Профиль сети определяет группу сетей и их параметры, доступные для учетной записи облачной службы в определенном регионе или центре обработки данных в vRealize Automation.

Профиль сети обычно позволяет поддерживать целевую среду развертывания, например небольшую тестовую среду, в которой у существующей сети есть только исходящий доступ, или крупную производственную среду с балансировкой нагрузки, для которой требуется набор политик безопасности. Профиль сети следует рассматривать как набор характеристик сети для заданной рабочей нагрузки.

Что содержит профиль сети

Профиль сети содержит специальную информацию о типе и регионе именованной облачной учетной записи в vRealize Automation, включая следующие параметры.
  • Именованная облачная учетная запись или ее регион и необязательные теги возможностей для профиля сети.
  • Именованные существующие сети и их параметры.
  • Политики сети, определяющие параметры по требованию и другие особенности профиля сети.
  • Необязательное включение существующих подсистем балансировки нагрузки.
  • Необязательное включение существующих групп безопасности.

Функциональность управления IP-адресами сети определяется на основе профиля сети.

Теги возможностей профиля сети сопоставляются с тегами ограничений в облачных шаблонах для контроля выбора сети. Кроме того, все теги, назначенные сетям, данные о которых собираются профилем сети, также сопоставляются с тегами в облачном шаблоне, что позволяет управлять выбором сети после развертывания облачного шаблона.

Теги возможностей не являются обязательными. Теги возможностей применяются ко всем сетям в профиле сети, но только в том случае, когда сети используются в рамках данного профиля сети. Для профилей сети, которые не содержат теги возможностей, сопоставление тегов выполняется только для тегов сети. Параметры сети и безопасности, определенные в профиле соответствующей сети, применяются при развертывании облачного шаблона.

При использовании статического IP-адреса диапазоном адресов управляет vRealize Automation. Для DHCP начальным и конечным IP-адресами управляет независимый сервер DHCP, а не vRealize Automation. При использовании DHCP или смешанного выделения сетевых адресов для значения использования сети устанавливается 0. Диапазон адресов, выделенных для сети по требованию, основывается на CIDR и размере подсети, указанных в профиле сети. Для поддержки как статического, так и динамического назначения в развертывании выделенный диапазон делится на два поддиапазона — один предназначен для статического выделения, а другой для динамического.

Сети

Сети, также называемые подсетями, представляют собой логические подразделения IP-сети. Сеть объединяет в себе облачную учетную запись, IP-адрес или диапазон IP-адресов, а также теги сети, с помощью которых можно управлять процессом подготовки развертывания облачного шаблона. Сетевые параметры в профиле определяют способ обмена данными между компьютерами в развертывании по IP-протоколу на уровне 3. Сети могут содержать теги.

В профиле сети можно добавлять сети, изменять характеристики сетей, используемых профилем сети. Сети также можно удалять из профиля сети.

  • Сетевой домен или транспортная зона

    Сетевой домен или транспортная зона — это распределенный виртуальный коммутатор (dvSwitch) для распределенных групп портов (dvPortGroup) в vSphere vNetwork. Транспортная зона — это понятие, существующее в NSX, которое похоже на dvSwitch или dvPortGroup.

    При использовании облачной учетной записи NSX элемент на странице называется транспортной зоной, в противном случае это сетевой домен.

    Для стандартных коммутаторов сетевой домен или транспортная зона — это то же самое, что и коммутатор. Сетевой домен или транспортная зона определяет границы подсетей в vCenter.

    Транспортная зона определяет узлы, доступные логическому коммутатору NSX. Она может охватывать один или несколько кластеров vSphere. Транспортные зоны определяют, какие кластеры и виртуальные машины могут использовать конкретную сеть. Подсети, которые относятся к одной и той же транспортной зоне NSX, могут использоваться для одних и тех же узлов компьютера.

  • Домен

    Представляет собой домен единого входа vCenter для целевой виртуальной машины. Домены настраиваются администратором vCenter во время настройки vSphere. Домен определяет пространство локальной проверки подлинности в vCenter.

  • IPv4 CIDR и шлюз по умолчанию IPv4

    Облачные учетные записи vSphere и компоненты компьютера vSphere в облачном шаблоне поддерживают использование адресов IPv4 и IPv6. Например, 192.168.100.14/24 представляет адрес IPv4 192.168.100.14 и связанный с ним префикс маршрутизации 192.168.100.0 или аналогично маску подсети 255.255.255.0, которая имеет 24 начальных единичных бита. Блок IPv4 192.168.100.0/22 представляет 1024 IP-адреса от 192.168.100.0 до 192.168.103.255.

  • IPv6 CIDR и шлюз по умолчанию IPv6

    Облачные учетные записи vSphere и компоненты компьютера vSphere в облачном шаблоне поддерживают использование адресов IPv4 и IPv6. Например, блок IPv6 2001:db8::/48 представляет блок адресов IPv6 от 2001:db8:0:0:0:0:0:0 до 2001:db8:0:ffff:ffff:ffff:ffff:ffff.

    Для сетей по требованию формат IPv6 не поддерживается.

  • DNS-серверы и домены поиска DNS
  • Поддержка общедоступного IP-адреса

    Выберите этот параметр, чтобы пометить сеть как общедоступную. Сетевые компоненты в облачном шаблоне со свойством network type: public сопоставляются с сетями, помеченными как общедоступные. Последующее сопоставление выполняется во время развертывания облачного шаблона для выбора сети.

  • По умолчанию для зоны

    Выберите этот параметр, чтобы пометить сеть как значение по умолчанию для облачной зоны. При развертывании облачных шаблонов предпочтение отдается сетям по умолчанию.

  • Исходный

    Определяет источник сети.

  • Теги

    Указывает один или несколько тегов, назначенных сети. Теги не являются обязательными. Сопоставление тегов определяет доступность сетей для развертывания облачных шаблонов.

    Теги сети существуют в самом сетевом элементе, независимо от профиля сети. Теги сети применяются к каждому экземпляру сети, к которому они добавлены, и ко всем профилям сетей, содержащим эту сеть. Экземпляры сети могут содержаться в любом количестве профилей сетей. Независимо от местонахождения профиля сети, тег сети связан с данной сетью везде, где эта сеть используется.

    При развертывании облачного шаблона теги ограничений в сетевых компонентах облачного шаблона сопоставляются с тегами сети, в том числе с тегами возможностей в профиле сети. Для профилей сетей, содержащих теги возможностей, такие теги применяются ко всем сетям, которые доступны для такого профиля. Параметры сети и безопасности, определенные в профиле соответствующей сети, применяются при развертывании облачного шаблона.

Политики сети

Профили сети позволяют определить подсети для существующих сетевых доменов, которые содержат статические, DHCP или смешанные IP-адреса DHCP. На вкладке Политики сети можно определить подсети и указать параметры IP-адресов.

При использовании NSX-V, NSX-T или VMware Cloud on AWS параметры политики сети применяются, если для облачного шаблона требуется свойство networkType: outbound или networkType: private или если для сети NSX требуется свойство networkType: routed.

В зависимости от связанной облачной учетной записи политики сетей можно использовать, чтобы задать параметры для типов сетей outbound, private и routed, а также для групп безопасности по требованию. Политики сети можно также использовать для контроля сетей existing при наличии подсистемы балансировки нагрузки, связанной с данной сетью.

Исходящие сети разрешают односторонний доступ к вышестоящим сетям. В частных сетях любой доступ извне не разрешается. В маршрутизируемых сетях разрешается «восточный»/«западный» трафик между маршрутизируемыми сетями. В качестве базовых или вышестоящих сетей в этом профиле используются существующие и общедоступные сети.

Параметры для следующих вариантов выбора по требованию описаны в справке на экране Профили сети и рассмотрены ниже.

  • Не создавать сеть по требованию или группу безопасности по требованию

    Этот параметр можно использовать при указании типа сети existing или public. Облачные шаблоны, для которых требуется сеть outbound, private или routed, не сопоставляются с этим профилем.

  • Создать сеть по требованию

    Этот параметр можно использовать при указании типа сети outbound, private или routed.

    Amazon Web Services, Microsoft Azure, NSX, vSphere и VMware Cloud on AWS поддерживают этот параметр.

  • Создать группу безопасности по требованию

    Этот параметр можно использовать при указании типа сети outbound или private.

    Если тип сети outbound или private, для соответствующих облачных шаблонов создается новая группа безопасности.

    Amazon Web Services, Microsoft Azure, NSX и VMware Cloud on AWS поддерживают этот параметр.

Параметры политики сети могут зависеть от типа облачной учетной записи. Эти параметры описаны в указателе на экране и рассмотрены ниже.

  • Сетевой домен или транспортная зона

    Сетевой домен или транспортная зона — это распределенный виртуальный коммутатор (dvSwitch) для распределенных групп портов (dvPortGroup) в vSphere vNetwork. Транспортная зона — это понятие, существующее в NSX, которое похоже на dvSwitch или dvPortGroup.

    При использовании облачной учетной записи NSX элемент на странице называется транспортной зоной, в противном случае это сетевой домен.

    Для стандартных коммутаторов сетевой домен или транспортная зона — это то же самое, что и коммутатор. Сетевой домен или транспортная зона определяет границы подсетей в vCenter.

    Транспортная зона определяет узлы, доступные логическому коммутатору NSX. Она может охватывать один или несколько кластеров vSphere. Транспортные зоны определяют, какие кластеры и виртуальные машины могут использовать конкретную сеть. Подсети, которые относятся к одной и той же транспортной зоне NSX, могут использоваться для одних и тех же узлов компьютера.

  • Внешняя подсеть

    Сети по требованию с исходящим доступом нужна внешняя подсеть с исходящим доступом. Внешняя подсеть используется для предоставления исходящего доступа, если это требование содержится в облачном шаблоне. Она не влияет на размещение сети. Например, внешняя подсеть не влияет на размещение частной сети.

  • CIDR

    Запись CIDR является компактным представлением IP-адреса и его связанного префикса маршрутизации. Значение CIDR указывает диапазон сетевых адресов, который должен использоваться во время подготовки для создания подсетей. Этот параметр CIDR на вкладке Политики сети поддерживает запись IPv4, которая оканчивается на /nn, и содержит значения от 0 до 32.

  • Размер подсети

    Этот параметр определяет размер сети по требованию, используя запись IPv4, создаваемой для каждой изолированной сети в развертывании, в котором используется данный профиль сети. Параметр размера подсети доступен для управления внутренними или внешними IP-адресами.

    Для сетей по требованию формат IPv6 не поддерживается.

  • Распределенный логический маршрутизатор

    При использовании облачной учетной записи NSX-V для маршрутизируемой сети по требованию необходимо указать распределенную логическую сеть.

    Распределенный логический маршрутизатор (DLR) используется для маршрутизации «восточного/западного» трафика между маршрутизируемыми сетями по требованию в NSX-V. Этот параметр отображается только в том случае, если значение учетной записи или ее региона для профиля сети связано с облачной учетной записью NSX-V.

  • Назначение диапазона IP-адресов

    Этот параметр доступен для облачных учетных записей, которые поддерживают NSX или VMware Cloud on AWS, в том числе vSphere.

    Параметр «диапазон IP-адресов» доступен при использовании существующей сети с точкой интеграции внешнего IPAM.
    Чтобы указать тип назначения диапазона IP-адресов для сети развертывания, можно выбрать один из следующих параметров.
    • Статический и DHCP

      Это значение по умолчанию, которое рекомендуется к применению. Этот смешанный вариант использует выделенные параметры CIDR и диапазона подсетей для настройки пула серверов DHCP таким образом, чтобы половину выделяемого адресного пространства поддерживать при помощи метода DCHP (динамического), а другую половину пространства IP-адресов — при помощи статического метода. Используйте этот параметр, если для одних компьютеров, подключенных к сети по требованию, требуются назначенные статические IP-адреса, а для других компьютеров — динамические IP-адреса. Создаются два диапазона IP-адресов.

      Этот вариант наиболее эффективен в развертываниях с компьютерами, подключенными к сети по требованию, где некоторым компьютерам назначаются статические IP-адреса, а другим — IP-адреса, динамически назначаемые сервером DHCP NSX, а также в развертываниях, где виртуальный IP-адрес подсистемы балансировки нагрузки является статическим.

    • DHCP (динамический)

      Этот вариант использует выделенную CIDR для настройки пула IP-адресов на сервере DHCP. Все IP-адреса для этой сети назначаются динамически. Для каждой выделенной CIDR создается отдельный диапазон IP-адресов.

    • Статический

      Этот вариант использует выделенную CIDR для статического выделения IP-адресов. Данный вариант следует использовать, если для этой сети не требуется настройка сервера DHCP. Для каждой выделенной CIDR создается отдельный диапазон IP-адресов.

  • Блоки IP-адресов
    Параметр «блоки IP-адресов» доступен при использовании сети по требованию с точкой интеграции внешнего IPAM.

    С помощью параметра «Блок IP-адресов» в профиль сети можно добавить именованный блок или диапазон IP-адресов из интегрированного внешнего поставщика IPAM. Кроме того, из профиля сети можно удалить добавленный блок IP-адресов. Сведения о процедуре создания интеграции внешнего IPAM см. в Добавление точки интеграции внешнего поставщика IPAM Infoblox в vRealize Automation.

    Внешний IPAM доступен для следующих типов облачных учетных записей или регионов.
    • vSphere
    • vSphere с NSX-T
    • vSphere с NSX-V
  • Сетевые ресурсы — внешняя сеть

    Внешние сети также называются существующими сетями. Такие сети определяются на основе сбора данных и становятся доступными для выбора.

  • Сетевые ресурсы — логический маршрутизаторов уровня 0

    NSX-T использует логический маршрутизатор уровня 0 как шлюз к сетям, которые являются внешними по отношению к развертыванию NSX. Логический маршрутизатор уровня 0 настраивает исходящий доступ для сетей по требованию.

  • Сетевые ресурсы - пограничный кластер

    Указанный пограничный кластер предоставляет услуги маршрутизации. Пограничный кластер используется для настройки исходящего доступа для сетей по требованию и подсистем балансировки нагрузки. Он определяет пограничный кластер или пул ресурсов, где должно быть развернуто пограничное устройство.

  • Сетевые ресурсы — пограничное хранилище данных

    Указанное пограничное хранилище данных используется для подготовки пограничного устройства. Данный параметр применим только к решению NSX-V.

Теги можно использовать для указания сетей, которые доступны для облачного шаблона.

Подсистемы балансировки нагрузки

В профиль сети можно добавлять подсистемы балансировки нагрузки. Список доступных подсистем балансировки нагрузки формируется на основе информации, полученной из облачной учетной записи источника.

Если тег для любой из подсистем балансировки нагрузки в профиле сети совпадает с тегом, который используется в компоненте подсистемы балансировки нагрузки в облачном шаблоне, данная подсистема учитывается во время развертывания. При развертывании облачного шаблона используются подсистемы балансировки нагрузки из соответствующего профиля сети.

Дополнительные сведения см. в Использование параметров подсистемы балансировки нагрузки в профилях сетей в vRealize Automation Cloud Assembly и Примеры сети, безопасности и подсистемы балансировки нагрузки в облачных шаблонах vRealize Automation.

Группы безопасности

После развертывания облачного шаблона группы безопасности в его профиле сети применяются к подготовленным сетевым адаптерам компьютеров. Для профиля сети, предназначенного для Amazon Web Services, группы безопасности в профиле сети доступны в том же сетевом домене (VPC), что и сети, указанные на вкладке «Сети». Если в сетевом профиле нет сетей, перечисленных на вкладке «Сети», отображаются все доступные группы безопасности.

Чтобы дополнительно определить параметры изоляции для сети private по требованию или outbound, можно использовать группу безопасности. Группы безопасности также применяются к сетям existing.

Группы безопасности применяются ко всем компьютерам в развертывании, подключенным к сети, которая соответствует профилю сети. Так как в облачном шаблоне может быть несколько сетей, каждая из которых соответствует отдельному профилю сети, для разных сетей можно использовать различные группы безопасности.

Добавление тега в существующую группу безопасности позволяет использовать эту группу безопасности в компоненте Cloud.SecurityGroup облачного шаблона. Для использования в облачном шаблоне в группе безопасности должен быть хотя бы один тег. Дополнительные сведения см. в Ресурсы безопасности в vRealize Automation и Примеры сети, безопасности и подсистемы балансировки нагрузки в облачных шаблонах vRealize Automation.

Дополнительные сведения о профилях сетей, сетях, облачных шаблонах и тегах

Дополнительные сведения о профилях сетей см. в других подразделах в этом разделе справки, а также в Добавление профилей сети.

Дополнительные сведения о сетях см. в разделе Сетевые ресурсы в vRealize Automation.

Примеры кода компонента сети в облачном шаблоне см. в разделе Примеры сети, безопасности и подсистемы балансировки нагрузки в облачных шаблонах vRealize Automation.

Дополнительные сведения о тегах и стратегии расстановки тегов см. в разделе Как использовать теги для управления ресурсами и развертываниями vRealize Automation Cloud Assembly.