Een netwerkprofiel definieert een groep netwerken en netwerkinstellingen die beschikbaar zijn voor een cloudaccount in een bepaalde regio of een bepaald datacenter in vRealize Automation.
U definieert doorgaans netwerkprofielen om een doelimplementatieomgeving te ondersteunen, bijvoorbeeld een kleine testomgeving waar een bestaand netwerk alleen uitgaande toegang heeft, of een grote productieomgeving met gelijke taakverdeling waarvoor een reeks beveiligingsbeleidsregels nodig is. Beschouw een netwerkprofiel als een verzameling van netwerkkenmerken die specifiek zijn voor de workload.
Inhoud van een netwerkprofiel
- Benoemde cloudaccount/regio en optionele capaciteitstags voor het netwerkprofiel.
- Benoemde bestaande netwerken en hun instellingen.
- Netwerkbeleidsregels die op aanvraag definiëren en andere aspecten van het netwerkprofiel.
- Optionele opname van bestaande load balancers.
- Optionele opname van bestaande beveiligingsgroepen.
U bepaalt de netwerk-IP-beheerfunctionaliteit op basis van het netwerkprofiel.
Capaciteitstags voor netwerkprofielen worden gekoppeld aan de beperkingstags in cloudsjablonen om de netwerkselectie te helpen beheren. Verder worden alle tags die zijn toegewezen aan de netwerken die worden verzameld door het netwerkprofiel ook gekoppeld aan tags in de cloudsjabloon om de netwerkselectie te helpen beheren wanneer de cloudsjabloon wordt geïmplementeerd.
Capaciteitstags zijn optioneel. Capaciteitstags worden toegepast op alle netwerken in het netwerkprofiel, maar alleen wanneer de netwerken worden gebruikt als onderdeel van dat netwerkprofiel. Voor netwerkprofielen die geen capaciteitstags bevatten, vindt tagafstemming alleen plaats voor netwerktags. De netwerk- en beveiligingsinstellingen die in het gekoppelde netwerkprofiel zijn gedefinieerd, worden toegepast wanneer de cloudsjabloon wordt geïmplementeerd.
Wanneer u statische IP gebruikt, wordt het adresbereik beheerd door vRealize Automation. Voor DHCP worden de begin- en eindadressen van de IP beheerd door de onafhankelijke DHCP-server en niet door vRealize Automation. Wanneer u DHCP of een gemengde netwerkadrestoewijzing gebruikt, wordt de waarde van het netwerkverbruik ingesteld op nul. Het toegewezen bereik van een netwerk op aanvraag is gebaseerd op de CIDR en de subnetgrootte die is opgegeven in het netwerkprofiel. Om zowel een statische als dynamische toewijzing in de implementatie te ondersteunen, wordt het toegewezen bereik verdeeld in twee bereiken: een voor statische toewijzing en een andere voor dynamische toewijzing.
Netwerken
Netwerken, ook wel subnetten genoemd, zijn logische onderverdelingen van een IP-netwerk. Een netwerk groepeert een cloudaccount, IP-adres of -bereik en netwerktags om te bepalen hoe en waar een cloudsjabloonimplementatie moet worden ingericht. Netwerkparameters in het profiel definiëren hoe machines in de implementatie met elkaar kunnen communiceren via IP-laag 3. Netwerken kunnen tags hebben.
U kunt netwerken aan het netwerkprofiel toevoegen, aspecten van netwerken bewerken die worden gebruikt door het netwerkprofiel en netwerken uit het netwerkprofiel verwijderen.
Wanneer u een netwerk toevoegt aan het netwerkprofiel, kunt u beschikbare netwerken selecteren in een gefilterde lijst met vSphere- en NSX-netwerken. Als het netwerktype wordt ondersteund voor het cloudaccounttype, kunt u het toevoegen aan het netwerkprofiel.
In een VCF-gebaseerde implementatie worden de NSX-netwerksegmenten lokaal in het NSX-T-netwerk gemaakt en worden ze niet gemaakt als algemene netwerken.
- Netwerkdomein of Transportzone
Een netwerkdomein of transportzone is de gedistribueerde virtuele switch (dvSwitch) voor de vSphere-vNetwork Distributed PortGroups (dvPortGroup). Een transportzone is een bestaand NSX-concept dat vergelijkbaar is met termen zoals dvSwitch of dvPortGroup.
Wanneer u een NSX-cloudaccount gebruikt, is de elementnaam op de pagina Transportzone, anders is de naam Netwerkdomein.
Voor standaardswitches is het netwerkdomein of de transportzone gelijk aan de switch zelf. Het netwerkdomein of de transportzone definieert de grenzen van de subnetwerken binnen vCenter.
Een transportzone regelt het bereik van een logische NSX-switch. Het kan een of meer vSphere-clusters omvatten. Transportzones bepalen welke clusters en welke virtuele machines kunnen deelnemen aan het gebruik van een bepaald netwerk. Subnetwerken die tot dezelfde NSX-transportzone behoren, kunnen voor dezelfde machinehosts worden gebruikt.
- Domein
Vertegenwoordigt de domeinnaam van de machine. De domeinnaam wordt doorgegeven aan de aanpassingsspecificatie van de vSphere-machine.
- IPv4 CIDR en IPv4-standaardgateway
vSphere-machineonderdelen in de cloudsjabloon ondersteunen IPv4-, IPv6- en dual stack IP-toewijzing voor netwerkinterfaces. Bijvoorbeeld: 192.168.100.14/24 staat voor het IPv4-adres 192.168.100.14 en het bijbehorende routeringsvoorvoegsel 192.168.100.0, of het equivalente subnetmasker 255.255.255.0, dat 24 1-voorloopbits heeft. Het IPv4-blok 192.168.100.0/22 staat voor de 1024 IP-adressen van 192.168.100.0 tot 192.168.103.255.
- IPv6 CIDR en IPv6-standaardgateway
vSphere-machineonderdelen in de cloudsjabloon ondersteunen IPv4-, IPv6- en dual stack IP-toewijzing voor netwerkinterfaces. Bijvoorbeeld: 2001:db8::/48 staat voor het blok met IPv6-adressen van 2001:db8:0:0:0:0:0:0 t/m 2001:db8:0:ffff:ffff:ffff:ffff:ffff.
De IPv6-indeling wordt niet ondersteund voor netwerken op aanvraag. Zie Netwerkinstellingen gebruiken in netwerkprofielen en cloudsjablonen in vRealize Automation voor gerelateerde informatie.
- DNS-servers en DNS-zoekdomeinen
- Ondersteuning openbare IP
Selecteer deze optie om het netwerk als openbaar te markeren. Netwerkonderdelen in een cloudsjabloon met de eigenschap network type: public worden gekoppeld aan netwerken die zijn gemarkeerd als openbaar. Verdere aanpassing vindt plaats tijdens de cloudsjabloonimplementatie om de netwerkselectie te bepalen.
- Standaard voor zone
Selecteer deze optie om het netwerk als standaard te markeren voor de cloudzone. Tijdens de implementatie van cloudsjablonen krijgen standaardnetwerken de voorkeur boven andere netwerken.
- Bron
Identificeert de netwerkbron.
- Tags
Geeft een of meer tags op die aan het netwerk zijn toegewezen. Tags zijn optioneel. Het koppelen van tags is van invloed op welke netwerken beschikbaar zijn voor uw cloudsjabloonimplementaties.
Netwerktags bestaan voor het netwerkitem zelf, ongeacht het netwerkprofiel. Netwerktags zijn van toepassing op elk exemplaar van het netwerk waaraan ze zijn toegevoegd en op alle netwerkprofielen die dat netwerk bevatten. Van netwerken kan een instantie worden gemaakt in een onbeperkt aantal netwerkprofielen. Ongeacht de locatie van het netwerkprofiel is er een netwerktag gekoppeld aan dat netwerk waar het netwerk ook wordt gebruikt.
Wanneer u een cloudsjabloon implementeert, worden beperkingstags in de netwerkonderdelen van een cloudsjabloon gekoppeld aan netwerktags, inclusief capaciteitstags voor netwerkprofielen. Voor netwerkprofielen die capaciteitstags bevatten, worden de capaciteitstags toegepast op alle netwerken die beschikbaar zijn voor dat netwerkprofiel. De netwerk- en beveiligingsinstellingen die in het gekoppelde netwerkprofiel zijn gedefinieerd, worden toegepast wanneer de cloudsjabloon wordt geïmplementeerd.
Netwerkbeleid
Met behulp van netwerkprofielen kunt u subnetwerken definiëren voor bestaande netwerkdomeinen die statische, DHCP- of een combinatie van statische en DHCP-IP-adresinstellingen bevatten. U kunt subnetwerken definiëren en IP-adresinstellingen opgeven met behulp van het tabblad Netwerkbeleid.
Wanneer u NSX-V, NSX-T of VMware Cloud on AWS gebruikt, worden netwerkbeleidsinstellingen toegepast wanneer een cloudsjabloon networkType: outbound
of networkType: private
vereist of wanneer een NSX-netwerk networkType: routed
vereist.
outbound
,
private
en
routed
en voor beveiligingsgroepen op aanvraag. U kunt ook netwerkbeleidsregels gebruiken om
existing
netwerken te beheren wanneer er een load balancer is gekoppeld aan dat netwerk.
In uitgaande netwerken is eenrichtingstoegang tot upstream netwerken mogelijk. In privénetwerken is geen externe toegang mogelijk. Gerouteerde netwerken staan Oost/West-verkeer toe tussen de gerouteerde netwerken. De bestaande en openbare netwerken in het profiel worden gebruikt als onderliggende of upstreamnetwerken.
Opties voor de volgende selecties op aanvraag worden beschreven in de Netwerkprofielen-hulp op het scherm en worden hieronder samengevat.
- Maak geen netwerk op aanvraag of een beveiligingsgroep op aanvraag
U kunt deze optie gebruiken bij het specificeren van een
existing
netwerk of een netwerk van het typepublic
. Cloudsjablonen waarvoor eenoutbound
-,private
- ofrouted
-netwerk nodig is, zijn niet gekoppeld aan dit profiel. - Maak een netwerk op aanvraag
U kunt deze optie gebruiken bij het specificeren van een
outbound
-,private
- ofrouted
-netwerktype.Amazon Web Services, Microsoft Azure, NSX, vSphere en VMware Cloud on AWS ondersteunen deze optie.
- Maak een beveiligingsgroep op aanvraag
U kunt deze optie gebruiken bij het specificeren van een
outbound
netwerk of een netwerk van het typeprivate
.Er wordt een nieuwe beveiligingsgroep gemaakt voor overeenkomende cloudsjablonen als het netwerktype
outbound
ofprivate
is.Amazon Web Services, Microsoft Azure, NSX en VMware Cloud on AWS ondersteunen deze optie.
Netwerkbeleidsinstellingen kunnen voor een specifiek type cloudaccount gelden. Deze instellingen worden beschreven in de wegwijzerhulp op het scherm en worden hieronder samengevat:
- Netwerkdomein of Transportzone
Een netwerkdomein of transportzone is de gedistribueerde virtuele switch (dvSwitch) voor de vSphere-vNetwork Distributed PortGroups (dvPortGroup). Een transportzone is een bestaand NSX-concept dat vergelijkbaar is met termen zoals dvSwitch of dvPortGroup.
Wanneer u een NSX-cloudaccount gebruikt, is de elementnaam op de pagina Transportzone, anders is de naam Netwerkdomein.
Voor standaardswitches is het netwerkdomein of de transportzone gelijk aan de switch zelf. Het netwerkdomein of de transportzone definieert de grenzen van de subnetwerken binnen vCenter.
Een transportzone regelt het bereik van een logische NSX-switch. Het kan een of meer vSphere-clusters omvatten. Transportzones bepalen welke clusters en welke virtuele machines kunnen deelnemen aan het gebruik van een bepaald netwerk. Subnetwerken die tot dezelfde NSX-transportzone behoren, kunnen voor dezelfde machinehosts worden gebruikt. Transportzonetypen zijn overlay of VLAN. Zie Netwerkresources in vRealize Automation voor informatie over het gebruik van een VLAN-transportzone voor het definiëren van VLAN-segmenten.
- Extern subnet
Een netwerk op aanvraag met uitgaande toegang vereist een extern subnet met uitgaande toegang. Het externe subnet wordt gebruikt om uitgaande toegang te bieden indien hierom wordt gevraagd in de cloudsjabloon. Het bepaalt niet de netwerkplaatsing. Het externe subnet heeft bijvoorbeeld geen invloed op het plaatsen van een privénetwerk.
- CIDR
CIDR-notatie is een compacte weergave van een IP-adres en het bijbehorende routeringsvoorvoegsel. De CIDR-waarde geeft het adresbereik van het netwerk op dat moet worden gebruikt tijdens de inrichting om subnetwerken te maken. Deze CIDR-instelling op het tabblad Netwerkbeleid accepteert een IPv4-notatie die eindigt op /nn en die waarden bevat tussen 0-32.
- Subnetgrootte
Deze optie bepaalt de grootte van het netwerk op aanvraag, met behulp van de IPv4-notatie, voor elk geïsoleerd netwerk in een implementatie die dit netwerkprofiel gebruikt. De instelling voor subnetgrootte is beschikbaar voor intern of extern IP-adresbeheer.
De IPv6-indeling wordt niet ondersteund voor netwerken op aanvraag.
- Gedistribueerde logische router
Voor een gerouteerd netwerk op aanvraag moet u een gedistribueerd logisch netwerk specificeren wanneer u een NSX-V-cloudaccount gebruikt.
Een gedistribueerde logische router (DLR) wordt gebruikt om oost/westverkeer tussen op aanvraag gerouteerde netwerken op NSX-V te routeren. Deze optie is alleen zichtbaar als de waarde account/regio voor het netwerkprofiel is gekoppeld aan een NSX-V-cloudaccount.
- IP-bereik toewijzen
Deze optie is beschikbaar voor cloudaccounts die NSX of VMware Cloud on AWS ondersteunen, inclusief vSphere.
De instelling IP-bereik is beschikbaar wanneer u een bestaand netwerk met een extern IPAM-integratiepunt gebruikt.
U kunt een van de volgende drie opties selecteren om een toewijzingstype voor IP-bereiken op te geven voor het implementatienetwerk:- Statisch en DHCP
Standaard en aanbevolen. Deze gemengde optie gebruikt de toegewezen instellingen CIDR en Subnetbereik om de DHCP-serverpool te configureren om de helft van de adresruimtetoewijzing te ondersteunen met behulp van de (dynamische) DHCP-methode en de helft van de IP-adresruimtetoewijzing met behulp van de statische methode. Gebruik deze optie wanneer er voor sommige machines die zijn verbonden met een netwerk op aanvraag toegewezen statische IP-adressen nodig zijn en voor andere dynamische IP-adressen. Er worden twee IP-bereiken gemaakt.
Deze optie is vooral effectief in implementaties met machines die zijn verbonden met een netwerk op aanvraag, waarbij aan sommige machines statische IP's worden toegewezen en aan andere machines dynamische IP-adressen worden toegewezen door een NSX-DHCP-server en -implementaties waarbij de load balancer-VIP statisch is.
- DHCP (dynamisch)
Deze optie gebruikt de toegewezen CIDR om een IP-pool op een DHCP-server te configureren. Alle IP-adressen voor dit netwerk worden dynamisch toegewezen. Er wordt één IP-bereik gemaakt voor elke toegewezen CIDR.
- Statisch
Deze optie gebruikt de toegewezen CIDR om statisch IP-adressen toe te wijzen Gebruik deze optie wanneer een DHCP-server niet hoeft te worden geconfigureerd voor dit netwerk. Er wordt één IP-bereik gemaakt voor elke toegewezen CIDR.
- Statisch en DHCP
- IP-blokken
De instelling IP-blokken is beschikbaar bij gebruik van een netwerk op aanvraag met een extern IPAM-integratiepunt.
Als u de IP-blokinstelling gebruikt, kunt u een benoemd IP-blok of bereik toevoegen aan het netwerkprofiel van uw geïntegreerde externe IPAM-provider. U kunt ook een toegevoegd IP-blok uit het netwerkprofiel verwijderen. Zie Een extern IPAM-integratiepunt voor Infoblox toevoegen in vRealize Automation voor informatie over het maken van een externe IPAM-integratie.
Externe IPAM is beschikbaar voor de volgende typen cloudaccount/regio:- vSphere
- vSphere met NSX-T
- vSphere met NSX-V
- Netwerkresources - Extern netwerk
Externe netwerken worden ook wel bestaande netwerken genoemd. Van deze netwerken worden gegevens verzameld en ze zijn beschikbaar voor selectie.
- Netwerkresources - logische Tier-0-router
NSX-T gebruikt de logische tier-0-router als gateway naar netwerken die buiten de NSX-implementatie vallen. De logische router van tier 0 configureert uitgaande toegang voor netwerken op aanvraag.
- Netwerkresources - Edge-cluster
Het opgegeven edge-cluster biedt routingservices. Het edge-cluster wordt gebruikt om uitgaande toegang te configureren voor netwerken op aanvraag en load balancers. Het identificeert het edge-cluster of de resourcepool waar het edge-apparaat moet worden geïmplementeerd.
- Netwerkresources - Edge-datastore
De opgegeven edge-datastore wordt gebruikt om het edge-apparaat in te richten. Deze instelling is alleen van toepassing op NSX-V.
Tags kunnen worden gebruikt om te bepalen welke netwerken beschikbaar zijn voor de cloudsjabloon.
Load balancers
U kunt load balancers toevoegen aan het netwerkprofiel. Vermelde load balancers zijn beschikbaar op basis van informatie die is verzameld uit het broncloudaccount.
Als een tag op een van de load balancers in het netwerkprofiel overeenkomt met een tag die wordt gebruikt in een load-balanceronderdeel in de cloudsjabloon, wordt de load balancer in aanmerking genomen tijdens de implementatie. Load balancers in een overeenkomend netwerkprofiel worden gebruikt wanneer een cloudsjabloon wordt geïmplementeerd.
Zie Instellingen voor load balancers in netwerkprofielen gebruiken in vRealize Automation en Netwerken, beveiligingsgroepen en load balancers in vRealize Automation voor meer informatie.
Beveiligingsgroepen
Wanneer een cloudsjabloon wordt geïmplementeerd, worden de beveiligingsgroepen in het netwerkprofiel toegepast op de machine-NIC's die worden ingericht. Voor een Amazon Web Services-specifiek netwerkprofiel zijn de beveiligingsgroepen in het netwerkprofiel beschikbaar in hetzelfde netwerkdomein (VPC) als de netwerken die worden weergegeven op het tabblad Netwerken. Als voor het netwerkprofiel geen netwerken worden weergegeven op het tabblad Netwerken, worden alle beschikbare beveiligingsgroepen weergegeven.
U kunt een beveiligingsgroep gebruiken om de isolatie-instellingen voor een private
- of outbound
-netwerk op aanvraag verder te definiëren. Beveiligingsgroepen worden ook toegepast op existing
-netwerken. U kunt ook algemene beveiligingsgroepen toewijzen.
De vermelde beveiligingsgroepen zijn beschikbaar op basis van informatie die is verzameld van het broncloudaccount of die is toegevoegd als een beveiligingsgroep op aanvraag in een projectcloudsjabloon. Zie Beveiligingsresources in vRealize Automation voor meer informatie.
Beveiligingsgroepen worden toegepast op alle machines in de implementatie die zijn verbonden met het netwerk dat overeenkomt met het netwerkprofiel. Omdat er mogelijk meerdere netwerken in een cloudsjabloon zijn, waarbij elk netwerk overeenkomt met een ander netwerkprofiel, kunt u verschillende beveiligingsgroepen voor verschillende netwerken gebruiken.
Naast het opgeven van een beveiligingsgroep kunt u ook NSX-netwerken (standaard), vSphere-netwerken of beide selecteren. Wanneer u een cloudsjabloon implementeert, voegt vRealize Automation de toegewezen of opgegeven beveiligingsgroep toe aan de machine-NIC's die zijn verbonden met het toegewezen NSX-netwerk. Alleen machine-NIC's die zijn verbonden met een NSX-netwerk, kunnen worden toegevoegd aan een NSX-beveiligingsgroep. Als de machine-NIC is verbonden met een vSphere-netwerk, mislukt de sjabloonimplementatie.
Door een tag aan een bestaande beveiligingsgroep toe te voegen, kunt u de beveiligingsgroep in een Cloud.SecurityGroup-cloudsjabloononderdeel gebruiken. Een beveiligingsgroep moet ten minste één tag hebben, anders kan deze niet worden gebruikt in een cloudsjabloon. Zie Beveiligingsresources in vRealize Automation en Netwerken, beveiligingsgroepen en load balancers in vRealize Automation voor meer informatie.
Meer informatie over netwerkprofielen, netwerken, cloudsjablonen en tags
Zie Netwerkresources in vRealize Automation voor meer informatie over netwerken.
Zie Netwerken, beveiligingsgroepen en load balancers in vRealize Automation voor voorbeelden van de code van een voorbeeldnetwerkonderdeel in een cloudsjabloon.
Zie Tags gebruiken om Cloud Assembly-resources en -implementaties te beheren voor meer informatie over tags en tagstrategie.
Zie Hoe kan ik de naam van een netwerkinterfacecontroller configureren met behulp van uitbreidbaarheidsacties voor informatie over hoe u de machine-NIC's een naam geeft.