尽管 VMware 在构建NSX时有考虑多租户,但该网络虚拟化和安全平台直到最近才完全支持多租户架构。
在很多 IT 环境中,基础架构管理员团队负责管理整个设置,他们有权访问所有系统组件。但在某些情况下,某些团队可能只需要访问整个 IT 基础架构的一部分,例如,想要管理自己的网络或安全设置的部门、分支机构或项目团队。
过去,VMware NSX 使用分层网关模型,在该模型中,IT 管理员可以隔离租户之间的网络并查看所有对象,但无法在租户级别管理对象。尽管NSX 在版本 4.0.1 中引入了多租户,但它只能通过 API(一个对管理员不友好的选项)进行配置。
但是,在 2022 年底的 NSX 更新之后,管理员可以在项目中创建映射到租户的对象。然后,他们可以将租户用户分配给角色,允许他们管理特定于租户的对象,例如 Tier-1 网关、分段和防火墙规则。此多租户功能在 NSX 用户界面中以本机方式提供,不需要与 VMware vCloud Director 集成。
演练:配置 VMware NSX 以管理多租户架构
图 1 显示了默认组织中的项目层级结构,其中包含提供程序对象,例如 Tier-0 网关、总体防火墙规则和其他系统范围的组件。在此示例中,使用特定于租户的对象(例如 Tier-1 网关、分段和防火墙规则)创建了两个项目(即租户)。
要开始使用 NSX 的多租户功能,请首先使用 NSX 标题栏中的项目切换器下拉菜单创建项目。图 2 显示了用于提供程序配置的默认项目和表示租户的三个项目。默认项目无法编辑或删除。
创建项目时,提供程序管理员还可以分配 Tier-0 网关和 Edge 供租户使用。图 3 显示了一个示例项目的配置选项。短日志标识符用于属于租户的对象的日志条目,使提供程序管理员能够在其集中式日志记录系统中查找与租户相关的条目。
对于每个项目,提供程序管理员可以设置配额,限制每个租户可以创建的项数。图 4 显示了网络限制的示例,其中设置了最多一个 Tier-1 网关、八个分段和四个网络地址转换 (NAT) 规则。
在Security和Inventory 选项卡中,管理员还可以分别设置防火墙策略和规则的数量,以及自定义服务和组的数量限制。
创建的项目位于User Management部分,如图 5 所示。
为特定项目的用户分配角色会限制他们只能访问与分配的项目关联的对象。当这些用户登录时,他们只会在项目切换器下拉列表中看到自己的项目,并且不知道其他租户。
提供程序管理员可以将用户分配到不同的角色,例如网络管理员或安全管理员,这进一步限制了他们可以使用的对象类型。租户组中分配有项目管理员角色的用户可以管理该租户的用户角色分配。
在图 6 所示的示例中,租户管理员用户只能从项目切换器菜单中查看TechTarget Tenant A 项目。同样,仅在该项目中创建的 Tier-1 网关对象可见。
由于租户用户无权访问 NSX 中的System 选项卡,因此他们无法管理甚至无法查看基础架构组件,例如传输节点和管理设备。
企业管理员级别的提供程序管理员可以管理所有项目。项目切换器中的All Projects条目显示来自所有租户的所有对象。图 7 显示了几个 Tier-1 网关,其中有一个新列显示与对象关联的项目。
通过在项目之间切换,提供程序管理员还可以为租户创建对象。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
AWS提供具有许可证移动性的原生VMware服务
AWS和Broadcom将为VMware Cloud Foundation客户提供AWS原生版本的VMware […]
-
新对象存储、虚拟机产品可用于HPE GreenLake
本周在HPE Discover Barcelona大会上,惠与公司(Hewlett Packard Enter […]
-
Pure提供全托管VMware迁移到Azure
Pure Storage推出一项新服务,旨在帮助客户将本地VMware环境迁移到Microsoft Azure […]
-
如何解决Java虚拟线程固定问题
虚拟线程是Java的Project Loom项目引入的一种全新线程模型,并随Java 21 LTS正式发布,虚 […]