En un entorno de NSX de varios tenants, puede configurar un subconjunto de funciones de NSX en los proyectos.
Esto proporciona flexibilidad a los tenants, a la vez que permite que los administradores empresariales y otros administradores del espacio predeterminado controlen el ciclo de vida general del sistema y la conectividad.
Función de NSX |
Disponible en proyectos |
Notas |
|---|---|---|
Sistema |
||
Clústeres de Edge |
Asignado durante la creación del proyecto |
Durante la creación del proyecto, el administrador empresarial asigna un clúster de Edge del espacio predeterminado a un proyecto. |
Ciclo de vida del sistema |
Administrado por el administrador empresarial |
El administrador empresarial administra las operaciones de toda la plataforma, como la instalación, la actualización y la copia de seguridad. |
Redes |
||
Nivel 0 o puerta de enlace VRF de nivel 0 |
Asignado durante la creación del proyecto |
Durante la creación del proyecto, el administrador empresarial asigna una puerta de enlace de nivel 0 o una puerta de enlace VRF de nivel 0 desde el espacio predeterminado a un proyecto. El administrador empresarial administra los servicios de la puerta de enlace de nivel 0 desde el espacio predeterminado. |
Enrutamiento dinámico (BGP/OSPF) |
Administrado por el administrador empresarial |
El administrador empresarial configura el enrutamiento dinámico en la puerta de enlace de nivel 0 o la puerta de enlace VRF de nivel 0. |
EVPN |
Administrado por el administrador empresarial |
El administrador empresarial configura EVPN en la puerta de enlace de nivel 0 o la puerta de enlace VRF de nivel 0. |
Puerta de enlace de nivel 1 |
Sí |
|
Enrutamiento estático |
Sí |
El enrutamiento estático en la puerta de enlace de nivel 1 lo configura el administrador empresarial. |
Segmentos de superposición |
Sí |
|
Segmentos de VLAN |
No |
|
Perfiles de segmentos
|
Sí |
|
Puente de capa 2 |
No |
|
VPN L2 |
No |
|
VPN de Capa 3 |
No |
|
NAT |
Sí |
|
Equilibrador de carga |
No |
|
Reenviador de DNS
|
Sí |
|
Grupos de direcciones IP/Bloques de direcciones IP |
Sí |
|
Perfiles IPv6 (DAD/ND) |
Sí |
|
Perfiles de QoS de puerta de enlace |
Sí |
|
DHCP y retransmisión de DHCP |
Sí |
|
Seguridad |
||
Firewall distribuido |
Sí |
Solo para máquinas virtuales que están conectadas a segmentos de un proyecto. Las reglas de firewall administradas por el administrador empresarial en el espacio predeterminado tienen la prioridad más alta, seguidas por las directivas de proyecto. Las directivas de DFW con grupos de Antrea en Orígenes, Destinos o Se aplica a de las reglas de firewall no se admiten en proyectos. |
Lista de exclusión |
Administrado por el administrador empresarial |
La lista de exclusión excluye a una máquina virtual de todas las reglas de aplicación de firewall. |
Firewall de puerta de enlace |
Sí |
El administrador empresarial y el administrador de proyecto pueden administrar las reglas de firewall de puerta de enlace en las puertas de enlace de nivel 1 del proyecto solo dentro del contexto de un proyecto. El administrador de proyecto puede eliminar o modificar las reglas de firewall de puerta de enlace del proyecto que creó el administrador empresarial. |
| Firewall de identidad |
No |
El firewall de identidad no está disponible en proyectos. Las reglas de firewall de identidad solo se pueden configurar en el espacio predeterminado, y estas reglas se pueden aplicar a las máquinas virtuales dentro de los proyectos. |
IPS/IDS distribuido |
Sí (a partir de NSX 4.1.1) No (en NSX 4.1) |
|
| IDS/IPS de puerta de enlace Prevención de malware Descifrado de TLS |
No |
|
| Inspección TLS Filtrado de FQDN Filtrado de URL |
No Sí Sí |
El panel de control de análisis de FQDN no está expuesto al administrador de proyecto. Solo está disponible para el administrador empresarial. |
Perfiles de Firewall
|
Sí |
|
Inventario |
||
Servicios |
Sí |
|
Grupos (pertenencias estáticas y dinámicas) |
Sí |
Los tipos de miembros de Kubernetes no están disponibles en un proyecto para crear criterios dinámicos de pertenencia. |
Antrea grupos |
No |
|
Perfiles de contexto/Perfiles de acceso de capa 7 |
Sí |
|
Etiquetas |
Sí |
|
Máquinas virtuales (visibilidad/etiquetado) |
Sí |
Solo para máquinas virtuales que están conectadas a segmentos de un proyecto. |
Clústeres de contenedores |
No |
Los recursos de Kubernetes de clústeres de Antrea Kubernetes registrados en NSX no se exponen al inventario del proyecto. |
Planificar y solucionar problemas |
||
Traceflow |
Sí |
Traceflow solo puede utilizar máquinas virtuales y puertos que forman parte del proyecto. Si el destino es una dirección IP que enruta a otro proyecto, estos detalles se ocultan en los resultados de Traceflow. |
Antrea Traceflow |
No |
|
Análisis de tráfico activo |
No |
|
IPFIX |
Administrado por el administrador empresarial |
El administrador empresarial administra IPFIX de forma centralizada en el espacio predeterminado. |
Reflejo del puerto |
Administrado por el administrador empresarial |
El administrador empresarial configura centralmente la creación de reflejo del puerto en el espacio predeterminado. |
NSX Intelligence |
No |
Las funciones de NSX Intelligence no están expuestas al administrador de proyecto. Solo el Administrador empresarial de NSX tiene acceso completo a todas las funciones de NSX Intelligence. Las funciones de NSX Intelligence (visualización de flujo de red, recomendaciones de microsegmentación y análisis de tráfico sospechoso) no reconocen el proyecto. Estas funciones funcionan con todos los datos de flujo de tráfico de red dentro de todo el entorno local de NSX. Si se utilizan varios tenants (es decir, si se definen proyectos en el entorno de NSX), NSX Intelligence mostrará todos los objetos de NSX que se encuentran en el espacio predeterminado y todos los objetos de NSX de todos los proyectos, independientemente de si se utiliza la vista Predeterminado o la vista Todos los proyectos. |
