NSX のプロジェクトはテナントに似ています。プロジェクトを作成することで、単一の NSX 環境内のテナント間でセキュリティ オブジェクトとネットワーク オブジェクトを分離できます。
組織がサイトに NSX を展開しているとします。この組織には現在、エンタープライズ管理者が所有するデフォルトの領域にすべてのインフラストラクチャ、ネットワーク、およびセキュリティ構成があります。デフォルト領域の詳細については、このドキュメントの後半で説明します。
- セールス、マーケティング、運用の 3 部門のネットワークとセキュリティの構成を分離する。
- 各部門のネットワークとセキュリティの構成を作成して管理するタスクを特定の NSX ユーザー セットに委任し、これらのユーザーにシステム内のすべてのオブジェクトが表示されないようにする。
- デフォルトでは、1 つの部門内のワークロード仮想マシンが同じ部門内の他のワークロード仮想マシン(DHCP サーバを含む)とのみ通信できるようにする。
- デフォルトでは、部門外のワークロードとの通信をブロックする。このような通信が必要な場合は、新しいルールを追加するか、デフォルトのセキュリティ ポリシーの既存のルールを変更する必要があります。
- 営業
- マーケティング
- 運用
マルチテナント展開では、各プロジェクトのユーザーはプロジェクトで作成したオブジェクトにアクセスでき、エンタープライズ管理者がプロジェクトと共有しているオブジェクトをデフォルトの領域から(読み取り専用モードで)使用できます。
- NSX 環境のマルチテナントの設定はオプションです。実装は既存の NSX 構成に影響しません。
- マルチテナントは現在 NSX フェデレーション 環境ではサポートされていません。
マルチテナント ポリシーのデータ モデル
NSX ポリシー データ モデルは階層型で、システムによって作成された 2 つのブランチがあります。
-
/infra
ブランチは、エンタープライズ管理者によって管理されます。このブランチの下のオブジェクトは、ユーザー インターフェイスの [デフォルト] ビューに表示されます。/infra
ブランチには、エンタープライズ管理者以外のユーザー ロールも存在します。このブランチのユーザーは、特定のプロジェクトに関連付けられていません。このドキュメントでは、このようなユーザーをシステム全体のユーザーとしています。これらのユーザーは、/infra
ブランチの下にオブジェクトのサブセットを構成できます。システム全体のユーザーは、システム内のすべてのオブジェクトにアクセスできます。つまり、[デフォルト] ビュー(
/infra
ブランチ)内とプロジェクト内のオブジェクトにアクセスできます。このドキュメントでは、デフォルト領域という用語を[デフォルト] ビューの下にあるオブジェクトの意味で使用しています。つまり、デフォルト領域と[デフォルト] ビューという用語を読み替えることができます。どちらも同じ意味です。[デフォルト] ビューの詳細については、このドキュメントの後半の「デフォルト ビュー(デフォルト領域)の概要」サブセクションを参照してください。
/orgs/default
ブランチにマルチテナント オブジェクトが保持されます。すべてのプロジェクトには、所有するオブジェクトをホストするための独自の領域があります。
プロジェクトは、各テナントのネットワークおよびセキュリティ構成の独立したセットをサポートするため、/orgs/default
の下に作成されます。
プロジェクト構成は、/orgs/default/projects/<project-id>/infra
で設定されます。
次の図は、マルチテナントのデータ モデルを示しています。これらの図は、概念を理解するためにのみ、データ モデルの部分ビューを表しています。ポリシー データ モデルには、表示されていないオブジェクトがいくつかあります。
最初の図は、組織のデフォルト領域と 2 つのプロジェクトを示しています。次の図は、両方のプロジェクトのオブジェクト階層を示しています。組織のプロジェクト 1 と 2 には、プロジェクト内に作成された NSX ネットワーク オブジェクトとセキュリティ オブジェクトの独自の階層があります。プロジェクト内に作成されたオブジェクトは、そのプロジェクトによって所有されます。
Tier-0 ゲートウェイと Edge クラスタはデフォルト領域によって所有され、組織の下のプロジェクトに割り当てられます。プロジェクト内に Tier-0 ゲートウェイと Edge クラスタを作成することはできません。
各プロジェクトには、プロジェクトで構成する必要がある独自の Tier-1 ゲートウェイが設定されている場合があります。つまり、Tier-1 ゲートウェイはプロジェクトによって所有されている必要があります。プロジェクトは、デフォルト領域で構成されている Tier-1 ゲートウェイを使用できません。
デフォルト組織
NSX 環境には、1 つのデフォルト組織が存在します。デフォルト組織を作成、変更、削除することはできません。組織オブジェクトは、起動時にシステムによって作成されます。システム内の Tier-0 ゲートウェイと Edge クラスタは、組織の下のプロジェクトに割り当てられます。
組織オブジェクトは、次の識別子を使用してシステムによって作成されます。
/orgs/default組織オブジェクトはユーザー インターフェイスに表示されません。
プロジェクト ドロップダウン メニューについて
[プロジェクト] ドロップダウン メニューは、NSX Manager ユーザー インターフェイスの上部にあるアプリケーション バーにあります。このメニューを表示するには、次のスクリーン キャプチャに示すように [デフォルト] をクリックします。
このメニューには、アクセス権が付与されているプロジェクトのリストが表示されます。このメニューを使用して、プロジェクトを切り替え、割り当てられたプロジェクト内のオブジェクトを管理できます。
- デフォルト ビューの概要(デフォルト領域)
-
NSX Manager に初めてログインしたときには、[プロジェクト] ドロップダウン メニューに [デフォルト] ビューのみが表示されます。前述のスクリーン キャプチャのように、ユーザーが作成したプロジェクトは存在しません。
[デフォルト] ビューは、エンタープライズ管理者と、特定のプロジェクトに割り当てられていない他のシステム全体のユーザー ロールに表示されます。このビューには次の情報が含まれます。- ホスト、Tier-0 ゲートウェイ、Edge クラスタ、トランスポート ゾーンなど、NSX ファブリック内のすべてのオブジェクト。
- グローバル ユーザー管理オブジェクト。
- 階層ポリシーのデータ モデルの
/infra
領域の下にあるオブジェクト(Tier-1 ゲートウェイ、セグメント、グループ、ファイアウォール ポリシーなど)。 - リソース共有
[デフォルト] ビューには、プロジェクトに属していない NSX オブジェクトが含まれています。唯一の例外は、 [デフォルト] ビューの [仮想マシン] ページに、システム内のすべての仮想マシンが表示されることです。つまり、次に接続されている仮想マシンです。- デフォルト領域内のセグメント。
- プロジェクト内のセグメント。
- プロジェクト内の NSX VPC 内のサブネット。
NSX のどのセグメントにも接続されていない仮想マシンもデフォルト領域に表示されます。このような仮想マシンは「未接続」として表示されます。
この例外により、エンタープライズ管理者は、システムで実行されているすべての仮想マシンをデフォルト領域自体から表示できます。エンタープライズ管理者は、システム内の任意の仮想マシンにタグを割り当て、セキュリティ ポリシーを適用できます。
エンタープライズ管理者が NSX Manager にログインすると、次のスクリーン キャプチャのように、[デフォルト] ビューが表示されます。すべてのタブがユーザー インターフェイスに表示されていることを確認します。[概要] ページには、デフォルト領域にあるオブジェクトの概要が表示されます。
NSX 環境で 1 つまたは複数のプロジェクトが作成されると、次のスクリーン キャプチャに示すように、これらのプロジェクトが [プロジェクト] ドロップダウン メニューに表示されます。
エンタープライズ管理者は、システム内のすべてのプロジェクトを表示できます。監査者などの他のシステム全体のユーザー ロールも、システム内のすべてのプロジェクトを表示できます。プロジェクト管理者、セキュリティ管理者、ネットワーク管理者、セキュリティ オペレータ、ネットワーク オペレータなどのロールを持つ特定のプロジェクトに割り当てられているユーザーは、アクセス権を持つプロジェクトを表示できます。
たとえば、プロジェクト管理者が NSX Manager にログインすると、次のスクリーン キャプチャのようにプロジェクト固有のビューが表示されます。プロジェクト管理者に [システム] タブが表示されないことを確認します。[概要] ページには、プロジェクトで作成されたオブジェクトの概要が表示されます。
以前のバージョンの NSX から NSX 4.1 以降にアップグレードすると、デフォルト領域に既存のすべてのインフラストラクチャ、ネットワーク、およびセキュリティ構成がホストされます。組織内のすべてのネットワークおよびセキュリティ要件にデフォルト領域を引き続き使用できます。既存のネットワークおよびセキュリティ オブジェクトのプロパティ、またはこれらのオブジェクトのパスは変更されません。プロジェクトの作成はオプションです。
NSX 4.0.1.1 環境で NSX API を使用してプロジェクトを作成し、その後、4.1 以降にアップグレードした場合は、[プロジェクト] ドロップダウン メニューに [デフォルト] ビューとプロジェクト ビューが表示されます。プロジェクト ビューと [デフォルト] ビューを切り替えると、それぞれの下にあるオブジェクトを表示できます。また、[プロジェクト] メニューには、次のセクションで説明する [すべてのプロジェクト] ビューも表示されます。
- すべてのプロジェクト ビューの概要
-
- [すべてのプロジェクト] ビューは、特定のプロジェクトに割り当てられていないすべてのシステム全体のユーザー ロールで使用できます。つまり、デフォルト領域にアクセスできるすべてのユーザーがこのビューを使用できます。たとえば、エンタープライズ管理者、監査者などです。
- このビューは、NSX 環境に少なくとも 1 つのプロジェクトが追加された後にのみ、[プロジェクト] ドロップダウン メニューで使用できます。
- このビューには、デフォルト領域を含むすべてのプロジェクトのネットワークとセキュリティの構成が表示されます。
- このビューのオブジェクトは、読み取り専用モードで表示されます。
[すべてのプロジェクト] ビューでは、ネットワーク オブジェクトとセキュリティ オブジェクトのオブジェクト名の横に、錠剤の形をしたアイコンが表示されます。これは、オブジェクトがデフォルト領域またはプロジェクトによって所有されているかどうかを示します。
たとえば、次のスクリーン キャプチャは、[セグメント] ページのセグメント リストを示しています。緑色のボックスで強調表示されている錠剤の形をしたアイコンは、各セグメントを所有するユーザーを示します。
NSX 仮想プライベート クラウド
NSX 4.1.1 以降では、オプションで 1 つ以上の NSX Virtual Private Cloud (VPC) をプロジェクトに含めることができます。
VPC は、NSX プロジェクト内の自己完結型プライベート ネットワークを表します。これを使用して、組織内のアプリケーション開発者または DevOps エンジニアは、セルフサービス消費モデルでアプリケーションをホストし、ネットワークおよびセキュリティ オブジェクトを消費します。
NSX VPC は、プロジェクトでのみ作成できます。これらは、デフォルトの領域では作成できません。
VPC 構成は、NSX ポリシー データ モデルの次のパスの下に設定されます。
/orgs/default/projects/<project-id>/vpcs/<vpc-id>
NSX VPC の詳細については、「NSX 仮想プライベート クラウド」を参照してください。