In un ambiente NSX multi-tenant, è possibile configurare un sottoinsieme di funzionalità NSX nei progetti.

Ciò offre flessibilità ai tenant, consentendo agli amministratori aziendali e agli altri amministratori dello spazio predefinito di controllare il ciclo di vita e la connettività generali del sistema.

Tabella 1. Funzionalità disponibili in Progetti

Funzionalità NSX

Disponibile nell'ambito dei progetti

Note

Sistema

Cluster Edge

Assegnato durante la creazione del progetto

Durante la creazione del progetto, l'amministratore aziendale assegna un cluster Edge dallo spazio predefinito a un progetto.

Ciclo di vita del sistema

Gestito dall'amministratore aziendale

Le operazioni a livello di piattaforma, come l'installazione, l'aggiornamento e il backup, vengono gestite dall'amministratore aziendale.

Certificati

Le attività di gestione dei certificati sono disponibili nei progetti solo per i certificati di servizio.

Rete

Gateway di livello 0 o gateway VRF di livello 0

Assegnato durante la creazione del progetto

Durante la creazione del progetto, l'amministratore aziendale assegna un gateway di livello 0 o un gateway VRF di livello 0 dallo spazio predefinito a un progetto.

I servizi nel gateway di livello 0 vengono gestiti dall'amministratore aziendale dallo spazio predefinito.

Routing dinamico (BGP/OSPF)

Gestito dall'amministratore aziendale

Il routing dinamico viene configurato nel gateway di livello 0 o nel gateway VRF di livello 0 dall'amministratore aziendale.

EVPN

Gestito dall'amministratore aziendale

EVPN viene configurato nel gateway di livello 0 o nel gateway VRF di livello 0 dall'amministratore aziendale.

Gateway di livello 1

Routing statico

Il routing statico nel gateway di livello 1 viene configurato dall'amministratore del progetto.

Segmenti di overlay

Segmenti VLAN

No

Profili dei segmenti

  • SpoofGuard
  • Rilevamento IP
  • Rilevamento MAC
  • Sicurezza segmento
  • QoS

Bridge L2

No

VPN L2

In ogni gateway di livello 1 del progetto è possibile configurare un solo servizio VPN L2.

VPN IPSec (VPN L3)

In ogni gateway di livello 1 del progetto, è possibile configurare un solo servizio IPSec.

Per la configurazione della VPN IPSec basata su route, sono supportate le route statiche. Il routing dinamico con interfaccia del tunnel virtuale (VTI) che utilizza BGP non è supportato nel gateway di livello 1 del progetto.

NAT

Bilanciamento del carico

No

Server di inoltro DNS

  • Servizi DNS
  • Zone DNS

Pool di indirizzi IP/Blocchi di indirizzi IP

Profili IPv6 (DAD/ND)

Profili QoS gateway

DHCP e inoltro DHCP

Sicurezza

Firewall distribuito

Solo per le macchine virtuali connesse ai segmenti in un progetto. Le regole del firewall gestite dall'amministratore aziendale nello spazio predefinito hanno la precedenza più alta, seguita dai criteri del progetto.

I criteri DFW con gruppi Antrea in Origini, Destinazioni o Si applica a nelle regole firewall non sono supportati nei progetti.

Elenco di esclusione

Gestito dall'amministratore aziendale

L'elenco di esclusione esclude una macchina virtuale da tutte le regole dell'applicazione firewall.

Firewall del gateway

L'amministratore aziendale e l'amministratore del progetto possono gestire le regole del firewall gateway nei gateway di livello 1 del progetto solo nell'ambito del contesto di un progetto. L'amministratore del progetto può eliminare o modificare le regole del firewall del gateway nel progetto create dall'amministratore aziendale.

Firewall identità

No

Il firewall identità non è disponibile nei progetti. Le regole del firewall identità possono essere configurate solo nello spazio predefinito e possono essere applicate alle macchine virtuali all'interno dei progetti.

IDS/IPS distribuiti

Sì (a partire da NSX 4.1.1)

No (in NSX 4.1)

Gateway IDS/IPS

Prevenzione malware

Decrittografia TLS

No

Ispezione TLS

Filtro FQDN

Filtro URL

No

Il dashboard di analisi del nome di dominio completo non è esposto all'amministratore del progetto. È disponibile solo per l'amministratore aziendale.

Profili firewall

  • Timer sessione
  • Protezione flood
  • Sicurezza DNS

Inventario

Servizi

Gruppi (appartenenze statiche e dinamiche)

I tipi di membri Kubernetes non sono disponibili in un progetto per la creazione di criteri di appartenenza dinamica.

Gruppi Antrea

No

Profili di contesto/Profili di accesso L7

Tag

Macchine virtuali (visibilità/assegnazione tag)

Solo per le macchine virtuali connesse ai segmenti in un progetto.

Cluster contenitore

No

Le risorse Kubernetes nei cluster Kubernetes Antrea registrati in NSX non sono esposte nell'inventario del progetto.

Pianificazione e risoluzione dei problemi

Traceflow

Traceflow può utilizzare solo macchine virtuali e porte che fanno parte del progetto. Se la destinazione è un IP instradato verso un altro progetto, questi dettagli vengono nascosti nell'output di Traceflow.

Antrea Traceflow

No

Analisi del traffico in tempo reale

No

IPFIX

Gestito dall'amministratore aziendale

IPFIX viene gestito centralmente dall'amministratore aziendale nello spazio predefinito.

Mirroring porta

Gestito dall'amministratore aziendale

Il mirroring delle porte viene configurato centralmente dall'amministratore aziendale nello spazio predefinito.

NSX Intelligence

No

Le funzionalità di NSX Intelligence non sono esposte all'amministratore del progetto. Solo l'amministratore aziendale NSX ha accesso completo a tutte le funzionalità NSX Intelligence.

Le funzionalità di NSX Intelligence (visualizzazione del flusso di rete, consigli sulla microsegmentazione e analisi del traffico sospetto) non sono sensibili al progetto. Queste funzionalità funzionano con tutti i dati del flusso di traffico di rete all'interno dell'intero ambiente NSX locale. Se si utilizza la multi-tenancy, ovvero se i progetti sono definiti nell'ambiente di NSX, NSX Intelligence visualizza tutti gli oggetti NSX presenti nello spazio predefinito e tutti gli oggetti NSX di tutti i progetti, che si utilizzi la vista Predefinita o la vista Tutti i progetti.