NSX マルチテナントでは、特定のリソース(オブジェクト)を特定のプロジェクトまたは組織のプロジェクト内の NSX VPC と共有できます。

リソース共有の概要

エンタープライズ管理者は、リソース(オブジェクト)をプロジェクトと共有して、それらのプロジェクト内で使用できるようにすることができます。リソース共有により、オブジェクトを必要とするプロジェクトでオブジェクトを再作成する必要がなくなり、労力を節約できます。

リソース共有は、リソース共有を作成することによって行われます。リソース共有は一意の名前で識別されます。リソース共有では、共有するメンバー(オブジェクト)を追加してから、共有するプロジェクトを 1 つ以上選択できます。

プロジェクト ユーザーは、プロジェクト内の共有リソースを使用して、ネットワークとセキュリティの要件を満たすためにグループ、ファイアウォール ルールなどを構成できます。

リソース共有を作成してリソースを共有する場合、その共有リソースの子リソースはターゲット プロジェクトと共有されません。

NSX 4.1 では、デフォルト領域から組織内のプロジェクトにのみリソースを共有できます。

NSX 4.1.1 以降では、次のことができます。
  • デフォルトの領域のリソースを、プロジェクトまたは NSX VPC と共有します。
  • プロジェクトのリソースを、同じプロジェクト内の NSX VPC と共有します。

現在、あるプロジェクトから組織内の他のプロジェクトへのリソースの共有はサポートされていません。

共有リソースは、共有されているプロジェクトまたは NSX VPC で読み取り専用モードで使用できます。つまり、共有リソースは、これらのプロジェクトのユーザーが変更することはできません。リソースをプロジェクトと共有している場合、そのプロジェクト内の NSX VPC は、共有リソースに自動的にアクセスできません。必要であれば、プロジェクト内のすべての NSX VPC または特定の NSX VPC とリソースを共有できます。

デフォルトの領域では、次の NSX オブジェクト(リソース)は現在、リソース共有にメンバーとして追加するためにサポートされています。
  • グループ
  • サービス
  • コンテキスト プロファイル
  • セグメント
  • DHCP プロファイル
  • DAD プロファイル
  • ND プロファイル
  • DNS ゾーン(NSX 4.1.1 以降)
  • IDS プロファイル(NSX 4.1.1 以降)

NSX 機能のサブセットは現在、NSX VPC で使用できます。デフォルト領域のリソースを NSX VPC と共有していても、そのリソースの VPC での使用がサポートされていない場合、これらのリソースは NSX VPC に伝達されます。ただし、VPC ユーザーはこれらの共有リソースを使用できません。

たとえば、エンタープライズ管理者がデフォルト領域のオーバーレイ セグメントをプロジェクトとそのプロジェクト内のすべての NSX VPC と共有しているとします。システムは、オーバーレイ セグメントをプロジェクトとそのすべての NSX VPC に伝達します。ただし、セグメントはプロジェクトでのみ使用できますが、NSX VPC ではオーバーレイ セグメントがサポートされていないため、NSX VPC では使用できません。

次のシステム全体のユーザー ロールは、デフォルト領域からプロジェクトに、またはプロジェクト内の NSX VPC にリソースを共有できます。
  • エンタープライズ管理者
  • ネットワーク管理者
  • セキュリティ管理者
次のプロジェクトのユーザー ロールは、プロジェクトのリソースを、同じプロジェクト内の NSX VPC と共有できます。
  • プロジェクト管理者
  • ネットワーク管理者
  • セキュリティ管理者

プロジェクトのデフォルトシェアの概要

組織内に新しいプロジェクトを追加すると、そのプロジェクトにユーザーが作成したリソースは存在しません。新しいプロジェクトは、デフォルト共有を介してデフォルトで共有されるシステム定義の NSX リソースにのみアクセスできます。つまり、デフォルト共有は、NSX の展開時に自動的デフォルト領域に作成されます。デフォルト共有のリソースは、組織のすべてのプロジェクトと NSX VPC で使用できます。デフォルト共有は、ユーザー インターフェイスで編集できません。

デフォルトの共有は、内部で使用するためにシステムによって作成されます。この共有のメンバーは、サービス、BFD プロファイル、アプリケーション ID などのシステム定義リソースです。

デフォルト共有に含まれているシステム定義リソースの完全なリストを表示するには、次の手順を実行します。
  1. [プロジェクト] ドロップダウン メニューで [デフォルト] ビューが選択されていることを確認します。
  2. [インベントリ] > [リソース共有] の順に移動します。
  3. NSX 4.1.1 以降):[リソース共有] ページの下部にある [プロジェクトのデフォルト共有] チェック ボックスをクリックします。
    [プロジェクトのデフォルト共有] チェック ボックス。

    NSX 4.1 では、システムが作成したデフォルト共有がページに直接表示されます。つまり、[プロジェクトのデフォルト共有] チェック ボックスは [リソース共有] ページでは使用できません。

  4. [デフォルト共有] の横にある [メンバー] 列のカウントをクリックします。

次はその例です。


この画面キャプチャは、周囲のテキストで説明されています。

組織内のすべてのプロジェクトと NSX VPC で使用可能なデフォルトの共有に加えて、組織内の各プロジェクトに対してデフォルトの共有が自動的に作成されることを確認します。このプロジェクト固有のデフォルト共有は、システムの内部使用のために作成されます。プロジェクト固有のデフォルト共有の命名規則は次のとおりです。

default-Project-name
プロジェクトのデフォルト共有のメンバーは次のとおりです。
  • Tier-0 ゲートウェイ(プロジェクトの作成時に設定されている場合)
  • Edge クラスタ(プロジェクトの作成時に設定されている場合)
  • サイト(プロジェクトの作成時に Edge クラスタが設定されている場合)
  • サイト適用ポイント(プロジェクトの作成時に Edge クラスタが設定されている場合)
  • プロジェクトに割り当てられた外部 IPv4 アドレス ブロック(NSX 4.1.1 以降)

Tier-0/VRF ゲートウェイと Edge クラスタはデフォルトの容量から管理され、プロジェクトでは編集できません。

次の情報は、NSX 4.1.1 以降に適用されます。

NSX VPC がプロジェクトに追加されると、プロジェクト内の各 NSX VPC に対してデフォルトの共有が自動的に作成されます。このデフォルトの共有には、NSX VPC に割り当てられているプライベート IPv4 アドレス ブロックが含まれています。この VPC のデフォルト共有は、システムの内部使用のために作成されます。

プロジェクト内の VPC のデフォルト共有の命名規則は次のとおりです。

_Project-name-VPC-name
VPC のデフォルト共有を表示するには、次の手順を実行します。
  1. NSX VPC が追加されているプロジェクト ビューに切り替えます。
  2. [インベントリ] > [リソース共有] の順に移動します。
  3. [リソース共有] ページの下部にある [プロジェクトのデフォルト共有] チェック ボックスをクリックします。

次はその例です。


システムが作成した、dev_vpc という名前の NSX VPC のデフォルト共有。

セグメントをプロジェクトと共有する場合の使用事例

セグメントがプロジェクトと共有されている場合、このセグメントの仮想マシン、ポート、ゲートウェイ インターフェイスがプロジェクトに公開されるわけではありません。実際、プロジェクトは共有セグメントのセグメント ポート、インターフェイス、ワークロード仮想マシンを可視化できません。そのため、プロジェクト ユーザーは、共有セグメントに接続されているワークロード仮想マシンで分散ファイアウォール ポリシーを構成できません。

プロジェクトとセグメントを共有すると、プロジェクト ユーザーは、そのプロジェクト内の Tier-1 ゲートウェイのサービス インターフェイスにセグメントを接続できます。

例:次のシナリオについて考えてみましょう。
  • デフォルト領域に、「Operations-Segment」という名前の隔離されたセグメントと、「T-0-Operations」という名前の Tier-0 ゲートウェイがあるとします。
  • この Tier-0 ゲートウェイで、サービス インターフェイスを追加し、このインターフェイスを Operations-Segment に接続します。
  • エンタープライズ管理者は、このセグメントをリソース共有に追加し、project-1 と共有します。
  • 次に、NSX Manager で project-1 に切り替え、[セグメント] ページに移動し、ページの下部にある [共有オブジェクト] チェック ボックスをクリックします。
  • 共有された Operations-Segment のプロパティを確認します。[ポート/インターフェイス] 列の値が「使用不可」と表示されます。つまり、サービス インターフェイスは project-1 に公開されません。

    共有セグメントの [ポート/インターフェイス] 列に値が「使用不可」と表示されています。

グループ、サービス、コンテキスト プロファイルをプロジェクトと共有する場合の使用事例

プロジェクト ユーザーは通常、システムのデフォルト領域に存在するグループ、サービス、コンテキスト プロファイルなどの NSX オブジェクトを使用して、プロジェクトの下にファイアウォール ルールを作成できます。リソース共有を使用すると、プロジェクト ユーザーがこれらのオブジェクトを再作成する必要がなくなります。共有オブジェクトは、プロジェクトで読み取り専用モードになるため、プロジェクト内で編集することはできません。