Ulteriori informazioni sulle risorse di tag e gruppi di sicurezza nei modelli cloud di vRealize Automation

Quando si creano o si modificano i modelli cloud di vRealize Automation, utilizzare le opzioni delle risorse di sicurezza più appropriate per i propri obiettivi.

Risorsa del gruppo di sicurezza indipendente dal cloud

È possibile aggiungere una risorsa del gruppo di sicurezza utilizzando la risorsa Indipendente dal cloud > Gruppo di sicurezza nella pagina Modello. La risorsa viene visualizzata nel codice del modello cloud come tipo di risorsa Cloud.SecurityGroup. La risorsa predefinita viene visualizzata come:

  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      constraints: []
      securityGroupType: existing

È possibile specificare una risorsa del gruppo di sicurezza in una progettazione di modelli cloud come esistente (securityGroupType: existing) o su richiesta (securityGroupType: new).

È possibile aggiungere un gruppo di sicurezza esistente al modello cloud oppure utilizzare un gruppo di sicurezza esistente che è stato aggiunto a un profilo di rete.

Per NSX-V e NSX-T, oltre a NSX-T con il commutatore di gestione dei criteri abilitato in combinazione con VMware Cloud on AWS, è possibile aggiungere un gruppo di sicurezza esistente o definire un nuovo gruppo di sicurezza quando si progetta o si modifica il modello cloud. I gruppi di sicurezza su richiesta sono supportati per NSX-T, NSX-V e VMware Cloud on AWS quando viene utilizzato con la gestione dei criteri di NSX-T.

Per tutti i tipi di account cloud, ad eccezione di Microsoft Azure, è possibile associare uno o più gruppi di sicurezza alla scheda NIC di una macchina. La scheda NIC di una macchina virtuale di Microsoft Azure (machineName) può essere associata a un solo gruppo di sicurezza.

Per impostazione predefinita, la proprietà del gruppo di sicurezza securityGroupType è impostata su existing. Per creare un gruppo di sicurezza su richiesta, immettere new per la proprietà securityGroupType. Per specificare le regole del firewall per un gruppo di sicurezza su richiesta, utilizzare la proprietà rules nella sezione Cloud.SecurityGroup della risorsa del gruppo di sicurezza.

Gruppi di sicurezza esistenti

I gruppi di sicurezza esistenti vengono creati in una risorsa di account cloud di origine, ad esempio NSX-T o Amazon Web Services. Sono dati raccolti da vRealize Automation dall'origine. È possibile selezionare un gruppo di sicurezza esistente in un elenco di risorse disponibili come parte di un profilo di rete di vRealize Automation. In una progettazione di modelli cloud, è possibile specificare un gruppo di sicurezza esistente, intrinsecamente tramite la relativa appartenenza a un profilo di rete specificato o in modo specifico in base al nome, utilizzando l'impostazione securityGroupType: existing in una risorsa del gruppo di sicurezza. Se si aggiunge un gruppo di sicurezza a un profilo di rete, aggiungere almeno un tag di funzionalità al profilo di rete. Le risorse del gruppo di sicurezza su richiesta richiedono un tag di vincolo quando vengono utilizzate nella progettazione di un modello cloud.

È possibile associare una risorsa del gruppo di sicurezza della progettazione del modello cloud a una o più risorse di macchina.

Nota: Se si intende utilizzare una risorsa macchina nella progettazione del modello cloud per eseguire il provisioning nella scheda NIC di una macchina virtuale di Microsoft Azure ( machineName), è necessario associare la risorsa macchina a un singolo gruppo di sicurezza.

Gruppi di sicurezza su richiesta

È possibile definire gruppi di sicurezza su richiesta quando si definisce o si modifica una progettazione di modelli cloud utilizzando l'impostazione securityGroupType: new nel codice di risorsa del gruppo di sicurezza.

È possibile utilizzare un gruppo di sicurezza su richiesta per NSX-V e NSX-T, nonché per Amazon Web Services quando viene utilizzato con il tipo di criterio di NSX-T, per applicare un set specifico di regole del firewall a una risorsa macchina di rete oppure a un set di risorse raggruppate. Ogni gruppo di sicurezza può contenere più regole del firewall denominate. È possibile utilizzare un gruppo di sicurezza su richiesta per specificare servizi o protocolli e porte. Si noti che è possibile specificare un servizio o un protocollo, ma non entrambi. È possibile specificare una porta oltre a un protocollo. Non è possibile specificare una porta se si specifica un servizio. Se la regola non contiene un servizio o un protocollo, il valore predefinito del servizio è Qualsiasi.

Nelle regole del firewall, è inoltre possibile specificare gli indirizzi IP e gli intervalli IP. Alcuni esempi di regole del firewall sono illustrati in Reti, risorse di sicurezza e bilanciamenti del carico in vRealize Automation.

Quando si creano regole del firewall in un gruppo di sicurezza su richiesta NSX-V o NSX-T, l'impostazione predefinita consente il traffico di rete specificato. L'impostazione predefinita consente anche altro traffico di rete. Per controllare il traffico di rete, è necessario specificare un tipo di accesso per ogni regola. I tipi di accesso alla regola sono:

Consenti (impostazione predefinita): consente il traffico di rete specificato in questa regola del firewall.
Nega: blocca il traffico di rete specificato in questa regola del firewall. Comunica attivamente al client che la connessione è stata rifiutata.
Rimuovi: rifiuta il traffico di rete specificato in questa regola del firewall. Interrompe in modo invisibile il pacchetto come se il listener non fosse online.

Per un esempio di progettazione che utilizza una regole del firewall access: Allow e access: Deny, vedere Reti, risorse di sicurezza e bilanciamenti del carico in vRealize Automation.

Nota: Un amministratore del cloud può creare una progettazione di modelli cloud che contenga solo un gruppo di sicurezza su richiesta di NSX e può distribuire tale progetto per creare una risorsa del gruppo di sicurezza riutilizzabile esistente che i membri dell'organizzazione possono aggiungere ai profili di rete e alle progettazioni di modelli cloud come gruppo di sicurezza esistente.

Le regole del firewall supportano i valori CIDR in formato IPv4 o IPv6 per gli indirizzi IP di origine e di destinazione. Per un esempio di progettazione che utilizza i valori CIDR IPv6 in una regola del firewall, vedere Reti, risorse di sicurezza e bilanciamenti del carico in vRealize Automation.

Gruppi di sicurezza su richiesta ed esistenti per VMware Cloud on AWS

È possibile definire un gruppo di sicurezza su richiesta per una macchina di VMware Cloud on AWS in un modello cloud utilizzando l'impostazione securityGroupType: new nel codice di risorsa del gruppo di sicurezza.

Di seguito viene illustrato un frammento di codice di esempio per un gruppo di sicurezza su richiesta:

resources:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      name: vmc-odsg
      securityGroupType: new
      rules: 
        - name: datapath
          direction: inbound
          protocol: TCP
          ports: 5011
          access: Allow
          source: any

È inoltre possibile definire un gruppo di sicurezza esistente per una macchina VMware Cloud on AWS di rete e includere facoltativamente tag di vincolo, come illustrato negli esempi seguenti:

  Cloud_SecurityGroup_2:
    type: Cloud.SecurityGroup
    properties:
      constraints: [xyz]
      securityGroupType: existing

Cloud_SecurityGroup_3:
  type: Cloud.SecurityGroup
  properties:
    securityGroupType: existing
     constraints:
        - tag: xyz

Lo sviluppo di modelli cloud iterativi è supportato.

Se un gruppo di sicurezza è associato a una o più macchine nella distribuzione e si esegue un'azione di eliminazione, viene visualizzato un messaggio che indica che il gruppo di sicurezza non può essere eliminato.
Se un gruppo di sicurezza non è associato ad alcuna macchina nella distribuzione e si esegue un'azione di eliminazione, viene visualizzato un messaggio che indica che il gruppo di sicurezza verrà eliminato da questa distribuzione e l'azione non potrà essere annullata. Un gruppo di sicurezza esistente viene eliminato dal modello cloud, mentre un gruppo di sicurezza su richiesta viene eliminato definitivamente.

Utilizzo dei tag di sicurezza di NSX-V e dei tag di macchina virtuale di NSX-T

È possibile visualizzare e utilizzare tag di sicurezza di NSX-V, NSX-T e NSX-T con i tag di macchina virtuale del criterio dalle risorse gestite nei modelli cloud di vRealize Automation.

I tag di sicurezza di NSX-V e NSX-T sono supportati per l'utilizzo con vSphere. I tag di sicurezza di NSX-T sono supportati anche per l'utilizzo con VMware Cloud on AWS.

Nota:

Come per le macchine virtuali distribuite in vSphere, è possibile configurare i tag delle macchine per una macchina virtuale da distribuire in VMware Cloud on AWS. È inoltre possibile aggiornare il tag della macchina dopo la distribuzione iniziale. Questi tag della macchina consentono a vRealize Automation di assegnare dinamicamente una macchina virtuale a un gruppo di sicurezza di NSX-T appropriato durante la distribuzione.

È possibile specificare tag di sicurezza di NSX-V utilizzando key: nsxSecurityTag e un valore di tag nella risorsa di elaborazione del modello cloud, come illustrato nell'esempio seguente, a condizione che la macchina sia connessa a una rete di NSX-V:

tags:
  - key: nsxSecurityTag
  - value: security_tag_1
  - key: nsxSecurityTag
  - value: security_tag_2

Il valore specificato deve corrispondere a un tag di sicurezza di NSX-V. Se non sono presenti tag di sicurezza in NSX-V che corrispondono al valore della chiave nsxSecurityTag specificato, la distribuzione non riesce.

Nota:

L'assegnazione dei tag di sicurezza di NSX-V richiede che la macchina sia connessa a una rete di NSX-V. Se la macchina è connessa a una rete di vSphere, l'assegnazione dei tag di sicurezza di NSX-V viene ignorata. In entrambi i casi, viene assegnato un tag anche alla macchina vSphere.

NSX-T non dispone di un tag di sicurezza separato. Qualsiasi tag specificato nella risorsa di elaborazione del modello cloud comporta l'associazione della macchina virtuale distribuita con tutti i tag specificati in NSX-T. Per NSX-T, incluso NSX-T con criterio, i tag di macchina virtuale vengono espressi anche come coppia chiave-valore nel modello cloud. L'impostazione key corrisponde all'impostazione scope in NSX-T e l'impostazione value corrisponde al Tag Name specificato in NSX-T.

Si tenga presente che se si utilizza l'assistente migrazione di vRealize Automation V2T per eseguire la migrazione degli account cloud da NSX-V a NSX-T, incluso NSX-T con criterio, l'assistente migrazione crea una coppia chiave-valore nsxSecurityTag. In questo scenario o se nsxSecurityTag è per qualsiasi motivo specificato esplicitamente in un modello cloud per l'utilizzo con NSX-T, incluso NSX-T con criterio, la distribuzione crea un tag di macchina virtuale con un'impostazione Ambito vuota con un nome di tag che corrisponde al value specificato. Quando si visualizzano tali tag in NSX-T, la colonna Ambito sarà vuota.

Per evitare confusione, non utilizzare coppie chiave-valore nsxSecurityTag nel caso di NSX-T. Se si specifica una coppia chiave-valore nsxSecurityTag da utilizzare con NSX-T, incluso NSX-T con criterio, la distribuzione crea un tag di macchina virtuale con un'impostazione di ambito vuota con un nome di tag che corrisponde al value specificato. Quando si visualizzano tali tag in NSX-T, la colonna dell'ambito sarà vuota.

Utilizzo dei criteri di isolamento app nelle regole del firewall del gruppo di sicurezza su richiesta

È possibile utilizzare un criterio di isolamento app per consentire solo il traffico interno tra le risorse di cui il modello cloud esegue il provisioning. Con l'isolamento app, le macchine sottoposte a provisioning dal modello cloud possono comunicare tra loro ma non possono connettersi all'esterno del firewall. È possibile creare un criterio di isolamento app nel profilo di rete. È inoltre possibile specificare l'isolamento app nella progettazione di un modello cloud utilizzando un gruppo di sicurezza su richiesta con una regola del firewall di negazione oppure una rete privata o in uscita.

Un criterio di isolamento app viene creato con una precedenza inferiore. Se si applicano più criteri, i criteri con il peso superiore avranno la precedenza.

Quando si crea un criterio di isolamento applicazione, viene generato automaticamente un nome di criterio. Il criterio viene inoltre reso disponibile per il riutilizzo in altre progettazioni di modelli cloud e iterazioni specifiche dell'endpoint e del progetto della risorsa associata. Il nome del criterio di isolamento app non è visibile nel modello cloud, ma è visibile come proprietà personalizzata nella pagina del progetto (Infrastruttura > Amministrazione > Progetti) dopo la distribuzione della progettazione del modello cloud.

Per lo stesso endpoint associato in un progetto, tutte le distribuzioni che richiedono un gruppo di sicurezza su richiesta per l'isolamento app possono utilizzare lo stesso criterio di isolamento app. Una volta creato, il criterio non viene eliminato. Quando si specifica un criterio di isolamento app, vRealize Automation cerca il criterio all'interno del progetto e relativamente all'endpoint associato. Se lo trova, lo riutilizza. Se non lo trova, lo crea. Il nome del criterio di isolamento app è visibile solo dopo la sua distribuzione iniziale nell'elenco delle proprietà personalizzate del progetto.

Utilizzo dei gruppi di sicurezza nello sviluppo di modelli cloud iterativi

Quando si modificano i vincoli del gruppo di sicurezza durante lo sviluppo iterativo e il gruppo di sicurezza non è associato a una macchina nel modello cloud, il gruppo di sicurezza viene aggiornato nell'iterazione come specificato. Tuttavia, quando il gruppo di sicurezza è già associato a una macchina, la ridistribuzione non riesce. È necessario scollegare i gruppi di sicurezza esistenti e/o le proprietà della risorsa securityGroupType dalle macchine associate durante lo sviluppo iterativo del modello cloud e associarli nuovamente tra una ridistribuzione e l'altra. Il workflow necessario è il seguente, presupponendo che il modello cloud sia stato distribuito inizialmente.

Nella funzionalità di progettazione del modello di Cloud Assembly, scollegare il gruppo di sicurezza da tutte le relative macchine associate nel modello cloud.
Ridistribuire il modello facendo clic su Aggiorna una distribuzione esistente.
Rimuovere i tag di vincolo del gruppo di sicurezza esistenti e/o le proprietà securityGroupType nel modello.
Aggiungere i nuovi tag di vincolo del gruppo di sicurezza e/o le proprietà securityGroupType nel modello.
Associare i nuovi tag di vincolo del gruppo di sicurezza e/o le istanze della proprietà securityGroupType alle macchine nel modello.
Ridistribuire il modello facendo clic su Aggiorna una distribuzione esistente.

Operazioni giorno 2 disponibili

Per un elenco delle operazioni giorno 2 comuni disponibili per le risorse di modello cloud e distribuzione, vedere Quali azioni è possibile eseguire sulle distribuzioni o sulle risorse supportate di Cloud Assembly?.

Ulteriori informazioni

Per informazioni sull'utilizzo di un gruppo di sicurezza per l'isolamento di rete, vedere Risorse di sicurezza in vRealize Automation.

Per informazioni sull'utilizzo dei gruppi di sicurezza nei profili di rete, vedere Ulteriori informazioni sui profili di rete in vRealize Automation e Utilizzo delle impostazioni dei gruppi di sicurezza in profili di rete e progettazioni di modelli cloud in vRealize Automation.

Per esempi di utilizzo dei gruppi di sicurezza nei modelli cloud, vedere Reti, risorse di sicurezza e bilanciamenti del carico in vRealize Automation.