Un projet dans NSX est analogue à un locataire. En créant des projets, vous pouvez isoler les objets de sécurité et de mise en réseau entre les locataires dans un déploiement NSX unique.
Supposons que NSX soit déployé sur le site d'une organisation. Cette organisation dispose actuellement de toutes ses configurations d'infrastructure, de mise en réseau et de sécurité dans l'espace par défaut, qui appartient à l'administrateur d'entreprise. Vous en apprendrez plus sur l'espace par défaut ultérieurement dans cette documentation.
- Isoler les configurations de mise en réseau et de sécurité de ses trois départements : Ventes, Marketing et Opérations.
- Déléguer les tâches de création et de gestion des configurations de mise en réseau et de sécurité pour chaque service à un ensemble spécifique d'utilisateurs NSX et éviter de donner à ces utilisateurs une visibilité sur tous les objets du système.
- Par défaut, autoriser les machines virtuelles de charge de travail au sein d'un service à communiquer uniquement avec d'autres machines virtuelles de charge de travail (y compris le serveur DHCP) dans le même service.
- Par défaut, bloquer la communication avec les charges de travail en dehors du service. Si une telle communication est requise, le système doit autoriser l'ajout de nouvelles règles ou modifier des règles existantes dans la stratégie de sécurité par défaut.
- Ventes
- Marketing
- Opérations
Dans un déploiement d'architecture mutualisée, les utilisateurs de chaque projet ont accès aux objets qu'ils créent dans leur projet et peuvent consommer des objets (en mode lecture seule) que l'administrateur d'entreprise a partagés avec leur projet à partir de l'espace par défaut.
- La configuration de l'architecture mutualisée dans votre déploiement de NSX est facultative et son implémentation n'a aucune incidence sur votre configuration de NSX existante.
- L’architecture mutualisée n'est actuellement pas prise en charge dans un environnement NSX Federation.
Modèle de données de stratégie mutualisée
Le modèle de données de la stratégie NSX est hiérarchique et dispose de deux branches créées par le système :
- L'administrateur d'entreprise gère la branche
/infra
. Les objets sous cette branche s'affichent dans la vue Par défaut sur l'interface utilisateur.Des rôles d'utilisateur autres que l'administrateur d'entreprise existent également dans la branche
/infra
. Les utilisateurs de cette branche ne sont liés à aucun projet spécifique. Cette documentation fait référence à ces utilisateurs en tant qu'utilisateurs « à l'échelle du système ». Ces utilisateurs peuvent configurer un sous-ensemble d'objets sous la branche/infra
.Les utilisateurs à l'échelle du système ont accès à tous les objets du système. Autrement dit, ils ont accès aux objets à l'intérieur de la vue Par défaut (site distant
/infra
) et à l'intérieur des projets.Parfois, cette documentation utilise le terme « espace par défaut » pour faire référence à des objets sous la vue Par défaut. En d'autres termes, « espace par défaut » et « vuepar défaut » sont utilisés de manière interchangeable. Ils signifient tous les deux la même chose. Pour en savoir plus sur la vue Par défaut, reportez-vous à la sous-section Présentation de la vue par défaut (espace par défaut) plus loin dans cette documentation.
- La branche
/orgs/default
contient les objets mutualisés. Chaque projet dispose de son propre espace pour héberger des objets qu'il possède.
Les projets sont créés sous /orgs/default
pour prendre en charge des ensembles indépendants de configurations de mise en réseau et sécurité pour chaque locataire.
Les configurations de projet sont définies sous /orgs/default/projects/<project-id>/infra
Les diagrammes suivants illustrent le modèle de données pour l'architecture mutualisée. Ces diagrammes représentent une vue partielle du modèle de données uniquement pour comprendre le concept. Le modèle de données de stratégie comporte plusieurs objets qui ne sont pas affichés.
La première figure illustre l'espace par défaut et deux projets sous l'organisation. La figure suivante montre la hiérarchie des objets dans les deux projets. Tous les projets 1 et 2 ont leur propre hiérarchie d'objets de mise en réseau et de sécurité NSX créés à l'intérieur du projet. Les objets créés à l'intérieur d'un projet appartiennent à ce projet.
Les passerelles de niveau 0 et les clusters Edge appartiennent à l'espace par défaut et peuvent être alloués à des projets sous l'organisation. Vous ne pouvez pas créer de passerelles de niveau 0 et de clusters Edge à l'intérieur d'un projet.
Chaque projet peut éventuellement disposer de ses propres passerelles de niveau 1, qui doivent être configurées dans le projet. En d’autres termes, les passerelles de niveau 1 doivent appartenir au projet. Un projet ne peut pas utiliser les passerelles de niveau 1 configurées dans l'espace par défaut.
Organisation par défaut
Un déploiement NSX dispose d'une organisation par défaut. Vous ne pouvez pas créer, modifier ou supprimer l'organisation par défaut. L'objet d'organisation est créé par le système au démarrage. Les passerelles de niveau 0 et les clusters Edge du système peuvent être alloués à des projets sous l'organisation.
L'objet Organisation est créé par le système avec l'identifiant suivant :
/orgs/defaultL'objet Organisation n'est pas visible dans l'interface utilisateur.
Présentation du menu déroulant Projet
Le menu déroulant Projet est disponible dans la barre d'application, qui se trouve en haut de l'interface utilisateur de NSX Manager. Pour afficher ce menu, cliquez sur Par défaut, comme indiqué dans la capture d'écran suivante.
Ce menu affiche la liste des projets auxquels vous avez accès. Vous pouvez utiliser ce menu pour basculer entre les projets et gérer les objets dans vos projets attribués.
- Présentation de la vue par défaut (espace par défaut)
-
Lorsque vous vous connectez à NSX Manager pour la première fois, le menu déroulant Projet affiche uniquement la vue Par défaut. Aucun projet créé par l'utilisateur n'existe dans le système, comme indiqué dans la capture d'écran précédente.
La vue Par défaut est visible par l'administrateur d'entreprise et par les autres rôles d'utilisateur à l'échelle du système qui ne sont attribués à aucun projet spécifique. Cette vue contient :- Tous les objets de votre infrastructure NSX tels que les hôtes, les passerelles de niveau 0, les clusters Edge, les zones de transport, etc.
- Objets globaux de gestion des utilisateurs.
- Objets sous l'espace
/infra
du modèle de données de stratégie hiérarchique, tels que les passerelles de niveau 1, les segments, les stratégies de pare-feu, etc. - Partages de ressources
En bref, la vue Par défaut contient des objets NSX qui n'appartiennent à aucun projet. La seule exception est que sur la page Machines virtuelles de la vue Par défaut, toutes les machines virtuelles du système s'affichent. Autrement dit, les machines virtuelles connectées à :- Segments dans l'espace par défaut.
- Segments dans les projets.
- Sous-réseaux dans le NSX VPC au sein du projet.
Les machines virtuelles qui ne sont connectées à aucun segment dans NSX sont également affichées dans l'espace par défaut. Ces machines virtuelles sont affichées comme Non connectées.
Cette exception permet à un administrateur d'entreprise d'afficher toutes les machines virtuelles qui s'exécutent dans le système à partir de l'espace par défaut lui-même. L'administrateur d'entreprise peut attribuer des balises à n'importe quelle machine virtuelle du système et leur appliquer des stratégies de sécurité.
Lorsqu'un administrateur d'entreprise se connecte à NSX Manager, la vue Par défaut s'affiche, comme indiqué dans la capture d'écran suivante. Notez que tous les onglets s'affichent dans l'interface utilisateur. La page Aperçu affiche un résumé général des objets dans l'espace par défaut.
Après la création d'un ou de plusieurs projets dans votre déploiement de NSX, ces projets s'affichent dans le menu déroulant Projet, comme indiqué dans la capture d'écran suivante.
Un administrateur d'entreprise peut afficher tous les projets du système. D'autres rôles d'utilisateur à l'échelle du système, tels qu'un auditeur, peuvent également afficher tous les projets dans le système. Les utilisateurs qui sont attribués à des projets spécifiques avec des rôles, tels que l'administrateur de projet, l'administrateur de sécurité, l'administrateur réseau, l'opérateur de sécurité et l'opérateur de réseau peuvent afficher les projets auxquels ils ont accès.
Par exemple, lorsqu'un administrateur de projet se connecte à NSX Manager, la vue propre au projet s'affiche, comme indiqué dans la capture d'écran suivante. La page Présentation affiche un résumé général des objets créés dans le projet.
Lorsque vous effectuez une mise à niveau à partir d'une version antérieure de NSX vers NSX 4.1 ou vers une version ultérieure, l'espace par défaut héberge toutes les configurations d'infrastructure, de mise en réseau et de sécurité existantes. Vous pouvez continuer à utiliser l'espace par défaut pour toutes les exigences de mise en réseau et de sécurité de votre organisation. Les propriétés des objets de mise en réseau et de sécurité existants ou le chemin de ces objets ne sont pas modifiés. La création de projets est facultative.
Si vous avez créé des projets dans votre déploiement de NSX 4.0.1.1 à l'aide de l'API NSX, puis effectué une mise à niveau vers la version 4.1 ou vers une version ultérieure, la vue Par défaut et les vues du projet sont répertoriées dans le menu déroulant Projet. Vous pouvez basculer entre les vues de projet et la vue Par défaut pour afficher les objets sous chacune d'elles. En outre, le menu Projet affiche également la vue Tous les projets, décrite dans la section suivante.
- Présentation de la vue Tous les projets
-
- La vue Tous les projets est disponible pour tous les rôles d'utilisateur à l'échelle du système qui ne sont attribués à aucun projet spécifique. Autrement dit, cette vue est disponible pour tous les utilisateurs ayant accès à l’espace par défaut. Par exemple, administrateur d'entreprise, auditeur, etc.
- Cette vue est disponible dans le menu déroulant Projet uniquement après l'ajout d'au moins un projet dans votre déploiement de NSX.
- Cette vue affiche les configurations de mise en réseau et de sécurité dans tous les projets, y compris l'espace par défaut.
- Les objets de cette vue s'affichent en mode lecture seule.
Dans la vue Tous les projets, les objets de mise en réseau et de sécurité affichent une icône en forme de pilule en regard du nom de l'objet pour indiquer si l'objet appartient à l'espace par défaut ou à un projet.
Par exemple, la capture d'écran suivante montre la liste des segments sur la page Segments. Les icônes en forme de pilule qui sont mises en surbrillance dans la zone verte indiquent à qui appartient chaque segment, l'espace par défaut ou le projet.
Instances de Virtual Private Cloud NSX
Un projet peut éventuellement contenir une ou plusieurs instances de Virtual Private Cloud (VPC) NSX.
Un VPC représente un réseau privé autonome dans un projet NSX que les développeurs d'applications ou les ingénieurs DevOps peuvent utiliser pour héberger leurs applications et consommer des objets de mise en réseau et de sécurité à l'aide d'un modèle de consommation en libre-service.
Les VPC NSX représentent une couche supplémentaire d'architecture mutualisée au sein d'un projet. Cela fournit un modèle de consommation simplifié des services de mise en réseau et de sécurité, qui est aligné sur l'expérience que vous auriez dans un environnement de cloud public.
Les VPC NSX ne peuvent être créés que dans des projets. Ils ne peuvent pas être créés dans l'espace par défaut.
Les configurations VPC sont définies sous le chemin d'accès suivant du modèle de données de stratégie NSX :
/orgs/default/projects/<project-id>/vpcs/<vpc-id>
Pour en savoir plus sur NSX VPC, reportez-vous à la section Instances de Virtual Private Cloud NSX.