網路設定檔定義適用於 vRealize Automation 中特定區域或資料中心內的雲端帳戶的一組網路和網路設定。
通常,您可以定義網路設定檔以支援目標部署環境,例如小型測試環境 (現有網路於其中僅擁有輸出存取權) 或需要一組安全性原則的大型負載平衡生產環境。將網路設定檔視為工作負載特定網路特性的集合。
網路設定檔的內容
- 網路設定檔的具名雲端帳戶/區域和選擇性功能標籤。
- 具名現有網路及其設定。
- 定義網路設定檔的隨選和其他方面的網路原則。
- (選擇性) 包含現有負載平衡器。
- (選擇性) 包含現有安全群組。
您可以根據網路設定檔判斷網路 IP 管理功能。
網路設定檔功能標籤與雲端範本中的限制標籤相符,可協助控制網路選擇。此外,指派給網路設定檔所收集網路的所有標籤還與雲端範本中的標籤相符,以協助您在部署雲端範本時控制網路選擇。
功能標籤是選擇性的。功能標籤會套用到網路設定檔中的所有網路,但僅在網路用做該網路設定檔的一部分時才會套用。對於不包含功能標籤的網路設定檔,僅針對網路標籤執行標記比對。部署雲端範本時,會套用相符網路設定檔中定義的網路和安全性設定。
使用靜態 IP 時,位址範圍由 vRealize Automation 管理。對於 DHCP,IP 起始和結束位址由獨立 DHCP 伺服器管理,而不是由 vRealize Automation 管理。使用 DHCP 或混合網路位址配置時,網路使用率值會設定為零。隨選網路配置範圍是根據網路設定檔中指定的 CIDR 和子網路大小而定。若要在部署中同時支援靜態和動態指派,配置的範圍會分為兩個範圍 - 一個用於靜態配置,而另一個用於動態配置。
網路
網路 (也稱為子網路) 是 IP 網路的邏輯細分。網路可將雲端帳戶、IP 位址或範圍及網路標籤分組,以控制佈建雲端範本部署的方式及位置。設定檔中的網路參數定義部署中的機器如何透過 IP 第 3 層相互通訊。網路可以有標籤。
您可以將網路新增到網路設定檔,編輯網路設定檔所使用網路的各個方面,以及從網路設定檔中移除網路。
將網路新增到網路設定檔時,可以從篩選的 vSphere 和 NSX 網路清單中選取可用網路。如果雲端帳戶類型支援網路類型,則可以將其新增到網路設定檔。
在以 VCF 為基礎的部署中,NSX 網路區段是在 NSX-T 網路上本機建立的,而不是作為全域網路建立。
- 網路網域或傳輸區域
網路網域或傳輸區域是 vSphere vNetwork 分散式連接埠群組 (dvPortGroup) 的分散式虛擬交換器 (dvSwitch)。傳輸區域是一個現有的 NSX 概念,類似於 dvSwitch 或 dvPortGroup 等詞彙。
使用 NSX 雲端帳戶時,頁面上的元素名稱為傳輸區域,否則為網路網域。
對於標準交換器,網路網域或傳輸區域與交換器本身相同。網路網域或傳輸區域定義了 vCenter 中子網路的邊界。
傳輸區域會控制 NSX 邏輯交換器所能連線的主機。它可跨越一或多個 vSphere 叢集。傳輸區域會控制哪些叢集和哪些虛擬機器可以參與特定網路的使用。屬於相同 NSX 傳輸區域的子網路可用於相同的機器主機。
- 網域
表示機器的網域名稱。網域名稱會傳遞到 vSphere 機器自訂規格。
- IPv4 CIDR 和 IPv4 預設閘道
雲端範本中的 vSphere 機器元件對網路介面支援 IPv4、IPv6 和雙堆疊 IP 指派。例如,192.168.100.14/24 表示 IPv4 位址 192.168.100.14 及其相關聯的路由前置詞 192.168.100.0,或相當於其子網路遮罩 255.255.255.0,它具有 24 個前置 1 位元。IPv4 區塊 192.168.100.0/22 表示從 192.168.100.0 到 192.168.103.255 的 1024 個 IP 位址。
- IPv6 CIDR 和 IPv6 預設閘道
雲端範本中的 vSphere 機器元件對網路介面支援 IPv4、IPv6 和雙堆疊 IP 指派。例如,2001:db8::/48 表示從 2001:db8:0:0:0:0:0:0 到 2001:db8:0:ffff:ffff:ffff:ffff:ffff 的 IPv6 位址的區塊。
隨選網路不支援 IPv6 格式。如需相關資訊,請參閱在 vRealize Automation 中的網路設定檔和雲端範本中使用網路設定。
- DNS 伺服器和 DNS 搜尋網域
- 支援公用 IP
選取此選項以將網路標記為公用。雲端範本中具有 network type: public 內容的網路元件與標記為公用的網路相符。在雲端範本部署期間進行進一步比對,以確定網路選擇。
- 區域的預設值
選取此選項以將網路標記為雲端區域的預設網路。在雲端範本部署期間,預設網路優先於其他網路。
- 來源
識別網路來源。
- 標籤
指定指派給網路的一或多個標籤。標籤是選擇性的。標籤比對會影響適用於您的雲端範本部署的網路。
網路項目本身存在網路標籤,而與網路設定檔不相關。網路標籤套用至已新增該網路標籤的網路的每個事件,以及包含該網路的所有網路設定檔。可以將網路設為任意數目網路設定檔的執行個體。無論網路設定檔在何處,且無論在何處使用網路,網路標籤均與該網路相關聯。
部署雲端範本時,雲端範本的網路元件中的限制標籤與網路標籤相符,其中包括網路設定檔功能標籤。對於包含功能標籤的網路設定檔,功能標籤會套用到可用於該網路設定檔的所有網路。部署雲端範本時,會套用相符網路設定檔中定義的網路和安全性設定。
網路原則
透過使用網路設定檔,您可以為包含靜態、DHCP 或混合靜態和 DHCP IP 位址設定的現有網路網域定義子網路。您可以使用網路原則索引標籤定義子網路並指定 IP 位址設定。
使用 NSX-V、NSX-T 或 VMware Cloud on AWS 時,如果雲端範本需要 networkType: outbound
或 networkType: private
,或者 NSX 網路需要 networkType: routed
,則會使用網路原則設定。
outbound
、
private
和
routed
網路類型以及隨選安全群組定義設定。當存在與該網路相關聯的負載平衡器時,也可以使用網路原則控制
existing
網路。
輸出網路允許單向存取上游網路。私人網路不允許任何外部存取權。路由網路允許路由網路之間的東西向流量。設定檔中的現有網路和公用網路將用作基礎網路或上游網路。
下列隨選選擇的選項在網路設定檔畫面上的說明中進行說明,並概述如下。
- 不建立隨選網路或隨選安全群組
指定
existing
或public
網路類型時,您可以使用此選項。需要outbound
、private
或routed
網路的雲端範本與此設定檔不相符。 - 建立隨選網路
指定
outbound
、private
或routed
網路類型時,您可以使用此選項。Amazon Web Services、Microsoft Azure、NSX、vSphere 和 VMware Cloud on AWS 支援此選項。
- 建立隨選安全群組
指定
outbound
或private
網路類型時,您可以使用此選項。如果網路類型為
outbound
或private
,則會為相符的雲端範本建立新的安全群組。Amazon Web Services、Microsoft Azure、NSX 和 VMware Cloud on AWS 支援此選項。
網路原則設定可特定於雲端帳戶類型。這些設定會在畫面上的路標說明中進行說明,並概述如下:
- 網路網域或傳輸區域
網路網域或傳輸區域是 vSphere vNetwork 分散式連接埠群組 (dvPortGroup) 的分散式虛擬交換器 (dvSwitch)。傳輸區域是一個現有的 NSX 概念,類似於 dvSwitch 或 dvPortGroup 等詞彙。
使用 NSX 雲端帳戶時,頁面上的元素名稱為傳輸區域,否則為網路網域。
對於標準交換器,網路網域或傳輸區域與交換器本身相同。網路網域或傳輸區域定義了 vCenter 中子網路的邊界。
傳輸區域會控制 NSX 邏輯交換器所能連線的主機。它可跨越一或多個 vSphere 叢集。傳輸區域會控制哪些叢集和哪些虛擬機器可以參與特定網路的使用。屬於相同 NSX 傳輸區域的子網路可用於相同的機器主機。傳輸區域類型為覆疊或 VLAN。如需使用 VLAN 傳輸區域定義 VLAN 區段的相關資訊,請參閱 vRealize Automation 中的網路資源。
- 外部子網路
具有輸出存取權的隨選網路需要具有輸出存取權的外部子網路。外部子網路將用於在雲端範本中請求時提供輸出存取權,而不會控制網路放置。例如,外部子網路不會影響私人網路的放置。
- CIDR
CIDR 標記法是 IP 位址及其相關聯的路由前置詞的精簡表示方式。CIDR 值指定了要在佈建期間用於建立子網路的網路位址範圍。網路原則索引標籤上的此 CIDR 設定可接受以 /nn 結尾並包含介於 0 - 32 之間的值的 IPv4 標記法。
- 子網路大小
此選項為使用此網路設定檔的部署中的每個隔離網路指定隨選網路大小 (使用 IPv4 標記法)。子網路大小設定可用於內部或外部 IP 位址管理。
隨選網路不支援 IPv6 格式。
- 分散式邏輯路由器
針對隨選路由網路,您必須在使用 NSX-V 雲端帳戶時指定分散式邏輯網路。
分散式邏輯路由器 (DLR) 用於在 NSX-V 上的隨選路由網路之間路由東西向流量。僅當網路設定檔的帳戶/區域值與 NSX-V 雲端帳戶相關聯時,才會顯示此選項。
- IP 範圍指派
此選項適用於支援 NSX 或 VMware Cloud on AWS 的雲端帳戶,包括 vSphere。
使用具有外部 IPAM 整合點的現有網路時,可使用 IP 範圍設定。
您可以選取下列三個選項之一來指定部署網路的 IP 範圍指派類型:- 靜態和 DHCP
預設選項,同時為建議選項。此混合選項使用配置的 CIDR 和子網路範圍設定,將 DHCP 伺服器集區設定為使用 DHCP (動態) 方法支援一半的位址空間配置,使用靜態方法支援另一半 IP 位址空間配置。當連線到隨選網路的部分機器需要指派的靜態 IP 位址,而部分機器需要動態 IP 位址時,請使用此選項。即會建立兩個 IP 範圍。
在機器連線到隨選網路的部署 (其中部分機器指派有靜態 IP,而其他機器則由 NSX DHCP 伺服器動態指派 IP) 以及負載平衡器 VIP 為靜態的部署中,此選項最為有效。
- DHCP (動態)
此選項使用配置的 CIDR 在 DHCP 伺服器上設定 IP 集區。將會動態指派此網路的所有 IP 位址。會為每個已配置的 CIDR 建立單一 IP 範圍。
- 靜態
此選項使用配置的 CIDR 以靜態配置 IP 位址。如果不需要為此網路設定 DHCP 伺服器,請使用此選項。會為每個已配置的 CIDR 建立單一 IP 範圍。
- 靜態和 DHCP
- IP 區塊
使用具有外部 IPAM 整合點的隨選網路時,可使用 IP 區塊設定。
透過使用 IP 區塊設定,您可以將具名 IP 區塊或範圍新增至整合式外部 IPAM 提供者的網路設定檔。也可以從網路設定檔中移除新增的 IP 區塊。如需有關如何建立外部 IPAM 整合的資訊,請參閱在 vRealize Automation 中新增用於 Infoblox 的外部 IPAM 整合。
外部 IPAM 適用於下列雲端帳戶/區域類型:- vSphere
- vSphere with NSX-T
- vSphere with NSX-V
- 網路資源 - 外部網路
外部網路也稱為現有網路。這些網路已進行資料收集並可供選取。
- 網路資源 - 第 0 層邏輯路由器
NSX-T 使用第 0 層邏輯路由器做為 NSX 部署外部網路的閘道。第 0 層邏輯路由器為隨選網路設定輸出存取權。
- 網路資源 - Edge 叢集
指定的 Edge 叢集提供路由服務。Edge 叢集用來設定隨選網路和負載平衡器的輸出存取權。將會識別要部署 Edge 應用裝置的 Edge 叢集或資源集區。
- 網路資源 - Edge 資料存放區
指定的 Edge 資料存放區將用於佈建 Edge 應用裝置。此設定僅適用於 NSX-V。
標籤可用來指定可供雲端範本使用的網路。
負載平衡器
您可以在網路設定檔中新增負載平衡器。列出的負載平衡器根據從來源雲端帳戶收集的資料資訊提供。
如果網路設定檔中任何負載平衡器上的標籤與雲端範本中負載平衡器元件中的標籤相符,則會在部署期間考慮負載平衡器。部署雲端範本時,會使用相符網路設定檔中的負載平衡器。
如需詳細資訊,請參閱在 vRealize Automation 中使用網路設定檔中的負載平衡器設定和vRealize Automation 中的網路、安全資源和負載平衡器。
安全群組
部署雲端範本時,其網路設定檔中的安全群組會套用到已佈建的機器 NIC。對於特定於 Amazon Web Services 的網路設定檔,網路設定檔中的安全群組在 [網路] 索引標籤上列出的網路所在的網路網域 (VPC) 中可用。如果網路設定檔在其 [網路] 索引標籤上未列出任何網路,則會顯示所有可用的安全群組。
您可以使用安全群組為隨選 private
或 outbound
網路進一步定義隔離設定。安全群組也適用於 existing
網路。還可以指派全域安全群組。
列出的安全群組根據從來源雲端帳戶收集的資料資訊提供,或在專案雲端範本中新增為隨選安全群組。如需詳細資訊,請參閱vRealize Automation 中的安全資源。
安全群組會套用到部署中連線至與網路設定檔相符的網路的所有機器。由於雲端範本中可能存在多個網路,每個網路都與其他網路設定檔相符,因此您可以對不同的網路使用不同的安全群組。
除了指定安全群組外,還可以選取 NSX 網路 (預設) 或 vSphere 網路,也可以同時選取兩者。部署雲端範本時,vRealize Automation 會將配置或指定的安全群組新增到連線已配置 NSX 網路的機器 NIC。只能將連線到 NSX 網路的機器 NIC 新增到 NSX 安全群組。如果機器 NIC 連線到 vSphere 網路,則範本部署將失敗。
透過將標籤新增至現有安全群組,您可以在雲端範本 Cloud.SecurityGroup 元件中使用此安全群組。安全群組必須至少有一個標籤,否則無法在雲端範本中使用。如需詳細資訊,請參閱vRealize Automation 中的安全資源和vRealize Automation 中的網路、安全資源和負載平衡器。
有關網路設定檔、網路、雲端範本和標籤的詳細資訊
如需有關網路的詳細資訊,請參閱vRealize Automation 中的網路資源。
如需雲端範本中範例網路元件代碼的範例,請參閱vRealize Automation 中的網路、安全資源和負載平衡器。
如需有關標籤和標籤策略的詳細資訊,請參閱如何使用標籤來管理 Cloud Assembly 資源和部署。
如需如何命名機器 NIC 的相關資訊,請參閱如何使用擴充性動作設定網路介面控制器名稱。