NSX 应用程序隔离策略充当防火墙,阻止部署中已置备计算机流入或流出的所有入站和出站流量。指定已定义的 NSX 应用程序隔离策略时,通过蓝图置备的计算机可以相互通信,但无法连接到防火墙外部。

您可以使用新建蓝图蓝图属性对话框应用蓝图级别的应用程序隔离。

使用 NSX 应用程序隔离策略时,仅允许通过蓝图置备的计算机之间的内部流量。请求置备时,系统将为要置备的计算机创建安全组。应用程序隔离安全策略是在 NSX 中创建的,并应用于安全组。在安全策略中定义防火墙规则,确保在部署中的组件之间仅允许内部流量。有关相关信息,请参见使用网络和安全集成创建 vSphere 端点

注:

通过结合使用 NSX Edge 负载平衡器与 NSX 应用程序隔离安全策略的蓝图进行置备时,动态置备的负载平衡器不会添加到安全组。这会阻止负载平衡器与旨在处理连接的计算机进行通信。由于 Edge 已从 NSX Distributed Firewall 中排除,因此无法将其添加到安全组中。要支持负载平衡正常工作,请使用其他允许所需流量进入组件虚拟机的安全组或安全策略,从而实现负载平衡。

NSX 中的其他安全策略相比,应用程序隔离策略的优先级较低。例如,如果置备的部署包含 Web 组件计算机和应用程序组件计算机,且 Web 组件计算机托管 Web 服务,则该服务必须允许端口 80 和 443 上的入站流量。在这种情况下,用户必须在 NSX 中创建 Web 安全策略,且防火墙规则定义为允许入站流量流入这些端口。在 vRealize Automation 中,用户必须对已置备的计算机部署的 Web 组件应用 Web 安全策略。

如果 Web 组件计算机需要在端口 8080 和 8443 上使用负载平衡器访问应用程序组件计算机,则除了允许入站流量流入端口 80 和 443 的现有防火墙规则之外,Web 安全策略还应包括允许出站流量流入这些端口的防火墙规则。

有关可应用于蓝图中计算机组件的安全功能的信息,请参见在设计画布中使用安全组件