vRealize Automation クラウド テンプレートを作成または編集するときには、目的の達成に最適なセキュリティ リソース オプションを使用します。

クラウドに依存しないセキュリティ グループ リソース

セキュリティ グループ リソースを追加するには、 [テンプレート] 画面で、 [クラウドに依存しない] > [セキュリティ グループ] リソースを使用します。リソースは、クラウド テンプレート コードでは Cloud.SecurityGroupリソース タイプとして表示されます。デフォルトのリソースは、次のように表示されます。
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      constraints: []
      securityGroupType: existing

クラウド テンプレート デザインで、既存 (securityGroupType: existing) またはオンデマンド (securityGroupType: new) のいずれかとして、セキュリティ グループ リソースを指定します。

既存のセキュリティ グループをクラウド テンプレートに追加することも、ネットワーク プロファイルに追加されている既存のセキュリティ グループを使用することもできます。

NSX-VNSX-T、および VMware Cloud on AWS と組み合わせてポリシー マネージャ スイッチが有効になっている NSX-T の場合は、クラウド テンプレートを設計または変更するときに既存のセキュリティ グループを追加するか、新しいセキュリティ グループを定義できます。オンデマンド セキュリティ グループは、NSX-TNSX-V、および NSX-T ポリシー マネージャと共に使用した場合の VMware Cloud on AWS でサポートされます。

Microsoft Azure を除くすべてのクラウド アカウント タイプでは、1 つ以上のセキュリティ グループをマシン NIC に関連付けることができます。Microsoft Azure の仮想マシン NIC (machineName) は、1 つのセキュリティ グループにのみ関連付けることができます。

デフォルトでは、セキュリティ グループ プロパティ securityGroupTypeexisting に設定されています。オンデマンド セキュリティ グループを作成するには、securityGroupType プロパティに new と入力します。オンデマンド セキュリティ グループのファイアウォール ルールを指定するには、セキュリティ グループ リソースの Cloud.SecurityGroup セクションにある rules プロパティを使用します。

既存のセキュリティ グループ

既存のセキュリティ グループは、NSX-TAmazon Web Services などのソース クラウド アカウント リソース内に作成されます。これらは、vRealize Automation によってソースから収集されるデータです。vRealize Automation ネットワーク プロファイルの一部として、使用可能なリソースのリストから既存のセキュリティ グループを選択できます。クラウド テンプレート デザインでは、既存のセキュリティ グループを、指定したネットワーク プロファイルのメンバーシップによって暗黙的に指定することも、セキュリティ グループ リソースの securityGroupType: existing 設定を使用して名前で指定することもできます。ネットワーク プロファイルにセキュリティ グループを追加する場合は、少なくとも 1 つの機能タグをネットワーク プロファイルに追加します。オンデマンド セキュリティ グループ リソースをクラウド テンプレート デザインで使用するときは、制約タグが必要です。

クラウド テンプレート デザインのセキュリティ グループ リソースを 1 つ以上のマシン リソースに関連付けることができます。

注: クラウド テンプレート デザインでマシン リソースを使用して Microsoft Azure の仮想マシン NIC ( machineName) にプロビジョニングする場合、マシン リソースを 1 つのセキュリティ グループにのみ関連付ける必要があります。

オンデマンド セキュリティ グループ

クラウド テンプレート デザインを定義または変更するときに、セキュリティ グループ リソース コードの securityGroupType: new 設定を使用して、オンデマンド セキュリティ グループを定義できます。

オンデマンド セキュリティ グループを NSX-VNSX-T、および NSX-T ポリシー タイプと組み合わせた場合の Amazon Web Services で使用して、ネットワーク化されたマシン リソースまたはグループ化されたリソースのセットに対して特定のファイアウォール ルールのセットを適用できます。各セキュリティ グループには、複数の名前付きファイアウォール ルールを含めることができます。オンデマンド セキュリティ グループを使用して、サービスまたはプロトコル、およびポートを指定することができます。指定できるのはサービスまたはプロトコルのどちらかとなり、両方を指定することはできないことに注意してください。プロトコルを指定した場合、ポートも指定できます。サービスを指定した場合は、ポートを指定することはできません。ルールにサービスもプロトコルも含まれていない場合、デフォルトのサービス値は [任意] です。

また、ファイアウォール ルールで IP アドレスと IP アドレス範囲を指定することもできます。ファイアウォール ルールの例については、vRealize Automation のネットワーク、セキュリティ リソース、およびロード バランサを参照してください。

NSX-V または NSX-T オンデマンド セキュリティ グループでファイアウォール ルールを作成する場合、デフォルトでは指定されたネットワーク トラフィックが許可されます。また、デフォルトでは他のネットワーク トラフィックも許可されます。ネットワーク トラフィックを制御するには、各ルールのアクセス タイプを指定する必要があります。ルールのアクセス タイプは次のとおりです。
  • 許可(デフォルト)- このファイアウォール ルールで指定されているネットワーク トラフィックを許可します。
  • 拒否 - このファイアウォール ルールで指定されているネットワーク トラフィックをブロックします。接続が拒否されたことをクライアントにアクティブに通知します。
  • ドロップ - このファイアウォール ルールで指定されているネットワーク トラフィックを拒否します。リスナーがオンラインでない場合と同様に、パケットをサイレントにドロップします。
access: Allowaccess: Deny のファイアウォール ルールを使用するデザインの例については、 vRealize Automation のネットワーク、セキュリティ リソース、およびロード バランサを参照してください。
注: クラウド管理者は、 NSX オンデマンド セキュリティ グループのみを含むクラウド テンプレート デザインを作成できます。また、そのデザインを展開して、再利用可能な既存のセキュリティ グループ リソースを作成することができます。このリソースは、組織のメンバーがネットワーク プロファイルおよびクラウド テンプレート デザインに既存のセキュリティ グループとして追加できます。

ファイアウォール ルールは、送信元と宛先の IP アドレスとして IPv4 または IPv6 形式の CIDR 値をサポートします。ファイアウォール ルールで IPv6 CIDR 値を使用するデザインの例については、vRealize Automation のネットワーク、セキュリティ リソース、およびロード バランサを参照してください。

VMware Cloud on AWS のオンデマンドおよび既存のセキュリティ グループ

セキュリティ グループ リソース コードの securityGroupType: new 設定を使用して、クラウド テンプレートで VMware Cloud on AWS マシンのオンデマンド セキュリティ グループを定義できます。

オンデマンド セキュリティ グループのサンプル コード スニペットを次に示します。
resources:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      name: vmc-odsg
      securityGroupType: new
      rules: 
        - name: datapath
          direction: inbound
          protocol: TCP
          ports: 5011
          access: Allow
          source: any

また、次の例に示すように、ネットワーク化された VMware Cloud on AWS マシンに対して既存のセキュリティ グループを定義し、制約のタグ付けをオプションで含めることができます。

  Cloud_SecurityGroup_2:
    type: Cloud.SecurityGroup
    properties:
      constraints: [xyz]
      securityGroupType: existing
Cloud_SecurityGroup_3:
  type: Cloud.SecurityGroup
  properties:
    securityGroupType: existing
     constraints:
        - tag: xyz
反復的なクラウド テンプレートの開発がサポートされています。
  • セキュリティ グループが展開内の 1 つ以上のマシンに関連付けられている場合、削除アクションの実行時に、セキュリティ グループを削除できないことを示すメッセージが表示されます。
  • セキュリティ グループが展開内のマシンに関連付けられていない場合、削除アクションの実行時に、この展開からセキュリティ グループが削除され、アクションを元に戻すことができないことを示すメッセージが表示されます。既存のセキュリティ グループはクラウド テンプレートから削除され、オンデマンド セキュリティ グループは破棄されます。

NSX-V セキュリティ タグおよび NSX-T 仮想マシン タグの使用

vRealize Automation クラウド テンプレート内の管理対象リソースに基づいて、NSX-V セキュリティ タグと、NSX-T および NSX-T with Policy 仮想マシン タグを確認および使用できます。

NSX-V および NSX-T セキュリティ タグは、vSphere での使用がサポートされています。NSX-T セキュリティ タグも VMware Cloud on AWS での使用がサポートされています。

注:

vSphere に展開した仮想マシンと同様に、VMware Cloud on AWS に展開する仮想マシンに対してマシン タグを構成できます。初期展開の後でマシン タグを更新することもできます。vRealize Automation でこれらのマシン タグを使用することで、展開の際に仮想マシンを適切な NSX-T セキュリティ グループに動的に割り当てることができます。

次の例に示すように、マシンが NSX-V ネットワークに接続されている場合、クラウド テンプレート内のコンピューティング リソースで key: nsxSecurityTag とタグ値を使用して NSX-V セキュリティ タグを指定できます。
tags:
  - key: nsxSecurityTag
  - value: security_tag_1
  - key: nsxSecurityTag
  - value: security_tag_2

指定する値は、NSX-V セキュリティ タグに対応している必要があります。指定された nsxSecurityTag キー値と一致するセキュリティ タグが NSX-V にない場合、展開は失敗します。

注:

NSX-V のセキュリティ タグを付けるには、マシンが NSX-V に接続されている必要があります。マシンが vSphere ネットワークに接続されている場合、NSX-V のセキュリティ タグは無視されます。いずれの場合も、vSphere マシンにもタグが付けられます。

NSX-T には、独立したセキュリティ タグはありません。クラウド テンプレート内のコンピューティング リソースに対してタグを指定すると、展開される仮想マシンは、NSX-T で指定されたすべてのタグと関連付けられます。NSX-T with Policy も含め、NSX-T では、仮想マシン タグはクラウド テンプレート内でキーと値のペアとしても表されます。key 設定は NSX-T での scope 設定と、value 設定は NSX-T で指定される Tag Name と同等です。

vRealize Automation V2T 移行アシスタントを使用してクラウド アカウントを NSX-V から NSX-TNSX-T with Policy を含む)に移行すると、移行アシスタントによって nsxSecurityTag キーと値のペアが作成されます。この場合、または NSX-TNSX-T with Policy を含む)で使用されるクラウド テンプレート内で nsxSecurityTag が何らかの理由によって明示的に指定されている場合、展開では、指定された value に一致するタグ名と空のスコープ設定を持つ仮想マシン タグが作成されます。これらのタグを NSX-T で表示すると、[スコープ] 列は空です。

混乱を避けるために、NSX-T には nsxSecurityTag キー ペアを使用しないでください。NSX-TNSX-T with Policy を含む)で使用される nsxSecurityTag キーと値のペアを指定すると、展開では、指定された value に一致するタグ名と空のスコープ設定を持つ仮想マシン タグが作成されます。これらのタグを NSX-T で表示すると、[スコープ] 列は空です。

オンデマンド セキュリティ グループ ファイアウォール ルールでのアプリケーションの隔離ポリシーの使用

アプリケーションの隔離ポリシーを使用すると、クラウド テンプレートによってプロビジョニングされたリソース間の内部トラフィックのみを許可することができます。アプリケーションの隔離を行うと、クラウド テンプレートによってプロビジョニングされたマシンは相互に通信することができますが、ファイアウォールの外部に接続することはできなくなります。アプリケーションの隔離ポリシーは、ネットワーク プロファイル内に作成できます。クラウド テンプレート デザイン内にアプリケーションの隔離を指定することもできます。それには、拒否のファイアウォール ルールを含む、またはプライベート ネットワークや送信ネットワークを含むオンデマンド セキュリティ グループを使用します。

作成したアプリケーションの隔離ポリシーは、比較的低い優先度となります。複数のポリシーを適用した場合、重み付けが大きいポリシーが優先されます。

アプリケーション隔離ポリシーを作成すると、自動生成されたポリシー名が生成されます。このポリシーは、関連付けられているリソース エンドポイントおよびプロジェクトに固有の、他のクラウド テンプレート デザインおよびイテレーションでも再利用できます。アプリケーションの隔離ポリシーの名前は、クラウド テンプレートには表示されませんが、クラウド テンプレート デザインが展開された後に、プロジェクト画面([インフラストラクチャ] > [管理] > [プロジェクト])のカスタム プロパティとして表示されます。

プロジェクト内の関連付けられた同じエンドポイントの場合、アプリケーションの隔離のためにオンデマンド セキュリティ グループが必要な展開では、同じアプリケーションの隔離ポリシーを使用できます。ポリシーは、作成されると、削除されません。アプリケーションの隔離ポリシーを指定すると、vRealize Automation は、プロジェクト内で、関連付けられているエンドポイントに関してポリシーを検索します。ポリシーが見つかれば再利用し、ポリシーが見つからない場合は作成します。アプリケーションの隔離ポリシー名は、プロジェクトのカスタム プロパティのリストに、初期導入の後にのみ表示されます。

反復的なクラウド テンプレート開発でのセキュリティ グループの使用

反復的な開発で、セキュリティ グループの制約を変更すると、セキュリティ グループがクラウド テンプレートのマシンに関連付けられていない場合は、指定されたとおりにセキュリティ グループがイテレーション内で更新されます。ただし、セキュリティ グループがすでにマシンに関連付けられている場合は、再展開が失敗します。クラウド テンプレートの反復的な開発時には、再展開のたびに、関連付けられたマシンから既存のセキュリティ グループまたは securityGroupType リソースのプロパティを接続解除してから再関連付けする必要があります。クラウド テンプレートを最初に展開したと想定した場合の必要なワークフローは次のとおりです。
  1. Cloud Assembly テンプレート デザイナで、クラウド テンプレート内の関連付けられているすべてのマシンからセキュリティ グループを接続解除します。
  2. [既存の展開の更新] をクリックしてテンプレートを再展開します。
  3. テンプレートで、既存のセキュリティ グループの制約タグまたは securityGroupType プロパティを削除します。
  4. 新しいセキュリティ グループの制約タグまたは securityGroupType プロパティをテンプレートに追加します。
  5. 新しいセキュリティ グループの制約タグまたは securityGroupType プロパティのインスタンスをテンプレート内のマシンに関連付けます。
  6. [既存の展開の更新] をクリックしてテンプレートを再展開します。

利用可能な Day 2 操作

クラウド テンプレートおよび展開リソースで使用できる一般的な Day 2 操作のリストについては、Cloud Assembly 展開またはサポートされるリソースで実行できるアクションを参照してください。

詳細情報

ネットワークの隔離にセキュリティ グループを使用する方法の関連情報については、vRealize Automation のセキュリティ リソースを参照してください。

ネットワーク プロファイルでセキュリティ グループ設定を使用する方法については、vRealize Automation でのネットワーク プロファイルの詳細vRealize Automation のネットワーク プロファイルおよびクラウド テンプレート デザインでのセキュリティ グループ設定の使用を参照してください。

クラウド テンプレートでセキュリティ グループを使用する例については、vRealize Automation のネットワーク、セキュリティ リソース、およびロード バランサを参照してください。