La estructura de varios tenants de NSX admite el uso compartido de ciertos recursos (objetos) con proyectos específicos o con las VPC de NSX dentro de los proyectos.

Descripción general del recurso compartido

Es posible que un administrador empresarial desee compartir recursos (objetos) con proyectos para que estén disponibles para su consumo dentro de dichos proyectos. El uso compartido de recursos evita tener que volver a crear los objetos de nuevo en proyectos que los requieren y, de esta forma, se ahorra esfuerzo.

El uso compartido de recursos se hace creando recursos compartidos. Cada recurso compartido se identifica con un nombre único. En un recurso compartido, puede agregar los miembros (objetos) que desea compartir y, a continuación, elegir uno o varios proyectos con los que compartirlos.

Los usuarios del proyecto pueden consumir los recursos compartidos de sus proyectos para configurar grupos, reglas de firewall, etc., y cumplir así con sus requisitos de redes y seguridad.

Los recursos se pueden compartir desde el espacio predeterminado o desde la vista de proyecto, o desde ambos. Desde el espacio predeterminado, puede compartir recursos con proyectos o VPC de NSX. En la vista de proyecto, puede compartir recursos con VPC de NSX dentro del mismo proyecto.

Actualmente no se admite el uso compartido de recursos de un proyecto a otros proyectos.

Cuando se comparte un recurso mediante la creación de un recurso compartido, los miembros secundarios de ese recurso compartido no se compartirán con el proyecto de destino. Sin embargo, un administrador empresarial o un administrador del proyecto pueden controlar si los miembros secundarios de los recursos compartidos son visibles para los usuarios del proyecto y de la VPC. De forma predeterminada, los miembros secundarios de los recursos compartidos son visibles en el proyecto y las VPC de NSX. Si es necesario, el administrador puede desactivar la visibilidad de los miembros secundarios.

La visibilidad de los miembros secundarios se aplica a los siguientes recursos en el recurso compartido:
  • Grupos
  • Segmentos

Los recursos compartidos están disponibles en modo de solo lectura para los proyectos o las VPC de NSX con los que se comparten. En otras palabras, los usuarios no pueden modificar los recursos compartidos en esos proyectos. Cuando comparta recursos con un proyecto, las VPC de NSX de ese proyecto no obtendrán acceso a los recursos compartidos automáticamente. Si es necesario, puede compartir recursos con todas las VPC de NSX o con VPC de NSX específicas dentro de un proyecto.

En el espacio predeterminado, actualmente se pueden agregar como miembros del recurso compartido los siguientes objetos de NSX (recursos):
  • Grupos
  • Servicios
  • Perfiles de contexto
  • Segmentos
  • Perfiles de DHCP
  • Perfiles DAD
  • Perfiles ND
  • Zonas de DNS
  • Perfiles de IDS
  • Perfiles de IKE
  • Perfiles de IPSec
  • Perfiles de DPD
  • Certificados de servicio
  • CRL

Actualmente se admite un subconjunto de funciones de NSX para el consumo en las VPC de NSX. Si comparte recursos del espacio predeterminado con VPC de NSX, pero los recursos no se pueden consumir en las VPC, estos recursos se propagarán en las VPC de NSX. Sin embargo, los usuarios de VPC no pueden consumir esos recursos compartidos.

Por ejemplo, supongamos que un administrador empresarial comparte un segmento de superposición del espacio predeterminado con un proyecto y todas las VPC de NSX dentro de ese proyecto. El sistema propaga el segmento de superposición al proyecto y a todas sus VPC de NSX. Sin embargo, el segmento solo se puede consumir en el proyecto, pero no en las VPC de NSX, ya que el segmento superpuesto no se admite en las VPC de NSX.

Las siguientes funciones de usuario de todo el sistema pueden compartir recursos del espacio predeterminado con proyectos o VPC de NSX dentro de los proyectos:
  • Administrador empresarial
  • Administrador de red
  • Administrador de seguridad
Las siguientes funciones de usuario de un proyecto pueden compartir recursos de un proyecto con las VPC de NSX dentro del mismo proyecto:
  • Administrador de proyecto
  • Administrador de red
  • Administrador de seguridad

Descripción general de los recursos compartidos predeterminados del proyecto

Cuando se agrega un nuevo proyecto, no existen recursos creados por el usuario en ese proyecto. Un nuevo proyecto solo tiene acceso a los recursos de NSX definidos por el sistema que se comparten de forma predeterminada a través del recurso compartido predeterminado. En otras palabras, el recurso compartido predeterminado se crea automáticamente en el espacio predeterminado cuando NSX está implementado. Los recursos del recurso compartido predeterminado están disponibles para todos los proyectos y las VPC de NSX en el sistema. El recurso compartido predeterminado no se pueden editar en la interfaz de usuario.

El sistema crea el recurso compartido predeterminado para uso interno. Los miembros de este recurso compartido son recursos definidos por el sistema, como servicios, perfiles de BFD, identificadores de aplicaciones y muchos más.

Para ver la lista completa de recursos definidos por el sistema que se incluyen en el recurso compartido predeterminado, siga estos pasos:
  1. Asegúrese de que seleccionó la vista Predeterminado en el menú desplegable Proyecto.
  2. Desplácese hasta Inventario > Uso compartido de recursos.
  3. Haga clic en la casilla de verificación Recursos compartidos predeterminados de proyectos en la parte inferior de la página Uso compartido de recursos.
    Casilla de verificación Recursos compartidos predeterminados de proyectos.
  4. Junto a Recurso compartido predeterminado, haga clic en el número de la columna Miembros.

Por ejemplo:


Esta captura de pantalla se describe en el texto adyacente.

Tenga en cuenta que, además del recurso compartido predeterminado, disponible para todos los proyectos y las VPC de NSX, el sistema crea automáticamente un recurso compartido predeterminado para cada proyecto. Este recurso compartido predeterminado específico del proyecto se crea para uso interno del sistema. La convención de nomenclatura del recurso compartido predeterminado específico del proyecto es:

default-Nombre-proyecto
Por ejemplo, los miembros del recurso compartido predeterminado del proyecto son:
  • Puertas de enlace de nivel 0 (si se establecieron durante la creación del proyecto)
  • Clústeres de Edge (si se establecieron durante la creación del proyecto)
  • Sitio (si el clúster de Edge se estableció durante la creación del proyecto)
  • Punto de implementación del sitio (si el clúster de Edge se estableció durante la creación del proyecto)
  • Bloques de direcciones IPv4 externas asignados al proyecto
  • Zona de transporte de superposición predeterminada del sistema

Las puertas de enlace de nivel 0/VRF y los clústeres de Edge se administran desde el espacio predeterminado y no se pueden editar en el proyecto.

Si se agregan VPC de NSX al proyecto, el sistema creará automáticamente un recurso compartido predeterminado para cada VPC de NSX del proyecto. Este recurso compartido predeterminado contiene los bloques de direcciones IPv4 privadas que se asignan a la VPC de NSX. Este recurso compartido predeterminado de VPC se crea para uso interno del sistema.

La convención de nomenclatura del recurso compartido predeterminado de VPC en el proyecto es:

_Nombre-proyecto-Nombre-VPC
Para ver el recurso compartido predeterminado de VPC, siga estos pasos:
  1. Cambie a la vista de proyecto en el que se agregó la NSX VPC.
  2. Desplácese hasta Inventario > Uso compartido de recursos.
  3. Haga clic en la casilla de verificación Recursos compartidos predeterminados de proyectos en la parte inferior de la página Uso compartido de recursos.

Por ejemplo:


Recurso compartido predeterminado creado por el sistema para una VPC de NSX llamada dev_vpc.

Caso práctico para compartir segmentos con proyectos

Cuando se comparte un segmento con un proyecto, los objetos secundarios del segmento, como los puertos de segmentos, son visibles en el proyecto solo cuando un administrador empresarial ha habilitado la visibilidad de los miembros secundarios en el recurso compartido. De lo contrario, el proyecto no tendrá visibilidad en los puertos de segmentos. Las interfaces de puerta de enlace del segmento compartido nunca están visibles en la vista de proyecto.

Recuerde que el uso compartido de un segmento no comparte las máquinas virtuales que están conectadas al segmento. Tampoco permite a los usuarios del proyecto configurar directivas de firewall distribuido (DFW) en las máquinas virtuales. Compartir un segmento permite que sea visible en el proyecto y pueda conectarse con la interfaz de servicio de una puerta de enlace de nivel 1 en ese proyecto.

Los usuarios del proyecto no pueden extender la directiva de seguridad de firewall distribuido del proyecto a este segmento compartido. Sin embargo, pueden aplicar directivas de seguridad de firewall de puerta de enlace a la interfaz de servicio de la puerta de enlace de nivel 1 del proyecto donde está conectado el segmento compartido.

El siguiente es el flujo de trabajo:
  1. Supongamos que, en el espacio predeterminado, hay un segmento denominado "Operaciones-Segmento". Este segmento puede ser un segmento de superposición o un segmento de VLAN.
  2. El administrador empresarial agrega este segmento a un recurso compartido y lo comparte con Proyecto 1.
  3. Cambie a Proyecto 1 en NSX Manager y conecte el segmento compartido a la interfaz de servicio de la puerta de enlace de nivel 1 del proyecto.
  4. Mientras se encuentra en la vista Proyecto 1, cree una directiva de firewall de puerta de enlace y aplíquela a la interfaz de servicio de puerta de enlace de nivel 1.

En el siguiente ejemplo, obtendrá información sobre la información que se muestra en la columna Puertos/Interfaces del segmento compartido en la vista de proyecto cuando la visibilidad de los miembros secundarios del segmento compartido esté activada o desactivada.

Ejemplo:
  • Supongamos que en el espacio predeterminado hay un segmento aislado denominado "Segmento-Operaciones" y una puerta de enlace de nivel 0 con el nombre "Operaciones-nivel-0". No agregó puertos en este segmento.
  • En esta puerta de enlace de nivel 0, agregue una interfaz de servicio y conéctela al "Segmento de operaciones".
  • El administrador empresarial agrega este segmento a un recurso compartido y lo comparte con Proyecto 1. En el recurso compartido, supongamos que la opción Permitir ver la jerarquía de miembros está desactivada.
  • Ahora, cambie a project-1 en NSX Manager, desplácese hasta la página Segmentos y haga clic en la casilla de verificación Objetos compartidos en la parte inferior de la página.
  • Observe las propiedades del "Segmento de operaciones" compartido. La columna Puertos/Interfaces muestra el valor como No disponible. En otras palabras, los miembros secundarios del segmento compartido (es decir, los puertos de segmentos y las interfaces de servicio) no están expuestos en el Proyecto 1.

    La columna Puertos/interfaces del segmento compartido muestra el valor como No aplicable.
  • Ahora, supongamos que el administrador empresarial ha activado la opción Permitir ver la jerarquía de miembros en el recurso compartido.

    En este caso, cuando cambia a la vista Proyecto 1 y va a la página Segmentos, la interfaz de servicio sigue sin estar expuesta en Proyecto 1. Sin embargo, la columna Puertos/Interfaces del segmento compartido ahora muestra el valor 0. Este valor solo indica el recuento de puertos en el segmento compartido. En este ejemplo, el recuento es cero porque el segmento compartido no contiene puertos. Las interfaces de puerta de enlace en el segmento compartido nunca están expuestas en la vista de proyecto.

Caso práctico para compartir grupos, servicios y perfiles de contexto con proyectos

Por lo general, es posible que los usuarios del proyecto deseen consumir objetos de NSX, como grupos, servicios y perfiles de contexto, que existen en el espacio predeterminado del sistema para crear reglas de firewall en sus proyectos. El uso compartido de recursos evita la necesidad de que los usuarios del proyecto tengan que volver a crear estos objetos. Los objetos compartidos pasan a estar disponibles para los proyectos en modo de solo lectura y no se pueden editar dentro de proyectos.