Los proyectos ayudan a aislar las configuraciones de redes y seguridad en todos los tenants en una sola implementación de NSX.
Requisitos previos
Debe tener asignada la función Administrador empresarial.
Procedimiento
- Desde su navegador, inicie sesión en NSX Manager en https://dirección-ip-de-nsx-manager.
- Haga clic en Predeterminado y, a continuación, en Administrar.
- Haga clic en Agregar proyecto.
- (Requerido) Introduzca un nombre para el proyecto.
- Seleccione una puerta de enlace de nivel 0 o VRF de nivel 0 que las cargas de trabajo de este proyecto puedan utilizar para la conectividad de norte-sur con la red física fuera de NSX.
Si es necesario, puede seleccionar varias puertas de enlace. Si no se selecciona ninguna puerta de enlace, las cargas de trabajo del proyecto no tendrán conectividad de norte-sur.
Nota: De forma predeterminada, el proyecto se crea en la zona de transporte superpuesta predeterminada del sistema. Por lo tanto, las puertas de enlace de nivel 0/VRF que están asociadas con la zona de transporte predeterminada se muestran en el menú desplegable.Se puede asignar una puerta de enlace de nivel 0 o VRF de nivel 0 a varios proyectos. Es decir, si asigna una puerta de enlace de nivel 0/VRF a un proyecto (por ejemplo, el proyecto 1), eso no le impedirá asignarla a otros proyectos (como el proyecto 2 o el proyecto 3).
- Seleccione un clúster de Edge para asociarlo con este proyecto.
Los clústeres de Edge seleccionados se pueden consumir dentro del proyecto en un futuro. Por ejemplo, los clústeres de Edge se pueden consumir para ejecutar servicios centralizados, como NAT, firewall de puerta de enlace, DHCP, etc., que se configuran en las puertas de enlace de nivel 1 dentro del proyecto. Cuando se agregan VPC de NSX en el proyecto, se consumen los mismos clústeres de Edge para proporcionar servicios centralizados a las cargas de trabajo en las VPC.
El proyecto se puede asociar con los mismos clústeres de Edge que utiliza la puerta de enlace de nivel 0/VRF de nivel 0 que está asignada al proyecto. Si es necesario, puede asociar clústeres de Edge independientes al proyecto y a la puerta de enlace de nivel 0/VRF de nivel 0. Un clúster de Edge se puede asignar a varios proyectos. Es decir, si lo asigna a un proyecto (por ejemplo, el proyecto 1), eso no le impedirá asignarlo a otros proyectos (como el proyecto 2 o el proyecto 3).
Nota: Los clústeres de Edge que están asociados con la zona de transporte superpuesta predeterminada se muestran en el menú desplegable. - En el campo Bloques de IPv4 externos, seleccione uno o varios bloques de IPv4 existentes.
Los bloques de IPv4 seleccionados estarán disponibles cuando agregue subredes públicas en las VPC de NSX dentro del proyecto. El sistema asignará bloques CIDR a las subredes públicas en las VPC de NSX desde estos bloques de IPv4 externos. Los usuarios de VPC también pueden utilizar bloques de IP externos para agregar reglas NAT en las VPC de NSX.
Si no hay bloques de IPv4 disponibles para su selección, haga clic en
y, a continuación, en Crear nuevo para agregar un bloque de direcciones IP.Los bloques de IPv4 externos no deben superponerse entre sí dentro de un proyecto y no deben superponerse en la misma puerta de enlace de nivel 0.
Por ejemplo, supongamos que el proyecto A está conectado a la puerta de enlace A de nivel 0, el proyecto B está conectado a la puerta de enlace B de nivel 0, y las puertas de enlace de nivel 0 de estos dos proyectos están aisladas. En este caso, los proyectos A y B pueden usar los mismos bloques de IP externos o que se superponen, ya que están conectados a puertas de enlace de nivel 0 independientes.
- En el cuadro de texto Identificador de registro corto, introduzca una cadena que el sistema pueda utilizar para identificar los registros que se generan en el contexto de este proyecto.
El identificador de registro corto se aplica a los registros de seguridad y de auditoría.
Si dedicó una puerta de enlace de nivel 0/VRF a un proyecto mediante la configuración del parámetro dedicated_resources en la API de project, el identificador de registro corto se anexa a los mensajes de registro que se generan en el syslog de Edge para los servicios centralizados, que se ejecutan en la puerta de enlace de nivel 0/VRF. Para obtener más información, consulte Habilitar el contexto del proyecto en el syslog de NSX Edge.
El identificador debe ser único en todos los proyectos de su entorno de NSX.
El identificador no debe superar los ocho caracteres alfanuméricos. Si no se especifica, el sistema lo generará automáticamente al guardar el proyecto. Después de establecer el identificador, no podrá modificarlo.
- Utilice la opción Activar reglas de firewall distribuido predeterminadas para activar o desactivar las reglas de firewall distribuido predeterminadas para este proyecto.
Las reglas de DFW predeterminadas permiten la comunicación entre las máquinas virtuales de carga de trabajo dentro del proyecto, incluida la comunicación con el servidor DHCP. Las demás comunicaciones están bloqueadas.
Esta opción solo se puede editar cuando se aplica una licencia de seguridad adecuada en su implementación de NSX que autoriza al sistema a utilizar la función de seguridad de firewall distribuido. Este ajuste solo activa o desactiva las reglas de firewall distribuido predeterminadas para el proyecto. No se desactiva el firewall distribuido en el proyecto.
Por ejemplo, si el servicio de firewall distribuido está activado en la plataforma de NSX, podrá seguir desactivando las reglas de firewall predeterminadas del proyecto. En este caso, se aplicarán al proyecto las reglas de firewall distribuido predeterminadas de todo el sistema que están configuradas en el espacio predeterminado.
En la siguiente tabla, se explica el estado predeterminado de la opción Activar reglas de firewall distribuido predeterminadas en el proyecto en varios escenarios. El término "licencia base" que se utiliza en esta tabla hace referencia a cualquiera de las dos licencias siguientes:
- NSX Networking for VMware Cloud Foundation
- Solution License for VCF
Esc. n.º Escenario Estado predeterminado Notas 1
Usted es un nuevo cliente de NSX y aplica una licencia base que autoriza al sistema a utilizar solo las funciones de red de NSX.
Desactivado
Esta opción no se puede editar porque la licencia aplicada actualmente no admite la configuración de reglas de seguridad de firewall distribuido.
Debe aplicar la licencia de seguridad adecuada en el sistema y, después, activar esta opción para activar las reglas de firewall distribuido predeterminadas en el proyecto.
2
Usted es un nuevo cliente de NSX. El día 0, aplica una licencia base que autoriza al sistema a usar las funciones de red de NSX. También aplica una licencia de seguridad adecuada que autoriza al sistema a utilizar la seguridad del firewall distribuido.
Activado
Las reglas de firewall distribuido predeterminadas están activadas para el proyecto.
Puede desactivar esta opción en el proyecto si fuera necesario.
3
Usted es un nuevo cliente de NSX. El día 0, solo aplica la licencia base que autoriza al sistema a utilizar solo las funciones de red de NSX. Agrega algunos proyectos al sistema, llamémoslos proyectos A y B.
Posteriormente, durante las operaciones del día 2, aplica una licencia de seguridad adecuada que autoriza al sistema a utilizar la seguridad del firewall distribuido.
Ahora, agrega reglas de firewall distribuido definidas por el usuario en los proyectos existentes A y B, y también crea nuevos proyectos en el sistema, llamémoslos proyectos C y D.
Desactivado para proyectos preexistentes en el sistema
Activado para nuevos proyectos en el sistema
En este escenario, el término "proyectos preexistentes" hace referencia a los proyectos que ya estaban en el sistema antes de que se aplicara la licencia de seguridad el día 2. En este escenario, hacen referencia a los proyectos A y B. El término "nuevos proyectos" hace referencia a los proyectos que se agregan al sistema después de aplicar la licencia de seguridad el día 2. En este escenario, hacen referencia a los proyectos C y D.
Para los proyectos existentes A y B, el comportamiento del sistema es el siguiente:
Esta opción está desactivada de forma predeterminada. Las reglas de DFW definidas por el usuario se aplican a los proyectos A y B. Si desea activar las reglas de firewall distribuido predeterminadas en estos proyectos, abra los proyectos en modo de edición y active esta opción manualmente. Sin embargo, activar esta opción puede afectar al comportamiento del tráfico este-oeste en los proyectos A y B.
Para los nuevos proyectos C y D, el comportamiento del sistema es el siguiente:
Esta opción está activada de forma predeterminada. Es decir, para los proyectos C y D, las reglas de firewall distribuido predeterminadas están activadas de forma predeterminada. Si fuera necesario, puede desactivarla para que solo se apliquen a estos proyectos las reglas de firewall distribuido definidas por el usuario.
4
Usted ya era cliente de NSX con una licencia de NSX heredada que autoriza al sistema a un acceso completo a DFW.
Cuando caduca la licencia heredada, aplica una licencia base que autoriza al sistema a usar las funciones de red de NSX y también aplica una licencia de seguridad que autoriza al sistema a usar la seguridad del firewall distribuido.
Activado
Las reglas de firewall distribuido predeterminadas y las reglas de firewall distribuido definidas por el usuario siguen ejecutándose en los proyectos que creó antes de cambiar a la nueva licencia. No hay ningún cambio en el comportamiento del sistema.
Para todos los nuevos proyectos que agregue después de cambiar la licencia, esta opción estará activada de forma predeterminada. Si fuera necesario, puede desactivarla.
5
Usted ya era cliente de NSX con una licencia de NSX heredada que autoriza al sistema a un acceso completo a DFW. Agrega dos proyectos al sistema, llamémoslos proyectos A y B.
Cuando caduca la licencia heredada actual, aplica la licencia base que autoriza al sistema a utilizar solo las funciones de red de NSX. No aplica la licencia de seguridad.
Ahora, crea dos nuevos proyectos en el sistema, llamémoslos proyectos C y D.
Activado para los proyectos preexistentes
Desactivado para los nuevos proyectos
En este escenario, el término "proyectos preexistentes" hace referencia a los proyectos que se agregaron al sistema cuando la licencia de NSX heredada era válida. En este escenario, hacen referencia a los proyectos A y B. El término "nuevos proyectos" hace referencia a los proyectos que se agregan al sistema después de aplicar la licencia base. En este escenario, hacen referencia a los proyectos C y D.
Para los proyectos existentes A y B, el comportamiento del sistema es el siguiente:
Esta opción está activada de forma predeterminada. Si fuera necesario, puede desactivarla. Pero esta acción no es reversible. Es decir, no podrá volver a activar las reglas de firewall E-O predeterminadas en los proyectos A y B.
Las reglas de firewall distribuido predeterminadas y las reglas de firewall distribuido definidas por el usuario se seguirán ejecutando en los proyectos A y B, pero no podrá editar estas reglas. Tampoco podrá agregar nuevas reglas de firewall distribuido. Sin embargo, sí podrá eliminar las reglas de firewall definidas por el usuario.
Para tener acceso completo a las reglas de firewall distribuido, debe aplicar una licencia de seguridad adecuada.
Para los nuevos proyectos C y D, el comportamiento del sistema es el siguiente:
Esta opción está desactivada de forma predeterminada. No se puede activar porque la licencia aplicada actualmente no autoriza al sistema a utilizar la función de firewall distribuido.
6 Usted es un nuevo cliente de NSX y su sistema está modo de evaluación, que es válido durante 60 días.
Desactivado
Durante el período de evaluación de una nueva implementación de NSX, el sistema solo tiene autorización para usar las funciones de redes. No tendrá autorización para las funciones de seguridad.
- De forma opcional, introduzca una descripción para el proyecto.
- Haga clic en Guardar.
