NSX 应用程序隔离策略充当防火墙,阻止部署中已置备计算机流入或流出的所有入站和出站流量。指定已定义的 NSX 应用程序隔离策略时,通过蓝图置备的计算机可以相互通信,但无法连接到防火墙外部。

您可以使用新建蓝图蓝图属性页在蓝图级别应用应用程序隔离。

使用 NSX 应用程序隔离策略时,仅允许通过蓝图置备的计算机之间的内部流量。请求置备时,系统将为要置备的计算机创建安全组。应用程序隔离安全策略是在 NSX 中创建的,并应用于安全组。在安全策略中定义防火墙规则,确保在部署中的组件之间仅允许内部流量。有关相关信息,请参见创建 NSX 端点并关联到 vSphere 端点

注:

通过结合使用 NSX Edge 负载平衡器与 NSX 应用程序隔离安全策略的蓝图进行置备时,动态置备的负载平衡器不会添加到安全组。这会阻止负载平衡器与旨在处理连接的计算机进行通信。由于 Edge 已从 NSX 分布式防火墙中排除,因此无法将它们添加到安全组。要支持负载平衡正常工作,请使用其他允许所需流量进入组件虚拟机的安全组或安全策略,从而实现负载平衡。

NSX 中的其他安全策略相比,应用程序隔离策略的优先级较低。例如,如果置备的部署包含 Web 组件计算机和应用程序组件计算机,且 Web 组件计算机托管 Web 服务,则该服务必须允许端口 80 和 443 上的入站流量。在这种情况下,用户必须在 NSX 中创建 Web 安全策略,并且定义允许入站流量流入这些端口的防火墙规则。在 vRealize Automation 中,用户必须对已置备的计算机部署的 Web 组件应用 Web 安全策略。

注:
如果蓝图包含一个或多个负载平衡器,并且为蓝图启用了应用程序隔离,则会将负载平衡器 VIP 作为 IPSet 添加到应用程序隔离安全组中。如果蓝图包含的按需安全组所关联的计算机层同时关联了负载平衡器,该按需安全组将包含计算机层,并与负载平衡器 VIP IPSet。

如果 Web 组件计算机需要在端口 8080 和 8443 上使用负载平衡器访问应用程序组件计算机,则除了允许入站流量流入端口 80 和 443 的现有防火墙规则之外,Web 安全策略还应包括允许出站流量流入这些端口的防火墙规则。

有关可应用于蓝图中计算机组件的安全功能的信息,请参见在设计画布中使用安全组件