可以从 NSX 分布式防火墙保护中排除一组虚拟机。

关于此任务

NSX Manager、NSX Controller 和 NSX Edge 虚拟机将自动从 NSX 分布式防火墙保护中排除。此外,VMware 建议您将以下服务虚拟机放在“排除列表”中以允许流量自由流动。

  • vCenter Server。可以将其移至受 Firewall 保护的群集中,但其必须已存在于排除列表中,以避免出现连接问题。

    注:

    在将允许任何流量的默认规则从允许更改为阻止之前,请务必将 vCenter Server 添加到排除列表中。如果不执行该操作,在创建“拒绝全部”规则(或将默认规则修改为阻止操作)后,将会导致 vCenter Server 访问被阻止。如果出现此问题,请运行以下 API 命令,将 DFW 回滚到默认防火墙规则集:https://NSX_Manager_IP/api/4.0/firewall/globalroot-0/config。请求必须返回状态 204。这将还原 DFW 的默认策略(其默认规则为允许),并重新启用对 vCenter Server 和 vSphere Web Client 的访问。

  • 合作伙伴服务虚拟机。

  • 要求杂乱模式的虚拟机。如果这些虚拟机受 NSX 分布式防火墙保护,则其性能可能会受到不利影响。

  • 基于 Windows 的 vCenter 所使用的 SQL Server。

  • vCenter Web Server(如果正在单独运行)。

过程

  1. 在 vSphere Web Client 中,单击 网络和安全 (Networking & Security)
  2. 网络和安全清单 (Networking & Security Inventory)中,单击 NSX Manager (NSX Managers)
  3. 名称 (Name)列中,单击某个 NSX Manager。
  4. 单击管理 (Manage)选项卡,然后单击排除列表 (Exclusion List)选项卡。
  5. 单击添加 (Add) (“添加”图标) 图标。
  6. 选择您要排除的虚拟机,然后单击添加 (Add)
  7. 单击确定 (OK)

结果

如果虚拟机具有多个虚拟网卡,则它们都将从保护中排除。如果在把虚拟机添加到“排除列表”之后向虚拟机添加虚拟网卡,则会在新添加的虚拟网卡上自动部署防火墙。为了从防火墙保护中排除这些虚拟网卡,必须从“排除列表”中移除该虚拟机,然后将虚拟机重新添加到“排除列表”中。替代解决办法是重启虚拟机(关闭电源后再打开电源),但第一种方案导致的中断比较少。