La multi-tenancy di NSX supporta la condivisione di determinate risorse (oggetti) con progetti specifici o con i VPC di NSX nei progetti.

Panoramica della condivisione delle risorse

È possibile che l'amministratore di un'organizzazione desideri condividere risorse (oggetti) con progetti in modo che siano disponibili per l'utilizzo in tali progetti. La condivisione delle risorse evita la necessità di ricreare gli oggetti nei progetti che li richiedono consentendo così un risparmio di tempo.

La condivisione delle risorse viene eseguita creando condivisioni di risorse. Ogni condivisione di risorse è identificata da un nome univoco. In una condivisione di risorse è possibile aggiungere i membri (oggetti) che si desidera condividere, quindi scegliere uno o più progetti per la condivisione.

Gli utenti del progetto possono utilizzare le risorse condivise nei propri progetti per configurare gruppi, regole del firewall e così via, in modo che soddisfino i requisiti di rete e sicurezza.

Le risorse possono essere condivise dallo spazio predefinito o dalla vista del progetto oppure da entrambi. Dallo spazio predefinito, è possibile condividere le risorse con i progetti o i VPC di NSX. Dalla vista del progetto, è possibile condividere le risorse con i VPC di NSX all'interno dello stesso progetto.

La condivisione delle risorse di un progetto con altri progetti non è attualmente supportata.

Quando si condivide una risorsa creando una condivisione di membri, le Membri secondarie di tale risorsa condivisa non vengono condivise con il progetto di destinazione. Tuttavia, un amministratore aziendale o un amministratore di progetto può controllare se i membri secondari delle risorse condivise sono visibili al progetto e agli utenti di VPC. Per impostazione predefinita, i membri secondari delle risorse condivise sono visibili nel progetto e nei VPC NSX. Se necessario, l'amministratore può disattivare la visibilità dei membri secondari.

La visibilità dei membri secondari è applicabile alle seguenti risorse nella condivisione delle risorse:
  • Gruppi
  • Segmenti

Le risorse condivise sono disponibili in modalità di sola lettura per i progetti o i VPC di NSX con cui vengono condivise. In altre parole, le risorse condivise non possono essere modificate dagli utenti di tali progetti. Quando le risorse vengono condivise con un progetto, i VPC di NSX in tale progetto non ottengono automaticamente l'accesso alle risorse condivise. Se necessario, è possibile condividere le risorse con tutti i VPC di NSX o con VPC di NSX specifici in un progetto.

Nello spazio predefinito, è attualmente supportata l'aggiunta dei seguenti oggetti (risorse) di NSX come membri nella condivisione di risorse:
  • Gruppi
  • Servizi
  • Profili di contesto
  • Segmenti
  • Profili DHCP
  • Profili DAD
  • Profili ND
  • Zone DNS
  • Profili IDS
  • Profili IKE
  • Profili IPSec
  • Profili DPD
  • Certificati di servizio
  • CRL

Un sottoinsieme di funzionalità di NSX è attualmente supportato per l'utilizzo nei VPC di NSX. Se si condividono risorse dello spazio predefinito con i VPC di NSX, ma le risorse non sono supportate per l'utilizzo nei VPC, tali risorse vengono propagate nei VPC di NSX. Tuttavia, gli utenti di VPC non possono utilizzare tali risorse condivise.

Si supponga ad esempio che un amministratore aziendale abbia condiviso un segmento di overlay dello spazio predefinito con un progetto e con tutti i VPC di NSX all'interno di tale progetto. Il sistema propaga il segmento di overlay al progetto e a tutti i VPC di NSX. Tuttavia, il segmento può essere utilizzato solo nel progetto, ma non nei VPC di NSX perché il segmento di overlay non è supportato nei VPC di NSX.

I seguenti ruoli utente a livello di sistema possono condividere risorse dello spazio predefinito con i progetti o i VPC di NSX all'interno dei progetti:
  • Amministratore aziendale
  • Amministratore di rete
  • Amministratore della sicurezza
I seguenti ruoli utente in un progetto possono condividere risorse di un progetto con i VPC di NSX all'interno dello stesso progetto:
  • Amministratore del progetto
  • Amministratore di rete
  • Amministratore della sicurezza

Panoramica delle condivisioni predefinite di un progetto

Quando si aggiunge un nuovo progetto, in tale progetto non sono presenti risorse create dall'utente. Un nuovo progetto può accedere solo alle risorse di NSX definite dal sistema che vengono condivise per impostazione predefinita tramite la condivisione predefinita. In altre parole, la condivisione predefinita viene creata automaticamente nello spazio predefinito quando viene distribuito NSX. Le risorse nella condivisione predefinita sono disponibili per tutti i progetti e i VPC NSX nel sistema. Non è possibile modificare la condivisione predefinita nell'interfaccia utente.

La condivisione predefinita viene creata dal sistema per uso interno. I membri di questa condivisione sono risorse definite dal sistema, ad esempio servizi, profili BFD, ID app e molti altri.

Per visualizzare l'elenco completo delle risorse definite dal sistema incluse nella condivisione predefinita, eseguire i passaggi seguenti:
  1. Assicurarsi di aver selezionato la vista Predefinita nel menu a discesa Progetto.
  2. Passare a Inventario > Condivisione risorse.
  3. Fare clic sulla casella di controllo Condivisioni predefinite dei progetti nella parte inferiore della pagina Condivisione risorse.
    Casella di controllo Condivisioni predefinite dei progetti.
  4. Accanto a Condivisione predefinita, fare clic sul numero nella colonna Membri.

Ad esempio:


Questa schermata è descritta nel testo circostante.

Si tenga presente che oltre alla condivisione predefinita, disponibile per tutti i progetti e i VPC NSX, il sistema crea automaticamente una condivisione predefinita per ogni progetto. Questa condivisione predefinita specifica del progetto viene creata per l'utilizzo interno del sistema. La convenzione di denominazione della condivisione predefinita specifica del progetto è:

default-Project-name
Ad esempio, i membri della condivisione predefinita del progetto sono:
  • Gateway di livello 0 (se impostati durante la creazione del progetto)
  • Cluster Edge (se impostati durante la creazione del progetto)
  • Sito (se il cluster Edge è impostato durante la creazione del progetto)
  • Punto di applicazione del sito (se il cluster Edge è impostato durante la creazione del progetto)
  • Blocchi di indirizzi IPv4 esterni allocati al progetto
  • Zona di trasporto overlay predefinita del sistema

I gateway VRF di livello 0 e i cluster Edge vengono gestiti dallo spazio predefinito e non possono essere modificati nel progetto.

Se nel progetto vengono aggiunti VPC di NSX, il sistema crea automaticamente una condivisione predefinita per ogni VPC di NSX nel progetto. Questa condivisione predefinita contiene i blocchi di indirizzi IPv4 privati allocati al VPC di NSX. Questa condivisione predefinita di VPC viene creata per l'utilizzo interno del sistema.

La convenzione di denominazione della condivisione predefinita di VPC nel progetto è:

_Project-name-VPC-name
Per visualizzare la condivisione predefinita di VPC, eseguire i passaggi seguenti:
  1. Passare alla vista del progetto in cui viene aggiunto il VPC NSX.
  2. Passare a Inventario > Condivisione risorse.
  3. Fare clic sulla casella di controllo Condivisioni predefinite dei progetti nella parte inferiore della pagina Condivisione risorse.

Ad esempio:


Condivisione predefinita creata dal sistema per un VPC di NSX denominato dev_vpc.

Caso d'uso per la condivisione di segmenti con i progetti

Quando un segmento viene condiviso con un progetto, gli oggetti secondari del segmento, ad esempio le porte del segmento, sono visibili nel progetto solo quando un amministratore aziendale ha abilitato la visibilità dei membri secondari nella condivisione delle risorse. In caso contrario, il progetto non ha visibilità nelle porte del segmento. Le interfacce gateway del segmento condiviso non sono mai visibili nella vista del progetto.

Tenere presente che la condivisione di un segmento non condivide le macchine virtuali connesse al segmento. Né consente agli utenti del progetto di configurare i criteri del firewall distribuito (DFW) nelle macchine virtuali. Se si condivide un segmento, questo sarà visibile nel progetto si potrà connettere il segmento condiviso all'interfaccia del servizio di un gateway di livello 1 nel progetto.

Gli utenti del progetto non possono estendere il criterio di sicurezza firewall distribuito del progetto a questo segmento condiviso. Tuttavia, possono applicare criteri di sicurezza del firewall del gateway all'interfaccia del servizio del gateway di livello 1 del progetto in cui è connesso il segmento condiviso.

Il workflow è il seguente:
  1. Si supponga che nello spazio predefinito sia presente un segmento denominato "Operations-Segment". Questo segmento può essere un segmento di overlay o un segmento VLAN.
  2. L'amministratore aziendale aggiunge questo segmento a una condivisione di risorse e lo condivide con project-1.
  3. Passare a project-1 in NSX Manager e connettere il segmento condiviso all'interfaccia del servizio del gateway di livello 1 del progetto.
  4. Nella vista di project-1, creare un criterio del firewall del gateway e applicarlo all'interfaccia del servizio gateway di livello 1.

Nell'esempio seguente vengono illustrate le informazioni visualizzate nella colonna Porte/Interfacce del segmento condiviso nella vista del progetto quando la visibilità dei membri secondari per il segmento condiviso è attivata o disattivata.

Esempio:
  • Si supponga che nello spazio predefinito siano presenti un segmento isolato denominato "Operations-Segment" e un gateway di livello 0 denominato "T-0-Operations". Non sono state aggiunte porte a questo segmento.
  • In questo gateway di livello 0, aggiungere un'interfaccia del servizio e connettere questa interfaccia a "Operations-Segment".
  • L'amministratore aziendale aggiunge questo segmento a una condivisione di risorse e lo condivide con project-1. Nella condivisione delle risorse, si supponga che l'interruttore Consenti visualizzazione gerarchia membri sia disattivato.
  • A questo punto, passare a project-1 in NSX Manager, passare alla pagina Segmenti e fare clic sulla casella di controllo Oggetti condivisi nella parte inferiore della pagina.
  • Osservare le proprietà del segmento condiviso "Operations-Segment". La colonna Porte/Interfacce indica il valore Non disponibile. In altre parole, i membri secondari del segmento condiviso (ovvero le porte dei segmenti e le interfacce di servizio) non sono esposti in project-1.

    La colonna Porte/Interfacce del segmento condiviso mostra il valore Non applicabile.
  • Si supponga ora che l'amministratore aziendale abbia attivato l'opzione Consenti visualizzazione gerarchia membri nella condivisione delle risorse.

    In questo caso, quando si passa alla vista project-1 e si passa alla pagina Segmenti, l'interfaccia del servizio non è ancora esposta a project-1. Tuttavia, nella colonna Porte/Interfacce del segmento condiviso ora viene visualizzato il valore 0. Questo valore indica solo il numero di porte nel segmento condiviso. In questo esempio, il conteggio è zero perché il segmento condiviso non contiene porte. Le interfacce del gateway nel segmento condiviso non vengono mai esposte nella vista del progetto.

Caso d'uso per la condivisione di gruppi, servizi e profili di contesto con progetti

In genere, gli utenti del progetto possono utilizzare oggetti di NSX come gruppi, servizi e profili di contesto presenti nello spazio predefinito del sistema per creare regole del firewall nei loro progetti. La condivisione delle risorse evita che gli utenti del progetto debbano ricreare questi oggetti. Gli oggetti condivisi diventano disponibili per i progetti in modalità sola lettura e non possono essere modificati all'interno dei progetti.