Dans un environnement NSX à locataires multiples, vous pouvez configurer un sous-ensemble de fonctionnalités de NSX sous les projets.
Cela offre une flexibilité aux locataires, tout en permettant à l'administrateur d'entreprise et aux autres administrateurs de l'espace par défaut de contrôler le cycle de vie et la connectivité système globaux.
Fonctionnalité de NSX |
Disponible sous Projets |
Remarques |
---|---|---|
Système |
||
Clusters Edge |
Attribué lors de la création du projet |
Lors de la création d'un projet, l'administrateur d'entreprise attribue un cluster Edge de l'espace par défaut à un projet. |
Cycle de vie du système |
Géré par l'administrateur d'entreprise |
Les opérations à l'échelle de la plate-forme telles que l'installation, la mise à niveau et la sauvegarde sont gérées par l'administrateur d'entreprise. |
Certificats |
Oui |
Les tâches de gestion des certificats sont disponibles sous des projets uniquement pour les certificats de service. |
Mise en réseau |
||
Passerelle de niveau 0 ou VRF de niveau 0 |
Attribué lors de la création du projet |
Lors de la création d'un projet, l'administrateur d'entreprise attribue une passerelle de niveau 0 ou une passerelle VRF de niveau 0 de l'espace par défaut à un projet. Les services sur la passerelle de niveau 0 sont gérés par l'administrateur d'entreprise à partir de l'espace par défaut. |
Routage dynamique (BGP/OSPF) |
Géré par l'administrateur d'entreprise |
Le routage dynamique est configuré sur la passerelle de niveau 0 ou la passerelle VRF de niveau 0 par l'administrateur d'entreprise. |
EVPN |
Géré par l'administrateur d'entreprise |
EVPN est configuré sur la passerelle de niveau 0 ou la passerelle VRF de niveau 0 par l'administrateur d'entreprise. |
Passerelle de niveau 1 |
Oui |
|
Routage statique |
Oui |
Le routage statique sur la passerelle de niveau 1 est configuré par l'administrateur de projet. |
Segments de superposition |
Oui |
|
Segments VLAN |
Non |
|
Profils de segments
|
Oui |
|
Pont de niveau 2 |
Non |
|
VPN de couche 2 |
Oui |
Sur chaque passerelle de niveau 1 du projet, vous ne pouvez configurer qu'un seul service VPN L2. |
VPN IPSec (VPN L3) |
Oui |
Sur chaque passerelle de niveau 1 du projet, vous ne pouvez configurer qu'un seul service IPSec. Pour la configuration d'un VPN IPSec basé sur les routes, les routes statiques sont prises en charge. Le routage dynamique avec interface de tunnel virtuel (VTI) utilisant BGP n'est pas pris en charge sur la passerelle de niveau 1 du projet. |
NAT |
Oui |
|
Équilibreur de charge |
Non |
|
Redirecteur DNS
|
Oui |
|
Pools d'adresses IP/Blocs d'adresses IP |
Oui |
|
Profils IPv6 (DAD/ND) |
Oui |
|
Profils de qualité de service de passerelle (QoS) |
Oui |
|
Relais DHCP et DHCP |
Oui |
|
Sécurité |
||
Pare-feu distribué |
Oui |
Uniquement pour les machines virtuelles connectées à des segments dans un projet. Les règles de pare-feu gérées par l'administrateur d'entreprise dans l'espace par défaut ont la priorité la plus élevée, suivie des stratégies de projet. Les stratégies DFW avec des groupes Antrea dans Sources, Destinations ou Appliqué à des règles de pare-feu ne sont pas prises en charge sous les projets. |
Liste d'exclusion |
Géré par l'administrateur d'entreprise |
La liste d'exclusion exclut une machine virtuelle de toutes les règles d'application de pare-feu. |
Pare-feu de passerelle |
Oui |
L'administrateur d'entreprise et l'administrateur de projet peuvent gérer les règles de pare-feu de passerelle sur les passerelles de niveau 1 du projet uniquement dans le contexte d'un projet. L'administrateur de projet peut supprimer ou modifier les règles de pare-feu de passerelle dans le projet qui sont créées par l'administrateur d'entreprise. |
Pare-feu d'identité |
Non |
Le pare-feu d'identité n'est pas disponible sous les projets. Les règles de pare-feu d'identité ne peuvent être configurées que dans l'espace par défaut et ces règles peuvent être appliquées aux machines virtuelles dans les projets. |
IDS/IPS distribué |
Oui (à partir de NSX 4.1.1) Non (dans NSX 4.1) |
|
IDS/IPS de passerelle Protection contre les programmes malveillants Déchiffrement TLS |
Non |
|
Inspection TLS Filtrage de nom de domaine complet Filtrage d'URL |
Non Oui Oui |
Le tableau de bord Analyse du nom de domaine complet n'est pas exposé à l'administrateur de projet. Il n'est disponible que pour l'administrateur d'entreprise. |
Profils de pare-feu
|
Oui |
|
Inventaire |
||
Services |
Oui |
|
Groupes (appartenances statiques et dynamiques) |
Oui |
Les types de membres Kubernetes ne sont pas disponibles sous un projet pour la création de critères d'appartenance dynamique. |
Groupes Antrea |
Non |
|
Profils de contexte/Profils d'accès L7 |
Oui |
|
Balises |
Oui |
|
Machines virtuelles (visibilité/balisage) |
Oui |
Uniquement pour les machines virtuelles connectées à des segments dans un projet. |
Clusters de conteneurs |
Non |
Les ressources Kubernetes dans des clusters Antrea Kubernetes enregistrés dans NSX ne sont pas exposées à l'inventaire du projet. |
Planifier et dépanner |
||
Traceflow |
Oui |
Traceflow peut uniquement utiliser des machines virtuelles et des ports faisant partie du projet. Si la destination est une adresse IP qui route vers un autre projet, ces détails sont masqués dans la sortie Traceflow. |
Antrea Traceflow |
Non |
|
Analyse du trafic en direct |
Non |
|
IPFIX |
Géré par l'administrateur d'entreprise |
IPFIX est géré de manière centralisée par l'administrateur d'entreprise dans l'espace par défaut. |
Mise en miroir de ports |
Géré par l'administrateur d'entreprise |
La mise en miroir de ports est configurée de manière centralisée par l'administrateur d'entreprise dans l'espace par défaut. |
NSX Intelligence |
Non |
Les fonctionnalités de NSX Intelligence ne sont pas exposées à l'administrateur de projet. Seul l'administrateur d'entreprise NSX dispose d'un accès complet à toutes les fonctionnalités de NSX Intelligence. Les fonctionnalités de NSX Intelligence (visualisation du flux réseau, recommandations de microsegmentation et analyse de trafic suspect) ne prennent pas en compte les projets. Ces fonctionnalités fonctionnent avec toutes les données de flux de trafic réseau dans l'intégralité de votre environnement NSX sur site. Si la mutualisation est utilisée, c'est-à-dire si des projets sont définis dans votre environnement NSX, NSX Intelligence affiche tous les objets NSX qui se trouvent dans l'espace par défaut et tous les objets NSX de tous les projets, que vous utilisiez la vue Par défaut ou la vue Tous les projets. |