo la sua distribuzione iniziale nell'elenco delle proprietà personalizzate del progetto.
Utilizzo dei gruppi di sicurezza nello sviluppo di modelli cloud iterativi
- Nella funzionalità di progettazione del modello di Cloud Assembly, scollegare il gruppo di sicurezza da tutte le relative macchine associate nel modello cloud.
- Ridistribuire il modello facendo clic su Aggiorna una distribuzione esistente.
- Rimuovere i tag di vincolo del gruppo di sicurezza esistenti e/o le proprietà securityGroupType nel modello.
- Aggiungere i nuovi tag di vincolo del gruppo di sicurezza e/o le proprietà securityGroupType nel modello.
- Associare i nuovi tag di vincolo del gruppo di sicurezza e/o le istanze della proprietà securityGroupType alle macchine nel modello.
- Ridistribuire il modello facendo clic su Aggiorna una distribuzione esistente.
Operazioni giorno 2 disponibili
Per un elenco delle operazioni giorno 2 comuni disponibili per le risorse di modello cloud e distribuzione, vedere Quali azioni è possibile eseguire sulle distribuzioni di Cloud Assembly.
Ulteriori informazioni
Per informazioni sull'utilizzo di un gruppo di sicurezza per l'isolamento di rete, vedere Risorse di sicurezza in vRealize Automation.
Per informazioni sull'utilizzo dei gruppi di sicurezza nei profili di rete, vedere Ulteriori informazioni sui profili di rete in vRealize Automation e Utilizzo delle impostazioni dei gruppi di sicurezza in profili di rete e progettazioni di modelli cloud in vRealize Automation.
Per esempi di utilizzo dei gruppi di sicurezza nei modelli cloud, vedere Reti, risorse di sicurezza e bilanciamenti del carico in vRealize Automation.