建立或編輯 VMware Aria Automation 雲端範本時,請使用最合適的安全資源選項以滿足您的目標。
非雲端安全群組資源
Cloud.SecurityGroup
資源類型的形式顯示在雲端範本代碼中。預設資源會顯示為:
Cloud_SecurityGroup_1: type: Cloud.SecurityGroup properties: constraints: [] securityGroupType: existing
您可以將雲端範本設計中的安全群組資源指定為現有 (securityGroupType: existing
) 或隨選 (securityGroupType: new
)。
可以將現有安全群組新增至雲端範本,也可以使用已新增到網路設定檔的現有安全群組。
對於 NSX-V 和 NSX-T,以及將原則管理程式交換器與 VMware Cloud on AWS 一起啟用的 NSX-T,您可以在設計或修改雲端範本時新增現有的安全群組或定義新的安全群組。NSX-T、NSX-V 和 VMware Cloud on AWS (與 NSX-T Policy Manager 搭配使用時) 支援隨選安全群組。
對於除了 Microsoft Azure 以外的所有雲端帳戶類型,您可以將一或多個安全群組與機器 NIC 相關聯。Microsoft Azure 虛擬機器 NIC (machineName) 只能與一個安全群組相關聯。
依預設,安全群組內容 securityGroupType
設定為 existing
。若要建立隨選安全群組,請針對 securityGroupType
內容輸入 new
。若要指定隨選安全群組的防火牆規則,請使用安全群組資源之 Cloud.SecurityGroup
區段中的 rules
內容。
現有安全群組
現有安全群組是在來源雲端帳戶資源 (例如 NSX-T 或 Amazon Web Services) 中建立的。它們已由 VMware Aria Automation 從來源進行資料收集。您可以從可用資源清單中選取現有的安全群組作為 VMware Aria Automation 網路設定檔的一部分。在雲端範本設計中,您可以透過以下兩種方式指定現有安全群組:透過其在指定網路設定檔中的成員資格本身指定;使用安全群組資源中的 securityGroupType: existing
設定依名稱具體指定。如果您將安全群組新增至網路設定檔,請至少將一個功能標籤新增至網路設定檔。在雲端範本設計中使用時,隨選安全群組資源需要限制標籤。
您可以將雲端範本設計中的安全群組資源關聯到一或多個機器資源。
隨選安全群組
可以在定義或修改雲端範本設計時使用安全群組資源代碼中的 securityGroupType: new
設定,定義隨選安全群組。
可以將隨選安全群組用於 NSX-V、NSX-T 和 Amazon Web Services (與 NSX-T Policy 類型搭配使用時),以將一組特定的防火牆規則套用至網路機器資源或一組分組的資源。每個安全群組可包含多個具名防火牆規則。您可以使用隨選安全群組來指定服務或通訊協定和連接埠。請注意,您可以指定服務或通訊協定,但不可同時指定兩者。除了通訊協定之外,您還可以指定連接埠。如果您指定了服務,則無法指定連接埠。如果規則中既不包含服務也不包含通訊協定,則預設服務值為 [任何]。
也可以在防火牆規則中指定 IP 位址和 IP 範圍。將在 Automation Assembler 中的網路、安全性和負載平衡器資源範例中顯示一些防火牆規則範例。
- 允許 (預設值) - 允許此防火牆規則中指定的網路流量。
- 拒絕 - 封鎖此防火牆規則中指定的網路流量。主動告知用戶端連線遭到拒絕。
- 捨棄 - 拒絕此防火牆規則中指定的網路流量。以無訊息方式捨棄封包,就像接聽程式未處於線上狀態時一樣。
access: Allow
和
access: Deny
防火牆規則的範例設計,請參閱
Automation Assembler 中的網路、安全性和負載平衡器資源範例。
對於來源和目的地 IP 位址,防火牆規則支援 IPv4 或 IPv6 格式的 CIDR 值。如需在防火牆規則中使用 IPv6 CIDR 值的範例設計,請參閱Automation Assembler 中的網路、安全性和負載平衡器資源範例。
VMware Cloud on AWS 隨選安全群組和現有安全群組
可以使用安全群組資源代碼中的 securityGroupType: new
設定,在雲端範本中為 VMware Cloud on AWS 機器定義隨選安全群組。
resources: Cloud_SecurityGroup_1: type: Cloud.SecurityGroup properties: name: vmc-odsg securityGroupType: new rules: - name: datapath direction: inbound protocol: TCP ports: 5011 access: Allow source: any
此外,還可以為網路 VMware Cloud on AWS 機器定義現有的安全群組,並選擇性地包含限制標記,如以下範例所示:
Cloud_SecurityGroup_2: type: Cloud.SecurityGroup properties: constraints: [xyz] securityGroupType: existing
Cloud_SecurityGroup_3: type: Cloud.SecurityGroup properties: securityGroupType: existing constraints: - tag: xyz
- 如果安全群組與部署中的一或多個機器相關聯,則刪除動作會顯示一條訊息,指出無法刪除此安全群組。
- 如果安全群組未與部署中的任何機器相關聯,則刪除動作會顯示一條訊息,指出將從此部署中刪除安全群組,且該動作無法復原。現有安全群組將從雲端範本中刪除,而隨選安全群組會遭到銷毀。
使用 NSX-V 安全性標籤和 NSX-T 虛擬機器標籤
從 VMware Aria Automation 雲端範本內的受管理資源中,可以查看並使用 NSX-V 安全性標籤以及 NSX-T 和 NSX-T (具有 Policy) 虛擬機器標籤。
支援將 NSX-V 和 NSX-T 安全性標籤用於 vSphere。此外,還支援將 NSX-T 安全性標籤用於 VMware Cloud on AWS。
與部署到 vSphere 的虛擬機器一樣,可以為要在 VMware Cloud on AWS 上部署的虛擬機器設定機器標籤。您還可以在初始部署後更新機器標籤。透過這些機器標籤,VMware Aria Automation 可以在部署期間將虛擬機器動態指派給適當的 NSX-T 安全群組。
key: nsxSecurityTag
和標籤值指定
NSX-V 安全性標籤,如以下範例所示:
tags: - key: nsxSecurityTag - value: security_tag_1 - key: nsxSecurityTag - value: security_tag_2
指定的值必須與 NSX-V 安全性標籤相對應。如果 NSX-V 中沒有與指定的 nsxSecurityTag
索引鍵值相符的安全性標籤,部署將會失敗。
NSX-V 安全性標記要求機器連線到 NSX-V 網路。如果機器連線到 vSphere 網路,則會略過 NSX-V 安全性標記。在任何一種情況下,也都會標記 vSphere 機器。
NSX-T 沒有單獨的安全性標籤。在雲端範本中的計算資源上指定的任何標籤,均會導致部署的虛擬機器與 NSX-T 中指定的所有標籤相關聯。對於 NSX-T (包括具有 Policy 的 NSX-T),虛擬機器標籤也會在雲端範本中表示為索引鍵值配對。key
設定相當於 NSX-T 中的 scope
設定,value
設定相當於 NSX-T 中指定的 Tag Name
。
請注意,如果您使用 VMware Aria Automation V2T Migration Assistant 將雲端帳戶從 NSX-V 移轉至 NSX-T (包括 NSX-T with Policy),則 Migration Assistant 會建立 nsxSecurityTag
索引鍵值配對。在此案例中,或如果基於任何原因在雲端範本中明確指定將 nsxSecurityTag
用於 NSX-T (包括具有 Policy 的 NSX-T),部署會使用與所指定的 value
相符的標籤名稱建立具有空白範圍設定的虛擬機器標籤。在 NSX-T 中檢視此類標籤時,[範圍] 資料行將為空白。
為避免混淆,請勿在用於 NSX-T 時使用 nsxSecurityTag
索引鍵配對。如果將 nsxSecurityTag
索引鍵值配對指定為與 NSX-T 搭配使用 (包括具有 Policy 的 NSX-T),則部署會使用與所指定的 value
相符的標籤名稱建立具有空白範圍設定的虛擬機器標籤。在 NSX-T 中檢視此類標籤時,[範圍] 資料行將為空白。
在隨選安全群組防火牆規則中使用應用程式隔離原則
您可以使用應用程式隔離原則,以便僅允許雲端範本佈建的資源之間的內部流量。透過應用程式隔離,雲端範本佈建的機器可以彼此通訊,但無法連線到防火牆外部。您可以在網路設定檔中建立應用程式隔離原則。也可以透過使用具有拒絕防火牆規則或私人或輸出網路的隨選安全群組,在雲端範本設計中指定應用程式隔離。
以較低的優先順序建立應用程式隔離原則。如果套用多個原則,則具有較高權重的原則將優先使用。
建立應用程式隔離原則時,系統會產生自動產生的原則名稱。此原則也可在其他雲端範本設計和特定於相關聯的資源端點和專案的反覆運算中重複使用。應用程式隔離原則名稱在雲端範本中不可見,但在雲端範本設計部署後,它會在專案頁面 (
) 上顯示為自訂內容。對於專案中的同一個關聯端點,任何需要隨選安全群組進行應用程式隔離的部署都可以使用相同的應用程式隔離原則。原則一旦建立,就不會刪除。當您指定應用程式隔離原則時,VMware Aria Automation 會在專案中相對於關聯端點搜尋該原則,若找到該原則,則會重複使用該原則,若找不到,則會建立該原則。應用程式隔離原則名稱僅在初始部署後才會顯示在專案的自訂內容清單中。
在反覆式雲端範本開發中使用安全群組
- 在 Automation Assembler 範本設計工具中,將安全群組與雲端範本中所有相關聯的機器中斷連結。
- 按一下更新現有部署以重新部署範本。
- 移除範本中的現有安全群組限制標籤和/或 securityGroupType 內容。
- 在範本中新增安全群組限制標籤和/或 securityGroupType 內容。
- 將新的安全群組限制標籤和/或 securityGroupType 內容執行個體與範本中的機器相關聯。
- 按一下更新現有部署以重新部署範本。
可用的第 2 天作業
如需可用於雲端範本和部署資源的常見第 2 天作業的清單,請參閱可以對 Automation Assembler 部署或支援的資源執行哪些動作。
深入瞭解
如需使用安全群組進行網路隔離的相關資訊,請參閱VMware Aria Automation 中的安全資源。
如需在網路設定檔中使用安全群組的相關資訊,請參閱進一步瞭解 VMware Aria Automation 中的網路設定檔和在 VMware Aria Automation 中的網路設定檔和雲端範本設計中使用安全群組設定。
如需在雲端範本中使用安全群組的範例,請參閱Automation Assembler 中的網路、安全性和負載平衡器資源範例。