Un perfil de red define un grupo de redes y los ajustes de red que se encuentran disponibles para una cuenta de nube en una región o un centro de datos determinados en vRealize Automation.
Los perfiles de red se suelen definir para admitir un entorno de implementación de destino, por ejemplo, un entorno de prueba pequeño en el que una red existente solo tiene acceso saliente o un entorno de producción de gran tamaño con equilibrio de carga que necesita un conjunto de directivas de seguridad. Piense en un perfil de red como una colección de características de red específicas de la carga de trabajo.
Qué contiene un perfil de red
- Cuenta o región de nube con nombre y etiquetas de capacidad opcionales para el perfil de red.
- Redes existentes con nombre y su configuración.
- Directivas de red que definen a petición y otros aspectos del perfil de red.
- Inclusión opcional de equilibradores de carga existentes.
- Inclusión opcional de grupos de seguridad existentes.
La funcionalidad de administración de IP de red se determina en función del perfil de red.
Las etiquetas de capacidad de perfil de red coinciden con las etiquetas de restricción de las plantillas de nube para ayudar a controlar la selección de red. Además, todas las etiquetas que se asignan a las redes que recopila el perfil de red también coinciden con las etiquetas de la plantilla de nube para ayudar a controlar la selección de red cuando se implementa la plantilla.
Las etiquetas de capacidad son opcionales. Las etiquetas de capacidad se aplican a todas las redes del perfil de red, pero solo cuando las redes se usan como parte de ese perfil de red. Para los perfiles de red que no contienen etiquetas de capacidad, la coincidencia de etiquetas se produce solo en las etiquetas de red. La configuración de redes y seguridad que se define en el perfil de red coincidente también se aplica cuando se implementa la plantilla de nube.
Cuando se utiliza una IP estática, vRealize Automation administra el rango de direcciones. Para DHCP, el servidor DHCP independiente administra las direcciones IP iniciales y finales, no vRealize Automation. Cuando se utiliza DHCP o una asignación de direcciones de red mixta, el valor de uso de red se establece en cero. Un rango de redes a petición asignadas se basa en el CIDR y el tamaño de subred especificados en el perfil de red. Para admitir asignación dinámica y estática en la implementación, el rango asignado se divide en dos: uno para asignación estática y otro para asignación dinámica.
Redes
Las redes, también denominadas subredes, son subdivisiones lógicas de una red de IP. Una red agrupa una cuenta de nube, una dirección IP o un rango de direcciones IP y etiquetas de red para controlar cómo y dónde aprovisionar una implementación de plantilla de nube. Los parámetros de red en el perfil definen la forma en que las máquinas de la implementación pueden comunicarse entre sí mediante la capa 3 de IP. Las redes pueden tener etiquetas.
Puede agregar redes al perfil de red, editar aspectos de las redes que el perfil de red utiliza y eliminar redes del perfil de red.
Al agregar una red al perfil de red, puede seleccionar las redes disponibles de una lista filtrada de redes de vSphere y NSX. Si el tipo de red es compatible con el tipo de cuenta de nube, puede agregarla al perfil de red.
En una implementación basada en VCF, se crean segmentos de red de NSX de manera local en la red de NSX-T y no se crean como redes globales.
- Dominio de red o zona de transporte
Un dominio de red o una zona de transporte son el conmutador virtual distribuido (dvSwitch) de vSphere vNetwork Distributed PortGroups (dvPortGroup). Una zona de transporte es un concepto de NSX existente, que es similar a términos tales como dvSwitch o dvPortGroup.
Cuando se utiliza una cuenta de nube de NSX, el nombre del elemento en la página es Zona de transporte; de lo contrario, es Dominio de red.
Para los conmutadores estándar, el dominio de red o la zona de transporte son los mismos que el conmutador. El dominio de red o la zona de transporte definen los límites de las subredes en vCenter.
Una zona de transporte controla los hosts con los que puede comunicarse un conmutador lógico de NSX. Puede abarcar uno o más clústeres de vSphere. Las zonas de transporte establecen qué clústeres y qué máquinas virtuales pueden participar en el uso de una red determinada. Las subredes que pertenecen a la misma zona de transporte de NSX se pueden utilizar para los mismos hosts de máquina.
- Dominio
Representa el nombre de dominio de la máquina. El nombre de dominio se transfiere a la especificación de personalización de la máquina de vSphere.
- IPv4 CIDR y puerta de enlace predeterminada de IPv4
Los componentes de máquina de vSphere en la plantilla de nube admiten la asignación de direcciones IP de dos pilas, IPv4 e IPv6 para interfaces de red. Por ejemplo, 192.168.100.14/24 representa la dirección IPv4 192.168.100.14 y su prefijo de enrutamiento asociado 192.168.100.0; de forma equivalente, puede representar su máscara de subred 255.255.255.0, que tiene 24 bits iniciales. El bloque IPv4 192.168.100.0/22 representa las direcciones IP de 1024 desde 192.168.100.0 hasta 192.168.103.255.
- IPv6 CIDR y puerta de enlace predeterminada de IPv6
Los componentes de máquina de vSphere en la plantilla de nube admiten la asignación de direcciones IP de dos pilas, IPv4 e IPv6 para interfaces de red. Por ejemplo: 2001:db8::/48 representa el bloque de direcciones IPv6 desde 2001:db8:0:0:0:0:0:0 hasta 2001:db8:0:ffff:ffff:ffff:ffff:ffff.
El formato IPv6 no es compatible con las redes a petición. Para obtener información relacionada, consulte Usar la configuración de red en los perfiles de red y los diseños de plantillas de nube en vRealize Automation.
- Servidores DNS y Dominios de búsqueda de DNS
- IP pública de soporte
Seleccione esta opción para marcar la red como pública. Los componentes de red de una plantilla de nube que tienen la propiedad network type: public coinciden con las redes que están marcadas como públicas. Se producen más coincidencias durante la implementación de la plantilla de nube para determinar la selección de red.
- Valor predeterminado para zona
Seleccione esta opción a fin de marcar la red como predeterminada para la zona de nube. Durante la implementación de la plantilla de nube, se prefieren las redes predeterminadas a otras redes.
- Origen
Identifica el origen de la red.
- Etiquetas
Especifica una o varias etiquetas asignadas a la red. Las etiquetas son opcionales. La coincidencia de etiquetas determina las redes que están disponibles para las implementaciones de plantillas de nube.
Las etiquetas de red se encuentran en el propio elemento de red, independientemente del perfil de red. Las etiquetas de red se aplican a cada ocurrencia de la red a la que se hayan agregado y a todos los perfiles de red que contengan esa red. Es posible crear como instancias de redes cualquier número de perfiles de red. Independientemente de la residencia del perfil de red, se asocia una etiqueta de red a esa red allá donde se utiliza.
Cuando se implementa una plantilla de nube, las restricciones de etiquetas de los componentes de red de una plantilla de nube se equiparan a las etiquetas de red, incluidas las etiquetas de capacidad de perfil de red. Para los perfiles de red que contienen etiquetas de capacidad, estas se aplican a todas las redes que están disponibles para ese perfil de red. La configuración de redes y seguridad que se define en el perfil de red coincidente también se aplica cuando se implementa la plantilla de nube.
Directivas de red
Mediante el uso de perfiles de red, puede definir subredes para dominios de red existentes que contengan una configuración de direcciones IP estáticas o de DHCP, o bien una combinación de ambas. Puede definir subredes y especificar la configuración de dirección IP en la pestaña Directivas de red.
Al utilizar NSX-V, NSX-T o VMware Cloud on AWS, se aplica la configuración de directivas de red cuando una plantilla de nube requiere networkType: outbound
o networkType: private
, o cuando una red de NSX requiere networkType: routed
.
outbound
,
private
y
routed
, así como para los grupos de seguridad a petición. También puede usar directivas de red para controlar las redes
existing
cuando un equilibrador de carga esté asociado a esa red.
Las redes salientes permiten el acceso unidireccional a redes ascendentes. Las redes privadas no permiten el acceso externo. Las redes enrutadas permiten el tráfico de este a oeste entre las redes enrutadas. Las redes existentes y públicas del perfil se utilizan como redes subyacentes o ascendentes.
Las opciones de las siguientes selecciones a petición se describen en la ayuda en pantalla Perfiles de red y se resumen a continuación.
- No crear una red a petición ni un grupo de seguridad a petición
Puede utilizar esta opción al especificar un tipo de red
existing
opublic
. Las plantillas de nube que requieren una redoutbound
,private
orouted
no coinciden con este perfil. - Crear una red a petición
Puede utilizar esta opción al especificar un tipo de red
outbound
,private
orouted
.Amazon Web Services, Microsoft Azure, NSX, vSphere y VMware Cloud on AWS admiten esta opción.
- Crear un grupo de seguridad a petición
Puede utilizar esta opción al especificar un tipo de red
outbound
oprivate
.Si el tipo de red es
outbound
oprivate
, se crea un nuevo grupo de seguridad para las plantillas de nube que coinciden.Amazon Web Services, Microsoft Azure, NSX y VMware Cloud on AWS admiten esta opción.
La configuración de la directiva de red puede ser específica del tipo de cuenta de nube. Esta configuración se describe en la ayuda de postes indicadores en pantalla y se resume a continuación:
- Dominio de red o zona de transporte
Un dominio de red o una zona de transporte son el conmutador virtual distribuido (dvSwitch) de vSphere vNetwork Distributed PortGroups (dvPortGroup). Una zona de transporte es un concepto de NSX existente, que es similar a términos tales como dvSwitch o dvPortGroup.
Cuando se utiliza una cuenta de nube de NSX, el nombre del elemento en la página es Zona de transporte; de lo contrario, es Dominio de red.
Para los conmutadores estándar, el dominio de red o la zona de transporte son los mismos que el conmutador. El dominio de red o la zona de transporte definen los límites de las subredes en vCenter.
Una zona de transporte controla los hosts con los que puede comunicarse un conmutador lógico de NSX. Puede abarcar uno o más clústeres de vSphere. Las zonas de transporte establecen qué clústeres y qué máquinas virtuales pueden participar en el uso de una red determinada. Las subredes que pertenecen a la misma zona de transporte de NSX se pueden utilizar para los mismos hosts de máquina. Los tipos de zona de transporte son superposición o VLAN. Para obtener información sobre el uso de una zona de transporte de VLAN para definir segmentos de VLAN, consulte Recursos de red en vRealize Automation.
- Subred externa
Una red a petición con acceso saliente requiere una subred externa que tenga acceso saliente. La subred externa se utiliza para proporcionar acceso saliente si se solicita en la plantilla de nube. No controla la colocación de la red. Por ejemplo, la subred externa no afecta a la colocación de una red privada.
- CIDR
La notación CIDR es una representación compacta de una dirección IP y su prefijo de enrutamiento asociado. El valor CIDR especifica el rango de direcciones de red que se utilizará durante el aprovisionamiento para crear subredes. Este ajuste de CIDR en la pestaña Directivas de red acepta la notación de IPv4 que finaliza en /nn y contiene valores entre 0 y 32.
- Tamaño de subred
Esta opción especifica el tamaño de red a petición, mediante notación IPv4, para cada red aislada en una implementación que utiliza este perfil de red. El ajuste de tamaño de subred está disponible para la administración de direcciones IP internas o externas.
El formato IPv6 no es compatible con las redes a petición.
- Enrutador lógico distribuido
Para una red enrutada a petición, debe especificar una red lógica distribuida si utiliza una cuenta de nube de NSX-V.
Se utiliza un enrutador lógico distribuido (Distributed Logical Router, DLR) para enrutar el tráfico de este a oeste entre las redes enrutadas a petición en NSX-V. Esta opción solo está visible si el valor de cuenta/región del perfil de red está asociado a una cuenta de nube de NSX-V.
- Asignación de rangos de IP
La opción está disponible para las cuentas de nube que admiten NSX o VMware Cloud on AWS, incluso vSphere.
El ajuste de rango de direcciones IP está disponible cuando se utiliza una red existente con un punto de integración de IPAM externa.
Puede seleccionar una de las tres opciones siguientes para especificar un tipo de asignación de rangos de IP para la red de implementación:- Estática y DHCP
Predeterminada y recomendada. Esta opción mixta utiliza las opciones CIDR y Rango de subredes asignadas con el fin de configurar el grupo de servidores DHCP para brindar soporte a la mitad de la asignación de espacios de direcciones mediante el método DHCP (dinámico) y la mitad de la asignación de espacios de direcciones IP mediante el método estático. Utilice esta opción cuando algunas de las máquinas que están conectadas a una red a petición requieren direcciones IP estáticas asignadas y otras requieren direcciones IP dinámicas. Se crean dos rangos de IP.
Esta opción es más efectiva en implementaciones en las que la VIP del equilibrador de carga es estática y en implementaciones con máquinas que están conectadas a una red a petición, donde se asignan direcciones IP estáticas a algunas de las máquinas y a otras máquinas se les asignan direcciones IP de forma dinámica mediante un servidor DHCP de NSX.
- DHCP (dinámico)
Esta opción utiliza el CIDR asignado para configurar un grupo de direcciones IP en un servidor DHCP. Todas las direcciones IP de esta red se asignan de forma dinámica. Se crea un solo rango de IP para cada CIDR asignado.
- Estática
Esta opción utiliza el CIDR asignado para asignar direcciones IP de forma estática. Utilice esta opción cuando no sea necesario configurar un servidor DHCP para esta red. Se crea un solo rango de IP para cada CIDR asignado.
- Estática y DHCP
- Bloques de direcciones IP
El ajuste de los bloques de direcciones IP está disponible cuando se utiliza una red a petición con un punto de integración de IPAM externa.
Con la configuración de bloques de direcciones IP, puede agregar un bloque de direcciones IP con nombre, o un rango, al perfil de red del proveedor de IPAM externo integrado. También puede eliminar un bloque de direcciones IP añadido del perfil de red. Para obtener información sobre cómo crear una integración de IPAM externo, consulte Agregar una integración de IPAM externa para Infoblox en vRealize Automation.
El IPAM externo está disponible para los siguientes tipos de cuenta o región de nube:- vSphere
- vSphere con NSX-T
- vSphere con NSX-V
- Recursos de red: red externa
Las redes externas también se conocen como redes existentes. Estas redes se recopilan con datos y se ponen a disposición para su selección.
- Recursos de red: enrutador lógico de nivel 0
NSX-T usa el enrutador lógico de nivel 0 como puerta de enlace a las redes que son externas a la implementación de NSX. El enrutador lógico de nivel 0 configura el acceso saliente para las redes a petición.
- Recursos de red: clúster de Edge
El clúster de Edge especificado proporciona servicios de enrutamiento. El clúster de Edge se utiliza para configurar el acceso saliente para los equilibradores de carga y las redes a petición. Identifica el clúster de Edge o el grupo de recursos donde se va a implementar el dispositivo de Edge.
- Recursos de red: almacén de datos de Edge
El almacén de datos de Edge especificado se utiliza para aprovisionar el dispositivo de Edge. Esta opción solo se aplica a NSX-V.
Las etiquetas se pueden utilizar a fin de especificar las redes que están disponibles para la plantilla de nube.
Equilibradores de carga
Puede agregar equilibradores de carga al perfil de red. Los equilibradores de carga enumerados están disponibles en función de la información recopilada de la cuenta de nube de origen.
Si una etiqueta en cualquiera de los equilibradores de carga del perfil de red coincide con una etiqueta en un componente de equilibrador de carga en la plantilla de nube, el equilibrador de carga se tiene en cuenta durante la implementación. Los equilibradores de carga de un perfil de red coincidente se utilizan cuando se implementa una plantilla de nube.
Para obtener más información, consulte Usar configuración del equilibrador de carga en perfiles de red en vRealize Automation y Redes, seguridad y equilibradores de carga en vRealize Automation.
Grupos de seguridad
Cuando se implementa una plantilla de nube, los grupos de seguridad de su perfil de red se aplican a las NIC de máquina que se aprovisionan. Para un perfil de red específico de Amazon Web Services, los grupos de seguridad del perfil de red están disponibles en el mismo dominio de red (VPC) que las redes que se enumeran en la pestaña Redes. Si el perfil de red no tiene redes enumeradas en su pestaña Redes, se muestran todos los grupos de seguridad disponibles.
Puede utilizar un grupo de seguridad existente para definir aún más la configuración de aislamiento de una red private
o outbound
a petición. Los grupos de seguridad también se aplican a redes existing
. También puede asignar grupos de seguridad globales.
Los grupos de seguridad enumerados están disponibles en función de la información recopilada a partir de la cuenta de nube de origen o se agregan como un grupo de seguridad a petición en la plantilla de nube de un proyecto. Para obtener más información, consulte Recursos de seguridad en vRealize Automation.
Los grupos de seguridad se aplican a todas las máquinas de la implementación que están conectadas a la red que coincide con el perfil de red. Dado que puede haber varias redes en una plantilla de nube y cada una de ellas corresponde a un perfil de red distinto, se pueden utilizar diferentes grupos de seguridad para redes distintas.
Además de especificar un grupo de seguridad, también puede seleccionar redes de NSX (valor predeterminado), redes de vSphere o ambas. Cuando se implementa una plantilla de nube, vRealize Automation agrega el grupo de seguridad asignado o especificado a las NIC de máquina que están conectadas a la red de NSX asignada. Solo las NIC de máquina que están conectadas a una red de NSX pueden agregarse a un grupo de seguridad de NSX. Si la NIC de máquina está conectada a una red de vSphere, se produce un error en la implementación de la plantilla.
Agregar una etiqueta a un grupo de seguridad existente permite utilizar el grupo de seguridad en un componente de plantilla de nube de Cloud.SecurityGroup. Un grupo de seguridad debe tener al menos una etiqueta para poder utilizarse en una plantilla de nube. Para obtener más información, consulte Recursos de seguridad en vRealize Automation y Redes, seguridad y equilibradores de carga en vRealize Automation.
Más información sobre perfiles de red, redes, plantillas de red y etiquetas
Para obtener más información sobre las redes, consulte Recursos de red en vRealize Automation.
Para obtener ejemplos de código de componentes de red de ejemplo en una plantilla de nube, consulte Redes, seguridad y equilibradores de carga en vRealize Automation.
Para obtener más información sobre las etiquetas y la estrategia de etiquetas, consulte Cómo utilizar etiquetas para administrar implementaciones y recursos de Cloud Assembly.
Para obtener información sobre cómo asignar un nombre a las NIC de máquina, consulte Cómo se puede configurar el nombre de una controladora de interfaz de red mediante acciones de extensibilidad.