VMware Aria Automation クラウド テンプレートを作成または編集するときには、目的の達成に最適なセキュリティ リソース オプションを使用します。
クラウドに依存しないセキュリティ グループ リソース
Cloud.SecurityGroup
リソース タイプとして表示されます。デフォルトのリソースは、次のように表示されます。
Cloud_SecurityGroup_1: type: Cloud.SecurityGroup properties: constraints: [] securityGroupType: existing
クラウド テンプレート デザインで、既存 (securityGroupType: existing
) またはオンデマンド (securityGroupType: new
) のいずれかとして、セキュリティ グループ リソースを指定します。
既存のセキュリティ グループをクラウド テンプレートに追加することも、ネットワーク プロファイルに追加されている既存のセキュリティ グループを使用することもできます。
NSX-V と NSX-T、および VMware Cloud on AWS と組み合わせてポリシー マネージャ スイッチが有効になっている NSX-T の場合は、クラウド テンプレートを設計または変更するときに既存のセキュリティ グループを追加するか、新しいセキュリティ グループを定義できます。オンデマンド セキュリティ グループは、NSX-T と NSX-V、および NSX-T ポリシー マネージャと共に使用した場合の VMware Cloud on AWS でサポートされます。
Microsoft Azure を除くすべてのクラウド アカウント タイプでは、1 つ以上のセキュリティ グループをマシン NIC に関連付けることができます。Microsoft Azure の仮想マシン NIC (machineName) は、1 つのセキュリティ グループにのみ関連付けることができます。
デフォルトでは、セキュリティ グループ プロパティ securityGroupType
は existing
に設定されています。オンデマンド セキュリティ グループを作成するには、securityGroupType
プロパティに new
と入力します。オンデマンド セキュリティ グループのファイアウォール ルールを指定するには、セキュリティ グループ リソースの Cloud.SecurityGroup
セクションにある rules
プロパティを使用します。
既存のセキュリティ グループ
既存のセキュリティ グループは、NSX-T や Amazon Web Services などのソース クラウド アカウント リソース内に作成されます。これらは、VMware Aria Automation によってソースから収集されるデータです。VMware Aria Automation ネットワーク プロファイルの一部として、使用可能なリソースのリストから既存のセキュリティ グループを選択できます。クラウド テンプレート デザインでは、既存のセキュリティ グループを、指定したネットワーク プロファイルのメンバーシップによって暗黙的に指定することも、セキュリティ グループ リソースの securityGroupType: existing
設定を使用して名前で指定することもできます。ネットワーク プロファイルにセキュリティ グループを追加する場合は、少なくとも 1 つの機能タグをネットワーク プロファイルに追加します。オンデマンド セキュリティ グループ リソースをクラウド テンプレート デザインで使用するときは、制約タグが必要です。
クラウド テンプレート デザインのセキュリティ グループ リソースを 1 つ以上のマシン リソースに関連付けることができます。
オンデマンド セキュリティ グループ
クラウド テンプレート デザインを定義または変更するときに、セキュリティ グループ リソース コードの securityGroupType: new
設定を使用して、オンデマンド セキュリティ グループを定義できます。
オンデマンド セキュリティ グループを NSX-V と NSX-T、および NSX-T ポリシー タイプと組み合わせた場合の Amazon Web Services で使用して、ネットワーク化されたマシン リソースまたはグループ化されたリソースのセットに対して特定のファイアウォール ルールのセットを適用できます。各セキュリティ グループには、複数の名前付きファイアウォール ルールを含めることができます。オンデマンド セキュリティ グループを使用して、サービスまたはプロトコル、およびポートを指定することができます。指定できるのはサービスまたはプロトコルのどちらかとなり、両方を指定することはできないことに注意してください。プロトコルを指定した場合、ポートも指定できます。サービスを指定した場合は、ポートを指定することはできません。ルールにサービスもプロトコルも含まれていない場合、デフォルトのサービス値は [任意] です。
また、ファイアウォール ルールで IP アドレスと IP アドレス範囲を指定することもできます。ファイアウォール ルールの例については、Automation Assembler のネットワーク、セキュリティ グループ、およびロード バランサ リソースの例を参照してください。
- 許可(デフォルト)- このファイアウォール ルールで指定されているネットワーク トラフィックを許可します。
- 拒否 - このファイアウォール ルールで指定されているネットワーク トラフィックをブロックします。接続が拒否されたことをクライアントにアクティブに通知します。
- ドロップ - このファイアウォール ルールで指定されているネットワーク トラフィックを拒否します。リスナーがオンラインでない場合と同様に、パケットをサイレントにドロップします。
access: Allow
と
access: Deny
のファイアウォール ルールを使用するデザインの例については、
Automation Assembler のネットワーク、セキュリティ グループ、およびロード バランサ リソースの例を参照してください。
ファイアウォール ルールは、送信元と宛先の IP アドレスとして IPv4 または IPv6 形式の CIDR 値をサポートします。ファイアウォール ルールで IPv6 CIDR 値を使用するデザインの例については、Automation Assembler のネットワーク、セキュリティ グループ、およびロード バランサ リソースの例を参照してください。
セキュリティ グループ配置の制約の使用
Cloud_SecurityGroup_4: type: Cloud.SecurityGroup properties: securityGroupType: new constraints: - tag: na
na
機能タグを持つエンドポイント(ローカル NSX Manager クラウド アカウント)にオンデマンド セキュリティ グループがプロビジョニングされます。
- 複数のエンドポイントが制約を満たしている場合は、クラウド ゾーンのプロビジョニング優先順位が最も高いエンドポイントが選択されます。
- 制約を満たすエンドポイントがない場合は、展開に失敗します。
- セキュリティ グループが別のリソースに接続されている場合、そのリソースの各エンドポイントは、リソース自体の配置の制約に加えて、セキュリティ グループの制約を満たす必要があります。
VMware Cloud on AWS のオンデマンドおよび既存のセキュリティ グループ
セキュリティ グループ リソース コードの securityGroupType: new
設定を使用して、クラウド テンプレートで VMware Cloud on AWS マシンのオンデマンド セキュリティ グループを定義できます。
resources: Cloud_SecurityGroup_1: type: Cloud.SecurityGroup properties: name: vmc-odsg securityGroupType: new rules: - name: datapath direction: inbound protocol: TCP ports: 5011 access: Allow source: any
また、次の例に示すように、ネットワーク化された VMware Cloud on AWS マシンに対して既存のセキュリティ グループを定義し、制約のタグ付けをオプションで含めることができます。
Cloud_SecurityGroup_2: type: Cloud.SecurityGroup properties: constraints: [xyz] securityGroupType: existing
Cloud_SecurityGroup_3: type: Cloud.SecurityGroup properties: securityGroupType: existing constraints: - tag: xyz
- セキュリティ グループが展開内の 1 つ以上のマシンに関連付けられている場合、削除アクションの実行時に、セキュリティ グループを削除できないことを示すメッセージが表示されます。
- セキュリティ グループが展開内のマシンに関連付けられていない場合、削除アクションの実行時に、この展開からセキュリティ グループが削除され、アクションを元に戻すことができないことを示すメッセージが表示されます。既存のセキュリティ グループはクラウド テンプレートから削除され、オンデマンド セキュリティ グループは破棄されます。
NSX-V セキュリティ タグおよび NSX-T 仮想マシン タグの使用
VMware Aria Automation クラウド テンプレート内の管理対象リソースに基づいて、NSX-V セキュリティ タグと、NSX-T および NSX-T with Policy 仮想マシン タグを確認および使用できます。
NSX-V および NSX-T セキュリティ タグは、vSphere での使用がサポートされています。NSX-T セキュリティ タグも VMware Cloud on AWS での使用がサポートされています。
vSphere に展開した仮想マシンと同様に、VMware Cloud on AWS に展開する仮想マシンに対してマシン タグを構成できます。初期展開の後でマシン タグを更新することもできます。VMware Aria Automation でこれらのマシン タグを使用することで、展開の際に仮想マシンを適切な NSX-T セキュリティ グループに動的に割り当てることができます。
key: nsxSecurityTag
とタグ値を使用して
NSX-V セキュリティ タグを指定できます。
tags: - key: nsxSecurityTag - value: security_tag_1 - key: nsxSecurityTag - value: security_tag_2
指定する値は、NSX-V セキュリティ タグに対応している必要があります。指定された nsxSecurityTag
キー値と一致するセキュリティ タグが NSX-V にない場合、展開は失敗します。
NSX-V のセキュリティ タグを付けるには、マシンが NSX-V に接続されている必要があります。マシンが vSphere ネットワークに接続されている場合、NSX-V のセキュリティ タグは無視されます。いずれの場合も、vSphere マシンにもタグが付けられます。
NSX-T には、独立したセキュリティ タグはありません。クラウド テンプレート内のコンピューティング リソースに対してタグを指定すると、展開される仮想マシンは、NSX-T で指定されたすべてのタグと関連付けられます。NSX-T with Policy も含め、NSX-T では、仮想マシン タグはクラウド テンプレート内でキーと値のペアとしても表されます。key
設定は NSX-T での scope
設定と、value
設定は NSX-T で指定される Tag Name
と同等です。
VMware Aria Automation V2T 移行アシスタントを使用してクラウド アカウントを NSX-V から NSX-T(NSX-T with Policy を含む)に移行すると、移行アシスタントによって nsxSecurityTag
キーと値のペアが作成されます。この場合、または NSX-T(NSX-T with Policy を含む)で使用されるクラウド テンプレート内で nsxSecurityTag
が何らかの理由によって明示的に指定されている場合、展開では、指定された value
に一致するタグ名と空のスコープ設定を持つ仮想マシン タグが作成されます。これらのタグを NSX-T で表示すると、[スコープ] 列は空です。
混乱を避けるために、NSX-T には nsxSecurityTag
キー ペアを使用しないでください。NSX-T(NSX-T with Policy を含む)で使用される nsxSecurityTag
キーと値のペアを指定すると、展開では、指定された value
に一致するタグ名と空のスコープ設定を持つ仮想マシン タグが作成されます。これらのタグを NSX-T で表示すると、[スコープ] 列は空です。
オンデマンド セキュリティ グループ ファイアウォール ルールでのアプリケーションの隔離ポリシーの使用
アプリケーションの隔離ポリシーを使用すると、クラウド テンプレートによってプロビジョニングされたリソース間の内部トラフィックのみを許可することができます。アプリケーションの隔離を行うと、クラウド テンプレートによってプロビジョニングされたマシンは相互に通信することができますが、ファイアウォールの外部に接続することはできなくなります。アプリケーションの隔離ポリシーは、ネットワーク プロファイル内に作成できます。クラウド テンプレート デザイン内にアプリケーションの隔離を指定することもできます。それには、拒否のファイアウォール ルールを含む、またはプライベート ネットワークや送信ネットワークを含むオンデマンド セキュリティ グループを使用します。
作成したアプリケーションの隔離ポリシーは、比較的低い優先度となります。複数のポリシーを適用した場合、重み付けが大きいポリシーが優先されます。
アプリケーション隔離ポリシーを作成すると、自動生成されたポリシー名が生成されます。このポリシーは、関連付けられているリソース エンドポイントおよびプロジェクトに固有の、他のクラウド テンプレート デザインおよびイテレーションでも再利用できます。アプリケーションの隔離ポリシーの名前は、クラウド テンプレートには表示されませんが、クラウド テンプレート デザインが展開された後に、プロジェクト画面(
)のカスタム プロパティとして表示されます。プロジェクト内の関連付けられた同じエンドポイントの場合、アプリケーションの隔離のためにオンデマンド セキュリティ グループが必要な展開では、同じアプリケーションの隔離ポリシーを使用できます。ポリシーは、作成されると、削除されません。アプリケーションの隔離ポリシーを指定すると、VMware Aria Automation は、プロジェクト内で、関連付けられているエンドポイントに関してポリシーを検索します。ポリシーが見つかれば再利用し、ポリシーが見つからない場合は作成します。アプリケーションの隔離ポリシー名は、プロジェクトのカスタム プロパティのリストに、初期導入の後にのみ表示されます。
反復的なクラウド テンプレート開発でのセキュリティ グループの使用
- Automation Assembler テンプレート デザイナで、クラウド テンプレート内の関連付けられているすべてのマシンからセキュリティ グループを接続解除します。
- [既存の展開の更新] をクリックしてテンプレートを再展開します。
- テンプレートで、既存のセキュリティ グループの制約タグまたは securityGroupType プロパティを削除します。
- 新しいセキュリティ グループの制約タグまたは securityGroupType プロパティをテンプレートに追加します。
- 新しいセキュリティ グループの制約タグまたは securityGroupType プロパティのインスタンスをテンプレート内のマシンに関連付けます。
- [既存の展開の更新] をクリックしてテンプレートを再展開します。
利用可能な Day 2 操作
クラウド テンプレートおよび展開リソースで使用できる一般的な Day 2 操作のリストについては、Automation Assembler 展開またはサポートされるリソースで実行できるアクションを参照してください。
詳細情報
ネットワークの隔離にセキュリティ グループを使用する方法の関連情報については、VMware Aria Automation のセキュリティ リソースを参照してください。
ネットワーク プロファイルでセキュリティ グループ設定を使用する方法については、VMware Aria Automation でのネットワーク プロファイルの詳細とVMware Aria Automation のネットワーク プロファイルおよびクラウド テンプレート デザインでのセキュリティ グループ設定の使用を参照してください。
クラウド テンプレートでセキュリティ グループを使用する例については、Automation Assembler のネットワーク、セキュリティ グループ、およびロード バランサ リソースの例を参照してください。