다중 테넌트 NSX 환경에서는 프로젝트에서 NSX 기능의 하위 집합을 구성할 수 있습니다.

이를 통해 테넌트에 유연성을 제공하는 동시에 엔터프라이즈 관리자와 기본 공간의 다른 관리자가 전체 시스템 수명주기 및 연결을 제어할 수 있습니다.

표 1. 프로젝트에서 사용할 수 있는 기능

NSX 기능

프로젝트에서 사용 가능

참고

시스템

Edge 클러스터

프로젝트 생성 중에 할당됨

프로젝트를 생성하는 동안 엔터프라이즈 관리자는 기본 공간에서 프로젝트에 Edge 클러스터를 할당합니다.

시스템 수명 주기

엔터프라이즈 관리자가 관리

설치, 업그레이드 및 백업과 같은 플랫폼 전체 작업은 엔터프라이즈 관리자가 관리합니다.

인증서

인증서 관리 작업은 프로젝트에서 서비스 인증서에 대해서만 사용할 수 있습니다.

네트워킹

Tier-0 또는 Tier-0 VRF 게이트웨이

프로젝트 생성 중에 할당됨

프로젝트 생성 중에 엔터프라이즈 관리자는 기본 공간에서 프로젝트에 Tier-0 게이트웨이 또는 Tier-0 VRF 게이트웨이를 할당합니다.

Tier-0 게이트웨이의 서비스는 기본 공간에서 엔터프라이즈 관리자가 관리합니다.

동적 라우팅(BGP/OSPF)

엔터프라이즈 관리자가 관리

동적 라우팅은 엔터프라이즈 관리자가 Tier-0 게이트웨이 또는 Tier-0 VRF 게이트웨이에서 구성합니다.

EVPN

엔터프라이즈 관리자가 관리

EVPN은 엔터프라이즈 관리자가 Tier-0 게이트웨이 또는 Tier-0 VRF 게이트웨이에 구성합니다.

Tier-1 게이트웨이

고정 라우팅

Tier-1 게이트웨이의 고정 라우팅은 프로젝트 관리자가 구성합니다.

오버레이 세그먼트

VLAN 세그먼트

아니요

세그먼트 프로파일

  • SpoofGuard
  • IP 검색
  • MAC 검색
  • 세그먼트 보안
  • QoS

L2 브리지

아니요

L2 VPN

프로젝트의 각 Tier-1 게이트웨이에서 L2 VPN 서비스를 하나만 구성할 수 있습니다.

IPSec VPN(L3 VPN)

프로젝트의 각 Tier-1 게이트웨이에서 IPSec 서비스를 하나만 구성할 수 있습니다.

경로 기반 IPSec VPN을 구성하기 위해 고정 경로가 지원됩니다. BGP를 사용하는 VTI(가상 터널 인터페이스)를 사용한 동적 라우팅은 프로젝트의 Tier-1 게이트웨이에서 지원되지 않습니다.

NAT

로드 밸런서

아니요

DNS 전달자

  • DNS 서비스
  • DNS 영역

IP 주소 풀/IP 주소 블록

IPv6 프로파일(DAD/ND)

게이트웨이 QoS 프로파일

DHCP 및 DHCP 릴레이

보안

분산 방화벽

프로젝트의 세그먼트에 연결된 VM에만 해당합니다. 기본 공간에서 엔터프라이즈 관리자가 관리하는 방화벽 규칙의 우선순위가 가장 높고 프로젝트 정책이 그다음으로 높습니다.

방화벽 규칙의 소스 또는 대상이나 적용 대상에 Antrea 그룹이 있는 DFW 정책은 프로젝트에서 지원되지 않습니다.

제외 목록

엔터프라이즈 관리자가 관리

제외 목록은 모든 방화벽 애플리케이션 규칙에서 VM을 제외합니다.

게이트웨이 방화벽

엔터프라이즈 관리자 및 프로젝트 관리자는 프로젝트의 컨텍스트 내에서만 프로젝트의 Tier-1 게이트웨이에서 게이트웨이 방화벽 규칙을 관리할 수 있습니다. 프로젝트 관리자는 엔터프라이즈 관리자가 생성한 프로젝트에서 게이트웨이 방화벽 규칙을 삭제하거나 수정할 수 있습니다.

ID 방화벽

아니요

프로젝트에서 ID 방화벽을 사용할 수 없습니다. ID 방화벽 규칙은 기본 공간에서만 구성할 수 있으며 이러한 규칙은 프로젝트 내의 VM에 적용될 수 있습니다.

분산 IDS/IPS

예(NSX 4.1.1부터)

아니요(NSX 4.1)

게이트웨이 IDS/IPS

맬웨어 차단

TLS 암호 해독

아니요

TLS 검사

FQDN 필터링

URL 필터링

아니요

FQDN 분석 대시보드가 프로젝트 관리자에게 노출되지 않습니다. 엔터프라이즈 관리자만 사용할 수 있습니다.

방화벽 프로파일

  • 세션 타이머
  • 플러드 보호
  • DNS 보안

인벤토리

서비스

그룹(고정 및 동적 멤버 자격)

Kubernetes 멤버 유형은 동적 멤버 자격 조건을 생성하기 위한 프로젝트에서 사용할 수 없습니다.

그룹 Antrea

아니요

컨텍스트 프로파일/L7 액세스 프로파일

태그

가상 시스템(가시성/태그 지정)

프로젝트의 세그먼트에 연결된 VM에만 해당합니다.

컨테이너 클러스터

아니요

NSX에 등록된 Antrea Kubernetes 클러스터의 Kubernetes 리소스는 프로젝트 인벤토리에 노출되지 않습니다.

계획 및 문제 해결

Traceflow

Traceflow는 프로젝트의 일부인 VM 및 포트만 사용할 수 있습니다. 대상이 다른 프로젝트로 라우팅되는 IP인 경우 이러한 세부 정보가 Traceflow 출력에서 숨겨집니다.

Antrea Traceflow

아니요

실시간 트래픽 분석

아니요

IPFIX

엔터프라이즈 관리자가 관리

IPFIX는 엔터프라이즈 관리자가 기본 공간의 중앙에서 관리합니다.

포트 미러링

엔터프라이즈 관리자가 관리

포트 미러링이 기본 공간의 엔터프라이즈 관리자에 의해 중앙에서 구성됩니다.

NSX Intelligence

아니요

NSX Intelligence 기능은 프로젝트 관리자에게 노출되지 않습니다. NSX 엔터프라이즈 관리자만 모든 NSX Intelligence 기능에 대한 전체 액세스 권한을 갖습니다.

NSX Intelligence 기능(네트워크 흐름 시각화, 마이크로 세분화 권장 사항 및 의심스러운 트래픽 분석)은 프로젝트를 인식하지 않습니다. 이러한 기능은 전체 온-프레미스 NSX 환경 내의 모든 네트워크 트래픽 흐름 데이터에 작동합니다. 다중 테넌시를 사용하는 경우, 즉 프로젝트가 NSX 환경에 정의된 경우 NSX Intelligence기본 보기 또는 모든 프로젝트 보기 중 어떤 보기를 사용하든 기본 공간에 있는 모든 NSX 개체와 모든 프로젝트의 모든 NSX 개체를 표시합니다.