La estructura de varios tenants de NSX admite el uso compartido de ciertos recursos (objetos) con proyectos específicos o con las VPC de NSX dentro de los proyectos de la organización.

Descripción general del recurso compartido

Es posible que un administrador empresarial desee compartir recursos (objetos) con proyectos para que estén disponibles para su consumo dentro de dichos proyectos. El uso compartido de recursos evita tener que volver a crear los objetos de nuevo en proyectos que los requieren y, de esta forma, se ahorra esfuerzo.

El uso compartido de recursos se hace creando recursos compartidos. Cada recurso compartido se identifica con un nombre único. En un recurso compartido, puede agregar los miembros (objetos) que desea compartir y, a continuación, elegir uno o varios proyectos con los que compartirlos.

Los usuarios del proyecto pueden consumir los recursos compartidos de sus proyectos para configurar grupos, reglas de firewall, etc., y cumplir así con sus requisitos de redes y seguridad.

Cuando se comparte un recurso mediante la creación de un recurso compartido, los recursos secundarios de ese recurso compartido no se compartirán con el proyecto de destino.

En NSX 4.1, solo puede compartir recursos del espacio predeterminado con proyectos dentro de la organización.

A partir de NSX 4.1.1, puede:
  • Compartir recursos del espacio predeterminado con proyectos o VPC de NSX.
  • Compartir recursos de un proyecto con las VPC de NSX dentro del mismo proyecto.

Actualmente no se admite el uso compartido de recursos de un proyecto a otros proyectos dentro de la organización.

Los recursos compartidos están disponibles en modo de solo lectura para los proyectos o las VPC de NSX con los que se comparten. En otras palabras, los usuarios no pueden modificar los recursos compartidos en esos proyectos. Cuando comparta recursos con un proyecto, las VPC de NSX de ese proyecto no obtendrán acceso a los recursos compartidos automáticamente. Si es necesario, puede compartir recursos con todas las VPC de NSX o con VPC de NSX específicas dentro de un proyecto.

En el espacio predeterminado, actualmente se pueden agregar como miembros del recurso compartido los siguientes objetos de NSX (recursos):
  • Grupos
  • Servicios
  • Perfiles de contexto
  • Segmentos
  • Perfiles de DHCP
  • Perfiles DAD
  • Perfiles ND
  • Zonas de DNS (en NSX 4.1.1 o versiones posteriores)
  • Perfiles de IDS (en NSX 4.1.1 o versiones posteriores)

Actualmente se admite un subconjunto de funciones de NSX para el consumo en las VPC de NSX. Si comparte recursos del espacio predeterminado con VPC de NSX, pero los recursos no se pueden consumir en las VPC, estos recursos se propagarán en las VPC de NSX. Sin embargo, los usuarios de VPC no pueden consumir esos recursos compartidos.

Por ejemplo, supongamos que un administrador empresarial comparte un segmento de superposición del espacio predeterminado con un proyecto y todas las VPC de NSX dentro de ese proyecto. El sistema propaga el segmento de superposición al proyecto y a todas sus VPC de NSX. Sin embargo, el segmento solo se puede consumir en el proyecto, pero no en las VPC de NSX, ya que el segmento superpuesto no se admite en las VPC de NSX.

Las siguientes funciones de usuario de todo el sistema pueden compartir recursos del espacio predeterminado con proyectos o VPC de NSX dentro de los proyectos:
  • Administrador empresarial
  • Administrador de red
  • Administrador de seguridad
Las siguientes funciones de usuario de un proyecto pueden compartir recursos de un proyecto con las VPC de NSX dentro del mismo proyecto:
  • Administrador de proyecto
  • Administrador de red
  • Administrador de seguridad

Descripción general de los recursos compartidos predeterminados del proyecto

Cuando se agrega un nuevo proyecto en la organización, no existen recursos creados por el usuario en ese proyecto. Un nuevo proyecto solo tiene acceso a los recursos de NSX definidos por el sistema que se comparten de forma predeterminada a través del recurso compartido predeterminado. En otras palabras, el recurso compartido predeterminado se crea automáticamente en el espacio predeterminado cuando NSX está implementado. Los recursos del recurso compartido predeterminado están disponibles para todos los proyectos y las VPC de NSX en la organización. El recurso compartido predeterminado no se pueden editar en la interfaz de usuario.

El sistema crea el recurso compartido predeterminado para uso interno. Los miembros de este recurso compartido son recursos definidos por el sistema, como servicios, perfiles de BFD, identificadores de aplicaciones y muchos más.

Para ver la lista completa de recursos definidos por el sistema que se incluyen en el recurso compartido predeterminado, siga estos pasos:
  1. Asegúrese de que seleccionó la vista Predeterminado en el menú desplegable Proyecto.
  2. Desplácese hasta Inventario > Uso compartido de recursos.
  3. (En NSX 4.1.1 o versiones posteriores) Haga clic en la casilla de verificación Recursos compartidos predeterminados de proyectos en la parte inferior de la página Uso compartido de recursos.
    Casilla de verificación Recursos compartidos predeterminados de proyectos.

    En NSX 4.1, los recursos compartidos predeterminados creados por el sistema se pueden ver directamente en la página. En otras palabras, la casilla de verificación Recursos compartidos predeterminados de proyectos no está disponible en la página Uso compartido de recursos.

  4. Junto a Recurso compartido predeterminado, haga clic en el número de la columna Miembros.

Por ejemplo:


Esta captura de pantalla se describe en el texto adyacente.

Tenga en cuenta que, además del recurso compartido predeterminado, disponible para todos los proyectos y las VPC de NSX de la organización, el sistema crea automáticamente un recurso compartido predeterminado para cada proyecto de la organización. Este recurso compartido predeterminado específico del proyecto se crea para uso interno del sistema. La convención de nomenclatura del recurso compartido predeterminado específico del proyecto es:

default-Nombre-proyecto
Los miembros del recurso compartido predeterminado del proyecto son:
  • Puertas de enlace de nivel 0 (si se establecieron durante la creación del proyecto)
  • Clústeres de Edge (si se establecieron durante la creación del proyecto)
  • Sitio (si el clúster de Edge se estableció durante la creación del proyecto)
  • Punto de implementación del sitio (si el clúster de Edge se estableció durante la creación del proyecto)
  • Bloques de direcciones IPv4 externas asignados al proyecto (en NSX 4.1.1 o versiones posteriores)

Las puertas de enlace de nivel 0/VRF y los clústeres de Edge se administran desde el espacio predeterminado y no se pueden editar en el proyecto.

La siguiente información se aplica a NSX 4.1.1 o versiones posteriores:

Si se agregan VPC de NSX al proyecto, el sistema creará automáticamente un recurso compartido predeterminado para cada VPC de NSX del proyecto. Este recurso compartido predeterminado contiene los bloques de direcciones IPv4 privadas que se asignan a la VPC de NSX. Este recurso compartido predeterminado de VPC se crea para uso interno del sistema.

La convención de nomenclatura del recurso compartido predeterminado de VPC en el proyecto es:

_Nombre-proyecto-Nombre-VPC
Para ver el recurso compartido predeterminado de VPC, siga estos pasos:
  1. Cambie a la vista de proyecto en el que se agregó la VPC de NSX.
  2. Desplácese hasta Inventario > Uso compartido de recursos.
  3. Haga clic en la casilla de verificación Recursos compartidos predeterminados de proyectos en la parte inferior de la página Uso compartido de recursos.

Por ejemplo:


Recurso compartido predeterminado creado por el sistema para una VPC de NSX llamada dev_vpc.

Caso práctico para compartir segmentos con proyectos

Cuando se comparte un segmento con un proyecto, eso no significa que las máquinas virtuales, los puertos y las interfaces de puerta de enlace de ese segmento sean accesibles desde el proyecto. De hecho, el proyecto no tendrá visibilidad en los puertos de segmentos, las interfaces y las máquinas virtuales de carga de trabajo del segmento compartido. Por lo tanto, los usuarios del proyecto no podrán configurar directivas de firewall distribuido en las máquinas virtuales de carga de trabajo que estén conectadas al segmento compartido.

Compartir un segmento con un proyecto permite que un usuario del proyecto conecte el segmento a la interfaz de servicio de una puerta de enlace de nivel 1 en ese proyecto.

Ejemplo: Supongamos el siguiente escenario:
  • Supongamos que en el espacio predeterminado hay un segmento aislado denominado "Segmento-Operaciones" y una puerta de enlace de nivel 0 con el nombre "Operaciones-nivel-0".
  • En esta puerta de enlace de nivel 0, agregue una interfaz de servicio y conéctela al "Segmento de operaciones".
  • El administrador empresarial agrega este segmento a un recurso compartido y lo comparte con project-1.
  • Ahora, cambie a project-1 en NSX Manager, desplácese hasta la página Segmentos y haga clic en la casilla de verificación Objetos compartidos en la parte inferior de la página.
  • Observe las propiedades del "Segmento de operaciones" compartido. La columna Puertos/Interfaces muestra el valor como No disponible. En otras palabras, la interfaz de servicio no está expuesta a project-1.

    La columna Puertos/interfaces del segmento compartido muestra el valor como No aplicable.

Caso práctico para compartir grupos, servicios y perfiles de contexto con proyectos

Por lo general, es posible que los usuarios del proyecto deseen consumir objetos de NSX, como grupos, servicios y perfiles de contexto, que existen en el espacio predeterminado del sistema para crear reglas de firewall en sus proyectos. El uso compartido de recursos evita la necesidad de que los usuarios del proyecto tengan que volver a crear estos objetos. Los objetos compartidos pasan a estar disponibles para los proyectos en modo de solo lectura y no se pueden editar dentro de proyectos.