Automation Assembler でクラウド アカウントを追加すると、データ収集によってクラウド アカウントのネットワークとセキュリティの情報が検出され、ネットワーク プロファイルやその他のオプションで使用できるようになります。

セキュリティ グループとファイアウォール ルールでは、ネットワークの隔離がサポートされます。セキュリティ グループはデータ収集されます。ファイアウォール ルールはデータ収集されません。

[インフラストラクチャ] > [リソース] > [セキュリティ] メニュー シーケンスを使用して、Automation Assembler クラウド テンプレート デザインで作成されたオンデマンド セキュリティ グループおよびソース アプリケーション(NSX-TAmazon Web Services など)で作成された既存のセキュリティ グループを表示できます。使用可能なセキュリティ グループは、データ収集プロセスによって公開されます。

タグを使用すると、マシン インターフェイス (NIC) をクラウド テンプレート定義内またはネットワーク プロファイル内のセキュリティ グループと照合できます。使用可能なセキュリティ グループを表示し、選択したセキュリティ グループに対してタグを追加または削除できます。クラウド テンプレートの作成者は、マシン NIC に 1 つ以上のセキュリティ グループを割り当てて、展開のセキュリティを制御できます。

クラウド テンプレート デザインでは、セキュリティ グループ リソースの securityGroupType パラメータは、existing(既存のセキュリティ グループの場合)または new(オンデマンド セキュリティ グループの場合)として指定します。

既存のセキュリティ グループ

既存のセキュリティ グループが表示され、[発生元] 列で Discovered と分類されます。

NSX-VNSX-T、または Amazon Web Services アプリケーションなど、基盤となるクラウド アカウント エンドポイントの既存のセキュリティ グループが使用可能です。

クラウド管理者は、1 つ以上のタグを既存のセキュリティ グループに割り当て、クラウド テンプレートで使用できるようにすることができます。クラウド テンプレートの作成者は、クラウド テンプレート デザイン内の Cloud.SecurityGroup リソースを使用して、タグ制約により既存のセキュリティ グループを割り当てることができます。既存のセキュリティ グループには、クラウド テンプレート デザインのセキュリティ リソースで少なくとも 1 つの制約タグを指定する必要があります。

Automation Assembler ではなく、ソース NSX アプリケーションなどのソース アプリケーションで既存のセキュリティ グループを直接編集すると、Automation Assembler 内から関連するクラウド アカウントまたは統合ポイントのデータ収集を実行するまで、更新は Automation Assembler に表示されません。データ収集は 10 分ごとに自動で実行されます。

既存のセキュリティ グループは、 NSX-T グローバル マネージャとローカル マネージャのクラウド アカウント、およびローカル マネージャに関連付けられている vCenter クラウド アカウントでサポートされます。 Automation Assembler は、既存のセキュリティ グループを列挙、またはそれらからデータ収集し、セキュリティ グループをマシンのネットワーク インターフェイス (NIC) に接続します。グローバル セキュリティ グループを作成するには、 NSX-T グローバル マネージャに既存のセキュリティ グループを追加します。これにより、そのグローバル セキュリティ グループは、関連付けられているローカル マネージャで使用できるようになります。グローバル セキュリティ グループは、関連付けられたローカル マネージャの 1 つ、すべて、または一部から構成されます。
  • 既存のグローバル セキュリティ グループは、定義済みのすべてのリージョンでサポートされ、列挙されます。
  • グローバル セキュリティ グループは、[インフラストラクチャ] > [リソース] 画面に、適用先のすべてのクラウド アカウントと共に一覧表示されます。
  • マシン インターフェイス (NIC) は、クラウド テンプレート内または選択したネットワーク プロファイル内で直接、既存のグローバル セキュリティ グループに関連付けることができます。
  • グローバル セキュリティ グループでは、次の Day 2 操作がサポートされます。
    • クラウド テンプレート内のセキュリティ グループを、グローバル セキュリティ グループからローカル セキュリティ グループに、またはその逆方向に再構成すること。
    • グローバル セキュリティ グループに関連付けられているマシンをスケール アウト/スケール インすること。

オンデマンド セキュリティ グループ

Automation Assembler でクラウド テンプレートまたはネットワーク プロファイル内に作成したオンデマンド セキュリティ グループは、[発生元] 列で Managed by Automation Assembler として表示および分類されます。ネットワーク プロファイルの一部として作成したオンデマンド セキュリティ グループは、事前構成済みのファイアウォール ルールを持つ隔離セキュリティ グループとして内部で分類され、セキュリティ グループ リソースとしてクラウド テンプレート デザインに追加されません。クラウド テンプレート デザインで作成し、express ファイアウォール ルールを含めることができるオンデマンド セキュリティ グループは、new に分類されるセキュリティ グループ リソースの一部として追加されます。

注:

NSX-V および NSX-T のオンデマンド セキュリティ グループのファイアウォール ルールは、クラウド テンプレート デザイン コードのセキュリティ グループ リソースで直接作成できます。[適用先] 列には、NSX 分散ファイアウォール (DFW) によって分類または管理されているセキュリティ グループは含まれていません。アプリケーションに適用されるファイアウォール ルールは、East/West DFW トラフィック用です。一部のファイアウォール ルールは、ソース アプリケーションでのみ管理でき、Automation Assembler では編集できません。たとえば、イーサネット、緊急、インフラストラクチャ、および環境のルールは、NSX-T で管理されます。

現在、オンデマンド セキュリティ グループは NSX-T グローバル マネージャ クラウド アカウントではサポートされていません。

詳細情報

ネットワーク プロファイルでのセキュリティ グループの使用に関する詳細については、VMware Aria Automation でのネットワーク プロファイルの詳細を参照してください。

ファイアウォール ルールを定義することについては、VMware Aria Automation のネットワーク プロファイルおよびクラウド テンプレート デザインでのセキュリティ グループ設定の使用を参照してください。

クラウド テンプレートでのセキュリティ グループの使用に関する詳細については、VMware Aria Automation クラウド テンプレートのセキュリティ グループおよびタグ リソースの詳細を参照してください。

セキュリティ グループを含むクラウド テンプレート デザイン コードのサンプルについては、Automation Assembler のネットワーク、セキュリティ、およびロード バランサ リソースの例を参照してください。