Un profilo di rete definisce un gruppo di reti e impostazioni di rete disponibili per un account cloud in una particolare regione o data center in vRealize Automation.
In genere, è possibile definire i profili di rete per supportare un ambiente di distribuzione di destinazione, ad esempio un piccolo ambiente di test in cui una rete esistente dispone solo dell'accesso in uscita o un grande ambiente di produzione con bilanciamento del carico che richiede un set di criteri di protezione. Si pensi a un profilo di rete come a una raccolta di caratteristiche di rete specifiche del carico di lavoro.
Contenuto di un profilo di rete
- Regione o account cloud denominati e tag di funzionalità opzionali per il profilo di rete.
- Reti esistenti denominate e relative impostazioni.
- Criteri di rete che definiscono su richiesta e altri aspetti del profilo di rete.
- Inclusione facoltativa di bilanciamenti del carico esistenti.
- Inclusione facoltativa di gruppi di sicurezza esistenti.
È possibile determinare la funzionalità di gestione IP di rete in base al profilo di rete.
I tag di funzionalità dei profili di rete vengono abbinati ai tag dei vincoli nei modelli cloud per consentire di controllare la selezione della rete. Inoltre, tutti i tag assegnati alle reti raccolte dal profilo di rete vengono abbinati anche ai tag nel modello cloud per consentire di controllare la selezione della rete quando il modello cloud viene distribuito.
I tag di funzionalità sono facoltativi. I tag di funzionalità vengono applicati a tutte le reti nel profilo di rete, ma solo se le reti vengono utilizzate come parte del profilo di rete. Per i profili di rete che non contengono tag di funzionalità, la corrispondenza dei tag si verifica solo sui tag di rete. Le impostazioni di rete e sicurezza definite nel profilo di rete corrispondente vengono applicate quando il modello cloud viene distribuito.
Quando si utilizza l'IP statico, l'intervallo di indirizzi è gestito da vRealize Automation. Per DHCP, gli indirizzi di inizio e fine IP sono gestiti dal server DHCP indipendente, non da vRealize Automation. Quando si utilizza l'allocazione di indirizzi di rete DHCP o misti, il valore di utilizzo della rete è impostato su zero. Un intervallo allocato della rete su richiesta si basa sulla dimensione CIDR e subnet specificata nel profilo di rete. Per supportare l'assegnazione statica e dinamica nella distribuzione, l'intervallo allocato viene suddiviso in due intervalli, uno per l'allocazione statica e un altro per l'allocazione dinamica.
Reti
Le reti, definite anche subnet, sono suddivisioni logiche di una rete IP. Una rete raggruppa un account cloud, un indirizzo IP o un intervallo e tag di rete per controllare come e dove eseguire il provisioning di una distribuzione del modello cloud. I parametri di rete nel profilo definiscono il modo in cui le macchine nella distribuzione possono comunicare tra loro tramite il layer IP 3. Le reti possono disporre di tag.
È possibile aggiungere reti al profilo di rete, modificare gli aspetti delle reti utilizzate dal profilo di rete e rimuovere le reti dal profilo di rete.
Quando si aggiunge una rete al profilo di rete, è possibile selezionare le reti disponibili da un elenco filtrato di reti vSphere e NSX. Se il tipo di rete è supportato per il tipo di account cloud, è possibile aggiungerlo al profilo di rete.
In una distribuzione basata su VCF, i segmenti di rete NSX vengono creati in locale nella rete NSX-T e non vengono creati come reti globali.
- Dominio di rete o Zona di trasporto
Un dominio di rete o una zona di trasporto è il commutatore virtuale distribuito (dvSwitch) per vSphere vNetwork Distributed PortGroups (dvPortGroup). Una zona di trasporto è un concetto di NSX esistente simile a termini quali dvSwitch o dvPortGroup.
Quando si utilizza un account cloud di NSX, il nome dell'elemento nella pagina è Zona di trasporto. In caso contrario, è Dominio di rete.
Per i commutatori standard, il dominio di rete o la zona di trasporto è lo stesso del commutatore. Il dominio di rete o la zona di trasporto definisce i limiti delle subnet all'interno di vCenter.
Una zona di trasporto controlla quali host sono raggiungibili da un commutatore logico di NSX. Può estendersi in uno o più cluster di vSphere. Le zone di trasporto controllano quali cluster e macchine virtuali possono partecipare all'uso di una determinata rete. Le subnet che appartengono alla stessa zona di trasporto di NSX possono essere utilizzate per gli stessi host delle risorse della macchina.
- Dominio
Rappresenta il nome di dominio per la macchina. Il nome del dominio viene passato alla specifica di personalizzazione della macchina vSphere.
- Gateway predefinito IPv4 CIDR e IPv4
I componenti della macchina vSphere nel modello cloud supportano l'assegnazione di IPv4, IPv6 e IP dual stack per le interfacce di rete. Ad esempio, 192.168.100.14/24 rappresenta l'indirizzo IPv4 192.168.100.14 e il relativo prefisso di routing associato 192.168.100.0 o, in modo equivalente, la subnet mask 255.255.255.0, che ha 24 bit 1 iniziali. Il blocco di IPv4 192.168.100.0/22 rappresenta i 1024 indirizzi IP da 192.168.100.0 a 192.168.103.255.
- Gateway predefinito IPv6 CIDR e IPv6
I componenti della macchina vSphere nel modello cloud supportano l'assegnazione di IPv4, IPv6 e IP dual stack per le interfacce di rete. Ad esempio, 2001:db8::/48 rappresenta il blocco di indirizzi IPv6 da 2001:db8:0:0:0:0:0:0 a 2001:db8:0:ffff:ffff:ffff:ffff:ffff.
Il formato IPv6 non è supportato per le reti su richiesta. Per informazioni correlate, vedere Utilizzo delle impostazioni di rete in profili di rete e progettazioni di modelli cloud in vRealize Automation.
- Server DNS e Domini di ricerca DNS
- IP pubblico di supporto
Selezionare questa opzione per contrassegnare la rete come pubblica. I componenti di rete in un modello cloud con una proprietà network type: public vengono associati alle reti contrassegnate come pubbliche. Si verifica una maggiore corrispondenza durante la distribuzione del modello cloud per determinare la selezione della rete.
- Valore predefinito per la zona
Selezionare questa opzione per contrassegnare la rete come predefinita per la zona cloud. Durante la distribuzione del modello cloud, le reti predefinite vengono preferite rispetto ad altre reti.
- Origine
Identifica l'origine della rete.
- Tag
Specifica una o più etichette assegnate alla rete. I tag sono facoltativi. La corrispondenza dei tag influisce sulle reti disponibili per le distribuzioni dei modelli cloud.
I tag di rete esistono nell'elemento di rete stesso, indipendentemente dal profilo di rete. I tag di rete si applicano a ogni occorrenza della rete a cui sono stati aggiunti e a tutti i profili di rete che contengono tale rete. Le reti possono essere integrate in un numero qualsiasi di profili di rete. Indipendentemente dalla residenza del profilo di rete, un tag di rete è associato a tale rete ovunque venga utilizzata.
Quando si distribuisce un modello cloud, i tag di vincolo nei componenti di rete di un modello cloud vengono abbinati ai tag di rete, inclusi i tag della funzionalità del profilo di rete. Per i rete profili di rete che contengono tag di funzionalità, i tag di funzionalità vengono applicati a tutte le reti disponibili per tale profilo di rete. Le impostazioni di rete e sicurezza definite nel profilo di rete corrispondente vengono applicate quando il modello cloud viene distribuito.
Criteri di rete
Utilizzando i profili di rete, è possibile definire le subnet per i domini di rete esistenti che contengono indirizzi IP statici, DHCP o una combinazione di impostazioni di indirizzi IP statici e DHCP. È possibile definire le subnet e specificare le impostazioni degli indirizzi IP utilizzando la scheda Criteri di rete.
Quando si utilizza NSX-V, NSX-T o VMware Cloud on AWS, le impostazioni dei criteri di rete vengono utilizzate quando un modello cloud richiede networkType: outbound
o networkType: private
o quando una rete NSX richiede networkType: routed
.
outbound
,
private
e
routed
e per i gruppi di sicurezza su richiesta. È inoltre possibile utilizzare i criteri di rete per controllare le reti
existing
quando è associato un bilanciamento del carico a tale rete.
Le reti in uscita consentono l'accesso unidirezionale alle reti upstream. Le reti private non consentono alcun accesso esterno. Le reti instradate consentono il traffico est/ovest tra le reti instradate. Le reti pubbliche e quelle esistenti nel profilo vengono utilizzate come reti sottostanti o upstream.
Le opzioni per le seguenti selezioni su richiesta sono descritte nella guida su schermo Profili di rete e riepilogate di seguito.
- Non creare una rete su richiesta o un gruppo di sicurezza su richiesta
È possibile utilizzare questa opzione quando si specifica un tipo di rete
existing
opublic
. I modelli cloud che richiedono una reteoutbound
,private
orouted
non corrispondono a questo profilo. - Crea una rete su richiesta
È possibile utilizzare questa opzione quando si specifica un tipo di rete
outbound
,private
orouted
.Amazon Web Services, Microsoft Azure, NSX, vSphere e VMware Cloud on AWS supportano questa opzione.
- Crea un gruppo di sicurezza su richiesta
È possibile utilizzare questa opzione quando si specifica un tipo di rete
outbound
oprivate
.Se il tipo di rete è
outbound
oprivate
, viene creato un nuovo gruppo di sicurezza per i modelli cloud con corrispondenze.Amazon Web Services, Microsoft Azure, NSX e VMware Cloud on AWS supportano questa opzione.
Le impostazioni dei criteri di rete possono essere specifiche per il tipo di account cloud. Queste impostazioni sono descritte nella guida su schermo e riepilogate di seguito:
- Dominio di rete o Zona di trasporto
Un dominio di rete o una zona di trasporto è il commutatore virtuale distribuito (dvSwitch) per vSphere vNetwork Distributed PortGroups (dvPortGroup). Una zona di trasporto è un concetto di NSX esistente simile a termini quali dvSwitch o dvPortGroup.
Quando si utilizza un account cloud di NSX, il nome dell'elemento nella pagina è Zona di trasporto. In caso contrario, è Dominio di rete.
Per i commutatori standard, il dominio di rete o la zona di trasporto è lo stesso del commutatore. Il dominio di rete o la zona di trasporto definisce i limiti delle subnet all'interno di vCenter.
Una zona di trasporto controlla quali host sono raggiungibili da un commutatore logico di NSX. Può estendersi in uno o più cluster di vSphere. Le zone di trasporto controllano quali cluster e macchine virtuali possono partecipare all'uso di una determinata rete. Le subnet che appartengono alla stessa zona di trasporto di NSX possono essere utilizzate per gli stessi host delle risorse della macchina. I tipi di zona di trasporto sono overlay o VLAN. Per informazioni sull'utilizzo di una zona di trasporto VLAN per la definizione dei segmenti VLAN, vedere Risorse di rete in vRealize Automation.
- Subnet esterna
Una rete su richiesta con accesso in uscita richiede una subnet esterna con accesso in uscita. La subnet esterna viene utilizzata per fornire l'accesso in uscita se richiesto nel modello cloud. Non controlla il posizionamento della rete. Ad esempio, la subnet esterna non influisce sul posizionamento di una rete privata.
- CIDR
La notazione CIDR è una rappresentazione compatta di un indirizzo IP e del relativo prefisso di routing associato. Il valore CIDR specifica l'intervallo di indirizzi di rete da utilizzare durante il provisioning per creare le subnet. Questa impostazione CIDR nella scheda Criteri di rete accetta la notazione IPv4 che termina con /nn e contiene valori compresi tra 0-32.
- Dimensioni subnet
Questa opzione consente di specificare le dimensioni della rete su richiesta, utilizzando la notazione IPv4, per ogni rete isolata in una distribuzione che utilizza questo profilo di rete. L'impostazione delle dimensioni della subnet è disponibile per la gestione degli indirizzi IP interni o esterni.
Il formato IPv6 non è supportato per le reti su richiesta.
- Router logico distribuito
Ad esempio, per una rete instradata su richiesta, è necessario specificare una rete logica distribuita quando si utilizza un account cloud di NSX-V.
Un DLR (Distributed Logical Router) viene utilizzato per instradare il traffico est/ovest tra reti instradate su richiesta in NSX-V. Questa opzione è visibile solo se il valore dell'account/regione per il profilo di rete è associato a un account cloud di NSX-V.
- Assegnazione intervallo IP
L'opzione è disponibile per gli account cloud che supportano NSX o VMware Cloud on AWS, incluso vSphere.
L'impostazione dell'intervallo IP è disponibile quando si utilizza una rete esistente con un punto di integrazione IPAM esterno.
È possibile selezionare una delle tre opzioni seguenti per specificare un tipo di assegnazione dell'intervallo IP per la rete di distribuzione:- Statico e DHCP
Predefinito e consigliato. Questa opzione mista utilizza le impostazioni CIDR e Intervallo di subnet allocate per configurare il pool di server DHCP affinché supporti la metà dell'allocazione dello spazio degli indirizzi utilizzando il metodo DHCP (dinamico) e la metà dell'allocazione dello spazio di indirizzi IP utilizzando il metodo statico. Utilizzare questa opzione quando alcune macchine connesse a una rete su richiesta richiedono indirizzi IP statici assegnati e alcune richiedono indirizzi IP dinamici. Vengono creati due intervalli IP.
Questa opzione è più efficace nelle distribuzioni con macchine connesse a una rete su richiesta, in cui ad alcune delle macchine vengono assegnati IP statici e ad altre macchine IP dinamicamente assegnati da un server DHCP di NSX e distribuzioni in cui il VIP di bilanciamento del carico è statico.
- DHCP (dinamico)
Questa opzione utilizza il CIDR allocato per configurare un pool di IP in un server DHCP. Tutti gli indirizzi IP per questa rete vengono assegnati dinamicamente. Viene creato un singolo intervallo IP per ogni CIDR allocato.
- Statico
Questa opzione utilizza il CIDR allocato per allocare staticamente gli indirizzi IP. Utilizzare questa opzione quando non è necessario configurare un server DHCP per la rete. Viene creato un singolo intervallo IP per ogni CIDR allocato.
- Statico e DHCP
- Blocchi IP
L'impostazione dei blocchi IP è disponibile quando si utilizza una rete su richiesta con un punto di integrazione IPAM esterno.
Utilizzando questa impostazione, è possibile aggiungere un blocco o un intervallo IP denominato al profilo di rete dal provider IPAM esterno integrato. È inoltre possibile rimuovere un blocco IP aggiunto dal profilo di rete. Per informazioni su come creare un'integrazione IPAM esterna, vedere Aggiunta dell'integrazione di un provider IPAM esterno per Infoblox in vRealize Automation.
L'IPAM esterno è disponibile per i seguenti tipi di account cloud o regione:- vSphere
- vSphere con NSX-T
- vSphere con NSX-V
- Risorse di rete - Rete esterna
Le reti esterne sono denominate anche reti esistenti. Queste reti sono state raccolte in base ai dati e rese disponibili per la selezione.
- Risorse di rete - Router logico di livello 0
NSX-T utilizza il router logico di livello 0 come gateway per le reti esterne alla distribuzione NSX. Il router logico di livello 0 configura l'accesso in uscita per le reti su richiesta.
- Risorse di rete - Cluster edge
Il cluster edge specificato fornisce servizi di routing. Il cluster edge viene utilizzato per configurare l'accesso in uscita per le reti su richiesta e i bilanciamenti del carico. Identifica il cluster edge o il pool di risorse in cui deve essere distribuita l'appliance edge.
- Risorse di rete - Datastore edge
Identifica il datastore edge specificato utilizzato per eseguire il provisioning dell'appliance edge. Questa impostazione si applica solo a NSX-V.
I tag possono essere utilizzati per specificare quali reti sono disponibili per il modello cloud.
Bilanciamenti del carico
È possibile aggiungere bilanciamenti del carico al profilo di rete. I bilanciamenti del carico elencati sono disponibili in base ai dati raccolti dalle informazioni dell'account cloud di origine.
Se un tag in uno qualsiasi dei bilanciamenti del carico nel profilo di rete corrisponde a un tag in un componente del bilanciamento del carico nel modello cloud, il bilanciamento del carico viene considerato durante la distribuzione. I bilanciamenti del carico in un profilo di rete corrispondente vengono utilizzati quando viene distribuito un modello cloud.
Per ulteriori informazioni, vedere Utilizzo delle impostazioni del bilanciamento del carico nei profili di rete in vRealize Automation e Reti, risorse di sicurezza e bilanciamenti del carico in vRealize Automation.
Gruppi di sicurezza
Quando viene distribuito un modello cloud, i gruppi di sicurezza nel profilo di rete vengono applicati alle schede NIC delle macchine sottoposte a provisioning. Per un profilo di rete specifico di Amazon Web Services, i gruppi di sicurezza nel profilo di rete sono disponibili nello stesso dominio di rete (VPC) delle reti elencate nella scheda Reti. Se nella scheda Reti del profilo di rete non è elencata alcuna rete, vengono visualizzati tutti i gruppi di sicurezza disponibili.
È possibile utilizzare un gruppo di sicurezza per definire ulteriormente le impostazioni di isolamento per una rete private
o outbound
su richiesta. I gruppi di sicurezza vengono applicati anche alle reti existing
. È inoltre possibile assegnare gruppi di sicurezza globali.
I gruppi di sicurezza elencati sono disponibili in base ai dati raccolti dalle informazioni dall'account cloud di origine o aggiunte come gruppo di sicurezza su richiesta nel modello cloud di un progetto. Per ulteriori informazioni, vedere Risorse di sicurezza in vRealize Automation.
I gruppi di sicurezza vengono applicati a tutte le macchine della distribuzione connesse alla rete che corrisponde al profilo di rete. Poiché in un modello cloud potrebbero essere presenti più reti, ognuna delle quali corrispondente a un profilo di rete diverso, è possibile utilizzare gruppi di sicurezza differenti per reti diverse.
Oltre a specificare un gruppo di sicurezza, è possibile selezionare anche reti NSX (impostazione predefinita) oppure reti vSphere o entrambe. Quando si distribuisce un modello cloud, vRealize Automation aggiunge il gruppo di sicurezza allocato o specificato alle schede NIC delle macchine connesse alla rete NSX allocata. Solo le schede NIC delle macchine connesse a una rete NSX possono essere aggiunte a un gruppo di sicurezza di NSX. Se la scheda NIC della macchina è connessa a una rete vSphere, la distribuzione del modello non riesce.
L'aggiunta di un'etichetta a un gruppo di sicurezza esistente consente di utilizzare il gruppo di sicurezza in un componente Cloud.SecurityGroup del modello cloud. Un gruppo di sicurezza deve avere almeno un tag o non può essere utilizzato in un modello cloud. Per ulteriori informazioni, vedere Risorse di sicurezza in vRealize Automation e Reti, risorse di sicurezza e bilanciamenti del carico in vRealize Automation.
Ulteriori informazioni su profili di rete, reti, modelli cloud e tag
Per ulteriori informazioni sulle reti, vedere Risorse di rete in vRealize Automation.
Per esempi di codice del componente di rete di esempio in un modello cloud, vedere Reti, risorse di sicurezza e bilanciamenti del carico in vRealize Automation.
Per ulteriori informazioni sui tag e sulla strategia di tag, vedere Come utilizzare i tag per gestire le distribuzioni e le risorse di Cloud Assembly.
Per informazioni sulla denominazione delle schede NIC delle macchine, vedere Come configurare il nome di un controller dell'interfaccia di rete utilizzando le azioni di estendibilità.