Sie können virtuelle Maschinen vom Schutz durch die Verteilte Firewall von NSX ausschließen.

Warum und wann dieser Vorgang ausgeführt wird

NSX Manager, NSX Controller und NSX Edge-VMs werden automatisch vom Schutz der Verteilten Firewall von NSX ausgeschlossen. Darüber hinaus wird empfohlen, dass Sie folgende Dienst-VMs in die Ausschlussliste aufnehmen, um freien Datenverkehr zu ermöglichen.

  • vCenter Server. vCenter Server kann in einen Cluster verschoben werden, der von der Firewall geschützt wird, er muss jedoch bereits in der Ausschlussliste vorhanden sein, um Verbindungsprobleme zu vermeiden.

    Anmerkung:

    vCenter Server muss unbedingt der Ausschlussliste hinzugefügt werden, bevor die Standardregel „allow any any“ von „Zulassen“ in „Blockieren“ geändert wird. Wird dies nicht durchgeführt, wird der Zugriff auf vCenter Server blockiert, wenn eine Regel „Alle verweigern“ erstellt (oder die Standardregel zum Blockieren von Aktionen geändert) wird. Ist dies der Fall, setzen Sie die DFW auf die standardmäßige Firewallregel zurück, indem Sie den folgenden API-Befehl ausführen: https://NSX_Manager_IP/api/4.0/firewall/globalroot-0/config. Die Anforderung muss den Status 204 zurückgeben. Mit dieser Option wird die Standardrichtlinie (mit der Standardregel „Zulassen“) für die DFW wiederhergestellt und der Zugriff auf vCenter Server und vSphere Web Client wieder ermöglicht.

  • Partner-Dienst-VMs.

  • Virtuelle Maschinen, die den Promiscuous-Modus erfordern. Werden diese virtuellen Maschinen durch die Verteilte Firewall von NSX geschützt, so wirkt sich das nachteilig auf ihre Leistung aus.

  • SQL-Server, der von Ihrem Windows-basierten vCenter genutzt wird.

  • vCenter-Webserver, wenn Sie diesen getrennt betreiben.

Prozedur

  1. Navigieren Sie im vSphere Web Client zu Networking & Security.
  2. Klicken Sie in Networking & Security (Networking & Security Inventory) auf NSX Manager (NSX Managers).
  3. Klicken Sie in der Spalte Name auf einen NSX Manager.
  4. Klicken Sie auf die Registerkarte Verwalten (Manage) und dann auf die Registerkarte Ausschlussliste (Exclusion List).
  5. Klicken Sie auf das Symbol Hinzufügen (Add) (Symbol „Hinzufügen“).
  6. Wählen Sie die auszuschließenden virtuellen Maschinen aus, und klicken Sie auf Hinzufügen (Add).
  7. Klicken Sie auf OK.

Ergebnisse

Wenn eine virtuelle Maschine über mehrere vNICs verfügt, werden alle vom Schutz ausgeschlossen. Wenn Sie vNICs zu einer virtuellen Maschine hinzufügen möchten, nachdem diese in die Ausschlussliste aufgenommen worden ist, dann wird die Firewall automatisch auf den neu hinzugefügten vNICs bereitgestellt. Um diese vNICs vom Firewallschutz auszuschließen, müssen Sie die virtuelle Maschine aus der Ausschlussliste entfernen und erneut hinzufügen. Eine weitere Umgehung wäre, die virtuelle Maschine ab- und wieder einzuschalten, die erste Option führt allerdings zu weniger Unterbrechungen.