Можно настроить доступность объектов безопасности NSX в vRealize Automation для нескольких арендаторов.

При создании объекта безопасности NSX для него по умолчанию задается либо глобальная доступность (доступность во всех арендаторах, для которых создано резервирование связанной конечной точки), либо статус «Скрыт» (Hidden) (для всех пользователей, кроме администратора).

Доступность объектов безопасности в различных арендаторах зависит от того, имеется ли у связанной конечной точки резервирование или политика резервирования в арендаторе.

NSX не разделяет группы безопасности по арендаторам. Тем не менее доступность групп безопасности в vRealize Automation можно контролировать с помощью настраиваемого свойства VMware.Endpoint.NSX.HideDiscoveredSecurityObjects.

По умолчанию новые объекты безопасности доступны во всех арендаторах для связанных конечных точек NSX, в которых у вас есть резервирование. Если в выбранном арендаторе нет резервирований для данной конечной точки, объекты безопасности недоступны в выбранном арендаторе.

Если настраиваемое свойство VMware.Endpoint.NSX.HideDiscoveredSecurityObjects не установлено на конечных точках NSX, новые объекты безопасности по умолчанию доступны во всех арендаторах. Объекты безопасности, которые существовали до перехода на эту версию vRealize Automation, доступны во всех арендаторах независимо от настраиваемого свойства.

Примечание:

При обновлении до версии vRealize Automation группы безопасности из предыдущей версии становятся доступны во всех арендаторах по умолчанию. Существующие группы безопасности и теги безопасности доступны во всех арендаторах, в которых есть резервирование для связанной конечной точки.

Можно по умолчанию скрывать новые группы безопасности. Для этого нужно добавить настраиваемое свойство VMware.Endpoint.NSX.HideDiscoveredSecurityObjects для связанной конечной точки NSX. Этот параметр вступает в силу при следующем сборе данных конечной точки NSX и применяется только к новым объектам безопасности.

Дополнительные сведения о настраиваемом свойстве VMware.Endpoint.NSX.HideDiscoveredSecurityObjects см. в разделе Настраиваемые свойства для сетей и систем безопасности.

Кроме того, можно изменить доступность существующего объекта безопасности для арендаторов программными средствами. Например, если группа безопасности доступна для всех арендаторов, можно изменить доступность объекта безопасности для арендаторов с помощью параметра идентификатора арендатора связанной конечной точки NSX в REST API vRealize Automation или в vRealize CloudClient. Доступны следующие параметры идентификатора арендатора для конечной точки NSX.

  • "<global>" — объект безопасности доступен во всех арендаторах. Это параметр по умолчанию, используемый для существующих объектов безопасности после обновления до этой версии, а также для всех создаваемых объектов безопасности.
  • "<unscoped>" — объект безопасности недоступен ни для одного арендатора. Только системный администратор может получить доступ к такому объекту безопасности. Это идеальный параметр для объектов безопасности, которые планируется назначить определенному арендатору.
  • "tenant_id_name" — объект безопасности доступен только в одном указанном арендаторе.

Средства REST API vRealize Automation или vRealize CloudClient можно использовать для назначения идентификаторов арендатора (tenantId) объектов безопасности, связанных с определенной конечной точкой, конкретному арендатору.

Сведения о командах vRealize Automation REST API см. в справочнике по API-интерфейсу vRealize Automation в разделе Документация по API-интерфейсу vRealize Automation для версии vRealize Automation 7.x. Дополнительные сведения см. в руководстве по программированию vRealize Automation в разделе Документация по API-интерфейсу vRealize Automation для версии vRealize Automation 7.x.

Сведения о vRealize CloudClient см. в разделе https://code.vmware.com/web/dp/tool/cloudclient.