NSX 多租戶支援與特定專案或組織專案內的 NSX VPC 共用特定資源 (物件)。

資源共用概觀

企業管理員可能想要與專案共用資源 (物件),以便可在這些專案內部使用。透過資源共用,就無需再次於專案中重新建立所需的物件,從而節省工作量。

可藉由建立資源共用,來實現資源共用。每個資源共用均有唯一名稱作為識別。在資源共用中,您可以新增要共用的成員 (物件),然後選擇一或多個要與其共用的專案。

專案使用者可以取用其專案中的共用資源,來設定群組、防火牆規則等,以滿足其網路與安全性需求。

當您建立資源共用以共用資源時,該共用資源的子資源並不會提供給目標專案共用。

NSX 4.1 中,預設空間中的資源只能提供給組織內的專案共用。

NSX 4.1.1 開始,您可以:
  • 將預設空間中的資源提供給專案或 NSX VPC 共用。
  • 將專案中的資源提供給相同專案內的 NSX VPC 共用。

目前不支援將一個專案中的資源提供給組織內其他專案共用。

共用的資源是在唯讀模式下,提供給共用它們的專案或 NSX VPC 中使用。換句話說,這些專案中的使用者無法修改共用資源。與專案共用資源後,該專案中的 NSX VPC 將無法自動存取共用資源。如果需要,可以與專案內的所有 NSX VPC 或特定 NSX VPC 共用資源。

在預設空間中,目前支援將下列 NSX 物件 (資源) 新增為資源共用中的成員:
  • 群組
  • 服務
  • 內容設定檔
  • 區段
  • DHCP 設定檔
  • DAD 設定檔
  • ND 設定檔
  • DNS 區域 (在 NSX 4.1.1 或更新版本中)
  • IDS 設定檔 (在 NSX 4.1.1 或更新版本中)

目前支援在 NSX VPC 中使用部分的 NSX 功能。如果您將預設空間中的資源提供給 NSX VPC 共用,但不支援在 VPC 中取用這些資源,則會將這些資源傳播到 NSX VPC。但是,VPC 使用者無法取用這些共用資源。

例如,假設企業管理員已將預設空間中的覆疊區段,提供給專案以及該專案內的所有 NSX VPC 共用。系統會將該覆疊區段傳播到專案以及其所有 NSX VPC。但是,該區段只能在專案中取用,而不能在 NSX VPC 中取用,因為 NSX VPC 中不支援覆疊區段。

下列系統範圍的使用者角色可以將預設空間中的資源,提供給專案或專案中的 NSX VPC 共用:
  • 企業管理員
  • 網路管理員
  • 安全管理員
專案中的下列使用者角色可以將專案中的資源提供給同一專案中的 NSX VPC 共用:
  • 專案管理員
  • 網路管理員
  • 安全管理員

專案的預設共用概觀

當您在組織中新增專案時,該專案中不存在使用者建立的資源。新專案僅有權存取系統定義的 NSX 資源,依預設,這些資源將透過預設共用進行共用。換句話說,在部署 NSX 時,會自動在預設空間中建立預設共用。預設共用中的資源可供組織中的所有專案和 NSX VPC 使用。您無法在 UI 中編輯預設共用。

預設共用由系統建立,且供內部使用。這項共用的成員是系統定義的資源,例如:服務、BFD 設定檔、應用程式識別碼等。

若要檢視預設共用中包含的系統定義資源的完整清單,請執行下列步驟:
  1. 請確定您已在專案下拉式功能表中,選取預設視圖。
  2. 導覽至詳細目錄 > 資源共用
  3. (在 NSX 4.1.1 或更新版本中):按一下資源共用頁面底部的專案的預設共用核取方塊。
    [專案的預設共用] 核取方塊。

    NSX 4.1 中,系統建立的預設共用會直接顯示在該頁面上。換句話說,在資源共用頁面上不會提供專案的預設共用核取方塊。

  4. 預設共用旁邊,按一下成員資料行中的計數。

例如:


此螢幕擷取畫面的周圍有文字加以說明。

可以發現,除了可供組織中所有專案和 NSX VPC 使用的預設共用外,系統還會為組織中的每個專案自動建立一個預設共用。會建立專案特定的這個預設共用,以供系統內部使用。專案特定預設共用的命名慣例為:

default-Project-name
專案預設共用的成員包括:
  • 第 0 層閘道 (如果在建立專案期間設定)
  • Edge 叢集 (如果在建立專案期間設定)
  • 站台 (如果在建立專案期間設定 Edge 叢集)
  • 站台強制執行點 (如果在建立專案期間設定 Edge 叢集)
  • 配置給專案的外部 IPv4 位址區塊 (在 NSX 4.1.1 或更新版本中)

第 0 層/VRF 閘道和 Edge 叢集是從預設空間中進行管理,而且無法在專案中進行編輯。

下列資訊適用於 NSX 4.1.1 或更新版本:

如果在專案中新增了 NSX VPC,則系統會為專案中的每個 NSX VPC 自動建立一個預設共用。此預設共用包含已配置給 NSX VPC 的私人 IPv4 位址區塊。會建立這個 VPC 預設共用,以供系統內部使用。

專案中 VPC 預設共用的命名慣例為:

_Project-name-VPC-name
若要檢視 VPC 預設共用,請執行下列步驟:
  1. 切換至新增了 NSX VPC 的專案視圖。
  2. 導覽至詳細目錄 > 資源共用
  3. 按一下資源共用頁面底部的專案的預設共用核取方塊。

例如:


系統為名為 dev_vpc 的 NSX VPC 建立的預設共用。

「將區段提供給專案共用」使用案例

將區段提供給專案共用時,並不表示此區段上的虛擬機器、連接埠和閘道介面會向該專案公開。實際上,該專案看不見共用區段的區段連接埠、介面和工作負載虛擬機器。因此,專案使用者無法在連線至共用區段的工作負載虛擬機器上,設定分散式防火牆原則。

藉由將區段提供給專案共用,可讓專案使用者將區段連線至該專案中第 1 層閘道的服務介面。

範例:請考慮以下案例:
  • 假設在預設空間中,有一個名為「Operations-Segment」的隔離區段,以及一個名為「T-0-Operations」的第 0 層閘道。
  • 在這個第 0 層閘道上,新增一個服務介面,並將此介面連線至「Operations-Segment」。
  • 企業管理員將此區段新增至資源共用,並提供給 project-1 共用。
  • 現在,在 NSX Manager 中切換到 project-1,導覽至區段頁面,然後按一下頁面底部的共用的物件核取方塊。
  • 可以看到共用「Operations-Segment」的內容。連接埠/介面資料行所顯示的值是無法使用。換句話說,服務介面不會向 project-1 公開。

    共用區段的 [連接埠/介面] 資料行顯示的值為 [不適用]。

「將共用群組、服務、內容設定檔提供給專案共用」使用案例

一般而言,專案使用者可能希望取用存在於系統預設空間中的 NSX 物件 (例如:群組、服務和內容設定檔),以在其專案下建立防火牆規則。透過資源共用,專案使用者無需重建這些物件。共用的物件可在唯讀模式下供專案使用,但在專案內無法編輯它們。