NSXにおけるゲートウェイの種類と使用想定

こちらを参考にしてください。
ざっくり言うと、T0, T1と呼ばれる２つの仮想ゲートウェイがあって、T0が物理ルータとの接続を担うもので（システム管理者の管理下）、一方のT1は仮想ネットワークに閉じて動作する想定のもの(各テナントの担当者が管理)。
https://y-network.jp/2020/08/09/nsx-t-009/

個人的にT0-T1の2層構成が好きだというだけの話

T0の単層構成もある程度受け入れられているみたいなんですが、個人的な好みの話をすると、私はT0-T1の2層構成が好きです。

理由は「テナント間のセキュリティ確保のため」です。別の言い方をすると、「テナント間でGWFWを使用するため」です。

現状見えている範囲でマルチテナントの要件がなかったとしても、将来的にテナントが増える想定で最初から構成しておくにこしたことはないと思います。

「複数のテナントをT0ゲートウェイ配下においたとしても、DFWで防御可能じゃないか」という意見も分かります。ただ、テナント間の通信制御を単一機能に一任していいのか少し疑問に感じてしまうのです。

万が一、DFWに何かしらのバグがあった場合に、あたふたしたくないんですよね、、、