In einer NSX-Umgebung mit mehreren Mandanten können Sie unter Projekten eine Teilmenge der NSX-Funktionen konfigurieren.

Dies bietet Flexibilität für die Mandanten und ermöglicht Enterprise-Administratoren und anderen Administratoren des Standardbereichs, den gesamten Systemlebenszyklus und die Konnektivität zu kontrollieren.

Tabelle 1. Unter Projekten verfügbare Funktionen

NSX-Funktion

Unter Projekten verfügbar

Anmerkungen

System

Edge-Cluster

Während der Projekterstellung zugewiesen

Während der Projekterstellung weist der Enterprise-Administrator einem Projekt einen Edge-Cluster aus dem Standardbereich zu.

Systemlebenszyklus

Vom Enterprise-Administrator verwaltet

Plattformweite Vorgänge wie Installation, Upgrade und Sicherung werden vom Unternehmensadministrator verwaltet.

Zertifikate

Ja

Zertifikatsverwaltungsaufgaben sind unter Projekten nur für Dienstzertifikate verfügbar.

Netzwerke

Tier-0- oder Tier-0-VRF-Gateway

Während der Projekterstellung zugewiesen

Während der Projekterstellung weist der Enterprise-Administrator einem Projekt ein Tier-0-Gateway oder ein Tier-0-VRF-Gateway aus dem Standardbereich zu.

Die Dienste auf dem Tier-0-Gateway werden vom Enterprise-Administrator aus dem Standardbereich verwaltet.

Dynamisches Routing (BGP/OSPF)

Vom Enterprise-Administrator verwaltet

Dynamisches Routing wird auf dem Tier-0-Gateway oder Tier-0-VRF-Gateway vom Enterprise-Administrator konfiguriert.

EVPN

Vom Enterprise-Administrator verwaltet

EVPN wird auf dem Tier-0-Gateway oder Tier-0-VRF-Gateway vom Enterprise-Administrator konfiguriert.

Tier-1-Gateway

Ja

Statisches Routing

Ja

Statisches Routing auf dem Tier-1-Gateway wird vom Projektadministrator konfiguriert.

Overlay-Segmente

Ja

VLAN-Segmente

Nein

Segmentprofile

  • SpoofGuard
  • IP Discovery
  • MAC Discovery
  • Segmentsicherheit
  • QoS

Ja

L2-Bridge

Nein

L2-VPN

Ja

Auf jedem Tier-1-Gateway des Projekts können Sie nur einen L2-VPN-Dienst konfigurieren.

IPSec-VPN (L3 VPN)

Ja

Auf jedem Tier-1-Gateway des Projekts können Sie nur einen IPSec-Dienst konfigurieren.

Für die Konfiguration von routenbasiertem IPSec-VPN werden statische Routen unterstützt. Dynamisches Routing mit virtueller Tunnelschnittstelle (VTI) unter Verwendung von BGP wird auf dem Tier-1-Gateway des Projekts nicht unterstützt.

NAT

Ja

Load Balancer

Nein

DNS-Weiterleitung

  • DNS-Dienste
  • DNS-Zonen

Ja

IP-Adresspools/IP-Adressblöcke

Ja

IPv6-Profile (DAD/ND)

Ja

Gateway-QoS-Profile

Ja

DHCP- und DHCP-Relay

Ja

Sicherheit

Verteilte Firewall

Ja

Nur für VMs, die mit Segmenten in einem Projekt verbunden sind. Firewallregeln, die vom Enterprise-Administrator im Standardbereich verwaltet werden, haben die höchste Priorität, gefolgt von den Projektrichtlinien.

DFW-Richtlinien mit Antrea-Gruppen in den Angaben für „Quellen“, „Ziele“ oder „Angewendet auf“ der Firewallregeln werden unter Projekten nicht unterstützt.

Ausschlussliste

Vom Enterprise-Administrator verwaltet

Die Ausschlussliste schließt eine VM von allen Firewall-Anwendungsregeln aus.

Gateway-Firewall

Ja

Der Enterprise-Administrator und der Projektadministrator können die Gateway-Firewallregeln auf den Tier-1-Gateways des Projekts nur im Kontext eines Projekts verwalten. Der Projektadministrator kann die vom Enterprise-Administrator erstellten Gateway-Firewallregeln im Projekt löschen oder ändern.

Identitätsbasierte Firewall

Nein

Die identitätsbasierte Firewall ist unter Projekten nicht verfügbar. Identitätsbasierte Firewallregeln können nur im Standardspeicher konfiguriert werden. Diese Regeln können auf VMs innerhalb von Projekten angewendet werden.

Verteilte IDS/IPS

Ja (ab NSX 4.1.1)

Nein (in NSX 4.1)

Gateway IDS/IPS

Malware-Schutz

TLS-Entschlüsselung

Nein

TLS-Prüfung

FQDN-Filterung

URL-Filterung

Nein

Ja

Ja

Das FQDN-Analyse-Dashboard wird dem Projektadministrator nicht angezeigt. Es steht nur dem Enterprise-Administrator zur Verfügung.

Firewallprofile

  • Sitzungs-Timer
  • Flood Protection
  • DNS-Sicherheit

Ja

Bestand

Dienste

Ja

Gruppen (statische und dynamische Mitgliedschaften)

Ja

Kubernetes-Mitgliedstypen sind unter einem Projekt nicht für das Erstellen dynamischer Mitgliedschaftskriterien verfügbar.

Antrea-Gruppen

Nein

Kontextprofile/L7-Zugriffsprofile

Ja

Tags

Ja

Virtuelle Maschinen (Sichtbarkeit/Tagging)

Ja

Nur für VMs, die mit Segmenten in einem Projekt verbunden sind.

Containercluster

Nein

Kubernetes-Ressourcen in Antrea-Kubernetes-Clustern, die bei NSX registriert sind, werden nicht in der Projektbestandsliste angezeigt.

Planen und Fehler beheben

Traceflow

Ja

Traceflow kann nur VMs und Ports verwenden, die Teil des Projekts sind. Wenn das Ziel eine IP-Adresse ist, die zu einem anderen Projekt weiterleitet, werden diese Details in der Traceflow-Ausgabe ausgeblendet.

Antrea-Traceflow

Nein

Analyse des Live-Datenverkehrs

Nein

IPFIX

Vom Enterprise-Administrator verwaltet

IPFIX wird zentral vom Enterprise-Administrator im Standardbereich verwaltet.

Port-Mirroring

Vom Enterprise-Administrator verwaltet

Die Portspiegelung wird zentral vom Enterprise-Administrator im Standardbereich konfiguriert.

NSX Intelligence

Nein

NSX Intelligence-Funktionen werden für den Projektadministrator nicht angezeigt. Ausschließlich der NSX-Enterprise-Administrator hat vollständigen Zugriff auf alle NSX Intelligence-Funktionen.

Die NSX Intelligence-Funktionen (Visualisierung des Netzwerkflusses, Empfehlungen zur Mikrosegmentierung und Analyse verdächtigen Datenverkehrs) sind nicht projektfähig. Diese Funktionen funktionieren mit allen Netzwerkdatenverkehrsflussdaten innerhalb Ihrer gesamten lokalen NSX-Umgebung. Wenn die Mehrmandantenfähigkeit genutzt wird, d. h., wenn Projekte in Ihrer NSX-Umgebung definiert sind, zeigt NSX Intelligence alle NSX-Objekte an, die sich im Standardspeicher befinden, sowie alle NSX-Objekte aus allen Projekten. Dies passiert unabhängig davon, ob Sie die Ansicht Standard oder die Ansicht Alle Projekte nutzen.