Cloud Assembly でクラウド アカウントを追加すると、データ収集によってクラウド アカウントのネットワークとセキュリティの情報が検出され、ネットワーク プロファイルやその他のオプションで使用できるようになります。
セキュリティ グループとファイアウォール ルールでは、ネットワークの隔離がサポートされます。セキュリティ グループはデータ収集されます。ファイアウォール ルールはデータ収集されません。
Cloud Assembly クラウド テンプレート デザインで作成されたオンデマンド セキュリティ グループおよびソース アプリケーション(NSX-T や Amazon Web Services など)で作成された既存のセキュリティ グループを表示できます。使用可能なセキュリティ グループは、データ収集プロセスによって公開されます。
メニュー シーケンスを使用して、タグを使用すると、マシン インターフェイス (NIC) をクラウド テンプレート定義内またはネットワーク プロファイル内のセキュリティ グループと照合できます。使用可能なセキュリティ グループを表示し、選択したセキュリティ グループに対してタグを追加または削除できます。クラウド テンプレートの作成者は、マシン NIC に 1 つ以上のセキュリティ グループを割り当てて、展開のセキュリティを制御できます。
クラウド テンプレート デザインでは、セキュリティ グループ リソースの securityGroupType パラメータは、existing(既存のセキュリティ グループの場合)または new(オンデマンド セキュリティ グループの場合)として指定します。
既存のセキュリティ グループ
既存のセキュリティ グループが表示され、[発生元] 列で Discovered と分類されます。
NSX-V、NSX-T、または Amazon Web Services アプリケーションなど、基盤となるクラウド アカウント エンドポイントの既存のセキュリティ グループが使用可能です。
クラウド管理者は、1 つ以上のタグを既存のセキュリティ グループに割り当て、クラウド テンプレートで使用できるようにすることができます。クラウド テンプレートの作成者は、クラウド テンプレート デザイン内の Cloud.SecurityGroup リソースを使用して、タグ制約により既存のセキュリティ グループを割り当てることができます。既存のセキュリティ グループには、クラウド テンプレート デザインのセキュリティ リソースで少なくとも 1 つの制約タグを指定する必要があります。
Cloud Assembly ではなく、ソース NSX アプリケーションなどのソース アプリケーションで既存のセキュリティ グループを直接編集すると、Cloud Assembly 内から関連するクラウド アカウントまたは統合ポイントのデータ収集を実行するまで、更新は Cloud Assembly に表示されません。データ収集は 10 分ごとに自動で実行されます。
- 既存のグローバル セキュリティ グループは、定義済みのすべてのリージョンでサポートされ、列挙されます。
- グローバル セキュリティ グループは、 画面に、適用先のすべてのクラウド アカウントと共に一覧表示されます。
- マシン インターフェイス (NIC) は、クラウド テンプレート内または選択したネットワーク プロファイル内で直接、既存のグローバル セキュリティ グループに関連付けることができます。
- グローバル セキュリティ グループでは、次の Day 2 操作がサポートされます。
- クラウド テンプレート内のセキュリティ グループを、グローバル セキュリティ グループからローカル セキュリティ グループに、またはその逆方向に再構成すること。
- グローバル セキュリティ グループに関連付けられているマシンをスケール アウト/スケール インすること。
オンデマンド セキュリティ グループ
Cloud Assembly でクラウド テンプレートまたはネットワーク プロファイル内に作成したオンデマンド セキュリティ グループは、[発生元] 列で Managed by Cloud Assembly として表示および分類されます。ネットワーク プロファイルの一部として作成したオンデマンド セキュリティ グループは、事前構成済みのファイアウォール ルールを持つ隔離セキュリティ グループとして内部で分類され、セキュリティ グループ リソースとしてクラウド テンプレート デザインに追加されません。クラウド テンプレート デザインで作成し、express ファイアウォール ルールを含めることができるオンデマンド セキュリティ グループは、new
に分類されるセキュリティ グループ リソースの一部として追加されます。
NSX-V および NSX-T のオンデマンド セキュリティ グループのファイアウォール ルールは、クラウド テンプレート デザイン コードのセキュリティ グループ リソースで直接作成できます。[適用先] 列には、NSX 分散ファイアウォール (DFW) によって分類または管理されているセキュリティ グループは含まれていません。アプリケーションに適用されるファイアウォール ルールは、East/West DFW トラフィック用です。一部のファイアウォール ルールは、ソース アプリケーションでのみ管理でき、Cloud Assembly では編集できません。たとえば、イーサネット、緊急、インフラストラクチャ、および環境のルールは、NSX-T で管理されます。
現在、オンデマンド セキュリティ グループは NSX-T グローバル マネージャ クラウド アカウントではサポートされていません。
詳細情報
ネットワーク プロファイルでのセキュリティ グループの使用に関する詳細については、vRealize Automation でのネットワーク プロファイルの詳細を参照してください。
ファイアウォール ルールを定義することについては、vRealize Automation のネットワーク プロファイルおよびクラウド テンプレート デザインでのセキュリティ グループ設定の使用を参照してください。
クラウド テンプレートでのセキュリティ グループの使用に関する詳細については、vRealize Automation クラウド テンプレートのセキュリティ グループおよびタグ リソースの詳細を参照してください。
セキュリティ グループを含むクラウド テンプレート デザイン コードのサンプルについては、vRealize Automation のネットワーク、セキュリティ リソース、およびロード バランサを参照してください。