VMware Aria Automation supporta l'individuazione di reti e gruppi di sicurezza da progetti e VPC di NSX che possono essere aggiunti ai profili di rete.

Che cosa sono progetti e VPC di NSX e come vengono utilizzati in VMware Aria Automation

Nelle versioni precedenti, VMware Aria Automation può utilizzare solo reti e gruppi di sicurezza di NSX che fanno parte del ramo /infra incluso nella vista Predefinita dell'interfaccia utente di NSX Manager. A partire da 8.18.1, VMware Aria Automation supporta l'individuazione di reti e gruppi di sicurezza inclusi in tutti i progetti e i VPC (Virtual Private Cloud) di NSX configurati in NSX Manager. Le reti e i gruppi di sicurezza di questo tipo possono essere aggiunti a profili di rete che possono essere selezionati per l'allocazione ai modelli cloud.

Un progetto di NSX abilita la multi-tenancy per gli oggetti di rete e sicurezza di NSX in cui ogni progetto è analogo a un tenant. Un VPC di NSX è un livello aggiuntivo di tenancy che è possibile configurare in un progetto esistente. Progetti e VPC di NSX vengono principalmente configurati e gestiti in NSX Manager da un amministratore. Per ulteriori informazioni su progetti e VPC di NSX e su come aggiungerli nell'ambiente di NSX Manager, vedere Multi-tenancy di NSX.

VMware Aria Automation raccoglie informazioni su tre tipi di oggetti dell'infrastruttura di progetti e VPC di NSX:

  • Segmenti dei progetti di NSX
  • Subnet VPC di NSX
  • Gruppi di progetti e VPC di NSX

In VMware Aria Automation,segmenti e subnet vengono trattati come reti, mentre i gruppi vengono trattati come gruppi di sicurezza.

La modifica delle subnet VPC può avere determinate limitazioni in VMware Aria Automation in base alla configurazione del loro IP. Le subnet con configurazione manuale dell'IP includono il routing CIDR che non può essere modificato in VMware Aria Automation. Tuttavia, è comunque possibile aggiornare l'intervallo di IP di queste subnet facendo clic sul pulsante Gestisci intervalli IP. Le subnet con configurazione automatica dell'IP in NSX non possono essere modificate in VMware Aria Automation. Non è possibile creare intervalli di IP di queste subnet perché lPAM è gestito da NSX e il pulsante Gestisci intervalli IP è disattivato.

Le informazioni su segmenti e subnet vengono visualizzate in Infrastruttura > Risorse > Reti. Le informazioni relative ai gruppi di sicurezza vengono visualizzate in Infrastruttura > Risorse > Sicurezza. Se una determinata rete o un determinato gruppo di sicurezza fa parte di un progetto o VPC di NSX, queste informazioni vengono visualizzate nella colonna Progetto NSX/VPC.

Le reti e i gruppi di sicurezza che fanno parte di un progetto e/o di un VPC di NSX includono tre nuove proprietà personalizzate.

Proprietà personalizzata Descrizione
NsxProjectAndVpc I nomi del progetto di NSX e, se applicabile per la rete o il gruppo di sicurezza specifici, di VPC di NSX.
NsxProjectId ID del progetto di NSX.
NsxVpcId ID del VPC di NSX.

Logica di allocazione per i NIC (Network Interface Controller)

La logica di allocazione di VMware Aria Automation assegna una priorità ai gruppi di sicurezza in base alla gerarchia delle reti a cui il NIC o i NIC sono connessi. La priorità più alta viene assegnata ai segmenti di livello /infra, seguiti dai segmenti del progetto e infine dalle subnet VPC. Ai gruppi di sicurezza di livello /infra viene sempre assegnata la priorità, se sono presenti. Tuttavia, se la distribuzione seleziona gruppi di sicurezza da progetti o VPC di NSX, si applicano alcune limitazioni. Ad esempio, se si seleziona un gruppo di sicurezza di un progetto di NSX, tutti i NIC assegnati a questo gruppo di sicurezza devono arrivare a segmenti in questo progetto di NSX specifico o alle subnet nel VPC o nei VPC inclusi nel progetto di NSX. Se si seleziona un gruppo di sicurezza di VPC, tutti i NIC assegnati a questo gruppo di sicurezza possono arrivare solo alle subnet di questo VPC specifico. Se si selezionano più gruppi di sicurezza in un profilo di rete, per il NIC vengono selezionati solo quelli che seguono questa logica di allocazione in base alla selezione della rete.

Nota: Se in un modello cloud distribuito si esegue un'operazione giorno 2 che modifica i tag di vincolo di una rete esistente, è possibile che l'operazione non riesca anche se la rete specificata è presente. Questo problema è causato dal fatto che la nuova rete non è conforme ai gruppi di sicurezza associati ai NIC esistenti specificati durante la distribuzione del giorno 0 iniziale. In questo scenario, viene visualizzato un messaggio di errore simile al seguente: 
Operation: 'Update.Network': Unable to find a valid subnet for network 'Network_Name_' of type 'EXISTING' with constraints '[{"tag":"public:subnetType"},{"tag":"DEV-VPC:vpc"}]' in network profile 'NetP'. Filtered subnets [DEV-VPC-PUBLIC-SUB] NSX projects [DEV-PRO / DEV-VPC] are not compatible with NSX projects [DEV-PRO / DEV-VPC1, DEV-PRO] of security groups [DEV-VPC1-GRP1, DEV-PROJ-GRP].