Ein Netzwerkprofil definiert eine Gruppe von Netzwerken und Netzwerkeinstellungen, die für ein Cloud-Konto in einer bestimmten Region oder einem bestimmten Datencenter in vRealize Automation Cloud verfügbar sind.

In der Regel definieren Sie Netzwerkprofile zur Unterstützung einer Zielbereitstellungsumgebung, zum Beispiel eine kleine Testumgebung, in der ein vorhandenes Netzwerk nur über ausgehenden Zugriff oder über eine hohe Produktionsumgebung mit Lastausgleich verfügt, die eine Reihe von Sicherheitsrichtlinien benötigt. Stellen Sie sich ein Netzwerkprofil als eine Sammlung von Arbeitslast-spezifischen Netzwerkmerkmalen vor.

Funktionen in einem Netzwerkprofil

Ein Netzwerkprofil enthält spezifische Informationen für einen benannten Cloud-Kontotyp und eine Region in vRealize Automation Cloud, einschließlich der folgenden Einstellungen:
  • Benanntes Cloud-Konto/benannte Region und optionale Funktions-Tags für das Netzwerkprofil.
  • Benannte vorhandene Netzwerke und zugehörige Einstellungen.
  • Netzwerkrichtlinien, die bedarfsgesteuerte und andere Aspekte des Netzwerkprofils definieren.
  • Optionale Einbeziehung vorhandener Lastausgleichsdienste.
  • Optionale Einbeziehung vorhandener Sicherheitsgruppen.

Sie bestimmen die Verwaltungsfunktionen für die Netzwerk-IP basierend auf dem Netzwerkprofil.

Funktions-Tags des Netzwerkprofils werden mit Einschränkungs-Tags in Cloud-Vorlagen abgeglichen, um die Netzwerkauswahl zu steuern. Darüber hinaus werden alle Tags, die den vom Netzwerkprofil erfassten Netzwerken zugewiesen sind, ebenfalls mit Tags in der Cloud-Vorlage abgeglichen, um die Netzwerkauswahl bei der Bereitstellung der Cloud-Vorlage zu steuern.

Funktions-Tags sind optional. Funktions-Tags werden auf alle Netzwerke im Netzwerkprofil angewendet, allerdings nur dann, wenn die Netzwerke als Teil dieses Netzwerkprofils verwendet werden. Für Netzwerkprofile, die keine Funktions-Tags enthalten, findet der Tag-Abgleich nur auf den Netzwerk-Tags statt. Die Netzwerk- und Sicherheitseinstellungen, die im abgeglichenen Netzwerkprofil definiert sind, werden bei der Bereitstellung der Cloud-Vorlage angewendet.

Bei der Verwendung einer statischen IP wird der Adressbereich von vRealize Automation Cloud verwaltet. Für DHCP werden die IP-Start- und -Endadressen vom unabhängigen DHCP-Server verwaltet, und nicht von vRealize Automation Cloud. Bei Verwendung von DHCP oder einer gemischten Netzwerkadresszuteilung wird der Wert für die Netzwerknutzung auf null gesetzt. Ein bedarfsgesteuerter Netzwerkbereich basiert auf der im Netzwerkprofil angegebenen CIDR- und Subnetzgröße. Um sowohl statische als auch dynamische Zuweisungen in der Bereitstellung zu unterstützen, wird der zugeteilte Bereich in zwei Bereiche aufgeteilt: einen für die statische Zuteilung und einen weiteren für die dynamische Zuteilung.

Netzwerke

Netzwerke, die auch als Subnetze bezeichnet werden, sind logische Unterteilungen eines IP-Netzwerks. Ein Netzwerk gruppiert ein Cloud-Konto, eine IP-Adresse oder einen Bereich sowie Netzwerk-Tags, um zu steuern, wie und wo eine Cloud-Vorlagenbereitstellung stattfinden soll. Netzwerkparameter im Profil definieren, wie Maschinen in der Bereitstellung über IP-Ebene 3 miteinander kommunizieren können. Netzwerke können Tags aufweisen.

Sie können Netzwerke zum Netzwerkprofil hinzufügen, vom Netzwerkprofil verwendete Netzwerkaspekte bearbeiten und Netzwerke aus dem Netzwerkprofil entfernen.

Wenn Sie dem Netzwerkprofil ein Netzwerk hinzufügen, können Sie verfügbare Netzwerke aus einer gefilterten Liste von vSphere- und NSX-Netzwerken auswählen. Wenn der Netzwerktyp für den Cloud-Kontotyp unterstützt wird, können Sie ihn zum Netzwerkprofil hinzufügen.

  • Netzwerkdomäne oder Transportzone

    Die Netzwerkdomäne oder Transportzone ist der Distributed Virtual Switch (dvSwitch) für die vSphere vNetwork Distributed PortGroups (dvPortGroup). Eine Transportzone ist ein vorhandenes NSX-Konzept, das mit den Begriffen dvSwitch oder dvPortGroup vergleichbar ist.

    Wenn Sie ein Cloud-Konto von NSX verwenden, lautet der Elementname auf der Seite Transportzone, andernfalls Netzwerkdomäne.

    Bei Standard-Switches entspricht die Netzwerkdomäne oder Transportzone dem Switch. Die Netzwerkdomäne oder Transportzone definiert die Begrenzungen der Subnetze innerhalb von vCenter.

    Eine Transportzone steuert, welche Hosts ein logischer NSX-Switch erreichen kann. Sie kann sich auf einen oder mehrere vSphere-Cluster erstrecken. Transportzonen steuern, welche Cluster und welche virtuellen Maschinen an der Verwendung eines bestimmten Netzwerks teilnehmen können. Subnetze, die zur selben NSX-Transportzone gehören, können für dieselben Maschinenhosts verwendet werden.

  • Domäne

    Stellt die vCenter Single Sign-On-Domäne für eine virtuelle Zielmaschine dar. Domänen werden von einem vCenter-Administrator während der vSphere-Konfiguration konfiguriert. Die Domäne bestimmt den Bereich für die lokale Authentifizierung in vCenter.

  • IPv4-CIDR- und IPv4-Standard-Gateway

    vSphere-Cloud-Konten und vSphere-Maschinenkomponenten in der Cloud-Vorlage unterstützen Methoden für duales IPv6 und IPv4. Beispiel: 192.168.100.14/24 stellt die IPv4-Adresse 192.168.100.14 und das zugehörige Routing-Präfix 192.168.100.0 oder entsprechend die zugehörige Subnetzmaske 255.255.255.0 dar, die 24 führende 1-Bit aufweist. Der IPv4-Block 192.168.100.0/22 stellt die 1024 IP-Adressen von 192.168.100.0 bis 192.168.103.255 dar.

  • IPv6-CIDR- und IPv6-Standard-Gateway

    vSphere-Cloud-Konten und vSphere-Maschinenkomponenten in der Cloud-Vorlage unterstützen Methoden für duales IPv6 und IPv4. Beispiel: Bei 2001:db8::/48 handelt es sich um den IPv6-Adressblock von 2001:db8:0:0:0:0:0:0 bis 2001:db8:0:ffff:ffff:ffff:ffff:ffff.

    Das IPv6-Format wird für bedarfsgesteuerte Netzwerke nicht unterstützt.

  • DNS-Server und DNS-Suchdomänen
  • Öffentliche IP unterstützen

    Wählen Sie diese Option aus, um das Netzwerk als öffentlich zu kennzeichnen. Netzwerkkomponenten in einer Cloud-Vorlage, die eine Eigenschaft vom Typ network type: public aufweisen, werden mit Netzwerken abgeglichen, die als öffentlich gekennzeichnet sind. Weitere Abgleiche erfolgen während der Cloud-Vorlagenbereitstellung zur Ermittlung der Netzwerkauswahl.

  • Standardwert für Zone

    Wählen Sie diese Option aus, um das Netzwerk als Standardeinstellung für die Cloud-Zone zu kennzeichnen. Während der Bereitstellung einer Cloud-Vorlage werden Standardnetzwerke gegenüber anderen Netzwerken bevorzugt.

  • Herkunft

    Gibt die Netzwerkquelle an.

  • Tags

    Gibt ein oder mehrere Tags an, die dem Netzwerk zugewiesen sind. Tags sind optional. Mit dem Tag-Abgleich werden die Netzwerke bestimmt, die für Cloud-Vorlagenbereitstellungen verfügbar sind.

    Netzwerk-Tags sind unabhängig vom Netzwerkprofil auf dem Netzwerkelement selbst vorhanden. Netzwerk-Tags gelten für jedes Vorkommen des Netzwerks, dem sie hinzugefügt wurden, und für alle Netzwerkprofile, die dieses Netzwerk enthalten. Netzwerke können in beliebig viele Netzwerkprofile eingeteilt werden. Unabhängig davon, wo sich das Netzwerkprofil befindet, ist ein Netzwerk-Tag mit diesem Netzwerk verknüpft, wenn das Netzwerk verwendet wird.

    Wenn Sie eine Cloud-Vorlage bereitstellen, werden Einschränkungs-Tags in den Netzwerkkomponenten einer Cloud-Vorlage mit Netzwerk-Tags abgeglichen, einschließlich Funktions-Tags für Netzwerkprofile. Bei Netzwerkprofilen, die Funktions-Tags enthalten, werden die Funktions-Tags auf alle Netzwerke angewendet, die für dieses Netzwerkprofil verfügbar sind. Die Netzwerk- und Sicherheitseinstellungen, die im abgeglichenen Netzwerkprofil definiert sind, werden bei der Bereitstellung der Cloud-Vorlage angewendet.

Netzwerkrichtlinien

Über Netzwerkprofile können Sie Subnetze für vorhandene Netzwerkdomänen definieren, die Einstellungen für statische IP-Adressen, DHCP oder eine Mischung aus statischen und DHCP-IP-Adresseinstellungen enthalten. Auf der Registerkarte Netzwerkrichtlinien können Sie Subnetze definieren und IP-Adresseinstellungen angeben.

Bei Einsatz von NSX-V, NSX-T oder VMware Cloud on AWS werden Netzwerkrichtlinieneinstellungen verwendet, wenn eine Cloud-Vorlage networkType: outbound oder networkType: private oder wenn ein NSX-Netzwerk networkType: routed benötigt.

Je nach zugehörigem Cloud-Konto können Sie Netzwerkrichtlinien verwenden, um Einstellungen für die Netzwerktypen outbound, private und routed sowie für bedarfsgesteuerte Sicherheitsgruppen zu definieren. Sie können auch Netzwerkrichtlinien zum Steuern von existing-Netzwerken verwenden, wenn ein Lastausgleichsdienst mit diesem Netzwerk verknüpft ist.

Ausgehende Netzwerke ermöglichen unidirektionalen Zugriff auf Upstream-Netzwerke. Private Netzwerke lassen keinen externen Zugriff zu. Geroutete Netzwerke ermöglichen horizontalen Datenverkehr zwischen den gerouteten Netzwerken. Die vorhandenen und öffentlichen Netzwerke im Profil werden als zugrunde liegende oder Upstream-Netzwerke verwendet.

Optionen für die folgenden bedarfsgesteuerten Auswahlen werden in der Hilfe zu Netzwerkprofilen beschrieben und nachfolgend zusammengefasst.

  • Kein bedarfsgesteuertes Netzwerk oder keine bedarfsgesteuerte Sicherheitsgruppe erstellen

    Sie können diese Option verwenden, wenn Sie den Netzwerktyp existing oder public angeben. Cloud-Vorlagen, die ein outbound, private oder routed Netzwerk benötigen, sind diesem Profil nicht zugeordnet.

  • Bedarfsgesteuertes Netzwerk erstellen

    Sie können diese Option verwenden, wenn Sie den Netzwerktyp outbound, private oder routed angeben.

    Amazon Web Services, Microsoft Azure, NSX, vSphere und VMware Cloud on AWS unterstützen diese Option.

  • Bedarfsgesteuerte Sicherheitsgruppe erstellen

    Sie können diese Option verwenden, wenn Sie den Netzwerktyp outbound oder private angeben.

    Eine neue Sicherheitsgruppe wird für abgeglichene Cloud-Vorlagen erstellt, wenn der Netzwerktyp outbound oder private lautet.

    Amazon Web Services, Microsoft Azure, NSX und VMware Cloud on AWS unterstützen diese Option.

Netzwerkrichtlinieneinstellungen können spezifisch für den Cloud-Kontotyp sein. Diese Einstellungen werden in der Wegweiser-Hilfe beschrieben und nachfolgend zusammengefasst:

  • Netzwerkdomäne oder Transportzone

    Die Netzwerkdomäne oder Transportzone ist der Distributed Virtual Switch (dvSwitch) für die vSphere vNetwork Distributed PortGroups (dvPortGroup). Eine Transportzone ist ein vorhandenes NSX-Konzept, das mit den Begriffen dvSwitch oder dvPortGroup vergleichbar ist.

    Wenn Sie ein Cloud-Konto von NSX verwenden, lautet der Elementname auf der Seite Transportzone, andernfalls Netzwerkdomäne.

    Bei Standard-Switches entspricht die Netzwerkdomäne oder Transportzone dem Switch. Die Netzwerkdomäne oder Transportzone definiert die Begrenzungen der Subnetze innerhalb von vCenter.

    Eine Transportzone steuert, welche Hosts ein logischer NSX-Switch erreichen kann. Sie kann sich auf einen oder mehrere vSphere-Cluster erstrecken. Transportzonen steuern, welche Cluster und welche virtuellen Maschinen an der Verwendung eines bestimmten Netzwerks teilnehmen können. Subnetze, die zur selben NSX-Transportzone gehören, können für dieselben Maschinenhosts verwendet werden.

  • Externes Subnetz

    Ein bedarfsgesteuertes Netzwerk mit ausgehendem Zugriff erfordert ein externes Subnetz, das über ausgehenden Zugriff verfügt. Das externe Subnetz wird zur Bereitstellung von ausgehendem Zugriff verwendet, wenn es in der Cloud-Vorlage angefordert wird – die Netzwerkplatzierung wird dadurch nicht gesteuert. Das externe Subnetz hat beispielsweise keinen Einfluss auf die Platzierung eines privaten Netzwerks.

  • CIDR

    Bei einer CIDR-Notation handelt es sich um eine komprimierte Darstellung einer IP-Adresse und des zugehörigen Routing-Präfixes. Der CIDR-Wert gibt den bei der Bereitstellung zu verwendenden Netzwerkadressbereich für die Erstellung von Subnetzen an. Diese CIDR-Einstellung auf der Registerkarte Netzwerkrichtlinien akzeptiert IPv4-Notationen, die auf „in/nn“ enden und Werte zwischen 0 und 32 enthalten.

  • Subnetzgröße

    Mit dieser Option wird die Größe des bedarfsgesteuerten Netzwerks unter Verwendung der IPv4-Notation für jedes isolierte Netzwerk in einer Bereitstellung festgelegt, die dieses Netzwerkprofil verwendet. Die Einstellung „Subnetzgröße“ steht für die Verwaltung interner und externer IP-Adressen zur Verfügung.

    Das IPv6-Format wird für bedarfsgesteuerte Netzwerke nicht unterstützt.

  • Distributed Logical Router

    Für ein geroutetes bedarfsgesteuertes Netzwerk müssen Sie beispielsweise ein verteiltes logisches Netzwerk angeben, wenn Sie ein NSX-V-Cloud-Konto verwenden.

    Ein Distributed Logical Router (DLR) wird verwendet, um den horizontalen Datenverkehr zwischen bedarfsgesteuerten gerouteten Netzwerken auf NSX-V weiterzuleiten. Diese Option wird nur angezeigt, wenn der Konto-/Regionswert für das Netzwerkprofil einem NSX-V-Cloud-Konto zugeordnet ist.

  • IP-Bereichszuweisung

    Die Option ist für Cloud-Konten verfügbar, die NSX oder VMware Cloud on AWS unterstützen, einschließlich vSphere.

    Die Einstellung für den IP-Bereich ist verfügbar, wenn ein vorhandenes Netzwerk mit einem externen IPAM-Integrationspunkt verwendet wird.

    Sie können eine der folgenden drei Optionen auswählen, um einen IP-Bereichszuweisungstyp für das Bereitstellungsnetzwerk anzugeben:
    • Statisch und DHCP

      Standardwert wird empfohlen. Diese Mischoption verwendet die zugeteilten Einstellungen für CIDR und Subnetzbereich, um den DHCP-Serverpool so zu konfigurieren, dass er die Hälfte der Adressraumzuteilung mithilfe der (dynamischen) DHCP-Methode und die Hälfte der IP-Adressraumzuteilung mithilfe der statischen Methode unterstützt. Verwenden Sie diese Option, wenn einige der mit einem bedarfsgesteuerten Netzwerk verbundenen Maschinen zugewiesene, statische IP-Adressen und einige andere Maschinen dynamische IP-Adressen benötigen. Zwei IP-Bereiche werden erstellt.

      Diese Option ist äußerst wirksam bei Bereitstellungen mit Maschinen, die mit einem bedarfsgesteuerten Netzwerk verbunden sind, das Maschinen mit statischen IPs und Maschinen mit dynamisch über einen NSX-DHCP-Server zugewiesenen IPs sowie Bereitstellungen enthält, bei denen die Lastausgleichsdienst-VIP statisch ist.

    • DHCP (dynamisch)

      Diese Option verwendet die zugewiesene CIDR-Adresse, um einen IP-Pool auf einem DHCP-Server zu konfigurieren. Alle IP-Adressen für dieses Netzwerk werden dynamisch zugewiesen. Für jede zugewiesene CIDR-Instanz wird ein einzelner IP-Bereich erstellt.

    • Statisch

      Diese Option verwendet die zugewiesene CIDR-Adresse, um IP-Adressen statisch zuzuteilen. Verwenden Sie diese Option, wenn kein konfigurierter DHCP-Server für dieses Netzwerk benötigt wird. Für jede zugewiesene CIDR-Instanz wird ein einzelner IP-Bereich erstellt.

  • IP-Blöcke

    Die Einstellung für die IP-Blöcke ist verfügbar, wenn Sie ein bedarfsgesteuertes Netzwerk mit einem externen IPAM-Integrationspunkt verwenden.

    Mithilfe der Einstellung „IP-Block“ können Sie dem Netzwerkprofil über den integrierten externen IPAM-Anbieter einen benannten IP-Block oder Bereich hinzufügen. Sie können einen hinzugefügten IP-Block auch aus dem Netzwerkprofil entfernen. Informationen zum Erstellen einer externen IPAM-Integration finden Sie unter Hinzufügen einer externen IPAM-Integration für Infoblox in vRealize Automation Cloud.

    Externes IPAM ist für die folgenden Typen von Cloud-Konten/Regionen verfügbar:
    • vSphere
    • vSphere mit NSX-T
    • vSphere mit NSX-V
  • Netzwerkressourcen – Externes Netzwerk

    Externe Netzwerke werden auch als vorhandene Netzwerke bezeichnet. Diese Netzwerke werden datentechnisch erfasst und zur Auswahl bereitgestellt.

  • Netzwerkressourcen – Logischer Tier-0 Router

    NSX-T verwendet den logischen Tier-0-Router als Gateway zu Netzwerken, die sich außerhalb der NSX-Bereitstellung befinden. Der logische Tier-0-Router konfiguriert den ausgehenden Zugriff für bedarfsgesteuerte Netzwerke.

  • Netzwerkressourcen – Edge-Cluster

    Der angegebene Edge-Cluster stellt Routing-Dienste bereit. Der Edge-Cluster wird zum Konfigurieren des ausgehenden Zugriffs für bedarfsgesteuerte Netzwerke und Lastausgleichsdienste verwendet. Er erkennt den Edge-Cluster oder Ressourcenpool, in dem die Edge-Appliance bereitgestellt werden soll.

  • Netzwerkressourcen – Edge-Datenspeicher

    Der angegebene Edge-Datenspeicher, der für die Bereitstellung der Edge-Appliance verwendet wird. Diese Eigenschaft gilt nur für NSX-V.

Tags können verwendet werden, um anzugeben, welche Netzwerke für die Cloud-Vorlage verfügbar sind.

Lastausgleichsdienste

Sie können Lastausgleichsdienste zum Netzwerkprofil hinzufügen. Aufgelistete Lastausgleichsdienste sind basierend auf Informationen verfügbar, die vom Cloud-Quellkonto erfasst wurden.

Wenn ein Tag in einem der Lastausgleichsdienste im Netzwerkprofil einem Tag in einer Lastausgleichsdienstkomponente in der Cloud-Vorlage entspricht, wird der Lastausgleichsdienst während der Bereitstellung berücksichtigt. Lastausgleichsdienste in einem abgeglichenen Netzwerkprofil werden verwendet, wenn eine Cloud-Vorlage bereitgestellt wird.

Weitere Informationen finden Sie unter Verwenden von Einstellungen des Lastausgleichsdiensts in Netzwerkprofilen in vRealize Automation Cloud und Netzwerke, Sicherheitsressourcen und Lastausgleichsdienste in vRealize Automation Cloud.

Sicherheitsgruppen

Wenn eine Cloud-Vorlage bereitgestellt wird, werden die Sicherheitsgruppen im zugehörigen Netzwerkprofil auf die bereitgestellten Netzwerkkarten der Maschine angewendet. Für ein Amazon Web Services-spezifisches Netzwerkprofil stehen die Sicherheitsgruppen im Netzwerkprofil in derselben Netzwerkdomäne (VPC) bereit wie die Netzwerke, die auf der Registerkarte „Netzwerke“ aufgelistet sind. Wenn auf der Registerkarte „Netzwerke“ im Netzwerkprofil keine Netzwerke aufgeführt sind, werden alle verfügbaren Sicherheitsgruppen angezeigt.

Sie können eine Sicherheitsgruppe verwenden, um die Isolierungseinstellungen für ein bedarfsgesteuertes private- oder outbound-Netzwerk weiter zu definieren. Sicherheitsgruppen werden auch auf existing-Netzwerke angewendet. Sie können auch globale Sicherheitsgruppen zuweisen.

Aufgelistete Sicherheitsgruppen sind basierend auf Informationen verfügbar, die aus dem Cloud-Quellkonto erfasst oder als bedarfsgesteuerte Sicherheitsgruppe in einer Projekt- Cloud-Vorlage hinzugefügt werden. Weitere Informationen finden Sie unter Sicherheitsressourcen in vRealize Automation Cloud.

Sicherheitsgruppen werden auf alle Maschinen in der Bereitstellung angewendet, die mit dem Netzwerk verbunden sind, das mit dem Netzwerkprofil übereinstimmt. Da möglicherweise mehrere Netzwerke in einer Cloud-Vorlage vorhanden sind, die jeweils einem anderen Netzwerkprofil entsprechen, können Sie verschiedene Sicherheitsgruppen für verschiedene Netzwerke verwenden.

Hinweis:

Neben der Angabe einer Sicherheitsgruppe können Sie auch NSX-Netzwerke (Standard) oder vSphere-Netzwerke oder beide auswählen. Wenn Sie eine Cloud-Vorlage bereitstellen, fügt vRealize Automation Cloud die zugewiesene oder angegebene Sicherheitsgruppe zu Maschinen-Netzwerkkarten hinzu, die mit dem zugeteilten NSX-Netzwerk verbunden sind. Nur Maschinen-Netzwerkkarten, die mit einem NSX-Netzwerk verbunden sind, können einer NSX-Sicherheitsgruppe hinzugefügt werden. Wenn die Maschinen-Netzwerkkarte mit einem vSphere-Netzwerk verbunden ist, schlägt die Vorlagenbereitstellung fehl.

Durch das Hinzufügen eines Tags zu einer vorhandenen Sicherheitsgruppe können Sie die Sicherheitsgruppe in einer Cloud.SecurityGroup-Komponente der Cloud-Vorlage verwenden. Eine Sicherheitsgruppe muss über mindestens ein Tag verfügen, ansonsten kann sie nicht in einer Cloud-Vorlage verwendet werden. Weitere Informationen finden Sie unter Sicherheitsressourcen in vRealize Automation Cloud und Netzwerke, Sicherheitsressourcen und Lastausgleichsdienste in vRealize Automation Cloud.

Weitere Informationen zu Netzwerkprofilen, Netzwerken, Cloud-Vorlagen und Tags

Weitere Informationen zu Netzwerken finden Sie unter Netzwerkressourcen in vRealize Automation Cloud.

Beispiele für Netzwerkkomponentencode in einer Cloud-Vorlage finden Sie unter Netzwerke, Sicherheitsressourcen und Lastausgleichsdienste in vRealize Automation Cloud.

Weitere Informationen zu Tags und Tag-Strategien finden Sie unter Vorgehensweise zum Verwenden von Tags zur Verwaltung von Cloud Assembly-Ressourcen und -Bereitstellungen.