在多承租人 NSX 環境中,您可以在專案下設定一部分的 NSX 功能。

如此既為承租人提供了彈性,同時也允許企業管理員和其他預設空間管理員控制整個系統生命週期和連線。

表 1. 專案下的可用功能

NSX 功能

在專案下可用

備註

系統

Edge 叢集

在專案建立期間指派

在專案建立期間,企業管理員會從預設空間將 Edge 叢集指派給專案。

系統生命週期

由企業管理員管理

平台範圍的作業 (例如:安裝、升級和備份) 由企業管理員管理。

網路

第 0 層或第 0 層 VRF 閘道

在專案建立期間指派

在專案建立期間,企業管理員會從預設空間將第 0 層閘道或第 0 層 VRF 閘道指派給專案。

第 0 層閘道上的服務由企業管理員從預設空間來管理。

動態路由 (BGP/OSPF)

由企業管理員管理

動態路由會由企業管理員設定於第 0 層閘道或第 0 層 VRF 閘道上。

EVPN

由企業管理員管理

EVPN 由企業管理員設定於第 0 層閘道或第 0 層 VRF 閘道上。

第 1 層閘道

靜態路由

靜態路由會由專案管理員設定於第 1 層閘道上。

覆疊區段

VLAN 區段

區段設定檔

  • SpoofGuard
  • IP 探索
  • MAC 探索
  • 區段安全性
  • QoS

L2 橋接器

L2 VPN

L3 VPN

NAT

負載平衡器

DNS 轉寄站

  • DNS 服務
  • DNS 區域

IP 位址集區/IP 位址區塊

IPv6 設定檔 (DAD/ND)

閘道 QoS 設定檔

DHCP 和 DHCP 轉送

安全性

分散式防火牆

僅適用於已連線至專案中區段的虛擬機器。由企業管理員在預設空間中管理的防火牆規則,將具有最高優先順序,其次是專案原則。

在專案下,不支援防火牆規則的 [來源]、[目的地] 或 [套用至] 中具有 Antrea 群組的 DFW 原則。

排除清單

由企業管理員管理

排除清單會將虛擬機器從所有防火牆應用程式規則中排除。

閘道防火牆

企業管理員和專案管理員只能在專案內容中管理專案第 1 層閘道上的閘道防火牆規則。專案管理員可以刪除或修改企業管理員在專案中所建立的閘道防火牆規則。

身分識別防火牆

身分識別防火牆在專案下無法使用。身分識別防火牆規則只能在預設空間中設定,且這些規則可以套用至專案中的虛擬機器。

分散式 IDS/IPS

是 (從 NSX 4.1.1 開始)

否 (在 NSX 4.1 中)

閘道 IDS/IPS

惡意程式碼防護

TLS 解密

TLS 檢查

FQDN 篩選

URL 篩選

[FQDN 分析] 儀表板不會向專案管理員公開。該儀表板只供企業管理員使用。

防火牆設定檔

  • 工作階段計時器
  • 洪泛保護
  • DNS 安全

詳細目錄

服務

群組 (靜態和動態成員資格)

在專案下,無法使用 Kubernetes 成員類型來建立動態成員資格準則。

Antrea 群組

內容設定檔/L7 存取設定檔

標籤

虛擬機器 (可見性/標記)

僅適用於已連線至專案中區段的虛擬機器。

容器叢集

登錄至 NSXAntrea Kubernetes 叢集中的 Kubernetes 資源不會向專案詳細目錄公開。

規劃和疑難排解

Traceflow

Traceflow 只能使用隸屬於專案的虛擬機器和連接埠。如果目的地是一個路由至其他專案的 IP,則 Traceflow 輸出中會隱藏這些詳細資料。

Antrea Traceflow

即時流量分析

IPFIX

由企業管理員管理

IPFIX 由企業管理員在預設空間中集中管理。

連接埠鏡像

由企業管理員管理

連接埠鏡像由企業管理員在預設空間中集中設定。

NSX Intelligence

NSX Intelligence 功能不會向專案管理員公開。只有 NSX 企業管理員具備所有 NSX Intelligence 功能的完整存取權。

NSX Intelligence 功能 (網路流量視覺化、微分割建議和可疑流量分析) 並不是專案感知功能。這些功能可處理您整個內部部署 NSX 環境中的所有網路流量資料。如果使用多承租人,亦即,如果在 NSX 環境中定義了專案,則無論您使用的是預設視圖還是所有專案視圖,NSX Intelligence 都會顯示預設空間中的所有 NSX 物件以及所有專案中的所有 NSX 物件。