防火墙排除列表由可以根据组成员资格从防火墙规则中排除的组组成。

NSX 支持系统排除的组和用户排除的组:

  • 系统排除的组由系统管理,并且对用户是只读的。系统排除的组包括恶意软件防护和服务插入 SVM,以及通过配置的计算管理器部署的 NSX ManagerNSX Edge 设备。
  • 用户排除的组由用户管理,默认情况下为空。

    诸如负载均衡器、防火墙、虚拟网络功能(路由、交换等)等虚拟机,以及任何需要混杂模式的虚拟机都必须位于 DFW 排除列表中。VMware 不支持将这些虚拟机添加到 DFW;必须手动将其添加到用户排除的组。

NSX Manager 集群中,必须手动将第一个节点添加到分布式防火墙排除列表。

可以从防火墙规则中排除用户定义的组,最多可以在列表中包含 100 个组。不能将 IP 集、MAC 集和 Active Directory 组作为成员包含在防火墙排除列表上使用的组中。

从 NSX 4.0.1.1 开始,NSX 联合 中的全局管理器 (GM) 支持排除列表。在本地管理器 (Local Manager, LM) 上,将具有两个排除列表:一个来自 GM,另一个来自 LM 自己的排除列表。这两个列表中的所有成员都将被排除。

防火墙排除列表中不支持 Antrea 组。

过程

  1. 导航到安全 > 分布式防火墙 > 操作 > 排除列表
    此时将显示一个窗口,其中会列出可用的组。
  2. 要查看只读的排除列表,请选择系统排除的虚拟机选项卡。您可以通过以下方式筛选该列表:
    • 名称
    • 操作系统
    • 电源状态
    • 标记
    • 标记范围
  3. 要将用户定义的组添加到防火墙排除列表中,请确保您处于用户排除的组选项卡。找到或创建需要排除的组,确保选中相应的复选框,然后单击保存。请注意,添加/编辑/删除组并不会更改排除列表成员资格。
    1. 要创建组,请单击添加组。请参见添加组
    2. 要编辑组,请单击要编辑的组旁边的复选框,然后单击三点菜单并选择编辑
    3. 要删除组,请单击要删除的组旁边的复选框,然后单击三点菜单并选择删除
    4. 要显示组详细信息,请单击全部展开
  4. 单击保存