在多租户 NSX 环境中,您可以在项目下配置一部分 NSX 功能。

这既为租户提供了灵活性,同时也允许企业管理员和默认空间的其他管理员控制整个系统生命周期和连接。

表 1. 项目下可用的功能

NSX 功能

在项目下可用

备注

系统

Edge 集群

在项目创建期间分配

在项目创建期间,企业管理员会从默认空间将 Edge 集群分配给项目。

系统生命周期

由企业管理员管理

平台范围的操作(例如安装、升级和备份)由企业管理员管理。

网络

Tier-0 或 Tier-0 VRF 网关

在项目创建期间分配

在项目创建期间,企业管理员会从默认空间将 Tier-0 网关或 Tier-0 VRF 网关分配给项目。

Tier-0 网关上的服务由企业管理员在默认空间中管理。

动态路由 (BGP/OSPF)

由企业管理员管理

动态路由将由企业管理员在 Tier-0 网关或 Tier-0 VRF 网关上配置。

EVPN

由企业管理员管理

企业管理员在 Tier-0 网关或 Tier-0 VRF 网关上配置 EVPN。

Tier-1 网关

静态路由

Tier-1 网关上的静态路由将由项目管理员配置。

覆盖网络分段

VLAN 分段

分段配置文件

  • SpoofGuard
  • IP 发现
  • MAC 发现
  • 分段安全
  • QoS

L2 网桥

L2 VPN

L3 VPN

NAT

负载均衡器

DNS 转发器

  • DNS 服务
  • DNS 区域

IP 地址池/IP 地址块

IPv6 配置文件 (DAD/ND)

网关 QoS 配置文件

DHCP 和 DHCP 中继

安全

分布式防火墙

仅适用于已连接到项目中分段的虚拟机。企业管理员在默认空间中管理的防火墙规则具有最高优先级,其次是项目策略。

在防火墙规则的“源”、“目标”或“应用对象”中具有 Antrea 组的 DFW 策略在项目下不受支持。

排除列表

由企业管理员管理

排除列表会从所有防火墙应用程序规则中排除虚拟机。

网关防火墙

企业管理员和项目管理员只能在项目的上下文中管理项目 Tier-1 网关上的网关防火墙规则。项目管理员可以删除或修改项目中企业管理员创建的网关防火墙规则。

身份防火墙

身份防火墙在项目下不可用。身份防火墙规则只能在默认空间中配置,并且这些规则可以应用于项目中的虚拟机。

分布式 IDS/IPS

是(从 NSX 4.1.1 开始)

否(在 NSX 4.1 中)

网关 IDS/IPS

恶意软件防护

TLS 解密

TLS 检查

FQDN 筛选

URL 筛选

“FQDN 分析”仪表板不会向项目管理员公开。该仪表板只能供企业管理员使用。

防火墙配置文件

  • 会话定时器
  • 泛洪保护
  • DNS 安全

清单

服务

组(静态和动态成员资格)

Kubernetes 成员类型在项目下不可用于创建动态成员资格条件。

Antrea

上下文配置文件/L7 访问配置文件

标记

虚拟机(可见性/标记)

仅适用于已连接到项目中分段的虚拟机。

容器集群

NSX 中注册的 Antrea Kubernetes 集群中的 Kubernetes 资源不会向项目清单公开。

安全规划和故障排除

流跟踪

流跟踪只能使用属于项目一部分的虚拟机和端口。如果目标是路由到其他项目的 IP,则流跟踪输出中会隐藏这些详细信息。

Antrea 流跟踪

实时流量分析

IPFIX

由企业管理员管理

IPFIX 由企业管理员在默认空间中集中管理。

端口镜像

由企业管理员管理

端口镜像由企业管理员在默认空间中集中配置。

NSX Intelligence

NSX Intelligence 功能不会向项目管理员公开。只有 NSX 企业管理员对所有 NSX Intelligence 功能具有完全访问权限。

NSX Intelligence 功能(网络流量可视化、微分段建议和可疑流量分析)并不是项目感知功能。这些功能可处理整个内部部署 NSX 环境中的所有网络流量数据。如果使用多租户,即,如果在 NSX 环境中定义了项目,那么无论您使用的是默认视图还是所有项目视图,NSX Intelligence 都将显示默认空间中的所有 NSX 对象以及所有项目中的所有 NSX 对象。