L'architecture mutualisée de NSX prend en charge du partage de certaines ressources (objets) avec des projets spécifiques ou avec des VPC NSX dans les projets de l'organisation.

Présentation du partage de ressources

Un administrateur d'entreprise peut souhaiter partager des ressources (objets) avec des projets afin qu'elles soient disponibles pour la consommation dans ces projets. Le partage de ressources évite de devoir recréer les objets dans des projets qui en ont besoin, et permet d'économiser ainsi des efforts.

Le partage des ressources s'effectue en créant des partages de ressources. Chaque partage de ressources est identifié par un nom unique. Dans un partage de ressources, vous pouvez ajouter les membres (objets) que vous souhaitez partager, puis choisir un ou plusieurs projets avec lesquels vous souhaitez le partager.

Les utilisateurs du projet peuvent consommer les ressources partagées dans leurs projets pour configurer des groupes, des règles de pare-feu, etc., pour répondre à leurs exigences de mise en réseau et de sécurité.

Lorsque vous partagez une ressource en créant un partage de ressources, les ressources enfants de cette ressource partagée ne sont pas partagées avec le projet cible.

Dans NSX 4.1, vous pouvez partager des ressources uniquement de l'espace par défaut vers des projets de l'organisation.

À partir de NSX 4.1.1, vous pouvez effectuer les opérations suivantes :
  • Partagez des ressources de l'espace par défaut vers les projets ou les VPC NSX.
  • Partagez des ressources d'un projet vers les VPC NSX dans le même projet.

Le partage de ressources entre un projet et d'autres projets de l'organisation n'est actuellement pas pris en charge.

Les ressources partagées sont disponibles en mode lecture seule pour les projets ou les VPC NSX avec lesquels ils sont partagés. En d'autres termes, les utilisateurs ne peuvent pas modifier les ressources partagées dans ces projets. Lorsque vous partagez des ressources avec un projet, les VPC NSX de ce projet n'ont pas accès aux ressources partagées automatiquement. Si nécessaire, vous pouvez partager des ressources avec tous les VPC NSX ou des VPC NSX spécifiques au sein d'un projet.

Dans l'espace par défaut, les objets (ressources) NSX suivants sont actuellement pris en charge pour l'ajout en tant que membres dans le partage de ressources :
  • Groupes
  • Services
  • Profils de contexte
  • Segments
  • Profils DHCP
  • Profils DAD
  • Profils ND
  • Zones DNS (dans NSX 4.1.1 ou version ultérieure)
  • Profils IDS (dans NSX 4.1.1 ou version ultérieure)

Un sous-ensemble de fonctionnalités NSX est actuellement pris en charge pour la consommation dans les VPC NSX. Si vous partagez des ressources à partir de l'espace par défaut avec des VPC NSX, mais que les ressources ne sont pas prises en charge pour la consommation dans les VPC, ces ressources sont propagées aux VPC NSX. Cependant, les utilisateurs de VPC ne peuvent pas consommer ces ressources partagées.

Par exemple, supposons qu'un administrateur d'entreprise ait partagé un segment de superposition à partir de l'espace par défaut avec un projet et tous les VPC NSX dans ce projet. Le système propage le segment de superposition au projet et à tous ses VPC NSX. Toutefois, le segment peut être consommé uniquement dans le projet, mais pas dans les VPC NSX, car le segment de superposition n'est pas pris en charge dans les VPC NSX.

Les rôles d'utilisateur suivants à l'échelle du système peuvent partager des ressources de l'espace par défaut vers les projets ou les NSX VPC dans les projets :
  • Administrateur d'entreprise
  • Administrateur réseau
  • Administrateur de sécurité
Les rôles d'utilisateur suivants dans un projet peuvent partager des ressources d'un projet vers les VPC NSX dans le même projet :
  • Administrateur de projet
  • Administrateur réseau
  • Administrateur de sécurité

Présentation des partages par défaut du projet

Lorsque vous ajoutez un nouveau projet dans l'organisation, il n'existe aucune ressource créée par l'utilisateur dans ce projet. Un nouveau projet a accès uniquement aux ressources NSX définies par le système qui sont partagées par défaut via le partage par défaut. En d'autres termes, le partage par défaut est créé automatiquement dans l'espace par défaut lorsque NSX est déployé. Les ressources d'un partage par défaut sont disponibles pour tous les projets et les VPC NSX de l'organisation. Vous ne pouvez pas modifier le partage par défaut dans l'interface utilisateur.

Le système crée le partage par défaut pour une utilisation interne. Les membres de ce partage sont des ressources définies par le système, telles que les services, les profils BFD, les ID d'applications, etc.

Pour afficher la liste complète des ressources définies par le système incluses dans le partage par défaut, procédez comme suit :
  1. Assurez-vous que vous avez sélectionné la vue Par défaut dans le menu déroulant Projet.
  2. Accédez à Inventaire > Partage de ressources.
  3. (Dans NSX 4.1.1 ou version ultérieure) : cochez la case Partages par défaut des projets en bas de la page Partage de ressources.
    Case à cocher Partages par défaut des projets.

    Dans NSX 4.1, les partages par défaut créés par le système sont visibles directement sur la page. En d'autres termes, la case Partages par défaut des projets n'est pas disponible sur la page Partage de ressources.

  4. En regard de Partage par défaut, cliquez sur le nombre dans la colonne Membres.

Par exemple :


Cette capture d'écran est décrite dans le texte qui s'y rapporte.

Notez qu'en plus du partage par défaut, qui est disponible pour tous les projets et VPC NSX de l'organisation, le système crée automatiquement un partage par défaut pour chaque projet de l'organisation. Ce partage par défaut propre au projet est créé pour une utilisation interne du système. La convention de dénomination du partage par défaut propre au projet est le suivant :

default-Project-name
Les membres du partage par défaut du projet sont les suivants :
  • Passerelles de niveau 0 (si définies lors de la création du projet)
  • Clusters Edge (dans la création du projet)
  • Site (si le cluster Edge est défini lors de la création du projet)
  • Point d'application du site (si le cluster Edge est défini lors de la création du projet)
  • Blocs d'adresses IPv4 externes alloués au projet (dans NSX 4.1.1 ou version ultérieure)

Les passerelles de niveau 0/VRF et les clusters Edge sont gérés à partir de l'espace par défaut et ne peuvent pas être modifiés dans le projet.

Les informations suivantes s'appliquent à NSX 4.1.1 ou version ultérieure :

Si les VPC NSX sont ajoutés au projet, le système crée automatiquement un partage par défaut pour chaque VPC NSX du projet. Ce partage par défaut contient les blocs d'adresses IPv4 privés alloués au VPC NSX. Ce partage VPC par défaut est créé pour une utilisation interne du système.

La convention de dénomination du partage par défaut de VPC dans le projet est la suivante :

_Project-name-VPC-name
Pour afficher le partage VPC par défaut, procédez comme suit :
  1. Basculez vers la vue de projet dans laquelle le VPC NSX est ajouté.
  2. Accédez à Inventaire > Partage de ressources.
  3. Cochez la case Partages par défaut des projets en bas de la page Partage de ressources.

Par exemple :


Partage par défaut créé par le système pour un VPC NSX nommé dev_vpc.

Cas d'utilisation pour le partage de segments avec des projets

Lorsqu'un segment est partagé avec un projet, cela ne signifie pas que les machines virtuelles, les ports et les interfaces de passerelle sur ce segment sont exposés au projet. Le projet n'a pas de visibilité sur les ports de segment, les interfaces et les machines virtuelles de charge de travail du segment partagé. Par conséquent, les utilisateurs du projet ne peuvent pas configurer de stratégies de pare-feu distribué sur les machines virtuelles de charge de travail connectées au segment partagé.

Le partage d'un segment avec un projet permet à un utilisateur de projet de connecter le segment à l'interface de service d'une passerelle de niveau 1 dans ce projet.

Exemple : examinez le scénario suivant :
  • Supposons que dans l'espace par défaut, il existe un segment isolé nommé « Opérations-Segment » et une passerelle de niveau 0 nommée « T-0-Opérations ».
  • Sur cette passerelle de niveau 0, ajoutez une interface de service et connectez-la à « Opérations-Segment ».
  • L'administrateur d'entreprise ajoute ce segment à un partage de ressources et le partage avec projet-1.
  • Passez maintenant à projet-1 dans NSX Manager, accédez à la page Segments et cochez la case Objets partagés en bas de la page.
  • Observez les propriétés de « Opérations-Segment » partagé. La colonne Ports/Interfaces affiche la valeur Non disponible. En d’autres termes, l’interface de service n’est pas exposée au projet-1.

    La colonne Ports/Interfaces du segment partagé affiche la valeur Non applicable.

Cas d'utilisation pour le partage de groupes, de services et de profils de contexte avec des projets

En général, les utilisateurs de projet peuvent souhaiter utiliser des objets NSX tels que des groupes, des services et des profils de contexte qui existent dans l'espace par défaut du système pour créer des règles de pare-feu sous leurs projets. Le partage de ressources évite aux utilisateurs du projet de recréer ces objets. Les objets partagés deviennent disponibles pour les projets en mode lecture seule et ne peuvent pas être modifiés dans les projets.