En un entorno de NSX de varios tenants, puede configurar un subconjunto de funciones de NSX en los proyectos.

Esto proporciona flexibilidad a los tenants, a la vez que permite que los administradores empresariales y otros administradores del espacio predeterminado controlen el ciclo de vida general del sistema y la conectividad.

Tabla 1. Funciones disponibles en proyectos

Función de NSX

Disponible en proyectos

Notas

Sistema

Clústeres de Edge

Asignado durante la creación del proyecto

Durante la creación del proyecto, el administrador empresarial asigna un clúster de Edge del espacio predeterminado a un proyecto.

Ciclo de vida del sistema

Administrado por el administrador empresarial

El administrador empresarial administra las operaciones de toda la plataforma, como la instalación, la actualización y la copia de seguridad.

Redes

Nivel 0 o puerta de enlace VRF de nivel 0

Asignado durante la creación del proyecto

Durante la creación del proyecto, el administrador empresarial asigna una puerta de enlace de nivel 0 o una puerta de enlace VRF de nivel 0 desde el espacio predeterminado a un proyecto.

El administrador empresarial administra los servicios de la puerta de enlace de nivel 0 desde el espacio predeterminado.

Enrutamiento dinámico (BGP/OSPF)

Administrado por el administrador empresarial

El administrador empresarial configura el enrutamiento dinámico en la puerta de enlace de nivel 0 o la puerta de enlace VRF de nivel 0.

EVPN

Administrado por el administrador empresarial

El administrador empresarial configura EVPN en la puerta de enlace de nivel 0 o la puerta de enlace VRF de nivel 0.

Puerta de enlace de nivel 1

Enrutamiento estático

El enrutamiento estático en la puerta de enlace de nivel 1 lo configura el administrador empresarial.

Segmentos de superposición

Segmentos de VLAN

No

Perfiles de segmentos

  • SpoofGuard
  • Detección de IP
  • Detección de MAC
  • Seguridad de segmentos
  • Calidad de servicio

Puente de capa 2

No

VPN L2

No

VPN de Capa 3

No

NAT

Equilibrador de carga

No

Reenviador de DNS

  • Servicios DNS
  • Zonas de DNS

Grupos de direcciones IP/Bloques de direcciones IP

Perfiles IPv6 (DAD/ND)

Perfiles de QoS de puerta de enlace

DHCP y retransmisión de DHCP

Seguridad

Firewall distribuido

Solo para máquinas virtuales que están conectadas a segmentos de un proyecto. Las reglas de firewall administradas por el administrador empresarial en el espacio predeterminado tienen la prioridad más alta, seguidas por las directivas de proyecto.

Las directivas de DFW con grupos de Antrea en Orígenes, Destinos o Se aplica a de las reglas de firewall no se admiten en proyectos.

Lista de exclusión

Administrado por el administrador empresarial

La lista de exclusión excluye a una máquina virtual de todas las reglas de aplicación de firewall.

Firewall de puerta de enlace

El administrador empresarial y el administrador de proyecto pueden administrar las reglas de firewall de puerta de enlace en las puertas de enlace de nivel 1 del proyecto solo dentro del contexto de un proyecto. El administrador de proyecto puede eliminar o modificar las reglas de firewall de puerta de enlace del proyecto que creó el administrador empresarial.

Firewall de identidad

No

El firewall de identidad no está disponible en proyectos. Las reglas de firewall de identidad solo se pueden configurar en el espacio predeterminado, y estas reglas se pueden aplicar a las máquinas virtuales dentro de los proyectos.

IPS/IDS distribuido

Sí (a partir de NSX 4.1.1)

No (en NSX 4.1)

IDS/IPS de puerta de enlace

Prevención de malware

Descifrado de TLS

No

Inspección TLS

Filtrado de FQDN

Filtrado de URL

No

El panel de control de análisis de FQDN no está expuesto al administrador de proyecto. Solo está disponible para el administrador empresarial.

Perfiles de Firewall

  • Temporizador de sesión
  • Protección contra inundación
  • Seguridad de DNS

Inventario

Servicios

Grupos (pertenencias estáticas y dinámicas)

Los tipos de miembros de Kubernetes no están disponibles en un proyecto para crear criterios dinámicos de pertenencia.

Antrea grupos

No

Perfiles de contexto/Perfiles de acceso de capa 7

Etiquetas

Máquinas virtuales (visibilidad/etiquetado)

Solo para máquinas virtuales que están conectadas a segmentos de un proyecto.

Clústeres de contenedores

No

Los recursos de Kubernetes de clústeres de Antrea Kubernetes registrados en NSX no se exponen al inventario del proyecto.

Planificar y solucionar problemas

Traceflow

Traceflow solo puede utilizar máquinas virtuales y puertos que forman parte del proyecto. Si el destino es una dirección IP que enruta a otro proyecto, estos detalles se ocultan en los resultados de Traceflow.

Antrea Traceflow

No

Análisis de tráfico activo

No

IPFIX

Administrado por el administrador empresarial

El administrador empresarial administra IPFIX de forma centralizada en el espacio predeterminado.

Reflejo del puerto

Administrado por el administrador empresarial

El administrador empresarial configura centralmente la creación de reflejo del puerto en el espacio predeterminado.

NSX Intelligence

No

Las funciones de NSX Intelligence no están expuestas al administrador de proyecto. Solo el Administrador empresarial de NSX tiene acceso completo a todas las funciones de NSX Intelligence.

Las funciones de NSX Intelligence (visualización de flujo de red, recomendaciones de microsegmentación y análisis de tráfico sospechoso) no reconocen el proyecto. Estas funciones funcionan con todos los datos de flujo de tráfico de red dentro de todo el entorno local de NSX. Si se utilizan varios tenants (es decir, si se definen proyectos en el entorno de NSX), NSX Intelligence mostrará todos los objetos de NSX que se encuentran en el espacio predeterminado y todos los objetos de NSX de todos los proyectos, independientemente de si se utiliza la vista Predeterminado o la vista Todos los proyectos.