После добавления облачной учетной записи в vRealize Automation Cloud Assembly процесс сбора данных обнаруживает сведения о сети и безопасности для этой учетной записи и делает полученную информацию доступной для использования в профилях сети и других параметрах.

Группы безопасности и правила брандмауэра поддерживают изоляцию сети. Сведения о группах безопасности извлекаются в результате сбора данных. Сведения о правилах брандмауэра не извлекаются в результате сбора данных.

Группы безопасности

Если выбрать пункты меню Инфраструктура > Ресурсы > Безопасность, можно просмотреть группы безопасности по требованию, созданные в проектах облачных шаблонов vRealize Automation Cloud Assembly, а также существующие группы безопасности, созданные в исходных приложениях, таких как NSX-T и Amazon Web Services. Сведения о доступных группах безопасности поступают в результате процесса сбора данных.

Можно просмотреть доступные группы безопасности, а также добавить или удалить теги для выбранных групп безопасности. Разработчик облачного шаблона может назначить одну группу безопасности сетевому адаптеру компьютера или несколько, чтобы управлять обеспечением безопасности для развертывания.

В проекте облачного шаблона для параметра securityGroupType в ресурсе группы безопасности задано значение existing для существующей группы безопасности или new для группы безопасности по требованию.

Существующие группы безопасности из базовой конечной точки облачной учетной записи, такие как приложения NSX-V, NSX-T или Amazon Web Services, доступны для использования. Сведения о группах безопасности по требованию, созданных в проектах облачных шаблонов организации, также поступают в результате сбора данных. Группы безопасности по требованию в настоящее время доступны только для NSX-V и NSX-T.

Существующие группы безопасности отображаются в столбце Источник и указываются значением Discovered. Группы безопасности по требованию, созданные в vRealize Automation Cloud Assembly либо в облачном шаблоне, либо в профиле сети, отображаются в столбце Источник и указываются значением Managed by Cloud Assembly. Группы безопасности по требованию, созданные в рамках профиля сети, классифицируются внутренним образом как группа безопасности изоляции с предварительно настроенными правилами брандмауэра и не добавляются в облачный шаблон в качестве ресурса группы безопасности. Группы безопасности по требованию, созданные в рамках проекта облачного шаблона, которые могут содержать явно выраженные правила брандмауэра, добавляются в виде части ресурса группы безопасности, которая классифицируется как new.

Если существующую группу безопасности изменить непосредственно в исходном приложении, например в исходном приложении NSX, а не в vRealize Automation Cloud Assembly, обновления не будут отображаться в vRealize Automation Cloud Assembly до тех пор, пока не будет запущен процесс сбора данных и не будут получены данные о связанных облачной учетной записи или точке интеграции из vRealize Automation Cloud Assembly. Сбор данных выполняется автоматически примерно каждые 10 минут.

Администратор облачных систем может назначить один тег или несколько существующей группе безопасности, чтобы ее можно было использовать в облачном шаблоне. Разработчик облачных шаблонов может использовать ресурс Cloud.SecurityGroup в проекте облачного шаблона для выделения существующей группы безопасности с помощью тегов ограничений. Для существующей группы безопасности необходимо указать по крайней мере один тег ограничения в ресурсе безопасности в проекте облачного шаблона.

Использование правил брандмауэра в группах безопасности

Правила брандмауэра можно создать для групп безопасности по требованию для NSX-V и NSX-T непосредственно в ресурсе группы безопасности в коде проекта облачного шаблона.

В столбце Применяется к группы безопасности, которые классифицируются или управляются распределенным брандмауэром (DFW) в NSX, не указываются. Правила брандмауэра, которые применяются к приложениям, предназначены для «восточного»/«западного» трафика DFW.

Некоторыми правилами брандмауэра можно управлять только в исходном приложении и их нельзя изменять в vRealize Automation Cloud Assembly. Например, управление правилами для ethernet, аварийных ситуаций, инфраструктуры и среды осуществляется в NSX-T.

Подробнее

Дополнительные сведения об использовании групп безопасности в профилях сетей см. в разделе Дополнительные сведения о профилях сетей в vRealize Automation.

Сведения об определении правил брандмауэра см. в разделе Использование параметров группы безопасности в профилях сетей и проектах облачных шаблонов в vRealize Automation Cloud Assembly и Использование ресурса группы безопасности в облачном шаблоне vRealize Automation.

Примеры кода проекта облачного шаблона, содержащие группы безопасности, см. в разделе Network, security, and load balancer examples in vRealize Automation cloud templates.