NSX 多租户功能支持与特定项目或组织项目中的 NSX VPC 共享某些资源(对象)。

资源共享概述

企业管理员可能希望与项目共享资源(对象),以便可以在这些项目中使用共享资源(对象)。通过资源共享,无需再次在项目中重新创建所需的对象,从而节省工作量。

可通过创建资源共享来共享资源。每个资源共享均由唯一名称来标识。在资源共享中,您可以添加要共享的成员 (对象),然后选择要与其共享的一个或多个项目。

项目用户可以使用其项目中的共享资源来配置组、防火墙规则等,以满足其网络和安全要求。

通过创建资源共享来共享资源时,该共享资源的子资源不会与目标项目共享。

NSX 4.1 中,您只能将默认空间中的资源共享给组织内的项目。

NSX 4.1.1 开始,您可以:
  • 将默认空间中的资源共享给项目或 NSX VPC。
  • 将项目中的资源共享给同一项目中的 NSX VPC。

当前不支持将一个项目中的资源与组织内的其他项目共享。

与之共享资源的项目或 NSX VPC 可以在只读模式下使用共享资源。换句话说,这些项目中的用户无法修改共享资源。与项目共享资源后,该项目中的 NSX VPC 将自动无法访问共享资源。如果需要,可以与项目内的所有 NSX VPC 或特定 NSX VPC 共享资源。

在默认空间中,当前支持将以下 NSX 对象(资源)添加为资源共享中的成员:
  • 服务
  • 上下文配置文件
  • 分段
  • DHCP 配置文件
  • DAD 配置文件
  • ND 配置文件
  • DNS 区域(在 NSX 4.1.1 或更高版本中)
  • IDS 配置文件(在 NSX 4.1.1 或更高版本中)

当前支持在 NSX VPC 中使用一部分 NSX 功能。如果与 NSX VPC 共享默认空间中的资源,但不支持在 VPC 中使用这些资源,则这些资源将传播到 NSX VPC。但是,VPC 用户不能使用这些共享资源。

例如,假设企业管理员已与项目以及该项目中的所有 NSX VPC 共享默认空间中的覆盖网络分段。系统会将该覆盖网络分段传播到项目及其所有 NSX VPC。但是,该分段只能在项目中使用,而不能在 NSX VPC 中使用,因为在 NSX VPC 中不支持覆盖网络分段。

以下系统范围的用户角色可以与项目或项目中的 NSX VPC 共享默认空间中的资源:
  • 企业管理员
  • 网络管理员
  • 安全管理员
项目中的以下用户角色可以与同一项目中的 NSX VPC 共享该项目中的资源:
  • 项目管理员
  • 网络管理员
  • 安全管理员

项目的默认份额概览

在组织中添加新项目时,该项目中不存在用户创建的资源。新项目只有权访问系统定义的 NSX 资源,默认情况下,这些资源将通过默认共享进行共享。换句话说,默认共享是在部署 NSX 时自动在默认空间中创建的。默认共享中的资源可供组织中的所有项目和 NSX VPC 使用。您无法在 UI 中编辑默认共享。

默认共享由系统创建,以供内部使用。此共享的成员是系统定义的资源,例如、服务、BFD 配置文件、应用程序 ID 等。

要查看默认共享中包含的系统定义资源的完整列表,请执行以下步骤:
  1. 确保已从项目下拉菜单中选择默认视图。
  2. 导航到清单 > 资源共享
  3. (在 NSX 4.1.1 或更高版本中):单击资源共享页面底部的默认项目共享复选框。
    “默认项目共享”复选框。

    NSX 4.1 中,系统创建的默认共享将直接显示在该页面上。换句话说,资源共享页面上没有提供默认项目共享复选框。

  4. 默认共享旁边,单击成员列中的计数。

例如:


在周围文本中对该屏幕截图进行了说明。

可以发现,除了可用于组织中所有项目和 NSX VPC 的默认共享外,系统还会为组织中的每个项目自动创建一个默认共享。将创建这个特定于项目的默认共享,以供系统内部使用。项目特定默认共享的命名约定为:

default-Project-name
项目默认共享的成员包括:
  • Tier-0 网关(如果在项目创建期间设置)
  • Edge 集群(如果在项目创建期间设置)
  • 站点(如果在项目创建期间设置 Edge 集群)
  • 站点实施点(如果在项目创建期间设置 Edge 集群)
  • 分配给项目的外部 IPv4 地址块(在 NSX 4.1.1 或更高版本中)

Tier-0/VRF 网关和 Edge 集群在默认空间中进行管理,且无法在项目中进行编辑。

以下信息适用于 NSX 4.1.1 或更高版本:

如果在项目中添加了 NSX VPC,则系统会为项目中的每个 NSX VPC 自动创建一个默认共享。此默认共享包含已分配给 NSX VPC 的专用 IPv4 地址块。将创建此 VPC 默认共享,以供系统内部使用。

项目中 VPC 默认共享的命名约定为:

_Project-name-VPC-name
要查看 VPC 默认共享,请执行以下步骤:
  1. 切换到已添加 NSX VPC 的项目视图。
  2. 导航到清单 > 资源共享
  3. 单击资源共享页面底部的默认项目共享复选框。

例如:


系统为名为 dev_vpc 的 NSX VPC 创建的默认共享。

与项目共享分段的用例

与项目共享分段时,并不意味着此分段上的虚拟机、端口和网关接口会向该项目公开。实际上,该项目无法查看共享分段的分段端口、接口和工作负载虚拟机。因此,项目用户无法在连接到共享分段的工作负载虚拟机上配置分布式防火墙策略。

通过与项目共享分段,项目用户可以将分段连接到该项目中 Tier-1 网关的服务接口。

示例:请考虑以下场景:
  • 假设在默认空间中有一个名为“Operations-Segment”的隔离分段和一个名为“T-0-Operations”的 Tier-0 网关。
  • 在此 Tier-0 网关上,添加一个服务接口,并将此接口连接到“Operations-Segment”。
  • 企业管理员将此分段添加到资源共享,并与 project-1 共享此分段。
  • 现在,在 NSX Manager 中切换到项目 1,导航到分段页面,然后单击页面底部的共享对象复选框。
  • 可以发现共享的“Operations-Segment”的属性。端口/接口列显示的值为不可用。换句话说,服务接口不会向项目 1 公开。

    共享分段的“端口/接口”列显示的值为“不可用”。

与项目共享组、服务、上下文配置文件的用例

通常,项目用户可能希望使用存在于系统默认空间中的 NSX 对象(如组、服务和上下文配置文件),以在其项目下创建防火墙规则。通过资源共享,项目用户无需重新创建这些对象。共享对象可在只读模式下供项目使用,无法在项目中编辑这些对象。