マルチテナント アーキテクチャの隔離と管理で想定される制限は、NSX Advanced Load Balancer GSLB にも及びます。

事前定義ロール

[管理] > [アカウント] > [ロール] の順に移動して、デフォルトの事前定義ロールを確認します。これらのロールは、承認されたコントローラ ユーザーに割り当てられます。この例では、Tenant-Admin ロール行の右端にあるプラス記号をクリックして、10 列すべてが展開され、 NSX Advanced Load Balancer プラットフォームのさまざまな項目に関する詳細が表示されています。GSLB 権限(赤い長方形)は、GSLB 構成、グローバル アプリケーション(サービス)、および位置情報をサポートする位置情報データベースという 3 つの GSLB エンティティへのアクセスに特化しています。

システムの各役割に、アクセス権を個別に設定できます。次の表に、3 つの事前定義ロールの GSLB アクセス権の概要を示します。

事前定義ロール

アクセス権

System-Admin

GSLB 構成

GSLB 構成全体への書き込みアクセス

GSLB サービス

すべてのテナントのすべてのグローバル アプリケーションへの書き込みアクセス

GSLB 位置情報データベース

位置情報データベースへの書き込みアクセス

Tenant-Admin

GSLB 構成

テナントに関連する GSLB 構成への読み取りアクセス

GSLB サービス

すべてのテナントのすべてのグローバル アプリケーションへの書き込みアクセス

GSLB 位置情報データベース

位置情報データベースへの読み取りアクセス

Application-Admin

GSLB 構成

GSLB 構成全体への読み取りアクセス

GSLB サービス

このユーザーが割り当てられているすべてのテナントのすべてのグローバル アプリケーションへの書き込みアクセス

GSLB 位置情報データベース

位置情報データベースへの読み取りアクセス

GSLB 管理者、グローバル アプリケーション管理者

認証されたユーザーは、要件に応じて異なるアクセス権セットを使用できます。

GSLB は、GSLB 構成への書き込みアクセス権を持つユーザー アカウントによってのみ構成できます。アクセスは、System-Admin ロールで事前定義されています。GSLB は、管理テナント内でのみ構成できます。システム管理者は、DNS 仮想サービスを管理テナントまたは他のテナントに配置します。ただし、サイトの GSLB DNS 仮想サービスは、DNS 仮想サービスの UUID を使用して CLI で管理テナント以外のテナントにのみ構成できます。その後、NSX Advanced Load Balancer テナントに関連付けられた各アプリケーション管理者は、グローバル アプリケーションに共有 DNS 仮想サービスを使用できます。

GSLB サービスへの書き込みアクセス権と GSLB 構成への読み取りアクセス権を持つユーザーは、自身のテナントでグローバル アプリケーション(GSLB サービス)を定義できます。必要な DNS レコードが共有 DNS サービスに登録されます。テナント管理者は、そのテナントについてのみ定義された GSLB サービスの分析を取得できます。

注:
  • GSLB サービスの作成は、ログインしているテナント ユーザーではなく、GSLB ユーザーの権限によって異なります。

  • 監査証跡を向上させるために、GSLB 構成用に設定されたユーザー アカウントにログインすることをお勧めします。たとえば、gslb という名前のユーザーを作成し、すべての Controller クラスタで管理者ロールを割り当てることができます。