您可以将通过服务编排创建的所有防火墙规则的应用对象设置设为“分布式防火墙”或“策略的安全组”。默认情况下,应用对象设置为“分布式防火墙”。

关于此任务

在服务编排防火墙规则将应用对象设置设为“分布式防火墙”时,这些规则将应用于安装了分布式防火墙的所有群集。如果将防火墙规则设置为应用于策略的安全组,您可以对防火墙规则进行更精细的控制,但可能需要使用多个安全策略或防火墙规则以获得所需的结果。

过程

  1. 登录到 vSphere Web Client。
  2. 单击网络和安全 (Networking & Security),单击服务编排 (Service Composer),然后单击安全策略 (Security Policies)选项卡。
  3. 单击操作 (Actions) > 编辑防火墙策略设置 (Edit Firewall Policy Settings)。选择默认“应用对象”设置,然后单击“确定”。

    选项

    说明

    分布式防火墙

    将防火墙规则应用于安装了分布式防火墙的所有群集。

    策略的安全组

    将防火墙规则应用于应用了安全策略的安全组。

    也可以通过 API 查看和更改默认“应用对象”设置。请参见NSX API 指南

应用对象行为

在该示例场景中,默认防火墙规则操作设置为阻止。您具有两个包含虚拟机的安全组:web-servers 和 app-servers。您创建包含以下防火墙规则的安全策略 allow-ssh-from-web,然后将其应用于安全组 app-servers。

  • 名称:allow-ssh-from-web

  • 源:web-servers

  • 目标:策略的安全组

  • 服务:ssh

  • 操作:允许

如果防火墙规则应用于分布式防火墙,您可以通过 ssh 从安全组 web-servers 中的虚拟机访问安全组 app-servers 中的虚拟机。

如果防火墙规则应用于策略的安全组,您无法通过 ssh 进行访问,因为阻止流量到达 app-servers。您需要创建额外的安全策略以允许通过 ssh 访问 app-servers,并将该策略应用于安全组 web-servers。

  • 名称:allow-ssh-to-app

  • 源:策略的安全组

  • 目标:app-servers

  • 服务:ssh

  • 操作:允许