NSX는 기존 역할을 사용하고 다중 테넌시를 지원하기 위한 몇 가지 새 역할을 추가로 제공합니다.

다음은 다중 테넌시 컨텍스트에서 사용되는 역할 중 일부입니다.

  • / 공간에 액세스할 수 있는 역할로 /infra 아래의 모든 구성과 /org에 대한 액세스 권한을 부여합니다.
    • 엔터프라이즈 관리자: 제공자 관리자는 인프라 준비를 담당하며 프로젝트 내부 및 외부의 구성에 액세스할 수 있는 슈퍼 사용자입니다.
    • 감사자: 이 역할의 사용자는 시스템 설정 및 구성에 대해서는 읽기 전용 액세스 권한이 있지만 문제 해결 도구에 대해서는 모든 액세스 권한이 있습니다.
  • /orgs 아래의 구성에만 액세스할 수 있는 다중 테넌시를 위해 NSX 4.0.1.1에 도입된 역할:
    • 조직 관리자(기술 미리보기, 운영 배포용 아님): 조직 관리자 역할은 현재 조직 내에서 프로젝트를 관리하기 위해 기술 미리보기 모드에서 사용할 수 있습니다. 그러나 이 역할에는 프로젝트를 생성하는 데 필요한 /infra 개체에 대한 액세스 권한이 없습니다. 프로젝트 생성을 위해 엔터프라이즈 관리자 역할을 사용합니다.
    • 프로젝트 관리자: 프로젝트 관리자는 프로젝트를 관리하며 해당 프로젝트 내의 구성에 대한 모든 액세스 권한이 있습니다.
다음 API 호출을 수행하여 프로젝트 관리자 역할을 할당합니다. 
POST /policy/api/v1/aaa/role-bindings/
샘플 요청:
URL: 
POST https://{{nsx-manager-ip}}/policy/api/v1/aaa/role-bindings/
본문: 
{
    “name”: “[email protected]”,
    “type”: “remote_user”,
    “roles_for_paths”: [
        {
            “path”: “/orgs/default/projects/project-1”,
            “roles”: [
                {
                    “role”: “project_admin”
                }
            ]
        }
    ],
    “resource_type”: “RoleBinding”,
    “identity_source_type”: “LDAP”,
    “read_roles_for_paths”: true
}
프로젝트 경로를 제공하여 다음과 같은 기존 역할을 특정 프로젝트에 할당할 수도 있습니다.
  • 네트워크 관리자: 네트워크 관리자 역할이 프로젝트 경로에 할당된 경우 해당 프로젝트 수준에서 네트워크 및 서비스를 관리합니다.
  • 네트워크 운영자: 이 역할의 사용자는 프로젝트 경로에 할당된 경우 해당 프로젝트 수준에서 네트워킹 구성에 대한 읽기 전용 액세스 권한을 갖습니다.
  • 보안 관리자: 보안 관리자 역할은 프로젝트 경로에 할당되면 해당 프로젝트 수준에서 보안 정책을 관리합니다.
  • 보안 운영자: 이 역할의 사용자는 프로젝트 경로에 할당된 경우 해당 프로젝트 수준에서 보안 구성에 대한 읽기 전용 액세스 권한을 갖습니다.
특정 프로젝트에 대한 역할을 로컬 사용자에게 할당하기 위한 샘플 요청:
URL: 
POST https://{{nsx-manager-ip}}/policy/api/v1/aaa/role-bindings/<RoleBinding ID>
본문: 
{
    “name”: “[email protected]”,
    “type”: “local_user”,
    “roles_for_paths”: [
        {
            “path”: “/orgs/default/projects/project-1”,
            “roles”: [
                {
                    “role”: “project_admin”
                }
            ]
        }
    ],
    “resource_type”: “RoleBinding”,
    “read_roles_for_paths”: true
}

프로젝트 관리자 역할만 로컬 사용자에게 할당되도록 하려면 감사자 역할을 삭제합니다.

DELETE https://{{nsx}}/policy/api/v1/aaa/role-bindings/<RoleBinding ID>

인증

NSX 다중 테넌시는 여러 유형의 ID 소스에 구성된 사용자를 지원합니다. 다음은 지원되는 ID 소스 유형 및 해당 구성 매개 변수입니다.
  • 로컬 사용자(admin, audit, guestuser1, guestuser2)
    “type”: “local_user”,
  • vIDM(VMware Identity Manager)
    “type”: “remote_user”,
“identity_source_type”: “VIDM”,
  • LDAP(Lightweight Directory Access Protocol)
    “type”: “remote_user”,
“identity_source_type”: “LDAP”,
  • 주체 ID(인증서 또는 JWT 토큰을 통해)

    역할은 주체 ID API를 사용해야만 할당할 수 있습니다.