Un progetto in NSX è analogo a un tenant. Creando progetti, è possibile isolare gli oggetti di sicurezza e di rete tra tenant in una singola distribuzione di NSX.
Si supponga che un'organizzazione denominata abbia distribuito NSX nel proprio sito. Questa organizzazione dispone attualmente di tutte le proprie configurazioni di infrastruttura, rete e sicurezza nello spazio predefinito, che è di proprietà dell'amministratore aziendale. Ulteriori informazioni sullo spazio predefinito saranno illustrate in seguito in questa documentazione.
- Isolare le configurazioni di rete e sicurezza per i suoi tre reparti: Vendite, Marketing e Operazioni.
- Delegare le attività di creazione e gestione delle configurazioni di rete e sicurezza per ogni reparto a un set specifico di utenti NSX ed evitare di concedere a questi utenti la visibilità di tutti gli oggetti nel sistema.
- Per impostazione predefinita, consentire alle macchine virtuali del carico di lavoro di un reparto di comunicare solo con altre macchine virtuali del carico di lavoro (incluso il server DHCP) nello stesso reparto.
- Per impostazione predefinita, bloccare la comunicazione con i carichi di lavoro esterni al reparto. Se tale comunicazione è necessaria, il sistema deve consentire l'aggiunta di nuove regole o la modifica di regole esistenti nel criterio di sicurezza predefinito.
- Vendite
- Marketing
- Operazioni
In una distribuzione multi-tenancy, gli utenti di ogni progetto hanno accesso agli oggetti creati nel progetto e possono utilizzare gli oggetti (in modalità di sola lettura) che l'amministratore aziendale ha condiviso con il loro progetto dallo spazio predefinito.
- L'impostazione del multi-tenancy nella distribuzione di NSX è facoltativa e la sua implementazione non ha alcun impatto sulla configurazione di NSX esistente.
- La multi-tenancy non è attualmente supportata in un ambiente federazione di NSX.
Modello dati di criterio multi-tenancy
Il modello di dati del criterio NSX è gerarchico e dispone di due rami creati dal sistema:
- Il ramo
/infra
è gestito dall'amministratore aziendale. Gli oggetti sotto questo ramo vengono visualizzati nella vista Predefinita nell'interfaccia utente.Nel ramo
/infra
esistono anche ruoli utente diversi dall'amministratore aziendale. Gli utenti di questo ramo non sono collegati ad alcun progetto specifico. La presente documentazione fa riferimento a questi utenti come utenti "a livello di sistema". Questi utenti possono configurare un sottoinsieme di oggetti nel ramo/infra
.Gli utenti a livello di sistema hanno accesso a tutti gli oggetti nel sistema. Questo significa che possono accedere agli oggetti all'interno della visualizzazione Predefinita (ramo
/infra
) e all'interno dei progetti.A volte, questa documentazione utilizza il termine "spazio predefinito" per fare riferimento a oggetti nella vista Predefinita. In altre parole, i termini "spazio predefinito" e "visualizzazione Predefinita" vengono utilizzati in modo intercambiabile. Hanno lo stesso significato. Per ulteriori informazioni sulla visualizzazione Predefinita, vedere la sottosezione Panoramica della visualizzazione Predefinita (spazio predefinito) più avanti in questa documentazione.
- Il ramo
/orgs/default
contiene gli oggetti multi-tenancy. Ogni progetto dispone del proprio spazio per ospitare gli oggetti di cui è proprietario.
I progetti vengono creati in /orgs/default
per supportare set indipendenti di configurazioni di rete e sicurezza per ogni tenant.
Le configurazioni del progetto vengono impostate in /orgs/default/projects/<project-id>/infra
I diagrammi seguenti illustrano il modello di dati per la multi-tenancy. Questi diagrammi rappresentano una visualizzazione parziale del modello di dati esclusivamente ai fini della comprensione del concetto. Il modello di dati del criterio include diversi oggetti, che non sono visualizzati.
La prima figura mostra lo spazio predefinito e due progetti nell'organizzazione. La figura successiva mostra la gerarchia degli oggetti in entrambi i progetti. Nell'organizzazione, i progetti 1 e 2 dispongono di una propria gerarchia di oggetti di NSX di rete e sicurezza creati all'interno del progetto. Gli oggetti creati all'interno di un progetto sono di proprietà di tale progetto.
I gateway di livello 0 e i cluster Edge sono di proprietà dello spazio predefinito e possono essere allocati ai progetti nell'organizzazione. Non è possibile creare gateway di livello 0 e cluster Edge dentro un progetto.
Ogni progetto può facoltativamente avere i propri gateway di livello 1, che devono essere configurati nel progetto. In altre parole, i gateway di livello 1 devono essere di proprietà del progetto. Un progetto non può utilizzare i gateway di livello 1 configurati nello spazio predefinito.
Organizzazione predefinita
Una distribuzione NSX dispone di un'organizzazione predefinita. Non è possibile creare, modificare o eliminare l'organizzazione predefinita. L'oggetto organizzazione viene creato dal sistema all'avvio. I gateway di livello 0 e i cluster Edge nel sistema possono essere allocati a progetti nell'organizzazione.
L'oggetto organizzazione viene creato dal sistema con il seguente identificatore:
/orgs/defaultL'oggetto organizzazione non è visibile nell'interfaccia utente.
Informazioni sul menu a discesa Progetto
Il menu a discesa Progetto è disponibile nella barra dell'applicazione, che si trova nella parte superiore dell'interfaccia utente di NSX Manager. Per visualizzare questo menu, fare clic su Predefinito, come illustrato nella schermata seguente.
In questo menu viene visualizzato l'elenco dei progetti a cui si è autorizzati ad accedere. È possibile utilizzare questo menu per passare da un progetto all'altro e gestire gli oggetti nei progetti assegnati.
- Panoramica della visualizzazione Predefinita (spazio predefinito)
-
Quando si accede a NSX Manager per la prima volta, il menu a discesa Progetto mostra solo la vista Predefinita. Nel sistema non sono presenti progetti creati dall'utente, come mostrato nella schermata precedente.
La vista Predefinita è visibile all'amministratore aziendale e agli altri ruoli utente a livello di sistema che non sono assegnati ad alcun progetto specifico. Questa visualizzazione contiene:- Tutti gli oggetti nella struttura di NSX, ad esempio host, gateway di livello 0, cluster Edge, zone di trasporto e così via.
- Oggetti di gestione degli utenti globali.
- Oggetti nello spazio
/infra
del modello di dati del criterio gerarchico, ad esempio gateway di livello 1, segmenti, gruppi, criteri firewall e così via. - Condivisioni risorse
In breve, la visualizzazione Predefinita contiene oggetti di NSX che non appartengono a nessun progetto. L'unica eccezione è che nella pagina Macchine virtuali della vista Predefinita vengono visualizzate tutte le macchine virtuali del sistema. Ovvero, macchine virtuali connesse a:- Segmenti nello spazio predefinito.
- Segmenti nei progetti.
- Le subnet nel VPC NSX all'interno del progetto.
Anche le macchine virtuali che non sono connesse ad alcun segmento in NSX vengono visualizzate nello spazio predefinito. Tali macchine virtuali vengono visualizzate come Non connessa.
Questa eccezione consente a un amministratore aziendale di visualizzare tutte le macchine virtuali in esecuzione nel sistema dallo spazio predefinito stesso. L'amministratore aziendale può assegnare tag a qualsiasi macchina virtuale nel sistema e applicare criteri di sicurezza a tali tag.
Quando un amministratore aziendale accede a NSX Manager, viene mostrata la vista Predefinita, come illustrato nella schermata seguente. Osservare che nell'interfaccia utente vengono visualizzate tutte le schede. La pagina Panoramica mostra un riepilogo generale degli oggetti nello spazio predefinito.
Dopo aver creato uno o più progetti nella distribuzione di NSX, questi progetti vengono visualizzati nel menu a discesa Progetto, come illustrato nella schermata seguente.
Un amministratore aziendale può visualizzare tutti i progetti nel sistema. Anche altri ruoli utente a livello di sistema, ad esempio un revisore, possono visualizzare tutti i progetti nel sistema. Gli utenti assegnati a progetti specifici che dispongono di ruoli, ad esempio amministratore del progetto, amministratore della sicurezza, amministratore di rete, operatore della sicurezza e operatore di rete, possono visualizzare i progetti a cui hanno accesso.
Ad esempio, quando un amministratore del progetto accede a NSX Manager, viene visualizzata la visualizzazione specifica del progetto, come illustrato nella schermata seguente. Osservare che la scheda Sistema non è visibile all'amministratore del progetto. Nella pagina Panoramica viene visualizzato un riepilogo generale degli oggetti creati nel progetto.
Quando si esegue l'aggiornamento da una versione precedente di NSX a NSX 4.1 o versione successiva, lo spazio predefinito ospiterà tutte le configurazioni di infrastruttura, rete e sicurezza esistenti. È possibile continuare a utilizzare lo spazio predefinito per tutti i requisiti di rete e sicurezza dell'organizzazione. Le proprietà degli oggetti di rete e sicurezza esistenti o il percorso di tali oggetti non vengono modificati. La creazione dei progetti è facoltativa.
Se sono stati creati progetti nella distribuzione di NSX 4.0.1.1 utilizzando l'API di NSX e quindi è stato effettuato l'aggiornamento alla versione 4.1 o successive, la visualizzazione Predefinita e le visualizzazioni del progetto sono elencate nel menu a discesa Progetto. È possibile passare dalla visualizzazione progetto alla visualizzazione Predefinita per visualizzare gli oggetti al di sotto di ciascuna visualizzazione. Inoltre, il menu a discesa Progetto mostra anche la visualizzazione Tutti i progetti, descritta nella sezione seguente.
- Panoramica della visualizzazione Tutti i progetti
-
- La visualizzazione Tutti i progetti è disponibile per tutti i ruoli utente a livello di sistema che non sono assegnati ad alcun progetto specifico. Ciò significa che questa visualizzazione è disponibile per tutti gli utenti che hanno accesso allo spazio predefinito. Ad esempio, amministratore aziendale, revisore e così via.
- Questa visualizzazione è disponibile nel menu a discesa Progetto solo dopo l'aggiunta di almeno un progetto nella distribuzione di NSX.
- In questa visualizzazione vengono mostrate le configurazioni di rete e sicurezza in tutti i progetti, incluso lo spazio predefinito.
- Gli oggetti in questa visualizzazione vengono mostrati in modalità sola lettura.
Nella visualizzazione Tutti i progetti, gli oggetti di rete e sicurezza mostrano un'icona a forma di pillola accanto al nome dell'oggetto per indicare se l'oggetto è di proprietà dello spazio predefinito o di un progetto.
Ad esempio, la schermata seguente mostra l'elenco dei segmenti nella pagina Segmenti. Le icone a forma di pillola evidenziate nella casella verde indicano chi possiede ciascun segmento, ovvero lo spazio predefinito o il progetto.
Virtual Private Cloud di NSX
A partire da NSX 4.1.1, un progetto può contenere facoltativamente uno o più Virtual Private Cloud (VPC) NSX.
Un VPC rappresenta una rete privata autonoma all'interno di un progetto NSX che gli sviluppatori di applicazioni o gli ingegneri DevOps dell'organizzazione possono utilizzare per ospitare le proprie applicazioni e utilizzare gli oggetti di rete e sicurezza utilizzando un modello di consumo self-service.
I VPC NSX possono essere creati solo nei progetti. Non possono essere create nello spazio predefinito.
Le configurazioni di VPC vengono configurate nel percorso seguente del modello dati del criterio di NSX:
/orgs/default/projects/<project-id>/vpcs/<vpc-id>
Per ulteriori informazioni su VPC NSX, vedere Virtual Private Cloud di NSX.