Wanneer u uw vRealize Automation-cloudsjabloon maakt of bewerkt, gebruikt u de meest geschikte beveiligingsgroepresources voor uw doelstellingen. Lees informatie over de opties voor de beveiligingsgroep die beschikbaar zijn in de cloudsjabloon.

Cloudonafhankelijke beveiligingsgroepresource

Er is momenteel slechts één type beveiligingsgroepresource. U voegt een beveiligingsgroepresource toe met behulp van de resource Cloudonafhankelijk > Beveiligingsgroep op de ontwerppagina voor cloudsjablonen. De resource wordt in de cloudsjablooncode weergegeven als Cloud.SecurityGroup-resourcetype. De standaardresource wordt weergegeven als:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      constraints: []
      securityGroupType: existing

U kunt een beveiligingsgroepresource in een cloudsjabloonontwerp opgeven als bestaand (securityGroupType: existing) of op aanvraag (securityGroupType: new).

U kunt een bestaande beveiligingsgroep rechtstreeks aan uw cloudsjabloonontwerp toevoegen of u kunt een bestaande beveiligingsgroep gebruiken die is toegevoegd aan een netwerkprofiel. Bestaande beveiligingsgroepen worden ondersteund voor verschillende cloudaccounttypen.

Voor NSX-V en NSX-T kunt u een bestaande beveiligingsgroep toevoegen of een nieuwe beveiligingsgroep definiëren tijdens het ontwerpen of aanpassen van uw cloudsjabloon. Beveiligingsgroepen op aanvraag worden alleen ondersteund voor NSX-T en NSX-V.

Voor alle cloudaccounttypen, met uitzondering van Microsoft Azure, kunt u een of meer beveiligingsgroepen koppelen aan een machine-NIC. Een NIC van een virtuele Microsoft Azure-machine (machineName) kan slechts aan één beveiligingsgroep worden gekoppeld.

De eigenschap securityGroupType van de beveiligingsgroep is standaard ingesteld op existing. Als u een beveiligingsgroep op aanvraag wilt maken, voert u new in voor de eigenschap securityGroupType. Als u firewallregels wilt opgeven voor een beveiligingsgroep op aanvraag, gebruikt u de eigenschap rules in de sectie Cloud.SecurityGroup van de beveiligingsgroepresource.

Bestaande beveiligingsgroepen

Bestaande beveiligingsgroepen worden gemaakt in een broncloudaccountresource, zoals NSX-T of Amazon Web Services. Deze gegevens worden door vRealize Automation verzameld vanaf de bron. U kunt een bestaande beveiligingsgroep uit een lijst met beschikbare resources selecteren als onderdeel van een vRealize Automation-netwerkprofiel. In een cloudsjabloonontwerp kunt u een bestaande beveiligingsgroep opgeven met het lidmaatschap van een bepaald netwerkprofiel of in het bijzonder op naam met de instelling securityGroupType: existing in een beveiligingsgroepresource. Als u een beveiligingsgroep toevoegt aan een netwerkprofiel, voegt u ten minste één capaciteitstag toe aan het netwerkprofiel. Beveiligingsgroepresources op aanvraag vereisen een beperkingstag wanneer deze worden gebruikt in een cloudsjabloonontwerp.

U kunt een beveiligingsgroepresource in uw cloudsjabloonontwerp koppelen aan een of meer machineresources.

Opmerking: Als u van plan bent om een machineresource in uw cloudsjabloonontwerp te gebruiken om in te richten op de NIC van een virtuele Microsoft Azure-machine ( machineName), moet u de machineresource slechts aan één beveiligingsgroep koppelen.

NSX-V- en NSX-T-beveiligingsgroepen op aanvraag

U kunt beveiligingsgroepen op aanvraag definiëren wanneer u een cloudsjabloonontwerp definieert of wijzigt met behulp van de instelling securityGroupType: new in de code van de beveiligingsgroepresource.

U kunt een NSX-V- of NSX-T-beveiligingsgroep op aanvraag gebruiken om een specifieke set firewallregels toe te passen op een machineresource in een netwerk of een set gegroepeerde resources. Elke beveiligingsgroep kan meerdere benoemde firewallregels bevatten. U kunt een beveiligingsgroep op aanvraag gebruiken om services of protocollen en poorten op te geven. Houd er rekening mee dat u een service of een protocol kunt opgeven, maar niet beide. U kunt naast een protocol ook een poort opgeven. U kunt geen poort opgeven als u een service opgeeft. Als de regel geen service of protocol bevat, is Willekeurig de standaardwaarde voor de service.

U kunt ook IP-adressen en IP-bereiken in firewallregels opgeven. Sommige voorbeelden van firewallregels worden weergegeven in Network, security, and load balancer examples in vRealize Automation cloud templates.
Wanneer u firewallregels maakt in een NSX-V- of NSX-T-beveiligingsgroep op aanvraag, is niet alleen het opgegeven netwerkverkeer standaard toegestaan, maar ook het andere netwerkverkeer. Om netwerkverkeer te beheren, moet u voor elke regel een toegangstype opgeven. De toegangstypen voor regels zijn:
  • Toestaan (standaard) - Het netwerkverkeer toestaan dat is opgegeven in deze firewallregel.
  • Weigeren - Het netwerkverkeer blokkeren dat is opgegeven in deze firewallregel. Stelt de client actief op de hoogte dat de verbinding wordt geweigerd.
  • Afbreken - Het netwerkverkeer blokkeren dat is opgegeven in deze firewallregel. Het pakket wordt op de achtergrond geannuleerd alsof de listener niet online is.
Zie Network, security, and load balancer examples in vRealize Automation cloud templates voor een voorbeeld van een ontwerp dat gebruikmaakt van een firewallregel access: Allow en access: Deny.
Opmerking: Een cloudbeheerder kan een cloudsjabloonontwerp maken dat alleen een NSX-beveiligingsgroep op aanvraag bevat en kan dit ontwerp implementeren om een herbruikbare bestaande beveiligingsgroepresource te maken die leden van de organisatie als bestaande beveiligingsgroep kunnen toevoegen aan netwerkprofielen en cloudsjabloonontwerpen.

Firewallregels ondersteunen CIDR-waarden in IPv4- of IPv6-notatie voor bron- en doel-IP-adressen. Zie Network, security, and load balancer examples in vRealize Automation cloud templates voor een voorbeeld van een ontwerp dat gebruikmaakt van IPv6 CIDR-waarden in een firewallregel.

App-isolatiebeleid gebruiken in firewallregels voor beveiligingsgroepen op aanvraag

U kunt een app-isolatiebeleid inschakelen zodat alleen intern verkeer tussen de door de cloudsjabloon ingerichte resources wordt toegestaan. Met app-isolatie kunnen de machines die zijn ingericht door de cloudsjabloon met elkaar communiceren, maar geen verbindingen maken buiten de firewall. U kunt een app-isolatiebeleid maken in het netwerkprofiel. U kunt ook app-isolatie opgeven in een cloudsjabloonontwerp door gebruik te maken van een beveiligingsgroep op aanvraag met een firewallregel voor weigeren of een privé- of uitgaand netwerk.

Er wordt een app-isolatiebeleid gemaakt met een lagere prioriteit. Als u meerdere beleidsregels toepast, krijgen de beleidsregels met een hoger gewicht voorrang.

Wanneer u een app-isolatiebeleid maakt, wordt aan het beleid een automatisch gegenereerde beleidsnaam toegewezen. Het beleid wordt ook beschikbaar gesteld voor hergebruik in andere cloudsjabloonontwerpen en ontwerpiteraties die specifiek zijn voor het gekoppelde resource-eindpunt en project. De naam van het app-isolatiebeleid is niet zichtbaar in de ontwerpcode van de cloudsjabloon, maar is zichtbaar als aangepaste eigenschap op de projectpagina (Infrastructuur > Beheer > Projecten ) nadat het cloudsjabloonontwerp is geïmplementeerd.

Voor hetzelfde gekoppelde eindpunt in een project kan elke implementatie waarvoor een beveiligingsgroep op aanvraag is vereist voor app-isolatie, hetzelfde app-isolatiebeleid gebruiken. Het beleid wordt niet verwijderd nadat het is gemaakt. Wanneer u een app-isolatiebeleid opgeeft, zoekt vRealize Automation naar het beleid in het project en ten opzichte van het gekoppelde eindpunt. Als het beleid wordt gevonden, wordt het opnieuw gebruikt. Als het niet wordt gevonden, wordt het gemaakt. De naam van het app-isolatiebeleid is alleen zichtbaar na de eerste implementatie in de lijst met custom eigenschappen van het project.

Beveiligingsgroepen gebruiken in de iteratieve ontwikkeling van iteratieve cloudsjablonen

Wanneer de beperkingen van de beveiligingsgroep tijdens iteratieve ontwikkeling worden gewijzigd, waarbij de beveiligingsgroep niet is gekoppeld aan een machine in de cloudsjabloon, wordt de beveiligingsgroep bijgewerkt in de iteratie zoals opgegeven. Wanneer de beveiligingsgroep echter al aan een machine is gekoppeld, mislukt de herimplementatie. U moet bestaande beveiligingsgroepen en/of securityGroupType-resource-eigenschappen van gekoppelde machines loskoppelen tijdens de iteratieve ontwikkeling van de cloudsjabloon en opnieuw koppelen tussen elke herimplementatie. De vereiste werkstroom is als volgt, ervan uitgaande dat u de cloudsjabloon in eerste instantie hebt geïmplementeerd:
  1. Ontkoppel de beveiligingsgroep van alle gekoppelde machines in de cloudsjabloon in de ontwerpfunctie voor Cloud Assembly-sjablonen.
  2. Implementeer de sjabloon opnieuw door op Een bestaande implementatie bijwerken te klikken.
  3. Verwijder de beperkingstags van de bestaande beveiligingsgroep en/of securityGroupType-eigenschappen in de sjabloon.
  4. Voeg nieuwe beperkingstags van de beveiligingsgroep en/of securityGroupType-eigenschappen in de sjabloon toe.
  5. Koppel de beperkingstags van de nieuwe beveiligingsgroep en/of securityGroupType-eigenschapsinstanties aan de machines in de sjabloon.
  6. Implementeer de sjabloon opnieuw door op Een bestaande implementatie bijwerken te klikken.

Beschikbare bewerkingen voor dag 2

Zie Welke acties kan ik op vRealize Automation Cloud Assembly-implementaties uitvoeren voor een lijst met veelgebruikte bewerkingen voor dag 2 die beschikbaar zijn voor cloudsjabloon- en implementatieresources.

Meer informatie

Zie Beveiligingsresources in vRealize Automation voor gerelateerde informatie over het gebruik van een beveiligingsgroep voor netwerkisolatie.

Zie Meer informatie over netwerkprofielen in vRealize Automation en Instellingen voor beveiligingsgroepen gebruiken in netwerkprofielen en cloudsjabloonontwerpen in vRealize Automation Cloud Assembly voor informatie over het gebruik van instellingen voor de beveiligingsgroep in een netwerkprofiel.

Zie Network, security, and load balancer examples in vRealize Automation cloud templates voor voorbeelden van cloudsjabloonontwerpen die beveiligingsresources en -instellingen illustreren.