Los proyectos ayudan a aislar las configuraciones de redes y seguridad en todos los tenants en una sola implementación de NSX.

Requisitos previos

Debe tener asignada la función Administrador empresarial.

Procedimiento

  1. Desde su navegador, inicie sesión en NSX Manager en https://dirección-ip-de-nsx-manager.
  2. Haga clic en Predeterminado y, a continuación, en Administrar.
  3. Haga clic en Agregar proyecto.
  4. (Requerido) Introduzca un nombre para el proyecto.
  5. Seleccione una puerta de enlace de nivel 0 o VRF de nivel 0 que las cargas de trabajo de este proyecto puedan utilizar para la conectividad de norte-sur con la red física fuera de NSX.

    Si es necesario, puede seleccionar varias puertas de enlace. Si no se selecciona ninguna puerta de enlace, las cargas de trabajo del proyecto no tendrán conectividad de norte-sur.

    Nota: De forma predeterminada, el proyecto se crea en la zona de transporte superpuesta predeterminada del sistema. Por lo tanto, las puertas de enlace de nivel 0/VRF que están asociadas con la zona de transporte predeterminada se muestran en el menú desplegable.

    Se puede asignar una puerta de enlace de nivel 0 o VRF de nivel 0 a varios proyectos. Es decir, si asigna una puerta de enlace de nivel 0/VRF a un proyecto (por ejemplo, el proyecto 1), eso no le impedirá asignarla a otros proyectos (como el proyecto 2 o el proyecto 3).

  6. Seleccione un clúster de Edge para asociarlo con este proyecto.

    Los clústeres de Edge seleccionados se pueden consumir dentro del proyecto en un futuro. Por ejemplo, los clústeres de Edge se pueden consumir para ejecutar servicios centralizados, como NAT, firewall de puerta de enlace, DHCP, etc., que se configuran en las puertas de enlace de nivel 1 dentro del proyecto. Los clústeres de Edge que están asociados con el proyecto no necesitan ejecutar necesariamente las puertas de enlace de nivel 0 que están asociadas con el proyecto.

    Los clústeres de Edge especificados en el nivel de proyecto son necesarios para los servicios centralizados (NAT, firewall de puerta de enlace, VPN y DHCP). Si no se requiere ningún servicio, se puede omitir el clúster de Edge.

    Un clúster de Edge se puede asignar a varios proyectos. Es decir, si lo asigna a un proyecto (por ejemplo, el proyecto 1), eso no le impedirá asignarlo a otros proyectos (como el proyecto 2 o el proyecto 3).

    Nota: Los clústeres de Edge que están asociados con la zona de transporte superpuesta predeterminada se muestran en el menú desplegable.
  7. En el campo Bloques de IPv4 externos, seleccione uno o varios bloques de IPv4 existentes.

    Los bloques de IPv4 seleccionados estarán disponibles cuando agregue subredes públicas en las NSX VPC dentro del proyecto. El sistema asignará bloques CIDR a las subredes públicas en las NSX VPC desde estos bloques de IPv4 externos. Los usuarios de VPC también pueden utilizar bloques de IP externos para agregar reglas NAT en las NSX VPC.

    Si no hay bloques de IPv4 disponibles para su selección, haga clic en Menú Acciones y, a continuación, en Crear nuevo para agregar un bloque de direcciones IP.

    Los bloques de IPv4 externos no deben superponerse entre sí dentro de un proyecto y no deben superponerse en la misma puerta de enlace de nivel 0.

    Por ejemplo, supongamos que el proyecto A está conectado a la puerta de enlace de nivel 0 A y el proyecto B está conectado a la puerta de enlace de nivel 0 B. Las puertas de enlace de nivel 0 de estos dos proyectos están aisladas. En este caso, los proyectos A y B pueden usar los mismos bloques de IP externos o que se superponen, ya que están conectados a puertas de enlace de nivel 0 independientes.

  8. En el cuadro de texto Identificador de registro corto, introduzca una cadena que el sistema pueda utilizar para identificar los registros que se generan en el contexto de este proyecto.

    El identificador de registro corto se aplica a los registros de seguridad y de auditoría.

    Si dedicó una puerta de enlace de nivel 0/VRF a un proyecto mediante la configuración del parámetro dedicated_resources en la API de project, el identificador de registro corto se anexa a los mensajes de registro que se generan en el syslog de Edge para los servicios centralizados, que se ejecutan en la puerta de enlace de nivel 0/VRF. Para obtener más información, consulte Habilitar el contexto del proyecto en el syslog de NSX Edge.

    El identificador debe ser único en todos los proyectos de su entorno de NSX.

    El identificador no debe superar los ocho caracteres alfanuméricos. Si no se especifica, el sistema lo generará automáticamente al guardar el proyecto. Después de establecer el identificador, no podrá modificarlo.

  9. Active la opción Organizar grupos de puertos de NSX en carpetas de vCenter si desea que el sistema cree carpetas para este proyecto en VMware vCenter Server®.

    De forma predeterminada, esta opción está desactivada.

    Nota: Esta opción solo se aplica cuando los servidores de VMware vCenter registrados en su implementación de NSX tienen la versión 8.0 Update 3 o posterior.
    Si esta opción está activada y el sistema detecta que VMware vCenter tiene una versión anterior a la 8.0 Update 3, se mostrará un mensaje de advertencia y esta opción no se aplicará en el proyecto. Es decir, no se crearán carpetas para el proyecto en VMware vCenter.
    Importante:
    • Si la opción Varias instancias de NSX está activada para cualquiera de los servidores VMware vCenter registrados en su implementación de NSX, no se podrán crear carpetas para el proyecto en VMware vCenter.
    • Por el contrario, si creó un proyecto en NSX con la opción Organizar grupos de puertos de NSX en carpetas de vCenter activada, no se podrá activar la opción Varias instancias de NSX para los servidores de VMware vCenter registrados como administradores de equipos en su implementación de NSX.

    Al activar esta opción, esta se propagará a todas las NSX VPC que se agreguen a este proyecto. Sin embargo, esta opción es de solo lectura en una NSX VPC y no ç se puede anular en la VPC.

    Para conocer la jerarquía de carpetas que se crea en VMware vCenter cuando esta opción está activada para el proyecto, consulte Ejemplo: Organizar grupos de puertos de NSX en carpetas de VMware vCenter.

    La organización jerárquica de las carpetas de proyecto y VPC ayuda al administrador de vSphere a administrar fácilmente los grupos de puertos de NSX en VMware vCenter. Por ejemplo, supongamos que el administrador de vSphere desea asignar un permiso de solo lectura a un usuario de vSphere llamado "Tom" para los 10 grupos de puertos de NSX en la VPC X. El administrador de vSphere podría asignar el permiso de solo lectura a Tom en la carpeta VPC X y propagar este permiso a todos los elementos secundarios de esta carpeta.

    Otra ventaja de la jerarquía de carpetas es que si se crean segmentos de NSX con el mismo nombre en el proyecto, la VPC y el espacio predeterminado, estos segmentos serán más fáciles de encontrar en el panel Inventario de la interfaz de usuario de vSphere Client. El motivo es que los grupos de puertos de NSX correspondientes a segmentos del proyecto y las subredes de la VPC se agrupan en sus respectivas carpetas de proyecto y VPC.

    Los grupos de puertos de NSX correspondientes a segmentos en el espacio predeterminado no están organizados en carpetas de VMware vCenter. Estos grupos de puertos de NSX se pondrán bajo el objeto vSphere Distributed Switch (VDS).

    El ciclo de vida de las carpetas de proyecto y de VPC se administra mediante NSX. Los usuarios de vSphere no podrán cambiar el nombre, mover ni eliminar las carpetas de proyecto y VPC porque son propiedad de NSX. Cuando se elimina un proyecto o una VPC en NSX, la carpeta correspondiente se eliminará de VMware vCenter. De forma similar, cuando se cambia el nombre de proyectos o VPC en NSX, los nombres de las carpetas correspondientes cambiarán en VMware vCenter.

    En VMware vCenter, se permiten las siguientes acciones en las carpetas y los grupos de puertos que crea NSX:
    • Asignar permisos a usuarios o grupos de vSphere.

      Por ejemplo, al asociar el privilegio Asignar red a usuarios o grupos de una carpeta, un administrador de vSphere puede restringir o limitar los usuarios que pueden conectar máquinas virtuales de carga de trabajo a los grupos de puertos, que pertenecen a proyectos o VPC de NSX.

    • Agregar, habilitar o deshabilitar alarmas.
    • Asignar o eliminar etiquetas de vSphere.
    • Editar grupos de puertos de NSX mediante la interfaz de usuario de NSX Manager.

    Después de guardar el proyecto, puede desactivar esta opción si fuera necesario. Esta acción no afecta a las cargas de trabajo que están conectadas a los segmentos del proyecto o a las subredes de NSX VPC. Solo la ubicación de los grupos de puertos de NSX cambia en VMware vCenter. Es decir, cuando esta opción está desactivada, se eliminarán las carpetas de proyecto y VPC, y los grupos de puertos de NSX se moverán bajo el objeto VDS en VMware vCenter.

  10. Utilice la opción Activar reglas de firewall distribuido predeterminadas para activar o desactivar las reglas de firewall distribuido predeterminadas para este proyecto.

    Las reglas de DFW predeterminadas permiten la comunicación entre las máquinas virtuales de carga de trabajo dentro del proyecto, incluida la comunicación con el servidor DHCP. Las demás comunicaciones están bloqueadas.

    Esta opción solo se puede editar cuando se aplica una licencia de seguridad adecuada en su implementación de NSX que autoriza al sistema a utilizar la función de seguridad de firewall distribuido. Este ajuste solo activa o desactiva las reglas de firewall distribuido predeterminadas para el proyecto. No se desactiva el firewall distribuido en el proyecto.

    Por ejemplo, si un servicio de firewall distribuido está activado en la plataforma de NSX, podrá seguir desactivando las reglas de firewall predeterminadas del proyecto. En este caso, se aplicarán al proyecto las reglas de firewall distribuido predeterminadas de todo el sistema que están configuradas en el espacio predeterminado.

    Para obtener una explicación del estado predeterminado de la opción Activar reglas de firewall distribuido predeterminadas en el proyecto en varios escenarios, consulte Reglas de firewall predeterminadas de proyectos de NSX: consideraciones sobre licencias.

  11. De forma opcional, introduzca una descripción para el proyecto.
  12. De forma opcional, introduzca las etiquetas para este proyecto.
  13. Haga clic en Guardar.

Qué hacer a continuación

Si activó la opción Organizar grupos de puertos de NSX en carpetas de vCenter para el proyecto, siga estos pasos:

  1. Compruebe el estado del proyecto. Cuando las carpetas se crearon correctamente en VMware vCenter, el estado será Success. Este estado representa el estado general o consolidado de todas las carpetas creadas por NSX en VMware vCenter cuando se creó este proyecto.

    Si el estado general junto a la opción se muestra como Failed, compruebe los detalles del error para conocer la causa.

    Ejemplos de situaciones de error:
    • Si el servidor de VMware vCenter está inactivo cuando se están realizando las carpetas, se puede producir un error al crear la carpeta. NSX no podrá comunicarse con VMware vCenter. En este caso, el estado general de la carpeta del proyecto será Failed. NSX volverá a intentar crear las carpetas a intervalos predefinidos hasta que el estado cambie a Success.
    • Si el servicio cm-inventory en el nodo de NSX Manager está inactivo, es posible que produzca un error al crear la carpeta.

      NSX Manager utiliza este servicio para recuperar información sobre VDS o los hosts de forma dinámica desde VMware vCenter. Cuando los miembros del grupo de este servicio están inactivos, se mostrará una alarma que pertenece a la función Agrupación en clústeres en NSX Manager.

  2. Inicie sesión en vSphere Client, abra el panel Inventario y compruebe que se crearon las carpetas de proyecto y VDS.

    Por ejemplo, supongamos que agregó dos proyectos llamados Project-1, Project-2 y Project-3 en su implementación de NSX, y que la opción Organizar grupos de puertos de NSX en carpetas de vCenter está activada para estos proyectos. La siguiente captura de pantalla muestra que se crea una carpeta raíz llamada NSX Managed Folders dentro del objeto Datacenter. Las carpetas de proyecto y VPC se crean dentro de la carpeta raíz.

    Cada una de estas carpetas de proyecto tendrá carpetas dentro de ellos para cada una de sus VPC y segmentos. A continuación, cada VPC tendrá subcarpetas para cada subred. Dentro de las carpetas de segmento y subred, el usuario puede encontrar todos los grupos de puertos de NSX asignados a este segmento/subred.
    Nota: Un solo segmento o subred de NSX crea un grupo de puertos de NSX por VDS, todos ellos con el mismo nombre. Todos esos grupos de puertos se reagrupan en la carpeta que vuelve a agrupar el segmento o la subred.

    Esta captura de pantalla se describe en el texto adyacente.

    Más adelante, cuando agregue segmentos o NSX VPC en los proyectos, o agregue subredes en las VPC, estos se organizarán dentro de carpetas en VMware vCenter.