建立或編輯 vRealize Automation Cloud 雲端範本時,請針對您的目標使用最適合的安全群組資源。瞭解雲端範本中可用的安全群組選項。

非雲端安全群組資源

目前只有一種類型的安全群組資源。您可以使用雲端範本設計頁面上的 非雲端 > 安全群組資源來新增安全群組資源。資源會以 Cloud.SecurityGroup 資源類型的形式顯示在雲端範本代碼中。預設資源會顯示為:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      constraints: []
      securityGroupType: existing

您可以將雲端範本設計中的安全群組資源指定為現有 (securityGroupType: existing) 或隨選 (securityGroupType: new)。

可以直接將現有安全群組新增至雲端範本設計,也可以使用已新增到網路設定檔的現有安全群組。各種雲端帳戶類型皆支援現有安全群組。

對於 NSX-VNSX-T,以及將原則管理程式交換器與 VMware Cloud on AWS 一起啟用的 NSX-T,您可以在設計或修改雲端範本時新增現有的安全群組或定義新的安全群組。NSX-TNSX-VVMware Cloud on AWS (與 NSX-T Policy Manager 搭配使用時) 支援隨選安全群組。

對於除了 Microsoft Azure 以外的所有雲端帳戶類型,您可以將一或多個安全群組與機器 NIC 相關聯。Microsoft Azure 虛擬機器 NIC (machineName) 只能與一個安全群組相關聯。

依預設,安全群組內容 securityGroupType 設定為 existing。若要建立隨選安全群組,請針對 securityGroupType 內容輸入 new。若要指定隨選安全群組的防火牆規則,請使用安全群組資源之 Cloud.SecurityGroup 區段中的 rules 內容。

現有安全群組

現有安全群組是在來源雲端帳戶資源 (例如 NSX-TAmazon Web Services) 中建立的。它們已由 vRealize Automation Cloud 從來源進行資料收集。您可以從可用資源清單中選取現有的安全群組作為 vRealize Automation Cloud 網路設定檔的一部分。在雲端範本設計中,您可以透過以下兩種方式指定現有安全群組:透過其在指定網路設定檔中的成員資格本身指定;使用安全群組資源中的 securityGroupType: existing 設定依名稱具體指定。如果您將安全群組新增至網路設定檔,請至少將一個功能標籤新增至網路設定檔。在雲端範本設計中使用時,隨選安全群組資源需要限制標籤。

您可以將雲端範本設計中的安全群組資源關聯到一或多個機器資源。

備註: 如果您想要使用雲端範本設計中的機器資源來佈建至 Microsoft Azure 虛擬機器 NIC ( machineName),則應僅將機器資源關聯到單一安全群組。

隨選安全群組

可以在定義或修改雲端範本設計時使用安全群組資源代碼中的 securityGroupType: new 設定,定義隨選安全群組。

可以將隨選安全群組用於 NSX-VNSX-TAmazon Web Services (與 NSX-T Policy 類型搭配使用時),以將一組特定的防火牆規則套用至網路機器資源或一組分組的資源。每個安全群組可包含多個具名防火牆規則。您可以使用隨選安全群組來指定服務或通訊協定和連接埠。請注意,您可以指定服務或通訊協定,但不可同時指定兩者。除了通訊協定之外,您還可以指定連接埠。如果您指定了服務,則無法指定連接埠。如果規則中既不包含服務也不包含通訊協定,則預設服務值為 [任何]。

也可以在防火牆規則中指定 IP 位址和 IP 範圍。將在 vRealize Automation Cloud 雲端範本中的網路、安全性和負載平衡器範例中顯示一些防火牆規則範例。

當您在 NSX-VNSX-T 隨選安全群組中建立防火牆規則時,預設為允許指定的網路流量,但同時允許其他網路流量。若要控制網路流量,則必須為每個規則指定存取類型。規則存取類型為:
  • 允許 (預設值) - 允許此防火牆規則中指定的網路流量。
  • 拒絕 - 封鎖此防火牆規則中指定的網路流量。主動告知用戶端連線遭到拒絕。
  • 捨棄 - 拒絕此防火牆規則中指定的網路流量。以無訊息方式捨棄封包,就像接聽程式未處於線上狀態時一樣。
如需使用 access: Allowaccess: Deny 防火牆規則的範例設計,請參閱 vRealize Automation Cloud 雲端範本中的網路、安全性和負載平衡器範例
備註: 雲端管理員可以建立僅包含 NSX 隨選安全群組的雲端範本設計,並且可以部署該設計以建立可重複使用的現有安全群組資源,組織成員可將該資源作為現有安全群組新增至網路設定檔和雲端範本設計。

對於來源和目的地 IP 位址,防火牆規則支援 IPv4 或 IPv6 格式的 CIDR 值。如需在防火牆規則中使用 IPv6 CIDR 值的範例設計,請參閱vRealize Automation Cloud 雲端範本中的網路、安全性和負載平衡器範例

VMware Cloud on AWS 隨選安全群組和現有安全群組

可以使用安全群組資源代碼中的 securityGroupType: new 設定,在雲端範本中為 VMware Cloud on AWS 機器定義隨選安全群組。

隨選安全群組的程式碼片段範例如下所示:
resources:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      name: vmc-odsg
      securityGroupType: new
      rules: 
        - name: datapath
          direction: inbound
          protocol: TCP
          ports: 5011
          access: Allow
          source: any

此外,還可以為網路 VMware Cloud on AWS 機器定義現有的安全群組,並選擇性地包含限制標記,如以下範例所示:

  Cloud_SecurityGroup_2:
    type: Cloud.SecurityGroup
    properties:
      constraints: [xyz]
      securityGroupType: existing
Cloud_SecurityGroup_3:
  type: Cloud.SecurityGroup
  properties:
    securityGroupType: existing
     constraints:
        - tag: xyz
支援反覆式雲端範本開發。
  • 如果安全群組與部署中的一或多個機器相關聯,則刪除動作會顯示一條訊息,指出無法刪除此安全群組。
  • 如果安全群組未與部署中的任何機器相關聯,則刪除動作會顯示一條訊息,指出將從此部署中刪除安全群組,且該動作無法復原。現有安全群組將從雲端範本中刪除,而隨選安全群組會遭到銷毀。

使用 NSX-V 安全性標籤和 NSX-T 虛擬機器標籤

vRealize Automation Cloud 雲端範本內的受管理資源中,可以查看並使用 NSX-V 安全性標籤以及 NSX-TNSX-T with Policy 虛擬機器標籤。

可以使用 key: nsxSecurityTag 和一個標籤值在雲端範本內的計算資源中指定 NSX-V 安全性標籤,如下列範例所示:
tags:
  - key: nsxSecurityTag
  - value: security_tag_1
  - key: nsxSecurityTag
  - value: security_tag_2

指定的值必須與 NSX-V 安全性標籤相對應。如果 NSX-V 中沒有與指定的 nsxSecurityTag 索引鍵值相符的安全性標籤,部署將會失敗。

NSX-T 沒有單獨的安全性標籤。在雲端範本中的計算資源上指定的任何標籤,均會導致部署的虛擬機器與 NSX-T 中指定的所有標籤相關聯。對於 NSX-T (包括 NSX-T with Policy),虛擬機器標籤也會在雲端範本中表示為索引鍵值配對。key 設定相當於 NSX-T 中的 scope 設定,value 設定相當於 NSX-T 中指定的 Tag Name

為避免混淆,請勿在用於 NSX-T 時使用 nsxSecurityTag 索引鍵配對。如果將 nsxSecurityTag 索引鍵值配對指定為與 NSX-T 搭配使用 (包括 NSX-T with Policy),則部署會使用與所指定的 value 相符的標籤名稱建立具有空白範圍設定的虛擬機器標籤。在 NSX-T 中檢視此類標籤時,[範圍] 資料行將為空白。

在隨選安全群組防火牆規則中使用應用程式隔離原則

您可以使用應用程式隔離原則,以便僅允許雲端範本佈建的資源之間的內部流量。透過應用程式隔離,雲端範本佈建的機器可以彼此通訊,但無法連線到防火牆外部。您可以在網路設定檔中建立應用程式隔離原則。也可以透過使用具有拒絕防火牆規則或私人或輸出網路的隨選安全群組,在雲端範本設計中指定應用程式隔離。

以較低的優先順序建立應用程式隔離原則。如果套用多個原則,則具有較高權重的原則將優先使用。

建立應用程式隔離原則時,系統會產生自動產生的原則名稱。此原則也可在其他雲端範本設計和特定於相關聯的資源端點和專案的反覆運算中重複使用。應用程式隔離原則名稱在雲端範本中不可見,但在雲端範本設計部署後,它會在專案頁面 (基礎結構 > 管理 > 專案) 上顯示為自訂內容。

對於專案中的同一個關聯端點,任何需要隨選安全群組進行應用程式隔離的部署都可以使用相同的應用程式隔離原則。原則一旦建立,就不會刪除。當您指定應用程式隔離原則時,vRealize Automation Cloud 會在專案中相對於關聯端點搜尋該原則,若找到該原則,則會重複使用該原則,若找不到,則會建立該原則。應用程式隔離原則名稱僅在初始部署後才會顯示在專案的自訂內容清單中。

在反覆式雲端範本開發中使用安全群組

在反覆式開發期間變更安全群組限制時,如果安全群組未與雲端範本中的機器相關聯,則會以指定方式在反覆運算中更新安全群組。但是,如果安全群組已與機器相關聯,則重新部署會失敗。您必須在反覆式雲端範本開發期間將現有安全群組和/或 securityGroupType 資源內容與相關聯的機器中斷連結,並在每次重新部署之間重新關聯。假設您最初已部署雲端範本,則所需的工作流程如下所示。
  1. 在 Cloud Assembly 範本設計工具中,將安全群組與雲端範本中所有相關聯的機器中斷連結。
  2. 按一下更新現有部署以重新部署範本。
  3. 移除範本中的現有安全群組限制標籤和/或 securityGroupType 內容。
  4. 在範本中新增安全群組限制標籤和/或 securityGroupType 內容。
  5. 將新的安全群組限制標籤和/或 securityGroupType 內容執行個體與範本中的機器相關聯。
  6. 按一下更新現有部署以重新部署範本。

可用的第 2 天作業

如需可用於雲端範本和部署資源的常見第 2 天作業的清單,請參閱您可以對 Cloud Assembly 部署執行哪些動作

深入瞭解

如需使用安全群組進行網路隔離的相關資訊,請參閱vRealize Automation Cloud 中的安全資源

如需在網路設定檔中使用安全群組的相關資訊,請參閱進一步瞭解 vRealize Automation Cloud 中的網路設定檔在 Cloud Assembly 中的網路設定檔和雲端範本設計中使用安全群組設定

如需在雲端範本中使用安全群組的範例,請參閱vRealize Automation Cloud 雲端範本中的網路、安全性和負載平衡器範例