Een netwerkprofiel definieert een groep netwerken en netwerkinstellingen die beschikbaar zijn voor een cloudaccount in een bepaalde regio of een bepaald datacenter in vRealize Automation.

U definieert doorgaans netwerkprofielen om een doelimplementatieomgeving te ondersteunen, bijvoorbeeld een kleine testomgeving waar een bestaand netwerk alleen uitgaande toegang heeft, of een grote productieomgeving met gelijke taakverdeling waarvoor een reeks beveiligingsbeleidsregels nodig is. Beschouw een netwerkprofiel als een verzameling van netwerkkenmerken die specifiek zijn voor de workload.

Inhoud van een netwerkprofiel

Een netwerkprofiel bevat specifieke informatie voor een bepaald type cloudaccount en een regio in vRealize Automation, waaronder de volgende instellingen:
  • Benoemde cloudaccount/regio en optionele capaciteitstags voor het netwerkprofiel.
  • Benoemde bestaande netwerken en hun instellingen.
  • Netwerkbeleidsregels die op aanvraag definiëren en andere aspecten van het netwerkprofiel.
  • Optionele opname van bestaande load balancers.
  • Optionele opname van bestaande beveiligingsgroepen.

U bepaalt de netwerk-IP-beheerfunctionaliteit op basis van het netwerkprofiel.

Capaciteitstags voor netwerkprofielen worden gekoppeld aan de beperkingstags in cloudsjablonen om de netwerkselectie te helpen beheren. Verder worden alle tags die zijn toegewezen aan de netwerken die worden verzameld door het netwerkprofiel ook gekoppeld aan tags in de cloudsjabloon om de netwerkselectie te helpen beheren wanneer de cloudsjabloon wordt geïmplementeerd.

Capaciteitstags zijn optioneel. Capaciteitstags worden toegepast op alle netwerken in het netwerkprofiel, maar alleen wanneer de netwerken worden gebruikt als onderdeel van dat netwerkprofiel. Voor netwerkprofielen die geen capaciteitstags bevatten, vindt tagafstemming alleen plaats voor netwerktags. De netwerk- en beveiligingsinstellingen die in het gekoppelde netwerkprofiel zijn gedefinieerd, worden toegepast wanneer de cloudsjabloon wordt geïmplementeerd.

Wanneer u statische IP gebruikt, wordt het adresbereik beheerd door vRealize Automation. Voor DHCP worden de begin- en eindadressen van de IP beheerd door de onafhankelijke DHCP-server en niet door vRealize Automation. Wanneer u DHCP of een gemengde netwerkadrestoewijzing gebruikt, wordt de waarde van het netwerkverbruik ingesteld op nul. Het toegewezen bereik van een netwerk op aanvraag is gebaseerd op de CIDR- en de subnetgrootte die zijn opgegeven in het netwerkprofiel. Om zowel een statische als dynamische toewijzing in de implementatie te ondersteunen, wordt het toegewezen bereik verdeeld in twee bereiken: een voor statische toewijzing en een andere voor dynamische toewijzing.

Netwerken

Netwerken, ook wel subnetten genoemd, zijn logische onderverdelingen van een IP-netwerk. Een netwerk groepeert een cloudaccount, IP-adres of -bereik en netwerktags om te bepalen hoe en waar een cloudsjabloonimplementatie moet worden ingericht. Netwerkparameters in het profiel definiëren hoe machines in de implementatie met elkaar kunnen communiceren via IP-laag 3. Netwerken kunnen tags hebben.

U kunt netwerken aan het netwerkprofiel toevoegen, aspecten van netwerken bewerken die worden gebruikt door het netwerkprofiel en netwerken uit het netwerkprofiel verwijderen.

  • Netwerkdomein of Transportzone

    Een netwerkdomein of transportzone is de gedistribueerde virtuele switch (dvSwitch) voor de vSphere-vNetwork Distributed PortGroups (dvPortGroup). Een transportzone is een bestaand NSX-concept dat vergelijkbaar is met termen zoals dvSwitch of dvPortGroup.

    Wanneer u een NSX-cloudaccount gebruikt, wordt de elementnaam op de pagina Transportzone, anders wordt het Netwerkdomein.

    Voor standaardswitches is het netwerkdomein of de transportzone gelijk aan de switch zelf. Het netwerkdomein of de transportzone definieert de grenzen van de subnetwerken binnen vCenter.

    Een transportzone regelt het bereik van een logische NSX-switch. Het kan een of meer vSphere-clusters omvatten. Transportzones bepalen welke clusters en welke virtuele machines kunnen deelnemen aan het gebruik van een bepaald netwerk. Subnetwerken die tot dezelfde NSX-transportzone behoren, kunnen voor dezelfde machinehosts worden gebruikt.

  • Domein

    Vertegenwoordigt het Single Sign-On-domein van vCenter voor een virtuele doelmachine. Domeinen worden geconfigureerd door een vCenter-beheerder tijdens de vSphere-configuratie Het domein bepaalt de lokale verificatieruimte in vCenter.

  • IPv4 CIDR en IPv4-standaardgateway

    vSphere-cloudaccounts en vSphere-machineonderdelen in de cloudsjabloon ondersteunen dubbele IPv6- en IPv4-internetprotocolmethoden. Bijvoorbeeld: 192.168.100.14/24 staat voor het IPv4-adres 192.168.100.14 en het bijbehorende routeringsvoorvoegsel 192.168.100.0, of het equivalente subnetmasker 255.255.255.0, dat 24 1-voorloopbits heeft. Het IPv4-blok 192.168.100.0/22 staat voor de 1024 IP-adressen van 192.168.100.0 tot 192.168.103.255.

  • IPv6 CIDR en IPv6-standaardgateway

    vSphere-cloudaccounts en vSphere-machineonderdelen in de cloudsjabloon ondersteunen dubbele IPv6- en IPv4-internetprotocolmethoden. Bijvoorbeeld: 2001:db8::/48 staat voor het blok met IPv6-adressen van 2001:db8:0:0:0:0:0:0 t/m 2001:db8:0:ffff:ffff:ffff:ffff:ffff.

    De IPv6-indeling wordt niet ondersteund voor netwerken op aanvraag.

  • DNS-servers en DNS-zoekdomeinen
  • Ondersteuning openbare IP

    Selecteer deze optie om het netwerk als openbaar te markeren. Netwerkonderdelen in een cloudsjabloon met de eigenschap network type: public worden gekoppeld aan netwerken die zijn gemarkeerd als openbaar. Verdere aanpassing vindt plaats tijdens de cloudsjabloonimplementatie om de netwerkselectie te bepalen.

  • Standaard voor zone

    Selecteer deze optie om het netwerk als standaard te markeren voor de cloudzone. Tijdens de implementatie van cloudsjablonen krijgen standaardnetwerken de voorkeur boven andere netwerken.

  • Bron

    Identificeert de netwerkbron.

  • Tags

    Geeft een of meer tags op die aan het netwerk zijn toegewezen. Tags zijn optioneel. Het koppelen van tags is van invloed op welke netwerken beschikbaar zijn voor uw cloudsjabloonimplementaties.

    Netwerktags bestaan voor het netwerkitem zelf, ongeacht het netwerkprofiel. Netwerktags zijn van toepassing op elk exemplaar van het netwerk waaraan ze zijn toegevoegd en op alle netwerkprofielen die dat netwerk bevatten. Van netwerken kan een instantie worden gemaakt in een onbeperkt aantal netwerkprofielen. Ongeacht de locatie van het netwerkprofiel is er een netwerktag gekoppeld aan dat netwerk waar het netwerk ook wordt gebruikt.

    Wanneer u een cloudsjabloon implementeert, worden beperkingstags in de netwerkonderdelen van een cloudsjabloon gekoppeld aan netwerktags, inclusief capaciteitstags voor netwerkprofielen. Voor netwerkprofielen die capaciteitstags bevatten, worden de capaciteitstags toegepast op alle netwerken die beschikbaar zijn voor dat netwerkprofiel. De netwerk- en beveiligingsinstellingen die in het gekoppelde netwerkprofiel zijn gedefinieerd, worden toegepast wanneer de cloudsjabloon wordt geïmplementeerd.

Netwerkbeleid

Met behulp van netwerkprofielen kunt u subnetwerken definiëren voor bestaande netwerkdomeinen die statische, DHCP- of een combinatie van statische en DHCP-IP-adresinstellingen bevatten. U kunt subnetwerken definiëren en IP-adresinstellingen opgeven met behulp van het tabblad Netwerkbeleid.

Wanneer u NSX-V, NSX-T of VMware Cloud on AWS gebruikt, worden netwerkbeleidsinstellingen toegepast wanneer een cloudsjabloon het networkType: outbound of networkType: private vereist of wanneer een NSX-netwerk networkType: routed vereist.

Afhankelijk van het bijbehorende cloudaccount kunt u netwerkbeleidsregels gebruiken om instellingen te definiëren voor de netwerktypen outbound, private en routed en voor beveiligingsgroepen op aanvraag. U kunt ook netwerkbeleidsregels gebruiken om existing netwerken te beheren wanneer er een load balancer is gekoppeld aan dat netwerk.

In uitgaande netwerken is eenrichtingstoegang tot upstream netwerken mogelijk. In privénetwerken is geen externe toegang mogelijk. Gerouteerde netwerken staan Oost/West-verkeer toe tussen de gerouteerde netwerken. De bestaande en openbare netwerken worden in het profiel gebruikt als de onderliggende of upstream netwerken.

Opties voor de volgende selecties op aanvraag worden beschreven in de Netwerkprofielen-hulp op het scherm en worden hieronder samengevat.

  • Maak geen netwerk op aanvraag of een beveiligingsgroep op aanvraag

    U kunt deze optie gebruiken bij het specificeren van een existing netwerk of een netwerk van het type public. Cloudsjablonen waarvoor een outbound-, private- of routed-netwerk nodig is, zijn niet gekoppeld aan dit profiel.

  • Maak een netwerk op aanvraag

    U kunt deze optie gebruiken bij het specificeren van een outbound-, private- of routed-netwerktype.

    Amazon Web Services, Microsoft Azure, NSX, vSphere en VMware Cloud on AWS ondersteunen deze optie.

  • Maak een beveiligingsgroep op aanvraag

    U kunt deze optie gebruiken bij het specificeren van een outbound netwerk of een netwerk van het type private.

    Er wordt een nieuwe beveiligingsgroep gemaakt voor overeenkomende cloudsjablonen als het netwerktype outbound of private is.

    Amazon Web Services, Microsoft Azure, NSX en VMware Cloud on AWS ondersteunen deze optie.

Netwerkbeleidsinstellingen kunnen voor een specifiek type cloudaccount gelden. Deze instellingen worden beschreven in de wegwijzerhulp op het scherm en worden hieronder samengevat:

  • Netwerkdomein of Transportzone

    Een netwerkdomein of transportzone is de gedistribueerde virtuele switch (dvSwitch) voor de vSphere-vNetwork Distributed PortGroups (dvPortGroup). Een transportzone is een bestaand NSX-concept dat vergelijkbaar is met termen zoals dvSwitch of dvPortGroup.

    Wanneer u een NSX-cloudaccount gebruikt, wordt de elementnaam op de pagina Transportzone, anders wordt het Netwerkdomein.

    Voor standaardswitches is het netwerkdomein of de transportzone gelijk aan de switch zelf. Het netwerkdomein of de transportzone definieert de grenzen van de subnetwerken binnen vCenter.

    Een transportzone regelt het bereik van een logische NSX-switch. Het kan een of meer vSphere-clusters omvatten. Transportzones bepalen welke clusters en welke virtuele machines kunnen deelnemen aan het gebruik van een bepaald netwerk. Subnetwerken die tot dezelfde NSX-transportzone behoren, kunnen voor dezelfde machinehosts worden gebruikt.

  • Extern subnet

    Een netwerk op aanvraag met uitgaande toegang vereist een extern subnet met uitgaande toegang. Het externe subnet wordt gebruikt om uitgaande toegang te bieden indien hierom wordt gevraagd in de cloudsjabloon. Het bepaalt niet de netwerkplaatsing. Het externe subnet heeft bijvoorbeeld geen invloed op het plaatsen van een privénetwerk.

  • CIDR

    CIDR-notatie is een compacte weergave van een IP-adres en het bijbehorende routeringsvoorvoegsel. De CIDR-waarde geeft het adresbereik van het netwerk op dat moet worden gebruikt tijdens de inrichting om subnetwerken te maken. Deze CIDR-instelling op het tabblad Netwerkbeleid accepteert een IPv4-notatie die eindigt op /nn en die waarden bevat tussen 0-32.

  • Subnetgrootte

    Deze optie specificeert de grootte van het netwerk op aanvraag, met behulp van de IPv4-notatie, dat moet worden gemaakt voor elk geïsoleerd netwerk in een implementatie die dit netwerkprofiel gebruikt. De instelling voor de subnetgrootte is beschikbaar voor intern of extern IP-adresbeheer.

    De IPv6-indeling wordt niet ondersteund voor netwerken op aanvraag.

  • Gedistribueerde logische router

    Voor een gerouteerd netwerk op aanvraag moet u een gedistribueerd logisch netwerk specificeren wanneer u een NSX-V-cloudaccount gebruikt.

    Een gedistribueerde logische router (DLR) wordt gebruikt om oost/westverkeer tussen op aanvraag gerouteerde netwerken op NSX-V te routeren. Deze optie is alleen zichtbaar als de waarde account/regio voor het netwerkprofiel is gekoppeld aan een NSX-V-cloudaccount.

  • IP-bereik toewijzen

    Deze optie is beschikbaar voor cloudaccounts die NSX of VMware Cloud on AWS ondersteunen, inclusief vSphere.

    De instelling IP-bereik is beschikbaar wanneer u een bestaand netwerk met een extern IPAM-integratiepunt gebruikt.
    U kunt een van de volgende drie opties selecteren om een toewijzingstype voor IP-bereiken op te geven voor het implementatienetwerk:
    • Statisch en DHCP

      Standaard en aanbevolen. Deze gemengde optie gebruikt de toegewezen instellingen CIDR en Subnetbereik om de DHCP-serverpool te configureren om de helft van de adresruimtetoewijzing te ondersteunen met behulp van de (dynamische) DHCP-methode en de helft van de IP-adresruimtetoewijzing met behulp van de statische methode. Gebruik deze optie wanneer er voor sommige machines die zijn verbonden met een netwerk op aanvraag toegewezen statische IP-adressen nodig zijn en voor andere dynamische IP-adressen. Er worden twee IP-bereiken gemaakt.

      Deze optie is vooral effectief in implementaties met machines die zijn verbonden met een netwerk op aanvraag, waarbij aan sommige machines statische IP's worden toegewezen en aan andere machines dynamische IP-adressen worden toegewezen door een NSX-DHCP-server en -implementaties waarbij de load balancer-VIP statisch is.

    • DHCP (dynamisch)

      Deze optie gebruikt de toegewezen CIDR om een IP-pool op een DHCP-server te configureren. Alle IP-adressen voor dit netwerk worden dynamisch toegewezen. Er wordt één IP-bereik gemaakt voor elke toegewezen CIDR.

    • Statisch

      Deze optie gebruikt de toegewezen CIDR om statisch IP-adressen toe te wijzen Gebruik deze optie wanneer een DHCP-server niet hoeft te worden geconfigureerd voor dit netwerk. Er wordt één IP-bereik gemaakt voor elke toegewezen CIDR.

  • IP-blokken
    De instelling IP-blokken is beschikbaar bij gebruik van een netwerk op aanvraag met een extern IPAM-integratiepunt.

    Als u de IP-blokinstelling gebruikt, kunt u een benoemd IP-blok of bereik toevoegen aan het netwerkprofiel van uw geïntegreerde externe IPAM-provider. U kunt ook een toegevoegd IP-blok uit het netwerkprofiel verwijderen. Zie Een extern IPAM-integratiepunt voor Infoblox toevoegen in vRealize Automation voor informatie over het maken van een externe IPAM-integratie.

    Externe IPAM is beschikbaar voor de volgende typen cloudaccount/regio:
    • vSphere
    • vSphere met NSX-T
    • vSphere met NSX-V
  • Netwerkresources - Extern netwerk

    Externe netwerken worden ook wel bestaande netwerken genoemd. Van deze netwerken worden gegevens verzameld en ze zijn beschikbaar voor selectie.

  • Netwerkresources - logische Tier-0-router

    NSX-T gebruikt de logische tier-0-router als gateway naar netwerken die buiten de NSX-implementatie vallen. De logische router van tier 0 configureert uitgaande toegang voor netwerken op aanvraag.

  • Netwerkresources - Edge-cluster

    Het opgegeven edge-cluster biedt routingservices. Het edge-cluster wordt gebruikt om uitgaande toegang te configureren voor netwerken op aanvraag en load balancers. Het identificeert het edge-cluster of de resourcepool waar het edge-apparaat moet worden geïmplementeerd.

  • Netwerkresources - Edge-datastore

    De opgegeven edge-datastore wordt gebruikt om het edge-apparaat in te richten. Deze instelling is alleen van toepassing op NSX-V.

Tags kunnen worden gebruikt om te bepalen welke netwerken beschikbaar zijn voor de cloudsjabloon.

Load balancers

U kunt load balancers toevoegen aan het netwerkprofiel. Vermelde load balancers zijn beschikbaar op basis van informatie die is verzameld uit het broncloudaccount.

Als een tag op een van de load balancers in het netwerkprofiel overeenkomt met een tag die wordt gebruikt in een load balancer-onderdeel in de cloudsjabloon, wordt de load balancer in aanmerking genomen tijdens de implementatie. Load balancers in een overeenkomend netwerkprofiel worden gebruikt wanneer een cloudsjabloon wordt geïmplementeerd.

Zie Instellingen voor load balancers in netwerkprofielen gebruiken in vRealize Automation Cloud Assembly en Network, security, and load balancer examples in vRealize Automation cloud templates voor meer informatie.

Beveiligingsgroepen

Wanneer een cloudsjablonen wordt geïmplementeerd, worden de beveiligingsgroepen in het netwerkprofiel toegepast op de machine-NIC's die worden ingericht. Voor een Amazon Web Services-specifiek netwerkprofiel zijn de beveiligingsgroepen in het netwerkprofiel beschikbaar in hetzelfde netwerkdomein (VPC) als de netwerken die worden weergegeven op het tabblad Netwerken. Als het netwerkprofiel geen netwerken heeft die worden vermeld op het tabblad Netwerken, worden alle beschikbare beveiligingsgroepen weergegeven.

U kunt een beveiligingsgroep gebruiken om de isolatie-instellingen voor een private- of outbound-netwerk op aanvraag verder te definiëren. Beveiligingsgroepen worden ook toegepast op existing-netwerken.

Beveiligingsgroepen worden toegepast op alle machines in de implementatie die zijn verbonden met het netwerk dat overeenkomt met het netwerkprofiel. Omdat er mogelijk meerdere netwerken in een cloudsjabloon zijn, waarbij elk netwerk overeenkomt met een ander netwerkprofiel, kunt u verschillende beveiligingsgroepen voor verschillende netwerken gebruiken.

Door een tag aan een bestaande beveiligingsgroep toe te voegen, kunt u de beveiligingsgroep in een Cloud.SecurityGroup-cloudsjabloononderdeel gebruiken. Een beveiligingsgroep moet ten minste één tag hebben, anders kan deze niet worden gebruikt in een cloudsjabloon. Zie Beveiligingsresources in vRealize Automation en Network, security, and load balancer examples in vRealize Automation cloud templates voor meer informatie.

Meer informatie over netwerkprofielen, netwerken, cloudsjablonen en tags

Zie andere onderwerpen in dit gedeelte van de hulp en Netwerkprofielen toevoegen voor meer informatie over netwerkprofielen.

Zie Netwerkresources in vRealize Automation voor meer informatie over netwerken.

Zie Network, security, and load balancer examples in vRealize Automation cloud templates voor voorbeelden van de code van een voorbeeldnetwerkonderdeel in een cloudsjabloon.

Zie Tags gebruiken om vRealize Automation Cloud Assembly-resources en -implementaties te beheren voor meer informatie over tags en tagstrategie.