防火墙排除列表由可以根据组成员资格从防火墙规则中排除的组组成。
NSX-T Data Center 具有系统排除的虚拟机和用户排除的组。
- 系统排除的组由系统管理,并且对用户是只读的。系统排除的组包括恶意软件防护和服务插入 SVM,以及通过配置的计算管理器部署的 NSX Manager 和 NSX Edge 设备。
- 用户排除的组由用户管理,默认情况下为空。
诸如负载均衡器、防火墙、虚拟网络功能(路由、交换等)等虚拟机,以及任何需要混杂模式的虚拟机都必须位于 DFW 排除列表中。VMware 不支持将这些虚拟机添加到 DFW;必须手动将其添加到用户排除的组。
在 NSX Manager 集群中,必须手动将第一个节点添加到分布式防火墙排除列表。
可以从防火墙规则中排除用户定义的组,最多可以在列表中包含 100 个组。不能将 IP 集、MAC 集和 Active Directory 组作为成员包含在防火墙排除列表上使用的组中。