Les projets vous aident à isoler les configurations de mise en réseau et de sécurité entre les locataires dans un déploiement NSX unique.
Conditions préalables
Vous devez disposer du rôle d'administrateur d'entreprise.
Procédure
- À partir de votre navigateur, connectez-vous à un dispositif NSX Manager sur https://nsx-manager-ip-address.
- Cliquez sur Par défaut, puis sur Gérer.
- Cliquez sur Ajouter un projet.
- (Requis) Entrez un nom pour le projet.
- Sélectionnez une passerelle de niveau 0 ou VRF de niveau 0 que les charges de travail de ce projet peuvent utiliser pour la connectivité nord-sud avec le réseau physique en dehors de NSX.
Vous pouvez sélectionner plusieurs passerelles, si nécessaire. Si aucune passerelle n'est sélectionnée, les charges de travail du projet n'auront pas de connectivité nord-sud.
Note : Par défaut, le projet est créé dans la zone de transport de superposition par défaut du système. Par conséquent, les passerelles de niveau 0/VRF associées à la zone de transport par défaut s'affichent dans le menu déroulant.Une passerelle de niveau 0 ou VRF de niveau 0 peut être attribuée à plusieurs projets. Autrement dit, l'allocation d'une passerelle de niveau 0/VRF à un projet (par exemple, le projet 1) ne vous empêche pas de l'allouer à d'autres projets (par exemple, le projet 2 et le projet 3).
- Sélectionnez un cluster Edge à associer à ce projet.
Les clusters Edge sélectionnés pourront être consommés à l'intérieur du projet à l'avenir. Par exemple, les clusters Edge peuvent être consommés pour exécuter des services centralisés tels que NAT, pare-feu de passerelle, DHCP, etc., que vous configurez sur les passerelles de niveau 1 dans le projet. Lorsque vous ajoutez des VPC NSX dans le projet, les mêmes clusters Edge sont consommés pour fournir des services centralisés aux charges de travail dans les VPC.
Le projet peut être associé aux mêmes clusters Edge, qui sont utilisés par la passerelle de niveau 0/VRF de niveau 0 qui est attribuée au projet. Si nécessaire, vous pouvez associer des clusters Edge distincts au projet et à la passerelle de niveau 0/VRF de niveau 0. Un cluster Edge peut être attribué à plusieurs projets. Autrement dit, l'allocation d'un cluster Edge à un projet (par exemple, le projet 1) ne vous empêche pas de l'allouer à d'autres projets (par exemple, le projet 2 et le projet 3).
Note : Les clusters Edge associés à la zone de transport de superposition par défaut s'affichent dans le menu déroulant. - Dans le champ Blocs IPv4 externes, sélectionnez un ou plusieurs blocs IPv4 existants.
Les blocs IPv4 sélectionnés deviendront disponibles lorsque vous ajouterez des sous-réseaux publics dans les VPC NSX du projet. Le système attribuera des blocs CIDR aux sous-réseaux publics dans les VPC NSX à partir de ces blocs IPv4 externes. Les utilisateurs de VPC peuvent également utiliser les blocs d'adresses IP externes pour ajouter des règles NAT dans les VPC NSX.
Si aucun bloc IPv4 ne peut être sélectionné, cliquez sur le
, puis cliquez sur Créer pour ajouter un bloc d'adresses IP.Les blocs IPv4 externes ne doivent pas se chevaucher dans un projet et ils ne doivent pas se chevaucher sur la même passerelle de niveau 0.
Par exemple, supposons que le projet A est connecté à la passerelle A de niveau 0, que le projet B est connecté à la passerelle B de niveau 0 et les passerelles de niveau 0 de ces deux projets sont isolées. Dans ce cas, les projets A et B peuvent utiliser les mêmes blocs d'adresses IP externes ou se chevauchant, car ils sont connectés à des passerelles de niveau 0 distinctes.
- Dans la zone de texte Identifiant de journal court, entrez une chaîne que le système peut utiliser pour identifier les journaux générés dans le contexte de ce projet.
L'identifiant court du journal est appliqué aux journaux de sécurité et aux journaux d'audit.
Si vous avez dédié une passerelle de niveau 0/VRF à un projet en configurant le paramètre dedicated_resources dans l'API project, l'identifiant de journal court est ajouté aux messages de journal générés dans le Syslog Edge pour les services centralisés, qui s'exécutent sur la passerelle de niveau 0/VRF. Pour en savoir plus, reportez-vous à la section Activation du contexte de projet dans le Syslog NSX Edge.
Cet identifiant doit être unique dans tous les projets de votre environnement NSX.
L'identifiant ne doit pas dépasser huit caractères alphanumériques. S'il n'est pas spécifié, le système le génère automatiquement lorsque vous enregistrez le projet. Une fois l'identifiant défini, vous ne pouvez pas le modifier.
- Utilisez l'option Activer les règles de pare-feu distribué par défaut pour activer ou désactiver les règles de pare-feu distribué par défaut pour ce projet.
Les règles DFW par défaut permettent la communication entre les machines virtuelles de charge de travail au sein du projet, y compris la communication avec le serveur DHCP. Toutes les autres communications sont bloquées.
Cette option est modifiable uniquement lorsque vous appliquez une licence de sécurité appropriée dans votre déploiement de NSX qui autorise le système à utiliser la fonctionnalité de sécurité du pare-feu distribué. Ce paramètre active uniquement les règles de pare-feu distribué par défaut pour le projet. Il ne désactive pas le pare-feu distribué dans le projet.
Par exemple, si le service de pare-feu distribué est activé dans votre plate-forme NSX, vous pouvez toujours désactiver les règles de pare-feu par défaut du projet. Dans ce cas, les règles de pare-feu distribué par défaut à l'échelle du système qui sont configurées dans l'espace par défaut seront appliquées au projet.
Le tableau suivant décrit l'état par défaut de l'option Activer les règles de pare-feu distribué par défaut dans le projet dans divers scénarios. Le terme « licence de base » utilisé dans ce tableau fait référence à l'une des deux licences suivantes :
- Mise en réseau NSX pour VMware Cloud Foundation
- Licence de solution pour VCF
N° de scénario Scénario État par défaut de l'option Remarques 1
Vous êtes un nouveau client NSX et avez appliqué une licence de base qui autorise le système uniquement aux fonctionnalités de mise en réseau NSX.
Désactivé
Cette option n'est pas modifiable, car la licence appliquée actuelle ne prend pas en charge la configuration des règles de sécurité de pare-feu distribué.
Vous devez appliquer la licence de sécurité appropriée dans le système, puis activer cette option pour activer les règles de pare-feu distribué par défaut dans le projet.
2
Vous êtes un nouveau client NSX. Le jour 0, vous avez appliqué une licence de base qui autorise le système à accéder aux fonctionnalités de mise en réseau NSX. Vous avez également appliqué une licence de sécurité appropriée qui autorise le système à accéder à la sécurité du pare-feu distribué.
Activé
Les règles de pare-feu distribué par défaut sont activées pour le projet.
Vous pouvez le désactiver dans le projet, si nécessaire.
3
Vous êtes un nouveau client NSX. Le jour 0, vous avez appliqué uniquement la licence de base qui autorise le système à n’accéder qu’aux fonctionnalités de mise en réseau NSX. Vous avez ajouté des projets dans le système, disons, les projets A et B
Plus tard, lors des opérations du jour 2, vous avez appliqué une licence de sécurité appropriée qui autorise le système à accéder à la sécurité du pare-feu distribué.
Maintenant, vous avez ajouté des règles de pare-feu distribué définies par l'utilisateur dans les projets existants A et B, et vous avez également créé de nouveaux projets dans le système, disons, les projets C et D.
Désactivé : pour les projets préexistants dans le système
Activé : pour les nouveaux projets dans le système
Dans ce scénario, le terme « projets préexistants » fait référence aux projets qui existaient dans le système avant l'application de la licence de sécurité le jour 2. Dans ce scénario, ils font référence aux projets A et B. Le terme « nouveaux projets » fait référence aux projets ajoutés dans le système après l'application de la licence de sécurité au jour 2. Dans ce scénario, ils font référence aux projets C et D.
Pour les projets préexistants A et B, le comportement du système est le suivant :
Cette option sera dans l'état Désactivé, par défaut. Les règles DFW définies par l'utilisateur sont efficaces dans les projets A et B. Si vous souhaitez activer les règles de pare-feu distribué par défaut dans ces projets, ouvrez-les en mode d'édition et activez cette option manuellement. Toutefois, lorsqu'elle est activée, elle peut avoir une incidence sur le comportement du trafic est-ouest dans les projets A et B.
Pour les nouveaux projets C et D, le comportement du système est le suivant :
Cette option sera à l'état Activé par défaut. Autrement dit, pour les projets C et D, les règles de pare-feu distribué par défaut sont activées, par défaut. Si nécessaire, vous pouvez les désactiver afin que seules les règles de pare-feu distribué définies par l'utilisateur soient effectives dans ces projets.
4
Vous êtes un client NSX existant disposant d'une licence NSX héritée qui autorise votre système à accéder à DFW complet.
Après l'expiration de la licence héritée, vous avez appliqué une licence de base qui autorise votre système à accéder aux fonctionnalités de mise en réseau NSX, et vous avez également appliqué une licence de sécurité qui autorise votre système à accéder à la sécurité du pare-feu distribué.
Activé
Les règles de pare-feu distribué par défaut et les règles de pare-feu distribué définies par l'utilisateur continuent de s'exécuter dans les projets existants que vous avez créés avant de passer à la nouvelle licence. Il n'y a aucune modification dans le comportement du système.
Pour tous les nouveaux projets que vous ajoutez après la modification de la licence, cette option est activée par défaut. Vous pouvez éventuellement la désactiver, si nécessaire.
5
Vous êtes un client NSX existant disposant d'une licence NSX héritée qui autorise votre système à accéder à DFW complet. Vous avez ajouté deux projets dans le système, disons, les projets A et B.
Après l'expiration de la licence héritée actuelle, vous avez appliqué la licence de base qui autorise votre système à accéder uniquement aux fonctionnalités de mise en réseau NSX. La licence de sécurité n'est pas appliquée.
Maintenant, vous avez créé deux nouveaux projets dans le système, disons, les projets C et D.
Activé : pour les projets préexistants
Désactivé : pour les nouveaux projets
Dans ce scénario, le terme « projets préexistants » fait référence aux projets qui ont été ajoutés au système lorsque la licence NSX héritée était valide. Dans ce scénario, ils font référence aux projets A et B. Le terme « nouveaux projets » fait référence aux projets ajoutés dans le système après l'application de la licence de base. Dans ce scénario, ils font référence aux projets C et D.
Pour les projets préexistants A et B, le comportement du système est le suivant :
Cette option est à l'état Activé, par défaut. Vous pouvez la désactiver, si nécessaire. Cependant, cette action n'est pas réversible. Autrement dit, vous ne pouvez pas réactiver les règles de pare-feu E-O par défaut dans les projets A et B.
Les règles de pare-feu distribué par défaut et les règles de pare-feu distribué définies par l'utilisateur continuent de s'exécuter dans les projets A et B. Mais vous ne pouvez pas les modifier. Vous ne pouvez pas non plus ajouter de nouvelles règles de pare-feu distribué. Cependant, vous pouvez supprimer les règles de pare-feu définies par l'utilisateur existantes.
Pour disposer d'un accès complet aux règles de pare-feu distribué, vous devez appliquer une licence de sécurité appropriée.
Pour les nouveaux projets C et D, le comportement du système est le suivant :
Cette option est dans l'état Désactivé, par défaut. Vous ne pouvez pas l'activer, car la licence appliquée actuelle n'autorise pas le système à accéder à la fonctionnalité de pare-feu distribué.
6 Vous êtes un nouveau client NSX et votre système est passé en mode Évaluation, qui est valide pendant 60 jours.
Désactivé
Pendant la période d'évaluation d'un nouveau déploiement NSX, le système n'est autorisé à utiliser que les fonctionnalités de mise en réseau. Les fonctionnalités de sécurité ne sont pas autorisées.
- Entrez éventuellement une description pour le projet.
- Cliquez sur Enregistrer.
