Um perfil de rede define um grupo de redes e configurações de rede que estão disponíveis para uma conta de nuvem em uma determinada região ou centro de dados no vRealize Automation.
Geralmente, são definidos perfis de rede para oferecer suporte a um ambiente de implantação de destino, por exemplo, um ambiente de teste pequeno no qual uma rede existente tem apenas acesso de saída ou um ambiente de produção balanceado por carga que precisa de um conjunto de políticas de segurança. Imagine um perfil de rede como uma coleção de características de rede específicas da carga de trabalho.
O que há em um perfil de rede
- Conta/região de nuvem nomeada e tags de capacidade opcionais para o perfil de rede.
- Redes existentes nomeadas e suas configurações.
- Políticas de rede que definem o aspecto sob demanda e outros aspectos do perfil de rede.
- Inclusão opcional de balanceadores de carga existentes.
- Inclusão opcional de grupos de segurança existentes.
Você determina a funcionalidade do gerenciamento de IPs da rede com base no perfil da rede.
Tags de capacidade do perfil de rede são combinadas com tags de restrição em modelos de nuvem para ajudar a controlar a seleção da rede. Além disso, todas as tags atribuídas às redes coletadas pelo perfil de rede também são correspondidas com tags no modelo de nuvem para ajudar a controlar a seleção da rede quando o modelo de nuvem é implantado.
As tags de capacidade são opcionais. Tags de capacidade são aplicadas a todas as redes no perfil de rede, mas somente quando as redes são usadas como parte desse perfil de rede. Para perfis de rede que não contêm tags de capacidade, a correspondência de tag ocorre apenas nas tags de rede. As configurações de rede e segurança definidas no perfil de rede correspondente são aplicadas quando o modelo de nuvem é implantado.
Ao usar um IP estático, o intervalo de endereços é gerenciado pelo vRealize Automation. Para o DHCP, os endereços IP iniciais e finais são gerenciados pelo servidor DHCP independente, e não pelo vRealize Automation. Ao usar o DHCP ou a alocação de endereços de rede mistos, o valor de utilização da rede é definido como zero. Um intervalo alocado de rede sob demanda é baseado no CIDR e no tamanho da sub-rede especificados no perfil da rede. Para oferecer suporte à atribuição estática e dinâmica na implantação, o intervalo alocado é dividido em dois intervalos: um para alocação estática e outro para alocação dinâmica.
Redes
As redes, também conhecidas como sub-redes, são subdivisões lógicas de uma rede IP. Uma rede agrupa uma conta de nuvem, um endereço IP ou um intervalo e tags de rede para controlar como e onde provisionar uma implantação de modelo de nuvem. Os parâmetros de rede no perfil definem como as máquinas na implantação podem se comunicar umas com as outras pela camada de IP 3. As redes podem ter tags.
Você pode adicionar redes ao perfil de rede, editar aspectos de redes que são usados pelo perfil de rede e remover redes do perfil de rede.
Ao adicionar uma rede ao perfil de rede, você pode selecionar as redes disponíveis em uma lista filtrada de redes do vSphere e do NSX. Se o tipo de rede for compatível com o tipo de conta de nuvem, você poderá adicioná-lo ao perfil de rede.
Em uma implantação baseada em VCF, os segmentos de rede do NSX são criados localmente na rede do NSX-T, eles não são criados como redes globais.
- Domínio de rede ou Zona de transporte
Um domínio de rede ou zona de transporte é o comutador virtual distribuído (dvSwitch) para o vSphere vNetwork Distributed PortGroups (dvPortGroup). Uma zona de transporte é um conceito existente do NSX que é semelhante a termos como dvSwitch ou dvPortGroup.
Ao usar uma conta de nuvem do NSX, o nome do elemento na página é Zona de transporte. Caso contrário, é Domínio de rede.
Para comutadores padrão, o domínio de rede ou zona de transporte é idêntico ao próprio comutador. O domínio de rede ou a zona de transporte define os limites das sub-redes dentro do vCenter.
Uma zona de transporte controla quais hosts um comutador lógico do NSX pode acessar. Ele pode abranger um ou mais clusters vSphere. Zonas de transporte controlam quais clusters e quais máquinas virtuais podem participar do uso de uma rede específica. Sub-redes que pertencerem à mesma zona de transporte do NSX podem ser usadas para os mesmos hosts de máquina.
- Domínio
Representa o nome de domínio da máquina. O nome de domínio é transmitido para a especificação de personalização da máquina vSphere.
- CIDR IPv4 e gateway padrão IPv4
Os componentes de máquina do vSphere no modelo de nuvem oferecem suporte para IPv4, IPv6 e atribuição de IP de pilha dupla para interfaces de rede. Por exemplo: 192.168.100.14/24 representa o endereço IPv4 192.168.100.14 e seu prefixo de roteamento associado 192.168.100.0, ou de forma equivalente, sua máscara de sub-rede 255.255.255.0 que tem 1 bit de entrelinhamento 24. O bloco IPv4 192.168.100.0/22 representa os 1024 endereços IP do 192.168.100.0 para o 192.168.103.255.
- CIDR IPv6 e gateway padrão IPv6
Os componentes de máquina do vSphere no modelo de nuvem oferecem suporte para IPv4, IPv6 e atribuição de IP de pilha dupla para interfaces de rede. Por exemplo, 2001:db8::/48 representa o bloco de endereços IPv6 de 2001:db8:0:0:0:0:0:0 a 2001:db8:0:ffff:ffff:ffff:ffff:ffff.
O formato IPv6 não tem suporte com redes sob demanda. Para obter informações relacionadas, consulte Como usar as configurações de rede em perfis de rede e modelos de nuvem no vRealize Automation.
- Servidores DNS e Domínios de pesquisa de DNS
- Suportar IP público
Selecione essa opção para sinalizar a rede como pública. Os componentes de rede em um modelo de nuvem que têm uma propriedade network type: public correspondem às redes que estão sinalizadas como públicas. Outras correspondências ocorrem durante a implantação do modelo de nuvem para determinar a seleção da rede.
- Padrão para zona
Selecione essa opção para sinalizar a rede como padrão para a zona da nuvem. Durante a implantação de modelo de nuvem, as redes padrão são preferidas sobre outras redes.
- Origem
Identifica a fonte da rede.
- Tags
Especifica uma ou mais tags atribuídas à rede. As tags são opcionais. A correspondência de tags afeta quais redes estão disponíveis para suas implantações de modelo de nuvem.
As tags de rede existem no próprio item de rede, independentemente do perfil de rede. As tags de rede se aplicam a todas as ocorrências da rede que foram adicionadas a todos os perfis de rede que contenham essa rede. As redes podem ser modeladas em qualquer número de perfis de rede. Independentemente da residência do perfil de rede, uma tag de rede será associada a essa rede onde quer que a rede seja usada.
Ao implantar um modelo de nuvem, tags de restrição nos componentes de rede de um modelo de nuvem são correspondidas a tags de rede, incluindo tags de capacidade de perfil de rede. Para perfis de rede que contêm tags de capacidade, estas são aplicadas a todas as redes que estão disponíveis para esse perfil de rede. As configurações de rede e segurança definidas no perfil de rede correspondente são aplicadas quando o modelo de nuvem é implantado.
Políticas de rede
Usando perfis de rede, você pode definir sub-redes para domínios de rede existentes que contêm configurações de endereço IP estático, DHCP ou uma mistura de configurações de endereço IP estático e DHCP. Você pode definir sub-redes e especificar configurações de endereço IP usando a guia Políticas de Rede.
Ao usar o NSX-V, o NSX-T ou o VMware Cloud on AWS, as configurações de política de rede são usadas quando um modelo de nuvem requer networkType: outbound
ou networkType: private
ou quando uma rede NSX requer networkType: routed
.
outbound
,
private
e
routed
e para grupos de segurança sob demanda. Você também pode usar políticas de rede para controlar redes
existing
quando há um balanceador de carga associado a essa rede.
As redes de saída permitem um acesso unidirecional a redes de upstream. As redes privadas não permitem qualquer acesso externo. As redes roteadas permitem tráfego leste/oeste entre as redes roteadas. As redes existentes e públicas nesse perfil são usadas como as redes subjacentes ou upstream.
As opções para as seguintes seleções sob demanda estão descritas na ajuda na tela sobre Perfis de rede e são resumidas abaixo.
- Não criar rede sob demanda ou grupo de segurança sob demanda
É possível usar essa opção ao especificar um tipo de rede
existing
oupublic
. modelos de nuvem que exigem uma redeoutbound
,private
ourouted
não são correspondidos a esse perfil. - Criar uma rede sob demanda
É possível usar essa opção ao especificar um tipo de rede
outbound
,private
ourouted
.A Amazon Web Services, o Microsoft Azure, o NSX, o vSphere e o VMware Cloud on AWS oferecem suporte para essa opção.
- Criar um grupo de segurança sob demanda
É possível usar essa opção ao especificar um tipo de rede
outbound
ouprivate
.Um novo grupo de segurança será criado para modelos de nuvem correspondentes se o tipo de rede for
outbound
ouprivate
.A Amazon Web Services, o Microsoft Azure, o NSX e o VMware Cloud on AWS oferecem suporte para essa opção.
As configurações de políticas de rede podem ser específicas para o tipo de conta na nuvem. Essas configurações são descritas na ajuda de sinalização na tela e resumidas abaixo:
- Domínio de rede ou Zona de transporte
Um domínio de rede ou zona de transporte é o comutador virtual distribuído (dvSwitch) para o vSphere vNetwork Distributed PortGroups (dvPortGroup). Uma zona de transporte é um conceito existente do NSX que é semelhante a termos como dvSwitch ou dvPortGroup.
Ao usar uma conta de nuvem do NSX, o nome do elemento na página é Zona de transporte. Caso contrário, é Domínio de rede.
Para comutadores padrão, o domínio de rede ou zona de transporte é idêntico ao próprio comutador. O domínio de rede ou a zona de transporte define os limites das sub-redes dentro do vCenter.
Uma zona de transporte controla quais hosts um comutador lógico do NSX pode acessar. Ele pode abranger um ou mais clusters vSphere. Zonas de transporte controlam quais clusters e quais máquinas virtuais podem participar do uso de uma rede específica. Sub-redes que pertencerem à mesma zona de transporte do NSX podem ser usadas para os mesmos hosts de máquina. Os tipos de zona de transporte são sobreposição ou VLAN. Para obter informações sobre como usar uma zona de transporte de VLAN para definir segmentos de VLAN, consulte Recursos de rede no vRealize Automation.
- Sub-rede externa
Uma rede sob demanda com acesso de saída requer uma sub-rede externa que tenha acesso de saída. A sub-rede externa é usada para fornecer acesso de saída se solicitado no modelo de nuvem — ela não controla o posicionamento da rede. Por exemplo, a sub-rede externa não afeta o posicionamento de uma rede privada.
- CIDR
A notação CIDR é uma representação compacta de um endereço IP e do seu prefixo de roteamento associado. O valor de CIDR especifica o intervalo de endereços de rede a ser usado durante o provisionamento para criar sub-redes. Essa configuração de CIDR na guia Políticas de Rede aceita a notação IPv4 que termina em /nn e contém valores entre 0 e 32.
- Tamanho da sub-rede
Essa opção especifica o tamanho da rede sob demanda, usando notação IPv4, para cada rede isolada em uma implantação que usa esse perfil de rede. A configuração do tamanho da sub-rede está disponível para gerenciamento de endereço IP interno ou externo.
O formato IPv6 não tem suporte com redes sob demanda.
- Roteador lógico distribuído
Para uma rede roteada sob demanda, você deve especificar uma rede lógica distribuída ao usar uma conta de nuvem do NSX-V.
Um roteador lógico distribuído (DLR) é usado para rotear o tráfego leste/oeste entre redes roteadas sob demanda no NSX-V. Essa opção só estará visível se o valor de conta/região para o perfil de rede estiver associado a uma conta de nuvem do NSX-V.
- Atribuição de intervalo de IPs
Essa opção está disponível para contas de nuvem que oferecem suporte ao NSX ou ao VMware Cloud on AWS, incluindo o vSphere.
A configuração de intervalo de IPs está disponível ao usar uma rede existente com um ponto de integração de IPAM externo.
Você pode selecionar uma das três opções a seguir para especificar um tipo de atribuição de intervalo de IPs para a rede de implantação:- Estático e DHCP
Padrão e recomendado. Essa opção mista usa as configurações alocadas de CIDR e Intervalo de sub-redes para configurar o pool de servidores DHCP para oferecer suporte à metade da alocação do espaço de endereços usando o método DHCP (dinâmico) e à metade da alocação do espaço de endereços IP usando o método Estático. Use essa opção quando algumas das máquinas que estão conectadas a uma rede sob demanda exigem endereços IP estáticos atribuídos e outras exigem endereços IP dinâmicos. Dois intervalos de IP são criados.
Essa opção é mais eficaz em implantações com máquinas que estão conectadas a uma rede sob demanda, em que algumas das máquinas são recebem IPs estáticos e outras máquinas têm IPs atribuídos dinamicamente por um servidor DHCP do NSX e implantações em que o VIP do balanceador de carga é estático.
- DHCP (dinâmico)
Essa opção usa o CIDR alocado para configurar um pool de IPs em um servidor DHCP. Todos os endereços IP para essa rede são atribuídos dinamicamente. Um único intervalo de IPs é criado para cada CIDR alocado.
- Estático
Essa opção usa o CIDR alocado para alocar endereços IP estaticamente. Use-a quando um servidor DHCP não precisa ser configurado para a rede. Um único intervalo de IPs é criado para cada CIDR alocado.
- Estático e DHCP
- Blocos de IP
A configuração de blocos de IPs está disponível ao usar uma rede sob demanda com um ponto de integração de IPAM externo.
Usando a configuração de blocos de IP, é possível adicionar um bloco de IPs nomeado, ou intervalo, ao perfil de rede do seu provedor de IPAM externo integrado. Você também pode remover um bloco de IP adicionado do perfil de rede. Para obter informações sobre como criar uma integração de IPAM externo, consulte Adicionar uma integração de IPAM externo para Infoblox no vRealize Automation.
O IPAM externo está disponível para os seguintes tipos de conta/região de nuvem:- vSphere
- vSphere com NSX-T
- vSphere com NSX-V
- Recursos de Rede - Rede externa
Redes externas também são chamadas de redes existentes. Essas redes são coletadas por dados e disponibilizadas para seleção.
- Recursos de Rede - Roteador lógico de camada 0
O NSX-T usa o roteador lógico de camada 0 como gateway para redes externas à implantação do NSX. O roteador lógico de camada 0 configura o acesso de saída para redes sob demanda.
- Recursos de Rede - Edge Cluster
O cluster de borda especificado fornece serviços de roteamento. O cluster de borda é usado para configurar o acesso de saída para redes sob demanda e balanceadores de carga. Ele identifica o cluster de borda ou o pool de recursos no qual o dispositivo de borda deve ser implantado.
- Recursos de Rede - Repositório de dados de borda
O repositório de dados de borda especificado é usado para provisionar o dispositivo de borda. Essa configuração aplica-se somente ao NSX-V.
Tags podem ser usadas para especificar quais redes estão disponíveis para o modelo de nuvem.
Balanceadores de carga
Você pode adicionar balanceadores de carga ao perfil de rede. Os balanceadores de carga listados estão disponíveis com base nas informações coletadas por dados da conta de nuvem de origem.
Se uma tag em qualquer um dos balanceadores de carga no perfil de rede corresponder a uma tag em um componente de balanceador de carga no modelo de nuvem, o balanceador de carga será levado em consideração durante a implantação. Os balanceadores de carga em um perfil de rede correspondido são usados quando um modelo de nuvem é implantado.
Para obter mais informações, consulte Usando configurações de balanceador de carga em perfis de rede no vRealize Automation e Redes, recursos de segurança e balanceadores de carga no vRealize Automation.
Grupos de segurança
Quando um modelo de nuvem é implantado, os grupos de segurança em seu perfil de rede são aplicados às NICs de máquina que são provisionadas. Para um perfil de rede específico do Amazon Web Services, os grupos de segurança no perfil de rede estão disponíveis no mesmo domínio de rede (VPC) que as redes listadas na guia Redes. Se o perfil de rede não tiver redes listadas na guia Redes, todos os grupos de segurança disponíveis serão exibidos.
Você pode usar um grupo de segurança para definir ainda mais as configurações de isolamento para uma rede private
ou outbound
sob demanda. Grupos de segurança também são aplicados a redes existing
. Você também pode atribuir grupos de segurança globais.
Os grupos de segurança listados estão disponíveis com base nas informações coletadas por dados da conta de nuvem de origem ou adicionadas como um grupo de segurança sob demanda em um modelo de nuvem de projeto. Para obter mais informações, consulte Recursos de segurança no vRealize Automation.
Os grupos de segurança são aplicados a todas as máquinas na implantação que estão conectadas à rede que corresponde ao perfil de rede. Como pode haver várias redes em um modelo de nuvem, cada uma correspondendo a um perfil de rede diferente, é possível usar diferentes grupos de segurança para diferentes redes.
Além de especificar um grupo de segurança, você também pode selecionar redes (padrão) do NSX, redes do vSphere ou ambas. Quando você implanta um modelo de nuvem, o vRealize Automation adiciona o grupo de segurança alocado ou especificado aos NICs de máquina que estão conectados à rede alocada do NSX. Somente os NICs de máquina que estão conectados a uma rede do NSX podem ser adicionados a um grupo de segurança do NSX. Se o NIC da máquina estiver conectado a uma rede do vSphere, haverá falha na implantação do modelo.
Adicionar uma tag a um grupo de segurança existente permite que você use esse grupo de segurança em um componente Cloud.SecurityGroup de modelo de nuvem. Um grupo de segurança deve ter pelo menos uma tag ou não poderá ser usado em um modelo de nuvem. Para obter mais informações, consulte Recursos de segurança no vRealize Automation e Redes, recursos de segurança e balanceadores de carga no vRealize Automation.
Mais informações sobre perfis de rede, redes, modelos de nuvem e tags
Para obter mais informações sobre redes, consulte Recursos de rede no vRealize Automation.
Para obter exemplos de amostras de código de componentes de rede em um modelo de nuvem, consulte Redes, recursos de segurança e balanceadores de carga no vRealize Automation.
Para obter mais informações sobre tags e estratégia de marcação, consulte Como usar tags para gerenciar recursos e implantações do Cloud Assembly.
Para obter informações sobre como nomear NICs de máquina, consulte Como posso configurar um nome de controlador de interface de rede usando ações de extensibilidade.