В зависимости от настроек сети и системы безопасности NSX-T и компонентов подсистем балансировки нагрузки в схеме элементов vRealize Automation можно настроить и использовать различные топологии развертывания.

Сеть и система безопасности

  • Маршрутизируемые сети

    Если компонент маршрутизируемой сети NSX-T присоединить в схеме элементов к компоненту компьютера vSphere, то в NSX-T подготавливается следующая топология.

    • Создается маршрутизатор первого уровня.
    • Создается логический коммутатор.
    • Маршрутизатор первого уровня подключается к логическому коммутатору с помощью нисходящего соединения.
    • На маршрутизаторе первого уровня объявляются определенные пути маршрутизации.
  • Сети NAT (статический IP-адрес)

    Если компонент сети NAT NSX-T подключается в схеме элементов к компоненту компьютера vSphere, то в NSX-T подготавливается следующая топология.

    • Создается маршрутизатор первого уровня.
    • Создается логический коммутатор.
    • Маршрутизатор первого уровня подключается к кластеру периметра.
    • Маршрутизатор первого уровня подключается к маршрутизатору нулевого уровня с помощью восходящего соединения. Маршрутизатор нулевого уровня выбирается из резервирования.
    • Маршрутизатор первого уровня подключается к логическому коммутатору с помощью нисходящего соединения.
    • На маршрутизаторе первого уровня объявляются определенные маршруты NAT.
    • Для каждой сети NAT в профиле внешней сети выделяется один внешний IP-адрес, который поддерживает профиль сети NAT по требованию. Этот IP-адрес используется для правил SNAT и DNAT.
  • Сети NAT (DHCP)

    Если компонент NSX-T сети NAT с DHCP подключается в схеме элементов к компоненту компьютера vSphere, то в NSX-T подготавливается следующая топология.

    • Создается маршрутизатор первого уровня.
    • Создается логический коммутатор.
    • Маршрутизатор первого уровня подключается к кластеру периметра.
    • Маршрутизатор первого уровня подключается к маршрутизатору нулевого уровня с помощью восходящего соединения. Маршрутизатор нулевого уровня выбирается из резервирования.
    • Маршрутизатор первого уровня подключается к логическому коммутатору с помощью нисходящего соединения.
    • Подготавливается сервер DHCP с пулом IP-адресов.
    • На маршрутизаторе первого уровня объявляются определенные маршруты NAT.
  • Изоляция приложений
    Если для схемы элементов с компонентами NSX-T требуется изоляции приложений, в NSX-T подготавливается следующая топология.
    Примечание: Настроить изоляции приложений для схемы элементов можно на странице свойств этой схемы элементов при ее создании или изменении.
    • Создается группа NS.
    • Создается раздел брандмауэра с правилами изоляции.
    • Компьютеры данной схемы элементов добавляются в группы NS изоляции приложений с помощью тегов.
    • Виртуальный IP-адрес подсистемы балансировки нагрузки и внешние IP-адреса для сетей NAT из данного набора IP-адресов добавляются в группу NS изоляции приложений.

    Для поддержки групп NS изоляции приложений необходимо подключить эти компьютеры к непрозрачным сетям.

  • Существующие группы NS

    Если компонент существующей группы NS подключается в схеме элементов к компоненту компьютера vSphere, то в NSX-T подготавливается следующая топология.

    • Компьютеры, которые связаны с группой NS, добавляются в NSX-T в эту группу NS с использованием тегов как критериев членства.

    Чтобы работать с существующими группами NS, необходимо подключить компьютеры к непрозрачным сетям.

Подсистемы балансировки нагрузки

Для подсистем балансировки нагрузки при развертывании схем элементов NSX-T поддерживаются следующие топологии.
  • Одноканальная в сети NAT по требованию.
  • Одноканальная в маршрутизируемой сети по требованию.
  • Одноканальная во внешней (существующей) сети.
  • Двухканальная (один канал в NAT, второй — во внешнюю сеть).
  • Двухканальная (один канал в маршрутизируемую, второй — во внешнюю сеть).

Если в схему элементов добавляется подсистема балансировки нагрузки NSX-T, то в дополнение к указанным топологиям сети в развертывании подготавливается также следующая топология.

  • Для всех топологий, за исключением тех, где подсистема балансировки нагрузки подключена к внешней сети по одному каналу, подготавливается следующее.
    • Создается одна служба балансировки нагрузки, даже если в схеме элементов указано несколько подсистем балансировки нагрузки.
    • Служба балансировка нагрузки подключается к маршрутизатору первого уровня данного развертывания. Маршрутизатор первого уровня создается по требованию.
  • Для топологий, где подсистема балансировки нагрузки подключена к внешней сети по одному каналу, подготавливается следующее.
    • Внешняя сеть, которая указана в резервировании, должна быть непрозрачной сетью VC (логический коммутатор NSX-T).
    • Маршрутизатор первого уровня должен уже существовать и должен быть подключен к внешней сети (логический коммутатор NSX-T).
    • Если маршрутизатор первого уровня еще не существует, сервер балансировки нагрузки создается по требованию и подключается к маршрутизатору первого уровня. В противном случае используется уже существующая подсистема балансировки нагрузки.
  • Объявляется маршрут к соответствующему виртуальному IP-адресу, за исключением случая, когда этот виртуальный IP-адрес принадлежит частной сети NAT.
  • В службе балансировки нагрузки создаются один или несколько виртуальных серверов.

    Размер подсистемы балансировки нагрузки ограничивает количество виртуальных серверов в одной такой службе.

  • Для каждого виртуального сервера создается профиль приложения.
  • Для каждого виртуального сервера, у которого настроены параметры сохранения устойчивости, создается профиль устойчивости.
  • Настраивается пул членства, содержащий статический IP-адрес для каждого компьютера, входящего в этот пул.
  • Создается одна служба балансировки нагрузки, даже если в схеме элементов указано несколько подсистем балансировки нагрузки.
  • Для каждого участника пула создается и настраивается средство мониторинга работоспособности.

Для виртуальных серверов с поддержкой HTTPS в подсистемах балансировки нагрузки NSX-T, в отличие от подсистем балансировки нагрузки в NSX for vSphere, не поддерживается сквозной режим SSL. vRealize Automation настраивает виртуальный сервер балансировки нагрузки, который блокирует сквозное подключение SSL в своей подсистеме и для балансировки нагрузки участников своего пула использует обычный протокол HTTP. И имя сертификата, и имя профиля клиента SSL должны существовать в NSX-T. Их нужно указать при настройке HTTPS на виртуальном сервере. Сертификаты можно импортировать в диспетчер доверия NSX-T.

Если в схеме элементов указано более одного компонента NSX-T, то маршрутизатор первого уровня будет общим для всех компонентов и должен быть настроен соответствующим образом. Идентификатор внешнего маршрутизатора первого уровня отображается на странице развертываний vRealize Automation в представлении сведений для каждого из компонентов.