Mit Projekten können Sie Netzwerk- und Sicherheitskonfigurationen mandantenübergreifend in einer einzelnen NSX-Bereitstellung isolieren.
Voraussetzungen
Ihnen muss die Rolle des Enterprise-Administrators zugewiesen sein.
Prozedur
- Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
- Klicken Sie auf Standard und anschließend auf Verwalten.
- Klicken Sie auf Projekt hinzufügen.
- (Erforderlich) Geben Sie einen Namen für das Projekt ein.
- Wählen Sie ein Tier-0- oder Tier-0-VRF-Gateway aus, das von den Arbeitslasten in diesem Projekt für die Nord-Süd-Konnektivität mit dem physischen Netzwerk außerhalb von NSX verwendet werden kann.
Sie können bei Bedarf mehrere Gateways auswählen. Wenn kein Gateway ausgewählt ist, verfügen die Arbeitslasten im Projekt nicht über Nord-Süd-Konnektivität.
Hinweis: Standardmäßig wird das Projekt in der Standard-Overlay-Transportzone des Systems erstellt. Aus diesem Grund werden die Tier-0-/VRF-Gateways, die der Standard-Transportzone zugeordnet sind, im Dropdown-Menü angezeigt.Ein Tier-0- oder Tier-0-VRF-Gateway kann mehreren Projekten zugewiesen werden. Demnach verhindert die Zuteilung eines Tier-0/VRF-Gateways zu einem Projekt (z. B. Projekt 1) nicht, dass es auch anderen Projekten zugeteilt werden kann (z. B. Projekt 2 und Projekt 3).
- Wählen Sie einen Edge-Cluster aus, der diesem Projekt zugeordnet werden soll.
Die ausgewählten Edge-Cluster können zukünftig im Projekt verwendet werden. Die Edge-Cluster können beispielsweise für die Ausführung zentraler Dienste wie NAT, Gateway-Firewall, DHCP usw. verwendet werden, die Sie auf den Tier-1-Gateways innerhalb des Projekts konfigurieren. Wenn Sie NSX-VPCs im Projekt hinzufügen, werden dieselben Edge-Cluster für die Bereitstellung zentraler Dienste für die Arbeitslasten in den VPCs verbraucht.
Das Projekt kann mit denselben Edge-Clustern verknüpft werden, die vom Tier-0-/Tier-0-VRF-Gateway verwendet werden, das dem Projekt zugewiesen ist. Bei Bedarf können Sie dem Projekt und dem Tier-0-/Tier-0-VRF-Gateway separate Edge-Cluster zuordnen. Ein Edge-Cluster kann mehreren Projekten zugewiesen werden. Das bedeutet, dass die Zuteilung eines Edge-Clusters zu einem Projekt (z. B. Projekt 1) nicht verhindert, dass es auch anderen Projekten zugeteilt werden kann (z. B. Projekt 2 und Projekt 3).
Hinweis: Die Edge-Cluster, die der Standard-Overlay-Transportzone zugeordnet sind, werden im Dropdown-Menü angezeigt. - Wählen Sie im Feld Externe IPv4-Blöcke einen oder mehrere vorhandene IPv4-Blöcke aus.
Die ausgewählten IPv4-Blöcke stehen Ihnen zur Verfügung, wenn Sie öffentliche Subnetze in den NSX-VPCs innerhalb des Projekts hinzufügen. Das System weist den öffentlichen Subnetzen in den NSX-VPCs CIDR-Blöcke aus diesen externen IPv4-Blöcken zu. VPC-Benutzer können auch die externen IP-Blöcke zum Hinzufügen von NAT-Regeln in den NSX-VPCs verwenden.
Wenn keine IPv4-Blöcke zur Auswahl stehen, klicken Sie auf das
und dann auf Neu erstellen, um einen IP-Adressblock hinzuzufügen.Die externen IPv4-Blöcke dürfen sich in einem Projekt nicht überlappen. Sie dürfen sich auch nicht auf demselben Tier-0-Gateway überlappen.
Angenommen, Projekt A ist mit Tier-0-Gateway A und Projekt B mit Tier-0-Gateway B verbunden. Die Tier-0-Gateways dieser beiden Projekte sind isoliert. In diesem Fall können die Projekte A und B dieselben oder überlappende externe IP-Blöcke verwenden, da sie mit separaten Tier-0-Gateways verbunden sind.
- Geben Sie im Textfeld Kurzer Protokollbezeichner eine Zeichenfolge ein, über die das System die Protokolle identifizieren kann, die im Kontext dieses Projekts generiert werden.
Der kurze Protokollbezeichner wird auf die Sicherheitsprotokolle und Überwachungsprotokolle angewendet.
Wenn Sie ein Tier-0-/VRF-Gateway für ein Projekt reserviert haben, indem Sie den Parameter dedicated_resources in der project-API konfigurieren, wird der kurze Protokollbezeichner an die Protokollmeldungen angehängt, die im Edge-Syslog für die zentralisierten Dienste generiert werden, die auf dem Tier-0-/VRF-Gateway ausgeführt werden. Weitere Informationen finden Sie unter Aktivieren des Projektkontexts im NSX Edge-Syslog.
Der Bezeichner muss für alle Projekte in Ihrer NSX-Umgebung eindeutig sein.
Der Bezeichner darf acht alphanumerische Zeichen nicht überschreiten. Wenn er nicht angegeben wird, generiert ihn das System automatisch, sobald Sie das Projekt speichern. Nachdem der Bezeichner festgelegt wurde, kann er nicht mehr geändert werden.
- Verwenden Sie die Umschaltoption Standardregeln für verteilte Firewalls aktivieren, um die Standardregeln für verteilte Firewalls für dieses Projekt ein- oder auszuschalten.
Die standardmäßigen DFW-Regeln ermöglichen die Kommunikation zwischen Arbeitslast-VMs innerhalb des Projekts, einschließlich der Kommunikation mit dem DHCP-Server. Alle anderen Kommunikationen werden blockiert.
Diese Umschaltoption kann nur bearbeitet werden, wenn Sie eine entsprechende Sicherheitslizenz in Ihrer NSX-Bereitstellung anwenden, die dem System die Berechtigung für die Sicherheitsfunktion der verteilten Firewall erteilt. Über diese Einstellung werden nur die standardmäßigen Regeln für verteilte Firewalls für das Projekt ein- bzw. ausgeschaltet. Die verteilte Firewall wird im Projekt nicht ausgeschaltet.
Wenn beispielsweise der Dienst für verteilte Firewalls auf Ihrer NSX-Plattform aktiviert ist, können Sie die standardmäßigen Firewallregeln des Projekts weiterhin deaktivieren. In diesem Fall werden die systemweiten Standardregeln für verteilte Firewalls, die im Standardspeicher konfiguriert sind, auf das Projekt angewendet.
In der folgenden Tabelle wird der Standardstatus der Umschaltoption Standardregeln für verteilte Firewalls aktivieren im Projekt für verschiedene Szenarien erläutert. Der in dieser Tabelle verwendete Begriff „Basislizenz“ bezieht sich auf eine der beiden folgenden Lizenzen:
- NSX Networking for VMware Cloud Foundation
- Lösungslizenz für VCF
Ser. No. Szenario Standardzustand der Umschaltoption Anmerkungen 1
Sie sind ein neuer NSX-Kunde und haben eine Basislizenz angewendet, die das System nun für NSX-Netzwerkfunktionen berechtigt.
Aus
Diese Umschaltoption kann nicht bearbeitet werden, da die aktuell angewendete Lizenz die Konfiguration von Sicherheitsregeln für verteilte Firewalls nicht unterstützt.
Sie müssen die entsprechende Sicherheitslizenz im System anwenden und dann die Umschaltoption aktivieren, um die standardmäßigen Regeln für verteilte Firewalls im Projekt zu aktivieren.
2
Sie sind ein neuer NSX-Kunde. Am Tag 0 haben Sie eine Basislizenz angewendet, die das System für NSX-Netzwerkfunktionen berechtigt. Sie haben auch eine geeignete Sicherheitslizenz angewendet, die das System für die Sicherheit der verteilten Firewall berechtigt.
Ein
Die Standardregeln für verteilte Firewalls sind für das Projekt aktiviert.
Sie können sie bei Bedarf im Projekt deaktivieren.
3
Sie sind ein neuer NSX-Kunde. Am Tag 0 haben Sie nur die Basislizenz angewendet, die das System lediglich für NSX-Netzwerkfunktionen berechtigt. Sie haben einige Projekte zum System hinzugefügt, z. B. Projekte A und B
Während des Betriebs an Tag-2-Vorgängen haben Sie eine entsprechende Sicherheitslizenz angewendet, die das System für die Sicherheit der verteilten Firewall berechtigt.
Nun haben Sie benutzerdefinierte Regeln für die verteilte Firewall in den vorhandenen Projekten A und B hinzugefügt und auch neue Projekte im System erstellt, die Projekte C und D.
Aus: für bereits vorhandene Projekte im System
Ein: für neue Projekte im System
In diesem Szenario bezieht sich der Begriff „bereits vorhandene Projekte“ auf Projekte, die im System vorhanden waren, bevor die Sicherheitslizenz am Tag 2 angewendet wurde. In diesem Szenario beziehen sie sich auf die Projekte A und B. Der Begriff „neue Projekte“ bezieht sich auf Projekte, die im System hinzugefügt werden, nachdem die Sicherheitslizenz an Tag 2 angewendet wurde. In diesem Szenario beziehen sie sich auf die Projekte C und D.
Bei bereits vorhandenen Projekten A und B sieht das Systemverhalten wie folgt aus:
Diese Umschaltoption befindet sich standardmäßig im Zustand „Aus“. Die benutzerdefinierten DFW-Regeln sind in den Projekten A und B wirksam. Wenn Sie die standardmäßigen Regeln für verteilte Firewalls in diesen Projekten aktivieren möchten, öffnen Sie diese Projekte im Bearbeitungsmodus und aktivieren Sie diese Umschaltoption manuell. Wenn die Option aktiviert ist, kann sich dies jedoch auf das Verhalten des horizontalen Datenverkehrs in den Projekten A und B auswirken.
Für die neuen Projekte C und D sieht das Systemverhalten wie folgt aus:
Diese Umschaltoption hat standardmäßig den Status „Ein“. Für die Projekte C und D sind also die standardmäßigen Regeln für verteilte Firewalls standardmäßig aktiviert. Sie können sie bei Bedarf deaktivieren, sodass nur die benutzerdefinierten Regeln für verteilte Firewalls für diese Projekte wirksam sind.
4
Sie sind ein Bestandskunde von NSX mit einer Legacy-NSX-Lizenz, die Ihrem System vollständigen Zugriff auf DFW gewährt.
Nach Ablauf der Legacy-Lizenz haben Sie eine Basislizenz angewendet, die Ihrem System die Berechtigung für NSX-Netzwerkfunktionen erteilt. Außerdem haben Sie eine Sicherheitslizenz angewendet, die Ihr System für Sicherheit durch verteilte Firewalls berechtigt.
Ein
Die standardmäßigen Regeln für verteilte Firewalls und benutzerdefinierte Regeln für verteilte Firewalls werden weiterhin in vorhandenen Projekten ausgeführt, die Sie vor der Umstellung auf die neue Lizenz erstellt haben. Es gibt keine Änderungen am Systemverhalten.
Für alle neuen Projekte, die Sie nach der Umstellung der Lizenz hinzufügen, ist diese Umschaltoption standardmäßig aktiviert. Sie können sie optional bei Bedarf deaktivieren.
5
Sie sind ein Bestandskunde von NSX mit einer Legacy-NSX-Lizenz, die Ihrem System vollständigen Zugriff auf DFW gewährt. Sie haben zwei Projekte zum System hinzugefügt, z. B. Projekte A und B
Nach Ablauf der aktuellen Legacy-Lizenz haben Sie die Basislizenz angewendet, die Ihrem System nur die Berechtigung für NSX-Netzwerkfunktionen erteilt. Die Sicherheitslizenz wird nicht angewendet.
Nun haben Sie zwei neue Projekte im System erstellt, Projekt C und D.
Ein: für bereits vorhandene Projekte
Aus: für neue Projekte
In diesem Szenario bezieht sich der Begriff „bereits vorhandene Projekte“ auf Projekte, die dem System hinzugefügt wurden, als die Legacy-NSX-Lizenz gültig war. In diesem Szenario beziehen sie sich auf die Projekte A und B. Der Begriff „neue Projekte“ bezieht sich auf Projekte, die im System hinzugefügt werden, nachdem die Basislizenz angewendet wurde. In diesem Szenario beziehen sie sich auf die Projekte C und D.
Bei bereits vorhandenen Projekten A und B sieht das Systemverhalten wie folgt aus:
Diese Umschaltoption hat standardmäßig den Status „Ein“. Sie können sie bei Bedarf deaktivieren. Diese Aktion kann jedoch nicht rückgängig gemacht werden. Das heißt, Sie können die standardmäßigen horizontalen Firewallregeln in den Projekten A und B nicht erneut aktivieren.
Die standardmäßigen Regeln für verteilte Firewalls und die benutzerdefinierten Regeln für verteilte Firewalls werden weiterhin in den Projekten A und B ausgeführt. Sie können diese Regeln jedoch nicht bearbeiten. Sie können auch keine neuen Regeln für verteilte Firewalls hinzufügen. Sie können jedoch die vorhandenen benutzerdefinierten Firewallregeln löschen.
Um vollständigen Zugriff auf die Regeln für verteilte Firewalls zu haben, müssen Sie eine entsprechende Sicherheitslizenz anwenden.
Für die neuen Projekte C und D sieht das Systemverhalten wie folgt aus:
Diese Umschaltoption hat standardmäßig den Zustand „Aus“. Sie können sie nicht einschalten, da die aktuell angewendete Lizenz dem System keine Berechtigung für die Funktion der verteilten Firewall erteilt.
6 Sie sind ein neuer NSX-Kunde und Ihr System hat in einen Testmodus gewechselt, der 60 Tage gültig ist.
Aus
Während des Testzeitraums einer neuen NSX-Bereitstellung ist das System nur für Netzwerkfunktionen berechtigt. Für die Sicherheitsfunktionen haben Sie keine Berechtigung.
- Geben Sie optional eine Beschreibung für das Projekt ein.
- Klicken Sie auf Speichern.
