Cloud Assembly 中新增雲端帳戶後,資料收集會探索雲端帳戶的網路和安全性資訊,並讓該資訊可用於網路設定檔和其他選項中。

安全群組和防火牆規則支援網路隔離。安全群組已進行資料收集。防火牆規則不會進行資料收集。

透過使用基礎結構 > 資源 > 安全性功能表順序,您可以檢視在 Cloud Assembly 雲端範本設計中建立的隨選安全群組,以及在來源應用程式中已建立的現有安全群組,例如 NSX-TAmazon Web Services。可用的安全群組會透過資料收集程序公開。

可以使用標籤將機器介面 (NIC) 與雲端範本定義或網路設定檔中的安全群組相符。您可以檢視可用的安全群組,以及新增或移除所選安全群組的標籤。雲端範本作者可將一或多個安全群組指派給機器 NIC,以控制部署的安全性。

在雲端範本設計中,對於現有安全群組,安全群組資源中的 securityGroupType 參數將指定為 existing,對於隨選安全群組,此參數將指定為 new

現有安全群組

顯示現有安全群組並將其在來源資料行中分類為 Discovered

來自基礎雲端帳戶端點的現有安全群組 (例如 NSX-VNSX-TAmazon Web Services 應用程式) 可供使用。

雲端管理員可將一或多個標籤指派給現有安全群組,以允許在雲端範本中使用該標籤。雲端範本作者可以在雲端範本設計中使用 Cloud.SecurityGroup 資源,透過使用標籤限制來配置現有的安全群組。現有安全群組要求在雲端範本設計的安全資源中至少指定一個限制標籤。

如果您直接在來源應用程式中 (例如,在來源 NSX 應用程式中,而不是在 Cloud Assembly 中) 編輯現有安全群組,則這些更新不會顯示在 Cloud Assembly 中,直到執行資料收集並從 Cloud Assembly 中對相關聯雲端帳戶或整合點收集資料。資料收集會每 10 分鐘自動執行一次。

NSX-T 全域管理程式和本機管理程式雲端帳戶以及與本機管理程式相關聯的 vCenter 雲端帳戶支援現有安全群組。 Cloud Assembly 會列舉現有安全群組並將其連結到機器的網路介面 (NIC) 或進行資料收集。可以透過在 NSX-T 全域管理程式上新增現有安全群組來建立全域安全群組。然後,相關聯的本機管理程式可以使用此全域安全群組。全域安全群組可以跨越一個、全部或部分相關聯的本機管理程式。
  • 對於所有定義的區域,支援並列舉全域現有安全群組。
  • 基礎結構 > 資源頁面上會列出全域安全群組及其套用到的所有雲端帳戶。
  • 可以直接在雲端範本或所選網路設定檔中將機器介面 (NIC) 與現有全域安全群組相關聯。
  • 全域安全群組支援以下第 2 天作業:
    • 在雲端範本中將安全群組從全域安全群組重新設定為本機安全群組,反之亦然。
    • 擴充/縮小與全域安全群組相關聯的機器。

隨選安全群組

顯示您在 Cloud Assembly 的雲端範本或網路設定檔中建立的隨選安全群組,並將其在來源資料行中分類為 Managed by Cloud Assembly。建立作為網路設定檔一部分的隨選安全群組會在內部分類為具有預先設定的防火牆規則的隔離安全群組,且不會作為安全群組資源新增至雲端範本設計。在雲端範本設計中建立且可包含快速防火牆規則的隨選安全群組,將作為分類為 new 之安全群組資源的一部分進行新增。

備註:

您可以直接在雲端範本設計代碼中的安全群組資源中,為 NSX-VNSX-T 建立防火牆規則。套用至欄不包含由 NSX Distributed Firewall (DFW) 分類或管理的安全群組。套用至應用程式的防火牆規則適用於東西向 DFW 流量。某些防火牆規則僅可在來源應用程式中進行管理,並且無法在 Cloud Assembly 中編輯。例如,在 NSX-T 中管理乙太網路、緊急、基礎結構和環境規則。

NSX-T 全域管理程式雲端帳戶目前不支援隨選安全群組。

深入瞭解

如需有關在網路設定檔中使用安全群組的詳細資訊,請參閱進一步瞭解 vRealize Automation Cloud 中的網路設定檔

如需定義防火牆規則的相關資訊,請參閱在 vRealize Automation Cloud 中的網路設定檔和雲端範本設計中使用安全群組設定

如需有關在雲端範本中使用安全群組的詳細資訊,請參閱有關 vRealize Automation Cloud 雲端範本中的安全群組和標籤資源的詳細資訊

如需包含安全群組的雲端範本設計代碼範例,請參閱 vRealize Automation Cloud 中的網路、安全資源和負載平衡器