L'architecture mutualisée de NSX prend en charge du partage de certaines ressources (objets) avec des projets spécifiques ou avec des VPC NSX dans les projets.

Présentation du partage de ressources

Un administrateur d'entreprise peut souhaiter partager des ressources (objets) avec des projets afin qu'elles soient disponibles pour la consommation dans ces projets. Le partage de ressources évite de devoir recréer les objets dans des projets qui en ont besoin, et permet d'économiser ainsi des efforts.

Le partage des ressources s'effectue en créant des partages de ressources. Chaque partage de ressources est identifié par un nom unique. Dans un partage de ressources, vous pouvez ajouter les membres (objets) que vous souhaitez partager, puis choisir un ou plusieurs projets avec lesquels vous souhaitez le partager.

Les utilisateurs du projet peuvent consommer les ressources partagées dans leurs projets pour configurer des groupes, des règles de pare-feu, etc., pour répondre à leurs exigences de mise en réseau et de sécurité.

Les ressources peuvent être partagées à partir de l'espace par défaut ou de la vue Projet, ou les deux. À partir de l'espace par défaut, vous pouvez partager des ressources avec des projets ou NSX VPC. Dans la vue Projet, vous pouvez partager des ressources avec NSX VPC au sein d'un même projet.

Le partage de ressources entre un projet et d'autres projets n'est actuellement pas pris en charge.

Lorsque vous partagez une ressource en créant un partage de ressources, les membres enfants de cette ressource partagée ne sont pas partagées avec le projet cible. Cependant, un administrateur d'entreprise ou un administrateur de projet peut contrôler si les membres enfants des ressources partagées sont visibles par les utilisateurs du projet et du VPC. Par défaut, les membres enfants des ressources partagées sont visibles dans le projet et NSX VPC. Si nécessaire, l'administrateur peut désactiver la visibilité des membres enfants.

La visibilité des membres enfants s'applique aux ressources suivantes dans le partage de ressources :
  • Groupes
  • Segments

Les ressources partagées sont disponibles en mode lecture seule pour les projets ou les VPC NSX avec lesquels ils sont partagés. En d'autres termes, les utilisateurs ne peuvent pas modifier les ressources partagées dans ces projets. Lorsque vous partagez des ressources avec un projet, les VPC NSX de ce projet n'ont pas accès aux ressources partagées automatiquement. Si nécessaire, vous pouvez partager des ressources avec tous les VPC NSX ou des VPC NSX spécifiques au sein d'un projet.

Dans l'espace par défaut, les objets (ressources) NSX suivants sont actuellement pris en charge pour l'ajout en tant que membres dans le partage de ressources :
  • Groupes
  • Services
  • Profils de contexte
  • Segments
  • Profils DHCP
  • Profils DAD
  • Profils ND
  • Zones DNS
  • Profils IDS
  • Profils IKE
  • Profils IPSec
  • Profils DPD
  • Certificats de service
  • CRL

Un sous-ensemble de fonctionnalités NSX est actuellement pris en charge pour la consommation dans les VPC NSX. Si vous partagez des ressources à partir de l'espace par défaut avec des VPC NSX, mais que les ressources ne sont pas prises en charge pour la consommation dans les VPC, ces ressources sont propagées aux VPC NSX. Cependant, les utilisateurs de VPC ne peuvent pas consommer ces ressources partagées.

Par exemple, supposons qu'un administrateur d'entreprise ait partagé un segment de superposition à partir de l'espace par défaut avec un projet et tous les VPC NSX dans ce projet. Le système propage le segment de superposition au projet et à tous ses VPC NSX. Toutefois, le segment peut être consommé uniquement dans le projet, mais pas dans les VPC NSX, car le segment de superposition n'est pas pris en charge dans les VPC NSX.

Les rôles d'utilisateur suivants à l'échelle du système peuvent partager des ressources de l'espace par défaut vers les projets ou les NSX VPC dans les projets :
  • Administrateur d'entreprise
  • Administrateur réseau
  • Administrateur de sécurité
Les rôles d'utilisateur suivants dans un projet peuvent partager des ressources d'un projet vers les VPC NSX dans le même projet :
  • Administrateur de projet
  • Administrateur réseau
  • Administrateur de sécurité

Présentation des partages par défaut du projet

Lorsque vous ajoutez un nouveau projet, il n'existe aucune ressource créée par l'utilisateur dans ce projet. Un nouveau projet a accès uniquement aux ressources NSX définies par le système qui sont partagées par défaut via le partage par défaut. En d'autres termes, le partage par défaut est créé automatiquement dans l'espace par défaut lorsque NSX est déployé. Les ressources d'un partage par défaut sont disponibles pour tous les projets et les VPC NSX du système. Vous ne pouvez pas modifier le partage par défaut dans l'interface utilisateur.

Le système crée le partage par défaut pour une utilisation interne. Les membres de ce partage sont des ressources définies par le système, telles que les services, les profils BFD, les ID d'applications, etc.

Pour afficher la liste complète des ressources définies par le système incluses dans le partage par défaut, procédez comme suit :
  1. Assurez-vous que vous avez sélectionné la vue Par défaut dans le menu déroulant Projet.
  2. Accédez à Inventaire > Partage de ressources.
  3. Cochez la case Partages par défaut des projets en bas de la page Partage de ressources.
    Case à cocher Partages par défaut des projets.
  4. En regard de Partage par défaut, cliquez sur le nombre dans la colonne Membres.

Par exemple :


Cette capture d'écran est décrite dans le texte qui s'y rapporte.

Notez qu'en plus du partage par défaut, qui est disponible pour tous les projets et VPC NSX, le système crée automatiquement un partage par défaut pour chaque projet. Ce partage par défaut propre au projet est créé pour une utilisation interne du système. La convention de dénomination du partage par défaut propre au projet est le suivant :

default-Project-name
Par exemple, les membres du partage par défaut du projet sont les suivants :
  • Passerelles de niveau 0 (si définies lors de la création du projet)
  • Clusters Edge (dans la création du projet)
  • Site (si le cluster Edge est défini lors de la création du projet)
  • Point d'application du site (si le cluster Edge est défini lors de la création du projet)
  • Blocs d'adresses IPv4 externes alloués au projet
  • Zone de transport de superposition par défaut du système

Les passerelles de niveau 0/VRF et les clusters Edge sont gérés à partir de l'espace par défaut et ne peuvent pas être modifiés dans le projet.

Si les VPC NSX sont ajoutés au projet, le système crée automatiquement un partage par défaut pour chaque VPC NSX du projet. Ce partage par défaut contient les blocs d'adresses IPv4 privés alloués au VPC NSX. Ce partage VPC par défaut est créé pour une utilisation interne du système.

La convention de dénomination du partage par défaut de VPC dans le projet est la suivante :

_Project-name-VPC-name
Pour afficher le partage VPC par défaut, procédez comme suit :
  1. Basculez vers la vue de projet dans laquelle le NSX VPC est ajouté.
  2. Accédez à Inventaire > Partage de ressources.
  3. Cochez la case Partages par défaut des projets en bas de la page Partage de ressources.

Par exemple :


Partage par défaut créé par le système pour un VPC NSX nommé dev_vpc.

Cas d'utilisation pour le partage de segments avec des projets

Lorsqu'un segment est partagé avec un projet, les objets enfants du segment, tels que les ports de segment, sont visibles dans le projet uniquement lorsqu'un administrateur d'entreprise a activé la visibilité des membres enfants dans le partage de ressources. Sinon, le projet n'a pas de visibilité sur les ports de segment. Les interfaces de passerelle du segment partagé ne sont jamais visibles dans la vue du projet.

N'oubliez pas que le partage d'un segment ne partage pas les machines virtuelles connectées au segment. Il n'autorise pas non plus les utilisateurs du projet à configurer des stratégies de pare-feu distribué (DFW) sur les machines virtuelles. Le partage d'un segment lui permet d’être visible dans le projet et de connecter le segment partagé à l'interface de service d'une passerelle de niveau 1 du projet.

Les utilisateurs du projet ne peuvent pas étendre la stratégie de sécurité de pare-feu distribué du projet à ce segment partagé. Mais ils peuvent appliquer des stratégies de sécurité de pare-feu de passerelle à l'interface de service de la passerelle de niveau 1 du projet sur laquelle le segment partagé est connecté.

Le workflow est le suivant :
  1. Supposons que dans l'espace par défaut, il existe un segment nommé « Opérations-Segment ». Ce segment peut être un segment de superposition ou un segment VLAN.
  2. L'administrateur d'entreprise ajoute ce segment à un partage de ressources et le partage avec projet-1.
  3. Basculez vers project-1 dans NSX Manager et connectez le segment partagé à l'interface de service de la passerelle de niveau 1 du projet.
  4. Lorsque vous êtes dans la vue projet-1, créez une stratégie de pare-feu de passerelle et appliquez-la à l'interface de service de passerelle de niveau 1.

Dans l'exemple suivant, vous découvrirez les informations qui s'affichent sur la colonne Ports/Interfaces du segment partagé dans la vue du projet lorsque la visibilité des membres enfants pour le segment partagé est activée ou désactivée.

Exemple :
  • Supposons que dans l'espace par défaut, il existe un segment isolé nommé « Opérations-Segment » et une passerelle de niveau 0 nommée « T-0-Opérations ». Vous n'avez pas ajouté de ports sur ce segment.
  • Sur cette passerelle de niveau 0, ajoutez une interface de service et connectez-la à « Opérations-Segment ».
  • L'administrateur d'entreprise ajoute ce segment à un partage de ressources et le partage avec projet-1. Dans le partage de ressources, supposons que l'option Autoriser l'affichage de la hiérarchie des membres est désactivée.
  • Passez maintenant à projet-1 dans NSX Manager, accédez à la page Segments et cochez la case Objets partagés en bas de la page.
  • Observez les propriétés de « Opérations-Segment » partagé. La colonne Ports/Interfaces affiche la valeur Non disponible. En d'autres termes, les membres enfants du segment partagé (c'est-à-dire les ports de segment et les interfaces de service) ne sont pas exposés dans project-1.

    La colonne Ports/Interfaces du segment partagé affiche la valeur Non applicable.
  • Supposons maintenant que l'administrateur d'entreprise a activé l’option Autoriser l'affichage de la hiérarchie des membres dans le partage de ressources.

    Dans ce cas, lorsque vous basculez vers la vue project-1 et accédez à la page Segments, l'interface de service n'est toujours pas exposée à project-1. Mais la colonne Ports/Interfaces du segment partagé affiche désormais la valeur 0. Cette valeur indique uniquement le nombre de ports sur le segment partagé. Dans cet exemple, le nombre est égal à zéro, car le segment partagé ne contient aucun port. Les interfaces de passerelle sur le segment partagé ne sont jamais exposées dans la vue du projet.

Cas d'utilisation pour le partage de groupes, de services et de profils de contexte avec des projets

En général, les utilisateurs de projet peuvent souhaiter utiliser des objets NSX tels que des groupes, des services et des profils de contexte qui existent dans l'espace par défaut du système pour créer des règles de pare-feu sous leurs projets. Le partage de ressources évite aux utilisateurs du projet de recréer ces objets. Les objets partagés deviennent disponibles pour les projets en mode lecture seule et ne peuvent pas être modifiés dans les projets.