La multi-tenancy di NSX supporta la condivisione di determinate risorse (oggetti) con progetti specifici o con i VPC di NSX nei progetti dell'organizzazione.

Panoramica della condivisione delle risorse

È possibile che l'amministratore di un'organizzazione desideri condividere risorse (oggetti) con progetti in modo che siano disponibili per l'utilizzo in tali progetti. La condivisione delle risorse evita la necessità di ricreare gli oggetti nei progetti che li richiedono consentendo così un risparmio di tempo.

La condivisione delle risorse viene eseguita creando condivisioni di risorse. Ogni condivisione di risorse è identificata da un nome univoco. In una condivisione di risorse è possibile aggiungere i membri (oggetti) che si desidera condividere, quindi scegliere uno o più progetti per la condivisione.

Gli utenti del progetto possono utilizzare le risorse condivise nei propri progetti per configurare gruppi, regole del firewall e così via, in modo che soddisfino i requisiti di rete e sicurezza.

Quando si condivide una risorsa creando una condivisione di risorse, le risorse secondarie di tale risorsa condivisa non vengono condivise con il progetto di destinazione.

In NSX 4.1 è possibile condividere risorse solo dallo spazio predefinito con i progetti all'interno dell'organizzazione.

A partire da NSX 4.1.1, è possibile:
  • Condividere risorse dallo spazio predefinito con i progetti o i VPC di NSX.
  • Condividere risorse di un progetto con i VPC di NSX all'interno dello stesso progetto.

La condivisione delle risorse di un progetto con altri progetti all'interno dell'organizzazione non è attualmente supportata.

Le risorse condivise sono disponibili in modalità di sola lettura per i progetti o i VPC di NSX con cui vengono condivise. In altre parole, le risorse condivise non possono essere modificate dagli utenti di tali progetti. Quando le risorse vengono condivise con un progetto, i VPC di NSX in tale progetto non ottengono automaticamente l'accesso alle risorse condivise. Se necessario, è possibile condividere le risorse con tutti i VPC di NSX o con VPC di NSX specifici in un progetto.

Nello spazio predefinito, è attualmente supportata l'aggiunta dei seguenti oggetti (risorse) di NSX come membri nella condivisione di risorse:
  • Gruppi
  • Servizi
  • Profili di contesto
  • Segmenti
  • Profili DHCP
  • Profili DAD
  • Profili ND
  • Zone DNS (in NSX 4.1.1 e versioni successive)
  • Profili IDS (in NSX 4.1.1 e versioni successive)

Un sottoinsieme di funzionalità di NSX è attualmente supportato per l'utilizzo nei VPC di NSX. Se si condividono risorse dello spazio predefinito con i VPC di NSX, ma le risorse non sono supportate per l'utilizzo nei VPC, tali risorse vengono propagate nei VPC di NSX. Tuttavia, gli utenti di VPC non possono utilizzare tali risorse condivise.

Si supponga ad esempio che un amministratore aziendale abbia condiviso un segmento di overlay dello spazio predefinito con un progetto e con tutti i VPC di NSX all'interno di tale progetto. Il sistema propaga il segmento di overlay al progetto e a tutti i VPC di NSX. Tuttavia, il segmento può essere utilizzato solo nel progetto, ma non nei VPC di NSX perché il segmento di overlay non è supportato nei VPC di NSX.

I seguenti ruoli utente a livello di sistema possono condividere risorse dello spazio predefinito con i progetti o i VPC di NSX all'interno dei progetti:
  • Amministratore aziendale
  • Amministratore di rete
  • Amministratore della sicurezza
I seguenti ruoli utente in un progetto possono condividere risorse di un progetto con i VPC di NSX all'interno dello stesso progetto:
  • Amministratore del progetto
  • Amministratore di rete
  • Amministratore della sicurezza

Panoramica delle condivisioni predefinite di un progetto

Quando si aggiunge un nuovo progetto nell'organizzazione, in tale progetto non sono presenti risorse create dall'utente. Un nuovo progetto può accedere solo alle risorse di NSX definite dal sistema che vengono condivise per impostazione predefinita tramite la condivisione predefinita. In altre parole, la condivisione predefinita viene creata automaticamente nello spazio predefinito quando viene distribuito NSX. Le risorse nella condivisione predefinita sono disponibili per tutti i progetti e i VPC di NSX nell'organizzazione. Non è possibile modificare la condivisione predefinita nell'interfaccia utente.

La condivisione predefinita viene creata dal sistema per uso interno. I membri di questa condivisione sono risorse definite dal sistema, ad esempio servizi, profili BFD, ID app e molti altri.

Per visualizzare l'elenco completo delle risorse definite dal sistema incluse nella condivisione predefinita, eseguire i passaggi seguenti:
  1. Assicurarsi di aver selezionato la vista Predefinita nel menu a discesa Progetto.
  2. Passare a Inventario > Condivisione risorse.
  3. (In NSX 4.1.1 e versioni successive): fare clic sulla casella di controllo Condivisioni predefinite dei progetti nella parte inferiore della pagina Condivisione risorse.
    Casella di controllo Condivisioni predefinite dei progetti.

    In NSX 4.1, le condivisioni predefinite create dal sistema sono visibili direttamente nella pagina. In altre parole, la casella di controllo Condivisioni predefinite dei progetti non è disponibile nella pagina Condivisione risorse.

  4. Accanto a Condivisione predefinita, fare clic sul numero nella colonna Membri.

Ad esempio:


Questa schermata è descritta nel testo circostante.

Si tenga presente che oltre alla condivisione predefinita, disponibile per tutti i progetti e i VPC di NSX nell'organizzazione, il sistema crea automaticamente una condivisione predefinita per ogni progetto nell'organizzazione. Questa condivisione predefinita specifica del progetto viene creata per l'utilizzo interno del sistema. La convenzione di denominazione della condivisione predefinita specifica del progetto è:

default-Project-name
I membri della condivisione predefinita del progetto sono:
  • Gateway di livello 0 (se impostati durante la creazione del progetto)
  • Cluster Edge (se impostati durante la creazione del progetto)
  • Sito (se il cluster Edge è impostato durante la creazione del progetto)
  • Punto di applicazione del sito (se il cluster Edge è impostato durante la creazione del progetto)
  • Blocchi di indirizzi IPv4 esterni allocati al progetto (in NSX 4.1.1 e versioni successive)

I gateway VRF di livello 0 e i cluster Edge vengono gestiti dallo spazio predefinito e non possono essere modificati nel progetto.

Le seguenti informazioni si applicano a NSX 4.1.1 e versioni successive:

Se nel progetto vengono aggiunti VPC di NSX, il sistema crea automaticamente una condivisione predefinita per ogni VPC di NSX nel progetto. Questa condivisione predefinita contiene i blocchi di indirizzi IPv4 privati allocati al VPC di NSX. Questa condivisione predefinita di VPC viene creata per l'utilizzo interno del sistema.

La convenzione di denominazione della condivisione predefinita di VPC nel progetto è:

_Project-name-VPC-name
Per visualizzare la condivisione predefinita di VPC, eseguire i passaggi seguenti:
  1. Passare alla vista del progetto in cui viene aggiunto il VPC NSX.
  2. Passare a Inventario > Condivisione risorse.
  3. Fare clic sulla casella di controllo Condivisioni predefinite dei progetti nella parte inferiore della pagina Condivisione risorse.

Ad esempio:


Condivisione predefinita creata dal sistema per un VPC di NSX denominato dev_vpc.

Caso d'uso per la condivisione di segmenti con i progetti

Quando un segmento è condiviso con un progetto, non significa che le macchine virtuali, le porte e le interfacce del gateway in questo segmento siano esposte al progetto. Infatti, il progetto non ha visibilità sulle porte del segmento, sulle interfacce e sulle macchine virtuali del carico di lavoro del segmento condiviso. Pertanto, gli utenti del progetto non possono configurare i criteri del firewall distribuito nelle macchine virtuali del carico di lavoro connesse al segmento condiviso.

La condivisione di un segmento con un progetto consente a un utente del progetto di connettere il segmento all'interfaccia del servizio di un gateway di livello 1 in tale progetto.

Come esempio, si consideri il seguente scenario:
  • Si supponga che nello spazio predefinito siano presenti un segmento isolato denominato "Operations-Segment" e un gateway di livello 0 denominato "T-0-Operations".
  • In questo gateway di livello 0, aggiungere un'interfaccia del servizio e connettere questa interfaccia a "Operations-Segment".
  • L'amministratore aziendale aggiunge questo segmento a una condivisione di risorse e lo condivide con project-1.
  • A questo punto, passare a project-1 in NSX Manager, passare alla pagina Segmenti e fare clic sulla casella di controllo Oggetti condivisi nella parte inferiore della pagina.
  • Osservare le proprietà del segmento condiviso "Operations-Segment". La colonna Porte/Interfacce indica il valore Non disponibile. In altre parole, l'interfaccia del servizio non è esposta al progetto project-1.

    La colonna Porte/Interfacce del segmento condiviso mostra il valore Non applicabile.

Caso d'uso per la condivisione di gruppi, servizi e profili di contesto con progetti

In genere, gli utenti del progetto possono utilizzare oggetti di NSX come gruppi, servizi e profili di contesto presenti nello spazio predefinito del sistema per creare regole del firewall nei loro progetti. La condivisione delle risorse evita che gli utenti del progetto debbano ricreare questi oggetti. Gli oggetti condivisi diventano disponibili per i progetti in modalità sola lettura e non possono essere modificati all'interno dei progetti.