项目可帮助您隔离单个 NSX 部署中租户之间的网络和安全配置。

前提条件

必须已为您分配企业管理员角色。

过程

  1. 从浏览器中,通过 https://nsx-manager-ip-address 登录到 NSX Manager
  2. 单击默认,然后单击管理
  3. 单击添加项目
  4. (必选) 输入项目的名称。
  5. 选择该项目中的工作负载可用来与 NSX 外部的物理网络建立南北向连接的 Tier-0 或 Tier-0 VRF 网关。

    如果需要,您可以选择多个网关。如果未选择任何网关,则项目中的工作负载将无法建立南北向连接。

    注: 默认情况下,将在系统的默认覆盖网络传输区域中创建项目。因此,与默认传输区域关联的 Tier-0/VRF 网关会显示在下拉菜单中。

    可以将 Tier-0 或 Tier-0 VRF 网关分配给多个项目。也就是说,将一个 Tier-0/VRF 网关分配给某个项目(如项目 1)后,不会阻止您将其分配给其他项目(如项目 2 和项目 3)。

  6. 选择要与此项目关联的 Edge 集群。

    这些选定的 Edge 集群可以用于今后的项目中。例如,可以使用 Edge 集群来运行在项目中的 Tier-1 网关上配置的集中式服务,如 NAT、网关防火墙、DHCP 等。在项目中添加 NSX VPC 时,将使用相同的 Edge 集群为 VPC 中的工作负载提供集中式服务。

    该项目可以与由分配给项目的 Tier-0/Tier-0 VRF 网关使用的相同 Edge 集群相关联。如果需要,您可以将单独的 Edge 集群与项目和 Tier-0/Tier-0 VRF 网关相关联。可以将一个 Edge 集群分配给多个项目。也就是说,将一个 Edge 集群分配给某个项目(如项目 1)后,不会阻止您将其分配给其他项目(如项目 2 和项目 3)。

    注: 与默认覆盖网络传输区域关联的 Edge 集群将显示在下拉菜单中。
  7. 外部 IPv4 块字段中,选择一个或多个现有的 IPv4 块。

    在项目内的 NSX VPC 中添加公用子网时,选定的 IPv4 块将可供您使用。系统会从这些外部 IPv4 块将 CIDR 块分配给 NSX VPC 中的公用子网。VPC 用户还可以使用外部 IP 块在 NSX VPC 中添加 NAT 规则。

    如果没有可供选择的 IPv4 块,请单击 “操作”菜单,然后单击新建以添加 IP 地址块。

    外部 IPv4 块不得在项目中相互重叠,也不得在同一 Tier-0 网关上重叠。

    例如,假设项目 A 连接到 Tier-0 网关 A,项目 B 连接到 Tier-0 网关 B,这两个项目的 Tier-0 网关是相互隔离的。在这种情况下,项目 A 和项目 B 可以使用相同或重叠的外部 IP 块,因为它们连接到不同的 Tier-0 网关。

  8. 短日志标识符文本框中,输入系统可用于标识在此项目上下文中生成的日志的字符串。

    短日志标识符将应用于安全日志和审核日志。

    如果通过在 project API 中配置 dedicated_resources 参数来将 Tier-0/VRF 网关专用于项目,则会将短日志标识符附加到 Edge syslog 中为在 Tier-0/VRF 网关上运行的集中服务生成的日志消息。要了解更多信息,请参见在 NSX Edge Syslog 中启用项目上下文

    此标识符在 NSX 环境内的所有项目中必须是唯一的。

    标识符不得超过八个字母数字字符。如果未指定,则系统会在保存项目时自动生成标识符。设置标识符后,无法对其进行修改。

  9. 使用激活默认分布式防火墙规则切换开关可为此项目开启或关闭默认分布式防火墙规则。

    默认 DFW 规则允许项目内各工作负载虚拟机之间的通信,包括与 DHCP 服务器的通信。将阻止所有其他通信。

    只有在授权系统使用分布式防火墙安全功能的 NSX 部署中应用相应的安全许可证时,才能编辑此切换开关。此设置将仅开启/关闭项目的默认分布式防火墙规则。它不会关闭项目中的分布式防火墙。

    例如,如果在 NSX 平台中激活了分布式防火墙服务,您仍然可以停用项目的默认防火墙规则。在这种情况下,将对项目应用在默认空间中配置的系统范围的默认分布式防火墙规则。

    下表介绍了不同场景下项目中激活默认分布式防火墙规则切换开关的默认状态。此表中使用的术语“基本许可证”是指以下两个许可证中的任何一个:

    • NSX Networking for VMware Cloud Foundation
    • VCF 的解决方案许可证
    序号 场景 切换开关的默认状态 备注

    1

    您是新 NSX 客户,并且已应用仅授权系统使用 NSX 网络连接功能的基本许可证。

    关闭

    此切换开关不可编辑,因为当前应用的许可证不支持配置分布式防火墙安全规则。

    您需要在系统中应用相应的安全许可证,然后开启此切换开关以在项目中激活默认分布式防火墙规则。

    2

    您是新 NSX 客户。在实施前操作中,您已应用授权系统使用 NSX 网络功能的基本许可证。您还应用了授权系统使用分布式防火墙安全的相应安全许可证。

    开启

    将为项目激活默认分布式防火墙规则。

    如果需要,可以在项目中将其关闭。

    3

    您是新 NSX 客户。在实施前操作中,您只应用了仅授权系统使用 NSX 网络功能的基本许可证。您在系统中添加了一些项目,如项目 A 和 B

    稍后,在实施后操作期间,您应用了授权系统使用分布式防火墙安全的相应安全许可证。

    现在,您在现有的项目 A 和 B 中添加了用户定义的分布式防火墙规则,并且还在系统中创建了新项目,如项目 C 和 D。

    关闭:对于系统中预先存在的项目

    开启:对于系统中的新项目

    在此场景中,术语“预先存在的项目”是指在实施后应用安全许可证之前系统中存在的项目。在此场景中,它们是指项目 A 和 B。术语“新项目”是指在实施后应用安全许可证后在系统中添加的项目。在此场景中,它们是指项目 C 和 D。

    对于预先存在的项目 A 和 B,系统行为如下所示:

    默认情况下,此切换开关将处于关闭状态。用户定义的 DFW 规则在项目 A 和 B 中有效。如果要在这些项目中激活默认分布式防火墙规则,请在编辑模式下打开这些项目,然后手动开启此切换开关。但开启此切换开关后,可能会影响项目 A 和 B 中东西向流量的行为。

    对于新项目 C 和 D,系统行为如下所示:

    默认情况下,此切换开关将处于开启状态。也就是说,对于项目 C 和 D,默认情况下,将激活默认分布式防火墙规则。如果需要,您可以将其关闭,以便只有用户定义的分布式防火墙规则在这些项目中有效。

    4

    您是现有的 NSX 客户,拥有授权系统完全访问 DFW 的旧版 NSX 许可证。

    旧版许可证过期后,您应用了授权系统使用 NSX 网络功能的基本许可证,还应用了授权系统使用分布式防火墙安全的安全许可证。

    开启

    默认的分布式防火墙规则和用户定义的分布式防火墙规则将继续在更改为新许可证之前创建的现有项目中运行。系统行为没有变化。

    对于更改许可证后添加的所有新项目,默认情况下,此切换开关处于开启状态。如果需要,您可以选择将其关闭。

    5

    您是现有的 NSX 客户,拥有授权系统完全访问 DFW 的旧版 NSX 许可证。您在系统中添加了两个项目,如项目 A 和 B。

    当前的旧版许可证过期后,您应用了仅授权系统使用 NSX 网络功能的基本许可证。未应用安全许可证。

    现在,您在系统中创建了两个新项目,如项目 C 和 D。

    开启:对于预先存在的项目

    关闭:对于新项目

    在此场景中,术语“预先存在的项目”是指在旧版 NSX 许可证有效时在系统中添加的项目。在此场景中,它们是指项目 A 和 B。术语“新项目”是指在应用基本许可证后在系统中添加的项目。在此场景中,它们是指项目 C 和 D。

    对于预先存在的项目 A 和 B,系统行为如下所示:

    默认情况下,此切换开关处于开启状态。如果需要,您可以将其关闭。但是此操作不可撤销。也就是说,您无法在项目 A 和 B 中再次激活默认的东西向防火墙规则。

    默认的分布式防火墙规则和用户定义的分布式防火墙规则将继续在项目 A 和 B 中运行。但是,您无法编辑这些规则,也不能添加新的分布式防火墙规则。但是,您可以删除现有的用户定义的防火墙规则。

    要获得对分布式防火墙规则的完全访问权限,您需要应用相应的安全许可证。

    对于新项目 C 和 D,系统行为如下所示:

    默认情况下,此切换开关处于关闭状态。您无法开启该切换开关,因为当前应用的许可证未授权系统使用分布式防火墙功能。
    6

    您是新 NSX 客户,并且您的系统已进入评估模式,有效期为 60 天。

    关闭

    在新 NSX 部署的评估期间,系统只能使用网络功能,而无权使用安全功能。
  10. (可选) 输入项目的描述。
  11. 单击保存