Uma política de isolamento de aplicativo do NSX atua como um firewall para bloquear todo o tráfego de entrada e saída de e para as máquinas provisionadas na implantação. Quando você especifica uma política definida de isolamento de aplicativo do NSX, as máquinas provisionadas pelo blueprint podem comunicar-se umas com as outras, mas não podem conectar-se fora do firewall.

Você pode aplicar um isolamento de aplicativo no nível do blueprint usando a caixa de diálogo Novo Blueprint ou Propriedades de Blueprint.

Ao usar uma política de isolamento de aplicativos do NSX, é permitido apenas o tráfego interno entre as máquinas provisionadas pelo blueprint. Quando você solicita o provisionamento, um grupo de segurança é criado para as máquinas a serem provisionadas. Uma política de segurança de isolamento de aplicativo é criada no NSX e aplicada ao grupo de segurança. Regras de firewall são definidas na política de segurança para permitir somente o tráfego interno entre os componentes na implantação. Para obter informações relacionadas, consulte Criar um endpoint do vSphere com integração de rede e segurança.

Observação:

Durante o provisionamento com um blueprint que usa tanto um balanceador de carga do NSX Edge e uma política de segurança de isolamento de aplicativo do NSX, o balanceador de carga provisionado dinamicamente não é adicionado ao grupo de segurança. Isso impede que o balanceador de carga se comunique com as máquinas para as quais ele deveria gerenciar as conexões. Como os Edges são excluídos do firewall distribuído do NSX, eles não podem ser adicionados aos grupos de segurança. Para permitir que o balanceamento de carga funcione corretamente, use outro grupo de segurança ou política de segurança que permita o tráfego exigido para as VMs do componente para balanceamento de carga.

A política de isolamento de aplicativo tem uma precedência mais baixa em comparação a outras políticas de segurança no NSX. Por exemplo, se a implantação provisionada contiver uma máquina do componente Web e uma máquina do componente App e a máquina do componente Web hospedar um serviço da Web, o serviço deverá permitir o tráfego de entrada nas portas 80 e 443. Nesse caso, os usuários devem criar uma política de segurança da Web no NSX com regras de firewall definidas para permitir o tráfego de entrada para essas portas. No vRealize Automation, os usuários devem aplicar a política de segurança da Web ao componente Web da implantação da máquina provisionada.

Se a máquina do componente Web precisar de acesso à máquina do componente App usando um balanceador de carga nas portas 8080 e 8443, a política de segurança da Web também deverá incluir regras de firewall para permitir o tráfego de saída para essas portas, além das regras de firewall existentes que permitem o tráfego de entrada para as portas 80 e 443.

Para obter informações sobre os recursos de segurança que podem ser aplicados a um componente de máquina em um blueprint, consulte Usando componentes de segurança em uma tela de blueprint.