Wanneer u uw vRealize Automation-cloudsjablonen maakt of bewerkt, gebruikt u de meest geschikte beveiligingsresourceopties om tegemoet te komen aan uw doelstellingen.
Cloudonafhankelijke beveiligingsgroepresource
Cloud.SecurityGroup
-resourcetype. De standaardresource wordt weergegeven als:
Cloud_SecurityGroup_1: type: Cloud.SecurityGroup properties: constraints: [] securityGroupType: existing
U kunt een beveiligingsgroepresource in een cloudsjabloonontwerp opgeven als bestaand (securityGroupType: existing
) of op aanvraag (securityGroupType: new
).
U kunt een bestaande beveiligingsgroep aan uw cloudsjabloon toevoegen of u kunt een bestaande beveiligingsgroep gebruiken die is toegevoegd aan een netwerkprofiel.
Voor NSX-V en NSX-T, evenals NSX-T met de beleidsbeheerschakelaar ingeschakeld in combinatie met VMware Cloud on AWS, kunt u een bestaande beveiligingsgroep toevoegen of een nieuwe beveiligingsgroep definiëren wanneer u uw cloudsjabloon ontwerpt of wijzigt. Beveiligingsgroepen op aanvraag worden ondersteund voor NSX-T en NSX-V, en voor VMware Cloud on AWS indien gebruikt met NSX-T-beleidsbeheerder.
Voor alle cloudaccounttypen, met uitzondering van Microsoft Azure, kunt u een of meer beveiligingsgroepen koppelen aan een machine-NIC. Een NIC van een virtuele Microsoft Azure-machine (machineName) kan slechts aan één beveiligingsgroep worden gekoppeld.
De eigenschap securityGroupType
van de beveiligingsgroep is standaard ingesteld op existing
. Als u een beveiligingsgroep op aanvraag wilt maken, voert u new
in voor de eigenschap securityGroupType
. Als u firewallregels wilt opgeven voor een beveiligingsgroep op aanvraag, gebruikt u de eigenschap rules
in de sectie Cloud.SecurityGroup
van de beveiligingsgroepresource.
Bestaande beveiligingsgroepen
Bestaande beveiligingsgroepen worden gemaakt in een broncloudaccountresource, zoals NSX-T of Amazon Web Services. Deze gegevens worden door vRealize Automation verzameld vanaf de bron. U kunt een bestaande beveiligingsgroep uit een lijst met beschikbare resources selecteren als onderdeel van een vRealize Automation-netwerkprofiel. In een cloudsjabloonontwerp kunt u een bestaande beveiligingsgroep opgeven met het lidmaatschap van een bepaald netwerkprofiel of in het bijzonder op naam met de instelling securityGroupType: existing
in een beveiligingsgroepresource. Als u een beveiligingsgroep toevoegt aan een netwerkprofiel, voegt u ten minste één capaciteitstag toe aan het netwerkprofiel. Beveiligingsgroepresources op aanvraag vereisen een beperkingstag wanneer ze worden gebruikt in een cloudsjabloonontwerp.
U kunt een beveiligingsgroepresource in uw cloudsjabloonontwerp koppelen aan een of meer machineresources.
Beveiligingsgroepen op aanvraag
U kunt beveiligingsgroepen op aanvraag definiëren wanneer u een cloudsjabloonontwerp definieert of wijzigt met behulp van de instelling securityGroupType: new
in de code van de beveiligingsgroepresource.
U kunt een beveiligingsgroep op aanvraag gebruiken voor NSX-V en NSX-T, en voor Amazon Web Services indien gebruikt met het NSX-T-beleidstype, om een specifieke reeks firewallregels toe te passen op een machineresource in een netwerk of een set gegroepeerde resources. Elke beveiligingsgroep kan meerdere benoemde firewallregels bevatten. U kunt een beveiligingsgroep op aanvraag gebruiken om services of protocollen en poorten op te geven. Houd er rekening mee dat u een service of een protocol kunt opgeven, maar niet beide. U kunt naast een protocol ook een poort opgeven. U kunt geen poort opgeven als u een service opgeeft. Als de regel geen service of protocol bevat, is Willekeurig de standaardwaarde voor de service.
U kunt ook IP-adressen en IP-bereiken in firewallregels opgeven. U vindt voorbeelden van firewallregels in Netwerken, beveiligingsgroepen en load balancers in vRealize Automation.
- Toestaan (standaard) - Het netwerkverkeer toestaan dat is opgegeven in deze firewallregel.
- Weigeren - Het netwerkverkeer blokkeren dat is opgegeven in deze firewallregel. Stelt de client actief op de hoogte dat de verbinding wordt geweigerd.
- Afbreken - Het netwerkverkeer blokkeren dat is opgegeven in deze firewallregel. Het pakket wordt op de achtergrond geannuleerd alsof de listener niet online is.
access: Allow
en
access: Deny
.
Firewallregels ondersteunen CIDR-waarden in IPv4- of IPv6-notatie voor bron- en doel-IP-adressen. Zie Netwerken, beveiligingsgroepen en load balancers in vRealize Automation voor een voorbeeld van een ontwerp dat gebruikmaakt van IPv6 CIDR-waarden in een firewallregel.
Beveiligingsgroepen op aanvraag en bestaande beveiligingsgroepen voor VMware Cloud on AWS
U kunt een beveiligingsgroep op aanvraag voor een VMware Cloud on AWS-machine in een cloudsjabloon definiëren door de instelling securityGroupType: new
in de resourcecode van de beveiligingsgroep te gebruiken.
resources: Cloud_SecurityGroup_1: type: Cloud.SecurityGroup properties: name: vmc-odsg securityGroupType: new rules: - name: datapath direction: inbound protocol: TCP ports: 5011 access: Allow source: any
U kunt ook een bestaande beveiligingsgroep definiëren voor een VMware Cloud on AWS-machine in een netwerk en eventueel beperkingstags toevoegen, zoals u in de volgende voorbeelden ziet:
Cloud_SecurityGroup_2: type: Cloud.SecurityGroup properties: constraints: [xyz] securityGroupType: existing
Cloud_SecurityGroup_3: type: Cloud.SecurityGroup properties: securityGroupType: existing constraints: - tag: xyz
- Als een beveiligingsgroep is gekoppeld aan een of meer machines in de implementatie, wordt bij een verwijderactie in een bericht gemeld dat de beveiligingsgroep niet kan worden verwijderd.
- Als een beveiligingsgroep niet is gekoppeld aan een machine in de implementatie, wordt bij een verwijderactie in een bericht gemeld dat de beveiligingsgroep uit deze implementatie wordt verwijderd en de actie niet ongedaan kan worden gemaakt. Een bestaande beveiligingsgroep wordt uit de cloudsjabloon verwijderd terwijl een beveiligingsgroep op aanvraag wordt vernietigd.
NSX-V-beveiligingstags en NSX-T VM-tags gebruiken
U kunt NSX-V-beveiligingstags en NSX-T en NSX-T met VM-tags voor beleid van beheerde resources in vRealize Automation-cloudsjablonen zien en gebruiken.
NSX-V- en NSX-T-beveiligingstags worden ondersteund voor gebruik met vSphere. NSX-T-beveiligingstags worden ook ondersteund voor gebruik met VMware Cloud on AWS.
Zoals met VM's die zijn geïmplementeerd op vSphere, kunt u machinetags configureren voor een VM die op VMware Cloud on AWS moet worden geïmplementeerd. U kunt de machinetag ook bijwerken na de eerste implementatie. Met deze machinetags kan vRealize Automation dynamisch een VM toewijzen aan een geschikte NSX-T-beveiligingsgroep tijdens de implementatie.
key: nsxSecurityTag
en een tagwaarde in de computerbron in de cloudsjabloon te gebruiken, zoals u in het volgende voorbeeld ziet, mits de machine is verbonden met een
NSX-V-netwerk:
tags: - key: nsxSecurityTag - value: security_tag_1 - key: nsxSecurityTag - value: security_tag_2
De opgegeven waarde moet overeenkomen met een NSX-V-beveiligingstag. Als er geen beveiligingstags in NSX-V zijn die overeenkomen met de opgegeven waarde voor de sleutel nsxSecurityTag
, mislukt de implementatie.
Voor NSX-V-beveiligingstags is vereist dat de machine is verbonden met een NSX-V-netwerk. Als de machine is verbonden met een vSphere-netwerk, worden de NSX-V-beveiligingstags genegeerd. In beide gevallen is de vSphere-machine ook getagd.
NSX-T heeft geen afzonderlijke beveiligingstag. Elke tag die op de computerbron in de cloudsjabloon is opgegeven, leidt ertoe dat de geïmplementeerde VM wordt gekoppeld aan alle tags die in NSX-T zijn opgegeven. Voor NSX-T, inclusief NSX-T met beleid, worden VM-tags ook uitgedrukt als sleutelwaardepaar in de cloudsjabloon. De instelling key
komt overeen met de instelling scope
in NSX-T en de instelling value
komt overeen met de instelling Tag Name
zoals opgegeven in NSX-T.
Als u de vRealize Automation V2T-migratieassistent hebt gebruikt om uw cloudaccounts te migreren van NSX-V naar NSX-T, inclusief NSX-T met beleid, maakt de migratieassistent een sleutelwaardepaar nsxSecurityTag
. In dit scenario, of als de nsxSecurityTag
om een of andere reden expliciet is opgegeven in een cloudsjabloon voor gebruik met NSX-T, inclusief NSX-T met beleid, maakt de implementatie een VM-tag met een lege instelling Bereik met een tagnaam die overeenkomt met de opgegeven value
. Als u dergelijke tags in NSX-T bekijkt, is de kolom Bereik leeg.
Om verwarring te voorkomen, gebruikt u geen sleutelparen nsxSecurityTag
voor NSX-T. Als u een sleutelwaardepaar nsxSecurityTag
opgeeft voor gebruik met NSX-T, inclusief NSX-T met beleid, maakt de implementatie een VM-tag met een lege instelling Bereik met een tagnaam die overeenkomt met de opgegeven value
. Als u dergelijke tags in NSX-T bekijkt, is de kolom Bereik leeg.
App-isolatiebeleid gebruiken in firewallregels voor beveiligingsgroepen op aanvraag
U kunt een app-isolatiebeleid inschakelen zodat alleen intern verkeer tussen de door de cloudsjabloon ingerichte resources wordt toegestaan. Met app-isolatie kunnen de machines die zijn ingericht door de cloudsjabloon met elkaar communiceren, maar geen verbindingen maken buiten de firewall. U kunt een app-isolatiebeleid maken in het netwerkprofiel. U kunt ook app-isolatie opgeven in een cloudsjabloonontwerp door gebruik te maken van een beveiligingsgroep op aanvraag met een firewallregel voor weigeren of een privé- of uitgaand netwerk.
Er wordt een app-isolatiebeleid gemaakt met een lagere prioriteit. Als u meerdere beleidsregels toepast, krijgen de beleidsregels met een hoger gewicht voorrang.
Wanneer u een beleid voor applicatie-isolatie maakt, wordt een automatisch gegenereerde beleidsnaam gegenereerd. Het beleid wordt ook beschikbaar gesteld voor hergebruik in andere cloudsjabloonontwerpen en -iteraties die specifiek zijn voor het gekoppelde resource-eindpunt en project. De naam van het beleid voor app-isolatie is niet zichtbaar in de cloudsjabloon, maar is zichtbaar als aangepaste eigenschap op de projectpagina (
) nadat het cloudsjabloonontwerp is geïmplementeerd.Voor hetzelfde gekoppelde eindpunt in een project kan elke implementatie waarvoor een beveiligingsgroep op aanvraag is vereist voor app-isolatie, hetzelfde app-isolatiebeleid gebruiken. Het beleid wordt niet verwijderd nadat het is gemaakt. Wanneer u een app-isolatiebeleid opgeeft, zoekt vRealize Automation naar het beleid in het project en ten opzichte van het gekoppelde eindpunt. Als het beleid wordt gevonden, wordt het opnieuw gebruikt. Als het niet wordt gevonden, wordt het gemaakt. De naam van het app-isolatiebeleid is alleen zichtbaar na de eerste implementatie in de lijst met custom eigenschappen van het project.
Beveiligingsgroepen gebruiken in de iteratieve ontwikkeling van iteratieve cloudsjablonen
- Ontkoppel de beveiligingsgroep van alle gekoppelde machines in de cloudsjabloon in de ontwerpfunctie voor Cloud Assembly-sjablonen.
- Implementeer de sjabloon opnieuw door op Een bestaande implementatie bijwerken te klikken.
- Verwijder de beperkingstags van de bestaande beveiligingsgroep en/of securityGroupType-eigenschappen in de sjabloon.
- Voeg nieuwe beperkingstags van de beveiligingsgroep en/of securityGroupType-eigenschappen in de sjabloon toe.
- Koppel de beperkingstags van de nieuwe beveiligingsgroep en/of instanties van de eigenschap securityGroupType aan de machines in de sjabloon.
- Implementeer de sjabloon opnieuw door op Een bestaande implementatie bijwerken te klikken.
Beschikbare bewerkingen voor dag 2
Zie Welke acties kan ik op Cloud Assembly-implementaties uitvoeren voor een lijst met veelgebruikte bewerkingen voor dag 2 die beschikbaar zijn voor cloudsjabloon- en implementatieresources.
Meer informatie
Zie Beveiligingsresources in vRealize Automation voor informatie over het gebruik van een beveiligingsgroep voor netwerkisolatie.
Zie Meer informatie over netwerkprofielen in vRealize Automation en Instellingen voor beveiligingsgroepen gebruiken in netwerkprofielen en cloudsjabloonontwerpen in vRealize Automation voor informatie over het gebruik van beveiligingsgroepen in netwerkprofielen.
Zie Netwerken, beveiligingsgroepen en load balancers in vRealize Automation voor voorbeelden van het gebruik van beveiligingsgroepen in cloudsjablonen.