Un profil réseau définit un groupe de réseaux et de paramètres réseau qui sont disponibles pour un compte de cloud, dans une région ou un centre de données particulier de vRealize Automation.
Vous définissez généralement des profils réseau pour prendre en charge un environnement de déploiement cible, par exemple, un petit environnement de test dans lequel un réseau existant dispose d'un accès sortant uniquement ou un grand environnement de production équilibré en charge qui nécessite un ensemble de stratégies de sécurité. Envisagez l'utilisation d'un profil réseau comme ensemble de caractéristiques de réseau propres à la charge de travail.
Contenu d'un profil réseau
- Compte de cloud nommé/région et balises de capacité facultatives pour le profil réseau.
- Réseaux existants nommés et leurs paramètres.
- Stratégies réseau qui définissent les aspects à la demande et autres aspects du profil réseau.
- Inclusion facultative d'équilibrages de charge existants.
- Inclusion facultative de groupes de sécurité existants.
Pour déterminer la fonctionnalité de gestion des adresses IP du réseau, vous utilisez le profil réseau.
Les balises de capacité de profil réseau correspondent à des balises de contrainte dans les modèles de cloud pour faciliter la gestion de la sélection du réseau. En outre, toutes les balises attribuées aux réseaux qui sont collectées par le profil réseau sont également associées à des balises dans le modèle de cloud pour faciliter le contrôle de la sélection du réseau lorsque le modèle de cloud est déployé.
Les balises de capacité sont facultatives. Les balises de capacité sont appliquées à tous les réseaux du profil réseau, mais uniquement lorsque les réseaux sont utilisés dans le cadre de ce profil réseau. Pour les profils réseau qui ne contiennent pas de balises de capacité, la mise en correspondance des balises s'opère uniquement sur les balises réseau. Les paramètres de réseau et de sécurité définis dans le profil réseau correspondant sont appliqués lorsque le modèle de cloud est déployé.
Lorsque vous utilisez une adresse IP statique, la plage d'adresses est gérée par vRealize Automation. Pour DHCP, les adresses IP de début et de fin sont gérées par le serveur DHCP indépendant et non par vRealize Automation. Lors de l'utilisation de DHCP ou d'une allocation d'adresses réseau mixtes, la valeur d'utilisation du réseau est définie sur zéro. Une plage allouée au réseau à la demande est basée sur le CIDR et la taille du sous-réseau spécifiés dans le profil réseau. Pour prendre en charge l'attribution statique et dynamique dans le déploiement, la plage allouée est divisée en deux plages : une pour l'allocation statique et une autre pour l'allocation dynamique.
Réseaux
Les réseaux, également appelés sous-réseaux, sont des sous-divisions logiques d'un réseau IP. Un réseau regroupe un compte de cloud, une adresse IP ou une plage et des balises réseau, pour contrôler la méthode et l'emplacement de provisionnement d'un déploiement de modèle de cloud. Les paramètres réseau du profil définissent la manière dont les machines du déploiement peuvent communiquer entre elles par l'intermédiaire de la couche 3 de l'adresse IP. Les réseaux peuvent inclure des balises.
Vous pouvez ajouter des réseaux au profil réseau, modifier les aspects des réseaux utilisés par le profil réseau et supprimer des réseaux du profil réseau.
Lorsque vous ajoutez un réseau au profil réseau, vous pouvez sélectionner les réseaux disponibles dans une liste filtrée de réseaux vSphere et NSX. Si le type de réseau est pris en charge pour le type de compte de cloud, vous pouvez l’ajouter au profil réseau.
Dans un déploiement basé sur VCF, des segments réseau NSX sont créés localement sur le réseau NSX-T et ne sont pas créés en tant que réseaux globaux.
- Domaine réseau ou Zone de transport
Le domaine réseau ou la zone de transport est le commutateur virtuel distribué (dvSwitch) pour les groupes de ports distribués vNetwork (dvPortGroup) de vSphere. Le terme « zone de transport » fait référence à un concept NSX existant, similaire à dvSwitch ou dvPortGroup.
Si vous utilisez un compte de cloud NSX, le nom de l'élément sur la page est Zone de transport. Sinon, le nom affiché est Domaine réseau.
Pour les commutateurs standard, le domaine réseau ou la zone de transport est identique au commutateur lui-même. Le domaine réseau ou la zone de transport définit les limites des sous-réseaux dans vCenter.
Une zone de transport contrôle les hôtes auxquels un commutateur logique NSX peut accéder. Elle peut s'étendre sur un ou plusieurs clusters vSphere. Les zones de transport déterminent quels clusters et quelles machines virtuelles peuvent participer à l'utilisation d'un réseau donné. Tous les sous-réseaux appartenant à une même zone de transport NSX peuvent être utilisés pour les mêmes hôtes de machine.
- Domaine
Représente le nom de domaine de la machine. Le nom de domaine est transmis à la spécification de personnalisation de la machine vSphere.
- Passerelle par défaut CIDR IPv4 et IPv4
Les composants de machine vSphere dans le modèle de cloud prennent en charge l'attribution IPv4, IPv6 et à double pile pour les interfaces réseau. Par exemple :192.168.100.14/24 représente l'adresse IPv4 192.168.100.14 et son préfixe de routage associé 192.168.100.0, ou l'équivalent, son masque de sous-réseau 255.255.255.0, qui a 24 premiers bits de poids fort. Le bloc IPv4 192.168.100.0/22 représente les 1 024 adresses IP de 192.168.100.0 à 192.168.103.255.
- Passerelle par défaut CIDR IPv6 et IPv6
Les composants de machine vSphere dans le modèle de cloud prennent en charge l'attribution IPv4, IPv6 et à double pile pour les interfaces réseau. Par exemple : 2001:db8::/48 représente le bloc d'adresses IPv6 de 2001:db8:0:0:0:0:0:0 à 2001:db8:0:ffff:ffff:ffff:ffff:ffff.
Le format IPv6 n'est pas pris en charge pour les réseaux à la demande. Pour obtenir des informations complémentaires, reportez-vous à la section Utilisation des paramètres réseau dans les profils réseau et les conceptions de modèle de cloud dans vRealize Automation.
- Serveurs DNS et Domaines de recherche DNS
- Prendre en charge les IP publiques
Sélectionnez cette option pour marquer le réseau comme public. Les composants réseau d'un modèle de cloud ayant une propriété network type: public correspondent à des réseaux marqués comme étant publics. Une correspondance supplémentaire se produit lors du déploiement du modèle de cloud pour déterminer la sélection du réseau.
- Valeur par défaut pour la zone
Sélectionnez cette option pour marquer le réseau comme valeur par défaut pour la zone de cloud. Lors du déploiement du modèle de cloud, les réseaux par défaut sont préférés aux autres réseaux.
- Origine
Identifie la source réseau.
- Balises
Spécifie une ou plusieurs balises attribuées au réseau. Les balises sont facultatives. La correspondance des balises déterminent les réseaux disponibles pour les déploiements de modèle de cloud.
Des balises réseau existent sur l'élément de réseau lui-même, quel que soit le profil réseau. Les balises réseau s'appliquent à chaque occurrence du réseau à laquelle elles ont été ajoutées et à tous les profils réseau qui contiennent ce réseau. Les réseaux peuvent être instanciés en plusieurs profils réseau. Quelle que soit la résidence du profil réseau, une balise réseau est associée à ce réseau à chaque fois qu'il est utilisé.
Lorsque vous déployez un modèle de cloud, les balises de contrainte des composants réseau d'un modèle de cloud sont mises en correspondance avec les balises réseau, notamment les balises de capacité de profil réseau. Pour les profils réseau contenant des balises de capacité, les balises de capacité sont appliquées à tous les réseaux disponibles pour ce profil réseau. Les paramètres de réseau et de sécurité définis dans le profil réseau correspondant sont appliqués lorsque le modèle de cloud est déployé.
Stratégies réseau
Les profils réseau vous permettent de définir des sous-réseaux pour les domaines réseau existants contenant des paramètres d'adresse IP statiques, DHCP ou statiques/DHCP combinés. Vous pouvez définir des sous-réseaux et spécifier des paramètres d'adresse IP à partir de l'onglet Stratégies réseau.
Lorsque vous utilisez NSX-V, NSX-T ou VMware Cloud on AWS, les paramètres de stratégie réseau sont utilisés lorsqu'un modèle de cloud requiert networkType: outbound
ou networkType: private
, ou lorsqu'un réseau NSX requiert networkType: routed
.
outbound
,
private
et
routed
, et pour des groupes de sécurité à la demande. Vous pouvez également utiliser des stratégies réseau pour contrôler les réseaux
existing
lorsqu'un équilibrage de charge est associé à ce réseau.
Les réseaux sortants permettent un accès unidirectionnel aux réseaux en amont. Les réseaux privés n'autorisent aucun accès externe. Les réseaux routés autorisent le trafic est/ouest entre les réseaux routés. Les réseaux existants et publics dans le profil sont utilisés en tant que réseaux sous-jacents ou en amont.
Les options pour les sélections à la demande suivantes sont décrites dans l'aide à l'écran Profils réseau et résumées ci-dessous.
- Ne pas créer de réseau à la demande ni de groupe de sécurité à la demande
Vous pouvez utiliser cette option lorsque vous spécifiez un réseau de type
existing
oupublic
. Les modèles de cloud qui nécessitent un réseauoutbound
,private
ourouted
ne correspondent pas à ce profil. - Créer un réseau à la demande
Vous pouvez utiliser cette option lorsque vous spécifiez un réseau de type
outbound
,private
ourouted
.Amazon Web Services, Microsoft Azure, NSX, vSphere et VMware Cloud on AWS prennent en charge cette option.
- Créer un groupe de sécurité à la demande
Vous pouvez utiliser cette option lorsque vous spécifiez un réseau de type
outbound
ouprivate
.Un groupe de sécurité est créé pour les modèles de cloud correspondants si le type de réseau est
outbound
ouprivate
.Amazon Web Services, Microsoft Azure, NSX et VMware Cloud on AWS prennent en charge cette option.
Les paramètres de stratégie réseau peuvent être propres au type de compte de cloud. Ces paramètres sont décrits dans l'aide thématique à l'écran et résumés ci-dessous :
- Domaine réseau ou Zone de transport
Le domaine réseau ou la zone de transport est le commutateur virtuel distribué (dvSwitch) pour les groupes de ports distribués vNetwork (dvPortGroup) de vSphere. Le terme « zone de transport » fait référence à un concept NSX existant, similaire à dvSwitch ou dvPortGroup.
Si vous utilisez un compte de cloud NSX, le nom de l'élément sur la page est Zone de transport. Sinon, le nom affiché est Domaine réseau.
Pour les commutateurs standard, le domaine réseau ou la zone de transport est identique au commutateur lui-même. Le domaine réseau ou la zone de transport définit les limites des sous-réseaux dans vCenter.
Une zone de transport contrôle les hôtes auxquels un commutateur logique NSX peut accéder. Elle peut s'étendre sur un ou plusieurs clusters vSphere. Les zones de transport déterminent quels clusters et quelles machines virtuelles peuvent participer à l'utilisation d'un réseau donné. Tous les sous-réseaux appartenant à une même zone de transport NSX peuvent être utilisés pour les mêmes hôtes de machine. Les types de zone de transport sont superposition ou VLAN. Pour plus d'informations sur l'utilisation d'une zone de transport VLAN pour définir des segments VLAN, reportez-vous à la section Ressources réseau dans vRealize Automation.
- Sous-réseau externe
Un réseau à la demande avec un accès sortant nécessite un sous-réseau externe disposant d'un accès sortant. Le sous-réseau externe sert à fournir un accès sortant si le modèle de cloud le demande. Il ne contrôle pas le positionnement réseau. Ainsi, le sous-réseau externe n'a aucun impact sur le positionnement d'un réseau privé.
- CIDR
La notation CIDR est une représentation compacte d'une adresse IP et de son préfixe de routage associé. La valeur CIDR spécifie la plage d'adresses réseau à utiliser lors du provisionnement pour créer des sous-réseaux. Ce paramètre CIDR dans l'onglet Stratégies réseau accepte la notation IPv4 se terminant par /nn et contenant des valeurs comprises entre 0 et 32.
- Taille du sous-réseau
Cette option spécifie la taille du réseau à la demande, en utilisant la notation IPv4, pour chaque réseau isolé dans un déploiement qui utilise ce profil réseau. Le paramètre de taille de sous-réseau est disponible pour la gestion des adresses IP internes ou externes.
Le format IPv6 n'est pas pris en charge pour les réseaux à la demande.
- Routeur logique distribué
Pour un réseau acheminé à la demande, vous devez spécifier un réseau logique distribué lorsque vous utilisez un compte de cloud NSX-V.
Un routeur logique distribué (DLR) est utilisé pour router le trafic est/ouest entre les réseaux routés à la demande sur NSX-V. Cette option n'est visible que si la valeur de compte/région du profil réseau est associée à un compte de cloud NSX-V.
- Attribution de plage d'adresses IP
L'option est disponible pour les comptes de cloud qui prennent en charge NSX ou VMware Cloud on AWS, y compris vSphere.
Le paramètre de plage d'adresses IP est disponible lors de l'utilisation d'un réseau existant avec un point d'intégration IPAM externe.
Vous pouvez sélectionner l'une des trois options suivantes pour spécifier un type d'attribution de plage d'adresses IP pour le réseau de déploiement :- Statique et DHCP
Par défaut et recommandé. Cette option mixte utilise les paramètres CIDR et Plage du sous-réseau pour configurer le pool de serveurs DHCP afin de prendre en charge la moitié de l'allocation d'espace d'adresses en utilisant la méthode DHCP (dynamique) et la moitié de l'allocation d'espace d'adresses IP en utilisant la méthode statique. Utilisez cette option lorsque certaines machines connectées à un réseau à la demande nécessitent des adresses IP statiques attribuées, tandis que d'autres nécessitent des adresses IP dynamiques. Deux plages d'adresses IP sont créées.
Cette option est plus efficace dans les déploiements incluant des machines connectées à un réseau à la demande, où certaines machines obtiennent des adresses IP statiques et d'autres ont des adresses IP attribuées dynamiquement par un serveur DHCP NSX et dans les déploiements où l'adresse IP virtuelle de l'équilibrage de charge est statique.
- DHCP (dynamique)
Cette option utilise le CIDR alloué pour configurer un pool d'adresses IP sur un serveur DHCP. Toutes les adresses IP de ce réseau sont attribuées dynamiquement. Une plage d'adresses IP unique est créée pour chaque CIDR alloué.
- Statique
Cette option utilise le CIDR alloué pour allouer de manière statique des adresses IP. Utilisez cette option lorsqu'un serveur DHCP n'est pas nécessaire de configurer le réseau. Une plage d'adresses IP unique est créée pour chaque CIDR alloué.
- Statique et DHCP
- Blocs d'adresses IP
Le paramètre blocs d'adresses IP est disponible lors de l'utilisation d'un réseau à la demande avec un point d'intégration IPAM externe.
À l'aide du paramètre Blocs d'adresses IP, vous pouvez ajouter un bloc d'adresses IP défini, ou une plage d'adresses IP, au profil réseau à partir de votre fournisseur IPAM externe intégré. Vous pouvez également supprimer un bloc d'adresses IP ajouté du profil réseau. Pour plus d'informations sur la création d'une intégration IPAM externe, reportez-vous à Ajouter une intégration IPAM externe pour Infoblox dans vRealize Automation.
L'intégration IPAM externe est disponible pour les types de compte de cloud suivants et les régions suivantes :- vSphere
- vSphere avec NSX-T
- vSphere avec NSX-V
- Ressources réseau - Réseau externe
Les réseaux externes sont également appelés réseaux existants. Les données de ces réseaux sont collectées et ils sont disponibles pour sélection.
- Ressources réseau - Routeur logique de niveau 0
NSX-T utilise le routeur logique de niveau 0 comme une passerelle vers les réseaux externes au déploiement NSX. Le routeur logique de niveau 0 configure l'accès sortant pour les réseaux à la demande.
- Ressources réseau - Cluster Edge
Le cluster Edge spécifié fournit des services de routage. Le cluster Edge est utilisé pour configurer l'accès sortant pour les réseaux à la demande et les équilibrages de charge. Il identifie le cluster Edge ou le pool de ressources dans lequel le dispositif Edge doit être déployé.
- Ressources réseau - Banque de données Edge
La banque de données Edge spécifiée est utilisée pour provisionner le dispositif Edge. Ce paramètre s'applique uniquement à NSX-V.
Les balises peuvent être utilisées pour spécifier les réseaux disponibles pour le modèle de cloud.
Équilibrages de charge
Vous pouvez ajouter des équilibrages de charge au profil réseau. Les équilibrages de charge répertoriés sont disponibles en fonction des informations collectées auprès du compte de cloud source.
Si une balise sur l'un des équilibrages de charge du profil réseau correspond à une balise dans un composant d'équilibrage de charge dans le modèle de cloud, l'équilibrage de charge est pris en compte lors du déploiement. Les équilibrages de charge d'un profil réseau correspondant sont utilisés lorsqu'un modèle de cloud est déployé.
Pour plus d'informations, reportez-vous aux sections Utilisation de paramètres d'équilibrage de charge avec des profils réseau dans vRealize Automation et Réseaux, ressources de sécurité et équilibrages de charge dans vRealize Automation.
Groupes de sécurité
Lorsqu'un modèle de cloud est déployé, les groupes de sécurité dans son profil réseau sont appliqués aux cartes réseau de machine qui sont provisionnées. Pour un profil réseau spécifique à Amazon Web Services, les groupes de sécurité du profil réseau sont disponibles dans le même domaine réseau (VPC) que les réseaux répertoriés dans l'onglet Réseaux. Si aucun réseau n'est répertorié dans le profil réseau dans son onglet Réseaux, tous les groupes de sécurité disponibles s'affichent.
Vous pouvez utiliser un groupe de sécurité pour affiner la définition des paramètres d'isolation d'un réseau à la demande private
ou outbound
. Des groupes de sécurité sont également appliqués aux réseaux existing
. Vous pouvez également attribuer des groupes de sécurité globaux.
Les groupes de sécurité répertoriés sont disponibles en fonction des informations collectées auprès du compte de cloud source ou ajoutées en tant que groupe de sécurité à la demande dans un modèle de cloud de projet. Pour plus d'informations, reportez-vous à la section Ressources de sécurité dans vRealize Automation.
Les groupes de sécurité sont appliqués à toutes les machines du déploiement qui sont connectées au réseau correspondant au profil réseau. Étant donné qu'il peut y avoir plusieurs réseaux dans un modèle de cloud, chacun correspondant à un profil réseau différent, vous pouvez utiliser différents groupes de sécurité pour différents réseaux.
Outre la spécification d'un groupe de sécurité, vous pouvez également sélectionner Réseaux NSX (par défaut) ou Réseaux vSphere, ou les deux. Lorsque vous déployez un modèle de cloud, vRealize Automation ajoute le groupe de sécurité alloué ou spécifié aux cartes réseau de machine qui sont connectées au réseau NSX alloué. Seules les cartes réseau de machine qui sont connectées à un réseau NSX peuvent être ajoutées à un groupe de sécurité NSX. Si la carte réseau de machine est connectée à un réseau vSphere, le déploiement du modèle échoue.
L'ajout d'une balise à un groupe de sécurité existant vous permet d'utiliser le groupe de sécurité dans un composant Cloud.SecurityGroup de modèle de cloud. Tout groupe de sécurité doit comporter au moins une balise. Sinon, il ne peut pas être utilisé dans un modèle de cloud. Pour plus d'informations, reportez-vous aux sections Ressources de sécurité dans vRealize Automation et Réseaux, ressources de sécurité et équilibrages de charge dans vRealize Automation.
Plus d'informations sur les profils réseau, les réseaux, les modèles de cloud et les balises
Pour plus d'informations sur les réseaux, reportez-vous à la section Ressources réseau dans vRealize Automation.
Pour obtenir des exemples de code de composant réseau dans un modèle de cloud, consultez Réseaux, ressources de sécurité et équilibrages de charge dans vRealize Automation.
Pour plus d'informations sur les balises et la stratégie de marquage, reportez-vous à la section Utilisation des balises pour gérer les ressources et les déploiements de Cloud Assembly.
Pour plus d'informations sur la dénomination de cartes réseau de machine, reportez-vous à la section Comment configurer un nom de contrôleur d'interface réseau à l'aide d'actions d'extensibilité.