I progetti consentono di isolare le configurazioni di rete e sicurezza tra tenant in un'unica distribuzione di NSX.
Prerequisiti
È necessario disporre del ruolo Amministratore aziendale.
Procedura
- Dal browser, accedere a NSX Manager all'indirizzo https://nsx-manager-ip-address.
- Fare clic su Predefinito e quindi su Gestisci.
- Fare clic su Aggiungi progetto.
- (Obbligatorio) Immettere un nome per il progetto.
- Selezionare un gateway di livello 0 o un gateway VRF di livello 0 utilizzabile dai carichi di lavoro di questo progetto per la connettività nord-sud con la rete fisica esterna a NSX.
Se necessario, è possibile selezionare più gateway. Se non viene selezionato nessun gateway, i carichi di lavoro nel progetto non avranno connettività nord-sud.
Nota: Per impostazione predefinita, il progetto viene creato nella zona di trasporto overlay predefinita del sistema. Pertanto, i gateway di livello 0/VRF associati alla zona di trasporto predefinita vengono visualizzati nel menu a discesa.Un gateway di livello 0 o un gateway VRF di livello 0 può essere assegnato a più progetti. Ciò significa che l'allocazione di un gateway di livello 0 o un gateway VRF di livello 0 a un progetto (ad esempio il progetto 1) non impedisce di allocarlo ad altri progetti (ad esempio progetto 2 e progetto 3).
- Selezionare un cluster Edge da associare a questo progetto.
I cluster Edge selezionati possono essere utilizzati all'interno del progetto in futuro. Ad esempio, i cluster Edge possono essere utilizzati per l'esecuzione di servizi centralizzati come NAT, firewall del gateway, DHCP e così via, configurati nei gateway di livello 1 all'interno del progetto. Quando si aggiungono VPC di NSX nel progetto, gli stessi cluster Edge vengono utilizzati per fornire servizi centralizzati ai carichi di lavoro nei VPC.
Il progetto può essere associato agli stessi cluster Edge, che vengono utilizzati dal gateway di livello 0 o dal gateway VRF di livello 0 assegnato al progetto. Se necessario, è possibile associare cluster Edge separati al progetto e al gateway di livello 0 o al gateway VRF di livello 0. Un cluster edge può essere assegnato a più progetti. Ciò significa che l'allocazione di un cluster Edge a un progetto (ad esempio il progetto 1) non impedisce di allocarlo ad altri progetti (ad esempio progetto 2 e progetto 3).
Nota: I cluster Edge associati alla zona di trasporto overlay predefinita vengono visualizzati nel menu a discesa. - Nel campo Blocchi IPv4 esterni selezionare uno o più blocchi IPv4 esistenti.
I blocchi IPv4 selezionati diventeranno disponibili quando si aggiungono subnet pubbliche nei VPC di NSX nel progetto. Il sistema assegnerà blocchi CIDR alle subnet pubbliche nei VPC di NSX da questi blocchi IPv4 esterni. Gli utenti di VPC possono usare i blocchi IP esterni anche per l'aggiunta di regole NAT nei VPC di NSX.
Se non è disponibile alcun blocco di IPv4 per la selezione, fare clic su
e quindi su Crea nuovo per aggiungere un blocco di indirizzi IP.I blocchi di IPv4 esterni non devono sovrapporsi tra loro all'interno di un progetto e non devono sovrapporsi nello stesso gateway di livello 0.
Si supponga ad esempio che il progetto A sia connesso al gateway A di livello 0, che il progetto B sia connesso al gateway B di livello 0 e che i gateway di livello 0 di questi due progetti sono isolati. In questo caso, i progetti A e B possono utilizzare blocchi di IP esterni uguali o sovrapposti perché sono connessi a gateway di livello 0 separati.
- Nella casella di testo Identificatore registro breve immettere una stringa che il sistema può utilizzare per identificare i registri generati nel contesto di questo progetto.
L'identificatore di registro breve viene applicato ai registri di sicurezza e ai registri di controllo.
Se si dedica un gateway di livello 0/VRF a un progetto configurando il parametro dedicated_resources nell'API project, l'identificatore di registro breve viene aggiunto ai messaggi del registro generati nel syslog dell'Edge per i servizi centralizzati in esecuzione nel gateway di livello 0/VRF. Per ulteriori informazioni, vedere Abilitazione del contesto del progetto nel syslog di NSX Edge.
L'identificatore deve essere univoco in tutti i progetti nell'ambiente di NSX.
L'identificatore non può includere più di otto caratteri alfanumerici. Se non è specificato, il sistema lo genera automaticamente quando si salva il progetto. Dopo aver impostato l'identificatore, non è possibile modificarlo.
- Utilizzare l'interruttore Attivazione delle regole predefinite del firewall distribuito per attivare o disattivare le regole del firewall distribuito predefinite per questo progetto.
Le regole DFW predefinite consentono la comunicazione tra le macchine virtuali del carico di lavoro all'interno del progetto, inclusa la comunicazione con il server DHCP. Tutte le altre comunicazioni sono bloccate.
Questo interruttore può essere modificato solo quando nella distribuzione di NSX si applica una licenza di sicurezza appropriata che autorizza il sistema all'utilizzo della funzionalità di sicurezza del firewall distribuito. Questa impostazione attiva/disattiva solo le regole del firewall distribuito predefinite per il progetto. Non disattiva il firewall distribuito nel progetto.
Ad esempio, se il servizio firewall distribuito è attivato nella piattaforma di NSX, è comunque possibile disattivare le regole del firewall predefinite del progetto. In questo caso, al progetto verranno applicate le regole del firewall distribuito predefinite a livello di sistema configurate nello spazio predefinito.
La tabella seguente illustra lo stato predefinito dell'interruttore Attivazione delle regole predefinite del firewall distribuito nel progetto in vari scenari. Il termine "licenza base" utilizzato in questa tabella si riferisce a una delle due licenze seguenti:
- Rete di NSX per VMware Cloud Foundation
- Licenza della soluzione per VCF
N. di serie Scenario Stato predefinito dell'interruttore Note 1
In qualità di nuovo cliente di NSX si applica una licenza di base che autorizza il sistema a utilizzare solo le funzionalità di rete di NSX.
Disattivato
Questo interruttore non può essere modificato perché la licenza attualmente applicata non supporta la configurazione delle regole di sicurezza del firewall distribuito.
È necessario applicare la licenza di sicurezza appropriata nel sistema e quindi attivare questo interruttore per attivare le regole del firewall distribuito predefinite nel progetto.
2
Si è un nuovo cliente di NSX. Il giorno 0 è stata applicata una licenza di base che autorizza il sistema a utilizzare le funzionalità di rete di NSX. È stata inoltre applicata una licenza di sicurezza appropriata che autorizza il sistema a utilizzare la sicurezza del firewall distribuito.
Attivato
Le regole del firewall distribuito predefinite sono attivate per il progetto.
Se necessario, è possibile disattivarle nel progetto.
3
Si è un nuovo cliente di NSX. Il giorno 0 è stata applicata una licenza di base che autorizza il sistema a utilizzare solo le funzionalità di rete di NSX. Sono stati aggiunti alcuni progetti nel sistema, ad esempio i progetti A e B.
In seguito, durante le operazioni del giorno 2, è stata applicata una licenza di sicurezza appropriata che autorizza il sistema a utilizzare la sicurezza del firewall distribuito.
Ora si aggiungono regole del firewall distribuito definite dall'utente nei progetti A e B esistenti e si creano nuovi progetti nel sistema, ad esempio i progetti C e D.
Disattivato: per i progetti preesistenti nel sistema
Attivato: per i nuovi progetti nel sistema
In questo scenario, il termine "progetti preesistenti" si riferisce ai progetti che esistevano nel sistema prima dell'applicazione della licenza di sicurezza il giorno 2. In questo scenario, si riferisce ai progetti A e B. Il termine "nuovi progetti" si riferisce ai progetti aggiunti nel sistema dopo l'applicazione della licenza di sicurezza il giorno 2. In questo scenario, si riferisce ai progetti C e D.
Per i progetti A e B preesistenti, il comportamento del sistema è il seguente:
Per impostazione predefinita, lo stato di questo interruttore è Disattivato. Le regole DFW definite dall'utente sono effettive nei progetti A e B. Se si desidera attivare le regole del firewall distribuito predefinite in questi progetti, aprirli in modalità di modifica e attivare questo interruttore manualmente. Tuttavia, l'attivazione può influire sul comportamento del traffico est-ovest nei progetti A e B.
Per i nuovi progetti C e D, il comportamento del sistema è il seguente:
Per impostazione predefinita, lo stato di questo interruttore è Attivato. Ciò significa che per i progetti C e D, le regole del firewall distribuito predefinite sono attivate per impostazione predefinita. Se necessario, è possibile disattivarle in modo che solo le regole del firewall distribuito definite dall'utente siano effettive in questi progetti.
4
Si è un cliente di NSX esistente con una licenza di NSX legacy che autorizza il sistema all'accesso DFW completo.
Quando la licenza legacy scade, si applica una licenza di base che autorizza il sistema all'utilizzo delle funzionalità di rete di NSX, nonché una licenza di sicurezza che autorizza il sistema all'utilizzo della sicurezza del firewall distribuito.
Attivato
Le regole del firewall distribuito predefinite e le regole del firewall distribuito definite dall'utente continuano a essere eseguite nei progetti esistenti che sono stati creati prima di passare alla nuova licenza. Il comportamento del sistema non cambia in alcun modo.
Per tutti i nuovi progetti che vengono aggiunti dopo la modifica della licenza, questo interruttore è attivato per impostazione predefinita. Facoltativamente, è possibile disattivarlo, se necessario.
5
Si è un cliente di NSX esistente con una licenza di NSX legacy che autorizza il sistema all'accesso DFW completo. Nel sistema sono stati aggiunti due progetti, ad esempio i progetti A e B.
Dopo la scadenza della licenza legacy corrente, si applica la licenza di base che autorizza il sistema a utilizzare solo le funzionalità di rete di NSX. La licenza di sicurezza non viene applicata.
Ora si creano due nuovi progetti nel sistema, ad esempio i progetti C e D.
Attivato: per i progetti preesistenti
Disattivato: per i nuovi progetti
In questo scenario, il termine "progetti preesistenti" si riferisce ai progetti che sono stati aggiunti nel sistema quando la licenza legacy di NSX era valida. In questo scenario, si riferisce ai progetti A e B. Il termine "nuovi progetti" si riferisce ai progetti che sono stati aggiunti nel sistema dopo l'applicazione della licenza di base. In questo scenario, si riferisce ai progetti C e D.
Per i progetti A e B preesistenti, il comportamento del sistema è il seguente:
Per impostazione predefinita, lo stato di questo interruttore è Attivato. Se necessario, è possibile disattivarlo. Questa azione non tuttavia reversibile. Ciò significa che non è possibile attivare nuovamente le regole del firewall E-O predefinite nei progetti A e B.
Le regole del firewall distribuito predefinite e le regole del firewall distribuito definite dall'utente continuano a essere eseguite nei progetti A e B, ma non è possibile modificarle. Non è possibile nemmeno aggiungere nuove regole del firewall distribuito. È comunque possibile eliminare le regole del firewall definite dall'utente esistenti.
Per disporre dell'accesso completo alle regole del firewall distribuito, è necessario applicare una licenza di sicurezza appropriata.
Per i nuovi progetti C e D, il comportamento del sistema è il seguente:
Per impostazione predefinita, lo stato di questo interruttore è Disattivato. Non è possibile attivarlo perché la licenza attualmente applicata non autorizza il sistema all'utilizzo della funzionalità del firewall distribuito.
6 Si è un nuovo cliente di NSX e per il sistema è stata attivata la modalità di valutazione, valida per 60 giorni.
Disattivato
Durante il periodo di valutazione di una nuova distribuzione di NSX, il sistema è autorizzato solo all'utilizzo delle funzionalità di rete. Le funzionalità di sicurezza non sono autorizzate.
- Facoltativamente, immettere una descrizione per il progetto.
- Fare clic su Salva.
