Un proyecto en NSX es análogo a un tenant. Al crear proyectos, puede aislar objetos de seguridad y redes en todos los tenants en una misma implementación de NSX.
Supongamos que una organización tiene NSX implementado en su sitio. La organización tiene toda su infraestructura, redes y configuraciones de seguridad en el espacio predeterminado, que pertenece al administrador empresarial. Podrá consultar más información sobre el espacio predeterminado más adelante en esta documentación.
- Aislar las configuraciones de redes y seguridad de sus tres departamentos: Ventas, Marketing y Operaciones.
- Delegar las tareas de creación y administración de configuraciones de redes y seguridad de cada departamento a un conjunto específico de usuarios de NSX y evitar dar a estos usuarios visibilidad de todos los objetos del sistema.
- Permitir de forma predeterminada que las máquinas virtuales de carga de trabajo dentro de un departamento solo se comuniquen con otras máquinas virtuales de carga de trabajo (incluido el servidor DHCP) en el mismo departamento.
- Bloquear de forma predeterminada la comunicación con cargas de trabajo fuera del departamento. Si se requiere una comunicación de este tipo, el sistema deberá permitir agregar nuevas reglas o modificar las reglas existentes en la directiva de seguridad predeterminada.
- Ventas
- Marketing
- Operaciones
En una implementación de varios tenants, los usuarios de cada proyecto tienen acceso a los objetos que crean en su proyecto y pueden consumir objetos (en modo de solo lectura) que el administrador empresarial compartió con su proyecto desde el espacio predeterminado.
- La configuración de varios tenants en su implementación de NSX es opcional y su implementación no tiene ningún impacto en la configuración de NSX existente.
- Actualmente, no se admite la estructura de varios tenants en un entorno de Federación de NSX.
Modelo de datos de directiva de varios tenants
El modelo de datos de directiva de NSX es jerárquico y tiene dos ramas creadas por el sistema:
- La rama de
/infra
está administrada por el administrador empresarial. Los objetos de esta rama se muestran en la vista Predeterminado en la interfaz de usuario.En la rama
/infra
también existen funciones de usuario distintas del administrador empresarial. Los usuarios de esta rama no están vinculados a ningún proyecto específico. Esta documentación hace referencia a usuarios como usuarios "de todo el sistema". Estos usuarios pueden configurar un subconjunto de objetos en la rama/infra
.Los usuarios de todo el sistema tienen acceso a todos los objetos del sistema. Es decir, tienen acceso a los objetos dentro de la vista Predeterminado (rama
/infra
) y dentro de los proyectos.A veces, esta documentación utiliza el término "espacio predeterminado" para hacer referencia a los objetos de la vista Predeterminado. En otras palabras , los términos "espacio predeterminado" y "vista Predeterminado" se pueden usar indistintamente. Ambos hacen referencia a lo mismo. Para obtener más información sobre la vista Predeterminado, consulte la subsección Descripción general de la vista predeterminada (espacio predeterminado) más adelante en esta documentación.
- La rama
/orgs/default
contiene los objetos de varios tenants. Cada proyecto tiene su propio espacio para alojar los objetos que posee.
Los proyectos se crean en /orgs/default
para admitir conjuntos de configuraciones de redes y seguridad para cada tenant.
Las configuraciones de proyectos se establecen en /orgs/default/projects/<project-id>/infra
En los siguientes diagramas se muestra el modelo de datos para varios tenants. Estos diagramas representan una vista parcial del modelo de datos solo para entender el concepto. El modelo de datos de Directiva tiene varios objetos, que no se muestran.
La primera figura muestra el espacio predeterminado y dos proyectos de la organización. La siguiente figura muestra la jerarquía de objetos en ambos proyectos. En la organización, los proyectos 1 y 2 tienen su propia jerarquía de objetos de redes y seguridad de NSX que se crean dentro del proyecto. Los objetos creados dentro de un proyecto son propiedad de ese proyecto.
Las puertas de enlace de nivel 0 y los clústeres de Edge son propiedad del espacio predeterminado y se pueden asignar a proyectos de la organización. No se pueden crear puertas de enlace de nivel 0 ni clústeres de Edge dentro de un proyecto.
De forma opcional, cada proyecto puede tener sus propias puertas de enlace de nivel 1, que deben configurarse en el proyecto. En otras palabras, las puertas de enlace de nivel 1 deben ser propiedad del proyecto. Un proyecto no puede utilizar las puertas de enlace de nivel 1 que están configuradas en el espacio predeterminado.
Organización predeterminada
Una implementación de NSX tiene una organización predeterminada. No puede crear, modificar ni eliminar la organización predeterminada. El sistema crea el objeto de organización al iniciarse. Las puertas de enlace de nivel 0 y los clústeres de Edge del sistema se pueden asignar a proyectos de la organización.
El sistema crea el objeto Org con el siguiente identificador:
/orgs/defaultEl objeto de organización no está visible en la interfaz de usuario.
Información sobre el menú desplegable Proyecto
El menú desplegable Proyecto está disponible en la barra de aplicaciones, que se encuentra en la parte superior de la interfaz de usuario de NSX Manager. Para acceder a este menú, haga clic en Predeterminado, como se muestra en la siguiente captura de pantalla.
Este menú muestra la lista de proyectos a los que tiene permiso para acceder. Puede usar este menú para cambiar entre proyectos y gestionar los objetos de sus proyectos asignados.
- Descripción general de la vista predeterminada (espacio predeterminado)
-
Al iniciar sesión en NSX Manager por primera vez, el menú desplegable Proyecto solo muestra la vista Predeterminado. No existe ningún proyecto creado por el usuario en el sistema, como se muestra en la captura de pantalla anterior.
La vista Predeterminado es visible para el administrador empresarial y para las demás funciones de usuario de todo el sistema que no están asignadas a ningún proyecto específico. Esta vista contiene:- Todos los objetos del tejido de NSX, como hosts, puertas de enlace de nivel 0, clústeres de Edge, zonas de transporte, etc.
- Objetos de administración de usuarios globales.
- Objetos en el espacio
/infra
del modelo de datos jerárquico de Directiva, como puertas de enlace de nivel 1, segmentos, grupos, directivas de firewall, etc. - Usos compartidos de recursos
En resumen, la vista Predeterminado contiene objetos de NSX que no pertenecen a ningún proyecto. La única excepción es que en la página Máquinas virtuales de la vista Predeterminada se muestran todas las máquinas virtuales del sistema. Es decir, máquinas virtuales que están conectadas a:- Segmentos en el espacio predeterminado.
- Segmentos de los proyectos.
- Subredes en las VPC de NSX dentro del proyecto.
Las máquinas virtuales que no están conectadas a ningún segmento en NSX también se muestran en el espacio predeterminado. Estas máquinas virtuales se muestran como No conectado.
Esta excepción permite a un administrador empresarial ver todas las máquinas virtuales que se ejecutan en el sistema desde el propio espacio predeterminado. El administrador empresarial puede asignar etiquetas a cualquier máquina virtual del sistema y aplicarles políticas de seguridad.
Cuando un administrador empresarial inicia sesión en NSX Manager, se muestra la vista Predeterminado, como se ve en la siguiente captura de pantalla. Observe que todas las pestañas se muestran en la interfaz de usuario. La página Descripción general muestra un resumen de alto nivel de los objetos del espacio predeterminado.
Después de crear uno o varios proyectos en su implementación de NSX, estos proyectos se muestran en menú desplegable Proyecto, como se muestra en la siguiente captura de pantalla.
Un administrador empresarial puede ver todos los proyectos del sistema. Otras funciones de usuario de todo el sistema, como los auditores, también pueden ver todos los proyectos del sistema. Los usuarios que están asignados a proyectos específicos con funciones, como el administrador de proyecto, el administrador de seguridad, el administrador de red, el operador de seguridad y el operador de red, pueden ver los proyectos a los que tienen acceso.
Por ejemplo, cuando un administrador de proyecto inicia sesión en NSX Manager, se muestra la vista específica del proyecto, como se ve en la siguiente captura de pantalla. La página Vista general muestra un resumen de alto nivel de los objetos creados en el proyecto.
Cuando se actualiza desde una versión anterior de NSX a NSX 4.1 o una versión posterior, el espacio predeterminado alojará todas las configuraciones de infraestructura, redes y seguridad existentes. Puede seguir utilizando el espacio predeterminado para todos los requisitos de redes y seguridad de su organización. Las propiedades de los objetos de redes y seguridad existentes o la ruta de acceso de dichos objetos no se modifican. La creación de proyectos es opcional.
Si creó proyectos en su implementación de NSX 4.0.1.1 mediante la API de NSX y, a continuación, actualizó a la versión 4.1 o una posterior, la vista Predeterminado y las vistas de proyecto se mostrarán en el menú desplegable Proyecto. Puede cambiar entre las vistas de proyecto y la vista Predeterminado para ver los objetos de cada una de ellas. Además, el menú desplegable Proyecto también muestra la vista Todos los proyectos, que se describe en la siguiente sección.
- Descripción general de la vista Todos los proyectos
-
- La vista Todos los proyectos está disponible para todas las funciones de usuario de todo el sistema que no están asignadas a ningún proyecto específico. Es decir, esta vista está disponible para todos los usuarios que tienen acceso al espacio predeterminado. Por ejemplo, Administrador empresarial, Auditor, etc.
- Esta vista solo está disponible en el menú desplegable Proyecto cuando se agrega al menos un proyecto a su implementación de NSX.
- Esta vista muestra las configuraciones de redes y seguridad en todos los proyectos, incluido el espacio predeterminado.
- Los objetos de esta vista se muestran en modo de solo lectura.
En la vista Todos los proyectos, los objetos de redes y seguridad muestran un icono en forma de píldora junto al nombre de objeto para indicar si el objeto es propiedad del espacio predeterminado o de un proyecto.
Por ejemplo, en la siguiente captura de pantalla se muestra la lista de segmentos en la página Segmentos. Los iconos en forma de píldora que están resaltados en el cuadro verde indican quién es el propietario de cada segmento (el espacio predeterminado o el proyecto).
Nubes privadas virtuales de NSX
Un proyecto puede contener opcionalmente una o varias nubes privadas virtuales (VPC) de NSX.
Una VPC representa una red privada autónoma dentro de un proyecto de NSX que los desarrolladores de aplicaciones o los ingenieros de desarrollo y operaciones pueden usar para alojar sus aplicaciones y consumir objetos de redes y seguridad siguiendo un modelo de consumo de autoservicio.
Las VPC de NSX representan una capa adicional de varios tenants dentro de un proyecto. Proporciona un modelo de consumo simplificado de servicios de redes y seguridad que se ajusta a la experiencia que tendría en un entorno de nube pública.
Las VPC de NSX solo se pueden crear en proyectos. No se pueden crear en el espacio predeterminado.
Las configuraciones de VPC se establecen en la siguiente ruta del modelo de datos de Directiva de NSX:
/orgs/default/projects/<project-id>/vpcs/<vpc-id>
Para obtener más información sobre NSX VPC, consulte Nubes privadas virtuales de NSX.