В зависимости от настроек сети и системы безопасности NSX-T и компонентов подсистем балансировки нагрузки в схеме элементов vRealize Automation можно настроить и использовать различные топологии развертывания.
Сеть и система безопасности
- Маршрутизируемые сети
Если компонент маршрутизируемой сети NSX-T присоединить в схеме элементов к компоненту компьютера vSphere, то в NSX-T подготавливается следующая топология.
- Создается маршрутизатор первого уровня.
- Создается логический коммутатор.
- Маршрутизатор первого уровня подключается к логическому коммутатору с помощью нисходящего соединения.
- На маршрутизаторе первого уровня объявляются определенные пути маршрутизации.
- Сети NAT (статический IP-адрес)
Если компонент сети NAT NSX-T подключается в схеме элементов к компоненту компьютера vSphere, то в NSX-T подготавливается следующая топология.
- Создается маршрутизатор первого уровня.
- Создается логический коммутатор.
- Маршрутизатор первого уровня подключается к кластеру периметра.
- Маршрутизатор первого уровня подключается к маршрутизатору нулевого уровня с помощью восходящего соединения. Маршрутизатор нулевого уровня выбирается из резервирования.
- Маршрутизатор первого уровня подключается к логическому коммутатору с помощью нисходящего соединения.
- На маршрутизаторе первого уровня объявляются определенные маршруты NAT.
- Для каждой сети NAT в профиле внешней сети выделяется один внешний IP-адрес, который поддерживает профиль сети NAT по требованию. Этот IP-адрес используется для правил SNAT и DNAT.
- Сети NAT (DHCP)
Если компонент NSX-T сети NAT с DHCP подключается в схеме элементов к компоненту компьютера vSphere, то в NSX-T подготавливается следующая топология.
- Создается маршрутизатор первого уровня.
- Создается логический коммутатор.
- Маршрутизатор первого уровня подключается к кластеру периметра.
- Маршрутизатор первого уровня подключается к маршрутизатору нулевого уровня с помощью восходящего соединения. Маршрутизатор нулевого уровня выбирается из резервирования.
- Маршрутизатор первого уровня подключается к логическому коммутатору с помощью нисходящего соединения.
- Подготавливается сервер DHCP с пулом IP-адресов.
- На маршрутизаторе первого уровня объявляются определенные маршруты NAT.
- Изоляция приложений
Если для схемы элементов с компонентами NSX-T требуется изоляции приложений, в NSX-T подготавливается следующая топология.Примечание: Настроить изоляции приложений для схемы элементов можно на странице свойств этой схемы элементов при ее создании или изменении.
- Создается группа NS.
- Создается раздел брандмауэра с правилами изоляции.
- Компьютеры данной схемы элементов добавляются в группы NS изоляции приложений с помощью тегов.
- Виртуальный IP-адрес подсистемы балансировки нагрузки и внешние IP-адреса для сетей NAT из данного набора IP-адресов добавляются в группу NS изоляции приложений.
Для поддержки групп NS изоляции приложений необходимо подключить эти компьютеры к непрозрачным сетям.
- Существующие группы NS
Если компонент существующей группы NS подключается в схеме элементов к компоненту компьютера vSphere, то в NSX-T подготавливается следующая топология.
- Компьютеры, которые связаны с группой NS, добавляются в NSX-T в эту группу NS с использованием тегов как критериев членства.
Чтобы работать с существующими группами NS, необходимо подключить компьютеры к непрозрачным сетям.
Подсистемы балансировки нагрузки
- Одноканальная в сети NAT по требованию.
- Одноканальная в маршрутизируемой сети по требованию.
- Одноканальная во внешней (существующей) сети.
- Двухканальная (один канал в NAT, второй — во внешнюю сеть).
- Двухканальная (один канал в маршрутизируемую, второй — во внешнюю сеть).
Если в схему элементов добавляется подсистема балансировки нагрузки NSX-T, то в дополнение к указанным топологиям сети в развертывании подготавливается также следующая топология.
- Для всех топологий, за исключением тех, где подсистема балансировки нагрузки подключена к внешней сети по одному каналу, подготавливается следующее.
- Создается одна служба балансировки нагрузки, даже если в схеме элементов указано несколько подсистем балансировки нагрузки.
- Служба балансировка нагрузки подключается к маршрутизатору первого уровня данного развертывания. Маршрутизатор первого уровня создается по требованию.
- Для топологий, где подсистема балансировки нагрузки подключена к внешней сети по одному каналу, подготавливается следующее.
- Внешняя сеть, которая указана в резервировании, должна быть непрозрачной сетью VC (логический коммутатор NSX-T).
- Маршрутизатор первого уровня должен уже существовать и должен быть подключен к внешней сети (логический коммутатор NSX-T).
- Если маршрутизатор первого уровня еще не существует, сервер балансировки нагрузки создается по требованию и подключается к маршрутизатору первого уровня. В противном случае используется уже существующая подсистема балансировки нагрузки.
- Объявляется маршрут к соответствующему виртуальному IP-адресу, за исключением случая, когда этот виртуальный IP-адрес принадлежит частной сети NAT.
- В службе балансировки нагрузки создаются один или несколько виртуальных серверов.
Размер подсистемы балансировки нагрузки ограничивает количество виртуальных серверов в одной такой службе.
- Для каждого виртуального сервера создается профиль приложения.
- Для каждого виртуального сервера, у которого настроены параметры сохранения устойчивости, создается профиль устойчивости.
- Настраивается пул членства, содержащий статический IP-адрес для каждого компьютера, входящего в этот пул.
- Создается одна служба балансировки нагрузки, даже если в схеме элементов указано несколько подсистем балансировки нагрузки.
- Для каждого участника пула создается и настраивается средство мониторинга работоспособности.
Для виртуальных серверов с поддержкой HTTPS в подсистемах балансировки нагрузки NSX-T, в отличие от подсистем балансировки нагрузки в NSX for vSphere, не поддерживается сквозной режим SSL. vRealize Automation настраивает виртуальный сервер балансировки нагрузки, который блокирует сквозное подключение SSL в своей подсистеме и для балансировки нагрузки участников своего пула использует обычный протокол HTTP. И имя сертификата, и имя профиля клиента SSL должны существовать в NSX-T. Их нужно указать при настройке HTTPS на виртуальном сервере. Сертификаты можно импортировать в диспетчер доверия NSX-T.
Если в схеме элементов указано более одного компонента NSX-T, то маршрутизатор первого уровня будет общим для всех компонентов и должен быть настроен соответствующим образом. Идентификатор внешнего маршрутизатора первого уровня отображается на странице развертываний vRealize Automation в представлении сведений для каждого из компонентов.