防火墙排除列表由可以根据组成员资格从防火墙规则中排除的组组成。

NSX-T Data Center 具有系统排除的虚拟机和用户排除的组。

  • 系统排除的组由系统管理,并且对用户是只读的。系统排除的组包括恶意软件防护和服务插入 SVM,以及通过配置的计算管理器部署的 NSX ManagerNSX Edge 设备。
  • 用户排除的组由用户管理,默认情况下为空。

    诸如负载均衡器、防火墙、虚拟网络功能(路由、交换等)等虚拟机,以及任何需要混杂模式的虚拟机都必须位于 DFW 排除列表中。VMware 不支持将这些虚拟机添加到 DFW;必须手动将其添加到用户排除的组。

NSX Manager 集群中,必须手动将第一个节点添加到分布式防火墙排除列表。

可以从防火墙规则中排除用户定义的组,最多可以在列表中包含 100 个组。不能将 IP 集、MAC 集和 Active Directory 组作为成员包含在防火墙排除列表上使用的组中。

过程

  1. 导航到安全 > 分布式防火墙 > 操作 > 排除列表
    此时将显示一个窗口,其中会列出可用的组。
  2. 要查看只读的自动排除列表,请选择系统排除的虚拟机选项卡。您可以通过以下方式筛选该列表:
    • 名称
    • 操作系统
    • 电源状态
    • 标记
    • 标记范围
  3. 要将用户定义的组添加到防火墙排除列表中,请确保您位于“用户排除的组”选项卡上,然后单击任何组旁边的复选框。然后单击应用
    1. 要创建组,请单击添加组。请参见添加组
    2. 要编辑组,请单击组旁边的三个点菜单,然后选择编辑
    3. 要删除组,请单击三点菜单,然后选择删除
    4. 要显示组详细信息,请单击全部展开
  4. 单击关闭