Независимый от облачной среды ресурс группы безопасности

  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      constraints: []
      securityGroupType: existing

Ресурс группы безопасности указывается в проекте облачного шаблона как «существующий» (securityGroupType: existing) или «по требованию» (securityGroupType: new).

Существующую группу безопасности можно добавить в облачный шаблон, или можно использовать существующую группу безопасности, добавленную в профиль сети.

В NSX-V и NSX-T, а также в NSX-T с включенным диспетчером политик в сочетании с VMware Cloud on AWS при проектировании или изменении облачного шаблона можно добавить существующую группу безопасности или определить новую. Группы безопасности по требованию поддерживаются для NSX-T и NSX-V, а также для VMware Cloud on AWS при использовании с диспетчером политик NSX-T.

Для всех типов учетных записей облачной службы, кроме Microsoft Azure, можно связать одну или несколько групп безопасности с сетевым адаптером компьютера. Сетевой адаптер виртуальной машины Microsoft Azure (machineName) можно связать только с одной группой безопасности.

По умолчанию для свойства группы безопасности securityGroupType задано значение existing. Чтобы создать группу безопасности по требованию, введите значение new для свойства securityGroupType. Чтобы указать правила брандмауэра для группы безопасности по требованию, используйте свойство rules в разделе Cloud.SecurityGroup ресурса группы безопасности.

Существующие группы безопасности

Существующие группы безопасности создаются в исходном ресурсе облачной учетной записи, например NSX-T или Amazon Web Services. Они представляют собой данные, которые VMware Aria Automation собирает из источника. Существующую группу безопасности можно выбрать в списке доступных ресурсов в рамках профиля сети VMware Aria Automation. В проекте облачного шаблона можно указать существующую группу безопасности либо по фактическому наличию в указанном профиле сети, либо по имени, используя параметр securityGroupType: existing ресурса группы безопасности. При добавлении группы безопасности в профиль сети добавьте в профиль сети хотя бы один тег возможности. При использовании ресурсов группы безопасности по требованию в проекте облачного шаблона требуется тег ограничения.

В проекте облачного шаблона ресурс группы безопасности можно связать с одним ресурсом компьютера или несколькими.

Группы безопасности по требованию

Группы безопасности по требованию можно настроить при определении или изменении проекта облачного шаблона с помощью параметра securityGroupType: new в коде ресурса группы безопасности.

С помощью группы безопасности по требованию для NSX-V и NSX-T, а также для Amazon Web Services (при условии использования с типом NSX-T Policy) можно применить определенный набор правил брандмауэра к ресурсу компьютера, подключенного к сети, или к набору объединенных ресурсов. Каждая группа безопасности может содержать несколько именованных правил брандмауэра. Группу безопасности по требованию можно использовать, чтобы указать службы или протоколы и порты. Следует отметить, что можно указать либо службу, либо протокол, но не то и другое одновременно. Кроме протокола, можно указать порт. Если указана служба, то порт указать нельзя. Если правило не содержит ни службу, ни протокол, значение службы по умолчанию Any.

Кроме того, в правилах брандмауэра можно указать IP-адреса и диапазоны IP-адресов. Некоторые примеры правил брандмауэра приведены в разделе Примеры ресурсов сети, группы безопасности и подсистемы балансировки нагрузки в Automation Assembler.

Правила брандмауэра поддерживают значения CIDR в формате IPv4 или IPv6 для исходного и конечного IP-адресов. Пример проекта, в котором используются значения IPv6 CIDR в правиле брандмауэра, см. в разделе Примеры ресурсов сети, группы безопасности и подсистемы балансировки нагрузки в Automation Assembler.

Существующие группы безопасности и группы безопасности по требованию для VMware Cloud on AWS

Группы безопасности по требованию можно определить для компьютера VMware Cloud on AWS в облачном шаблоне с помощью параметра securityGroupType: new в коде ресурса группы безопасности.

resources:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      name: vmc-odsg
      securityGroupType: new
      rules: 
        - name: datapath
          direction: inbound
          protocol: TCP
          ports: 5011
          access: Allow
          source: any

Также можно определить существующую группу безопасности для компьютера VMware Cloud on AWS, подключенного к сети, и при необходимости добавить теги ограничений, как показано в следующих примерах:

  Cloud_SecurityGroup_2:
    type: Cloud.SecurityGroup
    properties:
      constraints: [xyz]
      securityGroupType: existing

Cloud_SecurityGroup_3:
  type: Cloud.SecurityGroup
  properties:
    securityGroupType: existing
     constraints:
        - tag: xyz

Использование тегов безопасности NSX-V и тегов виртуальных машин NSX-T

Теги безопасности NSX-V, а также теги ВМ NSX-T и NSX-T с API-интерфейсом Policy можно просматривать и использовать в управляемых ресурсах облачных шаблонов VMware Aria Automation.

Теги безопасности NSX-V и NSX-T могут использоваться с vSphere. Также поддерживается использование тегов безопасности NSX-T с VMware Cloud on AWS.

tags:
  - key: nsxSecurityTag
  - value: security_tag_1
  - key: nsxSecurityTag
  - value: security_tag_2

Указанное значение должно соответствовать тегу безопасности NSX-V. Если в NSX-V нет тегов безопасности, соответствующих указанному значению ключа nsxSecurityTag, произойдет сбой развертывания.

В NSX-T нет отдельного тега безопасности. При указании любого тега в вычислительном ресурсе облачного шаблона развернутая ВМ будет связана со всеми тегами, указанными в NSX-T. Для NSX-T, включая NSX-T с API-интерфейсом Policy, теги ВМ также указываются в облачном шаблоне в виде пары «ключ — значение». Параметр key идентичен параметру scope в NSX-T, а параметр value идентичен параметру Tag Name, заданному в NSX-T.

Следует отметить, что если для переноса облачных учетных записей из NSX-V в NSX-T, включая NSX-T с API-интерфейсом Policy, используется помощник по переносу VMware Aria Automation V2T, то данный помощник создает пару «ключ — значение» nsxSecurityTag. В этом сценарии, или если облачный шаблон по какой-либо причине явно предлагает использовать nsxSecurityTag с NSX-T, включая NSX-T с API-интерфейсом Policy, развертывание создает тег ВМ с пустым параметром scope с именем тега, который совпадает с указанным значением value. При просмотре таких тегов в NSX-T столбец «Область» будет пустым.

Чтобы избежать путаницы, не используйте пары ключей nsxSecurityTag для NSX-T. Если вы указываете пару «ключ — значение» nsxSecurityTag для использования с NSX-T, включая NSX-T с API-интерфейсом Policy, развертывание создает тег ВМ с пустым параметром scope с именем тега, совпадающим с указанным значением value. При просмотре таких тегов в NSX-T столбец «Область» будет пустым.

Использование политик изоляции приложений в правилах брандмауэра для группы безопасности по требованию

Чтобы разрешить только внутренний трафик между ресурсами, подготовленными в облачном шаблоне, можно использовать политику изоляции приложений. Благодаря изоляции приложений компьютеры, подготовленные с помощью облачного шаблона, могут обмениваться данными между собой, но не могут устанавливать соединения за пределами брандмауэра. Политику изоляции приложений можно создать в профиле сети. Кроме того, изоляцию приложений можно указать в проекте облачного шаблона, используя группу безопасности по требованию с правилом брандмауэра «Запретить», либо частную или исходящую сеть.

Политика изоляции приложений создается с низким приоритетом. При применении нескольких политик приоритет будет иметь политика с более высоким значением.

При создании политики изоляции приложений ее имя создается автоматически. Кроме того, политика доступна для повторного использования в других проектах облачных шаблонов и итерациях проектов, относящихся к конечной точке и проекту связанного ресурса. Имя политики изоляции приложений не отображается в облачном шаблоне, но отображается в виде настраиваемого свойства на странице проекта (Инфраструктура > Администрирование > Проекты) после развертывания проекта облачного шаблона.

Для той же связанной конечной точки в проекте любое развертывание, в котором для изоляции приложений требуется группа безопасности по требованию, может использовать ту же политику изоляции приложений. После создания политика не удаляется. При указании политики изоляции приложений система VMware Aria Automation выполняет поиск политики в проекте применительно к связанной конечной точке. Если политика будет найдена, она используется повторно. В противном случае создается новая политика. Имя политики изоляции приложений отображается только после первоначального развертывания в списке настраиваемых свойств проекта.

Использование групп безопасности в итеративной разработке облачных шаблонов

Доступные операции регулярного обслуживания

Список типовых операций по регулярному обслуживанию, доступных для облачного шаблона и ресурсов развертывания, см. в разделе Какие действия можно выполнять с развертываниями или поддерживаемыми ресурсами Automation Assembler.

Подробнее

Сведения об использовании группы безопасности для изоляции сети см. в разделе Ресурсы безопасности в VMware Aria Automation.

Сведения об использовании групп безопасности в профилях сети см. в разделах Дополнительные сведения о профилях сетей в VMware Aria Automation и Использование параметров группы безопасности в профилях сетей и проектах облачных шаблонов в VMware Aria Automation.

Примеры использования групп безопасности в облачных шаблонах см. в разделе Примеры ресурсов сети, группы безопасности и подсистемы балансировки нагрузки в Automation Assembler.