NSX 中的專案類似於承租人。藉由建立專案,您可以在單一 NSX 部署中隔離承租人之間的安全性和網路物件。

假設組織已在其站台上部署了 NSX。目前,該組織的所有基礎結構、網路與安全性組態都位於預設空間中,該空間由企業管理員所擁有。您將從本說明文件後面的說明中,進一步瞭解預設空間。

該組織的目標如下:
  • 隔離下列三個部門的網路與安全性組態:銷售部門、行銷部門和營運部門。
  • 委派工作給一組特定的 NSX 使用者,由這些使用者負責為每個部門建立及管理網路與安全性組態,同時避免讓這些使用者看見系統中的所有物件。
  • 依預設,允許部門內的工作負載虛擬機器,僅與同一部門中的其他工作負載虛擬機器 (包括 DHCP 伺服器) 通訊。
  • 依預設,會封鎖與部門外的工作負載通訊。如果需要進行此類通訊,系統必須允許在預設安全性原則中,新增規則或修改現有規則。
為了達成這些目標,組織可以使用「專案」功能,在其 NSX 部署中實作多租戶。例如,可以建立三個專案,且這些專案的名稱如下:
  • 銷售
  • 行銷
  • 營運

在多租戶部署中,每個專案中的使用者可以存取他們在其專案中建立的物件,並且可以取用企業管理員從預設空間提供給其專案共用的物件 (在唯讀模式下)。

備註:
  • 您可以選擇性地在 NSX 部署中設定多租戶功能,它的實作情況對現有 NSX 組態沒有任何影響。
  • NSX 聯盟 環境中目前不支援多租戶。

多租戶原則資料模型

NSX 原則資料模型為階層式,並具有兩個系統建立的分支:

  • /infra 分支由企業管理員管理。此分支下的物件會顯示在 UI 的預設視圖中。

    企業管理員以外的其他使用者角色也存在於 /infra 分支中。此分支中的使用者不會繫結到任何特定專案。本說明文件將此類使用者稱為「系統範圍」的使用者。這些使用者可以在 /infra 分支下設定一部分的物件。

    系統範圍的使用者有權存取系統中的所有物件。也就是說,他們有權存取預設視圖 (/infra 分支) 內的物件和專案內的物件。

    本說明文件有時會使用「預設空間」一詞,指的是預設視圖下的物件。換句話說,「預設空間」一詞與「預設視圖」可以交替使用。它們的含義相同。若要進一步瞭解預設視圖,請參閱本說明文件後面的預設視圖 (預設空間) 概觀一節。

  • /orgs/default 分支會保留多租戶物件。每個專案都有自己的空間來裝載其擁有的物件。

專案會建立在 /orgs/default 之下,以支援每個承租人具有一組獨立的網路與安全性組態。

專案組態是在 /orgs/default/projects/<project-id>/infra 之下進行設定

下圖說明多租戶的資料模型。這些圖表呈現資料模型中的部分視圖,僅供您瞭解概念。「原則」資料模型具有多個物件 (圖中未顯示)。

第一幅圖顯示預設空間以及組織下的兩個專案。第二幅圖顯示這兩個專案中的物件階層。在組織下,專案 1 和專案 2 具有自己的 NSX 網路與安全性物件階層,且這些物件建立於專案內。建立於專案內的物件為該專案所擁有。

第 0 層閘道和 Edge 叢集為預設空間所擁有,可以將它們配置給組織下的專案。您無法在專案內建立第 0 層閘道和 Edge 叢集。

每個專案都可以選擇性地具有自己的第 1 層閘道,這些閘道必須是設定在專案中。換句話說,第 1 層閘道必須由專案所擁有。專案無法使用設定於預設空間中的第 1 層閘道。


多租戶原則資料模型顯示預設空間、組織,以及組織下的兩個專案。

組織下專案 1 和專案 2 中的 NSX 物件階層。

預設組織

NSX 部署具有一個預設組織。您無法建立、修改或刪除預設組織。組織物件是系統在啟動時建立的。系統中的第 0 層閘道和 Edge 叢集可以配置給組織下的專案。

組織物件由系統使用以下識別碼來建立:

/orgs/default

組織物件在 UI 中不可見。

瞭解 [專案] 下拉式功能表

NSX Manager UI 頂端的應用程式列有專案下拉式功能表可用。若要檢視此功能表,請按一下預設,如下列螢幕擷取畫面中所示。


[專案] 下拉式功能表顯示預設空間,其中不存在使用者建立的專案。

此功能表顯示您有權存取的專案清單。您可以使用此功能表在專案之間切換,並管理指派給您的專案中的物件。

預設視圖 (預設空間) 概觀

當您第一次登入 NSX Manager 時,專案下拉式功能表只會顯示預設視圖。系統中不存在使用者建立的專案,如上面的螢幕擷取中所示。

預設視圖可讓企業管理員看見,而未指派給任何特定專案的系統範圍的其他使用者角色也可以看見。該視圖包含:
  • NSX 網狀架構中的所有物件,例如:主機、第 0 層閘道、Edge 叢集、傳輸區域等。
  • 全域使用者管理物件。
  • 階層式原則資料模型的 /infra 空間下的物件,例如:第 1 層閘道、區段、群組、防火牆原則等。
  • 資源共用
簡言之, 預設視圖含有不屬於任何專案的 NSX 物件。唯一的例外是,在 預設視圖的 虛擬機器頁面上,將顯示系統中的所有虛擬機器。亦即,連線至以下項目的虛擬機器:
  • 預設空間中的區段。
  • 專案中的區段。
  • 專案內 NSX VPC 中的子網路。

未連線至 NSX 中任何區段的虛擬機器也會顯示在預設空間中。此類虛擬機器會顯示為未連線

此例外允許企業管理員從預設空間本身檢視系統中執行的所有虛擬機器。企業管理員可以將標籤指派給系統中的任何虛擬機器,並對其套用安全性原則。

當企業管理員登入 NSX Manager 時,會顯示預設視圖,如以下螢幕擷取畫面中所示。可以發現,所有索引標籤都顯示在 UI 中。概觀頁面會顯示預設空間中物件的高階摘要。


企業管理員所看到的預設視圖。

當您在 NSX 部署中建立一或多個專案後,這些專案會顯示在專案下拉式功能表中,如以下螢幕擷取畫面中所示。


[專案] 下拉式功能表,其中反白顯示了使用者所建立的三個專案。

企業管理員可以檢視系統中的所有專案。系統範圍的其他使用者角色 (如稽核員) 也可以檢視系統中的所有專案。指派給特定專案且具有專案管理員、安全管理員、網路管理員、安全營運人員和網路營運人員等角色的使用者,可以檢視他們有權存取的專案。

例如,當專案管理員登入 NSX Manager 時,會顯示專案特定的視圖,如以下螢幕擷取畫面中所示。概觀頁面會顯示建立在專案中物件的高階摘要。


向專案管理員顯示的 [專案] 視圖。

NSX 舊版升級到 NSX 4.1 或更新版本時,預設空間會裝載所有現有的基礎結構、網路與安全性組態。您可以繼續使用預設空間,以滿足組織中所有的網路與安全性需求。不會修改現有網路與安全性物件的內容或這些物件的路徑。建立專案是選擇性的。

如果您使用 NSX API,在 NSX 4.0.1.1 部署中建立專案,然後升級到 4.1 或更新版本,則專案下拉式功能表會列出預設視圖和專案視圖。您可以在專案視圖和預設視圖之間切換,以檢視每個視圖下的物件。此外,專案功能表也會顯示所有專案視圖,如以下小節所述。

[所有專案] 視圖概觀
  • 所有專案視圖可供未指派給任何特定專案的系統範圍的所有使用者角色使用。也就是說,此視圖可供有權存取預設空間的所有使用者使用。例如,企業管理員、稽核員等。
  • 必須已在 NSX 部署中新增至少一個專案後,專案下拉式功能表中才會顯示此視圖。
  • 此視圖會顯示所有專案的網路與安全性組態,包括預設空間。
  • 此視圖中的物件是以唯讀模式顯示。

所有專案視圖中,網路與安全性物件名稱旁會顯示一個藥丸形狀的圖示,指出該物件是由預設空間還是專案所擁有。

例如,以下螢幕擷取畫面顯示區段頁面上的區段清單。綠色方框中反白顯示的藥丸形狀圖示指出每個區段的擁有者 - 預設空間或專案。


區段清單,其中區段名稱旁顯示了藥丸形狀圖示。

NSX Virtual Private Cloud

專案可以選擇性地包含一或多個 NSX Virtual Private Cloud (VPC)。

VPC 代表 NSX 專案中的一個獨立私人網路,應用程式開發人員或 DevOps 工程師可以使用該網路來主控其應用程式,並使用自助服務取用模型來使用網路與安全性物件。

NSX VPC 表示專案中的一個額外多租戶層。它提供了一種簡化的網路與安全性服務取用模型,這與您在公有雲環境中的體驗相符。

NSX VPC 只能建立在專案中。它們不能建立於預設空間中。

VPC 組態是設定在 NSX 原則資料模型的下列路徑之下:

/orgs/default/projects/<project-id>/vpcs/<vpc-id>

若要進一步瞭解 NSX VPC,請參閱NSX Virtual Private Cloud