NSX では、環境でマルチテナントを設定するときに、グループを作成できます。
プロジェクトのグループは、プロジェクト内の仮想マシン、つまりプロジェクトのネットワークに接続されている仮想マシンにのみ適用されます。DFW に「任意」が適用されているものも含め、プロジェクト内のルールは、プロジェクト外のワークロードに影響を及ぼしません。
注: /infra 領域のグループ分けは、プロジェクト内の仮想マシンを含め、NSX 展開内のすべての仮想マシンに適用されます。たとえば、タグに基づくグループには、プロジェクトの内部と外部でメンバーと同じタグを持つすべての仮想マシンが含まれます。
作成するすべてのプロジェクトにデフォルト グループが作成されます。デフォルト グループはプロジェクト自体を表します。プロジェクトで作成されたすべてのセグメントは、プロジェクトのデフォルト グループに追加されます。グループに追加されるのは、グループのセグメントに接続している仮想マシンのみです。デフォルト グループは、ルールの範囲を特定のプロジェクトに限定する際に役立ちます。
デフォルト グループ
デフォルト グループには、グループ範囲のパスを定義するグループ範囲の式があります。管理者は、/infra 領域のルールをデフォルト グループの下のプロジェクトにのみ適用できます。/infra 領域から直接適用するか、グループ内の静的メンバーシップを介して適用できます。
カスタム グループ
作成する追加グループでは、次のものがサポートされます。
- 静的メンバー:仮想マシン、セグメント、セグメントのポート、IP アドレス
- 動的メンバー:仮想マシン
グループを作成するには、次の API 呼び出しを実行します。
PATCH /policy/api/v1/orgs/default/projects/<project-id>/infra/domains/default/groups/<group-id>仮想マシン ベースのグループを作成する要求の例:
URL:
PATCH https://{{nsx-manager-ip}}/policy/api/v1/orgs/default/projects/project-1/infra/domains/default/groups/group-1本文:
{
"expression": [
{
"member_type": "VirtualMachine",
"key": "Name",
"operator": "CONTAINS",
"value": "App",
"resource_type": "Condition"
}
],
"description": "my group",
"display_name": "g1",
"_revision": 0
}
