NSX マルチテナントでは、特定のリソース(オブジェクト)を特定のプロジェクトまたはプロジェクト内の NSX VPC と共有できます。

リソース共有の概要

エンタープライズ管理者は、リソース(オブジェクト)をプロジェクトと共有して、それらのプロジェクト内で使用できるようにすることができます。リソース共有により、オブジェクトを必要とするプロジェクトでオブジェクトを再作成する必要がなくなり、労力を節約できます。

リソース共有は、リソース共有を作成することによって行われます。リソース共有は一意の名前で識別されます。リソース共有では、共有するメンバー(オブジェクト)を追加してから、共有するプロジェクトを 1 つ以上選択できます。

プロジェクト ユーザーは、プロジェクト内の共有リソースを使用して、ネットワークとセキュリティの要件を満たすためにグループ、ファイアウォール ルールなどを構成できます。

リソースは、デフォルトの領域、プロジェクト ビュー、またはその両方から共有できます。デフォルトの領域から、プロジェクトまたは NSX VPC とリソースを共有できます。プロジェクト ビューから、同じプロジェクト内の NSX VPC とリソースを共有できます。

現在、あるプロジェクトから他のプロジェクトへのリソースの共有はサポートされていません。

リソース共有を作成してリソースを共有する場合、その共有リソースの子メンバーはターゲット プロジェクトと共有されません。ただし、エンタープライズ管理者またはプロジェクト管理者は、共有リソースの子メンバーをプロジェクトおよび VPC ユーザーに表示するかどうかを制御できます。デフォルトでは、共有リソースの子メンバーはプロジェクトおよび NSX VPC に表示されます。必要に応じて、管理者は子メンバーの可視性をオフにできます。

子メンバーの可視性は、リソース共有内の次のリソースに適用されます。
  • グループ
  • セグメント

共有リソースは、共有されているプロジェクトまたは NSX VPC で読み取り専用モードで使用できます。つまり、共有リソースは、これらのプロジェクトのユーザーが変更することはできません。リソースをプロジェクトと共有している場合、そのプロジェクト内の NSX VPC は、共有リソースに自動的にアクセスできません。必要であれば、プロジェクト内のすべての NSX VPC または特定の NSX VPC とリソースを共有できます。

デフォルトの領域では、次の NSX オブジェクト(リソース)は現在、リソース共有にメンバーとして追加するためにサポートされています。
  • グループ
  • サービス
  • コンテキスト プロファイル
  • セグメント
  • DHCP プロファイル
  • DAD プロファイル
  • ND プロファイル
  • DNS ゾーン
  • IDS プロファイル
  • IKE プロファイル
  • IPsec プロファイル
  • DPD プロファイル
  • サービス証明書
  • CRL

NSX 機能のサブセットは現在、NSX VPC で使用できます。デフォルト領域のリソースを NSX VPC と共有していても、そのリソースの VPC での使用がサポートされていない場合、これらのリソースは NSX VPC に伝達されます。ただし、VPC ユーザーはこれらの共有リソースを使用できません。

たとえば、エンタープライズ管理者がデフォルト領域のオーバーレイ セグメントをプロジェクトとそのプロジェクト内のすべての NSX VPC と共有しているとします。システムは、オーバーレイ セグメントをプロジェクトとそのすべての NSX VPC に伝達します。ただし、セグメントはプロジェクトでのみ使用できますが、NSX VPC ではオーバーレイ セグメントがサポートされていないため、NSX VPC では使用できません。

次のシステム全体のユーザー ロールは、デフォルト領域からプロジェクトに、またはプロジェクト内の NSX VPC にリソースを共有できます。
  • エンタープライズ管理者
  • ネットワーク管理者
  • セキュリティ管理者
次のプロジェクトのユーザー ロールは、プロジェクトのリソースを、同じプロジェクト内の NSX VPC と共有できます。
  • プロジェクト管理者
  • ネットワーク管理者
  • セキュリティ管理者

プロジェクトのデフォルトシェアの概要

新しいプロジェクトを追加すると、そのプロジェクトにユーザーが作成したリソースは存在しません。新しいプロジェクトは、デフォルト共有を介してデフォルトで共有されるシステム定義の NSX リソースにのみアクセスできます。つまり、デフォルト共有は、NSX の展開時に自動的デフォルト領域に作成されます。デフォルト共有のリソースは、システムのすべてのプロジェクトと NSX VPC で使用できます。デフォルト共有は、ユーザー インターフェイスで編集できません。

デフォルトの共有は、内部で使用するためにシステムによって作成されます。この共有のメンバーは、サービス、BFD プロファイル、アプリケーション ID などのシステム定義リソースです。

デフォルト共有に含まれているシステム定義リソースの完全なリストを表示するには、次の手順を実行します。
  1. [プロジェクト] ドロップダウン メニューで [デフォルト] ビューが選択されていることを確認します。
  2. [インベントリ] > [リソース共有] の順に移動します。
  3. [リソース共有] ページの下部にある [プロジェクトのデフォルト共有] チェック ボックスをクリックします。
    [プロジェクトのデフォルト共有] チェック ボックス。
  4. [デフォルト共有] の横にある [メンバー] 列のカウントをクリックします。

次はその例です。


この画面キャプチャは、周囲のテキストで説明されています。

すべてのプロジェクトと NSX VPC で使用可能なデフォルトの共有に加えて、各プロジェクトに対してデフォルトの共有が自動的に作成されることを確認します。このプロジェクト固有のデフォルト共有は、システムの内部使用のために作成されます。プロジェクト固有のデフォルト共有の命名規則は次のとおりです。

default-Project-name
たとえば、プロジェクトのデフォルト共有のメンバーは次のとおりです。
  • Tier-0 ゲートウェイ(プロジェクトの作成時に設定されている場合)
  • Edge クラスタ(プロジェクトの作成時に設定されている場合)
  • サイト(プロジェクトの作成時に Edge クラスタが設定されている場合)
  • サイト適用ポイント(プロジェクトの作成時に Edge クラスタが設定されている場合)
  • プロジェクトに割り当てられた外部 IPv4 アドレス ブロック
  • システムのデフォルトのオーバーレイ トランスポート ゾーン

Tier-0/VRF ゲートウェイと Edge クラスタはデフォルトの容量から管理され、プロジェクトでは編集できません。

NSX VPC がプロジェクトに追加されると、プロジェクト内の各 NSX VPC に対してデフォルトの共有が自動的に作成されます。このデフォルトの共有には、NSX VPC に割り当てられているプライベート IPv4 アドレス ブロックが含まれています。この VPC のデフォルト共有は、システムの内部使用のために作成されます。

プロジェクト内の VPC のデフォルト共有の命名規則は次のとおりです。

_Project-name-VPC-name
VPC のデフォルト共有を表示するには、次の手順を実行します。
  1. NSX VPC が追加されているプロジェクト ビューに切り替えます。
  2. [インベントリ] > [リソース共有] の順に移動します。
  3. [リソース共有] ページの下部にある [プロジェクトのデフォルト共有] チェック ボックスをクリックします。

次はその例です。


システムが作成した、dev_vpc という名前の NSX VPC のデフォルト共有。

セグメントをプロジェクトと共有する場合の使用事例

セグメントがプロジェクトと共有されている場合、セグメント ポートなどのセグメントの子オブジェクトは、エンタープライズ管理者がリソース共有の子メンバーの可視性を有効にしている場合にのみプロジェクトに表示されます。それ以外の場合、プロジェクトはセグメント ポートを表示できません。共有セグメントのゲートウェイ インターフェイスはプロジェクト ビューに表示されません。

セグメントを共有しても、セグメントに接続されている仮想マシンは共有されないことに注意してください。また、プロジェクト ユーザーは仮想マシンで分散ファイアウォール (DFW) ポリシーを構成できません。セグメントを共有するとプロジェクト内で表示可能になり、プロジェクト内の Tier-1 ゲートウェイのサービス インターフェイスに共有セグメントを接続できます。

プロジェクト ユーザーは、プロジェクトの分散ファイアウォール セキュリティ ポリシーをこの共有セグメントに拡張できません。ただし、共有セグメントが接続されているプロジェクトの Tier-1 ゲートウェイのサービス インターフェイスにゲートウェイ ファイアウォール セキュリティ ポリシーを適用できます。

ワークフローは次のとおりです。
  1. デフォルト領域に「Operations-Segment」という名前のセグメントがあるとします。このセグメントには、オーバーレイ セグメントまたは VLAN セグメントのいずれかを指定できます。
  2. エンタープライズ管理者は、このセグメントをリソース共有に追加し、project-1 と共有します。
  3. NSX Manager で project-1 に切り替え、共有セグメントをプロジェクトの Tier-1 ゲートウェイのサービス インターフェイスに接続します。
  4. project-1 ビューでゲートウェイ ファイアウォール ポリシーを作成し、Tier-1 ゲートウェイのサービス インターフェイスに適用します。

次の例では、共有セグメントの子メンバーの可視性がオンまたはオフになっている場合にプロジェクト ビューの共有セグメントの [ポート/インターフェイス] 列に表示される情報について学習します。

例:
  • デフォルト領域に、「Operations-Segment」という名前の隔離されたセグメントと、「T-0-Operations」という名前の Tier-0 ゲートウェイがあるとします。このセグメントにポートが追加されていません。
  • この Tier-0 ゲートウェイで、サービス インターフェイスを追加し、このインターフェイスを Operations-Segment に接続します。
  • エンタープライズ管理者は、このセグメントをリソース共有に追加し、project-1 と共有します。リソース共有で、[メンバー階層の表示を許可] 切り替えボタンがオフになっていると仮定します。
  • 次に、NSX Manager で project-1 に切り替え、[セグメント] ページに移動し、ページの下部にある [共有オブジェクト] チェック ボックスをクリックします。
  • 共有された Operations-Segment のプロパティを確認します。[ポート/インターフェイス] 列の値が「使用不可」と表示されます。つまり、共有セグメントの子メンバー(セグメント ポートとサービス インターフェイス)は project-1 では公開されません。

    共有セグメントの [ポート/インターフェイス] 列に値が「使用不可」と表示されています。
  • 次に、エンタープライズ管理者がリソース共有で [メンバー階層の表示を許可] 切り替えボタンをオンにしたとします。

    この場合、project-1 ビューに切り替えて [セグメント] ページに移動しても、サービス インターフェイスは依然として project-1 に公開されません。ただし、共有セグメントの [ポート/インターフェイス] 列に値 0 が表示されるようになりました。この値は、共有セグメントのポート数のみを示します。この例では、共有セグメントにポートが含まれていないため、カウントはゼロです。共有セグメントのゲートウェイ インターフェイスがプロジェクト ビューに公開されることはありません。

グループ、サービス、コンテキスト プロファイルをプロジェクトと共有する場合の使用事例

プロジェクト ユーザーは通常、システムのデフォルト領域に存在するグループ、サービス、コンテキスト プロファイルなどの NSX オブジェクトを使用して、プロジェクトの下にファイアウォール ルールを作成できます。リソース共有を使用すると、プロジェクト ユーザーがこれらのオブジェクトを再作成する必要がなくなります。共有オブジェクトは、プロジェクトで読み取り専用モードになるため、プロジェクト内で編集することはできません。