Dans un environnement NSX à locataires multiples, vous pouvez configurer un sous-ensemble de fonctionnalités de NSX sous les projets.

Cela offre une flexibilité aux locataires, tout en permettant à l'administrateur d'entreprise et aux autres administrateurs de l'espace par défaut de contrôler le cycle de vie et la connectivité système globaux.

Tableau 1. Fonctionnalités disponibles sous Projets

Fonctionnalité de NSX

Disponible sous Projets

Remarques

Système

Clusters Edge

Attribué lors de la création du projet

Lors de la création d'un projet, l'administrateur d'entreprise attribue un cluster Edge de l'espace par défaut à un projet.

Cycle de vie du système

Géré par l'administrateur d'entreprise

Les opérations à l'échelle de la plate-forme telles que l'installation, la mise à niveau et la sauvegarde sont gérées par l'administrateur d'entreprise.

Certificats

Oui

Les tâches de gestion des certificats sont disponibles sous des projets uniquement pour les certificats de service.

Mise en réseau

Passerelle de niveau 0 ou VRF de niveau 0

Attribué lors de la création du projet

Lors de la création d'un projet, l'administrateur d'entreprise attribue une passerelle de niveau 0 ou une passerelle VRF de niveau 0 de l'espace par défaut à un projet.

Les services sur la passerelle de niveau 0 sont gérés par l'administrateur d'entreprise à partir de l'espace par défaut.

Routage dynamique (BGP/OSPF)

Géré par l'administrateur d'entreprise

Le routage dynamique est configuré sur la passerelle de niveau 0 ou la passerelle VRF de niveau 0 par l'administrateur d'entreprise.

EVPN

Géré par l'administrateur d'entreprise

EVPN est configuré sur la passerelle de niveau 0 ou la passerelle VRF de niveau 0 par l'administrateur d'entreprise.

Passerelle de niveau 1

Oui

Routage statique

Oui

Le routage statique sur la passerelle de niveau 1 est configuré par l'administrateur de projet.

Segments de superposition

Oui

Segments VLAN

Non

Profils de segments

  • SpoofGuard
  • Découverte d'adresses IP
  • Détection d'adresses MAC
  • Sécurité du segment
  • QoS

Oui

Pont de niveau 2

Non

VPN de couche 2

Oui

Sur chaque passerelle de niveau 1 du projet, vous ne pouvez configurer qu'un seul service VPN L2.

VPN IPSec (VPN L3)

Oui

Sur chaque passerelle de niveau 1 du projet, vous ne pouvez configurer qu'un seul service IPSec.

Pour la configuration d'un VPN IPSec basé sur les routes, les routes statiques sont prises en charge. Le routage dynamique avec interface de tunnel virtuel (VTI) utilisant BGP n'est pas pris en charge sur la passerelle de niveau 1 du projet.

NAT

Oui

Équilibreur de charge

Non

Redirecteur DNS

  • Services DNS
  • Zones DNS

Oui

Pools d'adresses IP/Blocs d'adresses IP

Oui

Profils IPv6 (DAD/ND)

Oui

Profils de qualité de service de passerelle (QoS)

Oui

Relais DHCP et DHCP

Oui

Sécurité

Pare-feu distribué

Oui

Uniquement pour les machines virtuelles connectées à des segments dans un projet. Les règles de pare-feu gérées par l'administrateur d'entreprise dans l'espace par défaut ont la priorité la plus élevée, suivie des stratégies de projet.

Les stratégies DFW avec des groupes Antrea dans Sources, Destinations ou Appliqué à des règles de pare-feu ne sont pas prises en charge sous les projets.

Liste d'exclusion

Géré par l'administrateur d'entreprise

La liste d'exclusion exclut une machine virtuelle de toutes les règles d'application de pare-feu.

Pare-feu de passerelle

Oui

L'administrateur d'entreprise et l'administrateur de projet peuvent gérer les règles de pare-feu de passerelle sur les passerelles de niveau 1 du projet uniquement dans le contexte d'un projet. L'administrateur de projet peut supprimer ou modifier les règles de pare-feu de passerelle dans le projet qui sont créées par l'administrateur d'entreprise.

Pare-feu d'identité

Non

Le pare-feu d'identité n'est pas disponible sous les projets. Les règles de pare-feu d'identité ne peuvent être configurées que dans l'espace par défaut et ces règles peuvent être appliquées aux machines virtuelles dans les projets.

IDS/IPS distribué

Oui (à partir de NSX 4.1.1)

Non (dans NSX 4.1)

IDS/IPS de passerelle

Protection contre les programmes malveillants

Déchiffrement TLS

Non

Inspection TLS

Filtrage de nom de domaine complet

Filtrage d'URL

Non

Oui

Oui

Le tableau de bord Analyse du nom de domaine complet n'est pas exposé à l'administrateur de projet. Il n'est disponible que pour l'administrateur d'entreprise.

Profils de pare-feu

  • Temporisateur de la session
  • Protection de propagation
  • Sécurité DNS

Oui

Inventaire

Services

Oui

Groupes (appartenances statiques et dynamiques)

Oui

Les types de membres Kubernetes ne sont pas disponibles sous un projet pour la création de critères d'appartenance dynamique.

Groupes Antrea

Non

Profils de contexte/Profils d'accès L7

Oui

Balises

Oui

Machines virtuelles (visibilité/balisage)

Oui

Uniquement pour les machines virtuelles connectées à des segments dans un projet.

Clusters de conteneurs

Non

Les ressources Kubernetes dans des clusters Antrea Kubernetes enregistrés dans NSX ne sont pas exposées à l'inventaire du projet.

Planifier et dépanner

Traceflow

Oui

Traceflow peut uniquement utiliser des machines virtuelles et des ports faisant partie du projet. Si la destination est une adresse IP qui route vers un autre projet, ces détails sont masqués dans la sortie Traceflow.

Antrea Traceflow

Non

Analyse du trafic en direct

Non

IPFIX

Géré par l'administrateur d'entreprise

IPFIX est géré de manière centralisée par l'administrateur d'entreprise dans l'espace par défaut.

Mise en miroir de ports

Géré par l'administrateur d'entreprise

La mise en miroir de ports est configurée de manière centralisée par l'administrateur d'entreprise dans l'espace par défaut.

NSX Intelligence

Non

Les fonctionnalités de NSX Intelligence ne sont pas exposées à l'administrateur de projet. Seul l'administrateur d'entreprise NSX dispose d'un accès complet à toutes les fonctionnalités de NSX Intelligence.

Les fonctionnalités de NSX Intelligence (visualisation du flux réseau, recommandations de microsegmentation et analyse de trafic suspect) ne prennent pas en compte les projets. Ces fonctionnalités fonctionnent avec toutes les données de flux de trafic réseau dans l'intégralité de votre environnement NSX sur site. Si la mutualisation est utilisée, c'est-à-dire si des projets sont définis dans votre environnement NSX, NSX Intelligence affiche tous les objets NSX qui se trouvent dans l'espace par défaut et tous les objets NSX de tous les projets, que vous utilisiez la vue Par défaut ou la vue Tous les projets.