建立或編輯 vRealize Automation Cloud 藍圖時,請針對您的目標使用最適合的安全群組資源。瞭解藍圖中可用的安全群組選項。

非雲端安全群組資源

目前只有一種類型的安全群組資源。您可以使用藍圖設計頁面上的 非雲端 > 安全群組資源來新增安全群組資源。資源會以 Cloud.SecurityGroup 資源類型的形式顯示在藍圖代碼中。預設資源會顯示為:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      constraints: []
      securityGroupType: existing

您可以將藍圖設計中的安全群組資源指定為現有 (securityGroupType: existing) 或隨選 (securityGroupType: new)。

可以直接將現有安全群組新增至藍圖設計,也可以使用已新增到網路設定檔的現有安全群組。各種雲端帳戶類型皆支援現有安全群組。

對於 NSX-VNSX-T,您可以新增現有安全群組,也可以在設計或修改藍圖時定義新的安全群組。僅 NSX-TNSX-V 支援隨選安全群組。

對於除了 Microsoft Azure 以外的所有雲端帳戶類型,您可以將一或多個安全群組與機器 NIC 相關聯。Microsoft Azure 虛擬機器 NIC (machineName) 只能與一個安全群組相關聯。

依預設,安全群組內容 securityGroupType 設定為 existing。若要建立隨選安全群組,請針對 securityGroupType 內容輸入 new。若要指定隨選安全群組的防火牆規則,請使用安全群組資源之 Cloud.SecurityGroup 區段中的 rules 內容。

現有安全群組

現有安全群組是在來源雲端帳戶資源 (例如 NSX-TAmazon Web Services) 中建立的。它們已由 vRealize Automation Cloud 從來源進行資料收集。您可以從可用資源清單中選取現有的安全群組作為 vRealize Automation Cloud 網路設定檔的一部分。在藍圖設計中,您可以透過以下兩種方式指定現有安全群組:透過其在指定網路設定檔中的成員資格本身指定;使用安全群組資源中的 securityGroupType: existing 設定依名稱具體指定。如果您將安全群組新增至網路設定檔,請至少將一個功能標籤新增至網路設定檔。在藍圖設計中使用時,隨選安全群組資源需要限制標籤。

您可以將藍圖設計中的安全群組資源關聯到一或多個機器資源。

備註: 如果您想要使用藍圖設計中的機器資源來佈建至 Microsoft Azure 虛擬機器 NIC ( machineName),則應僅將機器資源關聯到單一安全群組。

隨選 NSX-VNSX-T 安全群組

可以在定義或修改藍圖設計時使用安全群組資源代碼中的 securityGroupType: new 設定,定義隨選安全群組。

可使用隨選 NSX-VNSX-T 安全群組將一組特定的防火牆規則套用至網路機器資源或一組分組的資源。每個安全群組可包含多個具名防火牆規則。您可以使用隨選安全群組來指定服務或通訊協定和連接埠。請注意,您可以指定服務或通訊協定,但不可同時指定兩者。除了通訊協定之外,您還可以指定連接埠。如果您指定了服務,則無法指定連接埠。如果規則中既不包含服務也不包含通訊協定,則預設服務值為 [任何]。

也可以在防火牆規則中指定 IP 位址和 IP 範圍。將在 vRealize Automation Cloud 藍圖中的網路、安全性和負載平衡器範例中顯示一些防火牆規則範例。
當您在 NSX-VNSX-T 隨選安全群組中建立防火牆規則時,預設為允許指定的網路流量,但同時允許其他網路流量。若要控制網路流量,則必須為每個規則指定存取類型。規則存取類型為:
  • 允許 (預設值) - 允許此防火牆規則中指定的網路流量。
  • 拒絕 - 封鎖此防火牆規則中指定的網路流量。主動告知用戶端連線遭到拒絕。
  • 捨棄 - 拒絕此防火牆規則中指定的網路流量。以無訊息方式捨棄封包,就像接聽程式未處於線上狀態時一樣。
如需使用 access: Allowaccess: Deny 防火牆規則的範例設計,請參閱 vRealize Automation Cloud 藍圖中的網路、安全性和負載平衡器範例
備註: 雲端管理員可以建立僅包含 NSX 隨選安全群組的藍圖設計,並且可以部署該設計以建立可重複使用的現有安全群組資源,組織成員可將該資源作為現有安全群組新增至網路設定檔和藍圖設計。

對於來源和目的地 IP 位址,防火牆規則支援 IPv4 或 IPv6 格式的 CIDR 值。如需在防火牆規則中使用 IPv6 CIDR 值的範例設計,請參閱vRealize Automation Cloud 藍圖中的網路、安全性和負載平衡器範例

在隨選安全群組防火牆規則中使用應用程式隔離原則

您可以使用應用程式隔離原則,以便僅允許藍圖佈建的資源之間的內部流量。透過應用程式隔離,藍圖佈建的機器可以彼此通訊,但無法從防火牆外部連線。您可以在網路設定檔中建立應用程式隔離原則。也可以透過使用具有拒絕防火牆規則或私人或輸出網路的隨選安全群組,在藍圖設計中指定應用程式隔離。

以較低的優先順序建立應用程式隔離原則。如果套用多個原則,則具有較高權重的原則將優先使用。

當您建立應用程式隔離原則時,會為原則指派自動產生的原則名稱。此原則也可在其他藍圖設計和特定於相關聯的資源端點和專案的設計反覆運算中重複使用。應用程式隔離原則名稱在藍圖設計代碼中不可見,但在藍圖設計部署後,它會在專案頁面 (基礎結構 > 管理 > 專案) 上顯示為自訂內容。

對於專案中的同一個關聯端點,任何需要隨選安全群組進行應用程式隔離的部署都可以使用相同的應用程式隔離原則。原則一旦建立,就不會刪除。當您指定應用程式隔離原則時,vRealize Automation Cloud 會在專案中相對於關聯端點搜尋該原則,若找到該原則,則會重複使用該原則,若找不到,則會建立該原則。應用程式隔離原則名稱僅在初始部署後才會顯示在專案的自訂內容清單中。

可用的第 2 天作業

如需可用於藍圖和部署資源的常見第 2 天作業的清單,請參閱您可以對 Cloud Assembly 部署執行哪些動作

深入瞭解

如需有關使用安全群組進行網路隔離的相關資訊,請參閱安全資源

如需在網路設定檔中使用安全群組設定的相關資訊,請參閱進一步瞭解 vRealize Automation Cloud 中的網路設定檔在 Cloud Assembly中的網路設定檔和藍圖設計中使用安全群組設定

如需說明範例安全資源和設定的藍圖設計範例,請參閱vRealize Automation Cloud 藍圖中的網路、安全性和負載平衡器範例