NSX では、環境でマルチテナントを設定するときに、グループを作成できます。
- プロジェクト内のシステムによって作成されたデフォルト グループ。
- プロジェクトによって所有されるユーザーが作成したグループ。
エンタープライズ管理者がプロジェクトとグループを共有している場合は、オプションで共有グループの表示を選択できます。
- NSX VPC 内にシステムによって作成されたデフォルト のグループ。
- NSX VPC 内のユーザーが作成したグループ。
- 共有グループを表示するには、[共有オブジェクト] チェック ボックスをクリックします。
- NSX VPC 内のグループを表示するには、[VPC で認識されたオブジェクト] チェック ボックスをクリックします。
これらのチェック ボックスは、[グループ] ページの下部にあります。
たとえば、次のスクリーン キャプチャを参照してください。
- デフォルトの領域によって所有され、プロジェクトと共有されているグループ。
- NSX VPC で作成されたグループ。システムが作成した VPC グループとユーザーが作成した VPC グループの両方。
プロジェクトのデフォルト グループ
NSX は、環境に追加されるすべてのプロジェクトに対して [汎用] タイプのデフォルト グループを作成します。このデフォルト グループはプロジェクト自体を表します。
デフォルトでは、ユーザーがプロジェクト内で作成したすべてのセグメントがプロジェクトのデフォルト グループに追加されます。プロジェクトでこれらのセグメントに接続している仮想マシン インターフェイス (VIF) が、デフォルト グループのメンバーになります。仮想マシンがデュアル ホームの場合(たとえば、1 つのインターフェイスがデフォルト領域のセグメントに接続され、もう 1 つのインターフェイスがプロジェクト内のセグメントに接続されている場合)、デフォルトの領域のセグメントの VIF はプロジェクトのデフォルト グループのメンバーになりません。
デフォルト グループは、ファイアウォール ルールの範囲を特定のプロジェクトに制限するのに役立ちます。たとえば、デフォルトの領域に DFW ポリシーを追加する場合、エンタープライズ管理者は、ファイアウォール ルールの [送信元]、[宛先] または [適用先] フィールドでプロジェクトのデフォルト グループを使用できます。ただし、デフォルト領域のファイアウォール ポリシーは、プロジェクトのデフォルト グループ以外のグループを使用することはできません。
プロジェクトのデフォルト グループには、次の命名規則が使用されます。
PROJECT-<Project_Name>-defaultProject_Name は、システム内の実際の値に置き換えられます。
プロジェクト内のユーザー作成グループ
[汎用] および [IP アドレスのみ] タイプのグループは、プロジェクトでサポートされます。
- セグメント
- セグメントのポート
- VIF
- 仮想マシン
- グループ
[メンバーの設定] ダイアログ ボックスの [メンバー] タブには、プロジェクトによって所有されているオブジェクトのみが表示されます。プロジェクトと共有されているオブジェクトは、プロジェクト グループのメンバーとして追加できないため、このダイアログ ボックスには表示されません。
- 仮想マシン
- セグメント
- セグメント ポート
- グループ
- 動的グループ メンバーシップは、プロジェクト内の仮想マシンおよびプロジェクトの NSX VPC 内の仮想マシンを含む NSX システム内のすべての仮想マシンに対して評価されます。
たとえば、デフォルト領域のグループに Web タグを持つ仮想マシンが含まれている場合、このグループの有効なメンバーには、以下にある Web タグを持つ仮想マシンが含まれます。
- プロジェクト
- プロジェクト内の NSX VPC
- プロジェクトの外部(デフォルト領域)
注: タグは、 NSX 内の仮想マシンのメタデータです。仮想マシンがプロジェクト内のセグメントに接続されている場合、プロジェクト管理者とエンタープライズ管理者の両方が、仮想マシンにタグを割り当てることができます。たとえば、デフォルト領域で、エンタープライズ管理者がプロジェクト 1 内の仮想マシンにタグを割り当てたとします。この仮想マシンはプロジェクト 1 インベントリに表示されるため、プロジェクト 1 のプロジェクト管理者は、この仮想マシンに割り当てられているタグを変更できます。 - デフォルト領域で静的メンバーシップを持つグループの場合、仮想マシンを明示的に参照するか([メンバー] > [仮想マシン])、プロジェクトのデフォルト グループ (PROJECT-<Project_Name>-default) を追加して、プロジェクトに接続されたワークロード仮想マシンを追加できます。
プロジェクトに作成された他のオブジェクトは、デフォルト領域内のグループに静的メンバーとして追加することはできません。
プロジェクトへのグループの追加
プロジェクトにグループを追加するためのユーザー インターフェイス ワークフローは、NSX 環境の [デフォルト] ビュー(デフォルト領域)にグループを追加するための現在のワークフローと同じです。
唯一の違いは、最初にユーザー インターフェイスで上部のアプリケーション バーの [プロジェクト] ドロップダウン メニューからプロジェクトを選択してから、 の順に移動して、選択したプロジェクトにグループを追加する必要がある点です。