Nadat u een cloudaccount in Cloud Assembly hebt toegevoegd, detecteert gegevensverzameling de netwerk- en beveiligingsinformatie van het cloudaccount en maakt deze de informatie beschikbaar voor gebruik in netwerkprofielen en andere opties.

Beveiligingsgroepen en firewallregels ondersteunen netwerkisolatie. Gegevens van beveiligingsgroepen worden verzameld. Er worden geen gegevens van firewallregels verzameld.

Via Infrastructuur > Resources > Beveiliging kunt u beveiligingsgroepen op aanvraag weergeven die zijn gemaakt in Cloud Assembly-cloudsjabloonontwerpen en bestaande beveiligingsgroepen die zijn gemaakt in bronapplicaties, zoals NSX-T en Amazon Web Services. De beschikbare beveiligingsgroepen worden weergegeven door het gegevensverzamelingsproces.

U kunt een tag gebruiken om de machine-interface (NIC) te koppelen aan een beveiligingsgroep in een gedefinieerde cloudsjabloon of in een netwerkprofiel. U kunt de beschikbare beveiligingsgroepen bekijken en tags voor geselecteerde beveiligingsgroepen toevoegen of verwijderen. Een auteur van een cloudsjabloon kan een of meer beveiligingsgroepen toewijzen aan een machine-NIC om de beveiliging voor de implementatie te beheren.

In het cloudsjabloonontwerp wordt de parameter securityGroupType in de beveiligingsgroepresource opgegeven als existing voor een bestaande beveiligingsgroep of new voor een beveiligingsgroep op aanvraag.

Bestaande beveiligingsgroepen

Bestaande beveiligingsgroepen worden in de kolom Afkomst weergegeven en ingedeeld als Discovered.

Bestaande beveiligingsgroepen van het eindpunt van het onderliggende cloudaccount, zoals NSX-V, NSX-T of Amazon Web Services-applicaties, zijn beschikbaar voor gebruik.

Een cloudbeheerder kan een of meer tags toewijzen aan een bestaande beveiligingsgroep zodat deze kan worden gebruikt in een cloudsjabloon. Een auteur van cloudsjablonen kan een Cloud.SecurityGroup-resource in een cloudsjabloonontwerp gebruiken om een bestaande beveiligingsgroep toe te wijzen met behulp van tagbeperkingen. Voor een bestaande beveiligingsgroep moet ten minste één beperkingstag worden opgegeven in de beveiligingsresource in het cloudsjabloonontwerp.

Als u een bestaande beveiligingsgroep rechtstreeks in de bronapplicatie bewerkt, zoals in de NSX-bronapplicatie in plaats van in Cloud Assembly, zijn de updates niet zichtbaar in Cloud Assembly totdat u de gegevensverzameling uitvoert en gegevens voor het gekoppelde cloudaccount of integratiepunt worden verzameld vanuit Cloud Assembly. Gegevensverzameling wordt automatisch om de 10 minuten uitgevoerd.

Bestaande beveiligingsgroepen kunnen worden gebruikt voor de NSX-T-cloudaccounts van algemene beheerders en lokale beheerders en de vCenter-cloudaccounts die zijn gekoppeld aan de lokale beheerders. Cloud Assembly maakt een inventarisatie of gegevensverzameling van bestaande beveiligingsgroepen en koppelt deze aan de netwerkinterfaces (NIC's) van een machine. U kunt een algemene beveiligingsgroep maken door een bestaande beveiligingsgroep toe te voegen voor een algemene NSX-T-beheerder. De algemene beveiligingsgroep kan vervolgens worden gebruikt door de bijbehorende lokale beheerders. Algemene beveiligingsgroepen kunnen zich richten op een specifieke lokale beheerder, alle bijbehorende lokale beheerders of een subset daarvan.
  • Bestaande algemene beveiligingsgroepen worden ondersteund en geïnventariseerd voor alle gedefinieerde regio's.
  • Algemene beveiligingsgroepen worden weergegeven op de pagina Infrastructuur > Resources met alle cloudaccounts waarop ze van toepassing zijn.
  • U kunt een machine-interface (NIC) direct koppelen aan een bestaande algemene beveiligingsgroep in een cloudsjabloon of in het geselecteerde netwerkprofiel.
  • De volgende bewerkingen voor dag 2 worden ondersteund voor algemene beveiligingsgroepen:
    • De omzetting van een beveiligingsgroep in een cloudsjabloon van een algemene naar een lokale beveiligingsgroep, en omgekeerd.
    • Uit- en inschalen van machines die aan algemene beveiligingsgroepen zijn gekoppeld.

Beveiligingsgroepen op aanvraag

Beveiligingsgroepen op aanvraag die u maakt in Cloud Assembly (in een cloudsjabloon of in een netwerkprofiel) worden in de kolom Afkomst weergegeven en ingedeeld als Managed by Cloud Assembly. Beveiligingsgroepen op aanvraag die u maakt als onderdeel van een netwerkprofiel, worden intern geclassificeerd als isolatiebeveiligingsgroep met vooraf ingestelde firewallregels en worden niet aan een cloudsjabloonontwerp toegevoegd als beveiligingsgroepresource. Beveiligingsgroepen op aanvraag die u in een cloudsjabloonontwerp maakt, en die snelle firewallregels kunnen bevatten, worden toegevoegd als onderdeel van een beveiligingsgroepresource die als new is geclassificeerd.

Opmerking:

U kunt firewallregels voor beveiligingsgroepen op aanvraag voor NSX-V en NSX-T rechtstreeks in een beveiligingsgroepresource in de cloudsjabloonontwerpcode maken. De kolom Toegepast op bevat geen beveiligingsgroepen die zijn geclassificeerd of worden beheerd door een gedistribueerde firewall van NSX (DFW). Firewallregels die van toepassing zijn op applicaties, zijn voor oost-westverkeer in de DFW. Sommige firewallregels kunnen alleen in de bronapplicatie worden beheerd en kunnen niet worden bewerkt in Cloud Assembly. Bijvoorbeeld: ethernet-, nood-, infrastructuur- en omgevingsregels worden in NSX-T beheerd.

Er is momenteel geen ondersteuning voor beveiligingsgroepen op aanvraag voor NSX-T-cloudaccounts voor algemene beheerders.

Meer informatie

Zie Meer informatie over netwerkprofielen in vRealize Automation voor meer informatie over het gebruik van beveiligingsgroepen in netwerkprofielen.

Voor informatie over het definiëren van firewallregels, zie Instellingen voor beveiligingsgroepen gebruiken in netwerkprofielen en cloudsjabloonontwerpen in vRealize Automation.

Zie Meer informatie over beveiligingsgroep- en tagresources in vRealize Automation-cloudsjablonen voor meer informatie over het gebruik van beveiligingsgroepen in een cloudsjabloon.

Zie Netwerken, beveiligingsgroepen en load balancers in vRealize Automation voor voorbeelden van cloudsjabloonontwerpcode die beveiligingsgroepen bevatten.