In un ambiente NSX multi-tenant, è possibile configurare un sottoinsieme di funzionalità NSX nei progetti.
Ciò offre flessibilità ai tenant, consentendo agli amministratori aziendali e agli altri amministratori dello spazio predefinito di controllare il ciclo di vita e la connettività generali del sistema.
Funzionalità NSX |
Disponibile nell'ambito dei progetti |
Note |
---|---|---|
Sistema |
||
Cluster Edge |
Assegnato durante la creazione del progetto |
Durante la creazione del progetto, l'amministratore aziendale assegna un cluster Edge dallo spazio predefinito a un progetto. |
Ciclo di vita del sistema |
Gestito dall'amministratore aziendale |
Le operazioni a livello di piattaforma, come l'installazione, l'aggiornamento e il backup, vengono gestite dall'amministratore aziendale. |
Certificati |
Sì |
Le attività di gestione dei certificati sono disponibili nei progetti solo per i certificati di servizio. |
Rete |
||
Gateway di livello 0 o gateway VRF di livello 0 |
Assegnato durante la creazione del progetto |
Durante la creazione del progetto, l'amministratore aziendale assegna un gateway di livello 0 o un gateway VRF di livello 0 dallo spazio predefinito a un progetto. I servizi nel gateway di livello 0 vengono gestiti dall'amministratore aziendale dallo spazio predefinito. |
Routing dinamico (BGP/OSPF) |
Gestito dall'amministratore aziendale |
Il routing dinamico viene configurato nel gateway di livello 0 o nel gateway VRF di livello 0 dall'amministratore aziendale. |
EVPN |
Gestito dall'amministratore aziendale |
EVPN viene configurato nel gateway di livello 0 o nel gateway VRF di livello 0 dall'amministratore aziendale. |
Gateway di livello 1 |
Sì |
|
Routing statico |
Sì |
Il routing statico nel gateway di livello 1 viene configurato dall'amministratore del progetto. |
Segmenti di overlay |
Sì |
|
Segmenti VLAN |
No |
|
Profili dei segmenti
|
Sì |
|
Bridge L2 |
No |
|
VPN L2 |
Sì |
In ogni gateway di livello 1 del progetto è possibile configurare un solo servizio VPN L2. |
VPN IPSec (VPN L3) |
Sì |
In ogni gateway di livello 1 del progetto, è possibile configurare un solo servizio IPSec. Per la configurazione della VPN IPSec basata su route, sono supportate le route statiche. Il routing dinamico con interfaccia del tunnel virtuale (VTI) che utilizza BGP non è supportato nel gateway di livello 1 del progetto. |
NAT |
Sì |
|
Bilanciamento del carico |
No |
|
Server di inoltro DNS
|
Sì |
|
Pool di indirizzi IP/Blocchi di indirizzi IP |
Sì |
|
Profili IPv6 (DAD/ND) |
Sì |
|
Profili QoS gateway |
Sì |
|
DHCP e inoltro DHCP |
Sì |
|
Sicurezza |
||
Firewall distribuito |
Sì |
Solo per le macchine virtuali connesse ai segmenti in un progetto. Le regole del firewall gestite dall'amministratore aziendale nello spazio predefinito hanno la precedenza più alta, seguita dai criteri del progetto. I criteri DFW con gruppi Antrea in Origini, Destinazioni o Si applica a nelle regole firewall non sono supportati nei progetti. |
Elenco di esclusione |
Gestito dall'amministratore aziendale |
L'elenco di esclusione esclude una macchina virtuale da tutte le regole dell'applicazione firewall. |
Firewall del gateway |
Sì |
L'amministratore aziendale e l'amministratore del progetto possono gestire le regole del firewall gateway nei gateway di livello 1 del progetto solo nell'ambito del contesto di un progetto. L'amministratore del progetto può eliminare o modificare le regole del firewall del gateway nel progetto create dall'amministratore aziendale. |
Firewall identità |
No |
Il firewall identità non è disponibile nei progetti. Le regole del firewall identità possono essere configurate solo nello spazio predefinito e possono essere applicate alle macchine virtuali all'interno dei progetti. |
IDS/IPS distribuiti |
Sì (a partire da NSX 4.1.1) No (in NSX 4.1) |
|
Gateway IDS/IPS Prevenzione malware Decrittografia TLS |
No |
|
Ispezione TLS Filtro FQDN Filtro URL |
No Sì Sì |
Il dashboard di analisi del nome di dominio completo non è esposto all'amministratore del progetto. È disponibile solo per l'amministratore aziendale. |
Profili firewall
|
Sì |
|
Inventario |
||
Servizi |
Sì |
|
Gruppi (appartenenze statiche e dinamiche) |
Sì |
I tipi di membri Kubernetes non sono disponibili in un progetto per la creazione di criteri di appartenenza dinamica. |
Gruppi Antrea |
No |
|
Profili di contesto/Profili di accesso L7 |
Sì |
|
Tag |
Sì |
|
Macchine virtuali (visibilità/assegnazione tag) |
Sì |
Solo per le macchine virtuali connesse ai segmenti in un progetto. |
Cluster contenitore |
No |
Le risorse Kubernetes nei cluster Kubernetes Antrea registrati in NSX non sono esposte nell'inventario del progetto. |
Pianificazione e risoluzione dei problemi |
||
Traceflow |
Sì |
Traceflow può utilizzare solo macchine virtuali e porte che fanno parte del progetto. Se la destinazione è un IP instradato verso un altro progetto, questi dettagli vengono nascosti nell'output di Traceflow. |
Antrea Traceflow |
No |
|
Analisi del traffico in tempo reale |
No |
|
IPFIX |
Gestito dall'amministratore aziendale |
IPFIX viene gestito centralmente dall'amministratore aziendale nello spazio predefinito. |
Mirroring porta |
Gestito dall'amministratore aziendale |
Il mirroring delle porte viene configurato centralmente dall'amministratore aziendale nello spazio predefinito. |
NSX Intelligence |
No |
Le funzionalità di NSX Intelligence non sono esposte all'amministratore del progetto. Solo l'amministratore aziendale NSX ha accesso completo a tutte le funzionalità NSX Intelligence. Le funzionalità di NSX Intelligence (visualizzazione del flusso di rete, consigli sulla microsegmentazione e analisi del traffico sospetto) non sono sensibili al progetto. Queste funzionalità funzionano con tutti i dati del flusso di traffico di rete all'interno dell'intero ambiente NSX locale. Se si utilizza la multi-tenancy, ovvero se i progetti sono definiti nell'ambiente di NSX, NSX Intelligence visualizza tutti gli oggetti NSX presenti nello spazio predefinito e tutti gli oggetti NSX di tutti i progetti, che si utilizzi la vista Predefinita o la vista Tutti i progetti. |