可以为受管工作负载虚拟机设置微分段。
注: DFW 规则取决于分配给虚拟机的标记。由于这些标记可由拥有相应公有云权限的任何人进行修改,因此
NSX 假定此类用户是可信的,并且将由公有云网络管理员负责确保和审核虚拟机始终进行了正确标记。
执行以下操作将分布式防火墙规则应用于 NSX 管理的工作负载虚拟机:
- 使用虚拟机名称、标记或者其他成员资格条件为 web、应用程序、数据库层等创建组。有关说明,请参阅添加组。
您可以使用以下任意标记作为成员资格条件。请参见 使用 NSX 和公有云标记对虚拟机分组以了解详细信息。
- 系统定义的标记
- NSX Cloud 在 VPC 或 VNet 中发现的标记
- 或自定义标记
- 创建一个东西向分布式防火墙策略和规则,并应用于您创建的组。请参见添加分布式防火墙。您还可以使用上下文配置文件来创建特定于应用程序 ID 和 FQDN/URL 的规则。当您创建 FQDN/URL 上下文配置文件时,可以使用一个预定义的公有云 FQDN/URL 列表。有关详细信息,请参见第 7 层上下文配置文件。
此微分段在从 CSM 手动重新同步清单时生效或在所做的更改从公有云进入 CSM 后的大约三分钟内生效。