NSX 多租户功能支持与特定项目或项目内的 NSX VPC 共享某些资源(对象)。

资源共享概述

企业管理员可能希望与项目共享资源(对象),以便可以在这些项目中使用共享资源(对象)。通过资源共享,无需再次在项目中重新创建所需的对象,从而节省工作量。

可通过创建资源共享来共享资源。每个资源共享均由唯一名称来标识。在资源共享中,您可以添加要共享的成员 (对象),然后选择要与其共享的一个或多个项目。

项目用户可以使用其项目中的共享资源来配置组、防火墙规则等,以满足其网络和安全要求。

可以从默认空间和/或项目视图共享资源。从默认空间中,可以与项目或 NSX VPC 共享资源。从项目视图中,可以与同一项目内的 NSX VPC 共享资源。

当前不支持将一个项目中的资源与其他项目共享。

通过创建资源共享来共享资源时,该共享资源的子成员不会与目标项目共享。但是,企业管理员或项目管理员可以控制共享资源的子成员是否对项目和 VPC 用户可见。默认情况下,共享资源的子成员在项目和 NSX VPC 中可见。如果需要,管理员可以关闭子成员的可见性。

子成员的可见性适用于资源共享中的以下资源:
  • 分段

与之共享资源的项目或 NSX VPC 可以在只读模式下使用共享资源。换句话说,这些项目中的用户无法修改共享资源。与项目共享资源后,该项目中的 NSX VPC 将自动无法访问共享资源。如果需要,可以与项目内的所有 NSX VPC 或特定 NSX VPC 共享资源。

在默认空间中,当前支持将以下 NSX 对象(资源)添加为资源共享中的成员:
  • 服务
  • 上下文配置文件
  • 分段
  • DHCP 配置文件
  • DAD 配置文件
  • ND 配置文件
  • DNS 区域
  • IDS 配置文件
  • IKE 配置文件
  • IPSec 配置文件
  • DPD 配置文件
  • 服务证书
  • CRL

当前支持在 NSX VPC 中使用一部分 NSX 功能。如果与 NSX VPC 共享默认空间中的资源,但不支持在 VPC 中使用这些资源,则这些资源将传播到 NSX VPC。但是,VPC 用户不能使用这些共享资源。

例如,假设企业管理员已与项目以及该项目中的所有 NSX VPC 共享默认空间中的覆盖网络分段。系统会将该覆盖网络分段传播到项目及其所有 NSX VPC。但是,该分段只能在项目中使用,而不能在 NSX VPC 中使用,因为在 NSX VPC 中不支持覆盖网络分段。

以下系统范围的用户角色可以与项目或项目中的 NSX VPC 共享默认空间中的资源:
  • 企业管理员
  • 网络管理员
  • 安全管理员
项目中的以下用户角色可以与同一项目中的 NSX VPC 共享该项目中的资源:
  • 项目管理员
  • 网络管理员
  • 安全管理员

项目的默认份额概览

添加新项目时,该项目中不存在用户创建的资源。新项目只有权访问系统定义的 NSX 资源,默认情况下,这些资源将通过默认共享进行共享。换句话说,默认共享是在部署 NSX 时自动在默认空间中创建的。默认共享中的资源可供系统中的所有项目和 NSX VPC 使用。您无法在 UI 中编辑默认共享。

默认共享由系统创建,以供内部使用。此共享的成员是系统定义的资源,例如、服务、BFD 配置文件、应用程序 ID 等。

要查看默认共享中包含的系统定义资源的完整列表,请执行以下步骤:
  1. 确保已从项目下拉菜单中选择默认视图。
  2. 导航到清单 > 资源共享
  3. 单击资源共享页面底部的默认项目共享复选框。
    “默认项目共享”复选框。
  4. 默认共享旁边,单击成员列中的计数。

例如:


在周围文本中对该屏幕截图进行了说明。

可以发现,除了可用于所有项目和 NSX VPC 的默认共享外,系统还会为每个项目自动创建一个默认共享。将创建这个特定于项目的默认共享,以供系统内部使用。项目特定默认共享的命名约定为:

default-Project-name
例如,项目默认共享的成员包括:
  • Tier-0 网关(如果在项目创建期间设置)
  • Edge 集群(如果在项目创建期间设置)
  • 站点(如果在项目创建期间设置 Edge 集群)
  • 站点实施点(如果在项目创建期间设置 Edge 集群)
  • 分配给项目的外部 IPv4 地址块
  • 系统的默认覆盖网络传输区域

Tier-0/VRF 网关和 Edge 集群在默认空间中进行管理,且无法在项目中进行编辑。

如果在项目中添加了 NSX VPC,则系统会为项目中的每个 NSX VPC 自动创建一个默认共享。此默认共享包含已分配给 NSX VPC 的专用 IPv4 地址块。将创建此 VPC 默认共享,以供系统内部使用。

项目中 VPC 默认共享的命名约定为:

_Project-name-VPC-name
要查看 VPC 默认共享,请执行以下步骤:
  1. 切换到已添加 NSX VPC 的项目视图。
  2. 导航到清单 > 资源共享
  3. 单击资源共享页面底部的默认项目共享复选框。

例如:


系统为名为 dev_vpc 的 NSX VPC 创建的默认共享。

与项目共享分段的用例

当分段与项目共享时,仅当企业管理员开启资源共享中子成员的可见性时,分该段的子对象(如分段端口)才会在项目中可见。否则,项目对分段端口不可见。共享分段的网关接口在项目视图中始终不可见。

请记住,共享分段不会共享连接到分段的虚拟机。它也不允许项目用户在虚拟机上配置分布式防火墙 (DFW) 策略。共享分段可使该分段在项目中可见,并将该共享后的分段连接到项目中 Tier-1 网关的服务接口。

项目用户不能将项目的分布式防火墙安全策略扩展到该共享分段。但他们可以将网关防火墙安全策略应用到连接共享分段的项目 Tier-1 网关的服务接口。

工作流如下:
  1. 假设默认空间中有一个名为“Operations-Segment”的分段。该分段可以是覆盖网络分段或 VLAN 分段。
  2. 企业管理员将此分段添加到资源共享,并与 project-1 共享此分段。
  3. 切换到 NSX Manager 中的 project-1,并将共享分段连接到项目 Tier-1 网关的服务接口。
  4. 在项目 1 视图中,创建网关防火墙策略并将其应用于 Tier-1 网关服务接口。

在以下示例中,您将了解打开或关闭共享分段的子成员可见性时,项目视图中共享分段的端口/接口列上显示的信息。

示例:
  • 假设在默认空间中有一个名为“Operations-Segment”的隔离分段和一个名为“T-0-Operations”的 Tier-0 网关。您尚未在此分段上添加端口。
  • 在此 Tier-0 网关上,添加一个服务接口,并将此接口连接到“Operations-Segment”。
  • 企业管理员将此分段添加到资源共享,并与 project-1 共享此分段。在资源共享中,假设已关闭允许查看成员层次结构选项开关。
  • 现在,在 NSX Manager 中切换到项目 1,导航到分段页面,然后单击页面底部的共享对象复选框。
  • 可以发现共享的“Operations-Segment”的属性。端口/接口列显示的值为不可用。换言之,共享分段的子成员(即,分段端口和服务接口)不会在 project-1 中公开。

    共享分段的“端口/接口”列显示的值为“不可用”。
  • 现在,假设企业管理员已在资源共享中打开允许查看成员层次结构选项开关。

    此时,当切换到 project-1 视图并转到分段页面时,服务界面仍不会向 project-1 公开。但是,共享分段的端口/接口列现在显示值 0。该值仅表示共享分段上的端口计数。在此示例中,计数为零,因为共享分段不包含任何端口。共享分段上的网关接口始终不会在项目视图中公开显示。

与项目共享组、服务、上下文配置文件的用例

通常,项目用户可能希望使用存在于系统默认空间中的 NSX 对象(如组、服务和上下文配置文件),以在其项目下创建防火墙规则。通过资源共享,项目用户无需重新创建这些对象。共享对象可在只读模式下供项目使用,无法在项目中编辑这些对象。