Proyectos de NSX y VPC en perfiles de red

VMware Aria Automation admite la detección de redes y grupos de seguridad de proyectos de NSX y VPC que se pueden agregar a los perfiles de red.

Qué son los proyectos y las VPC de NSX y cómo se utilizan en VMware Aria Automation

En versiones anteriores, VMware Aria Automation solo podía utilizar redes NSX y grupos de seguridad que forman parte de la rama /infra incluida en la vista Predeterminada de la interfaz de usuario de NSX Manager. A partir de la versión 8.18.1, VMware Aria Automation admite la detección de redes y grupos de seguridad incluidos en todos los proyectos y nubes privadas virtuales (Virtual Private Clouds, VPC) de NSX configurados en NSX Manager. Estas redes y grupos de seguridad se pueden agregar a los perfiles de red que se pueden seleccionar para su asignación a las plantillas de nube.

Un proyecto de NSX permite una estructura de varios tenants para los objetos de seguridad y red de NSX en los que cada proyecto es análogo a un tenant. Una VPC de NSX es una capa adicional de tenants que puede configurar dentro de un proyecto existente. Un administrador configura y administra principalmente los proyectos y las VPC de NSX en NSX Manager. Para obtener más información sobre los proyectos y las VPC de NSX y cómo agregarlos al entorno de NSX Manager, vaya a Estructura de varios tenants de NSX.

VMware Aria Automation recopila información sobre tres tipos de objetos de infraestructura de proyectos y VPC de NSX:

Segmentos de proyecto de NSX
Subredes de VPC de NSX
Grupos de proyectos y VPC de NSX

Dentro de VMware Aria Automation, los segmentos y las subredes se tratan como redes, mientras que los grupos se tratan como grupos de seguridad.

La modificación de subredes de VPC puede tener ciertas limitaciones en VMware Aria Automation, en función de su configuración de IP. Las subredes con una configuración de IP manual incluyen el enrutamiento CIDR, que no se puede modificar en VMware Aria Automation. Sin embargo, todavía puede actualizar el rango de direcciones IP de estas subredes si hace clic en el botón Administrar rangos de IP. Las subredes con una configuración de IP automática en NSX no se pueden modificar en VMware Aria Automation. No se pueden crear rangos de IP de estas subredes porque NSX administra IPAM y el botón Administrar rangos de IP aparece atenuado.

La información relacionada con los segmentos y las subredes se muestra en Infraestructura > Recursos > Redes. La información relacionada con los grupos de seguridad se muestra en Infraestructura > Recursos > Seguridad. Si una red o un grupo de seguridad determinados forman parte de un proyecto o una VPC de NSX, esta información se muestra en la columna Proyecto/VPC de NSX.

Las redes y los grupos de seguridad que forman parte de un proyecto o una VPC de NSX incluyen tres nuevas propiedades personalizadas.

Propiedad personalizada	Descripción
`NsxProjectAndVpc`	Los nombres del proyecto de NSX y, si corresponde a la red o al grupo de seguridad específico, de la VPC de NSX.
`NsxProjectId`	ID del proyecto de NSX.
`NsxVpcId`	ID de la VPC de NSX.

Lógica de asignación para controladoras de interfaz de red (Network Interface Controller, NIC)

La lógica de asignación de VMware Aria Automation prioriza los grupos de seguridad en función de la jerarquía de las redes a las que están conectadas las NIC. La prioridad más alta se otorga a los segmentos de nivel de /infra, seguidos de los segmentos de proyecto y, por último, las subredes de VPC. Los grupos de seguridad de nivel de /infra siempre tienen prioridad si están disponibles. Sin embargo, si la implementación selecciona grupos de seguridad de proyectos o VPC de NSX, se aplican ciertas limitaciones. Si se selecciona un grupo de seguridad de un proyecto de NSX, por ejemplo, todas las NIC asignadas a este grupo de seguridad deben colocarse en segmentos de este proyecto de NSX específico o en las subredes de la VPC o las VPC incluidas en el proyecto de NSX. Si se selecciona un grupo de seguridad de VPC, todas las NIC asignadas a este grupo de seguridad solo se pueden colocar en subredes de esta VPC específica. Si selecciona varios grupos de seguridad en un perfil de red, solo se seleccionarán los que sigan esta lógica de asignación para la NIC en función de la selección de red.

Nota: Si realiza una operación del día 2 en una plantilla de nube implementada que cambia las etiquetas de restricción de una red existente, se puede producir un error en la operación incluso si se puede encontrar la red especificada. Esto se debe a que la nueva red no cumple con los grupos de seguridad asociados con las NIC existentes especificadas durante la implementación del día 0 inicial. En tal caso, recibirá un mensaje de error similar al siguiente:

Operation: 'Update.Network': Unable to find a valid subnet for network 'Network_Name_' of type 'EXISTING' with constraints '[{"tag":"public:subnetType"},{"tag":"DEV-VPC:vpc"}]' in network profile 'NetP'. Filtered subnets [DEV-VPC-PUBLIC-SUB] NSX projects [DEV-PRO / DEV-VPC] are not compatible with NSX projects [DEV-PRO / DEV-VPC1, DEV-PRO] of security groups [DEV-VPC1-GRP1, DEV-PROJ-GRP].