При создании или редактировании облачного шаблона vRealize Automation используйте ресурсы группы безопасности, которые лучше всего подходят для ваших целей. Ознакомьтесь с параметрами группы безопасности, доступными в облачном шаблоне.

Независимый от облачной среды ресурс группы безопасности

В настоящее время существует только один тип ресурса группы безопасности. Чтобы добавить ресурс группы безопасности, используйте ресурс Независимый от облачной среды > Группа безопасности на странице проектирования облачного шаблона. Ресурс отображается в коде облачного шаблона как тип ресурса Cloud.SecurityGroup. Ресурс по умолчанию отображается следующим образом:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      constraints: []
      securityGroupType: existing

Ресурс группы безопасности указывается в проекте облачного шаблона как «существующий» (securityGroupType: existing) или «по требованию» (securityGroupType: new).

Существующую группу безопасности можно добавить непосредственно в проект облачного шаблона или использовать существующую группу безопасности, добавленную в профиль сети. Существующие группы безопасности поддерживаются для различных типов облачных учетных записей.

Для NSX-V и NSX-T можно добавить существующую группу безопасности или определить новую группу безопасности при проектировании или изменении облачного шаблона. Группы безопасности по требованию поддерживаются только для NSX-T и NSX-V.

Для всех типов учетных записей облачной службы, кроме Microsoft Azure, можно связать одну или несколько групп безопасности с сетевым адаптером компьютера. Сетевой адаптер виртуальной машины Microsoft Azure (machineName) можно связать только с одной группой безопасности.

По умолчанию для свойства группы безопасности securityGroupType задано значение existing. Чтобы создать группу безопасности по требованию, введите значение new для свойства securityGroupType. Чтобы указать правила брандмауэра для группы безопасности по требованию, используйте свойство rules в разделе Cloud.SecurityGroup ресурса группы безопасности.

Существующие группы безопасности

Существующие группы безопасности создаются в исходном ресурсе облачной учетной записи, например NSX-T или Amazon Web Services. Они представляют собой данные, которые vRealize Automation собирает из источника. Существующую группу безопасности можно выбрать в списке доступных ресурсов в рамках профиля сети vRealize Automation. В проекте облачного шаблона можно указать существующую группу безопасности либо по фактическому наличию в указанном профиле сети, либо по имени, используя параметр securityGroupType: existing ресурса группы безопасности. При добавлении группы безопасности в профиль сети добавьте в профиль сети хотя бы один тег возможности. При использовании ресурсов группы безопасности по требованию в проекте облачного шаблона требуется тег ограничения.

В проекте облачного шаблона ресурс группы безопасности можно связать с одним ресурсом компьютера или несколькими.

Примечание: Если ресурс компьютера планируется использовать в проекте облачного шаблона для предоставления сетевого адаптера виртуальной машины ( machineName) Microsoft Azure, необходимо связать ресурс компьютера только с одной группой безопасности.

Группы безопасности NSX-V и NSX-T по требованию

Группы безопасности по требованию можно настроить при определении или изменении проекта облачного шаблона с помощью параметра securityGroupType: new в коде ресурса группы безопасности.

Группу безопасности NSX-V или NSX-T по требованию можно использовать, чтобы применить конкретный набор правил брандмауэра к ресурсу сетевого компьютера или набору сгруппированных ресурсов. Каждая группа безопасности может содержать несколько именованных правил брандмауэра. Группу безопасности по требованию можно использовать, чтобы указать службы или протоколы и порты. Следует отметить, что можно указать либо службу, либо протокол, но не то и другое одновременно. Кроме протокола, можно указать порт. Если указана служба, то порт указать нельзя. Если правило не содержит ни службу, ни протокол, значение службы по умолчанию Any.

Кроме того, в правилах брандмауэра можно указать IP-адреса и диапазоны IP-адресов. Некоторые примеры правил брандмауэра приведены в Network, security, and load balancer examples in vRealize Automation cloud templates.
При создании правил брандмауэра в группе безопасности по требованию NSX-V или NSX-T значение по умолчанию разрешает указанный сетевой трафик, а также разрешает другой сетевой трафик. Для управления сетевым трафиком необходимо указать тип доступа для каждого правила. Типы правил для доступа
  • Разрешить (по умолчанию). Разрешает сетевой трафик, указанный в данном правиле брандмауэра.
  • Запретить (по умолчанию). Блокирует сетевой трафик, указанный в данном правиле брандмауэра. Активно сообщает клиенту, что подключение отклонено.
  • Отклонить. Отклоняет сетевой трафик, указанный в правиле брандмауэра. Автоматически отбрасывает пакет, как если бы прослушиватель не был подключен к Интернету.
Пример проекта, в котором используется access: Allow и правило брандмауэра access: Deny, см. в разделе Network, security, and load balancer examples in vRealize Automation cloud templates.
Примечание: Администратор облачных систем может создать проект облачного шаблона, содержащий только группу безопасности NSX по требованию, и может развернуть этот проект, чтобы создать повторно используемый ресурс существующей группы безопасности, который участники организации могут добавить в профили сети и проекты облачных шаблонов в качестве существующей группы безопасности.

Правила брандмауэра поддерживают значения CIDR в формате IPv4 или IPv6 для исходного и конечного IP-адресов. Пример проекта, в котором используются значения IPv6 CIDR в правиле брандмауэра, см. в разделе Network, security, and load balancer examples in vRealize Automation cloud templates.

Использование политик изоляции приложений в правилах брандмауэра для группы безопасности по требованию

Чтобы разрешить только внутренний трафик между ресурсами, подготовленными в облачном шаблоне, можно использовать политику изоляции приложений. Благодаря изоляции приложений компьютеры, подготовленные с помощью облачного шаблона, могут обмениваться данными между собой, но не могут устанавливать соединения за пределами брандмауэра. Политику изоляции приложений можно создать в профиле сети. Кроме того, изоляцию приложений можно указать в проекте облачного шаблона, используя группу безопасности по требованию с правилом брандмауэра «Запретить» либо частную или исходящую сеть.

Политика изоляции приложений создается с низким приоритетом. При применении нескольких политик приоритет будет иметь политика с более высоким значением.

При создании политики изоляции приложений ей назначается автоматически создаваемое имя. Кроме того, политика доступна для повторного использования в других проектах облачных шаблонов и итерациях проектов, относящихся к конечной точке и проекту связанного ресурса. Имя политики изоляции приложений не отображается в коде проекта облачного шаблона, но отображается в виде настраиваемого свойства на странице проекта (Инфраструктура > Администрирование > Проекты) после развертывания проекта облачного шаблона.

Для той же связанной конечной точки в проекте любое развертывание, в котором для изоляции приложений требуется группа безопасности по требованию, может использовать ту же политику изоляции приложений. После создания политика не удаляется. При указании политики изоляции приложений система vRealize Automation выполняет поиск политики в проекте применительно к связанной конечной точке. Если политика будет найдена, она используется повторно. В противном случае создается новая политика. Имя политики изоляции приложений отображается только после первоначального развертывания в списке настраиваемых свойств проекта.

Использование групп безопасности в итеративной разработке облачных шаблонов

Если группа безопасности не связана с компьютером в облачном шаблоне, то при изменении ограничений в процессе итеративной разработки группа безопасности обновляется в соответствии с параметрами итерации. Однако, если группа безопасности уже связана с компьютером, при повторном развертывании возникнет сбой. Во время итеративной разработки облачного шаблона следует отменять привязку существующих групп безопасности и (или) свойств ресурса securityGroupType от связанных компьютеров и повторно привязывать их перед каждым следующим развертыванием. Если облачный шаблон уже развернут, необходимо выполнить следующие действия:
  1. В конструкторе шаблонов Cloud Assembly отключите группу безопасности от всех компьютеров, связанных с ней в облачном шаблоне.
  2. Повторно разверните шаблон, выбрав вариант Обновить существующее развертывание.
  3. Удалите существующие теги ограничений группы безопасности и (или) свойства securityGroupType в шаблоне.
  4. Добавьте новые теги ограничений группы безопасности и (или) свойства securityGroupType в шаблон.
  5. Привяжите новые теги ограничений группы безопасности и (или) экземпляры свойств securityGroupType к компьютерам в шаблоне.
  6. Повторно разверните шаблон, выбрав вариант Обновить существующее развертывание.

Доступные операции регулярного обслуживания

Список типовых операций по регулярному обслуживанию, доступных для облачного шаблона и ресурсов развертывания, см. в разделе Какие действия можно выполнять в развертываниях vRealize Automation Cloud Assembly.

Подробнее

Дополнительные сведения об использовании группы безопасности для изоляции сети см. в разделе Ресурсы безопасности в vRealize Automation.

Сведения об использовании параметров группы безопасности в профиле сети см. в разделах Дополнительные сведения о профилях сетей в vRealize Automation и Использование параметров группы безопасности в профилях сетей и проектах облачных шаблонов в vRealize Automation Cloud Assembly.

Примеры проектов облачного шаблона, которые содержат образцы ресурсов безопасности и их параметров, см. в разделе Network, security, and load balancer examples in vRealize Automation cloud templates.