Un profil réseau définit un groupe de réseaux et de paramètres réseau qui sont disponibles pour un compte de cloud, dans une région ou un centre de données particulier de vRealize Automation Cloud.

Vous définissez généralement des profils réseau pour prendre en charge un environnement de déploiement cible, par exemple, un petit environnement de test dans lequel un réseau existant dispose d'un accès sortant uniquement ou un grand environnement de production équilibré en charge qui nécessite un ensemble de stratégies de sécurité. Envisagez l'utilisation d'un profil réseau comme ensemble de caractéristiques de réseau propres à la charge de travail.

Contenu d'un profil réseau

Un profil réseau contient des informations spécifiques pour un type de compte de cloud nommé et une région dans vRealize Automation Cloud, notamment les paramètres suivants :
  • Compte de cloud nommé/région et balises de capacité facultatives pour le profil réseau.
  • Réseaux existants nommés et leurs paramètres.
  • Stratégies réseau qui définissent les aspects à la demande et autres aspects du profil réseau.
  • Inclusion facultative d'équilibrages de charge existants.
  • Inclusion facultative de groupes de sécurité existants.

Pour déterminer la fonctionnalité de gestion des adresses IP du réseau, vous utilisez le profil réseau.

Les balises de capacité de profil réseau correspondent à des balises de contrainte dans les modèles de cloud pour faciliter la gestion de la sélection du réseau. En outre, toutes les balises attribuées aux réseaux qui sont collectées par le profil réseau sont également associées à des balises dans le modèle de cloud pour faciliter le contrôle de la sélection du réseau lorsque le modèle de cloud est déployé.

Les balises de capacité sont facultatives. Les balises de capacité sont appliquées à tous les réseaux du profil réseau, mais uniquement lorsque les réseaux sont utilisés dans le cadre de ce profil réseau. Pour les profils réseau qui ne contiennent pas de balises de capacité, la mise en correspondance des balises s'opère uniquement sur les balises réseau. Les paramètres de réseau et de sécurité définis dans le profil réseau correspondant sont appliqués lorsque le modèle de cloud est déployé.

Lorsque vous utilisez une adresse IP statique, la plage d'adresses est gérée par vRealize Automation Cloud. Pour DHCP, les adresses IP de début et de fin sont gérées par le serveur DHCP indépendant et non par vRealize Automation Cloud. Lors de l'utilisation de DHCP ou d'une allocation d'adresses réseau mixtes, la valeur d'utilisation du réseau est définie sur zéro. Une plage allouée au réseau à la demande se base sur le CIDR et la taille de sous-réseau spécifiés dans le profil réseau. Pour prendre en charge à la fois l'attribution statique et dynamique dans le déploiement, la plage allouée est divisée en deux plages : une pour l'allocation statique et l'autre pour l'allocation dynamique.

Réseaux

Les réseaux, également appelés sous-réseaux, sont des sous-divisions logiques d'un réseau IP. Un réseau regroupe un compte de cloud, une adresse IP ou une plage et des balises réseau, pour contrôler la méthode et l'emplacement de provisionnement d'un déploiement de modèle de cloud. Les paramètres réseau du profil définissent la manière dont les machines du déploiement peuvent communiquer entre elles par l'intermédiaire de la couche 3 de l'adresse IP. Les réseaux peuvent inclure des balises.

Vous pouvez ajouter des réseaux au profil réseau, modifier les aspects des réseaux utilisés par le profil réseau et supprimer des réseaux du profil réseau.

  • Domaine réseau ou Zone de transport

    Le domaine réseau ou la zone de transport est le commutateur virtuel distribué (dvSwitch) pour les groupes de ports distribués vNetwork (dvPortGroup) de vSphere. Le terme « zone de transport » fait référence à un concept NSX existant, similaire à dvSwitch ou dvPortGroup.

    Si vous utilisez un compte de cloud NSX, le nom de l'élément sur la page est Zone de transport ; sinon, le nom affiché est Domaine réseau.

    Pour les commutateurs standard, le domaine réseau ou la zone de transport est identique au commutateur lui-même. Le domaine réseau ou la zone de transport définit les limites des sous-réseaux dans vCenter.

    Une zone de transport contrôle les hôtes auxquels un commutateur logique NSX peut accéder. Elle peut s'étendre sur un ou plusieurs clusters vSphere. Les zones de transport déterminent quels clusters et quelles machines virtuelles peuvent participer à l'utilisation d'un réseau donné. Tous les sous-réseaux appartenant à une même zone de transport NSX peuvent être utilisés pour les mêmes hôtes de machine.

  • Domaine

    Représente le domaine vCenter Single Sign-On pour une machine virtuelle cible. Les domaines sont configurés par un administrateur vCenter lors de la configuration de vSphere. Le domaine détermine l'espace d'authentification local dans vCenter.

  • Passerelle par défaut CIDR IPv4 et IPv4

    Les comptes de cloud de vSphere et les composants de machine vSphere dans le modèle de cloud prennent en charge les méthodes à protocole Internet double IPv6 et IPv4. Par exemple :192.168.100.14/24 représente l'adresse IPv4 192.168.100.14 et son préfixe de routage associé 192.168.100.0, ou l'équivalent, son masque de sous-réseau 255.255.255.0, qui a 24 premiers bits de poids fort. Le bloc IPv4 192.168.100.0/22 représente les 1 024 adresses IP de 192.168.100.0 à 192.168.103.255.

  • Passerelle par défaut CIDR IPv6 et IPv6

    Les comptes de cloud de vSphere et les composants de machine vSphere dans le modèle de cloud prennent en charge les méthodes à protocole Internet double IPv6 et IPv4. Par exemple : 2001:db8::/48 représente le bloc d'adresses IPv6 de 2001:db8:0:0:0:0:0:0 à 2001:db8:0:ffff:ffff:ffff:ffff:ffff.

    Le format IPv6 n'est pas pris en charge pour les réseaux à la demande.

  • Serveurs DNS et Domaines de recherche DNS
  • Prendre en charge les IP publiques

    Sélectionnez cette option pour marquer le réseau comme public. Les composants réseau d'un modèle de cloud ayant une propriété network type: public correspondent à des réseaux marqués comme étant publics. Une correspondance supplémentaire se produit lors du déploiement du modèle de cloud pour déterminer la sélection du réseau.

  • Valeur par défaut pour la zone

    Sélectionnez cette option pour marquer le réseau comme valeur par défaut pour la zone de cloud. Lors du déploiement du modèle de cloud, les réseaux par défaut sont préférés aux autres réseaux.

  • Origine

    Identifie la source réseau.

  • Balises

    Spécifie une ou plusieurs balises attribuées au réseau. Les balises sont facultatives. La correspondance des balises déterminent les réseaux disponibles pour les déploiements de modèle de cloud.

    Des balises réseau existent sur l'élément de réseau lui-même, quel que soit le profil réseau. Les balises réseau s'appliquent à chaque occurrence du réseau à laquelle elles ont été ajoutées et à tous les profils réseau qui contiennent ce réseau. Les réseaux peuvent être instanciés en plusieurs profils réseau. Quelle que soit la résidence du profil réseau, une balise réseau est associée à ce réseau à chaque fois qu'il est utilisé.

    Lorsque vous déployez un modèle de cloud, les balises de contrainte des composants réseau d'un modèle de cloud sont mises en correspondance avec les balises réseau, notamment les balises de capacité de profil réseau. Pour les profils réseau contenant des balises de capacité, les balises de capacité sont appliquées à tous les réseaux disponibles pour ce profil réseau. Les paramètres de réseau et de sécurité définis dans le profil réseau correspondant sont appliqués lorsque le modèle de cloud est déployé.

Stratégies réseau

Les profils réseau vous permettent de définir des sous-réseaux pour les domaines réseau existants contenant des paramètres d'adresse IP statiques, DHCP ou statiques/DHCP combinés. Vous pouvez définir des sous-réseaux et spécifier des paramètres d'adresse IP à partir de l'onglet Stratégies réseau.

Lorsque vous utilisez NSX-V, NSX-T ou VMware Cloud on AWS, les paramètres de stratégie réseau sont utilisés lorsqu'un modèle de cloud requiert networkType: outbound ou networkType: private ou lorsqu'un réseau NSX requiert networkType: routed.

En fonction du compte de cloud associé, vous pouvez utiliser des stratégies réseau pour définir les paramètres des types de réseaux outbound, private et routed, et pour des groupes de sécurité à la demande. Vous pouvez également utiliser des stratégies réseau pour contrôler les réseaux existing lorsqu'un équilibrage de charge est associé à ce réseau.

Les réseaux sortants permettent un accès unidirectionnel aux réseaux en amont. Les réseaux privés n'autorisent aucun accès externe. Les réseaux routés autorisent le trafic est/ouest entre les réseaux routés. Les réseaux existants et publics dans le profil sont utilisés en tant que réseaux sous-jacents ou en amont.

Les options pour les sélections à la demande suivantes sont décrites dans l'aide à l'écran Profils réseau et résumées ci-dessous.

  • Ne pas créer de réseau à la demande ni de groupe de sécurité à la demande

    Vous pouvez utiliser cette option lorsque vous spécifiez un réseau de type existing ou public. Les modèles de cloud qui nécessitent un réseau outbound, private ou routed ne correspondent pas à ce profil.

  • Créer un réseau à la demande

    Vous pouvez utiliser cette option lorsque vous spécifiez un réseau de type outbound, private ou routed.

    Amazon Web Services, Microsoft Azure, NSX, vSphere et VMware Cloud on AWS prennent en charge cette option.

  • Créer un groupe de sécurité à la demande

    Vous pouvez utiliser cette option lorsque vous spécifiez un réseau de type outbound ou private.

    Un groupe de sécurité est créé pour les modèles de cloud correspondants si le type de réseau est outbound ou private.

    Amazon Web Services, Microsoft Azure, NSX et VMware Cloud on AWS prennent en charge cette option.

Les paramètres de stratégie réseau peuvent être propres au type de compte de cloud. Ces paramètres sont décrits dans l'aide thématique à l'écran et résumés ci-dessous :

  • Domaine réseau ou Zone de transport

    Le domaine réseau ou la zone de transport est le commutateur virtuel distribué (dvSwitch) pour les groupes de ports distribués vNetwork (dvPortGroup) de vSphere. Le terme « zone de transport » fait référence à un concept NSX existant, similaire à dvSwitch ou dvPortGroup.

    Si vous utilisez un compte de cloud NSX, le nom de l'élément sur la page est Zone de transport ; sinon, le nom affiché est Domaine réseau.

    Pour les commutateurs standard, le domaine réseau ou la zone de transport est identique au commutateur lui-même. Le domaine réseau ou la zone de transport définit les limites des sous-réseaux dans vCenter.

    Une zone de transport contrôle les hôtes auxquels un commutateur logique NSX peut accéder. Elle peut s'étendre sur un ou plusieurs clusters vSphere. Les zones de transport déterminent quels clusters et quelles machines virtuelles peuvent participer à l'utilisation d'un réseau donné. Tous les sous-réseaux appartenant à une même zone de transport NSX peuvent être utilisés pour les mêmes hôtes de machine.

  • Sous-réseau externe

    Un réseau à la demande avec un accès sortant nécessite un sous-réseau externe disposant d'un accès sortant. Le sous-réseau externe sert à fournir un accès sortant si le modèle de cloud le demande. Il ne contrôle pas le positionnement réseau. Ainsi, le sous-réseau externe n'a aucun impact sur le positionnement d'un réseau privé.

  • CIDR

    La notation CIDR est une représentation compacte d'une adresse IP et de son préfixe de routage associé. La valeur CIDR spécifie la plage d'adresses réseau à utiliser lors du provisionnement pour créer des sous-réseaux. Ce paramètre CIDR dans l'onglet Stratégies réseau accepte la notation IPv4 se terminant par /nn et contenant des valeurs comprises entre 0 et 32.

  • Taille du sous-réseau

    Cette option spécifie la taille du réseau à la demande, en utilisant la notation IPv4, à créer pour chaque réseau isolé dans un déploiement qui utilise ce profil réseau. Le paramètre Taille de sous-réseau est disponible pour la gestion des adresses IP internes ou externes.

    Le format IPv6 n'est pas pris en charge pour les réseaux à la demande.

  • Routeur logique distribué

    Pour un réseau acheminé à la demande, vous devez spécifier un réseau logique distribué lorsque vous utilisez un compte de cloud NSX-V.

    Un routeur logique distribué (DLR) est utilisé pour router le trafic est/ouest entre les réseaux routés à la demande sur NSX-V. Cette option n'est visible que si la valeur de compte/région du profil réseau est associée à un compte de cloud NSX-V.

  • Attribution de plage d'adresses IP

    L'option est disponible pour les comptes de cloud qui prennent en charge NSX ou VMware Cloud on AWS, y compris vSphere.

    Le paramètre de plage d'adresses IP est disponible lors de l'utilisation d'un réseau existant avec un point d'intégration IPAM externe.
    Vous pouvez sélectionner l'une des trois options suivantes pour spécifier un type d'attribution de plage d'adresses IP pour le réseau de déploiement :
    • Statique et DHCP

      Par défaut et recommandé. Cette option mixte utilise les paramètres CIDR et Plage du sous-réseau pour configurer le pool de serveurs DHCP afin de prendre en charge la moitié de l'allocation d'espace d'adresses en utilisant la méthode DHCP (dynamique) et la moitié de l'allocation d'espace d'adresses IP en utilisant la méthode statique. Utilisez cette option lorsque certaines machines connectées à un réseau à la demande nécessitent des adresses IP statiques attribuées, tandis que d'autres nécessitent des adresses IP dynamiques. Deux plages d'adresses IP sont créées.

      Cette option est plus efficace dans les déploiements incluant des machines connectées à un réseau à la demande, où certaines machines obtiennent des adresses IP statiques et d'autres ont des adresses IP attribuées dynamiquement par un serveur DHCP NSX et dans les déploiements où l'adresse IP virtuelle de l'équilibrage de charge est statique.

    • DHCP (dynamique)

      Cette option utilise le CIDR alloué pour configurer un pool d'adresses IP sur un serveur DHCP. Toutes les adresses IP de ce réseau sont attribuées dynamiquement. Une plage d'adresses IP unique est créée pour chaque CIDR alloué.

    • Statique

      Cette option utilise le CIDR alloué pour allouer de manière statique des adresses IP. Utilisez cette option lorsqu'aucun serveur DHCP ne doit être configuré pour ce réseau. Une plage d'adresses IP unique est créée pour chaque CIDR alloué.

  • Blocs d'adresses IP
    Le paramètre de blocs d'adresses IP est disponible lors de l'utilisation d'un réseau à la demande avec un point d'intégration IPAM externe.

    À l'aide du paramètre Blocs d'adresses IP, vous pouvez ajouter un bloc d'adresses IP défini, ou une plage d'adresses IP, au profil réseau à partir de votre fournisseur IPAM externe intégré. Vous pouvez également supprimer un bloc d'adresses IP ajouté du profil réseau. Pour plus d'informations sur la création d'une intégration IPAM externe, reportez-vous à Ajouter une intégration IPAM externe pour Infoblox dans vRealize Automation Cloud.

    L'intégration IPAM externe est disponible pour les types de compte de cloud suivants et les régions suivantes :
    • vSphere
    • vSphere avec NSX-T
    • vSphere avec NSX-V
  • Ressources réseau - Réseau externe

    Les réseaux externes sont également appelés réseaux existants. Les données de ces réseaux sont collectées et ils sont disponibles pour sélection.

  • Ressources réseau - Routeur logique de niveau 0

    NSX-T utilise le routeur logique de niveau 0 comme une passerelle vers les réseaux externes au déploiement NSX. Le routeur logique de niveau 0 configure l'accès sortant pour les réseaux à la demande.

  • Ressources réseau - Cluster Edge

    Le cluster Edge spécifié fournit des services de routage. Le cluster Edge est utilisé pour configurer l'accès sortant pour les réseaux à la demande et les équilibrages de charge. Il identifie le cluster Edge ou le pool de ressources dans lequel le dispositif Edge doit être déployé.

  • Ressources réseau - Banque de données Edge

    La banque de données Edge spécifiée est utilisée pour provisionner le dispositif Edge. Ce paramètre s'applique uniquement à NSX-V.

Les balises peuvent être utilisées pour spécifier les réseaux disponibles pour le modèle de cloud.

Équilibrages de charge

Vous pouvez ajouter des équilibrages de charge au profil réseau. Les équilibrages de charge répertoriés sont disponibles en fonction des informations collectées auprès du compte de cloud source.

Si une balise sur l'un des équilibrages de charge du profil réseau correspond à une balise utilisée dans un composant d'équilibrage de charge du modèle de cloud, l'équilibrage de charge est pris en compte pendant le déploiement. Les équilibrages de charge d'un profil réseau correspondant sont utilisés lorsqu'un modèle de cloud est déployé.

Pour plus d'informations, reportez-vous aux sections Utilisation de paramètres d'équilibrage de charge avec des profils réseau dans Cloud Assembly et Exemples de modèles de cloud vRealize Automation Cloud pour les réseaux, la sécurité et l'équilibrage de charge.

Groupes de sécurité

Lorsqu'un modèle de cloud est déployé, les groupes de sécurité dans son profil réseau sont appliqués aux cartes réseau des machines qui sont provisionnées. Pour un profil réseau spécifique à Amazon Web Services, les groupes de sécurité du profil réseau sont disponibles dans le même domaine réseau (VPC) que les réseaux répertoriés dans l'onglet Réseaux. Si le profil réseau n'a pas de réseaux répertoriés dans l'onglet Réseaux, tous les groupes de sécurité disponibles s'affichent.

Vous pouvez utiliser un groupe de sécurité pour affiner la définition des paramètres d'isolation d'un réseau à la demande private ou outbound. Des groupes de sécurité sont également appliqués aux réseaux existing.

Les groupes de sécurité répertoriés sont disponibles en fonction des informations collectées auprès du compte de cloud source ou ajoutées en tant que groupe de sécurité à la demande dans un modèle de cloud de projet. Pour plus d'informations, reportez-vous à la section Ressources de sécurité dans vRealize Automation Cloud.

Les groupes de sécurité sont appliqués à toutes les machines du déploiement qui sont connectées au réseau correspondant au profil réseau. Étant donné qu'il peut y avoir plusieurs réseaux dans un modèle de cloud, chacun correspondant à un profil réseau différent, vous pouvez utiliser différents groupes de sécurité pour différents réseaux.

L'ajout d'une balise à un groupe de sécurité existant vous permet d'utiliser le groupe de sécurité dans un composant Cloud.SecurityGroup de modèle de cloud. Tout groupe de sécurité doit comporter au moins une balise. Sinon, il ne peut pas être utilisé dans un modèle de cloud. Pour plus d'informations, reportez-vous aux sections Ressources de sécurité dans vRealize Automation Cloud et Exemples de modèles de cloud vRealize Automation Cloud pour les réseaux, la sécurité et l'équilibrage de charge.

Plus d'informations sur les profils réseau, les réseaux, les modèles de cloud et les balises

Pour plus d'informations sur les profils réseau, consultez les autres rubriques de cette section de l'aide, ainsi que Cas d'utilisation de WordPress : ajouter des profils réseau.

Pour plus d'informations sur les réseaux, reportez-vous à la section Ressources réseau dans vRealize Automation Cloud.

Pour obtenir des exemples de code de composant réseau dans un modèle de cloud, consultez Exemples de modèles de cloud vRealize Automation Cloud pour les réseaux, la sécurité et l'équilibrage de charge.

Pour plus d'informations sur les balises et la stratégie de marquage, reportez-vous à la section Utilisation des balises pour gérer les ressources et les déploiements de Cloud Assembly.