После добавления облачной учетной записи в Cloud Assembly процесс сбора данных обнаруживает сведения о сети и безопасности для этой учетной записи и делает полученную информацию доступной для использования в профилях сети и других параметрах.
Группы безопасности и правила брандмауэра поддерживают изоляцию сети. Сведения о группах безопасности извлекаются в результате сбора данных. Сведения о правилах брандмауэра не извлекаются в результате сбора данных.
Если выбрать пункты меню Cloud Assembly, а также существующие группы безопасности, созданные в исходных приложениях, таких как NSX-T и Amazon Web Services. Сведения о доступных группах безопасности поступают в результате процесса сбора данных.
, можно просмотреть группы безопасности по требованию, созданные в проектах облачных шаблоновМожно использовать тег для сопоставления интерфейса компьютера (сетевой адаптер) с группой безопасности в определении облачного шаблона или в профиле сети. Можно просмотреть доступные группы безопасности, а также добавить или удалить теги для выбранных групп безопасности. Разработчик облачного шаблона может назначить одну группу безопасности сетевому адаптеру компьютера или несколько, чтобы управлять обеспечением безопасности для развертывания.
В проекте облачного шаблона для параметра securityGroupType в ресурсе группы безопасности задано значение existing для существующей группы безопасности или new для группы безопасности по требованию.
Существующие группы безопасности
Существующие группы безопасности отображаются в столбце Источник и указываются значением Discovered.
Существующие группы безопасности из базовой конечной точки облачной учетной записи, такие как приложения NSX-V, NSX-T или Amazon Web Services, доступны для использования.
Администратор облачных систем может назначить один тег или несколько существующей группе безопасности, чтобы ее можно было использовать в облачном шаблоне. Разработчик облачных шаблонов может использовать ресурс Cloud.SecurityGroup в проекте облачного шаблона для выделения существующей группы безопасности с помощью тегов ограничений. Для существующей группы безопасности необходимо указать по крайней мере один тег ограничения в ресурсе безопасности в проекте облачного шаблона.
Если существующую группу безопасности изменить непосредственно в исходном приложении, например в исходном приложении NSX, а не в Cloud Assembly, обновления не будут отображаться в Cloud Assembly до тех пор, пока не будет запущен процесс сбора данных и не будут получены данные о связанных облачной учетной записи или точке интеграции из Cloud Assembly. Сбор данных выполняется автоматически примерно каждые 10 минут.
- Существующие глобальные группы безопасности поддерживаются и перечисляются для всех определенных регионов.
- Глобальные группы безопасности перечислены на странице вместе со всеми облачными учетными записями, к которым они применяются.
- Интерфейс компьютера (сетевой адаптер) можно связать с существующей глобальной группой глобальной безопасности непосредственно в облачном шаблоне или в выбранном профиле сети.
- Для глобальных групп безопасности поддерживаются следующие операции по регулярному обслуживанию.
- Перенастройка группы безопасности в облачном шаблоне из глобальной в локальную и наоборот.
- Горизонтальное и вертикальное масштабирование компьютеров, связанных с глобальными группами безопасности.
Группы безопасности по требованию
Группы безопасности по требованию, созданные в Cloud Assembly либо в облачном шаблоне, либо в профиле сети, отображаются в столбце Источник и указываются значением Managed by Cloud Assembly. Группы безопасности по требованию, созданные в рамках профиля сети, классифицируются внутренним образом как группа безопасности изоляции с предварительно настроенными правилами брандмауэра и не добавляются в облачный шаблон в качестве ресурса группы безопасности. Группы безопасности по требованию, созданные в рамках проекта облачного шаблона, которые могут содержать явно выраженные правила брандмауэра, добавляются в виде части ресурса группы безопасности, которая классифицируется как new
.
Правила брандмауэра можно создать для групп безопасности по требованию для NSX-V и NSX-T непосредственно в ресурсе группы безопасности в коде проекта облачного шаблона. В столбце Применяется к группы безопасности, которые классифицируются или управляются распределенным брандмауэром (DFW) в NSX, не указываются. Правила брандмауэра, которые применяются к приложениям, предназначены для «восточного»/«западного» трафика DFW. Некоторыми правилами брандмауэра можно управлять только в исходном приложении и их нельзя изменять в Cloud Assembly. Например, управление правилами для ethernet, аварийных ситуаций, инфраструктуры и среды осуществляется в NSX-T.
Группы безопасности по требованию в настоящее время не поддерживаются для облачных учетных записей глобального диспетчера NSX-T.
Подробнее
Дополнительные сведения об использовании групп безопасности в профилях сетей см. в разделе Дополнительные сведения о профилях сетей в vRealize Automation.
Сведения об определяющих правилах брандмауэра см. в разделе Использование параметров группы безопасности в профилях сетей и проектах облачных шаблонов в vRealize Automation.
Дополнительные сведения об использовании групп безопасности в облачном шаблоне см. в разделе Дополнительные сведения о ресурсах групп безопасности и тегов в облачных шаблонах vRealize Automation.
Примеры кода проекта облачного шаблона, содержащие группы безопасности, см. в разделе Сети, ресурсы безопасности и подсистемы балансировки нагрузки в vRealize Automation.