Профиль сети определяет группу сетей и их параметры, доступные для учетной записи облачной службы в определенном регионе или центре обработки данных в vRealize Automation.
Профиль сети обычно позволяет поддерживать целевую среду развертывания, например небольшую тестовую среду, в которой у существующей сети есть только исходящий доступ, или крупную производственную среду с балансировкой нагрузки, для которой требуется набор политик безопасности. Профиль сети следует рассматривать как набор характеристик сети для заданной рабочей нагрузки.
Что содержит профиль сети
- Именованная облачная учетная запись или ее регион и необязательные теги возможностей для профиля сети.
- Именованные существующие сети и их параметры.
- Политики сети, определяющие параметры по требованию и другие особенности профиля сети.
- Необязательное включение существующих подсистем балансировки нагрузки.
- Необязательное включение существующих групп безопасности.
Функциональность управления IP-адресами сети определяется на основе профиля сети.
Теги возможностей профиля сети сопоставляются с тегами ограничений в облачных шаблонах для контроля выбора сети. Кроме того, все теги, назначенные сетям, данные о которых собираются профилем сети, также сопоставляются с тегами в облачном шаблоне, что позволяет управлять выбором сети после развертывания облачного шаблона.
Теги возможностей не являются обязательными. Теги возможностей применяются ко всем сетям в профиле сети, но только в том случае, когда сети используются в рамках данного профиля сети. Для профилей сети, которые не содержат теги возможностей, сопоставление тегов выполняется только для тегов сети. Параметры сети и безопасности, определенные в профиле соответствующей сети, применяются при развертывании облачного шаблона.
При использовании статического IP-адреса диапазоном адресов управляет vRealize Automation. Для DHCP начальным и конечным IP-адресами управляет независимый сервер DHCP, а не vRealize Automation. При использовании DHCP или смешанного выделения сетевых адресов для значения использования сети устанавливается 0. Диапазон адресов, выделяемых для обслуживаемой по требованию сети, основывается на CIDR и размере подсети, указанном в профиле сети. Для поддержки как статического, так и динамического назначения в развертывании выделяемый диапазон делится на два отдельных диапазона — один предназначен для статического выделения, а другой для динамического.
Сети
Сети, также называемые подсетями, представляют собой логические подразделения IP-сети. Сеть объединяет в себе облачную учетную запись, IP-адрес или диапазон IP-адресов, а также теги сети, с помощью которых можно управлять процессом подготовки развертывания облачного шаблона. Сетевые параметры в профиле определяют способ обмена данными между компьютерами в развертывании по IP-протоколу на уровне 3. Сети могут содержать теги.
В профиле сети можно добавлять сети, изменять характеристики сетей, используемых профилем сети. Сети также можно удалять из профиля сети.
При добавлении сети в профиль сети можно выбрать доступные сети из отфильтрованного списка сетей vSphere и NSX. Если тип сети поддерживается для типа облачной учетной записи, его можно добавить в профиль сети.
В развертывании на основе VCF сегменты сети NSX создаются локально в сети NSX-T и не создаются как глобальные сети.
- Сетевой домен или транспортная зона
Сетевой домен или транспортная зона — это распределенный виртуальный коммутатор (dvSwitch) для распределенных групп портов (dvPortGroup) в vSphere vNetwork. Транспортная зона — это понятие, существующее в NSX, которое похоже на dvSwitch или dvPortGroup.
При использовании облачной учетной записи NSX элемент на странице называется транспортной зоной, в противном случае это сетевой домен.
Для стандартных коммутаторов сетевой домен или транспортная зона — это то же самое, что и коммутатор. Сетевой домен или транспортная зона определяет границы подсетей в vCenter.
Транспортная зона определяет узлы, доступные логическому коммутатору NSX. Она может охватывать один или несколько кластеров vSphere. Транспортные зоны определяют, какие кластеры и виртуальные машины могут использовать конкретную сеть. Подсети, которые относятся к одной и той же транспортной зоне NSX, могут использоваться для одних и тех же узлов компьютера.
- Домен
Представляет собой имя домена компьютера. Имя домена передается в спецификацию настройки компьютера vSphere.
- IPv4 CIDR и шлюз по умолчанию IPv4
Компоненты компьютера vSphere в облачном шаблоне поддерживают назначение IP-адресов IPv4, IPv6 и двухстековых IP-адресов для сетевых интерфейсов. Например, 192.168.100.14/24 представляет адрес IPv4 192.168.100.14 и связанный с ним префикс маршрутизации 192.168.100.0 или аналогично маску подсети 255.255.255.0, которая имеет 24 начальных единичных бита. Блок IPv4 192.168.100.0/22 представляет 1024 IP-адреса, от 192.168.100.0 до 192.168.103.255.
- IPv6 CIDR и шлюз по умолчанию IPv6
Компоненты компьютера vSphere в облачном шаблоне поддерживают назначение IP-адресов IPv4, IPv6 и двухстековых IP-адресов для сетевых интерфейсов. Например, блок IPv6 2001:db8::/48 представляет блок адресов IPv6 от 2001:db8:0:0:0:0:0:0 до 2001:db8:0:ffff:ffff:ffff:ffff:ffff.
Для сетей, обслуживаемых по требованию, формат IPv6 не поддерживается. Дополнительные сведения см. в разделе Использование параметров сети в профилях сетей и облачных шаблонах в vRealize Automation.
- DNS-серверы и домены поиска DNS
- Поддержка общедоступного IP-адреса
Выберите этот параметр, чтобы пометить сеть как общедоступную. Сетевые компоненты в облачном шаблоне со свойством network type: public сопоставляются с сетями, помеченными как общедоступные. Последующее сопоставление выполняется во время развертывания облачного шаблона для выбора сети.
- По умолчанию для зоны
Выберите этот параметр, чтобы пометить сеть как значение по умолчанию для облачной зоны. При развертывании облачных шаблонов предпочтение отдается сетям по умолчанию.
- Исходный
Определяет источник сети.
- Теги
Указывает один или несколько тегов, назначенных сети. Теги не являются обязательными. Сопоставление тегов определяет доступность сетей для развертывания облачных шаблонов.
Теги сети существуют в самом сетевом элементе, независимо от профиля сети. Теги сети применяются к каждому экземпляру сети, к которому они добавлены, и ко всем профилям сетей, содержащим эту сеть. Экземпляры сети могут содержаться в любом количестве профилей сетей. Независимо от местонахождения профиля сети, тег сети связан с данной сетью везде, где эта сеть используется.
При развертывании облачного шаблона теги ограничений в сетевых компонентах облачного шаблона сопоставляются с тегами сети, в том числе с тегами возможностей в профиле сети. Для профилей сетей, содержащих теги возможностей, такие теги применяются ко всем сетям, которые доступны для такого профиля. Параметры сети и безопасности, определенные в профиле соответствующей сети, применяются при развертывании облачного шаблона.
Политики сети
Профили сети позволяют определить подсети для существующих сетевых доменов, которые содержат статические, DHCP или смешанные IP-адреса DHCP. На вкладке Политики сети можно определить подсети и указать параметры IP-адресов.
При использовании NSX-V, NSX-T или VMware Cloud on AWS настройки политики сети применяются, если для облачного шаблона требуется свойство networkType: outbound
или networkType: private
либо если для сети NSX требуется свойство networkType: routed
.
outbound
,
private
и
routed
, а также для групп безопасности по требованию. Политики сети можно также использовать для контроля сетей
existing
при наличии подсистемы балансировки нагрузки, связанной с данной сетью.
Исходящие сети разрешают односторонний доступ к вышестоящим сетям. В частных сетях любой доступ извне не разрешается. В маршрутизируемых сетях разрешается «восточный»/«западный» трафик между маршрутизируемыми сетями. В качестве базовых или вышестоящих сетей в этом профиле используются существующие и общедоступные сети.
Параметры для следующих вариантов выбора по требованию описаны в справке на экране Профили сети и рассмотрены ниже.
- Не создавать сеть по требованию или группу безопасности по требованию
Этот параметр можно использовать при указании типа сети
existing
илиpublic
. Облачные шаблоны, для которых требуется сетьoutbound
,private
илиrouted
, не сопоставляются с этим профилем. - Создать сеть по требованию
Этот параметр можно использовать при указании типа сети
outbound
,private
илиrouted
.Amazon Web Services, Microsoft Azure, NSX, vSphere и VMware Cloud on AWS поддерживают этот параметр.
- Создать группу безопасности по требованию
Этот параметр можно использовать при указании типа сети
outbound
илиprivate
.Если тип сети
outbound
илиprivate
, для соответствующих облачных шаблонов создается новая группа безопасности.Amazon Web Services, Microsoft Azure, NSX и VMware Cloud on AWS поддерживают этот параметр.
Параметры политики сети могут зависеть от типа облачной учетной записи. Эти параметры описаны в указателе на экране и рассмотрены ниже.
- Сетевой домен или транспортная зона
Сетевой домен или транспортная зона — это распределенный виртуальный коммутатор (dvSwitch) для распределенных групп портов (dvPortGroup) в vSphere vNetwork. Транспортная зона — это понятие, существующее в NSX, которое похоже на dvSwitch или dvPortGroup.
При использовании облачной учетной записи NSX элемент на странице называется транспортной зоной, в противном случае это сетевой домен.
Для стандартных коммутаторов сетевой домен или транспортная зона — это то же самое, что и коммутатор. Сетевой домен или транспортная зона определяет границы подсетей в vCenter.
Транспортная зона определяет узлы, доступные логическому коммутатору NSX. Она может охватывать один или несколько кластеров vSphere. Транспортные зоны определяют, какие кластеры и виртуальные машины могут использовать конкретную сеть. Подсети, которые относятся к одной и той же транспортной зоне NSX, могут использоваться для одних и тех же узлов компьютера. Типы транспортной зоны: наложение или VLAN. Дополнительные сведения об использовании транспортной зоны VLAN для определения сегментов VLAN см. в разделе Сетевые ресурсы в vRealize Automation.
- Внешняя подсеть
Сети по требованию с исходящим доступом нужна внешняя подсеть с исходящим доступом. Внешняя подсеть используется для предоставления исходящего доступа, если это требование содержится в облачном шаблоне. Она не влияет на размещение сети. Например, внешняя подсеть не влияет на размещение частной сети.
- CIDR
Запись CIDR является компактным представлением IP-адреса и его связанного префикса маршрутизации. Значение CIDR указывает диапазон сетевых адресов, который должен использоваться во время подготовки для создания подсетей. Этот параметр CIDR на вкладке Политики сети поддерживает запись IPv4, которая оканчивается на /nn, и содержит значения от 0 до 32.
- Размер подсети
Этот параметр определяет размер обслуживаемой по требованию сети с помощью записи IPv4 для каждой изолированной сети в развертывании, в котором используется этот профиль сети. Для управления внешними или внутренними IP-адресами доступна настройка размера подсети.
Для сетей, обслуживаемых по требованию, формат IPv6 не поддерживается.
- Распределенный логический маршрутизатор
При использовании облачной учетной записи NSX-V для маршрутизируемой сети по требованию необходимо указать распределенную логическую сеть.
Распределенный логический маршрутизатор (DLR) используется для маршрутизации «восточного/западного» трафика между маршрутизируемыми сетями по требованию в NSX-V. Этот параметр отображается только в том случае, если значение учетной записи или ее региона для профиля сети связано с облачной учетной записью NSX-V.
- Назначение диапазона IP-адресов
Этот параметр доступен для облачных учетных записей, которые поддерживают NSX или VMware Cloud on AWS, в том числе vSphere.
Настройка диапазона IP-адресов доступна при использовании существующей сети с точкой интеграции внешней системы IPAM.
Чтобы указать тип назначения диапазона IP-адресов для сети развертывания, можно выбрать один из следующих параметров.- Статический и DHCP
Это значение по умолчанию, которое рекомендуется к применению. Этот смешанный вариант использует выделенные параметры CIDR и диапазона подсетей для настройки пула серверов DHCP таким образом, чтобы половину выделяемого адресного пространства поддерживать при помощи метода DCHP (динамического), а другую половину пространства IP-адресов — при помощи статического метода. Используйте этот параметр, если для одних компьютеров, подключенных к сети по требованию, требуются назначенные статические IP-адреса, а для других компьютеров — динамические IP-адреса. Создаются два диапазона IP-адресов.
Этот вариант наиболее эффективен в развертываниях с компьютерами, подключенными к сети по требованию, где некоторым компьютерам назначаются статические IP-адреса, а другим — IP-адреса, динамически назначаемые сервером DHCP NSX, а также в развертываниях, где виртуальный IP-адрес подсистемы балансировки нагрузки является статическим.
- DHCP (динамический)
Этот вариант использует выделенную CIDR для настройки пула IP-адресов на сервере DHCP. Все IP-адреса для этой сети назначаются динамически. Для каждой выделенной CIDR создается отдельный диапазон IP-адресов.
- Статический
Этот вариант использует выделенную CIDR для статического выделения IP-адресов. Данный вариант следует использовать, если для сети не требуется настройка сервера DHCP. Для каждой выделенной CIDR создается отдельный диапазон IP-адресов.
- Статический и DHCP
- Блоки IP-адресов
Настройка блоков IP-адресов доступна при использовании обслуживаемой по требованию сети с точкой интеграции внешней системы IPAM.
С помощью параметра «Блок IP-адресов» в профиль сети можно добавить именованный блок или диапазон IP-адресов из интегрированного внешнего поставщика IPAM. Кроме того, из профиля сети можно удалить добавленный блок IP-адресов. Сведения о процедуре создания интеграции внешнего IPAM см. в Добавление точки интеграции внешнего поставщика IPAM Infoblox в vRealize Automation.
Внешний IPAM доступен для следующих типов облачных учетных записей или регионов.- vSphere
- vSphere с NSX-T
- vSphere с NSX-V
- Сетевые ресурсы — внешняя сеть
Внешние сети также называются существующими сетями. Такие сети определяются на основе сбора данных и становятся доступными для выбора.
- Сетевые ресурсы — логический маршрутизаторов уровня 0
NSX-T использует логический маршрутизатор уровня 0 как шлюз к сетям, которые являются внешними по отношению к развертыванию NSX. Логический маршрутизатор уровня 0 настраивает исходящий доступ для сетей по требованию.
- Сетевые ресурсы - пограничный кластер
Указанный пограничный кластер предоставляет услуги маршрутизации. Пограничный кластер используется для настройки исходящего доступа для сетей по требованию и подсистем балансировки нагрузки. Он определяет пограничный кластер или пул ресурсов, где должно быть развернуто пограничное устройство.
- Сетевые ресурсы — пограничное хранилище данных
Указанное пограничное хранилище данных используется для подготовки пограничного устройства. Данный параметр применим только к решению NSX-V.
Теги можно использовать для указания сетей, которые доступны для облачного шаблона.
Подсистемы балансировки нагрузки
В профиль сети можно добавлять подсистемы балансировки нагрузки. Список доступных подсистем балансировки нагрузки формируется на основе информации, полученной из облачной учетной записи источника.
Если тег для любой из подсистем балансировки нагрузки в профиле сети совпадает с тегом, который используется в компоненте подсистемы балансировки нагрузки в облачном шаблоне, эта подсистема учитывается во время развертывания. При развертывании облачного шаблона используются подсистемы балансировки нагрузки из соответствующего профиля сети.
Дополнительные сведения см. в Использование параметров подсистемы балансировки нагрузки в профилях сетей в vRealize Automation и Сети, ресурсы безопасности и подсистемы балансировки нагрузки в vRealize Automation.
Группы безопасности
После развертывания облачного шаблона группы безопасности в его профиле сети применяются к подготовленным сетевым адаптерам компьютеров. Для профиля сети, предназначенного для Amazon Web Services, группы безопасности в профиле сети доступны в том же сетевом домене (VPC), что и сети, указанные на вкладке «Сети». Если в сетевом профиле на вкладке «Сети» нет сетей, показываются все доступные группы безопасности.
Чтобы дополнительно определить параметры изоляции для сети private
по требованию или outbound
, можно использовать группу безопасности. Группы безопасности также применяются к сетям existing
. Кроме того, можно назначить глобальные группы безопасности.
Перечисленные группы безопасности доступны на основании информации, полученной из облачной учетной записи источника, или добавляются как группа безопасности по требованию в облачный шаблон проекта. Дополнительные сведения см. в разделе Ресурсы безопасности в vRealize Automation.
Группы безопасности применяются ко всем компьютерам в развертывании, подключенным к сети, которая соответствует профилю сети. Так как в облачном шаблоне может быть несколько сетей, каждая из которых соответствует отдельному профилю сети, для разных сетей можно использовать различные группы безопасности.
Помимо указания группы безопасности можно также выбрать сети NSX (по умолчанию) или сети vSphere либо оба варианта. При развертывании облачного шаблона vRealize Automation добавляет выделенную или указанную группу безопасности к сетевым адаптерам компьютера, подключенным к выделенной сети NSX. В группу безопасности NSX можно добавить только сетевые адаптеры компьютера, подключенные к сети NSX. Если сетевой адаптер компьютера подключен к сети vSphere, развертывание шаблона завершается сбоем.
Добавление тега в существующую группу безопасности позволяет использовать эту группу безопасности в компоненте Cloud.SecurityGroup облачного шаблона. Для использования в облачном шаблоне в группе безопасности должен быть хотя бы один тег. Дополнительные сведения см. в Ресурсы безопасности в vRealize Automation и Сети, ресурсы безопасности и подсистемы балансировки нагрузки в vRealize Automation.
Дополнительные сведения о профилях сетей, сетях, облачных шаблонах и тегах
Дополнительные сведения о сетях см. в разделе Сетевые ресурсы в vRealize Automation.
Примеры кода компонента сети в облачном шаблоне см. в разделе Сети, ресурсы безопасности и подсистемы балансировки нагрузки в vRealize Automation.
Дополнительные сведения о тегах и стратегии расстановки тегов см. в разделе Как использовать теги для управления ресурсами и развертываниями Cloud Assembly.
Дополнительные сведения об именовании сетевых адаптеров компьютера см. в разделе Настройка имени контроллера сетевого интерфейса с помощью действий расширяемости.