リソース共有の概要
エンタープライズ管理者は、リソース(オブジェクト)をプロジェクトと共有して、それらのプロジェクト内で使用できるようにすることができます。リソース共有により、オブジェクトを必要とするプロジェクトでオブジェクトを再作成する必要がなくなり、労力を節約できます。
リソース共有は、リソース共有を作成することによって行われます。リソース共有は一意の名前で識別されます。リソース共有では、共有するメンバー(オブジェクト)を追加してから、共有するプロジェクトを 1 つ以上選択できます。
プロジェクト ユーザーは、プロジェクト内の共有リソースを使用して、ネットワークとセキュリティの要件を満たすためにグループ、ファイアウォール ルールなどを構成できます。
リソース共有を作成してリソースを共有する場合、その共有リソースの子リソースはターゲット プロジェクトと共有されません。
NSX 4.1 では、デフォルト領域から組織内のプロジェクトにのみリソースを共有できます。
- デフォルトの領域のリソースを、プロジェクトまたは NSX VPC と共有します。
- プロジェクトのリソースを、同じプロジェクト内の NSX VPC と共有します。
現在、あるプロジェクトから組織内の他のプロジェクトへのリソースの共有はサポートされていません。
共有リソースは、共有されているプロジェクトまたは NSX VPC で読み取り専用モードで使用できます。つまり、共有リソースは、これらのプロジェクトのユーザーが変更することはできません。リソースをプロジェクトと共有している場合、そのプロジェクト内の NSX VPC は、共有リソースに自動的にアクセスできません。必要であれば、プロジェクト内のすべての NSX VPC または特定の NSX VPC とリソースを共有できます。
- グループ
- サービス
- コンテキスト プロファイル
- セグメント
- DHCP プロファイル
- DAD プロファイル
- ND プロファイル
- DNS ゾーン(NSX 4.1.1 以降)
- IDS プロファイル(NSX 4.1.1 以降)
NSX 機能のサブセットは現在、NSX VPC で使用できます。デフォルト領域のリソースを NSX VPC と共有していても、そのリソースの VPC での使用がサポートされていない場合、これらのリソースは NSX VPC に伝達されます。ただし、VPC ユーザーはこれらの共有リソースを使用できません。
たとえば、エンタープライズ管理者がデフォルト領域のオーバーレイ セグメントをプロジェクトとそのプロジェクト内のすべての NSX VPC と共有しているとします。システムは、オーバーレイ セグメントをプロジェクトとそのすべての NSX VPC に伝達します。ただし、セグメントはプロジェクトでのみ使用できますが、NSX VPC ではオーバーレイ セグメントがサポートされていないため、NSX VPC では使用できません。
- エンタープライズ管理者
- ネットワーク管理者
- セキュリティ管理者
- プロジェクト管理者
- ネットワーク管理者
- セキュリティ管理者
プロジェクトのデフォルトシェアの概要
組織内に新しいプロジェクトを追加すると、そのプロジェクトにユーザーが作成したリソースは存在しません。新しいプロジェクトは、デフォルト共有を介してデフォルトで共有されるシステム定義の NSX リソースにのみアクセスできます。つまり、デフォルト共有は、NSX の展開時に自動的デフォルト領域に作成されます。デフォルト共有のリソースは、組織のすべてのプロジェクトと NSX VPC で使用できます。デフォルト共有は、ユーザー インターフェイスで編集できません。
デフォルトの共有は、内部で使用するためにシステムによって作成されます。この共有のメンバーは、サービス、BFD プロファイル、アプリケーション ID などのシステム定義リソースです。
- [プロジェクト] ドロップダウン メニューで [デフォルト] ビューが選択されていることを確認します。
- の順に移動します。
- (NSX 4.1.1 以降):[リソース共有] ページの下部にある [プロジェクトのデフォルト共有] チェック ボックスをクリックします。
![[プロジェクトのデフォルト共有] チェック ボックス。](images/GUID-C824CCA1-9891-47A0-BB66-31B96A683828-low.png)
NSX 4.1 では、システムが作成したデフォルト共有がページに直接表示されます。つまり、[プロジェクトのデフォルト共有] チェック ボックスは [リソース共有] ページでは使用できません。
- [デフォルト共有] の横にある [メンバー] 列のカウントをクリックします。
次はその例です。
組織内のすべてのプロジェクトと NSX VPC で使用可能なデフォルトの共有に加えて、組織内の各プロジェクトに対してデフォルトの共有が自動的に作成されることを確認します。このプロジェクト固有のデフォルト共有は、システムの内部使用のために作成されます。プロジェクト固有のデフォルト共有の命名規則は次のとおりです。
default-Project-name- Tier-0 ゲートウェイ(プロジェクトの作成時に設定されている場合)
- Edge クラスタ(プロジェクトの作成時に設定されている場合)
- サイト(プロジェクトの作成時に Edge クラスタが設定されている場合)
- サイト適用ポイント(プロジェクトの作成時に Edge クラスタが設定されている場合)
- プロジェクトに割り当てられた外部 IPv4 アドレス ブロック(NSX 4.1.1 以降)
Tier-0/VRF ゲートウェイと Edge クラスタはデフォルトの容量から管理され、プロジェクトでは編集できません。
次の情報は、NSX 4.1.1 以降に適用されます。
NSX VPC がプロジェクトに追加されると、プロジェクト内の各 NSX VPC に対してデフォルトの共有が自動的に作成されます。このデフォルトの共有には、NSX VPC に割り当てられているプライベート IPv4 アドレス ブロックが含まれています。この VPC のデフォルト共有は、システムの内部使用のために作成されます。
プロジェクト内の VPC のデフォルト共有の命名規則は次のとおりです。
_Project-name-VPC-name- NSX VPC が追加されているプロジェクト ビューに切り替えます。
- の順に移動します。
- [リソース共有] ページの下部にある [プロジェクトのデフォルト共有] チェック ボックスをクリックします。
次はその例です。
セグメントをプロジェクトと共有する場合の使用事例
セグメントがプロジェクトと共有されている場合、このセグメントの仮想マシン、ポート、ゲートウェイ インターフェイスがプロジェクトに公開されるわけではありません。実際、プロジェクトは共有セグメントのセグメント ポート、インターフェイス、ワークロード仮想マシンを可視化できません。そのため、プロジェクト ユーザーは、共有セグメントに接続されているワークロード仮想マシンで分散ファイアウォール ポリシーを構成できません。
プロジェクトとセグメントを共有すると、プロジェクト ユーザーは、そのプロジェクト内の Tier-1 ゲートウェイのサービス インターフェイスにセグメントを接続できます。
- デフォルト領域に、「Operations-Segment」という名前の隔離されたセグメントと、「T-0-Operations」という名前の Tier-0 ゲートウェイがあるとします。
- この Tier-0 ゲートウェイで、サービス インターフェイスを追加し、このインターフェイスを Operations-Segment に接続します。
- エンタープライズ管理者は、このセグメントをリソース共有に追加し、project-1 と共有します。
- 次に、NSX Manager で project-1 に切り替え、[セグメント] ページに移動し、ページの下部にある [共有オブジェクト] チェック ボックスをクリックします。
- 共有された Operations-Segment のプロパティを確認します。[ポート/インターフェイス] 列の値が「使用不可」と表示されます。つまり、サービス インターフェイスは project-1 に公開されません。
![共有セグメントの [ポート/インターフェイス] 列に値が「使用不可」と表示されています。](images/GUID-8D8A7687-A387-4DA3-94DD-6CB90006B10E-low.png)
グループ、サービス、コンテキスト プロファイルをプロジェクトと共有する場合の使用事例
プロジェクト ユーザーは通常、システムのデフォルト領域に存在するグループ、サービス、コンテキスト プロファイルなどの NSX オブジェクトを使用して、プロジェクトの下にファイアウォール ルールを作成できます。リソース共有を使用すると、プロジェクト ユーザーがこれらのオブジェクトを再作成する必要がなくなります。共有オブジェクトは、プロジェクトで読み取り専用モードになるため、プロジェクト内で編集することはできません。
