Mit Projekten können Sie Netzwerk- und Sicherheitskonfigurationen mandantenübergreifend in einer einzelnen NSX-Bereitstellung isolieren.

Voraussetzungen

Ihnen muss die Rolle des Enterprise-Administrators zugewiesen sein.

Prozedur

  1. Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
  2. Klicken Sie auf Standard und anschließend auf Verwalten.
  3. Klicken Sie auf Projekt hinzufügen.
  4. (Erforderlich) Geben Sie einen Namen für das Projekt ein.
  5. Wählen Sie ein Tier-0- oder Tier-0-VRF-Gateway aus, das von den Arbeitslasten in diesem Projekt für die Nord-Süd-Konnektivität mit dem physischen Netzwerk außerhalb von NSX verwendet werden kann.

    Sie können bei Bedarf mehrere Gateways auswählen. Wenn kein Gateway ausgewählt ist, verfügen die Arbeitslasten im Projekt nicht über Nord-Süd-Konnektivität.

    Hinweis: Standardmäßig wird das Projekt in der Standard-Overlay-Transportzone des Systems erstellt. Aus diesem Grund werden die Tier-0-/VRF-Gateways, die der Standard-Transportzone zugeordnet sind, im Dropdown-Menü angezeigt.

    Ein Tier-0- oder Tier-0-VRF-Gateway kann mehreren Projekten zugewiesen werden. Demnach verhindert die Zuteilung eines Tier-0/VRF-Gateways zu einem Projekt (z. B. Projekt 1) nicht, dass es auch anderen Projekten zugeteilt werden kann (z. B. Projekt 2 und Projekt 3).

  6. Wählen Sie einen Edge-Cluster aus, der diesem Projekt zugeordnet werden soll.

    Die ausgewählten Edge-Cluster können zukünftig im Projekt verwendet werden. Die Edge-Cluster können beispielsweise für die Ausführung zentraler Dienste wie NAT, Gateway-Firewall, DHCP usw. verwendet werden, die Sie auf den Tier-1-Gateways innerhalb des Projekts konfigurieren. Die mit dem Projekt verknüpften Tier-0-Gateways müssen nicht unbedingt von den mit dem Projekt verknüpften Edge-Clustern ausgeführt werden.

    Auf Projektebene angegebene Edge-Cluster werden für zentrale Dienste (NAT, Gateway-Firewall, VPN, DHCP) benötigt. Wenn keine Dienste benötigt werden, kann der Edge-Cluster übersprungen werden.

    Ein Edge-Cluster kann mehreren Projekten zugewiesen werden. Das bedeutet, dass die Zuteilung eines Edge-Clusters zu einem Projekt (z. B. Projekt 1) nicht verhindert, dass es auch anderen Projekten zugeteilt werden kann (z. B. Projekt 2 und Projekt 3).

    Hinweis: Die Edge-Cluster, die der Standard-Overlay-Transportzone zugeordnet sind, werden im Dropdown-Menü angezeigt.
  7. Wählen Sie im Feld Externe IPv4-Blöcke einen oder mehrere vorhandene IPv4-Blöcke aus.

    Die ausgewählten IPv4-Blöcke stehen Ihnen zur Verfügung, wenn Sie öffentliche Subnetze in den NSX-VPCs innerhalb des Projekts hinzufügen. Das System weist den öffentlichen Subnetzen in den NSX-VPCs CIDR-Blöcke aus diesen externen IPv4-Blöcken zu. VPC-Benutzer können auch die externen IP-Blöcke zum Hinzufügen von NAT-Regeln in den NSX-VPCs verwenden.

    Wenn keine IPv4-Blöcke zur Auswahl stehen, klicken Sie auf das Menü „Aktionen“ und dann auf Neu erstellen, um einen IP-Adressblock hinzuzufügen.

    Die externen IPv4-Blöcke dürfen sich in einem Projekt nicht überlappen. Sie dürfen sich auch nicht auf demselben Tier-0-Gateway überlappen.

    Angenommen, Projekt A ist mit Tier-0-Gateway A und Projekt B mit Tier-0-Gateway B verbunden. Die Tier-0-Gateways dieser beiden Projekte sind isoliert. In diesem Fall können die Projekte A und B dieselben oder überlappende externe IP-Blöcke verwenden, da sie mit separaten Tier-0-Gateways verbunden sind.

  8. Geben Sie im Textfeld Kurzer Protokollbezeichner eine Zeichenfolge ein, über die das System die Protokolle identifizieren kann, die im Kontext dieses Projekts generiert werden.

    Der kurze Protokollbezeichner wird auf die Sicherheitsprotokolle und Überwachungsprotokolle angewendet.

    Wenn Sie ein Tier-0-/VRF-Gateway für ein Projekt reserviert haben, indem Sie den Parameter dedicated_resources in der project-API konfigurieren, wird der kurze Protokollbezeichner an die Protokollmeldungen angehängt, die im Edge-Syslog für die zentralisierten Dienste generiert werden, die auf dem Tier-0-/VRF-Gateway ausgeführt werden. Weitere Informationen finden Sie unter Aktivieren des Projektkontexts im NSX Edge-Syslog.

    Der Bezeichner muss für alle Projekte in Ihrer NSX-Umgebung eindeutig sein.

    Der Bezeichner darf acht alphanumerische Zeichen nicht überschreiten. Wenn er nicht angegeben wird, generiert ihn das System automatisch, sobald Sie das Projekt speichern. Nachdem der Bezeichner festgelegt wurde, kann er nicht mehr geändert werden.

  9. Aktivieren Sie die Umschaltoption Organisieren von NSX-Portgruppen in vCenter-Ordnern, wenn vom System Ordner für dieses Projekt auf dem VMware vCenter Server® erstellt werden sollen.

    Diese Umschaltoption ist standardmäßig deaktiviert.

    Hinweis: Diese Umschaltfläche kann nur angewendet werden, wenn VMware vCenter Server, die bei Ihrer NSX-Bereitstellung registriert sind, die Version 8.0 Update 3 oder höher aufweisen.
    Wenn das System bei aktivierter Umschaltoption erkennt, dass VMware vCenter eine Version vor 8.0 Update 3 aufweist, wird eine Warnmeldung angezeigt, und diese Einstellung wird im Projekt nicht erzwungen. Folglich werden keine Ordner für das Projekt in VMware vCenter erstellt.
    Wichtig:
    • Wenn Multi-NSX für einen beliebigen VMware vCenter Server aktiviert ist, der bei Ihrer NSX-Bereitstellung registriert sind, können keine Ordner für das Projekt in VMware vCenter erstellt werden.
    • Wenn Sie dagegen ein Projekt in NSX mit aktivierter Umschaltoption Organisieren von NSX-Portgruppen in vCenter-Ordnern erstellt haben, können Sie Multi-NSX für die VMware vCenter Server, die als Compute Manager in Ihrer NSX-Bereitstellung registriert sind, nicht aktivieren.

    Wenn Sie diese Umschaltoption aktivieren, wird die Einstellung an alle NSX VPCs weitergegeben, die diesem Projekt hinzugefügt wurden. Diese Einstellung ist in einem NSX VPC jedoch schreibgeschützt und kann in der VPC nicht außer Kraft gesetzt werden.

    Informationen zur Ordnerhierarchie, die in VMware vCenter erstellt wird, wenn diese Umschaltoption für das Projekt aktiviert ist, finden Sie unter Beispiel: Verwalten von NSX-Portgruppen in VMware vCenter-Ordnern.

    Die hierarchische Organisation der Projekt- und VPC-Ordner unterstützt den vSphere-Administrator bei der Verwaltung der NSX-Portgruppen in VMware vCenter. Beispiel: Der vSphere-Administrator möchte eine Berechtigung vom Typ Schreibgeschützt einem vSphere-Benutzer namens „Tom“ für alle 10 NSX-Portgruppen in VPC X zuweisen. Der vSphere-Administrator kann Tom die Berechtigung Schreibgeschützt im Ordner VPC X zuweisen und diese Berechtigung an alle untergeordneten Ordner in diesem Ordner weitergeben.

    Ein weiterer Vorteil der Ordnerhierarchie besteht darin, dass NSX-Segmente, die mit demselben Namen im Standardbereich, im Projekt und in der VPC erstellt werden, im Bereich Bestandsliste der vSphere Client-Benutzeroberfläche leichter auffindbar sind. Der Grund hierfür ist, dass die NSX-Portgruppen, die Segmenten im Projekt und in den Subnetzen in der VPC entsprechen, unter den jeweiligen Projekt- und VPC-Ordnern zusammengefasst werden.

    NSX-Portgruppen, die mit Segmenten im Standardbereich übereinstimmen, werden nicht in VMware vCenter-Ordnern verwaltet. Diese NSX-Portgruppen werden unter dem VDS-Objekt (vSphere Distributed Switch) platziert.

    Der Lebenszyklus der Projekt- und VPC-Ordner wird von NSX verwaltet. vSphere Benutzer können die Projekt- oder VPC-Ordner weder umbenennen, verschieben noch löschen, da diese Ordner im Besitz von NSX sind. Wenn ein Projekt oder eine VPC in NSX gelöscht wird, trifft dies auch auf den entsprechenden Ordner in VMware vCenter zu. Ähnliches gilt, wenn Projekte oder VPCs in NSX umbenannt werden und sich die entsprechenden Ordnernamen in VMware vCenter ändern.

    In VMware vCenter sind die folgenden Aktionen für Ordner und Portgruppen zulässig, die von NSX erstellt werden:
    • Weisen Sie vSphere-Benutzern und -Gruppen Berechtigungen zu.

      Beispiel: Durch Zuordnen der Berechtigung Netzwerk zuweisen zu Benutzern und Gruppen für einen Ordner kann der vSphere-Administrator die Benutzer einschränken oder begrenzen, die Arbeitslast-VMs mit den zu NSX-Projekten oder VPCs gehörenden Portgruppen verbinden können.

    • Hinzufügen/Aktivieren/Deaktivieren von Alarmen.
    • Weisen Sie vSphere-Tags zu oder entfernen Sie sie.
    • Bearbeiten Sie NSX-Portgruppen mithilfe der NSX Manager-Benutzeroberfläche.

    Nach dem Speichern des Projekts können Sie diese Umschaltoption bei Bedarf deaktivieren. Diese Aktion wirkt sich nicht auf die Arbeitslasten aus, die mit den Projektsegmenten oder NSX VPC-Subnetzen verbunden sind. Lediglich die Platzierung der NSX-Portgruppen ändert sich in VMware vCenter. Wenn diese Umschaltoption folglich deaktiviert ist, werden die Projekt- und VPC-Ordner gelöscht und die NSX-Portgruppen werden in das Objekt VDS in VMware vCenter verschoben.

  10. Verwenden Sie die Umschaltoption Standardregeln für verteilte Firewalls aktivieren, um die Standardregeln für verteilte Firewalls für dieses Projekt ein- oder auszuschalten.

    Die standardmäßigen DFW-Regeln ermöglichen die Kommunikation zwischen Arbeitslast-VMs innerhalb des Projekts, einschließlich der Kommunikation mit dem DHCP-Server. Alle anderen Kommunikationen werden blockiert.

    Diese Umschaltoption kann nur bearbeitet werden, wenn Sie eine entsprechende Sicherheitslizenz in Ihrer NSX-Bereitstellung anwenden, die dem System die Berechtigung für die Sicherheitsfunktion der verteilten Firewall erteilt. Über diese Einstellung werden nur die standardmäßigen Regeln für verteilte Firewalls für das Projekt ein- bzw. ausgeschaltet. Die verteilte Firewall wird im Projekt nicht ausgeschaltet.

    Wenn beispielsweise ein Dienst für verteilte Firewalls auf Ihrer NSX-Plattform aktiviert ist, können Sie die standardmäßigen Firewallregeln des Projekts weiterhin deaktivieren. In diesem Fall werden die systemweiten Standardregeln für verteilte Firewalls, die im Standardspeicher konfiguriert sind, auf das Projekt angewendet.

    Ein Erläuterung des Standardstatus der Umschaltoption Standardregeln für verteilte Firewalls aktivieren im Projekt in verschiedenen Szenarien finden Sie unter Standardregeln für Firewalls in einem NSX-Projekt: Überlegungen zur Lizenzierung.

  11. Geben Sie optional eine Beschreibung für das Projekt ein.
  12. Geben Sie optional beliebige Tags für dieses Projekt ein.
  13. Klicken Sie auf Speichern.

Nächste Maßnahme

Wenn Sie die Umschaltoption Organisieren von NSX-Portgruppen in vCenter-Ordnern für das Projekt aktiviert haben, führen Sie die folgenden Schritte aus:

  1. Überprüfen Sie den Status des Projekts. Bei erfolgreicher Erstellung von Ordnern in VMware vCenter lautet der Status auf Erfolgreich. Dieser Status stellt den Gesamt- oder konsolidierten Status aller Ordner dar, die bei der Erstellung dieses Projekts von NSX in VMware vCenter angelegt wurden.

    Wenn der Gesamtstatus neben der Umschaltoption als Fehlgeschlagen angezeigt wird, überprüfen Sie die Fehlerdetails, um den Grund für den Fehler zu ermitteln.

    Beispiele für Fehlersituationen:
    • Wenn der VMware vCenter Server beim Anlegen der Ordner nicht verfügbar ist, kann die Ordnererstellung fehlschlagen. NSX kann nicht mit VMware vCenter kommunizieren. In diesem Fall lautet der Gesamtstatus der Ordner für das Projekt auf Fehlgeschlagen. NSX versucht, die Ordner in vordefinierten Intervallen erneut zu erstellen, bis sich der Status in Erfolgreich ändert.
    • Wenn der cm-inventory-Dienst auf dem NSX Manager-Knoten ausgefallen ist, kann die Ordnererstellung fehlschlagen.

      NSX Manager verwendet diesen Dienst, um Informationen über den VDS oder die Hosts dynamisch aus VMware vCenter abzurufen. Wenn die Gruppenmitglieder dieses Diensts ausgefallen sind, wird ein Alarm der Funktion Clustering in NSX Manager angezeigt.

  2. Melden Sie sich beim vSphere Client an, öffnen Sie den Bereich Bestandsliste und stellen Sie sicher, dass die Projekt- und VDS-Ordner erstellt wurden.

    Beispiel: Sie haben zwei Projekte mit dem Namen Projekt-1, Projekt-2 und Projekt-3 zu Ihrer NSX-Bereitstellung hinzugefügt, und die Umschaltoption Organisieren von NSX-Portgruppen in vCenter-Ordnern ist für diese Projekte aktiviert. Die folgende Bildschirmaufnahme zeigt, dass ein Root-Ordner mit dem Namen Verwaltete NSX-Ordner innerhalb des Objekts Datencenter erstellt wird. Die Projektordner und Ordner werden im Root-Ordner erstellt.

    In jedem dieser Projektordner befinden sich Ordner für alle VPCs und Segmente. Jede VPC verfügt dann über Unterordner für jedes Subnetz. In den Segment- und Subnetzordnern kann der Benutzer alle NSX-Portgruppen finden, die diesem Segment/Subnetz zugeordnet sind.
    Hinweis: Ein einzelnes NSX-Segment oder -Subnetz erstellt eine NSX-Portgruppe pro VDS, die alle denselben Namen aufweisen. Alle diese Portgruppen werden unter dem Ordner, der das Segment oder Subnetz neu gruppiert, zusammengefasst.

    Diese Bildschirmaufnahme wird im umgebenden Text beschrieben.

    Wenn Sie später Segmente oder NSX VPCs zu den Projekten oder Subnetze zu den VPCs hinzufügen, werden diese in Ordnern in VMware vCenter verwaltet.