可以从分布式防火墙保护中排除一组虚拟机。

NSX ManagerNSX ControllerNSX Edge 虚拟机将自动从分布式防火墙保护中排除。此外,将以下服务虚拟机放在“排除列表”中可允许流量自由流动。
  • vCenter Server。可以将其移至受 Firewall 保护的群集中,但其必须已存在于排除列表中,以避免出现连接问题。
    注: 在将允许任何流量的默认规则从允许更改为阻止之前,请务必将 vCenter Server 添加到排除列表中。如果不执行该操作,在创建“拒绝全部”规则(或将默认规则修改为阻止操作)后,将会导致 vCenter Server 访问被阻止。如果发生这种情况,请使用 API 将默认规则从拒绝更改为允许。例如,使用 GET /api/4.0/firewall/globalroot-0/config 检索当前配置,然后使用 PUT /api/4.0/firewall/globalroot-0/config 更改相关配置。有关详细信息,请参见 NSX API 指南中的“使用分布式防火墙配置”。
  • 合作伙伴服务虚拟机。
  • 要求杂乱模式的虚拟机。如果这些虚拟机受分布式防火墙保护,其性能可能会受到不利影响。
  • 基于 Windows 的 vCenter 所使用的 SQL Server。
  • vCenter Web Server(如果正在单独运行)。

过程

  1. 导航到“排除列表”设置。
    • NSX 6.4.1 和更高版本中,导航到网络和安全 (Networking & Security) > 安全性 (Security) > 防火墙设置 (Firewall Settings) > 排除列表 (Exclusion List)
    • NSX 6.4.0 中,导航到网络和安全 (Networking & Security) > 安全性 (Security) > 防火墙 (Firewall) > 排除列表 (Exclusion List)
  2. 单击添加 (Add)
  3. 将要排除的虚拟机移到选定的对象中。
  4. 单击确定 (OK)

结果

如果虚拟机具有多个虚拟网卡,则它们都将从保护中排除。如果在把虚拟机添加到“排除列表”之后向虚拟机添加虚拟网卡,则会在新添加的虚拟网卡上自动部署防火墙。要从防火墙保护中排除新的虚拟网卡,必须从“排除列表”中移除该虚拟机,然后将虚拟机重新添加到“排除列表”中。替代解决办法是重启虚拟机(关闭电源后再打开电源),但第一种方案导致的中断比较少。