다중 테넌트 NSX 환경에서는 프로젝트에서 NSX 기능의 하위 집합을 구성할 수 있습니다.
이를 통해 테넌트에 유연성을 제공하는 동시에 엔터프라이즈 관리자와 기본 공간의 다른 관리자가 전체 시스템 수명주기 및 연결을 제어할 수 있습니다.
NSX 기능 |
프로젝트에서 사용 가능 |
참고 |
---|---|---|
시스템 |
||
Edge 클러스터 |
프로젝트 생성 중에 할당됨 |
프로젝트를 생성하는 동안 엔터프라이즈 관리자는 기본 공간에서 프로젝트에 Edge 클러스터를 할당합니다. |
시스템 수명 주기 |
엔터프라이즈 관리자가 관리 |
설치, 업그레이드 및 백업과 같은 플랫폼 전체 작업은 엔터프라이즈 관리자가 관리합니다. |
인증서 |
예 |
인증서 관리 작업은 프로젝트에서 서비스 인증서에 대해서만 사용할 수 있습니다. |
네트워킹 |
||
Tier-0 또는 Tier-0 VRF 게이트웨이 |
프로젝트 생성 중에 할당됨 |
프로젝트 생성 중에 엔터프라이즈 관리자는 기본 공간에서 프로젝트에 Tier-0 게이트웨이 또는 Tier-0 VRF 게이트웨이를 할당합니다. Tier-0 게이트웨이의 서비스는 기본 공간에서 엔터프라이즈 관리자가 관리합니다. |
동적 라우팅(BGP/OSPF) |
엔터프라이즈 관리자가 관리 |
동적 라우팅은 엔터프라이즈 관리자가 Tier-0 게이트웨이 또는 Tier-0 VRF 게이트웨이에서 구성합니다. |
EVPN |
엔터프라이즈 관리자가 관리 |
EVPN은 엔터프라이즈 관리자가 Tier-0 게이트웨이 또는 Tier-0 VRF 게이트웨이에 구성합니다. |
Tier-1 게이트웨이 |
예 |
|
고정 라우팅 |
예 |
Tier-1 게이트웨이의 고정 라우팅은 프로젝트 관리자가 구성합니다. |
오버레이 세그먼트 |
예 |
|
VLAN 세그먼트 |
아니요 |
|
세그먼트 프로파일
|
예 |
|
L2 브리지 |
아니요 |
|
L2 VPN |
예 |
프로젝트의 각 Tier-1 게이트웨이에서 L2 VPN 서비스를 하나만 구성할 수 있습니다. |
IPSec VPN(L3 VPN) |
예 |
프로젝트의 각 Tier-1 게이트웨이에서 IPSec 서비스를 하나만 구성할 수 있습니다. 경로 기반 IPSec VPN을 구성하기 위해 고정 경로가 지원됩니다. BGP를 사용하는 VTI(가상 터널 인터페이스)를 사용한 동적 라우팅은 프로젝트의 Tier-1 게이트웨이에서 지원되지 않습니다. |
NAT |
예 |
|
로드 밸런서 |
아니요 |
|
DNS 전달자
|
예 |
|
IP 주소 풀/IP 주소 블록 |
예 |
|
IPv6 프로파일(DAD/ND) |
예 |
|
게이트웨이 QoS 프로파일 |
예 |
|
DHCP 및 DHCP 릴레이 |
예 |
|
보안 |
||
분산 방화벽 |
예 |
프로젝트의 세그먼트에 연결된 VM에만 해당합니다. 기본 공간에서 엔터프라이즈 관리자가 관리하는 방화벽 규칙의 우선순위가 가장 높고 프로젝트 정책이 그다음으로 높습니다. 방화벽 규칙의 소스 또는 대상이나 적용 대상에 Antrea 그룹이 있는 DFW 정책은 프로젝트에서 지원되지 않습니다. |
제외 목록 |
엔터프라이즈 관리자가 관리 |
제외 목록은 모든 방화벽 애플리케이션 규칙에서 VM을 제외합니다. |
게이트웨이 방화벽 |
예 |
엔터프라이즈 관리자 및 프로젝트 관리자는 프로젝트의 컨텍스트 내에서만 프로젝트의 Tier-1 게이트웨이에서 게이트웨이 방화벽 규칙을 관리할 수 있습니다. 프로젝트 관리자는 엔터프라이즈 관리자가 생성한 프로젝트에서 게이트웨이 방화벽 규칙을 삭제하거나 수정할 수 있습니다. |
ID 방화벽 |
아니요 |
프로젝트에서 ID 방화벽을 사용할 수 없습니다. ID 방화벽 규칙은 기본 공간에서만 구성할 수 있으며 이러한 규칙은 프로젝트 내의 VM에 적용될 수 있습니다. |
분산 IDS/IPS |
예(NSX 4.1.1부터) 아니요(NSX 4.1) |
|
게이트웨이 IDS/IPS 맬웨어 차단 TLS 암호 해독 |
아니요 |
|
TLS 검사 FQDN 필터링 URL 필터링 |
아니요 예 예 |
FQDN 분석 대시보드가 프로젝트 관리자에게 노출되지 않습니다. 엔터프라이즈 관리자만 사용할 수 있습니다. |
방화벽 프로파일
|
예 |
|
인벤토리 |
||
서비스 |
예 |
|
그룹(고정 및 동적 멤버 자격) |
예 |
Kubernetes 멤버 유형은 동적 멤버 자격 조건을 생성하기 위한 프로젝트에서 사용할 수 없습니다. |
그룹 Antrea개 |
아니요 |
|
컨텍스트 프로파일/L7 액세스 프로파일 |
예 |
|
태그 |
예 |
|
가상 시스템(가시성/태그 지정) |
예 |
프로젝트의 세그먼트에 연결된 VM에만 해당합니다. |
컨테이너 클러스터 |
아니요 |
NSX에 등록된 Antrea Kubernetes 클러스터의 Kubernetes 리소스는 프로젝트 인벤토리에 노출되지 않습니다. |
계획 및 문제 해결 |
||
Traceflow |
예 |
Traceflow는 프로젝트의 일부인 VM 및 포트만 사용할 수 있습니다. 대상이 다른 프로젝트로 라우팅되는 IP인 경우 이러한 세부 정보가 Traceflow 출력에서 숨겨집니다. |
Antrea Traceflow |
아니요 |
|
실시간 트래픽 분석 |
아니요 |
|
IPFIX |
엔터프라이즈 관리자가 관리 |
IPFIX는 엔터프라이즈 관리자가 기본 공간의 중앙에서 관리합니다. |
포트 미러링 |
엔터프라이즈 관리자가 관리 |
포트 미러링이 기본 공간의 엔터프라이즈 관리자에 의해 중앙에서 구성됩니다. |
NSX Intelligence |
아니요 |
NSX Intelligence 기능은 프로젝트 관리자에게 노출되지 않습니다. NSX 엔터프라이즈 관리자만 모든 NSX Intelligence 기능에 대한 전체 액세스 권한을 갖습니다. NSX Intelligence 기능(네트워크 흐름 시각화, 마이크로 세분화 권장 사항 및 의심스러운 트래픽 분석)은 프로젝트를 인식하지 않습니다. 이러한 기능은 전체 온-프레미스 NSX 환경 내의 모든 네트워크 트래픽 흐름 데이터에 작동합니다. 다중 테넌시를 사용하는 경우, 즉 프로젝트가 NSX 환경에 정의된 경우 NSX Intelligence는 기본 보기 또는 모든 프로젝트 보기 중 어떤 보기를 사용하든 기본 공간에 있는 모든 NSX 개체와 모든 프로젝트의 모든 NSX 개체를 표시합니다. |