防火墙排除列表由可以根据组成员资格从防火墙规则中排除的组组成。
NSX 支持系统排除的组和用户排除的组:
- 系统排除的组由系统管理,并且对用户是只读的。系统排除的组包括恶意软件防护和服务插入 SVM,以及通过配置的计算管理器部署的 NSX Manager 和 NSX Edge 设备。
- 用户排除的组由用户管理,默认情况下为空。
诸如负载均衡器、防火墙、虚拟网络功能(路由、交换等)等虚拟机,以及任何需要混杂模式的虚拟机都必须位于 DFW 排除列表中。VMware 不支持将这些虚拟机添加到 DFW;必须手动将其添加到用户排除的组。
在 NSX Manager 集群中,必须手动将第一个节点添加到分布式防火墙排除列表。
可以从防火墙规则中排除用户定义的组,最多可以在列表中包含 100 个组。不能将 IP 集、MAC 集和 Active Directory 组作为成员包含在防火墙排除列表上使用的组中。
从 NSX 4.0.1.1 开始,NSX 联合 中的全局管理器 (GM) 支持排除列表。在本地管理器 (Local Manager, LM) 上,将具有两个排除列表:一个来自 GM,另一个来自 LM 自己的排除列表。这两个列表中的所有成员都将被排除。
防火墙排除列表中不支持 Antrea 组。