NSX의 프로젝트는 테넌트와 유사합니다. 프로젝트를 생성하여 단일 NSX 배포에서 테넌트 간에 보안 및 네트워킹 개체를 분리할 수 있습니다.

조직의 사이트에 NSX가 배포되어 있다고 가정해 보겠습니다. 이 조직에는 현재 엔터프라이즈 관리자가 소유한 기본 공간에 모든 인프라, 네트워킹 및 보안 구성이 있습니다. 이 설명서의 뒷부분에서 기본 공간에 대해 자세히 알아볼 수 있습니다.

이 조직은 다음과 같은 목표를 갖고 있습니다.
  • 영업, 마케팅 및 운영의 세 가지 부서에 대한 네트워킹 및 보안 구성을 분리합니다.
  • 각 부서에 대한 네트워킹 및 보안 구성을 생성하고 관리하는 작업을 특정 NSX 사용자에게 위임하고 이러한 사용자에게 시스템의 모든 개체에 대한 가시성을 제공하지 않도록 합니다.
  • 기본적으로 부서 내의 워크로드 VM이 동일한 부서의 다른 워크로드 VM(DHCP 서버 포함)과만 통신하도록 허용합니다.
  • 기본적으로 부서 외부의 워크로드와의 통신을 차단합니다. 이러한 통신이 필요한 경우 시스템은 새 규칙을 추가하도록 허용하거나 기본 보안 정책에서 기존 규칙을 수정해야 합니다.
이러한 목표를 달성하기 위해 조직에서는 프로젝트 기능을 사용하여 NSX 배포에서 다중 테넌시를 구현할 수 있습니다. 예를 들어 다음과 같은 이름으로 3개의 프로젝트를 생성할 수 있습니다.
  • Sales
  • Marketing
  • Operations

다중 테넌시 배포에서 각 프로젝트의 사용자는 프로젝트에서 생성하는 개체에 액세스할 수 있으며 엔터프라이즈 관리자가 기본 공간에서 프로젝트와 공유한 개체(읽기 전용 모드)를 사용할 수 있습니다.

참고:
  • NSX 배포에 대한 다중 테넌시를 설정하는 것은 선택 사항이며 해당 구현은 기존 NSX 구성에 영향을 주지 않습니다.
  • 다중 테넌시는 현재 NSX 페더레이션 환경에서 지원되지 않습니다.

다중 테넌시 정책 데이터 모델

NSX 정책 데이터 모델은 계층 구조이며 다음과 같은 두 가지 시스템 생성 분기가 있습니다.

  • /infra 분기는 인프라 관리자가 관리합니다. 이 분기 아래의 개체는 UI의 기본 보기에 표시됩니다.

    엔터프라이즈 관리자 이외의 사용자 역할도 /infra 분기에 있습니다. 이 분기의 사용자는 특정 프로젝트에 연결되지 않습니다. 이 설명서에서는 "시스템 전체" 사용자와 같은 사용자를 나타냅니다. 이러한 사용자는 /infra 분기 아래에 개체의 하위 집합을 구성할 수 있습니다.

    시스템 전체 사용자는 시스템의 모든 개체에 액세스할 수 있습니다. 따라서 기본 보기(/infra 분기) 내부 및 프로젝트 내부 개체에 액세스할 수 있습니다.

    이 설명서에서는 용어 “기본 공간”을 기본 보기 아래의 개체를 나타내는 데 사용합니다. 즉, 용어 "기본 공간" 및 "기본 보기"는 같은 의미로 사용됩니다. 두 용어는 동일한 의미를 갖습니다. 기본 보기에 대한 자세한 내용은 이 설명서의 "기본 보기(기본 공간) 개요" 하위 섹션을 참조하십시오.

  • /orgs/default 분기는 다중 테넌시 개체를 포함합니다. 모든 프로젝트에는 소유한 개체를 호스팅할 수 있는 고유한 공간이 있습니다.

프로젝트는 각 테넌트에 대해 독립적인 네트워킹 및 보안 구성 집합을 지원하기 위해 /orgs/default 아래에 생성됩니다.

프로젝트 구성은 /orgs/default/projects/<project-id>/infra 아래에 설정됩니다.

다음 다이어그램은 다중 테넌시에 대한 데이터 모델을 보여 줍니다. 이러한 다이어그램은 단순히 개념 이해를 위해 데이터 모델의 부분적인 보기를 나타냅니다. 정책 데이터 모델에는 표시되지 않는 여러 개체가 있습니다.

첫 번째 그림에서는 기본 공간과 조직 아래에 있는 두 개의 프로젝트를 표시합니다. 다음 그림은 두 프로젝트 모두에서 개체의 계층을 보여 줍니다. 조직에서 프로젝트 1과 2에는 프로젝트 내에서 생성된 NSX 네트워킹 및 보안 개체의 고유한 계층이 있습니다. 프로젝트 내에서 생성된 개체는 해당 프로젝트가 소유합니다.

Tier-0 게이트웨이 및 Edge 클러스터는 기본 공간이 소유하며 조직 아래의 프로젝트에 할당할 수 있습니다. 프로젝트 내에서 Tier-0 게이트웨이 및 Edge 클러스터를 생성할 수 없습니다.

각 프로젝트에는 프로젝트에서 구성해야 하는 고유한 Tier-1 게이트웨이가 선택적으로 포함될 수 있습니다. 즉, Tier-1 게이트웨이는 프로젝트에서 소유해야 합니다. 프로젝트는 기본 공간에 구성된 Tier-1 게이트웨이를 사용할 수 없습니다.


다중 테넌시 정책 데이터 모델에는 조직 아래에 기본 공간, 조직 및 두 개의 프로젝트가 표시됩니다.

조직의 프로젝트 1 및 2에 있는 NSX 개체의 계층 구조

기본 조직

NSX 배포에는 1개의 기본 조직이 있습니다. 기본 조직은 생성, 수정 또는 삭제할 수 없습니다. 조직 개체는 시작 시 시스템에서 생성됩니다. 시스템의 Tier-0 게이트웨이 및 Edge 클러스터를 조직 아래의 프로젝트에 할당할 수 있습니다.

조직 개체는 다음 식별자를 사용하여 시스템에서 생성됩니다.

/orgs/default

조직 개체가 UI에 표시되지 않습니다.

[프로젝트] 드롭다운 메뉴 이해

프로젝트 드롭다운 메뉴는 NSX Manager UI 맨 위에 있는 애플리케이션 표시줄에서 사용할 수 있습니다. 이 메뉴를 보려면 다음 화면 캡처와 같이 기본을 클릭합니다.


[프로젝트] 드롭다운 메뉴에 기본 공간이 표시되며 사용자가 생성한 프로젝트는 없습니다.

이 메뉴에는 액세스 권한이 제공된 프로젝트 목록이 표시됩니다. 이 메뉴를 사용하여 프로젝트 간을 전환하고 할당된 프로젝트의 개체를 관리할 수 있습니다.

기본 보기(기본 공간) 개요

처음 NSX Manager에 로그인하면 프로젝트 드롭다운 메뉴에 기본 보기만 표시합니다. 앞의 화면 캡처에 표시된 것처럼 시스템에 사용자 생성 프로젝트가 없습니다.

기본 보기는 엔터프라이즈 관리자와 특정 프로젝트에 할당되지 않은 다른 시스템 전체 사용자 역할에 표시됩니다. 이 보기에는 다음이 포함됩니다.
  • NSX 패브릭의 모든 개체(호스트, Tier-0 게이트웨이, Edge 클러스터, 전송 영역 등)
  • 글로벌 사용자 관리 개체
  • 계층형 정책 데이터 모델의 /infra 공간 아래에 있는 개체(예: Tier-1 게이트웨이, 세그먼트, 그룹, 방화벽 정책 등)
  • 리소스 공유
간단히 말해서 기본 보기에는 어떤 프로젝트에도 속하지 않는 NSX 개체가 포함되어 있습니다. 유일한 예외는 기본 보기의 가상 시스템 페이지에 시스템의 모든 VM이 표시된다는 것입니다. 즉, 다음에 연결된 VM:
  • 기본 공간의 세그먼트
  • 프로젝트의 세그먼트
  • 프로젝트 내 NSX VPC의 서브넷

NSX의 세그먼트에 연결되지 않은 VM도 기본 공간에 표시됩니다. 이러한 VM은 연결되지 않음으로 표시됩니다.

이 예외를 통해 엔터프라이즈 관리자는 기본 공간 자체에서 시스템에서 실행 중인 모든 VM을 볼 수 있습니다. 엔터프라이즈 관리자는 시스템의 모든 VM에 태그를 할당하고 보안 정책을 적용할 수 있습니다.

엔터프라이즈 관리자가 NSX Manager에 로그인하면 다음 화면 캡처와 같이 기본 보기가 표시됩니다. 모든 탭이 UI에 표시되는지 확인합니다. 개요 페이지에는 기본 공간의 개체에 대한 개략적인 요약이 표시됩니다.


엔터프라이즈 관리자에게 표시되는 기본 보기

NSX 배포에서 하나 이상의 프로젝트가 생성되면 다음 화면 캡처와 같이 이러한 프로젝트가 프로젝트 드롭다운 메뉴에 나타납니다.


사용자 생성 프로젝트 3개가 강조 표시된 [프로젝트] 드롭다운 메뉴

엔터프라이즈 관리자는 시스템의 모든 프로젝트를 볼 수 있습니다. 감사자 와 같은 기타 시스템 전체 사용자 역할은 시스템의 모든 프로젝트를 볼 수도 있습니다. 프로젝트 관리자, 보안 관리자, 네트워크 관리자, 보안 운영자 및 네트워크 운영자와 같은 역할이 있는 특정 프로젝트에 할당된 사용자는 액세스 권한이 있는 프로젝트를 볼 수 있습니다.

예를 들어 프로젝트 관리자가 NSX Manager에 로그인하면 다음 화면 캡처에 표시된 것처럼 프로젝트별 보기가 표시됩니다. 시스템 탭이 프로젝트 관리자에게 표시되지 않는지 확인합니다. 개요 페이지에는 프로젝트에서 생성된 개체에 대한 개략적인 요약이 표시됩니다.


프로젝트 관리자에게 표시되는 프로젝트 보기

이전 버전의 NSX에서 NSX 4.1 이상으로 업그레이드하면 기본 공간에 기존의 모든 인프라, 네트워킹 및 보안 구성이 호스팅됩니다. 조직의 모든 네트워킹 및 보안 요구 사항을 위해 기본 공간을 계속 사용할 수 있습니다. 기존 네트워킹 및 보안 개체의 속성 또는 해당 개체의 경로는 수정되지 않습니다. 프로젝트 생성은 선택 사항입니다.

NSX 4.0.1.1 배포에서 NSX API를 사용하여 프로젝트를 생성한 다음, 4.1 이상으로 업그레이드한 경우 기본 보기 및 프로젝트 보기가 프로젝트 드롭다운 메뉴에 표시됩니다. 프로젝트 보기와 기본 보기 간을 전환하여 각 보기 아래의 개체를 볼 수 있습니다. 또한 프로젝트 메뉴에는 다음 섹션에 설명된 모든 프로젝트 보기도 표시됩니다.

모든 프로젝트 보기 개요
  • 모든 프로젝트 보기는 특정 프로젝트에 할당되지 않은 모든 시스템 전체 사용자 역할에서 사용할 수 있습니다. 즉, 이 보기는 기본 공간에 액세스할 수 있는 모든 사용자가 사용할 수 있습니다. 엔터프라이즈 관리자, 감사자 등을 예로 들 수 있습니다.
  • 이 보기는 NSX 배포에 프로젝트를 하나 이상 추가한 후에만 프로젝트 드롭다운 메뉴에서 사용할 수 있습니다.
  • 이 보기에는 기본 공간을 포함하여 모든 프로젝트의 네트워킹 및 보안 구성이 표시됩니다.
  • 이 보기의 개체는 읽기 전용 모드로 표시됩니다.

모든 프로젝트 보기에서 네트워킹 및 보안 개체는 개체 이름 옆에 알약 모양 아이콘을 표시하여 개체가 기본 공간에 소유되는지 또는 프로젝트에 소유되는지를 나타냅니다.

예를 들어 다음 화면 캡처는 세그먼트 페이지의 세그먼트 목록을 보여 줍니다. 녹색 상자에 강조 표시된 알약 모양의 아이콘은 각 세그먼트를 소유하는 대상(기본 공간 또는 프로젝트)을 나타냅니다.


세그먼트 이름 옆에 알약 모양의 아이콘이 있는 세그먼트의 목록

NSX Virtual Private Cloud

NSX 4.1.1부터 프로젝트에 하나 이상의 NSX VPC(Virtual Private Cloud)가 선택적으로 포함될 수 있습니다.

VPC는 조직의 애플리케이션 개발자 또는 DevOps 엔지니어가 셀프서비스 사용 모델을 사용하여 애플리케이션을 호스팅하고 네트워킹 및 보안 개체를 사용하기 위해 사용할 수 있는 NSX 프로젝트 내의 자체 포함 개인 네트워크를 나타냅니다.

NSX VPC는 프로젝트에서만 생성할 수 있습니다. 기본 공간에는 생성할 수 없습니다.

VPC 구성은 NSX 정책 데이터 모델의 다음 경로 아래에 설정됩니다.

/orgs/default/projects/<project-id>/vpcs/<vpc-id>

NSX VPC에 대해 자세히 알아보려면 NSX Virtual Private Cloud 항목을 참조하십시오.