可添加用于重定向东西向流量以进行网络侦测的规则。

在策略中定义规则。策略的概念类似于防火墙区域的概念。在添加策略时,请选择服务链以通过服务链的服务配置文件重定向流量以进行自检。

规则定义包含流量的源和目标、自检服务、要应用规则的 NSX 对象和流量重定向策略。发布规则后,找到匹配的流量模式时,NSX Manager 便触发规则。规则开始自检流量。例如,在 NSX Manager 对必须侦测的流量进行分类时,它将流量转发到常规分布式防火墙,然后再转发到策略中的指定服务链。服务链中定义的服务配置文件将自检合作伙伴提供的网络服务的流量。如果某服务配置文件完成自检时未检测到流量中存在任何安全问题,则流量将转发到服务链中的下一个服务配置文件。服务链结束时,流量将转发到目标。

将向合作伙伴 Service Manager 和 NSX 发送所有通知。

注: 默认情况下,即使未配置东西向服务,仍存在一个规则。此默认规则未应用且处于非活动状态。在 NSX 上部署东西向服务后,需要创建并应用第一个规则。

前提条件

可使用服务链重定向流量以进行网络侦测。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 确认 NSX Manager 处于策略模式。
  3. 选择安全 > 东西向网络侦测 > 添加策略

    策略区域类似于在其中定义了确定流量如何流动的规则的防火墙区域。

  4. 选择一个服务链。
  5. 要添加策略,请单击发布
  6. 单击区域中的 三点菜单 垂直省略号,然后单击添加规则
  7. 列中,单击编辑图标并选择规则的源。有关更多信息,请参见添加组
    支持 IPv4、IPv6 和多播地址。
  8. 单击保存
  9. 目标列中,单击编辑图标并选择规则的目标。如果未定义,目标将与任何内容匹配。有关更多信息,请参见添加组
    支持 IPv4、IPv6 和多播地址。
  10. 默认情况下,应用对象列设置为 DFW,并且此规则应用于所有工作负载。您还可以将规则或策略应用于选定的组。应用对象定义每个规则的实施范围,主要用于优化 ESXi 主机上的资源。这有助于为特定区域和租户定义目标策略,而不会干扰为其他租户和区域定义的其他策略。

    不能在应用对象文本框中使用仅包含 IP 地址的组、仅包含 MAC 地址的组或 Active Directory 组。

  11. 在“操作”文本框中,选择重定向以沿服务链重定向流量;或选择不重定向,不对流量应用网络侦测。
  12. 单击发布
  13. 要恢复已发布的规则,选择一个规则,然后单击恢复
  14. 要添加策略,请单击 + 添加策略
  15. 要克隆策略或规则,选择策略或规则,然后单击克隆
  16. 要启用规则,请启用“启用/禁用”图标,或选择规则,然后从菜单中单击启用 > 启用规则
  17. 启用或禁用规则后,请单击发布以实施规则。

结果

传输到源的流量将重定向到服务链以进行网络侦测。链中的服务配置文件对流量自检后,流量将传送到目标。

在部署期间,可以更改某特定策略的虚拟机组成员资格。NSX 将向合作伙伴 Service Manager 发送有关这些更新的通知。