在多承租人 NSX 環境中,您可以在專案下設定一部分的 NSX 功能。
如此既為承租人提供了彈性,同時也允許企業管理員和其他預設空間管理員控制整個系統生命週期和連線。
NSX 功能 |
在專案下可用 |
備註 |
---|---|---|
系統 |
||
Edge 叢集 |
在專案建立期間指派 |
在專案建立期間,企業管理員會從預設空間將 Edge 叢集指派給專案。 |
系統生命週期 |
由企業管理員管理 |
平台範圍的作業 (例如:安裝、升級和備份) 由企業管理員管理。 |
憑證 |
是 |
專案下的憑證管理工作只適用於服務憑證。 |
網路 |
||
第 0 層或第 0 層 VRF 閘道 |
在專案建立期間指派 |
在專案建立期間,企業管理員會從預設空間將第 0 層閘道或第 0 層 VRF 閘道指派給專案。 第 0 層閘道上的服務由企業管理員從預設空間來管理。 |
動態路由 (BGP/OSPF) |
由企業管理員管理 |
動態路由會由企業管理員設定於第 0 層閘道或第 0 層 VRF 閘道上。 |
EVPN |
由企業管理員管理 |
EVPN 由企業管理員設定於第 0 層閘道或第 0 層 VRF 閘道上。 |
第 1 層閘道 |
是 |
|
靜態路由 |
是 |
靜態路由會由專案管理員設定於第 1 層閘道上。 |
覆疊區段 |
是 |
|
VLAN 區段 |
否 |
|
區段設定檔
|
是 |
|
L2 橋接器 |
否 |
|
L2 VPN |
是 |
在專案的每個第 1 層閘道上,只能設定一項 L2 VPN 服務。 |
IPSec VPN (L3 VPN) |
是 |
在專案的每個第 1 層閘道上,只能設定一項 IPSec 服務。 如果要設定路由型 IPSec VPN,則支援靜態路由。專案的第 1 層閘道不支援使用 BGP 對虛擬通道介面 (VTI) 進行動態路由。 |
NAT |
是 |
|
負載平衡器 |
否 |
|
DNS 轉寄站
|
是 |
|
IP 位址集區/IP 位址區塊 |
是 |
|
IPv6 設定檔 (DAD/ND) |
是 |
|
閘道 QoS 設定檔 |
是 |
|
DHCP 和 DHCP 轉送 |
是 |
|
安全性 |
||
分散式防火牆 |
是 |
僅適用於已連線至專案中區段的虛擬機器。由企業管理員在預設空間中管理的防火牆規則,將具有最高優先順序,其次是專案原則。 在專案下,不支援防火牆規則的 [來源]、[目的地] 或 [套用至] 中具有 Antrea 群組的 DFW 原則。 |
排除清單 |
由企業管理員管理 |
排除清單會將虛擬機器從所有防火牆應用程式規則中排除。 |
閘道防火牆 |
是 |
企業管理員和專案管理員只能在專案內容中管理專案第 1 層閘道上的閘道防火牆規則。專案管理員可以刪除或修改企業管理員在專案中所建立的閘道防火牆規則。 |
身分識別防火牆 |
否 |
身分識別防火牆在專案下無法使用。身分識別防火牆規則只能在預設空間中設定,且這些規則可以套用至專案中的虛擬機器。 |
分散式 IDS/IPS |
是 (從 NSX 4.1.1 開始) 否 (在 NSX 4.1 中) |
|
閘道 IDS/IPS 惡意程式碼防護 TLS 解密 |
否 |
|
TLS 檢查 FQDN 篩選 URL 篩選 |
否 是 是 |
[FQDN 分析] 儀表板不會向專案管理員公開。該儀表板只供企業管理員使用。 |
防火牆設定檔
|
是 |
|
詳細目錄 |
||
服務 |
是 |
|
群組 (靜態和動態成員資格) |
是 |
在專案下,無法使用 Kubernetes 成員類型來建立動態成員資格準則。 |
Antrea 群組 |
否 |
|
內容設定檔/L7 存取設定檔 |
是 |
|
標籤 |
是 |
|
虛擬機器 (可見性/標記) |
是 |
僅適用於已連線至專案中區段的虛擬機器。 |
容器叢集 |
否 |
登錄至 NSX 的 Antrea Kubernetes 叢集中的 Kubernetes 資源不會向專案詳細目錄公開。 |
規劃和疑難排解 |
||
Traceflow |
是 |
Traceflow 只能使用隸屬於專案的虛擬機器和連接埠。如果目的地是一個路由至其他專案的 IP,則 Traceflow 輸出中會隱藏這些詳細資料。 |
Antrea Traceflow |
否 |
|
即時流量分析 |
否 |
|
IPFIX |
由企業管理員管理 |
IPFIX 由企業管理員在預設空間中集中管理。 |
連接埠鏡像 |
由企業管理員管理 |
連接埠鏡像由企業管理員在預設空間中集中設定。 |
NSX Intelligence |
否 |
NSX Intelligence 功能不會向專案管理員公開。只有 NSX 企業管理員具備所有 NSX Intelligence 功能的完整存取權。 NSX Intelligence 功能 (網路流量視覺化、微分割建議和可疑流量分析) 並不是專案感知功能。這些功能可處理您整個內部部署 NSX 環境中的所有網路流量資料。如果使用多承租人,亦即,如果在 NSX 環境中定義了專案,則無論您使用的是預設視圖還是所有專案視圖,NSX Intelligence 都會顯示預設空間中的所有 NSX 物件以及所有專案中的所有 NSX 物件。 |