U kunt verschillende implementatietopologieën instellen en gebruiken op basis van hoe u uw NSX-T-netwerk en -beveiliging en uw load balancer-onderdelen configureert in de vRealize Automation-blueprint.

Netwerk en beveiliging

  • Geleide netwerken

    Als u een onderdeel van een geleid NSX-T-netwerk koppelt aan een vSphere-machineonderdeel in de blueprint, wordt de volgende topologie ingericht in NSX-T:

    • Er wordt een tier 1-router gemaakt.
    • Er wordt een logische schakeloptie gemaakt.
    • De tier 1-router wordt gedownlinkt naar de logische schakeloptie.
    • Specifieke geleide routes worden geadverteerd op de tier 1-router.
  • NAT-netwerken (statisch IP)

    Als u een NSX-T NAT-netwerk koppelt aan een vSphere-machineonderdeel in de blueprint, wordt de volgende topologie ingericht in NSX-T:

    • Er wordt een tier 1-router gemaakt.
    • Er wordt een logische schakeloptie gemaakt.
    • De tier 1-router wordt verbonden met het randcluster.
    • De tier 1-router wordt geüplinkt naar een tier 0-router; de tier 0-router wordt geselecteerd op basis van de reservering.
    • De tier 1-router wordt gedownlinkt naar de logische schakeloptie.
    • Alle NAT-routes worden geadverteerd op de tier 1-router.
    • Er wordt één extern IP-adres toegewezen voor elk NAT-netwerk op basis van het externe netwerkprofiel dat het NAT-netwerkprofiel op aanvraag ondersteunt. Dit IP-adres wordt gebruikt voor SNAT- en DNAT-regels.
  • NAT-netwerken (DHCP)

    Als u een NSX-T NAT-netwerk met DHCP koppelt aan een vSphere-machineonderdeel in de blueprint, wordt de volgende topologie ingericht in NSX-T:

    • Er wordt een tier 1-router gemaakt.
    • Er wordt een logische schakeloptie gemaakt.
    • De tier 1-router wordt verbonden met het randcluster.
    • De tier 1-router wordt geüplinkt naar een tier 0-router; de tier 0-router wordt geselecteerd op basis van de reservering.
    • De tier 1-router wordt gedownlinkt naar de logische schakeloptie.
    • Er wordt een DHCP-server met een IP-pool ingericht.
    • Alle NAT-routes worden geadverteerd op de tier 1-router.
  • App-isolatie
    Als app-isolatie is vereist voor een blueprint met NSX-T-onderdelen, wordt de volgende topologie ingericht in NSX-T:
    Opmerking: U configureert de app-isolatie voor de blueprint op de pagina Blueprint-eigenschappen wanneer u de blueprint maakt of bewerkt.
    • Er wordt een NS Group gemaakt.
    • Er wordt een firewallsectie, met firewall-isolatieregels, gemaakt.
    • De machines in de blueprint worden aan de NS Group voor app-isolatie toegevoegd met behulp van tags.
    • Het VIP- en externe IP-adres van de load balancer voor NAT-netwerken op de IPset worden toegevoegd aan de NS Group voor app-isolatie.

    Om NS Groups voor app-isolatie te ondersteunen, moet u de machines verbinden met ondoorzichtige netwerken.

  • Bestaande NS Groups

    Als u een onderdeel van een bestaande NS Group koppelt aan een vSphere-machineonderdeel in de blueprint, wordt de volgende topologie ingericht in NSX-T:

    • De machines die zijn gekoppeld aan de NS Group worden toegevoegd aan de NS Group in NSX-T met tags als lidmaatschapscriterium.

    Om bestaande NS Groups te ondersteunen, moet u de machines verbinden met ondoorzichtige netwerken.

Load balancers

De volgende topologieën worden ondersteund voor load balancers in een NSX-T-blueprintimplementatie:
  • One-armed in een NAT-netwerk op aanvraag.
  • One-armed in een geleid netwerk op aanvraag.
  • One-armed in een extern (bestaand) netwerk.
  • Two-armed, één in een NAT- en één in een extern netwerk.
  • Two-armed, één in een geleid en één in een extern netwerk.

Als een NSX-T load balancer word toegevoegd aan de blueprint, wordt, naast de netwerktopologieën, de volgende topologie ingericht in de implementatie:

  • Voor alle topologieën behalve die waarbij de load balancer one-armed is in een extern netwerk:
    • Er wordt één load balancer-service gemaakt, zelfs als de blueprint meerdere load balancer-onderdelen bevat.
    • De load balancer-service wordt gekoppeld aan de tier 1-router, voor de implementatie. De tier 1-router wordt op aanvraag gemaakt.
  • Voor topologieën waarbij de load balancer one-armed is in een extern netwerk:
    • Het externe netwerk dat is opgegeven in de reservering moet een VC-ondoorzichtig netwerk zijn (logische NSX-T-schakeloptie).
    • Er moet een tier 1-router bestaan en deze moet gekoppeld zijn aan het externe netwerk (logische NSX-T-schakeloptie).
    • Als er nog geen tier 1-router bestaat, wordt de load balancer-server op aanvraag gemaakt en gekoppeld aan de tier 1-router; anders wordt een reeds bestaande load balancer gebruikt.
  • De VIP-route wordt geadverteerd, tenzij het VIP zich in een particulier NAT-netwerk bevindt.
  • Er worden een of meer virtuele servers gemaakt in de load balancer-service.

    Er gelden beperkingen op het aantal virtuele servers per load balancer-service op basis van de grootte van de load balancer.

  • Er wordt een virtuele server-applicatieprofiel gemaakt voor elke virtuele server.
  • Er wordt een virtuele server-persistentieprofiel gemaakt voor elke virtuele server waarvoor persistentieopties zijn geconfigureerd.
  • Er wordt een lidmaatschapspool geconfigureerd dat het statische IP-adres van elke machine in de lidmaatschapspool bevat.
  • Er wordt één load balancer-service gemaakt, ongeacht het aantal load balancer-onderdelen in de blueprint.
  • Er wordt een statusmonitor gemaakt en geconfigureerd voor elke ledenpool.

Voor virtuele servers met HTTP-ondersteuning is er, in tegenstelling tot load balancers in NSX for vSphere, geen ondersteuning voor SSL-passthrough in NSX-T load balancers. vRealize Automation configureert de virtuele server van de load balancer zodanig dat SSL wordt beëindigd op de load balancer en dat gewone HTTP van de load balancer wordt gebruikt voor de poolleden. De naam van het certificaat en de naam van het SSL-clientprofiel, die beide moeten bestaan in NSX-T, moeten worden opgegeven bij het configureren van de virtuele server met HTTPS. U kunt certificaten importeren in de NSX-T-trustmanager.

Wanneer de blueprint meer dan één NSX-T-onderdeel bevat, wordt de logische tier 1-router gedeeld door alle onderdelen en dienovereenkomstig geconfigureerd. De externe id van de logische tier 1-router wordt weergegeven in de detailweergave van elk onderdeel op de pagina vRealize Automation-implementaties.