Você pode ativar o isolamento de aplicativo para permitir somente tráfego interno entre os componentes provisionados pelo blueprint.

Uma política de isolamento de aplicativo do NSX atua como um firewall para bloquear todo o tráfego de entrada e saída de e para as máquinas provisionadas na implantação. Quando você especifica uma política definida de isolamento de aplicativo do NSX, as máquinas provisionadas pelo blueprint podem comunicar-se umas com as outras, mas não podem conectar-se fora do firewall.

Quando uma regra de isolamento de aplicativo é especificada e as regras de segurança também são especificadas usando grupos de segurança no blueprint, a configuração de isolamento de aplicativo é a última regra processada durante a implantação do blueprint.

Você pode aplicar um isolamento de aplicativo no nível do blueprint usando a página Novo Blueprint ou Propriedades de Blueprint.

Considerações do NSX for vSphere

Os componentes provisionados são colocados em um grupo de segurança, que é isolado usando regras de firewall. A ativação exige que o endpoint do vSphere esteja configurado para oferecer suporte ao isolamento de aplicativo do NSX.

Ao usar uma política de isolamento de aplicativos do NSX for vSphere, é permitido apenas o tráfego interno entre as máquinas provisionadas pelo blueprint. Quando você solicita o provisionamento, um grupo de segurança é criado para as máquinas a serem provisionadas. Uma política de isolamento de aplicativo é criada no NSX for vSphere e aplicada ao grupo de segurança. Regras de firewall são definidas na política de segurança para permitir somente o tráfego interno entre os componentes na implantação.

Durante o provisionamento com um blueprint que usa um balanceador de carga do edge do NSX for vSphere e uma política de segurança de isolamento de aplicativo do NSX for vSphere, o balanceador de carga provisionado dinamicamente não é adicionado ao grupo de segurança. Isso impede que o balanceador de carga se comunique com as máquinas para as quais ele deveria gerenciar as conexões. Como os edges são excluídos do firewall distribuído do NSX for vSphere, eles não podem ser adicionados aos grupos de segurança. Para permitir que o balanceamento de carga funcione corretamente, use outro grupo de segurança ou política de segurança que permita o tráfego exigido para as VMs do componente para balanceamento de carga.

A política de isolamento de aplicativo tem uma precedência mais baixa em comparação a outras políticas de segurança no NSX for vSphere. Por exemplo, se a implantação provisionada contiver uma máquina do componente web e uma máquina do componente aplicativo e a máquina do componente web hospedar um serviço da web, o serviço deverá permitir o tráfego de entrada nas portas 80 e 443. Nesse caso, os usuários devem criar uma política de segurança da web no NSX for vSphere com regras de firewall definidas para permitir o tráfego de entrada para essas portas. No vRealize Automation, os usuários devem aplicar a política de segurança da web ao componente web da implantação da máquina provisionada.

Observação:

Se um blueprint contiver balanceadores de carga e o isolamento de aplicativo estiver habilitado, as VIPs do balanceador de carga serão adicionadas ao grupo de segurança de isolamento de aplicativo como um IPSet. Se um blueprint contiver um grupo de segurança sob demanda associado a uma camada da máquina que está associada a um balanceador de carga, o grupo de segurança sob demanda incluirá a camada da máquina, o IPSet e as VIPs.

Se a máquina do componente web precisar de acesso à máquina do componente aplicativo usando um balanceador de carga nas portas 8080 e 8443, a política de segurança da web também deverá incluir regras de firewall para permitir o tráfego de saída para essas portas, além das regras de firewall existentes que permitem o tráfego de entrada para as portas 80 e 443.

Considerações do NSX-T

Os componentes provisionados são colocados em um Grupo NS, que é isolado usando regras de firewall. A ativação exige que o endpoint do vSphere esteja configurado para oferecer suporte ao isolamento de aplicativo do NSX.

O NSX-T suporta a criação de uma topologia de roteador lógico de duas camadas: o roteador lógico de camada superior é a Camada 0 e o roteador lógico de camada inferior é a Camada 1. Essa estrutura fornece ao administrador do provedor e aos administradores de tenants um controle completo sobre seus serviços e políticas. No NSX-T, os administradores controlam e configuram serviços e roteamento da Camada 0 e os administradores de tenant controlam e configuram a Camada 1.