NSX 多租戶支援與特定專案或專案內的 NSX VPC 共用特定資源 (物件)。

資源共用概觀

企業管理員可能想要與專案共用資源 (物件),以便可在這些專案內部使用。透過資源共用,就無需再次於專案中重新建立所需的物件,從而節省工作量。

可藉由建立資源共用,來實現資源共用。每個資源共用均有唯一名稱作為識別。在資源共用中,您可以新增要共用的成員 (物件),然後選擇一或多個要與其共用的專案。

專案使用者可以取用其專案中的共用資源,來設定群組、防火牆規則等,以滿足其網路與安全性需求。

可以從預設空間和/或專案視圖中共用資源。從預設空間中,可以與專案或 NSX VPC 共用資源。從專案視圖中,可以與相同專案內的 NSX VPC 共用資源。

目前不支援將一個專案中的資源提供給其他專案共用。

當您建立資源共用以共用資源時,該共用資源的子成員並不會提供給目標專案共用。但是,企業管理員或專案管理員可以控制是否讓專案和 VPC 使用者看到共用資源的子成員。依預設,可在專案和 NSX VPC 中看到共用資源的子成員。如有需要,管理員可以關閉子成員的可見性。

子成員的可見性適用於資源共用中的以下資源:
  • 群組
  • 區段

共用的資源是在唯讀模式下,提供給共用它們的專案或 NSX VPC 中使用。換句話說,這些專案中的使用者無法修改共用資源。與專案共用資源後,該專案中的 NSX VPC 將無法自動存取共用資源。如果需要,可以與專案內的所有 NSX VPC 或特定 NSX VPC 共用資源。

在預設空間中,目前支援將下列 NSX 物件 (資源) 新增為資源共用中的成員:
  • 群組
  • 服務
  • 內容設定檔
  • 區段
  • DHCP 設定檔
  • DAD 設定檔
  • ND 設定檔
  • DNS 區域
  • IDS 設定檔
  • IKE 設定檔
  • IPSec 設定檔
  • DPD 設定檔
  • 服務憑證
  • CRL

目前支援在 NSX VPC 中使用部分的 NSX 功能。如果您將預設空間中的資源提供給 NSX VPC 共用,但不支援在 VPC 中取用這些資源,則會將這些資源傳播到 NSX VPC。但是,VPC 使用者無法取用這些共用資源。

例如,假設企業管理員已將預設空間中的覆疊區段,提供給專案以及該專案內的所有 NSX VPC 共用。系統會將該覆疊區段傳播到專案以及其所有 NSX VPC。但是,該區段只能在專案中取用,而不能在 NSX VPC 中取用,因為 NSX VPC 中不支援覆疊區段。

下列系統範圍的使用者角色可以將預設空間中的資源,提供給專案或專案中的 NSX VPC 共用:
  • 企業管理員
  • 網路管理員
  • 安全管理員
專案中的下列使用者角色可以將專案中的資源提供給同一專案中的 NSX VPC 共用:
  • 專案管理員
  • 網路管理員
  • 安全管理員

專案的預設共用概觀

當您新增專案時,該專案中不存在使用者建立的資源。新專案僅有權存取系統定義的 NSX 資源,依預設,這些資源將透過預設共用進行共用。換句話說,在部署 NSX 時,會自動在預設空間中建立預設共用。預設共用中的資源可供系統中的所有專案和 NSX VPC 使用。您無法在 UI 中編輯預設共用。

預設共用由系統建立,且供內部使用。這項共用的成員是系統定義的資源,例如:服務、BFD 設定檔、應用程式識別碼等。

若要檢視預設共用中包含的系統定義資源的完整清單,請執行下列步驟:
  1. 請確定您已在專案下拉式功能表中,選取預設視圖。
  2. 導覽至詳細目錄 > 資源共用
  3. 按一下資源共用頁面底部的專案的預設共用核取方塊。
    [專案的預設共用] 核取方塊。
  4. 預設共用旁邊,按一下成員資料行中的計數。

例如:


此螢幕擷取畫面的周圍有文字加以說明。

可以發現,除了可供所有專案和 NSX VPC 使用的預設共用外,系統還會為每個專案自動建立一個預設共用。會建立專案特定的這個預設共用,以供系統內部使用。專案特定預設共用的命名慣例為:

default-Project-name
例如,專案預設共用的成員包括:
  • 第 0 層閘道 (如果在建立專案期間設定)
  • Edge 叢集 (如果在建立專案期間設定)
  • 站台 (如果在建立專案期間設定 Edge 叢集)
  • 站台強制執行點 (如果在建立專案期間設定 Edge 叢集)
  • 配置給專案的外部 IPv4 位址區塊
  • 系統的預設覆疊傳輸區域

第 0 層/VRF 閘道和 Edge 叢集是從預設空間中進行管理,而且無法在專案中進行編輯。

如果在專案中新增了 NSX VPC,則系統會為專案中的每個 NSX VPC 自動建立一個預設共用。此預設共用包含已配置給 NSX VPC 的私人 IPv4 位址區塊。會建立這個 VPC 預設共用,以供系統內部使用。

專案中 VPC 預設共用的命名慣例為:

_Project-name-VPC-name
若要檢視 VPC 預設共用,請執行下列步驟:
  1. 切換至新增了 NSX VPC 的專案視圖。
  2. 導覽至詳細目錄 > 資源共用
  3. 按一下資源共用頁面底部的專案的預設共用核取方塊。

例如:


系統為名為 dev_vpc 的 NSX VPC 建立的預設共用。

「將區段提供給專案共用」使用案例

當將區段與專案共用時,只有在企業管理員在資源共用中啟用了子成員的可見性時,才可在專案中看到區段的子物件 (例如區段連接埠)。否則,專案無法看到區段連接埠。共用區段的閘道介面永遠不會在專案視圖中顯示。

請記住,共用區段不會共用連線至區段的虛擬機器。也不允許專案使用者在虛擬機器上設定分散式防火牆 (DFW) 原則。共用區段允許其在專案中可見,並將共用區段連線至專案中的第 1 層閘道的服務介面。

專案使用者無法將專案的分散式防火牆安全性原則延伸到這個共用區段。但是,他們可以將閘道防火牆安全性原則套用至共用區段連線的專案第 1 層閘道的服務介面。

工作流程如下所示:
  1. 假設預設空間中有一個名為「Operations-Segment」的區段。此區段可以是覆疊區段或 VLAN 區段。
  2. 企業管理員將此區段新增至資源共用,並提供給 project-1 共用。
  3. 切換至 NSX Manager 中的 project-1,並將共用區段連線至專案第 1 層閘道的服務介面。
  4. 在 project-1 視圖中,建立閘道防火牆原則並將其套用於第 1 層閘道服務介面。

在以下範例中,您將瞭解開啟或關閉共用區段的子成員可見性時,專案視圖中共用區段的連接埠/介面資料行上顯示的資訊。

範例:
  • 假設在預設空間中,有一個名為「Operations-Segment」的隔離區段,以及一個名為「T-0-Operations」的第 0 層閘道。您尚未在此區段上新增連接埠。
  • 在這個第 0 層閘道上,新增一個服務介面,並將此介面連線至「Operations-Segment」。
  • 企業管理員將此區段新增至資源共用,並提供給 project-1 共用。在資源共用中,假設已關閉允許檢視成員階層切換。
  • 現在,在 NSX Manager 中切換到 project-1,導覽至區段頁面,然後按一下頁面底部的共用的物件核取方塊。
  • 可以看到共用「Operations-Segment」的內容。連接埠/介面資料行所顯示的值是無法使用。換句話說,共用區段的子成員 (即,區段連接埠和服務介面) 不會在 project-1 中公開。

    共用區段的 [連接埠/介面] 資料行顯示的值為 [不適用]。
  • 現在,假設企業管理員已在資源共用中開啟允許檢視成員階層切換。

    此時,當切換至 project-1 視圖並移至區段頁面時,服務介面仍不會向 project-1 公開。但是,共用區段的連接埠/介面資料行現在顯示 0 值。此值僅表示共用區段上的連接埠計數。在此範例中,計數為零,因為共用區段不包含任何連接埠。共用區段上的閘道介面永遠不會在專案視圖中公開顯示。

「將共用群組、服務、內容設定檔提供給專案共用」使用案例

一般而言,專案使用者可能希望取用存在於系統預設空間中的 NSX 物件 (例如:群組、服務和內容設定檔),以在其專案下建立防火牆規則。透過資源共用,專案使用者無需重建這些物件。共用的物件可在唯讀模式下供專案使用,但在專案內無法編輯它們。