ネットワーク プロファイルは、特定のリージョンまたはデータセンターのクラウド アカウントで使用可能なネットワークおよびネットワーク設定のグループを vRealize Automation Cloud 内で定義したものです。

通常、ネットワーク プロファイルではターゲットの展開環境をサポートします。たとえば、既存のネットワークに送信アクセスのみを設定する小規模なテスト環境や、一連のセキュリティ ポリシーが必要な、ロード バランシングされた大規模な本番環境などです。ワークロード固有のネットワーク特性を収集したものがネットワーク プロファイルであると考えてください。

ネットワーク プロファイルの内容

ネットワーク プロファイルには、次の設定を含む、 vRealize Automation Cloud の名前付きクラウド アカウント タイプとリージョンに関する特定の情報が含まれています。
  • ネットワーク プロファイルの名前付きクラウド アカウント/リージョンおよびオプションの機能タグ。
  • 名前付きの既存のネットワークとその設定。
  • ネットワーク プロファイルのオンデマンドなどの要素を定義するネットワーク ポリシー。
  • オプションでの既存のロード バランサの包含。
  • オプションでの既存のセキュリティ グループの包含。

ネットワーク プロファイルに基づいてネットワーク IP アドレス管理機能を決定します。

ネットワークの選択を制御しやすくするために、ネットワーク プロファイルの機能タグはクラウド テンプレートの制約タグと照合されます。さらに、ネットワーク プロファイルによって収集されるネットワークに割り当てられているすべてのタグも、クラウド テンプレートのタグと照合され、クラウド テンプレートが展開されるときにネットワークの選択が制御しやすくなります。

機能タグはオプションです。機能タグはネットワーク プロファイル内のすべてのネットワークに適用されますが、実際に適用されるのはネットワークがネットワーク プロファイルの一部として使用されている場合だけです。ネットワーク プロファイルに機能タグが含まれていない場合は、ネットワーク タグでのみタグの照合が行われます。一致したネットワーク プロファイル内で定義されているネットワーク設定とセキュリティ設定が、クラウド テンプレートの展開時に適用されます。

固定 IP アドレスを使用する場合、アドレス範囲は vRealize Automation Cloud によって管理されます。DHCP の場合、IP アドレスの開始アドレスと終了アドレスは、vRealize Automation Cloud ではなく独立した DHCP サーバによって管理されます。DHCP または混合型ネットワーク アドレス割り当てを使用する場合、ネットワーク使用率の値はゼロに設定されます。オンデマンド ネットワーク割り当て範囲は、ネットワーク プロファイルで指定された CIDR およびサブネット サイズに基づきます。展開で固定割り当てと動的割り当ての両方をサポートするために、割り当てられる範囲は、静的な割り当て用と動的な割り当て用の 2 つの範囲に分かれています。

ネットワーク

ネットワークは、サブネットとも呼ばれ、IP ネットワークを論理的に細分化したものです。ネットワークでは、クラウド アカウント、IP アドレス(IP アドレス範囲)、およびネットワーク タグをグループ化して、クラウド テンプレートの展開をプロビジョニングする方法と場所を制御します。プロファイルのネットワーク パラメータでは、展開内のマシンが IP レイヤー 3 を介して他のマシンと相互に通信する方法を定義します。ネットワークにはタグを付けることができます。

ネットワーク プロファイルにネットワークを追加したり、ネットワーク プロファイルで使用されるネットワークの要素を編集することができます。また、ネットワーク プロファイルからネットワークを削除することもできます。

ネットワーク プロファイルにネットワークを追加する場合は、vSphere および NSX ネットワークのフィルタリングされたリストから、使用可能なネットワークを選択できます。クラウド アカウント タイプでサポートされているネットワーク タイプは、ネットワーク プロファイルに追加できます。

  • [ネットワーク ドメイン] または [トランスポート ゾーン]

    このネットワーク ドメインまたはトランスポート ゾーンは、vSphere vNetwork 分散ポート グループ (dvPortGroup) 向けの Distributed Switch (dvSwitch) です。トランスポート ゾーンは、dvSwitch または dvPortGroup のような用語と同様の既存の NSX 概念です。

    NSX クラウド アカウントを使用する場合、ページの要素名は [トランスポート ゾーン] です。それ以外の場合は、[ネットワーク ドメイン] です。

    標準スイッチの場合、ネットワーク ドメインまたはトランスポート ゾーンはスイッチ自体と同じです。ネットワーク ドメインまたはトランスポート ゾーンは、vCenter Server 内のサブネットの境界を定義します。

    トランスポート ゾーンは、NSX 論理スイッチでアクセスできるホストを制御します。トランスポート ゾーンは 1 つ以上の vSphere クラスタにまたがって設定できます。トランスポート ゾーンでは、特定のネットワークを使用できるクラスタと仮想マシンを制御します。同じ NSX トランスポート ゾーンに属するサブネットは、同じマシン ホストに使用できます。

  • [ドメイン]

    ターゲット仮想マシン向けの vCenter Single Sign-On ドメインを表します。ドメインは、vSphere の構成中に vCenter 管理者によって構成されます。ドメインによって、vCenter のローカルの認証領域が決定されます。

  • [IPv4 CIDR] および [IPv4] デフォルト ゲートウェイ

    vSphere クラウド アカウント、およびクラウド テンプレート内の vSphere マシン コンポーネントは、デュアル IPv6 および IPv4 インターネット プロトコル方式をサポートします。たとえば、192.168.100.14/24 は、IPv4 アドレス 192.168.100.14 とそれに関連付けられているルーティング プリフィックス 192.168.100.0 を表しています。これは、24 個の先頭 1 ビットが含まれるサブネット マスク 255.255.255.0 に相当します。IPv4 ブロック 192.168.100.0/22 は、192.168.100.0 から 192.168.103.255 までの範囲の 1024 IP アドレスを表します。

  • [IPv6 CIDR] および [IPv6] デフォルト ゲートウェイ

    vSphere クラウド アカウント、およびクラウド テンプレート内の vSphere マシン コンポーネントは、デュアル IPv6 および IPv4 インターネット プロトコル方式をサポートします。たとえば、2001:db8::/48 は、2001:db8:0:0:0:0:0:0 から 2001:db8:0:ffff:ffff:ffff:ffff:ffff までの範囲の IPv6 アドレス ブロックを表しています。

    IPv6 フォーマットは、オンデマンド ネットワークではサポートされていません。

  • [DNS サーバ] および [DNS 検索ドメイン]
  • [パブリック IP アドレスのサポート]

    このオプションは、ネットワークがパブリックであるというフラグを付ける場合に選択します。クラウド テンプレート内のネットワーク コンポーネントのうち、network type: public プロパティを持つものが、パブリックのフラグが付いているネットワークと照合されます。クラウド テンプレートの展開時に、ネットワークの選択を決定するために、追加の照合が行われます。

  • [ゾーンのデフォルト]

    このオプションは、ネットワークがクラウド ゾーンのデフォルトであるというフラグを付ける場合に選択します。クラウド テンプレートの展開時は、デフォルト ネットワークが他のネットワークより優先されます。

  • [起点]

    ネットワーク ソースを識別します。

  • [タグ]

    ネットワークに割り当てられた 1 つ以上のタグを指定します。タグはオプションです。タグの照合は、クラウド テンプレート環境で使用可能なネットワークに影響を与えます。

    ネットワーク タグは、ネットワーク プロファイルに関係なく、ネットワーク アイテム自体にあります。ネットワーク タグは、ネットワーク タグが追加されているすべてのネットワークと、そのネットワークが含まれているすべてのネットワーク プロファイルに適用されます。ネットワークは、任意の数のネットワーク プロファイルにインスタンス化できます。ネットワーク タグは、ネットワーク プロファイルの有無とは関係なく、対応するネットワークに関連付けられます。そのネットワークがどこで使用されていてもかまいません。

    クラウド テンプレートを展開すると、クラウド テンプレートのネットワーク コンポーネントの制約タグが、ネットワーク プロファイルの機能タグなどのネットワーク タグと照合されます。ネットワーク プロファイルに機能タグが含まれている場合、その機能タグはそのネットワーク プロファイルで使用できるどのネットワークにも適用されます。一致したネットワーク プロファイル内で定義されているネットワーク設定とセキュリティ設定が、クラウド テンプレートの展開時に適用されます。

ネットワーク ポリシー

ネットワーク プロファイルを使用することで、固定、DHCP、または固定および DHCP IP アドレス設定の組み合わせを含む既存のネットワーク ドメインのサブネットを定義できます。[ネットワーク ポリシー] タブを使用して、サブネットを定義し、IP アドレス設定を指定できます。

NSX-VNSX-T、または VMware Cloud on AWS を使用している場合、クラウド テンプレートで networkType: outbound または networkType: private が必要になるか、NSX ネットワークで networkType: routed が必要になると、ネットワーク ポリシー設定が使用されます。

関連付けられたクラウド アカウントによっては、ネットワーク ポリシーを使用して、outboundprivate および routed のネットワーク タイプと、オンデマンド セキュリティ グループの設定を定義できます。ネットワークに関連付けられているロード バランサがある場合は、ネットワーク ポリシーを使用して existing ネットワークを制御することもできます。

送信ネットワークでは、アップストリーム ネットワークへの一方向のアクセスが許可されます。プライベート ネットワークでは、外部からのアクセスは許可されません。ルーティング ネットワークでは、ルーティング ネットワーク間での East/West トラフィックが許可されます。プロファイルの既存のネットワークとパブリック ネットワークが、基盤となるネットワークまたはアップストリーム ネットワークとして使用されます。

次のオンデマンドの選択に対するオプションについては、[ネットワーク プロファイル] の画面上のヘルプと以下の概要を参照してください。

  • [オンデマンド ネットワークまたはオンデマンド セキュリティ グループを作成しない]

    このオプションは、existing または public のネットワーク タイプを指定するときに使用できます。outboundprivate、または routed ネットワークを必要とするクラウド テンプレートは、このプロファイルと一致しません。

  • [オンデマンド ネットワークを作成]

    このオプションは、outboundprivate、または routed のネットワーク タイプを指定するときに使用できます。

    Amazon Web ServicesMicrosoft AzureNSXvSphere、および VMware Cloud on AWS は、このオプションをサポートしています。

  • [オンデマンド セキュリティ グループを作成]

    このオプションは、outbound または private のネットワーク タイプを指定するときに使用できます。

    一致したクラウド テンプレートのネットワーク タイプが outbound または private の場合は、新しいセキュリティ グループが作成されます。

    Amazon Web ServicesMicrosoft AzureNSX、および VMware Cloud on AWS は、このオプションをサポートしています。

ネットワーク ポリシー設定は、クラウド アカウント タイプによって異なる場合があります。これらの設定は、画面上の Signpost のヘルプと以下の概要で説明されています。

  • [ネットワーク ドメイン] または [トランスポート ゾーン]

    このネットワーク ドメインまたはトランスポート ゾーンは、vSphere vNetwork 分散ポート グループ (dvPortGroup) 向けの Distributed Switch (dvSwitch) です。トランスポート ゾーンは、dvSwitch または dvPortGroup のような用語と同様の既存の NSX 概念です。

    NSX クラウド アカウントを使用する場合、ページの要素名は [トランスポート ゾーン] です。それ以外の場合は、[ネットワーク ドメイン] です。

    標準スイッチの場合、ネットワーク ドメインまたはトランスポート ゾーンはスイッチ自体と同じです。ネットワーク ドメインまたはトランスポート ゾーンは、vCenter Server 内のサブネットの境界を定義します。

    トランスポート ゾーンは、NSX 論理スイッチでアクセスできるホストを制御します。トランスポート ゾーンは 1 つ以上の vSphere クラスタにまたがって設定できます。トランスポート ゾーンでは、特定のネットワークを使用できるクラスタと仮想マシンを制御します。同じ NSX トランスポート ゾーンに属するサブネットは、同じマシン ホストに使用できます。

  • [外部のサブネット]

    送信アクセスのあるオンデマンド ネットワークには、送信アクセスを持つ外部サブネットが必要です。外部サブネットは、クラウド テンプレートで要求された場合に送信アクセスを提供するために使用され、ネットワークの配置は制御しません。たとえば、外部サブネットはプライベート ネットワークの配置には影響しません。

  • [CIDR]

    CIDR 表記は、IP アドレスとそれに関連付けられているルーティング プリフィックスを簡潔に表したものです。CIDR 値は、サブネットを作成するためにプロビジョニング中に使用されるネットワーク アドレス範囲を指定します。[ネットワーク ポリシー] タブでのこの CIDR 設定は、/nn で終わり、0 ~ 32 の値を含む IPv4 表記を受け入れます。

  • [サブネット サイズ]

    このオプションでは、IPv4 表記を使用して、このネットワーク プロファイルを使用する展開内の隔離された各ネットワークに対してオンデマンド ネットワークのサイズを指定します。サブネット サイズの設定は、内部または外部の IP アドレス管理に使用できます。

    IPv6 フォーマットは、オンデマンド ネットワークではサポートされていません。

  • [分散論理ルーター]

    オンデマンド ルーティング ネットワークの場合、NSX-V クラウド アカウントを使用するには分散論理ネットワークを指定する必要があります。

    分散論理ルーター (DLR) は、NSX-V 上のオンデマンド ルーティング ネットワーク間で、East/West トラフィックをルーティングするために使用されます。このオプションは、ネットワーク プロファイルのアカウント/地域の値が NSX-V クラウドアカウントに関連付けられている場合にのみ表示されます。

  • [IP アドレス範囲の割り当て]

    このオプションは、vSphere を含む NSX または VMware Cloud on AWS をサポートするクラウド アカウントで使用できます。

    IP アドレス範囲の設定は、外部 IP アドレス管理統合ポイントで既存ネットワークを使用している場合に使用できます。

    次の 3 つのオプションのいずれかを選択して、展開ネットワークの IP アドレス範囲割り当てタイプを指定できます。
    • [固定および DHCP]

      デフォルトおよび推奨。この混在オプションでは、割り当てられた [CIDR][サブネット範囲] の設定を使用して、DHCP サーバ プールが、IP アドレス空間の割り当ての半分で DHCP(動的)の方法を使用し、もう半分で固定の方法を使用するように構成します。このオプションは、オンデマンド ネットワークに接続されている一部のマシンでは割り当てられた固定 IP アドレスが必要で、他のマシンでは動的な IP アドレスが必要な場合に使用します。2 つの IP アドレス範囲が作成されます。

      このオプションは、オンデマンド ネットワークに接続されているマシンでの展開(一部のマシンには固定 IP アドレスが割り当てられ、その他のマシンには NSX DHCP サーバによって IP アドレスが動的に割り当てられる)と、ロード バランサの仮想 IP アドレスが固定である展開に最も効果的です。

    • [DHCP(動的)]

      このオプションでは、割り当てられた CIDR を使用して、DHCP サーバ上に IP アドレス プールを構成します。このネットワークのすべての IP アドレスが動的に割り当てられます。割り当てられた CIDR ごとに 1 つの IP アドレス範囲が作成されます。

    • [固定]

      このオプションでは、割り当てられた CIDR を使用して、IP アドレスを固定で割り当てます。このオプションは、このネットワークに DHCP サーバを構成する必要がない場合に使用します。割り当てられた CIDR ごとに 1 つの IP アドレス範囲が作成されます。

  • [IP アドレス ブロック]

    IP ブロックの設定は、外部 IP アドレス管理統合ポイントでオンデマンド ネットワークを使用している場合に使用できます。

    IP アドレス ブロック設定を使用すると、統合された外部 IP アドレス管理プロバイダからネットワーク プロファイルに名前付き IP アドレス ブロックまたは範囲を追加できます。追加された IP アドレス ブロックをネットワーク プロファイルから削除することもできます。IP アドレス管理統合の作成方法の詳細については、vRealize Automation Cloud での Infoblox 用外部 IP アドレス管理統合の追加を参照してください。

    外部 IP アドレス管理は、次のクラウド アカウント/リージョン タイプで使用できます。
    • vSphere
    • vSphereNSX-T
    • vSphereNSX-V
  • [ネットワークリソース - 外部ネットワーク]

    外部ネットワークは、既存のネットワークとも呼ばれます。これらのネットワークはデータ収集され、選択できるようになります。

  • [ネットワークリソース - Tier-0 論理ルーター]

    NSX-T では、Tier-0 論理ルーターを使用して、NSX 環境の外部のネットワークへのゲートウェイを提供します。Tier-0 論理ルーターは、オンデマンド ネットワークの送信アクセスを構成します。

  • [ネットワークリソース - Edge クラスタ]

    指定した Edge クラスタは、ルーティング サービスを提供します。Edge クラスタは、オンデマンド ネットワークおよびロード バランサの送信アクセスを構成するために使用されます。Edge クラスタは、Edge アプライアンスが展開される Edge クラスタ(リソース プール)を識別します。

  • [ネットワークリソース - Edge データストア]

    指定された Edge データストアを使用して、Edge アプライアンスをプロビジョニングします。この設定は、NSX-V にのみ適用されます。

タグを使用して、クラウド テンプレートで使用可能なネットワークを指定できます。

ロード バランサ

ネットワーク プロファイルにロード バランサを追加できます。ソース クラウド アカウントからデータ収集された情報に基づいて、ロード バランサが一覧表示されます。

ネットワーク プロファイルのいずれかのロード バランサのタグが、クラウド テンプレートのロード バランサ コンポーネント内のタグと一致する場合、このロード バランサは展開時に考慮されます。クラウド テンプレートが展開されると、一致するネットワーク プロファイルのロード バランサが使用されます。

詳細については、vRealize Automation Cloud のネットワーク プロファイルでのロード バランサ設定の使用およびvRealize Automation Cloud のネットワーク、セキュリティ リソース、およびロード バランサを参照してください。

セキュリティ グループ

クラウド テンプレートが展開されると、ネットワーク プロファイル内のセキュリティ グループが、プロビジョニングされたマシン NIC に適用されます。Amazon Web Services 固有のネットワーク プロファイルの場合、ネットワーク プロファイル内のセキュリティ グループは、[ネットワーク] タブに表示されているネットワークと同じネットワーク ドメイン (VPC) 内で使用できます。ネットワーク プロファイルの [ネットワーク] タブにネットワークが表示されていない場合は、使用可能なすべてのセキュリティ グループが表示されます。

セキュリティ グループを使用すると、オンデマンドの private または outbound ネットワークの隔離設定をさらに定義できます。また、セキュリティ グループは existing ネットワークにも適用されます。グローバル セキュリティ グループを割り当てることもできます。

表示されているセキュリティ グループは、ソース クラウド アカウントからデータ収集された情報、またはプロジェクト クラウド テンプレートにオンデマンド セキュリティ グループとして追加された情報に基づいて使用できます。詳細については、vRealize Automation Cloud のセキュリティ リソースを参照してください。

セキュリティ グループは、ネットワーク プロファイルに一致するネットワークに接続されている展開内のすべてのマシンに適用されます。クラウド テンプレートにネットワークが複数あり、それぞれが異なるネットワーク プロファイルに一致することがあります。その場合、ネットワークごとに異なるセキュリティ グループを使用できます。

注:

セキュリティ グループを指定することに加えて、NSX ネットワーク(デフォルト)または vSphere ネットワーク、またはその両方を選択することもできます。クラウド テンプレートを展開すると、割り当てられた NSX ネットワークに接続されているマシン NIC に、割り当てられたセキュリティ グループまたは指定されたセキュリティ グループが vRealize Automation Cloud によって追加されます。NSX セキュリティ グループに追加できるのは、NSX ネットワークに接続されているマシン NIC のみです。マシン NIC が vSphere ネットワークに接続されている場合、テンプレートの展開は失敗します。

既存のセキュリティ グループにタグを追加すると、クラウド テンプレート Cloud.SecurityGroup コンポーネントでセキュリティ グループを使用できるようになります。セキュリティ グループには、1 つ以上のタグが必要です。タグがないと、クラウド テンプレートで使用することはできません。詳細については、vRealize Automation Cloud のセキュリティ リソースおよびvRealize Automation Cloud のネットワーク、セキュリティ リソース、およびロード バランサを参照してください。

ネットワーク プロファイル、ネットワーク、クラウド テンプレート、およびタグに関する詳細情報

ネットワークの詳細については、vRealize Automation Cloud のネットワーク リソースを参照してください。

クラウド テンプレートのサンプル ネットワーク コンポーネントのコードの例については、vRealize Automation Cloud のネットワーク、セキュリティ リソース、およびロード バランサを参照してください。

サンプルのネットワーク自動化ワークフローについては、次の VMware ブログの投稿を参照してください。

タグおよびタグの使用方法の詳細については、Cloud Assembly のリソースと展開を管理するためにタグを使用する方法を参照してください。