NSX 프로젝트 추가

프로젝트는 단일 NSX 배포의 테넌트 간에 네트워킹 및 보안 구성을 분리하는 데 도움이 됩니다.

사전 요구 사항

엔터프라이즈 관리자 역할이 할당되어야 합니다.

프로시저

브라우저의 https://nsx-manager-ip-address에서 NSX Manager에 로그인합니다.
기본값 및 관리를 차례로 클릭합니다.
프로젝트 추가를 클릭합니다.
(필수 사항) 프로젝트의 이름을 입력합니다.
이 프로젝트의 워크로드는 NSX 외부의 물리적 네트워크와의 북-남 연결에 사용할 수 있는 Tier-0 또는 Tier-0 VRF 게이트웨이를 선택합니다.

필요한 경우 여러 게이트웨이를 선택할 수 있습니다. 게이트웨이를 선택하지 않으면 프로젝트의 워크로드에 North-South 연결이 없습니다.

참고: 기본적으로 프로젝트는 시스템의 기본 오버레이 전송 영역에 생성됩니다. 따라서 기본 전송 영역과 연결된 Tier-0/VRF 게이트웨이가 드롭다운 메뉴에 표시됩니다.

Tier-0 또는 Tier-0 VRF 게이트웨이를 여러 프로젝트에 할당할 수 있습니다. 즉, Tier-0/VRF 게이트웨이를 하나의 프로젝트(예: 프로젝트 1)에 할당해도 다른 프로젝트(예: 프로젝트 2 및 프로젝트 3)에 할당하는 것이 방지되지 않습니다.
이 프로젝트와 연결할 Edge 클러스터를 선택합니다.

선택한 Edge 클러스터는 나중에 프로젝트 내에서 사용할 수 있습니다. 예를 들어, Edge 클러스터는 프로젝트 내 Tier-1 게이트웨이에 구성한 NAT, 게이트웨이 방화벽, DHCP 등과 같은 중앙 집중식 서비스 실행에 사용할 수 있습니다. 프로젝트와 연결된 Edge 클러스터가 프로젝트와 연결된 Tier-0 게이트웨이를 반드시 실행할 필요는 없습니다.

프로젝트 수준에서 지정된 Edge 클러스터는 중앙 집중식 서비스(NAT, 게이트웨이 방화벽, VPN, DHCP)에 필요합니다. 필요한 서비스가 없는 경우 Edge 클러스터를 건너뛸 수 있습니다.

Edge 클러스터를 여러 프로젝트에 할당할 수 있습니다. 즉, Edge 클러스터를 하나의 프로젝트(예: 프로젝트 1)에 할당해도 다른 프로젝트(예: 프로젝트 2 및 프로젝트 3)에 할당하는 것이 방지되지 않습니다.

참고: 기본 오버레이 전송 영역과 연결된 Edge 클러스터가 드롭다운 메뉴에 표시됩니다.
외부 IPv4 블록 필드에서 하나 이상의 기존 IPv4 블록을 선택합니다.

선택한 IPv4 블록은 프로젝트 내의 NSX VPC에 공용 서브넷을 추가할 때 사용할 수 있게 됩니다. 시스템은 이러한 외부 IPv4 블록에서 NSX VPC의 공용 서브넷에 CIDR 블록을 할당합니다. VPC 사용자는 NSX VPC에서 NAT 규칙을 추가하기 위한 외부 IP 블록도 사용할 수 있습니다.

선택할 수 있는 IPv4 블록이 없으면 를 클릭한 다음, 새로 생성을 클릭하여 IP 주소 블록을 추가합니다.

외부 IPv4 블록은 프로젝트 내에서 서로 겹치지 않아야 하며 동일한 Tier-0 게이트웨이에서 겹치지 않아야 합니다.

예를 들어 프로젝트 A가 Tier-0 게이트웨이 A에 연결되어 있고 프로젝트 B가 Tier-0 게이트웨이 B에 연결되어 있다고 가정해 보겠습니다. 이 두 프로젝트의 Tier-0 게이트웨이는 격리됩니다. 이 경우 프로젝트 A와 B는 별도의 Tier-0 게이트웨이에 연결되어 있으므로 동일하거나 겹치는 외부 IP 블록을 사용할 수 있습니다.
짧은 로그 식별자 텍스트 상자에 시스템이 이 프로젝트의 컨텍스트에서 생성된 로그를 식별하는 데 사용할 수 있는 문자열을 입력합니다.

짧은 로그 식별자가 보안 로그 및 감사 로그에 적용됩니다.

project API에서 dedicated_resources 매개 변수를 구성하여 Tier-0/VRF 게이트웨이를 프로젝트에 전용으로 지정한 경우 Tier-0/VRF 게이트웨이에서 실행되는 중앙 집중식 서비스의 Edge syslog에서 생성된 로그 메시지에 짧은 로그 식별자가 추가됩니다. 자세한 내용은 NSX Edge Syslog에서 프로젝트 컨텍스트 사용 항목을 참조하십시오.

이 식별자는 NSX 환경의 모든 프로젝트에서 고유해야 합니다.

이 식별자는 영숫자 8자를 초과할 수 없습니다. 이 식별자를 지정하지 않으면 프로젝트를 저장할 때 시스템에서 자동으로 생성됩니다. 식별자가 설정된 후에는 수정할 수 없습니다.
VMware vCenter Server^®에서 이 프로젝트에 대한 폴더가 생성되도록 하려면 vCenter 폴더에 NSX 포트 그룹 구성 토글을 설정합니다.
기본적으로 이 토글은 해제되어 있습니다.

참고: 이 토글은 NSX 배포에 등록된 VMware vCenter 서버가 버전 8.0 업데이트 3 이상인 경우에만 적용됩니다.
이 토글이 켜져 있고 시스템에서 VMware vCenter 8.0 Update 3보다 낮은 버전임을 감지하면 경고 메시지가 표시되고 이 설정이 프로젝트에 적용되지 않습니다. 즉, VMware vCenter에 프로젝트에 대한 폴더가 생성되지 않습니다.
중요:
- NSX 배포에 등록된 VMware vCenter 서버에 대해 다중 NSX를 활성화된 경우 VMware vCenter에서 프로젝트에 대한 폴더가 생성될 수 없습니다.
- 반대로 vCenter 폴더에 NSX 포트 그룹 구성 토글이 켜져 있는 상태에서 NSX에 프로젝트를 생성한 경우 NSX 배포에서 계산 관리자로 등록된 VMware vCenter 서버에 대해 다중 NSX를 활성화할 수 없습니다.
이 토글을 설정하면 이 프로젝트에 추가된 모든 NSX VPC에 설정이 전파됩니다. 그러나 이 설정은 NSX VPC에서 읽기 전용이며 VPC에서 재정의할 수 없습니다.

프로젝트에 대해 이 토글을 켤 때 VMware vCenter에서 생성된 폴더 계층을 이해하려면 예: VMware vCenter 폴더에서 NSX 포트 그룹 구성 항목을 참조하십시오.

프로젝트 및 VPC 폴더의 계층적 조직은 vSphere 관리자가 VMware vCenter NSX에서 포트 그룹을 쉽게 관리할 수 있도록 도와줍니다. 예를 들어 vSphere 관리자가 VPC X의 모든 10개 NSX 포트 그룹에 대해 "Tom"이라는 vSphere 사용자에게 읽기 전용 사용 권한을 할당하려고 하는 경우를 가정해 보겠습니다. vSphere 관리자는 VPC X 폴더의 Tom에게 읽기 전용 사용 권한을 할당하고 이 사용 권한을 이 폴더의 모든 하위 항목에 전파하도록 선택할 수 있습니다.

폴더 계층의 또 다른 이점은 NSX 세그먼트가 기본 공간, 프로젝트 및 VPC에서 동일한 이름으로 생성되면 이러한 세그먼트를 vSphere Client UI의 인벤토리 창에서 더 쉽게 찾을 수 있다는 것입니다. 그 이유는 프로젝트의 세그먼트에 해당하는 NSX 포트 그룹과 VPC의 서브넷이 해당 프로젝트 및 VPC 폴더 아래에 그룹화되기 때문입니다.

기본 공간의 세그먼트에 해당하는 NSX 포트 그룹은 VMware vCenter 폴더로 구성되지 않습니다. 이러한 NSX 포트 그룹은 VDS(vSphere Distributed Switch) 개체 아래에 배치됩니다.

프로젝트 및 VPC 폴더의 수명 주기는 NSX에 의해 관리됩니다. 이러한 폴더는 NSX에서 소유하고 있으므로 vSphere 사용자는 프로젝트 또는 VPC 폴더의 이름을 바꾸거나 이동하거나 삭제할 수 없습니다. NSX에서 프로젝트 또는 VPC가 삭제되면 해당 폴더가 VMware vCenter에서 삭제됩니다. 유사한 줄에서 프로젝트 또는 VPC의 이름이 NSX에서 다시 지정되면 해당 폴더 이름이 VMware vCenter에서 변경됩니다.
VMware vCenter에서 NSX에 의해 생성된 폴더 및 포트 그룹에 대해 다음 작업이 허용됩니다.
- vSphere 사용자 또는 그룹에 권한을 할당합니다.
  예를 들어 네트워크 할당 권한을 폴더의 사용자 또는 그룹에 연결하면 vSphere 관리자가 워크로드 VM을 NSX 프로젝트 또는 VPC에 속하는 포트 그룹에 연결할 수 있는 사용자를 제한할 수 있습니다.
- 경보를 추가/사용/사용 안 함으로 설정합니다.
- vSphere 태그를 할당하거나 제거합니다.
- NSX Manager UI를 사용하여 NSX 포트 그룹을 편집합니다.
프로젝트가 저장되면 필요한 경우 이 토글을 해제할 수 있습니다. 이 작업은 프로젝트 세그먼트 또는 NSX VPC 서브넷에 연결된 워크로드에는 영향을 주지 않습니다. VMware vCenter의 NSX 포트 그룹 배치만 변경됩니다. 즉, 이 토글을 해제하면 프로젝트 및 VPC 폴더가 삭제되고 NSX 포트 그룹이 VMware vCenter의 VDS 개체 아래로 이동됩니다.
기본 분산 방화벽 규칙 활성화 토글을 사용하여 이 프로젝트에 대한 기본 분산 방화벽 규칙을 설정하거나 해제합니다.

기본 DFW 규칙은 DHCP 서버와의 통신을 포함하여 프로젝트 내 워크로드 VM 간의 통신을 허용합니다. 다른 모든 통신이 차단됩니다.

이 토글은 시스템에 분산 방화벽 보안 기능에 대한 사용 권한을 부여하는 적절한 보안 라이센스를 NSX 배포에 적용하는 경우에만 편집할 수 있습니다. 이 설정은 프로젝트에 대한 기본 분산 방화벽 규칙만 켜고 끕니다. 프로젝트의 분산 방화벽은 끄지 않습니다.

예를 들어 분산 방화벽 서비스가 NSX 플랫폼에서 활성화된 경우에도 프로젝트의 기본 방화벽 규칙을 비활성화할 수 있습니다. 이 경우 기본 공간에 구성된 시스템 전체 기본 분산 방화벽 규칙이 프로젝트에 적용됩니다.

다양한 시나리오에서 프로젝트의 기본 분산 방화벽 규칙 활성화 토글의 기본 상태에 대한 설명을 보려면 NSX 프로젝트 기본 방화벽 규칙: 라이센싱 고려 사항 항목을 참조하십시오.
선택 사항으로 프로젝트에 대한 설명을 입력합니다.
필요한 경우 이 프로젝트에 대한 태그를 입력합니다.
저장을 클릭합니다.

다음에 수행할 작업

프로젝트에 대해 vCenter 폴더에 NSX 포트 그룹 구성 토글을 켠 경우 다음 단계를 수행합니다.

프로젝트의 상태를 확인합니다. VMware vCenter 폴더가 성공적으로 생성되면 상태는 성공입니다. 이 상태는 이 프로젝트가 생성되었을 때 VMware vCenter에서 NSX에 의해 생성된 모든 폴더의 전체 또는 통합 상태를 나타냅니다.
토글 옆의 전체 상태가 실패로 표시되는 경우 오류 세부 정보를 확인하여 실패 이유를 알아보십시오.
실패 상황의 예:
- 폴더가 인식될 때 VMware vCenter 서버가 종료 상태이면 폴더 생성이 실패할 수 있습니다. NSX는 VMware vCenter와 통신할 수 없습니다. 이 경우 프로젝트의 전체 폴더 상태는 실패입니다. 상태가 성공으로 변경될 때까지 NSX는 미리 정의된 간격으로 폴더를 다시 생성하려고 시도합니다.
- NSX Manager 노드의 cm-inventory 서비스가 중단되면 폴더 생성이 실패할 수 있습니다.
  NSX Manager는 이 서비스를 사용하여 VMware vCenter에서 동적으로 VDS 또는 호스트에 대한 정보를 검색합니다. 이 서비스의 그룹 멤버가 종료되면 클러스터링 기능에 속하는 경보가 NSX Manager에 표시됩니다.
vSphere Client에 로그인하고 인벤토리 창을 열고 프로젝트 및 VDS 폴더가 생성되었는지 확인합니다.
예를 들어 NSX 배포에 Project-1, Project-2 및 Project-3이라는 두 개의 프로젝트를 추가했으며 이러한 프로젝트에 대해 vCenter 폴더에 NSX 포트 그룹 구성 토글이 켜져 있다고 가정합니다. 다음 화면 캡처는 NSX Managed Folders라는 루트 폴더가 Datacenter 개체 내에 생성되었음을 보여줍니다. 프로젝트 폴더 및 폴더는 루트 폴더 내에 생성됩니다.

이러한 각 프로젝트 폴더 안에는 각 VPC 및 세그먼트에 대한 폴더가 있습니다. 각 VPC에는 각 서브넷에 대한 하위 폴더가 있습니다. 세그먼트 및 서브넷 폴더 내에서 사용자는 이 세그먼트/서브넷에 매핑된 모든 NSX 포트 그룹을 찾을 수 있습니다.
참고: 단일 NSX 세그먼트 또는 서브넷은 VDS당 하나의 NSX 포트 그룹을 생성하며 모두 이름이 동일합니다. 이러한 모든 포트 그룹은 폴더 아래에 다시 그룹화되며 세그먼트 또는 서브넷도 다시 그룹화됩니다.

나중에 프로젝트에서 세그먼트를 추가하거나 프로젝트에 NSX VPC를 추가하거나 VPC에 서브넷을 추가하면 VMware vCenter의 폴더 내에 구성됩니다.