マルチテナント NSX 環境では、NSX 機能のサブセットをプロジェクトに構成できます。

これにより、テナントに柔軟性が提供され、エンタープライズ管理者やデフォルト領域の他の管理者がシステム全体のライフサイクルと接続を制御できるようになります。

表 1. プロジェクトで使用可能な機能

NSX の機能

プロジェクトで使用可能

メモ

[システム]

Edge クラスタ

プロジェクト作成時に割り当て

プロジェクトの作成時に、エンタープライズ管理者は Edge クラスタをデフォルト領域からプロジェクトに割り当てます。

システムのライフサイクル

エンタープライズ管理者による管理

インストール、アップグレード、バックアップなどのプラットフォーム全体の操作がエンタープライズ管理者によって管理されます。

証明書

証明書管理タスクは、サービス証明書のプロジェクトでのみ使用できます。

[ネットワーク]

Tier-0 または Tier-0 VRF ゲートウェイ

プロジェクト作成時に割り当て

プロジェクトの作成時に、エンタープライズ管理者は、Tier-0 ゲートウェイまたは Tier-0 VRF ゲートウェイをデフォルト領域からプロジェクトに割り当てます。

Tier-0 ゲートウェイのサービスは、エンタープライズ管理者によってデフォルト領域から管理されます。

動的ルーティング (BGP/OSPF)

エンタープライズ管理者による管理

動的ルーティングは、エンタープライズ管理者によって Tier-0 ゲートウェイまたは Tier-0 VRF ゲートウェイで構成されます。

EVPN

エンタープライズ管理者による管理

EVPN は、エンタープライズ管理者によって Tier-0 ゲートウェイまたは Tier-0 VRF ゲートウェイで構成されます。

Tier-1 ゲートウェイ

スタティック ルーティング

Tier-1 ゲートウェイのスタティック ルーティングは、プロジェクト管理者によって構成されます。

オーバーレイ セグメント

VLAN セグメント

×

セグメント プロファイル

  • SpoofGuard
  • IP 検出
  • MAC アドレス検出
  • セグメント セキュリティ
  • QoS

L2 ブリッジ

×

L2 VPN

プロジェクトの各 Tier-1 ゲートウェイで構成できる L2 VPN サービスは 1 つのみです。

IPsec VPN (L3 VPN)

プロジェクトの各 Tier-1 ゲートウェイで構成できる IPsec サービスは 1 つのみです。

ルートベースの IPsec VPN を構成する場合、スタティック ルートがサポートされます。BGP を使用する仮想トンネル インターフェイス (VTI) を使用した動的ルーティングは、プロジェクトの Tier-1 ゲートウェイではサポートされていません。

NAT

ロード バランサ

×

DNS フォワーダ

  • DNS サービス
  • DNS ゾーン

IP アドレス プール/IP アドレス ブロック

IPv6 プロファイル (DAD/ND)

ゲートウェイ QoS プロファイル

DHCP および DHCP リレー

[セキュリティ]

分散ファイアウォール

プロジェクト内のセグメントに接続されている仮想マシンの場合のみ。エンタープライズ管理者がデフォルト領域で管理するファイアウォール ルールの優先順位が最も高く、その後にプロジェクト ポリシーが続きます。

プロジェクトでは、ファイアウォール ルールの送信元、宛先または適用先に Antrea グループを含む DFW ポリシーはサポートされていません。

除外リスト

エンタープライズ管理者による管理

除外リストは、すべてのファイアウォール アプリケーション ルールから仮想マシンを除外します。

ゲートウェイ ファイアウォール

エンタープライズ管理者とプロジェクト管理者は、プロジェクトのコンテキスト内でのみ、プロジェクトの Tier-1 ゲートウェイのゲートウェイ ファイアウォール ルールを管理できます。プロジェクト管理者は、エンタープライズ管理者によって作成されたプロジェクトのゲートウェイ ファイアウォール ルールを削除または変更できます。

Identity Firewall

×

Identity Firewall はプロジェクトで使用できません。Identity Firewall ルールはデフォルト領域でのみ構成できます。これらのルールはプロジェクト内の仮想マシンに適用できます。

分散 IDS/IPS

はい(NSX 4.1.1 以降)

いいえ (NSX 4.1)

ゲートウェイ IDS/IPS

マルウェア防止

TLS 復号

×

TLS 検査

FQDN フィルタリング

URL フィルタリング

×

FQDN 分析ダッシュボードはプロジェクト管理者に公開されません。エンタープライズ管理者のみが使用できます。

ファイアウォール プロファイル

  • セッション タイマー
  • フラッド防止
  • DNS セキュリティ

[インベントリ]

サービス

グループ(静的および動的メンバーシップ)

動的メンバーシップ基準の作成で、プロジェクトに Kubernetes メンバー タイプを使用することはできません。

Antrea グループ

×

コンテキスト プロファイル/L7 アクセス プロファイル

タグ

仮想マシン(可視化/タグ付け)

プロジェクト内のセグメントに接続されている仮想マシンの場合のみ。

コンテナ クラスタ

×

Antrea に登録されている NSX Kubernetes クラスタ内の Kubernetes リソースは、プロジェクト インベントリに公開されません。

[プランとトラブルシューティング]

トレースフロー

トレースフローでは、プロジェクトの一部である仮想マシンとポートのみを使用できます。宛先が別のプロジェクトにルーティングされる IP の場合、これらの詳細はトレースフロー出力に表示されません。

Antrea トレースフロー

×

ライブ トラフィックの分析

×

IPFIX

エンタープライズ管理者による管理

IPFIX は、エンタープライズ管理者によってデフォルト領域で一元管理されます。

ポート ミラーリング

エンタープライズ管理者による管理

ポート ミラーリングは、エンタープライズ管理者によってデフォルト領域で一元的に構成されます。

NSX Intelligence

×

NSX Intelligence 機能はプロジェクト管理者に公開されません。すべての NSX Intelligence 機能に対するフル アクセス権を持つのは、NSX エンタープライズ管理者だけです。

NSX Intelligence の機能(ネットワーク フローの可視化、マイクロセグメンテーションの推奨事項、不審なトラフィック分析)は、プロジェクトに対応していません。これらの機能は、オンプレミス NSX 環境内のすべてのネットワーク トラフィック フロー データと連携します。マルチテナントが使用されている場合、つまり、NSX 環境でプロジェクトが定義されている場合、NSX Intelligence は、[デフォルト] ビューまたは [すべてのプロジェクト] ビューを使用しているかどうかに関係なく、デフォルト領域にあるすべての NSX オブジェクトと、すべてのプロジェクトのすべての NSX オブジェクトを表示します。