Sie können die Mikro-Segmentierung für verwaltete Workload-VMs einrichten.
Hinweis: Die DFW-Regeln hängen von den Tags ab, die VMs zugewiesen sind. Da diese Tags von jeder Person mit den entsprechenden Public-Cloud-Berechtigungen geändert werden können, geht NSX-T Data Center davon aus, dass diese Benutzer vertrauenswürdig sind und dass die Verantwortung für die Sicherstellung und Überwachung, dass VMs zu jeder Zeit korrekt gekennzeichnet sind, beim Public-Cloud-Netzwerkadministrator liegt.
Führen Sie folgende Schritte aus, um Regeln für verteilte Firewalls auf von NSX verwalteten Arbeitslast-VMs anzuwenden:
- Erstellen Sie mithilfe des VM-Namens oder der Tags oder sonstiger Kriterien für die Mitgliedschaft Gruppen, z. B. die Ebenen web, app, DB. Eine Anleitung dafür finden Sie unter Hinzufügen einer Gruppe.
Sie können die folgenden Tags für die Kriterien für Mitgliedschaft verwenden. Einzelheiten dazu finden Sie unter Gruppen-VMs mit NSX-T Data Center und Public-Cloud-Tags.
- vom System definierte Tags
- Tags aus Ihrer VPC oder Ihrem VNet, die von NSX Cloud ermittelt werden
- oder Ihre eigenen benutzerdefinierten Tags
- Erstellen Sie eine Richtlinie und eine Regel für eine verteilte Firewall für Ost-West-Datenverkehr und wenden Sie diese auf die von Ihnen erstellte Gruppe an. Siehe Hinzufügen einer verteilten Firewall. Sie können auch Kontextprofile verwenden, um bestimmte Regeln für App-IDs und FQDN/URLs zu erstellen. Beim Erstellen eines FQDN/URL-Kontextprofils ist eine vordefinierte Liste mit FQDN/URLs für Public Cloud verfügbar. Einzelheiten dazu finden Sie unter Kontextprofil der Schicht 7.
Diese Mikro-Segmentierung wird wirksam, wenn die Bestandsliste entweder manuell erneut über CSM synchronisiert wird, oder innerhalb von etwa drei Minuten, wenn die Änderungen von Ihrer Public Cloud in CSM übertragen werden.