VMware Aria Automation unterstützt das Ermitteln von Netzwerken und Sicherheitsgruppen aus NSX-Projekten und VPCs, die zu Netzwerkprofilen hinzugefügt werden können.

Was sind NSX-Projekte und VPCs und wie werden sie in VMware Aria Automation verwendet?

In früheren Versionen konnte VMware Aria Automation nur NSX-Netzwerke und Sicherheitsgruppen verwenden, die Teil des /infra-Zweigs sind, der in der Ansicht Standard der NSX Manager-Benutzeroberfläche enthalten ist. Ab 8.18.1 unterstützt VMware Aria Automation die Ermittlung von Netzwerken und Sicherheitsgruppen, die in allen in NSX Manager konfigurierten NSX-Projekten und Virtual Private Clouds (VPCs) enthalten sind. Diese Netzwerke und Sicherheitsgruppen können zu Netzwerkprofilen hinzugefügt werden, die für die Zuteilung zu Ihren Cloud-Vorlagen ausgewählt werden können.

Ein NSX-Projekt ermöglicht die Mehrmandantenfähigkeit für NSX-Netzwerk- und -Sicherheitsobjekte, wobei jedes Projekt analog zu einem Mandanten ist. Eine NSX-VPC ist eine zusätzliche Mandantenebene, die Sie innerhalb eines vorhandenen Projekts konfigurieren können. Sowohl NSX-Projekte als auch VPCs werden in erster Linie in NSX Manager von einem Administrator konfiguriert und verwaltet. Weitere Informationen zu NSX-Projekten und VPCs und wie Sie sie in Ihrer NSX Manager-Umgebung hinzufügen können, erfahren Sie unter NSX-Mehrmandantenfähigkeit.

VMware Aria Automation erfasst Informationen zu drei Typen von NSX-Projekt- und VPC-Infrastrukturobjekten:

  • NSX-Projektsegmente
  • NSX VPC-Subnetze
  • NSX-Projekt- und VPC-Gruppen

Innerhalb von VMware Aria Automation werden Segmente und Subnetze als Netzwerke behandelt, während Gruppen als Sicherheitsgruppen behandelt werden.

Für das Ändern von VPC-Subnetzen kann es je nach ihrer IP-Konfiguration bestimmte Einschränkungen in VMware Aria Automation geben. Subnetze mit einer manuellen IP-Konfiguration enthalten CIDR-Routing, das in VMware Aria Automation nicht geändert werden kann. Sie können den IP-Bereich dieser Subnetze jedoch weiterhin aktualisieren, indem Sie auf die Schaltfläche IP-Bereiche verwalten klicken. Subnetze mit einer automatischen IP-Konfiguration in NSX können in VMware Aria Automation nicht geändert werden. Sie können keine IP-Bereiche dieser Subnetze erstellen, da IPAM von NSX verwaltet wird und die Schaltfläche IP-Bereiche verwalten ausgegraut ist.

Informationen zu Segmenten und Subnetzen werden unter Infrastruktur > Ressourcen > Netzwerke angezeigt. Informationen zu Sicherheitsgruppen werden unter Infrastruktur > Ressourcen > Sicherheit angezeigt. Wenn ein bestimmtes Netzwerk oder eine bestimmte Sicherheitsgruppe Teil eines NSX-Projekts oder einer VPC ist, werden diese Informationen in der Spalte NSX-Projekt/VPC angezeigt.

Netzwerke und Sicherheitsgruppen, die Teil eines NSX-Projekts und/oder einer VPC sind, enthalten drei neue benutzerdefinierte Eigenschaften.

Benutzerdefinierte Eigenschaft Beschreibung
NsxProjectAndVpc Die Namen des NSX-Projekts und, sofern für das jeweilige Netzwerk oder die Sicherheitsgruppe zutreffend, der NSX-VPC.
NsxProjectId Die ID des NSX-Projekts.
NsxVpcId Die ID der NSX-VPC.

Zuteilungslogik für Netzwerkschnittstellen-Controller (NICs)

Die Zuteilungslogik von VMware Aria Automation priorisiert Sicherheitsgruppen basierend auf der Hierarchie der Netzwerke, mit denen die Netzwerkkarte oder -karten verbunden sind. Die höchste Priorität haben Segmente auf /infra-Ebene, gefolgt von Projektsegmenten und schließlich VPC-Subnetzen. Sicherheitsgruppen auf /infra-Ebene werden, sofern verfügbar, immer priorisiert. Wenn die Bereitstellung jedoch Sicherheitsgruppen aus NSX-Projekten oder VPCs auswählt, gelten bestimmte Einschränkungen. Wenn beispielsweise eine NSX-Projekt-Sicherheitsgruppe ausgewählt ist, müssen alle dieser Sicherheitsgruppe zugewiesenen Netzwerkkarten auf Segmenten in diesem spezifischen NSX-Projekt oder auf Subnetzen in der VPC oder den VPCs landen, die unter dem NSX-Projekt enthalten sind. Wenn eine VPC-Sicherheitsgruppe ausgewählt ist, können alle dieser Sicherheitsgruppe zugewiesenen Netzwerkkarten nur in Subnetzen in dieser spezifischen VPC landen. Wenn Sie mehrere Sicherheitsgruppen in einem Netzwerkprofil auswählen, werden nur diejenigen, die dieser Zuteilungslogik folgen, basierend auf der Netzwerkauswahl für die Netzwerkkarte ausgewählt.

Hinweis: Wenn Sie einen Tag-2-Vorgang für eine bereitgestellte Cloud-Vorlage durchführen, der die Einschränkungs-Tags eines vorhandenen Netzwerks ändert, kann der Vorgang auch dann fehlschlagen, wenn das angegebene Netzwerk gefunden wird. Dies wird dadurch verursacht, dass das neue Netzwerk nicht mit den Sicherheitsgruppen übereinstimmt, die mit den vorhandenen Netzwerkkarten verknüpft sind, die während der anfänglichen Tag-0-Bereitstellung angegeben wurden. In einem solchen Szenario erhalten Sie eine Fehlermeldung ähnlich der folgenden: 
Operation: 'Update.Network': Unable to find a valid subnet for network 'Network_Name_' of type 'EXISTING' with constraints '[{"tag":"public:subnetType"},{"tag":"DEV-VPC:vpc"}]' in network profile 'NetP'. Filtered subnets [DEV-VPC-PUBLIC-SUB] NSX projects [DEV-PRO / DEV-VPC] are not compatible with NSX projects [DEV-PRO / DEV-VPC1, DEV-PRO] of security groups [DEV-VPC1-GRP1, DEV-PROJ-GRP].