VMware Aria Automation 中的安全资源
VMware Aria Automation
中的安全资源在
Automation Assembler
中添加云帐户后,数据收集会发现该云帐户的网络和安全性信息,并使该信息可用于网络配置文件和其他选项。 安全组和防火墙规则支持网络隔离。将从安全组收集数据,防火墙规则未收集数据。
使用菜单序列,可以查看在
Automation Assembler
云模板设计中创建的按需安全组以及在源应用程序(如 NSX-T
和 Amazon Web Services
)中创建的现有安全组。可用安全组通过数据收集过程公开。 可以使用标记将计算机接口(网卡)与云模板定义或网络配置文件中的安全组相匹配。可以查看可用的安全组,并为选定的安全组添加或移除标记。云模板作者可以将一个或多个安全组分配给计算机网卡,以控制部署的安全性。
在云模板设计中,对于现有安全组,将安全组资源中的
securityGroupType
参数指定为 existing
,对于按需安全组,将该参数指定为 new
。
现有安全组
现有安全组将在
来源
列中显示并归类为 Discovered
。底层云帐户端点(如
NSX-V
、NSX-T
或 Amazon Web Services
应用程序)中的现有安全组可供使用。 云管理员可以将一个或多个标记分配给现有安全组,以便能够在云模板中使用该安全组。云模板作者可以使用云模板设计中的
Cloud.SecurityGroup
资源,通过使用标记限制来分配现有安全组。现有安全组要求在云模板设计的安全资源中至少指定一个限制标记。 如果直接在源应用程序(例如源
NSX
应用程序)而非 Automation Assembler
中编辑现有安全组,则在 Automation Assembler
中不会显示更新,直到运行数据收集并在 Automation Assembler
中对关联的云帐户或集成点收集数据。数据收集每隔 10 分钟自动运行一次。NSX-T
全局管理器和本地管理器云帐户以及与本地管理器关联的 vCenter
云帐户支持现有安全组。Automation Assembler
会枚举现有安全组并将其连接到计算机的网络接口(网卡)或进行数据收集。可以通过在 NSX-T
全局管理器上添加现有安全组来创建全局安全组。然后,关联的本地管理器可以使用此全局安全组。全局安全组可以跨越一个、全部或部分关联的本地管理器。- 对于所有定义的区域,支持并枚举全局现有安全组。
- 页面上会列出全局安全组及其应用于的所有云帐户。
- 可以直接在云模板或选定的网络配置文件中将计算机接口(网卡)与现有全局安全组相关联。
- 全局安全组支持以下实施后操作:
- 在云模板中将安全组从全局安全组重新配置为本地安全组,反之亦然。
- 横向扩展/缩减与全局安全组关联的计算机。
按需安全组
在
Automation Assembler
的云模板或网络配置文件中创建的按需安全组将在来源
列中显示并归类为 Managed by
Automation Assembler
。在网络配置文件中创建的按需安全组在内部分类为具有预配置防火墙规则的隔离安全组,不会作为安全组资源添加到云模板设计中。在云模板设计中创建的按需安全组,以及可以包含快速防火墙规则的按需安全组,将作为分类为 new
的安全组资源的一部分进行添加。
可以直接在云模板设计代码的安全组资源中为
NSX-V
和 NSX-T
的按需安全组创建防火墙规则。应用对象
列不包含由 NSX
分布式防火墙 (DFW) 分类或管理的安全组。应用于应用程序的防火墙规则适用于东西向 DFW 流量。某些防火墙规则只能在源应用程序中进行管理,无法在 Automation Assembler
中进行编辑。例如,在 NSX-T
中管理以太网、紧急情况、基础架构和环境规则。 NSX-T
全局管理器云帐户当前不支持按需安全组。了解更多
有关在网络配置文件中使用安全组的详细信息,请参见了解有关 VMware Aria Automation中的网络配置文件的更多信息。
有关定义防火墙规则的信息,请参见在 VMware Aria Automation 的网络配置文件和云模板设计中使用安全组设置。
有关在云模板中使用安全组的详细信息,请参见详细了解 VMware Aria Automation 云模板中的安全组和标记资源。
有关包含安全组的云模板设计代码示例,请参见 Automation Assembler 中的网络、安全组和负载均衡器示例。