用于创建这些分布式防火墙规则的所有组和服务对象都由 NSX Advanced Load Balancer NSX-T Cloud Connector 自动创建,并在 NSX Advanced Load Balancer Controller 中创建 NSX-T Cloud 期间配置了对象名称前缀。因此,请启用要包含在 DFW 规则中的服务引擎虚拟机。
必须手动创建 DFW 规则。NSX Advanced Load Balancer Controller 仅自动创建必需的对象。
将自动创建以下对象:
在云创建期间
序列号 |
对象 |
命名约定 |
描述 |
示例 |
|---|---|---|---|---|
1 |
组 |
<前缀>-ControllerCluster |
目标:包含所有控制器管理 IP |
demonsxt2-ServiceEngineMgmtIPs |
2 |
组 |
<前缀>-ServiceEngineMgmtIPs |
源:包含所有服务引擎 IP |
demonsxt2-ServiceEngineMgmtIPs |
3 |
组 |
<前缀>-ServiceEngines |
包含所有服务引擎作为虚拟机 |
包含所有服务引擎作为虚拟机 |
4 |
服务 |
<前缀>-ControllerCluster |
服务对象:包含控制器的协议/端口。允许 TCP 端口 22、8842 和 UDP 端口 123 |
demonsxt2-ControllerCluster |
创建虚拟服务时
序列号 |
对象 |
命名约定 |
描述 |
示例 |
|---|---|---|---|---|
5 |
服务 |
<前缀>-<VS 名称> |
所有 VS 端口。例如,HTTP (80)、HTTPS (443) 将是此对象的一部分 |
demonsxt2-demovs |
将池连接到 VS 时
序列号 |
对象 |
命名约定 |
描述 |
示例 |
|---|---|---|---|---|
6 |
服务 |
<前缀>-<池名称> |
包含所有池端口。例如,后端服务器正在侦听端口 80 或 8080,将从 NS 组中获取并在此处填充。 |
demonsxt-demovs-pool |
在放置期间创建 SE 时
在选择用于放置 VS 的 SE 后,以下组将使用创建的新 SE 信息进行更新。
序列号 |
对象 |
命名约定 |
描述 |
|
|---|---|---|---|---|
7 |
组 |
<前缀>-ServiceEngineMgmtIPs |
ServiceEngineMgmtIPs 组将更新 |
demonsxt2-ServiceEngineMgmtIPs |
8 |
组 |
<前缀>-ServiceEngines |
ServiceEngines 组将更新 |
demonsxt2-ServiceEngineMgmtIPs |
VS 放置在 SE 上
将虚拟服务放置在 SE 上时,会创建以下组并用于生成前端通信:
序列号 |
对象 |
命名约定 |
描述 |
示例 |
|---|---|---|---|---|
9 |
组 |
<前缀>-<VS 名称> |
包含 SE 的 DataNIC IP |
demonsxt2-demovs |
10 |
组 |
<前缀>-<VS 名称>VSServiceEngines |
包含 VS 服务引擎列表 |
demonsxt2-demovs VSServiceEngines |
查看对象
您可以在 NSX-T Manager 中搜索为建立 DFW 规则而自动创建的对象。
要从 NSX-T Manager 中查看对象,请执行以下操作:
导航到。您可以看到创建了五个前缀为 demonsxt2(对象名称前缀)的组:
单击查看成员以确定虚拟机/IP 地址。
同样,导航到以查看自动创建的服务对象。
创建 DFW 规则
要创建 DFW 规则,请从 NSX-T Manager 中执行以下操作:
导航到。
确保将连接策略选择为白名单。
单击一个现有的区域或规则。
单击添加规则。
根据需要配置规则,例如 SE 到控制器的通信:
源是服务引擎
目标是控制器组。(对象为 <前缀>-ControllerCluster)
允许的服务是控制器服务(端口 22、8443 和 UDP 123)(对象为 <前缀>-ControllerCluster)
应用于所有服务引擎组。
单击发布。
有关创建 DFW 规则和策略的分步过程,请参阅添加防火墙规则。
对于虚拟服务,可以创建前端规则和后端规则。
单击编辑按钮,然后根据需要创建源和目标。
该规则将应用于此虚拟服务的源和目标,如下所示:
最终用户可以选择将规则分类到不同的 DFW 策略下。采用了以下模式:
所有 NSX Advanced Load Balancer SE 到 NSX Advanced Load Balancer Controller 通信的 DFW 策略:此策略包含不同云(如果有多个)的每个规则
每个虚拟服务的每个 DFW 策略,其中包含前端规则和后端规则。名称
源
目标
服务
配置文件
应用对象
操作
<云名称>
<前缀名称>ServiceEngines
<前缀名称>ControllerCluster
<前缀名称>ControllerCluster
<前缀名称>ServiceEngines
允许
名称
源
目标
服务
配置文件
应用对象
操作
前端
客户端
具有 VIP-IP 的组
<前缀>-<VS 名称>
client<前缀>-<VS 名称>VSServiceEngines
允许
后端
<前缀>-<VS 名称>
Web 组
<前缀>-<池名称>
web-group<前缀>-<VS 名称>VSServiceEngines
允许
上述模型假定 NSX Advanced Load Balancer Controller 不在覆盖网络传输区域中,并且不需要任何 DFW 规则。
最终用户必须单独创建客户端和池服务器组 (web-group)。
注意事项
在虚拟服务缩减和扩展期间,某些长期连接可能会断开。
