專案有助於在單一 NSX 部署中隔離承租人之間的網路和安全性組態。

必要條件

您必須獲指派企業管理員角色。

程序

  1. 從瀏覽器登入 NSX Manager (網址:https://nsx-manager-ip-address)。
  2. 按一下預設,然後按一下管理
  3. 按一下新增專案
  4. (必要) 輸入專案的名稱。
  5. 選取此專案中的工作負載可使用的第 0 層或第 0 層 VRF 閘道,以便與 NSX 外部的實體網路進行南北向連線。

    如果需要,您可以選取多個閘道。如果未選取任何閘道,則專案中的工作負載將無法建立南北向連線。

    備註: 依預設,將在系統的預設覆疊傳輸區域中建立專案。因此,與預設傳輸區域關聯的第 0 層/VRF 閘道會顯示在下拉式功能表中。

    可以將第 0 層或第 0 層 VRF 閘道指派給多個專案。也就是說,將第 0 層/VRF 閘道配置給一個專案 (如專案 1) 後,不會阻止您將其配置給其他專案 (如專案 2 和專案 3)。

  6. 選取要與此專案相關聯的 Edge 叢集。

    所選取的 Edge 叢集可以日後再於專案內取用。例如,可以取用 Edge 叢集,來執行您在專案內的第 1 層閘道上所設定的集中式服務,例如 NAT、閘道防火牆、DHCP 等。在專案中新增 NSX VPC 時,將使用相同的 Edge 叢集為 VPC 中的工作負載提供集中式服務。

    該專案可以與由指派給專案的第 0 層/第 0 層 VRF 閘道使用的相同 Edge 叢集相關聯。如有需要,您可以將單獨的 Edge 叢集與專案和第 0 層/第 0 層 VRF 閘道相關聯。可以將一個 Edge 叢集指派給多個專案。也就是說,將一個 Edge 叢集指派給某個專案 (如專案 1) 後,不會阻止您將其指派給其他專案 (如專案 2 和專案 3)。

    備註: 與預設覆疊傳輸區域關聯的 Edge 叢集會顯示在下拉式功能表中。
  7. 外部 IPv4 區塊欄位中,選取一或多個現有的 IPv4 區塊。

    當您在專案內的 NSX VPC 中新增公用子網路時,選取的 IPv4 區塊將可供使用。系統會從這些外部 IPv4 區塊,將 CIDR 區塊指派給 NSX VPC 中的公用子網路。VPC 使用者還可以使用外部 IP 區塊,在 NSX VPC 中新增 NAT 規則。

    如果沒有可供選取的 IPv4 區塊,請按一下 [動作] 功能表,然後按一下建立新的,以新增 IP 位址區塊。

    在專案內,外部 IPv4 區塊之間不能互相重疊,且不得在同一個第 0 層閘道上重疊。

    例如,假設專案 A 會連線至第 0 層閘道 A,專案 B 會連線至第 0 層閘道 B。這兩個專案的第 0 層閘道是相互隔離的。在這種情況下,專案 A 和專案 B 可以使用相同或重疊的外部 IP 區塊,因為它們是連線至不同的第 0 層閘道。

  8. 短記錄識別碼文字方塊中輸入一個字串,以供系統用來識別在此專案內容中產生的記錄。

    簡短記錄識別碼會套用至安全性記錄和稽核記錄。

    如果您透過在 project API 中設定 dedicated_resources 參數來將第 0 層/VRF 閘道專用於專案,則會將短記錄識別碼附加到 Edge Syslog 中為在第 0 層/VRF 閘道上執行的集中服務產生的記錄訊息。若要進一步瞭解,請參閱在 NSX Edge Syslog 中啟用專案內容

    此識別碼在 NSX 環境內的所有專案之間必須是唯一的。

    識別碼不得超過八個英數字元。若未指定,則系統會在您儲存專案時自動產生識別碼。識別碼在設定之後,就無法修改。

  9. 使用啟用預設分散式防火牆規則切換可為此專案開啟或關閉預設分散式防火牆規則。

    預設 DFW 規則允許專案內各工作負載虛擬機器之間的通訊,包括與 DHCP 伺服器的通訊。將阻止所有其他裝置通訊。

    只有在授權系統使用分散式防火牆安全功能的 NSX 部署中套用適當的安全性授權時,才能編輯此切換。此設定將僅開啟/關閉專案的預設分散式防火牆規則。它不會關閉專案中的分散式防火牆。

    例如,如果在 NSX 平台中啟用了分散式防火牆服務,您仍然可以停用專案的預設防火牆規則。在此情況下,將對專案套用在預設空間中設定的系統範圍的預設分散式防火牆規則。

    下表介紹了不同案例範例下專案中啟用預設分散式防火牆規則切換的預設狀態。此表中使用的「基本授權」一詞是指以下任何一種授權:

    • NSX Networking for VMware Cloud Foundation
    • VCF 的解決方案授權
    序號 案例 切換的預設狀態 備註

    1

    您是新的 NSX 客戶,且已套用僅授權系統使用 NSX 網路連線功能的基本授權。

    關閉

    此切換不可編輯,因為目前套用的授權不支援設定分散式防火牆安全性規則。

    您需要在系統中套用適當的安全性授權,然後開啟此切換以在專案中啟用預設分散式防火牆規則。

    2

    您是新的 NSX 客戶。在初始作業中,您已套用授權系統使用 NSX 網路功能的基本授權。您還套用了授權系統使用分散式防火牆安全的適當安全性授權。

    開啟

    將為專案啟用預設分散式防火牆規則。

    如有需要,您可以在專案中將其關閉。

    3

    您是新的 NSX 客戶。在初始作業中,您只套用了僅授權系統使用 NSX 網路功能的基本授權。您在系統中新增了一些專案,如專案 A 和 B

    稍後,在第 2 天作業期間,您套用了授權系統使用分散式防火牆安全的適當安全性授權。

    現在,您在現有的專案 A 和 B 中新增了使用者定義的分散式防火牆規則,並且還在系統中建立了新專案,如專案 C 和 D。

    關閉:對於系統中既存的專案

    開啟:對於系統中的新專案

    在此案例中,「既存的專案」一詞是指在第 2 天作業後套用安全性授權之前系統中存在的專案。在此案例中,它們是指專案 A 和 B。「新專案」一詞是指在第 2 天作業後套用安全性授權後在系統中新增的專案。在此案例中,它們是指專案 C 和 D。

    對於既存的專案 A 和 B,系統行為如下所示:

    依預設,此切換將處於關閉狀態。使用者定義的 DFW 規則在專案 A 和 B 中有效。如果您想要在這些專案中啟用預設分散式防火牆規則,請在編輯模式下開啟這些專案,然後手動開啟此切換。然而,一旦開啟此切換,可能會影響專案 A 和 B 中東西向流量的行為。

    對於新的專案 C 和 D,系統行為如下所示:

    依預設,此切換將處於開啟狀態。也就是說,對於專案 C 和 D,依預設,將啟用預設分散式防火牆規則。如有需要,您可以將其關閉,以便只有使用者定義的分散式防火牆規則在這些專案中有效。

    4

    您是現有的 NSX 客戶,擁有授權系統完整 DFW 存取權的舊版 NSX 授權。

    舊版授權過期後,您套用了授權系統使用 NSX 網路功能的基本授權,還套用了授權系統使用分散式防火牆安全的安全性授權。

    開啟

    預設的分散式防火牆規則和使用者定義的分散式防火牆規則將繼續在變更為新授權之前建立的現有專案中執行。系統行為沒有變化。

    對於變更授權後新增的所有新專案,依預設,此切換處於開啟狀態。如有需要,您可以選擇將其關閉。

    5

    您是現有的 NSX 客戶,擁有授權系統完整 DFW 存取權的舊版 NSX 授權。您在系統中新增了兩個專案,如專案 A 和 B。

    目前的舊版授權到期後,您套用了僅授權系統使用 NSX 網路功能的基本授權。未套用安全性授權。

    現在,您在系統中建立了兩個新專案,如專案 C 和 D。

    開啟:對於既存的專案

    關閉:對於新專案

    在此案例中,「既存的專案」一詞是指在舊版 NSX 授權有效時在系統中新增的專案。在此案例中,它們是指專案 A 和 B。「新專案」一詞是指在套用基本授權後在系統中新增的專案。在此案例中,它們是指專案 C 和 D。

    對於既存的專案 A 和 B,系統行為如下所示:

    依預設,此切換處於開啟狀態。如有需要,您可以將其關閉。但是此動作無法還原。也就是說,您無法在專案 A 和 B 中再次啟用預設的東西向防火牆規則。

    預設的分散式防火牆規則和使用者定義的分散式防火牆規則將繼續在專案 A 和 B 中執行。但是,您無法編輯這些規則,也不能新增分散式防火牆規則。但是,您可以刪除現有的使用者定義的防火牆規則。

    若要獲得對分散式防火牆規則的完整存取權,您需要套用適當的安全性授權。

    對於新的專案 C 和 D,系統行為如下所示:

    依預設,此切換處於關閉狀態。您無法開啟該切換,因為目前套用的授權未授權系統使用分散式防火牆功能。
    6

    您是新 NSX 客戶,且您的系統已進入評估模式,有效時間為 60 天。

    關閉

    在新 NSX 部署的評估期間,系統只能使用網路功能,而無權使用安全性功能。
  10. 選擇性地輸入專案的說明。
  11. 按一下儲存