Sie können virtuelle Maschinen vom Schutz durch die verteilte Firewall ausschließen.

NSX Manager-, NSX Controller- und NSX Edge-VMs werden automatisch vom Schutz durch die verteilte Firewall ausgeschlossen. Nehmen Sie darüber hinaus folgende Dienst-VMs in die Ausschlussliste auf, um freien Datenverkehr zu ermöglichen.
  • vCenter Server. vCenter Server kann in einen Cluster verschoben werden, der von der Firewall geschützt wird, er muss jedoch bereits in der Ausschlussliste vorhanden sein, um Verbindungsprobleme zu vermeiden.
    Hinweis: vCenter Server muss unbedingt der Ausschlussliste hinzugefügt werden, bevor die Standardregel „allow any any“ von „Zulassen“ in „Blockieren“ geändert wird. Wird dies nicht durchgeführt, wird der Zugriff auf vCenter Server blockiert, wenn eine Regel „Alle verweigern“ erstellt (oder die Standardregel zum Blockieren von Aktionen geändert) wird. In diesem Fall verwenden Sie die API zum Ändern der standardmäßigen Regel von „Verweigern“ in „Zulassen“. Verwenden Sie beispielsweise GET /api/4.0/firewall/globalroot-0/config zum Abrufen und PUT /api/4.0/firewall/globalroot-0/config zum Ändern der aktuellen Konfiguration. Weitere Informationen finden Sie im Handbuch zu NSX-API im Abschnitt zum Arbeiten mit der Konfiguration der verteilten Firewall.
  • Partner-Dienst-VMs.
  • Virtuelle Maschinen, die den Promiscuous-Modus erfordern. Werden diese virtuellen Maschinen durch die verteilte Firewall geschützt, so wirkt sich das nachteilig auf ihre Leistung aus.
  • SQL-Server, der von Ihrem Windows-basierten vCenter genutzt wird.
  • vCenter-Webserver, wenn Sie diesen getrennt betreiben.

Prozedur

  1. Navigieren Sie zu den Einstellungen der Ausschlussliste.
    • Navigieren Sie in NSX 6.4.1 und höher zu Netzwerk und Sicherheit (Networking & Security) > Sicherheit (Security) > Firewalleinstellungen (Firewall Settings) > Ausschlussliste (Exclusion List).
    • Navigieren Sie in NSX 6.4.0 zu Netzwerk und Sicherheit (Networking & Security) > Sicherheit (Security) > Firewall > Ausschlussliste (Exclusion List).
  2. Klicken Sie auf Hinzufügen (Add).
  3. Verschieben Sie die virtuellen Maschinen, die Sie ausschließen möchten, in Ausgewählte Objekte.
  4. Klicken Sie auf OK.

Ergebnisse

Wenn eine virtuelle Maschine über mehrere vNICs verfügt, werden alle vom Schutz ausgeschlossen. Wenn Sie vNICs zu einer virtuellen Maschine hinzufügen möchten, nachdem diese in die Ausschlussliste aufgenommen worden ist, dann wird die Firewall automatisch auf den neu hinzugefügten vNICs bereitgestellt. Um die neuen vNICs vom Firewallschutz auszuschließen, müssen Sie die virtuelle Maschine aus der Ausschlussliste entfernen und erneut hinzufügen. Eine weitere Umgehung wäre, die virtuelle Maschine ab- und wieder einzuschalten, die erste Option führt allerdings zu weniger Unterbrechungen.