VMware Aria Automation의 보안 리소스

Automation Assembler에서 클라우드 계정을 추가하면 데이터 수집에서 클라우드 계정의 네트워크 및 보안 정보를 검색하고 해당 정보를 네트워크 프로파일 및 기타 옵션에서 사용 가능한 상태로 설정합니다.

보안 그룹 및 방화벽 규칙은 네트워크 격리를 지원합니다. 보안 그룹은 데이터 수집됩니다. 방화벽 규칙은 데이터를 수집하지 않습니다.

인프라 > 리소스 > 보안 메뉴 시퀀스를 사용하여 Automation Assembler 클라우드 템플릿 설계에서 생성된 주문형 보안 그룹과 NSX-T 및 Amazon Web Services와 같은 소스 애플리케이션에서 생성되었던 기존 보안 그룹을 볼 수 있습니다. 사용 가능한 보안 그룹은 데이터 수집 프로세스에 의해 노출됩니다.

태그를 사용하여 클라우드 템플릿 정의 또는 네트워크 프로파일의 보안 그룹과 시스템 인터페이스(NIC)를 일치시킬 수 있습니다. 사용 가능한 보안 그룹을 보고 선택한 보안 그룹에 대해 태그를 추가하거나 제거할 수 있습니다. 클라우드 템플릿 작성자는 시스템 NIC에 하나 이상의 보안 그룹을 할당하여 배포를 위한 보안을 제어할 수 있습니다.

클라우드 템플릿 설계에서 보안 그룹 리소스의 securityGroupType 매개 변수는 기존 보안 그룹에 대해 existing으로 지정되거나 주문형 보안 그룹에 대해 new로 지정됩니다.

기존 보안 그룹

기존 보안 그룹은 원본 열에 Discovered로 표시되고 분류됩니다.

기본 클라우드 계정 끝점(예: NSX-V, NSX-T 또는 Amazon Web Services 애플리케이션)의 기존 보안 그룹을 사용할 수 있습니다.

클라우드 관리자는 클라우드 템플릿에서 사용할 수 있도록 기존 보안 그룹에 태그를 하나 이상 할당할 수 있습니다. 클라우드 템플릿 작성자는 클라우드 템플릿 설계의 Cloud.SecurityGroup 리소스를 통해 태그 제약 조건을 사용하여 기존 보안 그룹을 할당할 수 있습니다. 기존 보안 그룹을 사용하려면 클라우드 템플릿 설계에서 보안 리소스에 하나 이상의 제약 조건 태그를 지정해야 합니다.

Automation Assembler가 아닌 소스 애플리케이션(예: 소스 NSX 애플리케이션)에서 직접 기존 보안 그룹을 편집하는 경우 Automation Assembler 내에서 데이터 수집이 실행되고 데이터가 연결된 클라우드 계정 또는 통합 지점을 수집할 때까지 Automation Assembler에 업데이트가 표시되지 않습니다. 데이터 수집은 10분마다 실행됩니다.

기존 보안 그룹은 NSX-T 글로벌 관리자 및 로컬 관리자 클라우드 계정과 로컬 관리자에 연결된 vCenter 클라우드 계정에 대해 지원됩니다. Automation Assembler는 기존 보안 그룹을 열거하거나 데이터를 수집하고 시스템의 네트워크 인터페이스(NIC)에 연결합니다. NSX-T 글로벌 관리자에 기존 보안 그룹을 추가하여 글로벌 보안 그룹을 생성할 수 있습니다. 그러면 연결된 로컬 관리자가 글로벌 보안 그룹을 사용할 수 있습니다. 글로벌 보안 그룹은 연결된 로컬 관리자 하나, 모두 또는 그 하위 집합으로 확장될 수 있습니다.

글로벌 기존 보안 그룹은 정의된 모든 지역에 대해 지원되고 열거됩니다.
글로벌 보안 그룹은 해당 네트워크가 적용되는 모든 클라우드 계정과 함께 인프라 > 리소스 페이지에 나열됩니다.
시스템 인터페이스(NIC)를 클라우드 템플릿 또는 선택한 네트워크 프로파일에서 직접 기존 글로벌 보안 그룹과 연결할 수 있습니다.
글로벌 보안 그룹에 대해 다음 2일차 작업이 지원됩니다.
- 클라우드 템플릿의 보안 그룹을 글로벌에서 로컬 보안 그룹으로 또는 그 반대로 재구성합니다.
- 글로벌 보안 그룹과 연결된 시스템을 확장하거나 축소합니다.

주문형 보안 그룹

Automation Assembler에서 생성하고 클라우드 템플릿 또는 네트워크 프로파일에 위치하는 주문형 보안 그룹은 원본 열에 Managed by Automation Assembler로 표시되고 분류됩니다. 네트워크 프로파일의 일부로 생성하는 주문형 보안 그룹은 내부적으로 미리 구성된 방화벽 규칙을 사용하여 격리 보안 그룹으로 분류되며, 보안 그룹 리소스로 클라우드 템플릿 설계에 추가되지 않습니다. 클라우드 템플릿 설계에서 생성하고 express 방화벽 규칙을 포함할 수 있는 주문형 보안 그룹은 new로 분류된 보안 그룹 리소스의 일부로 추가됩니다.

참고:

클라우드 템플릿 설계 코드의 보안 그룹 리소스에서 직접 NSX-V 및 NSX-T에 대해 주문형 보안 그룹에 대한 방화벽 규칙을 생성할 수 있습니다. 적용 대상 열에는 NSX DFW(분산 방화벽)에 의해 분류되거나 관리되는 보안 그룹이 포함되지 않습니다. 애플리케이션에 적용되는 방화벽 규칙은 East/West DFW 트래픽에 대한 것입니다. 일부 방화벽 규칙은 소스 애플리케이션에서만 관리할 수 있으며 Automation Assembler에서는 편집할 수 없습니다. 예를 들어 이더넷, 긴급, 인프라 및 환경 규칙은 NSX-T에서 관리됩니다.

주문형 보안 그룹은 현재 NSX-T 글로벌 관리자 클라우드 계정에 대해 지원되지 않습니다.

자세히 알아보기

네트워크 프로파일의 보안 그룹 사용에 대한 자세한 내용은 VMware Aria Automation의 네트워크 프로파일에 대해 알아보기 항목을 참조하십시오.

방화벽 규칙 정의에 대한 자세한 내용은 VMware Aria Automation에서 네트워크 프로파일 및 클라우드 템플릿 설계의 보안 그룹 설정 사용 항목을 참조하십시오.

클라우드 템플릿의 보안 그룹 사용에 대한 자세한 내용은 VMware Aria Automation 클라우드 템플릿의 보안 그룹 및 태그 리소스에 대한 자세한 내용 항목을 참조하십시오.

보안 그룹이 포함된 클라우드 템플릿 설계 코드 샘플은 Automation Assembler의 네트워크, 보안 그룹 및 로드 밸런서 리소스 예의 내용을 참조하십시오.