プロジェクトは、単一の NSX 展開のテナント間でネットワークとセキュリティの構成を分離するのに役立ちます。
前提条件
エンタープライズ管理者ロールが割り当てられている必要があります。
手順
- ブラウザから、NSX Manager (https://nsx-manager-ip-address) にログインします。
- [デフォルト] をクリックし、[管理] をクリックします。
- [プロジェクトを追加] をクリックします。
- (必須) プロジェクトの名前を入力します。
- このプロジェクトのワークロードが NSX の外部にある物理ネットワークとの North-South 接続に使用できる、Tier-0 または Tier-0 VRF ゲートウェイを選択します。
必要に応じて、複数のゲートウェイを選択できます。ゲートウェイが選択されていない場合、プロジェクトのワークロードに North-South 接続はありません。
注: デフォルトでは、プロジェクトはシステムのデフォルトのオーバーレイ トランスポート ゾーンに作成されます。そのため、デフォルトのトランスポート ゾーンに関連付けられている Tier-0/VRF ゲートウェイがドロップダウン メニューに表示されます。Tier-0 または Tier-0 VRF ゲートウェイは、複数のプロジェクトに割り当てることができます。つまり、Tier-0/VRF ゲートウェイを 1 つのプロジェクト(プロジェクト 1 とする)に割り当てて、他のプロジェクト(プロジェクト 2 やプロジェクト 3 など)にも割り当てることができます。
- このプロジェクトに関連付ける Edge クラスタを選択します。
選択した Edge クラスタは、今後プロジェクト内で使用できます。たとえば、Edge クラスタは、プロジェクト内の Tier-1 ゲートウェイで構成する NAT、ゲートウェイ ファイアウォール、DHCP などの中央集中型サービスの実行に使用できます。NSX VPC をプロジェクトに追加すると、VPC 内のワークロードに一元化されたサービスを提供するために同じ Edge クラスタが使用されます。
プロジェクトは、プロジェクトに割り当てられている Tier-0/Tier-0 VRF ゲートウェイによって使用される同じ Edge クラスタに関連付けることができます。必要に応じて、プロジェクトと Tier-0/Tier-0 VRF ゲートウェイに個別の Edge クラスタを関連付けることができます。1 つの Edge クラスタを複数のプロジェクトに割り当てることができます。つまり、Edge クラスタを 1 つのプロジェクト(プロジェクト 1 など)に割り当てて、他のプロジェクト(プロジェクト 2 やプロジェクト 3 など)にも割り当てることができます。
注: デフォルトのオーバーレイ トランスポート ゾーンに関連付けられている Edge クラスタがドロップダウン メニューに表示されます。 - [外部 IPv4 ブロック] フィールドで、既存の IPv4 ブロックを 1 つ以上選択します。
プロジェクト内の NSX VPC にパブリック サブネットを追加すると、選択した IPv4 ブロックが使用可能になります。システムは、これらの外部 IPv4 ブロックから NSX VPC 内のパブリック サブネットに CIDR ブロックを割り当てます。VPC ユーザーは、外部 IP アドレス ブロックを使用して、NSX VPC に NAT ルールを追加することもできます。
選択できる IPv4 ブロックがない場合は、
をクリックし、[新規作成] をクリックして IP アドレス ブロックを追加します。外部 IPv4 ブロックは、プロジェクト内で互いに重複しないようにし、同じ Tier-0 ゲートウェイで重複しないようにする必要があります。
たとえば、プロジェクト A が Tier-0 ゲートウェイ A に接続され、プロジェクト B が Tier-0 ゲートウェイ B に接続され、これら 2 つのプロジェクトの Tier-0 ゲートウェイが隔離されているとします。この場合、プロジェクト A と B は、別々の Tier-0 ゲートウェイに接続されているため、同じまたは重複する外部 IP アドレス ブロックを使用できます。
- [短いログ ID] テキスト ボックスに、このプロジェクトのコンテキストで生成されるログの識別に使用できる文字列を入力します。
短いログ識別子がセキュリティ ログと監査ログに適用されます。
project API で dedicated_resources パラメータを構成して Tier-0/VRF ゲートウェイをプロジェクト専用にしている場合は、Tier-0/VRF ゲートウェイで実行されている一元化されたサービスの Edge Syslog で生成されるログ メッセージに短いログ ID が追加されます。詳細については、「NSX Edge Syslog でのプロジェクト コンテキストの有効化」を参照してください。
ID は、NSX 環境内のすべてのプロジェクトで一意にする必要があります。
ID は 8 文字以下の英数字にする必要があります。指定しない場合、プロジェクトの保存時に自動的に生成されます。設定された ID を後から変更することはできません。
- [デフォルトの分散ファイアウォール ルールの有効化] 切り替えボタンを使用して、このプロジェクトのデフォルトの分散ファイアウォール ルールをオンまたはオフにします。
デフォルトの DFW ルールでは、DHCP サーバとの通信を含め、プロジェクト内のワークロード仮想マシン間の通信が許可されます。その他の通信はすべてブロックされます。
この切り替えボタンは、システムに分散ファイアウォール セキュリティ機能の使用資格を付与する適切なセキュリティ ライセンスを NSX 環境に適用する場合にのみ編集できます。この設定は、プロジェクトのデフォルトの分散ファイアウォール ルールのみをオン/オフにします。プロジェクト内の分散ファイアウォールをオフにすることはしません。
たとえば、NSX プラットフォームで分散ファイアウォール サービスが有効になっている場合でも、プロジェクトのデフォルトのファイアウォール ルールを無効にできます。この場合、デフォルト領域で構成されているシステム全体のデフォルトの分散ファイアウォール ルールがプロジェクトに適用されます。
次の表では、さまざまなシナリオでプロジェクトの [デフォルトの分散ファイアウォール ルールの有効化] 切り替えボタンのデフォルトの状態について説明します。この表で使用される「ベース ライセンス」という用語は、次の 2 つのライセンスのいずれかを意味します。
- VMware Cloud Foundation の NSX ネットワーク
- VCF のソリューション ライセンス
シリアル番号 シナリオ 切り替えボタンのデフォルトの状態 メモ 1
新しい NSX ユーザーが、NSX のネットワーク機能のみを使用する資格をシステムに付与するベース ライセンスを適用しました。
オフ
現在適用されているライセンスは分散ファイアウォール セキュリティ ルールの構成をサポートしていないため、この切り替えボタンは編集できません。
プロジェクトでデフォルトの分散ファイアウォール ルールを有効にするには、システムに適切なセキュリティ ライセンスを適用し、この切り替えボタンをオンにする必要があります。
2
新しい NSX ユーザーです。Day 0 で、NSX のネットワーク機能の使用資格をシステムに付与するベース ライセンスを適用しました。また、分散ファイアウォール セキュリティの使用資格をシステムに付与する適切なセキュリティ ライセンスも適用しました。
オン
デフォルトの分散ファイアウォール ルールがプロジェクトに対して有効になります。
必要に応じて、プロジェクトでオフにすることができます。
3
新しい NSX ユーザーです。Day 0 では、NSX のネットワーク機能の使用資格のみをシステムに付与するベース ライセンスのみを適用しました。システムにいくつかのプロジェクト(プロジェクト A と B)を追加しました。
その後、Day 2 の運用中に、分散ファイアウォール セキュリティの使用資格をシステムに付与する適切なセキュリティ ライセンスを適用しました。
既存のプロジェクト A と B にユーザー定義の分散ファイアウォール ルールを追加し、また、システムに新しいプロジェクト(プロジェクト C と D)を作成しました。
オフ:システム内の既存のプロジェクトの場合
オン:システム内の新しいプロジェクトの場合
このシナリオでは、「既存のプロジェクト」という用語は、セキュリティ ライセンスが Day 2 で適用される前にシステムに存在していたプロジェクトを意味します。このシナリオでは、プロジェクト A と B を指します。「新しいプロジェクト」という用語は、セキュリティ ライセンスが Day 2 で適用された後にシステムに追加されたプロジェクトを意味します。このシナリオでは、プロジェクト C と D を指します。
既存のプロジェクト A および B の場合、システムの動作は次のようになります。
この切り替えボタンは、デフォルトでオフ状態になります。ユーザー定義の DFW ルールは、プロジェクト A とプロジェクト B で有効です。これらのプロジェクトでデフォルトの分散ファイアウォール ルールを有効にする場合は、これらのプロジェクトを編集モードで開き、この切り替えボタンを手動でオンにします。ただし、オンにすると、プロジェクト A と B の East-West トラフィックの動作に影響する可能性があります。
新しいプロジェクト C および D の場合、システムの動作は次のようになります。
この切り替えボタンは、デフォルトでオン状態になります。つまり、プロジェクト C と D の場合、デフォルトの分散ファイアウォール ルールがデフォルトで有効になります。必要に応じてオフに切り替え、これらのプロジェクトでユーザー定義の分散ファイアウォール ルールのみが有効になるようにすることができます。
4
システムに完全な DFW アクセス権を付与するレガシーの NSX ライセンスを持つ既存の NSX ユーザーです。
レガシー ライセンスの有効期限が切れた後、NSX のネットワーク機能の使用資格をシステムに付与するベース ライセンスを適用し、また、分散ファイアウォール セキュリティの使用資格をシステムに付与するセキュリティ ライセンスも適用しました。
オン
デフォルトの分散ファイアウォール ルールとユーザー定義の分散ファイアウォール ルールは、新しいライセンスに変更する前に作成した既存のプロジェクトで引き続き実行されます。システムの動作に変更はありません。
ライセンスを変更した後に追加するすべての新しいプロジェクトでは、この切り替えボタンはデフォルトでオンになっています。必要に応じて、オフにすることもできます。
5
システムに完全な DFW アクセス権を付与するレガシーの NSX ライセンスを持つ既存の NSX ユーザーです。システムに 2 つのプロジェクト(プロジェクト A と B)を追加しました。
現在のレガシー ライセンスの有効期限が切れた後、NSX のネットワーク機能の使用資格のみをシステムに付与するベース ライセンスを適用しました。セキュリティ ライセンスは適用されていません。
次に、システムに 2 つの新しいプロジェクト(プロジェクト C と D)を作成しました。
オン:既存のプロジェクトの場合
オフ:新しいプロジェクトの場合
このシナリオでは、「既存のプロジェクト」という用語は、レガシーの NSX ライセンスが有効のときにシステムに追加されたプロジェクトを意味します。このシナリオでは、プロジェクト A と B を指します。「新しいプロジェクト」という用語は、ベース ライセンスが適用された後にシステムに追加されたプロジェクトを意味します。このシナリオでは、プロジェクト C と D を指します。
既存のプロジェクト A および B の場合、システムの動作は次のようになります。
この切り替えボタンは、デフォルトでオン状態になります。必要に応じて、オフにすることができます。ただし、この操作を元に戻すことはできません。つまり、プロジェクト A と B でデフォルトの E-W ファイアウォール ルールを再度有効にすることはできません。
デフォルトの分散ファイアウォール ルールとユーザー定義の分散ファイアウォール ルールは、プロジェクト A と B で引き続き実行されます。ただし、これらのルールは編集できません。また、新しい分散ファイアウォール ルールを追加することもできません。ただし、既存のユーザー定義のファイアウォール ルールは削除できます。
分散ファイアウォール ルールへのフル アクセス権を持つには、適切なセキュリティ ライセンスを適用する必要があります。
新しいプロジェクト C および D の場合、システムの動作は次のようになります。
この切り替えボタンは、デフォルトでオフ状態になります。現在適用されているライセンスが分散ファイアウォール機能の使用資格をシステムに付与していないため、オンにできません。
6 新しい NSX ユーザーであり、システムは 60 日間有効な評価モードになっています。
オフ
新しい NSX 環境の評価期間中、システムにはネットワーク機能のみを使用する資格が付与されます。セキュリティ機能の使用資格は付与されません。
- 必要に応じて、プロジェクトの説明を入力します。
- [保存] をクリックします。
