Les projets vous aident à isoler les configurations de mise en réseau et de sécurité entre les locataires dans un déploiement NSX unique.

Conditions préalables

Vous devez disposer du rôle d'administrateur d'entreprise.

Procédure

  1. À partir de votre navigateur, connectez-vous à un dispositif NSX Manager sur https://nsx-manager-ip-address.
  2. Cliquez sur Par défaut, puis sur Gérer.
  3. Cliquez sur Ajouter un projet.
  4. (Requis) Entrez un nom pour le projet.
  5. Sélectionnez une passerelle de niveau 0 ou VRF de niveau 0 que les charges de travail de ce projet peuvent utiliser pour la connectivité nord-sud avec le réseau physique en dehors de NSX.

    Vous pouvez sélectionner plusieurs passerelles si nécessaire. Si aucune passerelle n'est sélectionnée, les charges de travail du projet n'auront pas de connectivité nord-sud.

    Note : Par défaut, le projet est créé dans la zone de transport de superposition par défaut du système. Par conséquent, les passerelles de niveau 0/VRF associées à la zone de transport par défaut s'affichent dans le menu déroulant.

    Une passerelle de niveau 0 ou VRF de niveau 0 peut être attribuée à plusieurs projets. Autrement dit, l'allocation d'une passerelle de niveau 0/VRF à un projet (par exemple, le projet 1) ne vous empêche pas de l'allouer à d'autres projets (par exemple, le projet 2 et le projet 3).

  6. Sélectionnez un cluster Edge à associer à ce projet.

    Les clusters Edge sélectionnés pourront être consommés à l'intérieur du projet à l'avenir. Par exemple, les clusters Edge peuvent être consommés pour exécuter des services centralisés tels que NAT, pare-feu de passerelle, DHCP, etc., que vous configurez sur les passerelles de niveau 1 dans le projet. Les clusters Edge associés au projet n'ont pas nécessairement besoin d'exécuter les passerelles de niveau 0 associées au projet.

    Les clusters Edge spécifiés au niveau du projet sont requis pour les services centralisés (NAT, Pare-feu de passerelle, VPN, DHCP). Si aucun service n'est requis, vous pouvez ignorer le cluster Edge.

    Un cluster Edge peut être attribué à plusieurs projets. Autrement dit, l'allocation d'un cluster Edge à un projet (par exemple, le projet 1) ne vous empêche pas de l'allouer à d'autres projets (par exemple, le projet 2 et le projet 3).

    Note : Les clusters Edge associés à la zone de transport de superposition par défaut s'affichent dans le menu déroulant.
  7. Dans le champ Blocs IPv4 externes, sélectionnez un ou plusieurs blocs IPv4 existants.

    Les blocs IPv4 sélectionnés deviendront disponibles lorsque vous ajouterez des sous-réseaux publics dans les VPC NSX du projet. Le système attribuera des blocs CIDR aux sous-réseaux publics dans les VPC NSX à partir de ces blocs IPv4 externes. Les utilisateurs de VPC peuvent également utiliser les blocs d'adresses IP externes pour ajouter des règles NAT dans les VPC NSX.

    Si aucun bloc IPv4 ne peut être sélectionné, cliquez sur le menu Actions, puis cliquez sur Créer pour ajouter un bloc d'adresses IP.

    Les blocs IPv4 externes ne doivent pas se chevaucher dans un projet et ils ne doivent pas se chevaucher sur la même passerelle de niveau 0.

    Par exemple, supposons que le Projet A soit connecté à la passerelle A de niveau 0 et que le Projet B soit connecté à la passerelle B de niveau 0. Les passerelles de niveau 0 de ces deux projets sont isolées. Dans ce cas, les projets A et B peuvent utiliser les mêmes blocs d'adresses IP externes ou se chevauchant, car ils sont connectés à des passerelles de niveau 0 distinctes.

  8. Dans la zone de texte Identifiant de journal court, entrez une chaîne que le système peut utiliser pour identifier les journaux générés dans le contexte de ce projet.

    L'identifiant court du journal est appliqué aux journaux de sécurité et aux journaux d'audit.

    Si vous avez dédié une passerelle de niveau 0/VRF à un projet en configurant le paramètre dedicated_resources dans l'API project, l'identifiant de journal court est ajouté aux messages de journal générés dans le Syslog Edge pour les services centralisés, qui s'exécutent sur la passerelle de niveau 0/VRF. Pour en savoir plus, reportez-vous à la section Activation du contexte de projet dans le Syslog NSX Edge.

    Cet identifiant doit être unique dans tous les projets de votre environnement NSX.

    L'identifiant ne doit pas dépasser huit caractères alphanumériques. S'il n'est pas spécifié, le système le génère automatiquement lorsque vous enregistrez le projet. Une fois l'identifiant défini, vous ne pouvez pas le modifier.

  9. Activez l'option Organiser des groupes de ports NSX dans des dossiers vCenter si vous souhaitez que le système crée des dossiers pour ce projet sur l'instance de VMware vCenter Server®.

    Par défaut, cette option est désactivée.

    Note : Cette option s'applique uniquement lorsque la version des serveurs VMware vCenter enregistrés dans votre déploiement NSX est 8.0 Update 3 ou une version ultérieure.
    Si cette option est activée et que le système détecte que la version de VMware vCenter est antérieure à 8.0 Update 3, un message d'avertissement s'affiche et ce paramètre n'est pas appliqué dans le projet. Autrement dit, les dossiers ne sont pas créés pour le projet dans VMware vCenter.
    Important :
    • Si l'option Instances multiples de NSX est activée pour l'un des serveurs VMware vCenter enregistrés dans votre déploiement NSX, les dossiers ne peuvent pas être créés pour le projet dans VMware vCenter.
    • Inversement, si vous avez créé un projet dans NSX avec l'option Organiser des groupes de ports NSX dans des dossiers vCenter activée, vous ne pouvez pas activer l'option Instances multiples de NSX pour les serveurs VMware vCenter enregistrés en tant que gestionnaires de calcul dans votre déploiement NSX.

    Lorsque vous activez cette option, le paramètre est propagé à tous les VPC NSX qui sont ajoutés dans ce projet. Toutefois, ce paramètre est en lecture seule dans un NSX VPC et ne peut pas être remplacé dans le VPC.

    Pour comprendre la hiérarchie de dossiers créée dans VMware vCenter lorsque cette option est activée pour le projet, reportez-vous à la section Exemple : organisation des groupes de ports NSX dans des dossiers VMware vCenter.

    L'organisation hiérarchique des dossiers de projet et VPC permet à l'administrateur vSphere de gérer facilement les groupes de ports NSX dans VMware vCenter. Par exemple, supposons que l'administrateur vSphere souhaite attribuer une autorisation lecture seule à un utilisateur vSphere nommé « Tom » pour les 10 groupes de ports NSX dans VPC X. L'administrateur vSphere peut attribuer l'autorisation lecture seule à Tom sur le dossier VPC X et choisir de propager cette autorisation à tous les enfants de ce dossier.

    Un autre avantage de la hiérarchie de dossiers est que si des segments NSX sont créés avec le même nom dans le projet, le VPC et l'espace par défaut, ces segments sont plus faciles à trouver dans le volet Inventaire de l'interface utilisateur de vSphere Client. Cela est dû au fait que les groupes de ports NSX correspondant à des segments dans le projet et les sous-réseaux dans le VPC sont regroupés sous leurs dossiers de projet et VPC respectifs.

    Les groupes de ports NSX correspondant aux segments dans l'espace par défaut ne sont pas organisés en dossiers VMware vCenter. Ces groupes de ports NSX sont placés sous l'objet vSphere Distributed Switch (VDS).

    Le cycle de vie des dossiers de projet et VPC est géré par NSX. Les utilisateurs de vSphere ne peuvent pas renommer, déplacer ou supprimer les dossiers de projet ou VPC, car ces dossiers appartiennent à NSX. Lorsqu'un projet ou un VPC est supprimé dans NSX, le dossier correspondant est supprimé de VMware vCenter. De même, lorsque des projets ou des VPC sont renommés dans NSX, les noms de dossier correspondants changent dans VMware vCenter.

    Dans VMware vCenter, les actions suivantes sont autorisées sur les dossiers et les groupes de ports créés par NSX :
    • Attribuer des autorisations à des utilisateurs ou à des groupes vSphere.

      Par exemple, en associant le privilège Attribuer le réseau aux utilisateurs ou aux groupes d'un dossier, un administrateur vSphere peut limiter les utilisateurs qui peuvent connecter des machines virtuelles de charge de travail aux groupes de ports, qui appartiennent à des projets ou à des VPC NSX.

    • Ajouter/activer/désactiver des alarmes.
    • Attribuer ou supprimer des balises vSphere.
    • Modifier des groupes de ports NSX à l'aide de l'interface utilisateur de NSX Manager.

    Une fois le projet enregistré, vous pouvez désactiver cette option si nécessaire. Cette action n'a pas d'incidence sur les charges de travail connectées aux segments de projet ou aux sous-réseaux VPC NSX. Seul le placement des groupes de ports NSX change dans VMware vCenter. Autrement dit, lorsque cette option est désactivée, les dossiers de projet et VPC sont supprimés, et les groupes de ports NSX sont déplacés sous l'objet VDS dans VMware vCenter.

  10. Utilisez l'option Activer les règles de pare-feu distribué par défaut pour activer ou désactiver les règles de pare-feu distribué par défaut pour ce projet.

    Les règles DFW par défaut permettent la communication entre les machines virtuelles de charge de travail au sein du projet, y compris la communication avec le serveur DHCP. Toutes les autres communications sont bloquées.

    Cette option est modifiable uniquement lorsque vous appliquez une licence de sécurité appropriée dans votre déploiement de NSX qui autorise le système à utiliser la fonctionnalité de sécurité du pare-feu distribué. Ce paramètre active uniquement les règles de pare-feu distribué par défaut pour le projet. Il ne désactive pas le pare-feu distribué dans le projet.

    Par exemple, si un service de pare-feu distribué est activé dans votre plate-forme NSX, vous pouvez toujours désactiver les règles de pare-feu par défaut du projet. Dans ce cas, les règles de pare-feu distribué par défaut à l'échelle du système qui sont configurées dans l'espace par défaut seront appliquées au projet.

    Pour une explication de l'état par défaut de l'option Activer les règles de pare-feu distribué par défaut dans le projet dans divers scénarios, reportez-vous à la section Règles de pare-feu par défaut du projet NSX : considérations relatives aux licences.

  11. Entrez éventuellement une description pour le projet.
  12. Entrez éventuellement des balises pour ce projet.
  13. Cliquez sur Enregistrer.

Que faire ensuite

Si vous avez activé l'option Organiser des groupes de ports NSX dans des dossiers vCenter pour le projet, procédez comme suit :

  1. Vérifiez l'état du projet. Lorsque des dossiers sont créés dans VMware vCenter, l'état indique Réussite. Cet état représente l'état global ou consolidé de tous les dossiers qui ont été créés par NSX dans VMware vCenter lors de la création de ce projet.

    Si l'état global en regard de l'option indique Échec, examinez les détails de l'erreur pour connaître la raison de l'échec.

    Exemples de situations d'échec :
    • Si le serveur VMware vCenter est inactif lorsque les dossiers sont réalisés, la création des dossiers peut échouer. NSX ne peut pas communiquer avec VMware vCenter. Dans ce cas, l'état global des dossiers du projet indique Échec. NSX réessaie de créer les dossiers à des intervalles prédéfinis jusqu'à ce que l'état passe à Réussite.
    • Si le service cm-inventory sur le nœud NSX Manager est inactif, la création des dossiers peut échouer.

      NSX Manager utilise ce service pour récupérer dynamiquement des informations sur le VDS ou les hôtes à partir de VMware vCenter. Lorsque les membres du groupe de ce service sont inactifs, une alarme appartenant à la fonctionnalité Clustering s'affiche dans NSX Manager.

  2. Connectez-vous à vSphere Client, ouvrez le volet Inventaire, puis vérifiez que les dossiers de projet et VDS sont créés.

    Par exemple, supposons que vous ayez ajouté trois projets nommés Project-1, Project-2 et Project-3 dans votre déploiement NSX, et que l'option Organiser des groupes de ports NSX dans des dossiers vCenter soit activée pour ces projets. La capture d'écran suivante montre qu'un dossier racine appelé NSX Managed Folders est créé à l'intérieur de l'objet Datacenter. Les dossiers de projet et les dossiers sont créés à l'intérieur du dossier racine.

    Chaque dossier de projet comprend des dossiers pour chacun de ses VPC et segments. Chaque VPC comprend ensuite des sous-dossiers pour chaque sous-réseau. Dans les dossiers de segment et de sous-réseau, l'utilisateur peut trouver tous les groupes de ports NSX mappés à ce segment/sous-réseau.
    Note : Un seul segment ou sous-réseau NSX crée un groupe de ports NSX par VDS, tous portant le même nom. Tous ces groupes de ports sont regroupés sous le dossier regroupant le segment ou le sous-réseau.

    Cette capture d'écran est décrite dans le texte qui s'y rapporte.

    Par la suite, lorsque vous ajoutez des segments dans les projets, ajoutez des VPC NSX dans les projets ou ajoutez des sous-réseaux dans les VPC, ils sont organisés dans des dossiers dans VMware vCenter.