После добавления облачной учетной записи в Cloud Assembly процесс сбора данных обнаруживает сведения о сети и безопасности для этой учетной записи и делает полученную информацию доступной для использования в профилях сети и других параметрах.

Группы безопасности и правила брандмауэра поддерживают изоляцию сети. Сведения о группах безопасности извлекаются в результате сбора данных. Сведения о правилах брандмауэра не извлекаются в результате сбора данных.

Если выбрать пункты меню Инфраструктура > Ресурсы > Безопасность, можно просмотреть группы безопасности по требованию, созданные в проектах облачных шаблонов Cloud Assembly, а также существующие группы безопасности, созданные в исходных приложениях, таких как NSX-T и Amazon Web Services. Сведения о доступных группах безопасности поступают в результате процесса сбора данных.

Можно использовать тег для сопоставления интерфейса компьютера (сетевой адаптер) с группой безопасности в определении облачного шаблона или в профиле сети. Можно просмотреть доступные группы безопасности, а также добавить или удалить теги для выбранных групп безопасности. Разработчик облачного шаблона может назначить одну группу безопасности сетевому адаптеру компьютера или несколько, чтобы управлять обеспечением безопасности для развертывания.

В проекте облачного шаблона для параметра securityGroupType в ресурсе группы безопасности задано значение existing для существующей группы безопасности или new для группы безопасности по требованию.

Существующие группы безопасности

Существующие группы безопасности отображаются в столбце Источник и указываются значением Discovered.

Существующие группы безопасности из базовой конечной точки облачной учетной записи, такие как приложения NSX-V, NSX-T или Amazon Web Services, доступны для использования.

Администратор облачных систем может назначить один тег или несколько существующей группе безопасности, чтобы ее можно было использовать в облачном шаблоне. Разработчик облачных шаблонов может использовать ресурс Cloud.SecurityGroup в проекте облачного шаблона для выделения существующей группы безопасности с помощью тегов ограничений. Для существующей группы безопасности необходимо указать по крайней мере один тег ограничения в ресурсе безопасности в проекте облачного шаблона.

Если существующую группу безопасности изменить непосредственно в исходном приложении, например в исходном приложении NSX, а не в Cloud Assembly, обновления не будут отображаться в Cloud Assembly до тех пор, пока не будет запущен процесс сбора данных и не будут получены данные о связанных облачной учетной записи или точке интеграции из Cloud Assembly. Сбор данных выполняется автоматически примерно каждые 10 минут.

Существующие группы безопасности поддерживаются для облачных учетных записей глобального и локального диспетчера NSX-T, а также для облачных учетных записей vCenter, связанных с локальными диспетчерами. Cloud Assembly выполняет перечисление существующих групп безопасности (собирает данные) и подключает их к сетевым интерфейсам компьютера (сетевые адаптеры). Для создания глобальной группы безопасности можно добавить существующую группу безопасности в глобальном диспетчере NSX-T. Затем эта глобальная группа безопасности может использоваться связанными локальными диспетчерами. Глобальные группы безопасности могут охватывать один, все или подмножество связанных локальных диспетчеров.
  • Существующие глобальные группы безопасности поддерживаются и перечисляются для всех определенных регионов.
  • Глобальные группы безопасности перечислены на странице Инфраструктура > Ресурсы вместе со всеми облачными учетными записями, к которым они применяются.
  • Интерфейс компьютера (сетевой адаптер) можно связать с существующей глобальной группой глобальной безопасности непосредственно в облачном шаблоне или в выбранном профиле сети.
  • Для глобальных групп безопасности поддерживаются следующие операции по регулярному обслуживанию.
    • Перенастройка группы безопасности в облачном шаблоне из глобальной в локальную и наоборот.
    • Горизонтальное и вертикальное масштабирование компьютеров, связанных с глобальными группами безопасности.

Группы безопасности по требованию

Группы безопасности по требованию, созданные в Cloud Assembly либо в облачном шаблоне, либо в профиле сети, отображаются в столбце Источник и указываются значением Managed by Cloud Assembly. Группы безопасности по требованию, созданные в рамках профиля сети, классифицируются внутренним образом как группа безопасности изоляции с предварительно настроенными правилами брандмауэра и не добавляются в облачный шаблон в качестве ресурса группы безопасности. Группы безопасности по требованию, созданные в рамках проекта облачного шаблона, которые могут содержать явно выраженные правила брандмауэра, добавляются в виде части ресурса группы безопасности, которая классифицируется как new.

Примечание:

Правила брандмауэра можно создать для групп безопасности по требованию для NSX-V и NSX-T непосредственно в ресурсе группы безопасности в коде проекта облачного шаблона. В столбце Применяется к группы безопасности, которые классифицируются или управляются распределенным брандмауэром (DFW) в NSX, не указываются. Правила брандмауэра, которые применяются к приложениям, предназначены для «восточного»/«западного» трафика DFW. Некоторыми правилами брандмауэра можно управлять только в исходном приложении и их нельзя изменять в Cloud Assembly. Например, управление правилами для ethernet, аварийных ситуаций, инфраструктуры и среды осуществляется в NSX-T.

Группы безопасности по требованию в настоящее время не поддерживаются для облачных учетных записей глобального диспетчера NSX-T.

Подробнее

Дополнительные сведения об использовании групп безопасности в профилях сетей см. в разделе Дополнительные сведения о профилях сетей в vRealize Automation.

Сведения об определяющих правилах брандмауэра см. в разделе Использование параметров группы безопасности в профилях сетей и проектах облачных шаблонов в vRealize Automation.

Дополнительные сведения об использовании групп безопасности в облачном шаблоне см. в разделе Дополнительные сведения о ресурсах групп безопасности и тегов в облачных шаблонах vRealize Automation.

Примеры кода проекта облачного шаблона, содержащие группы безопасности, см. в разделе Сети, ресурсы безопасности и подсистемы балансировки нагрузки в vRealize Automation.