專案有助於在單一 NSX 部署中隔離承租人之間的網路和安全性組態。

必要條件

您必須獲指派企業管理員角色。

程序

  1. 從瀏覽器登入 NSX Manager (網址:https://nsx-manager-ip-address)。
  2. 按一下預設,然後按一下管理
  3. 按一下新增專案
  4. (必要) 輸入專案的名稱。
  5. 選取此專案中的工作負載可使用的第 0 層或第 0 層 VRF 閘道,以便與 NSX 外部的實體網路進行南北向連線。

    如果需要,您可以選取多個閘道。如果未選取任何閘道,則專案中的工作負載將無法建立南北向連線。

    備註: 依預設,將在系統的預設覆疊傳輸區域中建立專案。因此,與預設傳輸區域關聯的第 0 層/VRF 閘道會顯示在下拉式功能表中。

    可以將第 0 層或第 0 層 VRF 閘道指派給多個專案。也就是說,將第 0 層/VRF 閘道配置給一個專案 (如專案 1) 後,不會阻止您將其配置給其他專案 (如專案 2 和專案 3)。

  6. 選取要與此專案相關聯的 Edge 叢集。

    所選取的 Edge 叢集可以日後再於專案內取用。例如,可以取用 Edge 叢集,來執行您在專案內的第 1 層閘道上所設定的集中式服務,例如 NAT、閘道防火牆、DHCP 等。與專案相關聯的 Edge 叢集不一定需要執行與專案相關聯的第 0 層閘道。

    集中式服務 (NAT、閘道防火牆、VPN、DHCP) 需要使用在專案層級指定的 Edge 叢集。如果不需要任何服務,則可以跳過 Edge 叢集。

    可以將一個 Edge 叢集指派給多個專案。也就是說,將一個 Edge 叢集指派給某個專案 (如專案 1) 後,不會阻止您將其指派給其他專案 (如專案 2 和專案 3)。

    備註: 與預設覆疊傳輸區域關聯的 Edge 叢集會顯示在下拉式功能表中。
  7. 外部 IPv4 區塊欄位中,選取一或多個現有的 IPv4 區塊。

    當您在專案內的 NSX VPC 中新增公用子網路時,選取的 IPv4 區塊將可供使用。系統會從這些外部 IPv4 區塊,將 CIDR 區塊指派給 NSX VPC 中的公用子網路。VPC 使用者還可以使用外部 IP 區塊,在 NSX VPC 中新增 NAT 規則。

    如果沒有可供選取的 IPv4 區塊,請按一下 [動作] 功能表,然後按一下建立新的,以新增 IP 位址區塊。

    在專案內,外部 IPv4 區塊之間不能互相重疊,且不得在同一個第 0 層閘道上重疊。

    例如,假設專案 A 會連線至第 0 層閘道 A,專案 B 會連線至第 0 層閘道 B。這兩個專案的第 0 層閘道是相互隔離的。在這種情況下,專案 A 和專案 B 可以使用相同或重疊的外部 IP 區塊,因為它們是連線至不同的第 0 層閘道。

  8. 短記錄識別碼文字方塊中輸入一個字串,以供系統用來識別在此專案內容中產生的記錄。

    簡短記錄識別碼會套用至安全性記錄和稽核記錄。

    如果您透過在 project API 中設定 dedicated_resources 參數來將第 0 層/VRF 閘道專用於專案,則會將短記錄識別碼附加到 Edge Syslog 中為在第 0 層/VRF 閘道上執行的集中服務產生的記錄訊息。若要瞭解詳細資訊,請參閱 在 NSX Edge Syslog 中啟用專案內容

    此識別碼在 NSX 環境內的所有專案之間必須是唯一的。

    識別碼不得超過八個英數字元。若未指定,則系統會在您儲存專案時自動產生識別碼。識別碼在設定之後,就無法修改。

  9. 如果您希望系統在 VMware vCenter Server® 上為此專案建立資料夾,請開啟在 vCenter 資料夾中組織 NSX 連接埠群組切換開關。

    依預設,此切換開關是關閉的。

    備註: 此切換開關僅適用於登錄到 NSX 部署的 VMware vCenter 伺服器版本為 8.0 Update 3 或更新版本的情況。
    如果啟用此切換開關,且系統偵測到 VMware vCenter 的版本低於 8.0 Update 3,則會顯示一則警告訊息,並且該設定不會在專案中強制執行。也就是說,不會在 VMware vCenter 中為專案建立資料夾。
    重要:
    • 如果為 NSX 部署中登錄的任何 VMware vCenter 伺服器啟用了多重 NSX,則無法在 VMware vCenter 中為專案建立資料夾。
    • 相反地,如果您在 NSX 中建立了一個專案,並且啟用了在 vCenter 資料夾中組織 NSX 連接埠群組切換開關,則無法對在 NSX 部署中登錄為計算管理程式的 VMware vCenter 伺服器啟用多重 NSX

    當您啟用此切換開關時,該設定將傳播到此專案中所有新增的 NSX VPC。然而,該設定在 NSX VPC 中是唯讀的,無法在 VPC 中被覆寫。

    若要瞭解當為專案啟用此切換開關時,在 VMware vCenter 中建立的資料夾階層,請參閱範例:在 VMware vCenter 資料夾中組織整理 NSX 連接埠群組

    專案和 VPC 資料夾的階層式組織有助於 vSphere 管理員輕鬆管理 VMware vCenter 中的 NSX 連接埠群組。例如,假設 vSphere 管理員想要為 VPC X 中所有 10 個 NSX 連接埠群組指派一個唯讀權限給名為「Tom」的 vSphere 使用者,則 vSphere 管理員可以在 VPC X 資料夾上為 Tom 指派唯讀權限,並選擇將此權限傳播到此資料夾中的所有子項。

    資料夾階層的另一個優勢是,如果在預設空間、專案和 VPC 中建立了相同名稱的 NSX 區段,則更容易在 vSphere Client UI 的詳細目錄窗格中找到這些區段。這是因為,對應於專案中的區段和 VPC 中的子網路的 NSX 連接埠群組被分組在各自的專案和 VPC 資料夾下。

    與預設空間中的區段對應的 NSX 連接埠群組並未組織在 VMware vCenter 資料夾中。這些 NSX 連接埠群組被放置在 vSphere Distributed Switch (VDS) 物件下。

    專案和 VPC 資料夾的生命週期由 NSX 管理。vSphere 使用者無法重新命名、移動或刪除專案或 VPC 資料夾,因為這些資料夾由 NSX 所擁有。在 NSX 中刪除專案或 VPC 時,將從 VMware vCenter 中刪除對應的資料夾。同樣地,當專案或 VPC 在 NSX 中重新命名時,對應的資料夾名稱也會在 VMware vCenter 中變更。

    VMware vCenter 中,允許對 NSX 建立的資料夾和連接埠群組執行以下操作:
    • vSphere 使用者或群組指派權限。

      例如,透過將指派網路權限與資料夾中的使用者或群組相關聯,vSphere 管理員可以限制哪些使用者可以將工作負載虛擬機器連接到屬於 NSX 專案或 VPC 的連接埠群組。

    • 新增/啟用/停用警示。
    • 指派或移除 vSphere 標籤。
    • 使用 NSX Manager UI 編輯 NSX 連接埠群組。

    儲存專案後,您可以根據需要關閉此切換開關。此動作不會影響連接到專案區段或 NSX VPC 子網路的工作負載。只有 NSX 連接埠群組在 VMware vCenter 中的位置會改變。也就是說,當此切換開關關閉時,專案和 VPC 資料夾會被刪除,且會將 NSX 連接埠群組移至 VMware vCenter 中的 VDS 物件下。

  10. 使用啟用預設分散式防火牆規則切換可為此專案開啟或關閉預設分散式防火牆規則。

    預設 DFW 規則允許專案內各工作負載虛擬機器之間的通訊,包括與 DHCP 伺服器的通訊。將阻止所有其他裝置通訊。

    只有在授權系統使用分散式防火牆安全功能的 NSX 部署中套用適當的安全性授權時,才能編輯此切換。此設定將僅開啟/關閉專案的預設分散式防火牆規則。它不會關閉專案中的分散式防火牆。

    例如,如果在 NSX 平台中啟用了分散式防火牆服務,您仍然可以停用專案的預設防火牆規則。在此情況下,將對專案套用在預設空間中設定的系統範圍的預設分散式防火牆規則。

    有關在不同情境下專案中啟用預設分散式防火牆規則切換開關的預設狀態的說明,請參閱 NSX 專案預設防火牆規則:授權考量事項

  11. 選擇性地輸入專案的說明。
  12. 選擇性地輸入此專案的標籤。
  13. 按一下儲存

下一步

如果您已為專案啟用在 vCenter 資料夾中組織 NSX 連接埠群組切換開關,請執行以下步驟:

  1. 檢查專案的狀態。在 VMware vCenter 中成功建立資料夾後,狀態為成功。此狀態表示在建立此專案時,NSXVMware vCenter 中建立的所有資料夾的整體或整併狀態。

    如果該切換開關旁邊的整體狀態顯示為失敗,請檢查錯誤詳細資料以瞭解失敗的原因。

    失敗情況範例:
    • 如果 VMware vCenter 伺服器在資料夾實現過程中關閉,資料夾建立可能會失敗。NSX 將無法與 VMware vCenter 通訊。在這種情況下,該專案的整體資料夾狀態為失敗NSX 將以預先定義的時間間隔嘗試再次建立資料夾,直到狀態變更為成功
    • 如果 NSX Manager 節點上的 cm-inventory 服務關閉,資料夾建立可能會失敗。

      NSX Manager 使用此服務從 VMware vCenter 動態擷取有關 VDS 或主機的資訊。當此服務的群組成員關閉時,NSX Manager 中會顯示一個屬於叢集化功能的警示。

  2. 登入 vSphere Client,開啟詳細目錄窗格,並確認已建立專案和 VDS 資料夾。

    例如,假設您在 NSX 部署中新增了名為 Project-1、Project-2 和 Project-3 的兩個專案,且這些專案的在 vCenter 資料夾中組織 NSX 連接埠群組切換開關已啟用。以下螢幕擷取畫面顯示,在資料中心物件內建立了一個名為 NSX Managed Folders 的根資料夾。「專案」資料夾和其他資料夾會在根資料夾內建立。

    其中每個專案資料夾內會有對應於每個 VPC 和區段的資料夾。而每個 VPC 內接著會有子資料夾,對應於每個子網路。在區段和子網路資料夾內,使用者可以找到所有對應至該區段/子網路的 NSX 連接埠群組。
    備註: 單一 NSX 區段或子網路會在每個 VDS 上建立一個 NSX 連接埠群組,且名稱都相同。所有這些連接埠群組都會重新分組到區段或子網路的資料夾中。

    此螢幕擷取畫面的周圍有文字加以說明。

    之後,當您在專案中新增區段,或在專案中新增 NSX VPC,或在 VPC 中新增子網路時,它們會在 VMware vCenter 的資料夾中進行組織管理。