Dopo aver aggiunto un account cloud in Cloud Assembly, la raccolta dati rileva le informazioni sulla rete e la sicurezza dell'account cloud e rende tali informazioni disponibili per l'uso nei profili di rete e altre opzioni.
I gruppi di sicurezza e le regole del firewall supportano l'isolamento di rete. I gruppi di sicurezza vengono raccolti in dati. Le regole del firewall non vengono raccolte in dati.
Utilizzando la sequenza di menu Cloud Assembly e i gruppi di sicurezza esistenti che sono stati creati nelle applicazioni di origine, ad esempio NSX-T e Amazon Web Services. I gruppi di sicurezza disponibili sono esposti dal processo di raccolta dati.
, è possibile visualizzare i gruppi di sicurezza su richiesta che sono stati creati nelle progettazioni di modelli cloud diÈ possibile utilizzare un tag per associare l'interfaccia della macchina (NIC) a un gruppo di sicurezza in una definizione di modello cloud o in un profilo di rete. È possibile visualizzare i gruppi di sicurezza disponibili e aggiungere o rimuovere tag per i gruppi di sicurezza selezionati. Un autore di modelli cloud può assegnare uno o più gruppi di sicurezza a una scheda NIC della macchina per controllare la sicurezza della distribuzione.
Nella progettazione del modello cloud, il parametro securityGroupType nella risorsa del gruppo di sicurezza viene specificato come existing per un gruppo di sicurezza esistente o new per un gruppo di sicurezza su richiesta.
Gruppi di sicurezza esistenti
I gruppi di sicurezza esistenti vengono visualizzati e classificati nella colonna Origine come Discovered.
I gruppi di sicurezza esistenti dell'endpoint dell'account cloud sottostante, ad esempio le applicazioni NSX-V, NSX-T o Amazon Web Services, sono disponibili per l'utilizzo.
Un amministratore del cloud può assegnare uno o più tag a un gruppo di sicurezza esistente per consentirne l'utilizzo in un modello cloud. Un autore di modelli cloud può utilizzare una risorsa Cloud.SecurityGroup in una progettazione di modelli cloud per allocare un gruppo di sicurezza esistente utilizzando vincoli di tag. Un gruppo di sicurezza esistente richiede che nella progettazione del modello cloud sia specificato almeno un tag di vincolo nella risorsa di sicurezza.
Se si modifica un gruppo di sicurezza esistente direttamente nell'applicazione di origine, ad esempio nell'applicazione NSX di origine anziché in Cloud Assembly, gli aggiornamenti non sono visibili in Cloud Assembly finché non vengono eseguite le esecuzioni di raccolta dati e i dati raccolgono l'account cloud o il punto di integrazione associato da Cloud Assembly. La raccolta dei dati viene eseguita automaticamente ogni 10 minuti.
- I gruppi di sicurezza globali esistenti sono supportati ed enumerati per tutte le regioni definite.
- I gruppi di sicurezza globali sono elencati nella pagina con tutti gli account cloud a cui si applicano.
- È possibile associare un'interfaccia della macchina (NIC) a un gruppo di sicurezza globale esistente direttamente in un modello cloud o nel profilo di rete selezionato.
- Le seguenti operazioni giorno 2 sono supportate per i gruppi di sicurezza globali:
- Riconfigurazione del gruppo di sicurezza in un modello cloud da un gruppo di sicurezza globale a un gruppo di sicurezza locale e viceversa.
- Scalabilità orizzontale/verticale delle macchine associate ai gruppi di sicurezza globali.
Gruppi di sicurezza su richiesta
I gruppi di sicurezza su richiesta creati in Cloud Assembly, in un modello cloud o in un profilo di rete, vengono visualizzati e classificati nella colonna Origine come Managed by Cloud Assembly. I gruppi di sicurezza su richiesta creati come parte di un profilo di rete sono classificati internamente come un gruppo di sicurezza di isolamento con regole firewall preconfigurate e non vengono aggiunti a una progettazione di modelli cloud come risorsa del gruppo di sicurezza. I gruppi di sicurezza su richiesta creati in una progettazione di modelli cloud, che possono contenere regole del firewall esplicite, vengono aggiunti come parte di una risorsa del gruppo di sicurezza classificata come new
.
È possibile creare regole del firewall per i gruppi di sicurezza su richiesta per NSX-V e NSX-T direttamente in una risorsa del gruppo di sicurezza nel codice di progettazione del modello cloud. La colonna Applicato a non contiene gruppi di sicurezza classificati o gestiti da un NSX Distributed firewall (DFW). Le regole del firewall che si applicano alle applicazioni sono per il traffico DFW est/ovest. Alcune regole del firewall possono essere gestite solo nell'applicazione di origine e non possono essere modificate in Cloud Assembly. Ad esempio, le regole ethernet, emergency, infrastructure e environment sono gestite in NSX-T.
I gruppi di sicurezza su richiesta non sono attualmente supportati per gli account cloud del manager globale di NSX-T.
Ulteriori informazioni
Per ulteriori informazioni sull'utilizzo dei gruppi di sicurezza nei profili di rete, vedere Ulteriori informazioni sui profili di rete in vRealize Automation.
Per informazioni sulla definizione delle regole firewall, vedere Utilizzo delle impostazioni dei gruppi di sicurezza in profili di rete e progettazioni di modelli cloud in vRealize Automation.
Per ulteriori informazioni sull'utilizzo dei gruppi di sicurezza in un modello cloud, vedere Ulteriori informazioni sulle risorse di tag e gruppi di sicurezza nei modelli cloud di vRealize Automation.
Per gli esempi di codice di progettazione dei modelli cloud che contengono gruppi di sicurezza, vedere Reti, risorse di sicurezza e bilanciamenti del carico in vRealize Automation.