Управление доступом к сети с помощью групп безопасности на платформе Облако VMware
Управление доступом к сети с помощью групп безопасности на платформе Облако VMware реализуется при помощи создания Security Groups в Data Center Group.
Паттерн управления доступом к сети с помощью групп безопасности платформы Облако VMware имеет следующие преимущества и риски:
Преимущества паттерна | Риски |
---|---|
Паттерн разработан для стандартизации управления доступом к сети с помощью групп безопасности платформы Облако VMware | Отсутствуют |
Общая схема
Описание паттерна
Перед пользователем стоит задача организовать и ограничить, то есть запретить, взаимодействие между DCG Network одних Виртуальных ЦОДов и разрешить взаимодействие между DCG Network других Виртуальных ЦОДов:
-
Пользователь создает в VMware Cloud Director Data Center Group в разделе Networking и добавляет в него все Виртуальные ЦОДы, между которыми необходимо организовать сетевую связанность.
-
Администратор Виртуального ЦОДа VMware Cloud Director добавляет один из Edge/T1 в существующие Виртуальные ЦОДы в созданную Data Center Group. Данный Edge/T1 будет выполнять маршрутизацию пакетов между Виртуальными ЦОДами.
-
Пользователь создает сеть в Scope Data Center Group Network сети для каждого Виртуального ЦОДа типа Routed Network и указывает для нее Edge/T1.
-
Созданные сети Data Center Group Network существует в каждом Виртуальном ЦОДе и позволяет подключать к ним сетевые интерфейсы виртуальных машин.
-
Пользователь активирует в свойствах Data Center Group функцию Distributed Firewall.
-
Пользователь создает Security Groups, между которыми необходимо настроить правила Distributed Firewall по взаимодействию по сети.
-
В Security Groups пользователь указывает Data Center Group Networks.
-
Пользователь создает правила на Distributed Firewall в Data Center Group, где в качестве Source и Destination указывает Security Groups.
Реализация
Список последовательных действий для управления доступом к сети с помощью групп безопасности платформы Облако VMware:
-
Создайте новый Виртуальный ЦОД в тенанте.
-
Обратитесь к Администратору Виртуального ЦОДа для создания подходящих групп безопасности и учетных записей.
-
Обратитесь к Администратору Виртуального ЦОДа для создания тенанта и нескольких Виртуальных ЦОДов c Edge/T1.
-
Создайте виртуальное приложение vApp.
-
Создайте виртуальные машины в Виртуальном ЦОДе и добавьте их в виртуальное приложение vApp.
-
Создайте Data Center Group.
-
Создайте сети Routed Network в пространстве Data Center Group.
-
Подключите созданную сеть Виртуального ЦОДа к виртуальным машинам.
-
Активируйте Distributed Firewall в Data Center Group.
-
Создайте Security Group, добавьте в нее сети Data Center Groups через Manage Members.
-
Создайте правило на Distributed Firewall, используя Security Group в качестве Source и Destination.
Результат использования паттерна
-
Сетевая безопасность.
-
Сетевое подключение к Виртуальному ЦОДу.
-
Сетевые сервисы Виртуального ЦОДа.
-
Межсетевое взаимодействие в Виртуальном ЦОДе.
-
Маршрутизируемые сети Виртуального ЦОДа.
-
Группы виртуальных центров обработки данных Виртуального ЦОДа.
- Общая схема
- Описание паттерна
- Реализация
- Результат использования паттерна