Ein Projekt in NSX ist mit einem Mandanten vergleichbar. Durch das Erstellen von Projekten können Sie Sicherheits- und Netzwerkobjekte mandantenübergreifend in einer einzelnen NSX-Bereitstellung isolieren.

Angenommen, eine Organisation hat NSX an ihrem Standort bereitgestellt. Die gesamten Infrastruktur-, Netzwerk- und Sicherheitskonfigurationen dieser Organisation befinden sich derzeit im Standardspeicher, der sich im Besitz des Enterprise-Administrators befindet. Sie werden später in dieser Dokumentation mehr über den Standardspeicher erfahren.

Diese Organisation hat die folgenden Ziele:
  • Isolieren der Netzwerk- und Sicherheitskonfigurationen für drei Abteilungen: Vertrieb, Marketing und Betrieb.
  • Delegieren der Aufgaben für das Erstellen und Verwalten von Netzwerk- und Sicherheitskonfigurationen für jede Abteilung an eine bestimmte Gruppe von NSX-Benutzern. Vermeiden, dass diese Benutzer alle im System vorhandenen Objekte sehen können.
  • Arbeitslast-VMs innerhalb einer Abteilung dürfen standardmäßig nur mit anderen Arbeitslast-VMs (einschließlich des DHCP-Servers) in derselben Abteilung kommunizieren.
  • Standardmäßiges Blockieren der Kommunikation mit Arbeitslasten außerhalb der Abteilung. Wenn eine solche Kommunikation erforderlich ist, muss das System das Hinzufügen neuer Regeln oder das Ändern vorhandener Regeln in der Standardsicherheitsrichtlinie zulassen.
Um diese Ziele zu erreichen, kann die Organisation mithilfe der Projektfunktion in der NSX-Bereitstellung die Mehrmandantenfähigkeit implementieren. Das Unternehmen kann beispielsweise drei Projekte mit folgenden Namen erstellen:
  • Verkauf
  • Marketing
  • Betrieb

In einer Multi-Tenant-Bereitstellung haben Benutzer in jedem Projekt Zugriff auf Objekte, die sie in ihrem Projekt erstellt haben, und können Objekte (im schreibgeschützten Modus) verbrauchen, die der Enterprise-Administrator im Standardspeicher für ihr Projekt freigegeben hat.

Hinweis: Das Einrichten der Multi-Tenant-Funktion in Ihrer NSX-Bereitstellung ist optional. Die Implementierung hat keine Auswirkungen auf Ihre vorhandene NSX-Konfiguration.

Der Zugriff auf Objekte, die zu einem Projekt gehören, ist von anderen Projekten in derselben Instanz nur dann möglich, wenn die Objekte explizit freigegeben wurden.

Datenmodell für Multi-Tenant-Richtlinien

Das NSX-Richtlinien-Datenmodell ist hierarchisch und verfügt über zwei vom System erstellte Verzweigungen:

  • Der Zweig /infra wird vom Enterprise-Administrator verwaltet. Die Objekte unter diesem Zweig werden in der Ansicht Standard der Benutzeroberfläche angezeigt.

    Im Zweig /infra sind auch andere Benutzerrollen als der Enterprise-Administrator vorhanden. Die Benutzer in diesem Zweig sind nicht an bestimmte Projekte gebunden. Diese Benutzer werden in dieser Dokumentation als „systemweite Benutzer“ bezeichnet. Diese Benutzer können eine Teilmenge der Objekte unter dem Zweig /infra konfigurieren.

    Systemweite Benutzer haben Zugriff auf alle im System vorhandenen Objekte. Das bedeutet, dass sie Zugriff auf Objekte in der Ansicht Standard (Zweig /infra) und in den Projekten haben.

    Teilweise wird in dieser Dokumentation für Objekte unter der Ansicht Standard der Begriff „Standardspeicher“ verwendet. Die Begriffe „Standardspeicher“ und Ansicht Standardwerden daher als Synonyme verwendet. Beide haben dieselbe Bedeutung. Weitere Informationen zur Ansicht Standard finden Sie weiter hinten in der Dokumentation im Unterabschnitt Überblick der Ansicht „Standard“ (Standardspeicher).

  • Der Zweig /orgs/default enthält die Multi-Tenant-Objekte. Jedes Projekt verfügt über seinen eigenen Speicherplatz für die in seinem Besitz befindlichen Objekte.

Projekte werden unter /orgs/default erstellt, um für jeden Mandanten unabhängige Konfigurationssätze für das Netzwerk und die Sicherheit zu unterstützen:

Projektkonfigurationen werden unter /orgs/default/projects/<project-id>/infra eingerichtet.

Das folgende Diagramm veranschaulicht das Datenmodell für die Multi-Tenant-Funktion. Diese Diagramme stellen eine Teilansicht des Datenmodells dar und dienen lediglich dazu, das Konzept zu verstehen. Das Richtliniendatenmodell verfügt über mehrere Objekte, die nicht angezeigt werden.

Die erste Abbildung zeigt den Standardspeicher mit zwei Projekten unter der Organisation. Die nächste Abbildung zeigt die Hierarchie der Objekte in beiden Projekten. Unter der Organisation besitzen die Projekte 1 und 2 ihre jeweils eigene Hierarchie mit NSX-Netzwerk- und -Sicherheitsobjekten, die innerhalb des Projekts erstellt werden. In einem Projekt erstellte Objekte befinden sich im Besitz dieses Projekts.

Tier-0-Gateways und Edge-Cluster befinden sich im Besitz des Standardspeichers und können Projekten unter der Organisation zugeteilt werden. Sie können keine Tier-0-Gateways und Edge-Cluster in einem Projekt erstellen.

Jedes Projekt kann optional über eigene Tier-1-Gateways verfügen, die im Projekt konfiguriert werden müssen. Das bedeutet, dass die Tier-1-Gateways im Besitz des Projekts sein müssen. Ein Projekt kann die im Standardbereich konfigurierten Tier-1-Gateways nicht verwenden.


Datenmodell für Multi-Tenant-Richtlinien zeigt Standardspeicher, Organisation und zwei Projekte unter der Organisation.

Hierarchie der NSX-Objekte in Projekt 1 und Projekt 2 unter der Organisation.

Standardorganisation

Eine NSX-Bereitstellung besitzt eine Standardorganisation. Diese Standardorganisation können Sie weder erstellen, noch ändern oder löschen. Das Organisationsobjekt wird beim Systemstart erstellt. Die Tier-0-Gateways und Edge-Cluster im System können Projekten unter der Organisation zugeteilt werden.

Das Organisationsobjekt wird vom System mit dem folgenden Bezeichner erstellt:

/orgs/default

Das Organisationsobjekt wird auf der Benutzeroberfläche nicht angezeigt.

Grundlegendes zum Dropdown-Menü "Projekt"

Das Dropdown-Menü Project ist in der Anwendungsleiste verfügbar, die sich oben auf der Benutzeroberfläche von NSX Manager befindet. Um dieses Menü anzuzeigen, klicken Sie auf Standard, wie in der folgenden Bildschirmaufnahme gezeigt.


Im Dropdown-Menü "Projekt" wird der Standardbereich angezeigt. Es sind keine vom Benutzer erstellten Projekte vorhanden.

In diesem Menü wird die Liste der Projekte angezeigt, auf die Ihnen Zugriff gewährt wird. Sie können dieses Menü verwenden, um zwischen Projekten zu wechseln und die Objekte in Ihren zugewiesenen Projekten zu verwalten.

Übersicht über die Ansicht „Standard“ (Standardspeicher)

Wenn Sie sich erstmals bei NSX Manager anmelden, wird im Dropdown-Menü Projekt nur die Ansicht Standard angezeigt. Im System sind keine vom Benutzer erstellten Projekte vorhanden, wie der vorherige Screenshot zeigt.

Die Ansicht Standard ist für den Enterprise-Administrator und für die anderen systemweiten Benutzerrollen sichtbar, die keinen spezifischen Projekten zugewiesen sind. Diese Ansicht enthält:
  • Alle Objekte in Ihrer NSX-Fabric, z. B. Hosts, Tier-0-Gateways, Edge-Cluster, Transportzonen usw.
  • Globale, von Benutzern verwaltete Objekte.
  • Objekte unter dem Bereich /infra des hierarchischen Richtliniendatenmodells, z. B. Tier-1-Gateways, Segmente, Gruppen, Firewallrichtlinien usw.
  • Ressourcenfreigaben

Die Ansicht Standard enthält NSX-Objekte, die zu keinem Projekt gehören.

Wenn sich beispielsweise ein Enterprise-Administrator bei NSX Manager anmeldet, wird die Ansicht Standard angezeigt, wie in der folgenden Bildschirmaufnahmen dargestellt. Beachten Sie, dass alle Registerkarten auf der Benutzeroberfläche angezeigt werden. Auf der Seite Übersicht wird eine allgemeine Übersicht der Objekte im Standardbereich angezeigt.


Ansicht „Standard“, die für den Enterprise-Administrator angezeigt wird.

Nachdem eines oder mehrere Projekte in Ihrer NSX-Bereitstellung erstellt wurden, werden diese Projekte im Dropdown-Menü Projekt angezeigt, wie die folgende Bildschirmaufnahme zeigt.


Dropdown-Menü "Projekt" mit drei hervorgehobenen, von Benutzern erstellten Projekten.

Ein Enterprise-Administrator kann alle Projekte im System anzeigen. Andere systemweite Benutzerrollen, z. B. ein Auditor, können ebenfalls alle Projekte im System anzeigen. Benutzer, die bestimmten Projekten mit Rollen zugewiesen sind, z. B. als Projektadministrator, Sicherheitsadministrator, Netzwerkadministrator, Sicherheitsoperator und Netzwerkoperator, können die Projekte anzeigen, auf die sie Zugriff haben.

Wenn sich beispielsweise ein Projektadministrator bei NSX Manager anmeldet, wird die projektspezifische Ansicht angezeigt, wie die folgende Bildschirmaufnahme zeigt. Beachten Sie, dass die Registerkarte System für den Projektadministrator nicht sichtbar ist. Auf der Seite Übersicht wird eine allgemeine Übersicht der im Projekt erstellten Objekte angezeigt.


Ansicht "Projekt", die für den Projektadministrator angezeigt wird.

Wenn Sie ein Upgrade von einer früheren Version von NSX auf NSX 4.1 oder höher durchführen, werden alle vorhandenen Infrastruktur-, Netzwerk- und Sicherheitskonfigurationen im Standardbereich gehostet. Sie können weiterhin den Standardspeicherplatz für alle Netzwerk- und Sicherheitsanforderungen in Ihrer Organisation verwenden. Die Eigenschaften der vorhandenen Netzwerk- und Sicherheitsobjekte oder der Pfad dieser Objekte werden nicht geändert. Das Erstellen von Projekten ist optional.

Wenn Sie Projekte in Ihrer NSX 4.0.1.1-Bereitstellung über die NSX-API erstellen und dann ein Upgrade auf 4.1 oder höher durchführen, werden die Ansicht Standard und die Projektansichten im Dropdown-Menü Projekt aufgeführt. Sie können zwischen den Projektansichten und der Ansicht Standard wechseln, um die Objekte unter den einzelnen Ansichten anzuzeigen. Darüber hinaus wird im Menü Projekt auch die Ansicht Alle Projekte angezeigt, die im folgenden Abschnitt beschrieben wird.

Übersicht der Ansicht „Alle Projekte“
  • Die Ansicht Alle Projekte ist für alle systemweiten Benutzerrollen verfügbar, die keinem bestimmten Projekt zugewiesen sind. Das bedeutet, dass diese Ansicht für alle Benutzer verfügbar ist, die Zugriff auf den Standardspeicher haben. Beispielsweise Enterprise-Administrator, Auditor usw.
  • Diese Ansicht ist im Dropdown-Menü Projekt erst verfügbar, nachdem Ihrer NSX-Bereitstellung mindestens ein Projekt hinzugefügt wurde.
  • Diese Ansicht zeigt die Netzwerk- und Sicherheitskonfigurationen für alle Projekte an, einschließlich des Standardspeichers.
  • Die Objekte in dieser Ansicht werden im schreibgeschützten Modus angezeigt.

In der Ansicht Alle Projekte wird für Netzwerk- und Sicherheitsobjekte neben dem Objektnamen ein kapselförmiges Symbol angezeigt, das angibt, ob sich das Objekt im Besitz des Standardspeichers oder eines Projekts befindet.

Der folgende Screenshot zeigt beispielsweise die Liste der Segmente auf der Seite Segmente. Die grün hervorgehobenen, kapselförmigen Symbole zeigen an, wer das jeweilige Segment besitzt – der Standardspeicher oder das Projekt.


Liste der Segmente mit kapselförmigen Symbolen neben dem Namen des Segments.

NSX Virtuelle Private Clouds

Ab NSX 4.1.1 kann ein Projekt optional eine oder mehrere NSX Virtuelle Private Clouds (VPC) enthalten.

Eine VPC stellt ein eigenständiges privates Netzwerk innerhalb eines NSX-Projekts dar, das Anwendungsentwickler oder DevOps-Ingenieure in Ihrer Organisation verwenden können, um ihre Anwendungen zu hosten und Netzwerk- und Sicherheitsobjekte mithilfe eines Self-Service-Nutzungsmodells zu nutzen.

NSX VPCs können nur in Projekten erstellt werden. Sie können nicht im Standardspeicherplatz erstellt werden.

VPC-Konfigurationen werden unter dem folgenden Pfad des NSX-Richtlinien-Datenmodells eingerichtet:

/orgs/default/projects/<project-id>/vpcs/<vpc-id>

Weitere Informationen zu NSX VPC finden Sie unter NSX Virtuelle Private Clouds.