プロジェクトは、単一の NSX 展開のテナント間でネットワークとセキュリティの構成を分離するのに役立ちます。

前提条件

エンタープライズ管理者ロールが割り当てられている必要があります。

手順

  1. ブラウザから、NSX Manager (https://nsx-manager-ip-address) にログインします。
  2. [デフォルト] をクリックし、[管理] をクリックします。
  3. [プロジェクトを追加] をクリックします。
  4. (必須) プロジェクトの名前を入力します。
  5. このプロジェクトのワークロードが NSX の外部にある物理ネットワークとの North-South 接続に使用できる、Tier-0 または Tier-0 VRF ゲートウェイを選択します。

    必要に応じて、複数のゲートウェイを選択できます。ゲートウェイが選択されていない場合、プロジェクトのワークロードに North-South 接続はありません。

    注: デフォルトでは、プロジェクトはシステムのデフォルトのオーバーレイ トランスポート ゾーンに作成されます。そのため、デフォルトのトランスポート ゾーンに関連付けられている Tier-0/VRF ゲートウェイがドロップダウン メニューに表示されます。

    Tier-0 または Tier-0 VRF ゲートウェイは、複数のプロジェクトに割り当てることができます。つまり、Tier-0/VRF ゲートウェイを 1 つのプロジェクト(プロジェクト 1 とする)に割り当てて、他のプロジェクト(プロジェクト 2 やプロジェクト 3 など)にも割り当てることができます。

  6. このプロジェクトに関連付ける Edge クラスタを選択します。

    選択した Edge クラスタは、今後プロジェクト内で使用できます。たとえば、Edge クラスタは、プロジェクト内の Tier-1 ゲートウェイで構成する NAT、ゲートウェイ ファイアウォール、DHCP などの中央集中型サービスの実行に使用できます。プロジェクトに関連付けられている Edge クラスタは、必ずしもプロジェクトに関連付けられている Tier-0 ゲートウェイを実行する必要はありません。

    中央集中型サービス(NAT、ゲートウェイ ファイアウォール、VPN、DHCP)には、プロジェクト レベルで指定された Edge クラスタが必要です。サービスが必要ない場合は、Edge クラスタをスキップできます。

    1 つの Edge クラスタを複数のプロジェクトに割り当てることができます。つまり、Edge クラスタを 1 つのプロジェクト(プロジェクト 1 など)に割り当てて、他のプロジェクト(プロジェクト 2 やプロジェクト 3 など)にも割り当てることができます。

    注: デフォルトのオーバーレイ トランスポート ゾーンに関連付けられている Edge クラスタがドロップダウン メニューに表示されます。
  7. [外部 IPv4 ブロック] フィールドで、既存の IPv4 ブロックを 1 つ以上選択します。

    プロジェクト内の NSX VPC にパブリック サブネットを追加すると、選択した IPv4 ブロックが使用可能になります。システムは、これらの外部 IPv4 ブロックから NSX VPC 内のパブリック サブネットに CIDR ブロックを割り当てます。VPC ユーザーは、外部 IP アドレス ブロックを使用して、NSX VPC に NAT ルールを追加することもできます。

    選択できる IPv4 ブロックがない場合は、アクション メニュー をクリックし、[新規作成] をクリックして IP アドレス ブロックを追加します。

    外部 IPv4 ブロックは、プロジェクト内で互いに重複しないようにし、同じ Tier-0 ゲートウェイで重複しないようにする必要があります。

    たとえば、プロジェクト A が Tier-0 ゲートウェイ A に接続され、プロジェクト B が Tier-0 ゲートウェイ B に接続されているとします。これら 2 つのプロジェクトの Tier-0 ゲートウェイは隔離されています。この場合、プロジェクト A と B は、別々の Tier-0 ゲートウェイに接続されているため、同じまたは重複する外部 IP アドレス ブロックを使用できます。

  8. [短いログ ID] テキスト ボックスに、このプロジェクトのコンテキストで生成されるログの識別に使用できる文字列を入力します。

    短いログ識別子がセキュリティ ログと監査ログに適用されます。

    project API で dedicated_resources パラメータを構成して Tier-0/VRF ゲートウェイをプロジェクト専用にしている場合は、Tier-0/VRF ゲートウェイで実行されている一元化されたサービスの Edge Syslog で生成されるログ メッセージに短いログ ID が追加されます。詳細については、「NSX Edge Syslog でのプロジェクト コンテキストの有効化」を参照してください。

    ID は、NSX 環境内のすべてのプロジェクトで一意にする必要があります。

    ID は 8 文字以下の英数字にする必要があります。指定しない場合、プロジェクトの保存時に自動的に生成されます。設定された ID を後から変更することはできません。

  9. システムが VMware vCenter Server® 上にこのプロジェクトのフォルダを作成するようにしたい場合は、[NSX ポートグループを vCenter Server フォルダに整理する] 切り替えボタンをオンにします。

    デフォルトでは、この切り替えボタンはオフになっています。

    注: この切り替えボタンは、 NSX 展開に登録されている VMware vCenter Server がバージョン 8.0 Update 3 以降の場合にのみ適用されます。
    この切り替えボタンがオンになっていて、 VMware vCenter が 8.0 Update 3 より前のバージョンであることをシステムが検出すると、警告メッセージが表示され、この設定はプロジェクトで適用されません。つまり、 VMware vCenter のプロジェクトにはフォルダは作成されません。
    重要:
    • [マルチ NSX] が、NSX 展開に登録されているいずれかの VMware vCenter Server に対して有効になっている場合、VMware vCenter 内のプロジェクトに対してフォルダを作成することはできません。
    • 逆に、[NSX ポートグループを vCenter Server フォルダに整理する] 切り替えボタンをオンにして NSX でプロジェクトを作成した場合、NSX 展開でコンピュート マネージャとして登録されている VMware vCenter Server に対して [マルチ NSX] を有効にすることはできません。

    この切り替えボタンをオンにすると、このプロジェクトに追加されたすべての NSX VPC に設定が伝達されます。ただし、この設定は NSX VPC では読み取り専用であり、VPC では上書きできません。

    プロジェクトでこの切り替えボタンをオンにしたときに VMware vCenter に作成されるフォルダ階層を理解するには、「例:NSX ポート グループを VMware vCenter フォルダに整理する」を参照してください。

    プロジェクト フォルダと VPC フォルダの階層構造により、vSphere 管理者は VMware vCenter 内の NSX ポート グループを簡単に管理できます。たとえば、vSphere 管理者が、VPC X 内の 10 個の NSX ポート グループすべてに対して、「Tom」という名前の vSphere ユーザーに読み取り専用権限を割り当てたいとします。vSphere 管理者は、VPC X フォルダの読み取り専用権限を Tom に割り当て、この権限をこのフォルダ内のすべての子に伝達することを選択できます。

    フォルダ階層のもう 1 つの利点として、デフォルトの領域、プロジェクト、および VPC で同じ名前の NSX セグメントが作成された場合、これらのセグメントを vSphere Client ユーザー インターフェイスの [インベントリ] ペインで簡単に見つけることができます。これは、プロジェクト内のセグメントと VPC 内のサブネットに対応する NSX ポート グループが、それぞれのプロジェクト フォルダと VPC フォルダの下にグループ化されているためです。

    デフォルト領域のセグメントに対応する NSX ポート グループは、VMware vCenter フォルダに整理されません。これらの NSX ポート グループは、vSphere Distributed Switch (VDS) オブジェクトの下に配置されます。

    プロジェクト フォルダと VPC フォルダのライフサイクルは、NSX によって管理されます。これらのフォルダは NSX によって所有されているため、vSphere ユーザーはプロジェクト フォルダまたは VPC フォルダを名前変更したり、移動したり、削除したりすることはできません。NSX でプロジェクトまたは VPC が削除されると、対応するフォルダが VMware vCenter から削除されます。同様に、NSX でプロジェクトまたは VPC の名前が変更されると、VMware vCenter で対応するフォルダの名前が変更されます。

    VMware vCenter では、 NSX によって作成されたフォルダとポート グループに対して次のアクションが許可されます。
    • vSphere ユーザーまたはグループに権限を割り当てます。

      たとえば、フォルダのネットワークの割り当て権限をユーザーまたはグループに関連付けることで、vSphere 管理者は、NSX プロジェクトまたは VPC に属するポート グループにワークロード仮想マシンを接続できるユーザーを制限できます。

    • アラームを追加/有効化/無効化します。
    • vSphere タグを割り当てるか、削除します。
    • NSX Manager ユーザー インターフェイスを使用して、NSX ポート グループを編集します。

    プロジェクトが保存されたら、必要に応じてこの切り替えボタンをオフにできます。このアクションは、プロジェクト セグメントまたは NSX VPC サブネットに接続されているワークロードには影響しません。VMware vCenter では、NSX ポート グループの配置のみが変更されます。つまり、この切り替えボタンをオフにすると、プロジェクト フォルダと VPC フォルダが削除され、NSX ポート グループは VMware vCenter[VDS] オブジェクトの下に移動されます。

  10. [デフォルトの分散ファイアウォール ルールの有効化] 切り替えボタンを使用して、このプロジェクトのデフォルトの分散ファイアウォール ルールをオンまたはオフにします。

    デフォルトの DFW ルールでは、DHCP サーバとの通信を含め、プロジェクト内のワークロード仮想マシン間の通信が許可されます。その他の通信はすべてブロックされます。

    この切り替えボタンは、システムに分散ファイアウォール セキュリティ機能の使用資格を付与する適切なセキュリティ ライセンスを NSX 環境に適用する場合にのみ編集できます。この設定は、プロジェクトのデフォルトの分散ファイアウォール ルールのみをオン/オフにします。プロジェクト内の分散ファイアウォールをオフにすることはしません。

    たとえば、NSX プラットフォームで分散ファイアウォール サービスが有効になっている場合でも、プロジェクトのデフォルトのファイアウォール ルールを無効にできます。この場合、デフォルト領域で構成されているシステム全体のデフォルトの分散ファイアウォール ルールがプロジェクトに適用されます。

    さまざまなシナリオでのプロジェクトの [デフォルトの分散ファイアウォール ルールの有効化] 切り替えボタンのデフォルトの状態については、「NSX プロジェクトのデフォルトのファイアウォール ルール:ライセンスに関する考慮事項」を参照してください。

  11. 必要に応じて、プロジェクトの説明を入力します。
  12. 必要に応じて、このプロジェクトのタグを入力します。
  13. [保存] をクリックします。

次のタスク

プロジェクトの [NSX ポートグループを vCenter Server フォルダに整理する] 切り替えボタンをオンにしている場合は、次の手順を実行します。

  1. プロジェクトの状態を確認します。VMware vCenter でフォルダが正常に作成されると、状態は 成功 になります。この状態は、このプロジェクトが作成されたときに VMware vCenterNSX によって作成されたすべてのフォルダの全体的または統合された状態を表します。

    切り替えボタンの横にある全体的な状態が 失敗 と表示される場合は、エラーの詳細を確認して失敗の理由を確認してください。

    障害の状況の例:
    • フォルダの認識中に VMware vCenter Server がダウンしていると、フォルダの作成に失敗する可能性があります。NSXVMware vCenter と通信できません。この場合、プロジェクトの全体的なフォルダ状態は 失敗 になります。NSX は、状態が 成功 に変わるまで、事前に定義された間隔でフォルダの再作成を試行します。
    • NSX Manager ノード上の cm-inventory サービスがダウンしている場合、フォルダの作成が失敗する可能性があります。

      NSX Manager はこのサービスを使用して、VMware vCenter から VDS またはホストに関する情報を動的に取得します。このサービスのグループ メンバーがダウンすると、[クラスタリング] 機能に属するアラームが NSX Manager に表示されます。

  2. vSphere Client にログインし、[インベントリ] ペインを開いて、プロジェクト フォルダと VDS フォルダが作成されていることを確認します。

    たとえば、NSX 展開に Project-1、Project-2、Project-3 という 3 つのプロジェクトを追加し、これらのプロジェクトに対して [NSX ポートグループを vCenter Server フォルダに整理する] 切り替えボタンがオンになっているとします。次のスクリーン キャプチャは、NSX Managed Folders という root フォルダが [Datacenter] オブジェクト内に作成されていることを示しています。プロジェクト フォルダとフォルダは、root フォルダ内に作成されます。

    これらの各プロジェクト フォルダには、各 VPC およびセグメント用のフォルダが含まれます。各 VPC には、サブネットごとにサブフォルダが作成されます。セグメント フォルダとサブネット フォルダ内では、このセグメント/サブネットにマッピングされているすべての NSX ポート グループを見つけることができます。
    注: 単一の NSX セグメントまたはサブネットにより、VDS ごとに 1 つの NSX ポート グループが作成され、すべて同じ名前になります。これらのポート グループはすべて、セグメントまたはサブネットを再グループ化するフォルダの下で再グループ化されます。

    このスクリーン キャプチャは、周囲のテキストで説明されています。

    後で、プロジェクトにセグメントを追加したり、プロジェクトに NSX VPC を追加したり、VPC にサブネットを追加したりすると、それらは VMware vCenter 内のフォルダ内に整理されます。