In einer NSX-Umgebung mit mehreren Mandanten können Sie unter Projekten eine Teilmenge der NSX-Funktionen konfigurieren.
Dies bietet Flexibilität für die Mandanten und ermöglicht Enterprise-Administratoren und anderen Administratoren des Standardbereichs, den gesamten Systemlebenszyklus und die Konnektivität zu kontrollieren.
NSX-Funktion |
Unter Projekten verfügbar |
Anmerkungen |
---|---|---|
System |
||
Edge-Cluster |
Während der Projekterstellung zugewiesen |
Während der Projekterstellung weist der Enterprise-Administrator einem Projekt einen Edge-Cluster aus dem Standardbereich zu. |
Systemlebenszyklus |
Vom Enterprise-Administrator verwaltet |
Plattformweite Vorgänge wie Installation, Upgrade und Sicherung werden vom Unternehmensadministrator verwaltet. |
Zertifikate |
Ja |
Zertifikatsverwaltungsaufgaben sind unter Projekten nur für Dienstzertifikate verfügbar. |
Netzwerke |
||
Tier-0- oder Tier-0-VRF-Gateway |
Während der Projekterstellung zugewiesen |
Während der Projekterstellung weist der Enterprise-Administrator einem Projekt ein Tier-0-Gateway oder ein Tier-0-VRF-Gateway aus dem Standardbereich zu. Die Dienste auf dem Tier-0-Gateway werden vom Enterprise-Administrator aus dem Standardbereich verwaltet. |
Dynamisches Routing (BGP/OSPF) |
Vom Enterprise-Administrator verwaltet |
Dynamisches Routing wird auf dem Tier-0-Gateway oder Tier-0-VRF-Gateway vom Enterprise-Administrator konfiguriert. |
EVPN |
Vom Enterprise-Administrator verwaltet |
EVPN wird auf dem Tier-0-Gateway oder Tier-0-VRF-Gateway vom Enterprise-Administrator konfiguriert. |
Tier-1-Gateway |
Ja |
|
Statisches Routing |
Ja |
Statisches Routing auf dem Tier-1-Gateway wird vom Projektadministrator konfiguriert. |
Overlay-Segmente |
Ja |
|
VLAN-Segmente |
Nein |
|
Segmentprofile
|
Ja |
|
L2-Bridge |
Nein |
|
L2-VPN |
Ja |
Auf jedem Tier-1-Gateway des Projekts können Sie nur einen L2-VPN-Dienst konfigurieren. |
IPSec-VPN (L3 VPN) |
Ja |
Auf jedem Tier-1-Gateway des Projekts können Sie nur einen IPSec-Dienst konfigurieren. Für die Konfiguration von routenbasiertem IPSec-VPN werden statische Routen unterstützt. Dynamisches Routing mit virtueller Tunnelschnittstelle (VTI) unter Verwendung von BGP wird auf dem Tier-1-Gateway des Projekts nicht unterstützt. |
NAT |
Ja |
|
Load Balancer |
Nein |
|
DNS-Weiterleitung
|
Ja |
|
IP-Adresspools/IP-Adressblöcke |
Ja |
|
IPv6-Profile (DAD/ND) |
Ja |
|
Gateway-QoS-Profile |
Ja |
|
DHCP- und DHCP-Relay |
Ja |
|
Sicherheit |
||
Verteilte Firewall |
Ja |
Nur für VMs, die mit Segmenten in einem Projekt verbunden sind. Firewallregeln, die vom Enterprise-Administrator im Standardbereich verwaltet werden, haben die höchste Priorität, gefolgt von den Projektrichtlinien. DFW-Richtlinien mit Antrea-Gruppen in den Angaben für „Quellen“, „Ziele“ oder „Angewendet auf“ der Firewallregeln werden unter Projekten nicht unterstützt. |
Ausschlussliste |
Vom Enterprise-Administrator verwaltet |
Die Ausschlussliste schließt eine VM von allen Firewall-Anwendungsregeln aus. |
Gateway-Firewall |
Ja |
Der Enterprise-Administrator und der Projektadministrator können die Gateway-Firewallregeln auf den Tier-1-Gateways des Projekts nur im Kontext eines Projekts verwalten. Der Projektadministrator kann die vom Enterprise-Administrator erstellten Gateway-Firewallregeln im Projekt löschen oder ändern. |
Identitätsbasierte Firewall |
Nein |
Die identitätsbasierte Firewall ist unter Projekten nicht verfügbar. Identitätsbasierte Firewallregeln können nur im Standardspeicher konfiguriert werden. Diese Regeln können auf VMs innerhalb von Projekten angewendet werden. |
Verteilte IDS/IPS |
Ja (ab NSX 4.1.1) Nein (in NSX 4.1) |
|
Gateway IDS/IPS Malware-Schutz TLS-Entschlüsselung |
Nein |
|
TLS-Prüfung FQDN-Filterung URL-Filterung |
Nein Ja Ja |
Das FQDN-Analyse-Dashboard wird dem Projektadministrator nicht angezeigt. Es steht nur dem Enterprise-Administrator zur Verfügung. |
Firewallprofile
|
Ja |
|
Bestand |
||
Dienste |
Ja |
|
Gruppen (statische und dynamische Mitgliedschaften) |
Ja |
Kubernetes-Mitgliedstypen sind unter einem Projekt nicht für das Erstellen dynamischer Mitgliedschaftskriterien verfügbar. |
Antrea-Gruppen |
Nein |
|
Kontextprofile/L7-Zugriffsprofile |
Ja |
|
Tags |
Ja |
|
Virtuelle Maschinen (Sichtbarkeit/Tagging) |
Ja |
Nur für VMs, die mit Segmenten in einem Projekt verbunden sind. |
Containercluster |
Nein |
Kubernetes-Ressourcen in Antrea-Kubernetes-Clustern, die bei NSX registriert sind, werden nicht in der Projektbestandsliste angezeigt. |
Planen und Fehler beheben |
||
Traceflow |
Ja |
Traceflow kann nur VMs und Ports verwenden, die Teil des Projekts sind. Wenn das Ziel eine IP-Adresse ist, die zu einem anderen Projekt weiterleitet, werden diese Details in der Traceflow-Ausgabe ausgeblendet. |
Antrea-Traceflow |
Nein |
|
Analyse des Live-Datenverkehrs |
Nein |
|
IPFIX |
Vom Enterprise-Administrator verwaltet |
IPFIX wird zentral vom Enterprise-Administrator im Standardbereich verwaltet. |
Port-Mirroring |
Vom Enterprise-Administrator verwaltet |
Die Portspiegelung wird zentral vom Enterprise-Administrator im Standardbereich konfiguriert. |
NSX Intelligence |
Nein |
NSX Intelligence-Funktionen werden für den Projektadministrator nicht angezeigt. Ausschließlich der NSX-Enterprise-Administrator hat vollständigen Zugriff auf alle NSX Intelligence-Funktionen. Die NSX Intelligence-Funktionen (Visualisierung des Netzwerkflusses, Empfehlungen zur Mikrosegmentierung und Analyse verdächtigen Datenverkehrs) sind nicht projektfähig. Diese Funktionen funktionieren mit allen Netzwerkdatenverkehrsflussdaten innerhalb Ihrer gesamten lokalen NSX-Umgebung. Wenn die Mehrmandantenfähigkeit genutzt wird, d. h., wenn Projekte in Ihrer NSX-Umgebung definiert sind, zeigt NSX Intelligence alle NSX-Objekte an, die sich im Standardspeicher befinden, sowie alle NSX-Objekte aus allen Projekten. Dies passiert unabhängig davon, ob Sie die Ansicht Standard oder die Ansicht Alle Projekte nutzen. |