VMware Aria Automation では、ネットワーク プロファイルに追加できる NSX プロジェクトおよび VPC からのネットワークとセキュリティ グループの検出がサポートされます。

NSX プロジェクトと VPC の概要および VMware Aria Automation での使用方法

VMware Aria Automation の以前のリリースでは、NSX Manager ユーザー インターフェイスの [デフォルト] ビューに含まれる /infra ブランチの一部である NSX ネットワークとセキュリティ グループのみが使用できました。VMware Aria Automation 8.18.1 以降では、NSX Manager で構成されているすべての NSX プロジェクトおよび仮想プライベート クラウド (VPC) に含まれるネットワークとセキュリティ グループの検出がサポートされます。これらのネットワークとセキュリティ グループは、クラウド テンプレートへの割り当て用に選択可能なネットワーク プロファイルに追加できます。

NSX プロジェクトでは、各プロジェクトがテナントに類似している NSX ネットワークおよびセキュリティ オブジェクトに対してマルチテナントが有効になります。NSX VPC は、既存のプロジェクト内で構成できるテナントの追加レイヤーです。NSX プロジェクトも VPC も、主に管理者が NSX Manager で構成および管理します。NSX プロジェクトと VPC の詳細および NSX Manager 環境への追加方法については、「NSX マルチ テナント」を参照してください。

VMware Aria Automation では、次の 3 種類の NSX プロジェクトおよび VPC インフラストラクチャ オブジェクトに関する情報を収集します。

  • NSX プロジェクトのセグメント
  • NSX VPC サブネット
  • NSX プロジェクトおよび VPC グループ

VMware Aria Automation 内では、セグメントとサブネットがネットワークとして扱われ、グループがセキュリティ グループとして扱われます。

VPC サブネットを変更すると、IP アドレス構成に応じて、VMware Aria Automation で特定の制限が適用される可能性があります。手動 IP アドレス構成を持つサブネットには、VMware Aria Automation で変更できない CIDR ルーティングが含まれます。ただし、[IP アドレス範囲の管理] ボタンをクリックすると、これらのサブネットの IP アドレス範囲を更新できます。NSX の自動 IP アドレス構成を持つサブネットを VMware Aria Automation で変更することはできません。IP アドレス管理は NSX によって管理され、[IP アドレス範囲の管理] ボタンがグレーアウトになっているため、これらのサブネットの IP アドレス範囲を作成することはできません。

セグメントとサブネットに関する情報は、[インフラストラクチャ] > [リソース] > [ネットワーク] に表示されます。セキュリティ グループに関する情報は、[インフラストラクチャ] > [リソース] > [セキュリティ] に表示されます。特定のネットワークまたはセキュリティ グループが NSX プロジェクトまたは VPC の一部である場合、この情報は [NSX プロジェクト/VPC] 列に表示されます。

NSX プロジェクトまたは VPC の一部であるネットワークとセキュリティ グループには、3 つの新しいカスタム プロパティが含まれています。

カスタム プロパティ 説明
NsxProjectAndVpc NSX プロジェクトの名前。特定のネットワークまたはセキュリティ グループに該当する場合は、NSX VPC。
NsxProjectId NSX プロジェクトの ID。
NsxVpcId NSX VPC の ID。

ネットワーク インターフェイス コントローラ (NIC) の割り当てロジック

VMware Aria Automation の割り当てロジックでは、NIC(複数の場合もあり)が接続されているネットワークの階層に基づいてセキュリティ グループに優先順位を付けます。最も高い優先順位は、/infra レベルのセグメントに指定され、続いてプロジェクト セグメント、最後に VPC サブネットの順になります。/infra レベルのセキュリティ グループは、使用可能な場合は常に優先順位が付けられます。ただし、展開で NSX プロジェクトまたは VPC のいずれかからセキュリティ グループを選択する場合は、特定の制限が適用されます。たとえば、NSX プロジェクト セキュリティ グループが選択されている場合、このセキュリティ グループに割り当てられているすべての NIC は、この特定の NSX プロジェクト内のセグメント、または NSX プロジェクトに含まれる VPC(複数の場合もあり)内のサブネットに配置する必要があります。VPC セキュリティ グループが選択されている場合、このセキュリティ グループに割り当てられているすべての NIC は、この特定の VPC 内のサブネットにのみ配置できます。ネットワーク プロファイルで複数のセキュリティ グループを選択すると、ネットワークの選択を基に、この割り当てロジックに従うセキュリティ グループのみが NIC に対して選択されます。

注: 既存のネットワークの制約タグを変更する展開済みクラウド テンプレートでインストール後の作業を実行すると、指定されたネットワークが見つかった場合でも操作が失敗することがあります。この問題は、新しいネットワークが最初の Day 0 展開中に指定された既存の NIC に関連付けられているセキュリティ グループに準拠していないために発生します。このような場合は、次のようなエラー メッセージが表示されます。 
Operation: 'Update.Network': Unable to find a valid subnet for network 'Network_Name_' of type 'EXISTING' with constraints '[{"tag":"public:subnetType"},{"tag":"DEV-VPC:vpc"}]' in network profile 'NetP'. Filtered subnets [DEV-VPC-PUBLIC-SUB] NSX projects [DEV-PRO / DEV-VPC] are not compatible with NSX projects [DEV-PRO / DEV-VPC1, DEV-PRO] of security groups [DEV-VPC1-GRP1, DEV-PROJ-GRP].