在删除 Edge 防火墙规则中使用的分组对象、服务或服务组时,该规则将变得无效。无法发布无效的防火墙规则。

假设您创建了一个 Edge 防火墙规则,它在规则目标中使用一个 IP 集对象,如下图所示。


该图显示了在规则的“目标”列中使用 IP 集对象的 Edge 防火墙规则。

在以下过程中,您删除 Edge 上的“FW-IPset”对象,然后返回到防火墙表以查看 NSX Edge 是否检测到无效的规则。您将该规则标记为有效,然后重新发布该规则。

过程

  1. 强制删除 Edge 上的 IP 集对象。
    1. 登录到 vSphere Web Client
    2. 单击网络和安全 > NSX Edge
    3. 双击 Edge,然后导航到管理 > 分组对象
    4. 单击 IP 集选项卡,然后选择 FW-IPSet 对象。
    5. 单击删除HTML5 UI 中的“删除”图标。Flex UI 中的“删除”图标。)图标,然后选中继续强制删除复选框。
  2. 单击防火墙选项卡以返回到 Edge 防火墙表。
  3. 查看 NSX 是否在防火墙表上方显示以下错误消息。

    错误消息显示防火墙规则中的无效对象的位置。
    NSX Edge 检测到位置 4 中的防火墙规则的目标无效,因此,该规则变得无效。规则的“目标”列中的空对象用红色框框起来,如下图所示。

    该图显示防火墙规则中的空对象用红色框框起来。
  4. (必选) 删除空对象。
    NSX 版本 步骤
    6.4.6 和更高版本 指向空 sys-gen-empty-ipset-edge-fw 对象,单击 三点图标,然后选择移除
    6.4.5 和更低版本 指向空 sys-gen-empty-ipset-edge-fw 对象,然后单击 “删除”图标
  5. (可选) 编辑规则目标以使规则配置有效。
    NSX 版本 步骤
    6.4.6 和更高版本
    1. 指向规则的目标列,单击 三点图标,然后选择编辑规则目标
    2. 根据需要,添加对象或 IP 地址。
    6.4.5 和更低版本
    1. 指向规则的目标列,然后单击 “编辑”图标。
    2. 根据需要,添加对象或 IP 地址。
  6. (仅限 6.4.6 和更高版本)单击错误消息中的将规则标记为有效链接。
    NSX Edge 显示以下警告消息: 
    This action will mark rule as valid.
Please ensure that all elements in the rule are valid objects before performing this action.
Do you want to continue?
    • 要确认可以将规则标记为有效,请单击。将移除该错误消息。
    • 要关闭警告消息并返回到防火墙表以验证和编辑规则目标,请单击
    注:NSX 6.4.5 和更低版本中,防火墙表上方的错误消息不显示 将规则标记为有效链接。在移除空对象以及选择编辑规则目标后, NSX Edge 在检测到规则配置变得有效时移除该错误消息。
  7. 单击发布更改以使规则更改生效。