项目可帮助您隔离单个 NSX 部署中租户之间的网络和安全配置。

前提条件

必须已为您分配企业管理员角色。

过程

  1. 从浏览器中,通过 https://nsx-manager-ip-address 登录到 NSX Manager
  2. 单击默认,然后单击管理
  3. 单击添加项目
  4. (必选) 输入项目的名称。
  5. 选择该项目中的工作负载可用来与 NSX 外部的物理网络建立南北向连接的 Tier-0 或 Tier-0 VRF 网关。

    如果需要,您可以选择多个网关。如果未选择任何网关,则项目中的工作负载将无法建立南北向连接。

    注: 默认情况下,将在系统的默认覆盖网络传输区域中创建项目。因此,与默认传输区域关联的 Tier-0/VRF 网关会显示在下拉菜单中。

    可以将 Tier-0 或 Tier-0 VRF 网关分配给多个项目。也就是说,将一个 Tier-0/VRF 网关分配给某个项目(如项目 1)后,不会阻止您将其分配给其他项目(如项目 2 和项目 3)。

  6. 选择要与此项目关联的 Edge 集群。

    这些选定的 Edge 集群可以用于今后的项目中。例如,可以使用 Edge 集群来运行在项目中的 Tier-1 网关上配置的集中式服务,如 NAT、网关防火墙、DHCP 等。与项目关联的 Edge 集群不一定需要运行与项目关联的 Tier-0 网关。

    集中式服务(NAT、网关防火墙、VPN、DHCP)需要使用在项目级别指定的 Edge 集群。如果不需要任何服务,则可以跳过 Edge 集群。

    可以将一个 Edge 集群分配给多个项目。也就是说,将一个 Edge 集群分配给某个项目(如项目 1)后,不会阻止您将其分配给其他项目(如项目 2 和项目 3)。

    注: 与默认覆盖网络传输区域关联的 Edge 集群将显示在下拉菜单中。
  7. 外部 IPv4 块字段中,选择一个或多个现有的 IPv4 块。

    在项目内的 NSX VPC 中添加公用子网时,选定的 IPv4 块将可供您使用。系统会从这些外部 IPv4 块将 CIDR 块分配给 NSX VPC 中的公用子网。VPC 用户还可以使用外部 IP 块在 NSX VPC 中添加 NAT 规则。

    如果没有可供选择的 IPv4 块,请单击操作菜单,然后单击新建以添加 IP 地址块。

    外部 IPv4 块不得在项目中相互重叠,也不得在同一 Tier-0 网关上重叠。

    例如,假设项目 A 连接到 Tier-0 网关 A,项目 B 连接到 Tier-0 网关 B。这两个项目的 Tier-0 网关是相互隔离的。在这种情况下,项目 A 和项目 B 可以使用相同或重叠的外部 IP 块,因为它们连接到不同的 Tier-0 网关。

  8. 短日志标识符文本框中,输入系统可用于标识在此项目上下文中生成的日志的字符串。

    短日志标识符将应用于安全日志和审核日志。

    如果通过在 project API 中配置 dedicated_resources 参数来将 Tier-0/VRF 网关专用于项目,则会将短日志标识符附加到 Edge syslog 中为在 Tier-0/VRF 网关上运行的集中服务生成的日志消息。要了解更多信息,请参见在 NSX Edge Syslog 中启用项目上下文

    此标识符在 NSX 环境内的所有项目中必须是唯一的。

    标识符不得超过八个字母数字字符。如果未指定,则系统会在保存项目时自动生成标识符。设置标识符后,无法对其进行修改。

  9. 如果您希望系统在 VMware vCenter Server® 上为此项目创建文件夹,请打开在 vCenter 文件夹中组织 NSX 端口组切换开关。

    默认情况下,将关闭此切换开关。

    注: 仅当注册到 NSX 部署的 VMware vCenter 服务器版本为 8.0 Update 3 或更高版本时,此切换开关才适用。
    如果打开此切换开关,并且系统检测到 VMware vCenter 的版本低于 8.0 Update 3,则会显示一条警告消息,并且不会在项目中强制实施此设置。也就是说,不会在 VMware vCenter 中为项目创建文件夹。
    重要说明:
    • 如果为 NSX 部署中注册的任何 VMware vCenter 服务器激活了多 NSX,则无法在 VMware vCenter 中为项目创建文件夹。
    • 相反,如果在打开了在 vCenter 文件夹中组织 NSX 端口组切换开关的情况下在 NSX 中创建了项目,则无法为在 NSX 部署中注册为计算管理器的 VMware vCenter 服务器激活多 NSX

    打开此切换开关时,该设置将传播到在此项目中添加的所有 NSX VPC。但是,此设置在 NSX VPC 中是只读的,无法在 VPC 中覆盖。

    要了解为项目打开此切换开关时在 VMware vCenter 中创建的文件夹层次结构,请参见示例:组织 VMware vCenter 文件夹中的 NSX 端口组

    项目和 VPC 文件夹的层次结构组织有助于 vSphere 管理员轻松管理 VMware vCenter 中的 NSX 端口组。例如,假设 vSphere 管理员希望为名为“Tom”的 vSphere 用户分配 VPC X 中所有 10 个 NSX 端口组的只读权限,则 vSphere 管理员可以在 VPC X 文件夹上为 Tom 分配只读权限,并选择将此权限传播给此文件夹中的所有子项。

    文件夹层次结构的另一个优势在于,如果在默认空间、项目和 VPC 中使用相同的名称创建 NSX 分段,则更容易在 vSphere Client UI 的清单窗格中找到这些分段。这是因为与项目中的分段对应的 NSX 端口组和 VPC 中的子网分组在其各自的项目和 VPC 文件夹下。

    与默认空间中的分段对应的 NSX 端口组并未组织在 VMware vCenter 文件夹中。这些 NSX 端口组放置在 vSphere Distributed Switch (VDS) 对象下。

    项目和 VPC 文件夹的生命周期由 NSX 管理。vSphere 用户无法重命名、移动或删除项目或 VPC 文件夹,因为这些文件夹由 NSX 所拥有。在 NSX 中删除项目或 VPC 时,将从 VMware vCenter 中删除相应的文件夹。在类似的行中,在 NSX 重命名项目或 VPC 时,VMware vCenter 中相应的文件夹名称也会发生更改。

    VMware vCenter 中,允许对 NSX 创建的文件夹和端口组执行以下操作:
    • vSphere 用户或组分配权限。

      例如,通过将分配网络特权与文件夹的用户或组相关联,vSphere 管理员可以限制哪些用户可将工作负载虚拟机连接到属于 NSX 项目或 VPC 的端口组。

    • 添加/启用/禁用警报。
    • 分配或移除 vSphere 标记。
    • 使用 NSX Manager UI 编辑 NSX 端口组。

    保存项目后,您可以根据需要关闭此切换开关。此操作不会影响连接到项目分段或 NSX VPC 子网的工作负载。只有 VMware vCenterNSX 端口组的放置位置发生变化。也就是说,关闭此切换开关后,将删除项目和 VPC 文件夹,且 NSX 端口组会移至 VMware vCenter 中的 VDS 对象下。

  10. 使用激活默认分布式防火墙规则切换开关可为此项目开启或关闭默认分布式防火墙规则。

    默认 DFW 规则允许项目内各工作负载虚拟机之间的通信,包括与 DHCP 服务器的通信。将阻止所有其他通信。

    只有在授权系统使用分布式防火墙安全功能的 NSX 部署中应用相应的安全许可证时,才能编辑此切换开关。此设置将仅开启/关闭项目的默认分布式防火墙规则。它不会关闭项目中的分布式防火墙。

    例如,如果在 NSX 平台中激活了分布式防火墙服务,您仍然可以停用项目的默认防火墙规则。在这种情况下,将对项目应用在默认空间中配置的系统范围的默认分布式防火墙规则。

    有关不同场景下项目中激活默认分布式防火墙规则切换开关的默认状态的说明,请参见 NSX 项目默认防火墙规则:许可注意事项

  11. (可选) 输入项目的描述。
  12. (可选)输入此项目的任何标记。
  13. 单击保存

下一步做什么

如果打开了项目的在 vCenter 文件夹中组织 NSX 端口组切换开关,请执行以下步骤:

  1. 检查该项目的状态。在 VMware vCenter 中成功创建文件夹后,状态为成功。此状态表示的是在创建此项目时,NSXVMware vCenter 中创建的所有文件夹的整体或合并状态。

    如果该切换开关旁的整体状态显示为失败,请检查错误详细信息以了解失败的原因。

    失败情况示例:
    • 如果在实现文件夹时 VMware vCenter 服务器关闭,则文件夹创建可能失败。NSX 将无法与 VMware vCenter 通信。在这种情况下,项目的整体文件夹状态为失败NSX 将尝试以预定义的时间间隔再次创建文件夹,直到状态更改为成功
    • 如果 NSX Manager 节点上的 cm-inventory 服务关闭,则文件夹创建可能失败。

      NSX Manager 使用此服务从 VMware vCenter 动态检索有关 VDS 或主机的信息。此服务的组成员关闭时,将在 NSX Manager 中显示一条属于分类功能的警报。

  2. 登录到 vSphere Client,打开清单窗格,然后验证是否已创建项目和 VDS 文件夹。

    例如,假设您已在 NSX 部署中添加了两个名为 Project-1、Project-2 和 Project-3 的项目,并且这些项目的在 vCenter 文件夹中组织 NSX 端口组切换开关已打开。以下屏幕截图显示在数据中心对象内创建了一个名为 NSX Managed Folders 的根文件夹。“项目”文件夹和其他文件夹都在根文件夹中创建。

    其中每个项目文件夹中都包含针对每个 VPC 和分段的文件夹。而每个 VPC 都有针对每个子网的子文件夹。在分段和子网文件夹内,用户可以找到映射到此分段/子网的所有 NSX 端口组。
    注: 单个 NSX 分段或子网为每个 VDS 创建一个 NSX 端口组,且所有端口组的名称都相同。所有这些端口组都将在重新组合了分段或子网的文件夹下重新组合。

    周围文本对该屏幕截图进行了说明。

    之后,在项目中添加分段,或在项目中添加 NSX VPC,或在 VPC 中添加子网时,它们将组织在 VMware vCenter 中的文件夹内。