Wanneer u uw VMware Aria Automation-cloudsjablonen maakt of bewerkt, gebruikt u de meest geschikte beveiligingsresourceopties om tegemoet te komen aan uw doelstellingen.

Cloudonafhankelijke beveiligingsgroepresource

U voegt een beveiligingsgroepresource toe met behulp van de resource Cloudonafhankelijk > Beveiligingsgroep op de pagina Sjabloon. De resource wordt in de cloudsjablooncode weergegeven als Cloud.SecurityGroup-resourcetype. De standaardresource wordt weergegeven als:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      constraints: []
      securityGroupType: existing

U kunt een beveiligingsgroepresource in een cloudsjabloonontwerp opgeven als bestaand (securityGroupType: existing) of op aanvraag (securityGroupType: new).

U kunt een bestaande beveiligingsgroep aan uw cloudsjabloon toevoegen of u kunt een bestaande beveiligingsgroep gebruiken die is toegevoegd aan een netwerkprofiel.

Voor NSX-V en NSX-T, evenals NSX-T met de beleidsbeheerschakelaar ingeschakeld in combinatie met VMware Cloud on AWS, kunt u een bestaande beveiligingsgroep toevoegen of een nieuwe beveiligingsgroep definiëren wanneer u uw cloudsjabloon ontwerpt of wijzigt. Beveiligingsgroepen op aanvraag worden ondersteund voor NSX-T en NSX-V, en voor VMware Cloud on AWS indien gebruikt met NSX-T-beleidsbeheerder.

Voor alle cloudaccounttypen, met uitzondering van Microsoft Azure, kunt u een of meer beveiligingsgroepen koppelen aan een machine-NIC. Een NIC van een virtuele Microsoft Azure-machine (machineName) kan slechts aan één beveiligingsgroep worden gekoppeld.

De eigenschap securityGroupType van de beveiligingsgroep is standaard ingesteld op existing. Als u een beveiligingsgroep op aanvraag wilt maken, voert u new in voor de eigenschap securityGroupType. Als u firewallregels wilt opgeven voor een beveiligingsgroep op aanvraag, gebruikt u de eigenschap rules in de sectie Cloud.SecurityGroup van de beveiligingsgroepresource.

Bestaande beveiligingsgroepen

Bestaande beveiligingsgroepen worden gemaakt in een broncloudaccountresource, zoals NSX-T of Amazon Web Services. Deze gegevens worden door VMware Aria Automation verzameld vanaf de bron. U kunt een bestaande beveiligingsgroep uit een lijst met beschikbare resources selecteren als onderdeel van een VMware Aria Automation-netwerkprofiel. In een cloudsjabloonontwerp kunt u een bestaande beveiligingsgroep opgeven met het lidmaatschap van een bepaald netwerkprofiel of in het bijzonder op naam met de instelling securityGroupType: existing in een beveiligingsgroepresource. Als u een beveiligingsgroep toevoegt aan een netwerkprofiel, voegt u ten minste één capaciteitstag toe aan het netwerkprofiel. Beveiligingsgroepresources op aanvraag vereisen een beperkingstag wanneer ze worden gebruikt in een cloudsjabloonontwerp.

U kunt een beveiligingsgroepresource in uw cloudsjabloonontwerp koppelen aan een of meer machineresources.

Opmerking: Als u van plan bent om een machineresource in uw cloudsjabloonontwerp te gebruiken voor inrichting in de NIC van een virtuele Microsoft Azure-machine ( machineName), moet u de machineresource slechts aan één beveiligingsgroep koppelen.

Beveiligingsgroepen op aanvraag

U kunt beveiligingsgroepen op aanvraag definiëren wanneer u een cloudsjabloonontwerp definieert of wijzigt met behulp van de instelling securityGroupType: new in de code van de beveiligingsgroepresource.

U kunt een beveiligingsgroep op aanvraag gebruiken voor NSX-V en NSX-T, en voor Amazon Web Services indien gebruikt met het NSX-T-beleidstype, om een specifieke reeks firewallregels toe te passen op een machineresource in een netwerk of een set gegroepeerde resources. Elke beveiligingsgroep kan meerdere benoemde firewallregels bevatten. U kunt een beveiligingsgroep op aanvraag gebruiken om services of protocollen en poorten op te geven. Houd er rekening mee dat u een service of een protocol kunt opgeven, maar niet beide. U kunt naast een protocol ook een poort opgeven. U kunt geen poort opgeven als u een service opgeeft. Als de regel geen service of protocol bevat, is Willekeurig de standaardwaarde voor de service.

U kunt ook IP-adressen en IP-bereiken in firewallregels opgeven. U vindt voorbeelden van firewallregels in Voorbeelden van netwerk-, beveiligings- en load-balancerresources in Automation Assembler.

Wanneer u firewallregels maakt in een NSX-V- of NSX-T-beveiligingsgroep op aanvraag, staat de standaardinstelling het opgegeven netwerkverkeer toe. De standaardwaarde staat ook ander netwerkverkeer toe. Om netwerkverkeer te beheren, moet u voor elke regel een toegangstype opgeven. De toegangstypen voor regels zijn:
  • Toestaan (standaard): staat het netwerkverkeer toe dat is opgegeven in deze firewallregel.
  • Weigeren: blokkeert het netwerkverkeer dat is opgegeven in deze firewallregel. Stelt de client actief op de hoogte dat de verbinding wordt geweigerd.
  • Afbreken: blokkeert het netwerkverkeer dat is opgegeven in deze firewallregel. Het pakket wordt op de achtergrond geannuleerd alsof de listener niet online is.
Zie Voorbeelden van netwerk-, beveiligings- en load-balancerresources in Automation Assembler voor een voorbeeld van een ontwerp dat gebruikmaakt van een firewallregel access: Allow en access: Deny.
Opmerking: Een cloudbeheerder kan een cloudsjabloonontwerp maken dat alleen een NSX-beveiligingsgroep op aanvraag bevat en kan dit ontwerp implementeren om een herbruikbare bestaande beveiligingsgroepresource te maken die leden van de organisatie als bestaande beveiligingsgroep kunnen toevoegen aan netwerkprofielen en cloudsjabloonontwerpen.

Firewallregels ondersteunen CIDR-waarden in IPv4- of IPv6-notatie voor bron- en doel-IP-adressen. Zie Voorbeelden van netwerk-, beveiligings- en load-balancerresources in Automation Assembler voor een voorbeeld van een ontwerp dat gebruikmaakt van IPv6 CIDR-waarden in een firewallregel.

Beveiligingsgroepen op aanvraag en bestaande beveiligingsgroepen voor VMware Cloud on AWS

U kunt een beveiligingsgroep op aanvraag voor een VMware Cloud on AWS-machine in een cloudsjabloon definiëren door de instelling securityGroupType: new in de resourcecode van de beveiligingsgroep te gebruiken.

Hieronder ziet u een fragment met voorbeeldcode voor een beveiligingsgroep op aanvraag:
resources:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      name: vmc-odsg
      securityGroupType: new
      rules: 
        - name: datapath
          direction: inbound
          protocol: TCP
          ports: 5011
          access: Allow
          source: any

U kunt ook een bestaande beveiligingsgroep definiëren voor een VMware Cloud on AWS-machine in een netwerk en eventueel beperkingstags toevoegen, zoals u in de volgende voorbeelden ziet:

  Cloud_SecurityGroup_2:
    type: Cloud.SecurityGroup
    properties:
      constraints: [xyz]
      securityGroupType: existing
Cloud_SecurityGroup_3:
  type: Cloud.SecurityGroup
  properties:
    securityGroupType: existing
     constraints:
        - tag: xyz
Iteratieve ontwikkeling van cloudsjablonen wordt ondersteund.
  • Als een beveiligingsgroep is gekoppeld aan een of meer machines in de implementatie, wordt bij een verwijderactie in een bericht gemeld dat de beveiligingsgroep niet kan worden verwijderd.
  • Als een beveiligingsgroep niet is gekoppeld aan een machine in de implementatie, wordt bij een verwijderactie in een bericht gemeld dat de beveiligingsgroep uit deze implementatie wordt verwijderd en de actie niet ongedaan kan worden gemaakt. Een bestaande beveiligingsgroep wordt uit de cloudsjabloon verwijderd terwijl een beveiligingsgroep op aanvraag wordt vernietigd.

NSX-V-beveiligingstags en NSX-T VM-tags gebruiken

U kunt NSX-V-beveiligingstags en VM-tags voor NSX-T en NSX-T met beleid van beheerde resources in VMware Aria Automation-cloudsjablonen zien en gebruiken.

NSX-V- en NSX-T-beveiligingstags worden ondersteund voor gebruik met vSphere. NSX-T-beveiligingstags worden ook ondersteund voor gebruik met VMware Cloud on AWS.

Opmerking:

Zoals met VM's die zijn geïmplementeerd op vSphere, kunt u machinetags configureren voor een VM die op VMware Cloud on AWS moet worden geïmplementeerd. U kunt de machinetag ook bijwerken na de eerste implementatie. Met deze machinetags kan VMware Aria Automation dynamisch een VM toewijzen aan een geschikte NSX-T-beveiligingsgroep tijdens de implementatie.

U kunt NSX-V-beveiligingstags opgeven door de key: nsxSecurityTag en een tagwaarde in de computerbron in de cloudsjabloon te gebruiken, zoals u in het volgende voorbeeld ziet, mits de machine is verbonden met een NSX-V-netwerk:
tags:
  - key: nsxSecurityTag
  - value: security_tag_1
  - key: nsxSecurityTag
  - value: security_tag_2

De opgegeven waarde moet overeenkomen met een NSX-V-beveiligingstag. Als er geen beveiligingstags in NSX-V zijn die overeenkomen met de opgegeven waarde voor de sleutel nsxSecurityTag, mislukt de implementatie.

Opmerking:

Voor NSX-V-beveiligingstags is vereist dat de machine is verbonden met een NSX-V-netwerk. Als de machine is verbonden met een vSphere-netwerk, worden de NSX-V-beveiligingstags genegeerd. In beide gevallen is de vSphere-machine ook getagd.

NSX-T heeft geen afzonderlijke beveiligingstag. Elke tag die op de computerbron in de cloudsjabloon is opgegeven, leidt ertoe dat de geïmplementeerde VM wordt gekoppeld aan alle tags die in NSX-T zijn opgegeven. Voor NSX-T, inclusief NSX-T met beleid, worden VM-tags ook uitgedrukt als sleutelwaardepaar in de cloudsjabloon. De instelling key komt overeen met de instelling scope in NSX-T en de instelling value komt overeen met de instelling Tag Name zoals opgegeven in NSX-T.

Als u de VMware Aria Automation V2T-migratieassistent hebt gebruikt om uw cloudaccounts te migreren van NSX-V naar NSX-T, inclusief NSX-T met beleid, maakt de migratieassistent een sleutelwaardepaar nsxSecurityTag. In dit scenario, of als de nsxSecurityTag om een of andere reden expliciet is opgegeven in een cloudsjabloon voor gebruik met NSX-T, inclusief NSX-T met beleid, maakt de implementatie een VM-tag met een lege bereikinstelling met een tagnaam die overeenkomt met de opgegeven value. Als u dergelijke tags in NSX-T bekijkt, is de bereikkolom leeg.

Om verwarring te voorkomen, gebruikt u geen sleutelparen nsxSecurityTag voor NSX-T. Als u een sleutelwaardepaar nsxSecurityTag opgeeft voor gebruik met NSX-T, inclusief NSX-T met beleid, maakt de implementatie een VM-tag met een lege bereikinstelling met een tagnaam die overeenkomt met de opgegeven value. Als u dergelijke tags in NSX-T bekijkt, is de bereikkolom leeg.

App-isolatiebeleid gebruiken in firewallregels voor beveiligingsgroepen op aanvraag

U kunt een app-isolatiebeleid inschakelen zodat alleen intern verkeer tussen de door de cloudsjabloon ingerichte resources wordt toegestaan. Met app-isolatie kunnen de machines die zijn ingericht door de cloudsjabloon met elkaar communiceren, maar geen verbindingen maken buiten de firewall. U kunt een app-isolatiebeleid maken in het netwerkprofiel. U kunt ook app-isolatie opgeven in een cloudsjabloonontwerp door gebruik te maken van een beveiligingsgroep op aanvraag met een firewallregel voor afwijzen of een privé- of uitgaand netwerk.

Er wordt een app-isolatiebeleid gemaakt met een lagere prioriteit. Als u meerdere beleidsregels toepast, krijgen de beleidsregels met een hoger gewicht voorrang.

Wanneer u een beleid voor applicatie-isolatie maakt, wordt een automatisch gegenereerde beleidsnaam gegenereerd. Het beleid wordt ook beschikbaar gesteld voor hergebruik in andere cloudsjabloonontwerpen en -iteraties die specifiek zijn voor het gekoppelde resource-eindpunt en project. De naam van het beleid voor app-isolatie is niet zichtbaar in de cloudsjabloon, maar is zichtbaar als aangepaste eigenschap op de projectpagina (Infrastructuur > Beheer > Projecten) nadat het cloudsjabloonontwerp is geïmplementeerd.

Voor hetzelfde gekoppelde eindpunt in een project kan elke implementatie waarvoor een beveiligingsgroep op aanvraag is vereist voor app-isolatie, hetzelfde app-isolatiebeleid gebruiken. Het beleid wordt niet verwijderd nadat het is gemaakt. Wanneer u een app-isolatiebeleid opgeeft, zoekt VMware Aria Automation naar het beleid in het project en ten opzichte van het gekoppelde eindpunt. Als het beleid wordt gevonden, wordt het opnieuw gebruikt. Als het niet wordt gevonden, wordt het gemaakt. De naam van het app-isolatiebeleid is alleen zichtbaar na de eerste implementatie in de lijst met custom eigenschappen van het project.

Beveiligingsgroepen gebruiken in de iteratieve ontwikkeling van iteratieve cloudsjablonen

Wanneer de beperkingen van de beveiligingsgroep tijdens iteratieve ontwikkeling worden gewijzigd, waarbij de beveiligingsgroep niet is gekoppeld aan een machine in de cloudsjabloon, wordt de beveiligingsgroep zoals opgegeven bijgewerkt in de iteratie. Wanneer de beveiligingsgroep echter al aan een machine is gekoppeld, mislukt de herimplementatie. U moet bestaande beveiligingsgroepen en/of securityGroupType-resource-eigenschappen van gekoppelde machines loskoppelen tijdens de iteratieve ontwikkeling van de cloudsjabloon en vervolgens opnieuw koppelen tussen elke herimplementatie. De vereiste werkstroom is als volgt, ervan uitgaande dat u de cloudsjabloon in eerste instantie hebt geïmplementeerd.
  1. Ontkoppel de beveiligingsgroep van alle gekoppelde machines in de cloudsjabloon in de ontwerpfunctie voor Automation Assembler-sjablonen.
  2. Implementeer de sjabloon opnieuw door op Een bestaande implementatie bijwerken te klikken.
  3. Verwijder de beperkingstags van de bestaande beveiligingsgroep en/of securityGroupType-eigenschappen in de sjabloon.
  4. Voeg nieuwe beperkingstags van de beveiligingsgroep en/of securityGroupType-eigenschappen in de sjabloon toe.
  5. Koppel de beperkingstags van de nieuwe beveiligingsgroep en/of instanties van de eigenschap securityGroupType aan de machines in de sjabloon.
  6. Implementeer de sjabloon opnieuw door op Een bestaande implementatie bijwerken te klikken.

Beschikbare bewerkingen voor dag 2

Zie Welke acties kan ik uitvoeren op Automation Assembler-implementaties of ondersteunde resources voor een lijst met veelgebruikte bewerkingen voor dag 2 die beschikbaar zijn voor cloudsjabloon- en implementatieresources.

Meer informatie

Zie Beveiligingsresources in VMware Aria Automation voor informatie over het gebruik van een beveiligingsgroep voor netwerkisolatie.

Zie Meer informatie over netwerkprofielen in VMware Aria Automation en Instellingen voor beveiligingsgroepen gebruiken in netwerkprofielen en cloudsjabloonontwerpen in VMware Aria Automation voor informatie over het gebruik van beveiligingsgroepen in netwerkprofielen.

Zie Voorbeelden van netwerk-, beveiligings- en load-balancerresources in Automation Assembler voor voorbeelden van het gebruik van beveiligingsgroepen in cloudsjablonen.