Die NSX-Mehrmandantenfähigkeit unterstützt die gemeinsame Nutzung bestimmter Ressourcen (Objekte) in bestimmten Projekten oder mit NSX-VPCs innerhalb der Projekte der Organisation.

Übersicht über die Ressourcenfreigabe

Ein Enterprise-Administrator möchte möglicherweise Ressourcen (Objekte) für Projekte freigeben, damit diese für die Nutzung in diesen Projekten verfügbar sind. Durch die gemeinsame Nutzung von Ressourcen entfällt die Notwendigkeit, die Objekte in den Projekten, in denen sie benötigt werden, erneut zu erstellen. Das verringert den Aufwand.

Die Ressourcenfreigabe erfolgt durch das Erstellen von Ressourcenfreigaben. Jede Ressourcenfreigabe wird durch einen eindeutigen Namen identifiziert. In einer Ressourcenfreigabe können Sie die Mitglieder (Objekte) hinzufügen, die Sie freigeben möchten, und dann eines oder mehrere Projekte auswählen, für die die Freigabe gilt.

Projektbenutzer können die freigegebenen Ressourcen in ihren Projekten verwenden, um Gruppen, Firewallregeln usw. zu konfigurieren, die ihre Netzwerk- und Sicherheitsanforderungen erfüllen.

Wenn Sie eine Ressource freigeben, indem Sie eine Ressourcenfreigabe erstellen, werden die untergeordneten Objekte der freigegebenen Ressource nicht für das Zielprojekt freigegeben.

In NSX 4.1 können Sie Ressourcen nur aus dem Standardbereich für Projekte innerhalb der Organisation teilen.

Ab NSX 4.1.1 haben Sie folgende Möglichkeiten:
  • Teilen Sie Ressourcen aus dem Standardbereich für Projekte oder NSX VPCs.
  • Teilen Sie Ressourcen aus einem Projekt für NSX VPCs im selben Projekt.

Die gemeinsame Nutzung von Ressourcen aus einem Projekt zu anderen Projekten innerhalb der Organisation wird derzeit nicht unterstützt.

Freigegebene Objekte sind in den zugehörigen Projekten oder NSX-VPCs im schreibgeschützten Modus verfügbar. Freigegebene Ressourcen können demnach nicht von den Benutzern in diesen Projekten geändert werden. Wenn Ressourcen für ein Projekt freigegeben werden, erhalten die NSX-VPCs in diesem Projekt nicht automatisch Zugriff auf die freigegebenen Ressourcen. Bei Bedarf können Sie Ressourcen für alle NSX-VPCs oder bestimmte NSX-VPCs innerhalb eines Projekts freigeben.

Im Standardbereich werden die folgenden NSX-Objekte (Ressourcen) derzeit für das Hinzufügen von Mitgliedern zur Ressourcenfreigabe unterstützt:
  • Gruppen
  • Dienste
  • Kontextprofile
  • Segmente
  • DHCP-Profile
  • DAD-Profile
  • ND-Profile
  • DNS-Zonen (in NSX 4.1.1 oder höher)
  • IDS-Profile (in NSX 4.1.1 oder höher)

Ein Teil der NSX-Funktionen wird derzeit für die Nutzung in NSX-VPCs unterstützt. Wenn Sie Ressourcen aus dem Standardbereich für NSX-VPCs freigeben, die Ressourcen jedoch nicht für die Nutzung in den VPCs unterstützt werden, werden diese Ressourcen an die NSX-VPCs weitergegeben. VPC-Benutzer können diese freigegebenen Ressourcen jedoch nicht verbrauchen.

Angenommen, ein Enterprise-Administrator hat ein Overlay-Segment aus dem Standardbereich für ein Projekt und alle NSX-VPCs innerhalb dieses Projekts freigegeben. Das System gibt das Overlay-Segment an das Projekt und alle zugehörigen NSX-VPCs weiter. Das Segment kann jedoch nur im Projekt, aber nicht in den NSX-VPCs genutzt werden, da das Overlay-Segment in NSX-VPCs nicht unterstützt wird.

Die folgenden systemweiten Benutzerrollen können Ressourcen aus dem Standardbereich für Projekte oder NSX-VPCs innerhalb der Projekte freigeben:
  • Enterprise-Administrator
  • Netzwerkadmin
  • Sicherheitsadministrator
Die folgenden Benutzerrollen in einem Projekt können Ressourcen aus einem Projekt für NSX-VPCs innerhalb desselben Projekts freigeben:
  • Projektadministrator
  • Netzwerkadmin
  • Sicherheitsadministrator

Übersicht über Die Standardfreigaben des Projekts

Wenn Sie ein neues Projekt in der Organisation hinzufügen, sind in diesem Projekt keine vom Benutzer erstellten Ressourcen vorhanden. Ein neues Projekt hat nur Zugriff auf die systemdefinierten NSX-Ressourcen, die standardmäßig über die Standardfreigabe freigegeben wurden. Das bedeutet, dass bei der Bereitstellung von NSX automatisch die Standardfreigabe im Standardbereich erstellt wird. Die Ressourcen in der Standardfreigabe sind für alle Projekte und NSX-VPCs in der Organisation verfügbar. Sie können die Standardfreigabe nicht auf der Benutzeroberfläche bearbeiten.

Die Standardfreigabe wird vom System für die interne Verwendung erstellt. Bei den Mitgliedern dieser Freigabe handelt es sich um systemdefinierte Ressourcen wie Dienste, BFD-Profile, App-IDs und vieles mehr.

Führen Sie folgende Schritte aus, um die vollständige Liste der systemdefinierten Ressourcen in der Standardfreigabe anzuzeigen:
  1. Stellen Sie sicher, dass Sie im Dropdown-Menü Projekt die Ansicht Standard ausgewählt haben.
  2. Navigieren Sie zu Bestandsliste > Ressourcenfreigabe.
  3. (In NSX 4.1.1 oder höher): Klicken Sie auf das Kontrollkästchen Standardfreigaben von Projekten unten auf der Seite Ressourcenfreigabe.
    Kontrollkästchen „Standardfreigaben von Projekten“.

    In NSX 4.1 werden die vom System erstellten Standardfreigaben direkt auf der Seite angezeigt. Das Kontrollkästchen Standardfreigaben von Projekten ist auf der Seite Ressourcenfreigabe nicht verfügbar.

  4. Klicken Sie neben Standardfreigabe auf die Anzahl in der Spalte Mitglieder.

Beispiel:


Diese Bildschirmaufnahme wird im umgebenden Text beschrieben.

Beachten Sie, dass das System zusätzlich zur Standardfreigabe, die allen Projekten und NSX-VPCs in der Organisation zur Verfügung steht, automatisch eine Standardfreigabe für jedes Projekt in der Organisation erstellt. Diese projektspezifische Standardfreigabe wird für die interne Verwendung des Systems erstellt. Die Benennungskonvention der projektspezifischen Standardfreigabe lautet:

default-Project-name
Die Mitglieder der Standardfreigabe für das Projekt sind:
  • Tier-0-Gateways (sofern während der Projekterstellung festgelegt)
  • Edge-Cluster (sofern während der Projekterstellung festgelegt)
  • Site (wenn der Edge-Cluster während der Projekterstellung festgelegt wird)
  • Enforcement Point der Site (sofern der Edge-Cluster während der Projekterstellung festgelegt wird)
  • Externe IPv4-Adressblöcke, die dem Projekt zugeteilt sind (in NSX 4.1.1 oder höher)

Tier-0-/VRF-Gateways und Edge-Cluster werden im Standardbereich verwaltet und können im Projekt nicht bearbeitet werden.

Die folgenden Informationen gelten für NSX 4.1.1 oder höher:

Wenn NSX-VPCs im Projekt hinzugefügt werden, erstellt das System automatisch eine Standardfreigabe für jede NSX-VPC im Projekt. Diese Standardfreigabe enthält die privaten IPv4-Adressblöcke, die der NSX-VPC zugeteilt sind. Diese VPC-Standardfreigabe wird für die interne Verwendung des Systems erstellt.

Die Benennungskonvention der VPC-Standardfreigabe im Projekt lautet:

_Project-name-VPC-name
Führen Sie die folgenden Schritte aus, um die VPC-Standardfreigabe anzuzeigen:
  1. Wechseln Sie zu der Projektansicht, in der die NSX VPC hinzugefügt wird.
  2. Navigieren Sie zu Bestandsliste > Ressourcenfreigabe.
  3. Klicken Sie auf das Kontrollkästchen Standardfreigaben von Projekten unten auf der Seite Ressourcenfreigabe.

Beispiel:


Vom System erstellte Standardfreigabe für eine NSX VPC mit dem Namen dev_vpc.

Anwendungsbeispiel für die gemeinsame Nutzung von Segmenten mit Projekten

Wenn ein Segment für ein Projekt freigegeben wird, bedeutet dies nicht, dass die VMs, Ports und Gateway-Schnittstellen in diesem Segment für das Projekt verfügbar werden. Tatsächlich hat das Projekt keinen Einblick in die Segmentports, Schnittstellen und Arbeitslast-VMs des freigegebenen Segments. Aus diesem Grund können Projektbenutzer keine Richtlinien für verteilte Firewalls auf den Arbeitslast-VMs konfigurieren, die mit dem freigegebenen Segment verbunden sind.

Durch die Freigabe eines Segments für ein Projekt kann ein Projektbenutzer das Segment mit der Dienstschnittstelle eines Tier-1-Gateways in diesem Projekt verbinden.

Beispielszenario:
  • Im Standardbereich befinden sich ein isoliertes Segment namens „Operations-Segment“ und ein Tier-0-Gateway namens „T-0-Operations“.
  • Fügen Sie auf diesem Tier-0-Gateway eine Dienstschnittstelle hinzu und verbinden Sie diese Schnittstelle mit dem "Operations-Segment".
  • Der Enterprise-Administrator fügt dieses Segment einer Ressourcenfreigabe hinzu und gibt es für Projekt-1 frei.
  • Jetzt wechseln Sie in NSX Manager zu Projekt-1, navigieren zur Seite Segmente und klicken unten auf der Seite auf das Kontrollkästchen Freigegebene Objekte.
  • Achten Sie auf die Eigenschaften des freigegebenen Operations-Segments. In der Spalte Ports/Schnittstellen wird der Wert Nicht anwendbar angezeigt. Das bedeutet, dass die Dienstschnittstelle für Projekt-1 nicht angezeigt wird.

    Spalte „Ports/Schnittstellen“ des freigegebenen Segments zeigt den Wert „Nicht anwendbar“ an.

Anwendungsbeispiel für die Gemeinsame Nutzung von Gruppen, Diensten, Kontextprofilen mit Projekten

In der Regel möchten Projektbenutzer NSX-Objekte wie Gruppen, Dienste und Kontextprofile nutzen, die im Standardspeicher des Systems vorhanden sind, um Firewallregeln unter ihren Projekten zu erstellen. Durch Ressourcenfreigabe ist es nicht notwendig, dass Projektbenutzer diese Objekte neu erstellen. Die freigegebenen Objekte sind für Projekte im schreibgeschützten Modus verfügbar. Sie können nicht innerhalb von Projekten bearbeitet werden.