I progetti consentono di isolare le configurazioni di rete e sicurezza tra tenant in un'unica distribuzione di NSX.

Prerequisiti

È necessario disporre del ruolo Amministratore aziendale.

Procedura

  1. Dal browser, accedere a NSX Manager all'indirizzo https://nsx-manager-ip-address.
  2. Fare clic su Predefinito e quindi su Gestisci.
  3. Fare clic su Aggiungi progetto.
  4. (Obbligatorio) Immettere un nome per il progetto.
  5. Selezionare un gateway di livello 0 o un gateway VRF di livello 0 utilizzabile dai carichi di lavoro di questo progetto per la connettività nord-sud con la rete fisica esterna a NSX.

    Se necessario, è possibile selezionare più gateway. Se non viene selezionato nessun gateway, i carichi di lavoro nel progetto non avranno connettività nord-sud.

    Nota: Per impostazione predefinita, il progetto viene creato nella zona di trasporto overlay predefinita del sistema. Pertanto, i gateway di livello 0/VRF associati alla zona di trasporto predefinita vengono visualizzati nel menu a discesa.

    Un gateway di livello 0 o un gateway VRF di livello 0 può essere assegnato a più progetti. Ciò significa che l'allocazione di un gateway di livello 0 o un gateway VRF di livello 0 a un progetto (ad esempio il progetto 1) non impedisce di allocarlo ad altri progetti (ad esempio progetto 2 e progetto 3).

  6. Selezionare un cluster Edge da associare a questo progetto.

    I cluster Edge selezionati possono essere utilizzati all'interno del progetto in futuro. Ad esempio, i cluster Edge possono essere utilizzati per l'esecuzione di servizi centralizzati come NAT, firewall del gateway, DHCP e così via, configurati nei gateway di livello 1 all'interno del progetto. I cluster Edge associati al progetto non devono necessariamente eseguire i gateway di livello 0 associati al progetto.

    I cluster Edge specificati a livello di progetto sono necessari per i servizi centralizzati (NAT, firewall del gateway, VPN, DHCP). Se non è necessario alcun servizio, il cluster Edge può essere ignorato.

    Un cluster Edge può essere assegnato a più progetti. Ciò significa che l'allocazione di un cluster Edge a un progetto (ad esempio il progetto 1) non impedisce di allocarlo ad altri progetti (ad esempio progetto 2 e progetto 3).

    Nota: I cluster Edge associati alla zona di trasporto overlay predefinita vengono visualizzati nel menu a discesa.
  7. Nel campo Blocchi IPv4 esterni selezionare uno o più blocchi IPv4 esistenti.

    I blocchi IPv4 selezionati diventeranno disponibili quando si aggiungono subnet pubbliche nei VPC di NSX nel progetto. Il sistema assegnerà blocchi CIDR alle subnet pubbliche nei VPC di NSX da questi blocchi IPv4 esterni. Gli utenti di VPC possono usare i blocchi IP esterni anche per l'aggiunta di regole NAT nei VPC di NSX.

    Se non è disponibile alcun blocco di IPv4 per la selezione, fare clic su Menu Azioni e quindi su Crea nuovo per aggiungere un blocco di indirizzi IP.

    I blocchi di IPv4 esterni non devono sovrapporsi tra loro all'interno di un progetto e non devono sovrapporsi nello stesso gateway di livello 0.

    Si supponga ad esempio che il progetto A sia connesso al gateway A di livello 0 e che il progetto B sia connesso al gateway B di livello 0. I gateway di livello 0 di questi due progetti sono isolati. In questo caso, i progetti A e B possono utilizzare blocchi di IP esterni uguali o sovrapposti perché sono connessi a gateway di livello 0 separati.

  8. Nella casella di testo Identificatore registro breve immettere una stringa che il sistema può utilizzare per identificare i registri generati nel contesto di questo progetto.

    L'identificatore di registro breve viene applicato ai registri di sicurezza e ai registri di controllo.

    Se si dedica un gateway di livello 0/VRF a un progetto configurando il parametro dedicated_resources nell'API project, l'identificatore di registro breve viene aggiunto ai messaggi del registro generati nel syslog dell'Edge per i servizi centralizzati in esecuzione nel gateway di livello 0/VRF. Per ulteriori informazioni, vedere Abilitazione del contesto del progetto nel syslog di NSX Edge.

    L'identificatore deve essere univoco in tutti i progetti nell'ambiente di NSX.

    L'identificatore non può includere più di otto caratteri alfanumerici. Se non è specificato, il sistema lo genera automaticamente quando si salva il progetto. Dopo aver impostato l'identificatore, non è possibile modificarlo.

  9. Attivare l'interruttore Organizzazione gruppi di porte NSX in cartelle vCenter se si desidera che il sistema crei le cartelle per questo progetto in VMware vCenter Server®.

    Per impostazione predefinita, l'interruttore è disattivato.

    Nota: Questo interruttore è applicabile solo quando la versione delle istanze di VMware vCenter Server registrate nella distribuzione di NSX è 8.0 Update 3 o successiva.
    Se l'interruttore è attivato e il sistema rileva che la versione di VMware vCenter è precedente alla 8.0 Update 3, viene visualizzato un messaggio di avviso e questa impostazione non viene applicata nel progetto. Ciò significa che le cartelle per il progetto non vengono create in VMware vCenter.
    Importante:
    • Se l'opzione Multi NSX è attivata per una delle istanze di VMware vCenter Server registrate nella distribuzione di NSX, non è possibile creare le cartelle per il progetto in VMware vCenter.
    • Al contrario, se si crea un progetto in NSX con l'interruttore Organizzazione gruppi di porte NSX in cartelle vCenter attivato, non è possibile attivare Multi NSX per le istanze di VMware vCenter Server registrate come gestori delle risorse di elaborazione nella distribuzione di NSX.

    Quando si attiva questo interruttore, l'impostazione viene propagata a tutti i VPC NSX aggiunti in questo progetto. Tuttavia, questa impostazione è di sola lettura in un VPC NSX e non può essere sostituita nel VPC.

    Per comprendere la gerarchia di cartelle creata in VMware vCenter quando questo interruttore è attivato per il progetto, vedere Esempio: organizzazione di gruppi di porte di NSX in cartelle di VMware vCenter.

    L'organizzazione gerarchica delle cartelle di progetto e VPC consente all'amministratore di vSphere di gestire facilmente i gruppi di porte di NSX in VMware vCenter. Si supponga ad esempio che l'amministratore di vSphere desideri assegnare un'autorizzazione sola lettura a un utente di vSphere denominato "Tom" per tutti i 10 gruppi di porte di NSX in VPC X. L'amministratore di vSphere può assegnare l'autorizzazione sola lettura a Tom per la cartella VPC X e scegliere di propagare questa autorizzazione a tutti gli elementi secondari in questa cartella.

    Un altro vantaggio della gerarchia di cartelle consiste nel fatto che se i segmenti di NSX vengono creati con lo stesso nome nello spazio predefinito, nel progetto e in VPC, questi segmenti sono più facili da trovare nel riquadro Inventario dell'interfaccia utente di vSphere Client. Il motivo è che i gruppi di porte di NSX corrispondenti ai segmenti nel progetto e alle subnet in VPC sono raggruppati nelle rispettive cartelle di progetto e VPC.

    I gruppi di porte di NSX corrispondenti ai segmenti nello spazio predefinito non sono organizzati in cartelle di VMware vCenter. Questi gruppi di porte di NSX vengono posizionati sotto l'oggetto vSphere Distributed Switch (VDS).

    Il ciclo di vita delle cartelle del progetto e di VPC viene gestito da NSX. Gli utenti di vSphere non possono rinominare, spostare o eliminare le cartelle del progetto o di VPC perché queste cartelle sono di proprietà di NSX. Quando un progetto o un VPC viene eliminato in NSX, la cartella corrispondente viene eliminata da VMware vCenter. Analogamente, quando i progetti o i VPC vengono rinominati in NSX, i nomi delle cartelle corrispondenti cambiano in VMware vCenter.

    In VMware vCenter, nelle cartelle e nei gruppi di porte creati da NSX sono consentite le azioni seguenti:
    • Assegnare le autorizzazioni a utenti e gruppi di vSphere.

      Ad esempio, associando il privilegio Assegna rete a utenti o gruppi per una cartella, un amministratore di vSphere può limitare gli utenti che possono connettere le macchine virtuali del carico di lavoro ai gruppi di porte, che appartengono a progetti o VPC di NSX.

    • Aggiungere/abilitare/disabilitare gli allarmi.
    • Assegnare o rimuovere i tag vSphere.
    • Modificare gruppi di porte di NSX utilizzando l'interfaccia utente di NSX Manager.

    Dopo aver salvato il progetto, è possibile disattivare questo interruttore, se necessario. Questa azione non influisce sui carichi di lavoro connessi ai segmenti del progetto o alle subnet VPC di NSX. Solo il posizionamento dei gruppi di porte di NSX cambia in VMware vCenter. Ciò significa che quando questo interruttore è disattivato, le cartelle del progetto e di VPC vengono eliminate e i gruppi di porte di NSX vengono spostati nell'oggetto VDS in VMware vCenter.

  10. Utilizzare l'interruttore Attivazione delle regole predefinite del firewall distribuito per attivare o disattivare le regole del firewall distribuito predefinite per questo progetto.

    Le regole DFW predefinite consentono la comunicazione tra le macchine virtuali del carico di lavoro all'interno del progetto, inclusa la comunicazione con il server DHCP. Tutte le altre comunicazioni sono bloccate.

    Questo interruttore può essere modificato solo quando nella distribuzione di NSX si applica una licenza di sicurezza appropriata che autorizza il sistema all'utilizzo della funzionalità di sicurezza del firewall distribuito. Questa impostazione attiva/disattiva solo le regole del firewall distribuito predefinite per il progetto. Non disattiva il firewall distribuito nel progetto.

    Ad esempio, se un servizio firewall distribuito è attivato nella piattaforma di NSX, è comunque possibile disattivare le regole del firewall predefinite del progetto. In questo caso, al progetto verranno applicate le regole del firewall distribuito predefinite a livello di sistema configurate nello spazio predefinito.

    Per una spiegazione dello stato predefinito dell'interruttore Attivazione delle regole predefinite del firewall distribuito nel progetto in vari scenari, vedere Regole del firewall predefinite del progetto di NSX: considerazioni sulle licenze.

  11. Facoltativamente, immettere una descrizione per il progetto.
  12. Facoltativamente, immettere eventuali tag per questo progetto.
  13. Fare clic su Salva.

Operazioni successive

Se è stato attivato l'interruttore Organizzazione gruppi di porte NSX in cartelle vCenter per il progetto, eseguire i passaggi seguenti:

  1. Controllare lo stato del progetto. Quando le cartelle vengono create correttamente in VMware vCenter, lo stato è Operazione eseguita. Questo stato rappresenta lo stato generale o consolidato di tutte le cartelle create da NSX in VMware vCenter al momento della creazione del progetto.

    Se lo stato generale accanto all'interruttore viene visualizzato come Non riuscita, controllare i dettagli dell'errore per conoscere il motivo della mancata riuscita.

    Esempi di situazioni di errore:
    • Se VMware vCenter Server è inattivo durante la realizzazione delle cartelle, è possibile che la creazione della cartella non riesca. NSX non sarà in grado di comunicare con VMware vCenter. In questo caso, lo stato generale della cartella per il progetto è Non riuscita. NSX tenterà di creare nuovamente le cartelle a intervalli predefiniti finché lo stato non diventerà Operazione riuscita.
    • Se il servizio cm-inventory nel nodo NSX Manager è inattivo, è possibile che la creazione della cartella non riesca.

      NSX Manager utilizza questo servizio per recuperare dinamicamente informazioni sul VDS o sugli host da VMware vCenter. Quando i membri del gruppo di questo servizio sono inattivi, in NSX Manager viene visualizzato un allarme appartenente alla funzionalità Clustering.

  2. Accedere a vSphere Client, aprire il riquadro Inventario e verificare che le cartelle del progetto e di VDS siano state create.

    Si supponga ad esempio di aver aggiunto tre progetti denominati Progetto-1, Progetto-2 e Progetto-3 nella distribuzione di NSX e che l'interruttore Organizzazione gruppi di porte NSX in cartelle vCenter sia attivato per questi progetti. La schermata seguente mostra che all'interno dell'oggetto Datacenter viene creata una cartella radice denominata NSX Managed Folders. Le cartelle del progetto vengono create all'interno della cartella radice.

    Ciascuna di queste cartelle di progetto conterrà cartelle per ogni suo VPC e segmento. Ogni VPC avrà quindi sottocartelle per ogni subnet. All'interno delle cartelle Segmento e Subnet l'utente può trovare tutti i gruppi di porte di NSX mappati al segmento o alla subnet.
    Nota: Un singolo segmento NSX o una singola subnet crea un gruppo di porte di NSX per ogni VDS, tutti con lo stesso nome. Tutti i gruppi di porte vengono raggruppati nella cartella che raggruppa il segmento o la subnet.

    Questa schermata è descritta nel testo circostante.

    In seguito, quando si aggiungono segmenti nei progetti o si aggiungono VPC di NSX nei progetti oppure subnet nei VPC, vengono organizzati all'interno delle cartelle in VMware vCenter.