Im Rahmen der Ersteinrichtung müssen Sie eine standardmäßige Umleitungsregel für die Service Insertion konfigurieren.

Nach Abschluss der Ersteinrichtung können Sie bei Bedarf Umleitungsregeln erstellen und bearbeiten, die Sie zum Umleiten verschiedener Datenverkehrstypen für ihre NSX-verwalteten Arbeitslast-VMs über die Dienst-Appliance benötigen.

Hierbei handelt es sich um zwei Arten von Umleitungsregeln:
  1. Im Rahmen der Ersteinrichtung für die Service Insertion müssen Sie Auffangregel erstellen, um die Umleitung von Datenverkehr für die VTI-Schnittstelle des VPN-Tunnels zwischen dem PCG und der Dienst-Appliance zu verhindern. Diese Regel muss die geringstmögliche Priorität erhalten und muss für beide Anwendungsfälle der Service Insertion erstellt werden.
  2. Die zweite Regel richtet die spezifische Umleitung für den Datenverkehr für die Dienst-Appliance ein. Sie können diese Regel anpassen und bei Bedarf weitere hinzufügen.

Prozedur

  1. Führen Sie folgende Schritte aus, um die Standardauffangregel für die Ersteinrichtung hinzuzufügen:
    1. Navigieren Sie zu Sicherheit > Nord-Süd-Firewall > Netzwerk-Introspektion (vertikal)
    2. Klicken Sie auf Richtlinie hinzufügen.
      Option Beschreibung
      Name Geben Sie einen aussagekräftigen Namen ein, z. B. Standard_Richtlinie-Keine-Umleitung.
      Umleiten an: Wählen Sie den Namen des virtuellen Endpoints aus, den Sie beim Registrieren des Diensts für diese Dienst-Appliance erstellt haben.
      Anwenden auf: Wählen Sie das Tier-0-Gateway des PCGs aus.
    3. Wählen Sie die neue Richtlinie aus und klicken Sie auf Regel hinzufügen. Beachten Sie die folgenden Werte, die für Service Insertion spezifisch sind:
      Option Beschreibung
      Quellen Beliebig
      Ziele Beliebig
      Angewendet auf Wählen Sie die VTI-Schnittstelle zwischen dem PCG und der Dienst-Appliance aus.
      Aktion Wählen Sie Nicht umleiten aus.
    Wichtig: Diese Regel muss die geringstmögliche Priorität erhalten.
  2. Führen Sie für die zweite Regel die folgenden Schritte aus:
    1. Navigieren Sie zu Sicherheit > Nord-Süd-Firewall > Netzwerk-Introspektion (vertikal)
    2. Klicken Sie auf Richtlinie hinzufügen.
      Option Beschreibung
      Name: Geben Sie einen aussagekräftigen Namen für die Richtlinie ein, z. B. Lokale Service Insertion für AWS VMs oder Vertikale Service Insertion für Azure-VMs.
      Umleiten an: Wählen Sie den Namen des virtuellen Endpoints aus, den Sie beim Registrieren des Diensts für diese Dienst-Appliance erstellt haben.
      Anwenden auf: Wählen Sie das Tier-0-Gateway des PCGs aus.
    3. Wählen Sie die neue Richtlinie aus und klicken Sie auf Regel hinzufügen. Beachten Sie die folgenden Werte, die für Service Insertion spezifisch sind:
      Option Beschreibung
      Quellen Wählen Sie eine Gruppe von Subnetzen aus, deren Datenverkehr umgeleitet werden muss, wie z. B. eine Gruppe NSX-verwalteter Arbeitslast-VMs.
      Ziele Wählen Sie eine Liste mit Ziel-IP-Adressen oder Diensten aus, z. B. YouTube, die Sie über die Dienst-Appliance leiten möchten.
      Angewendet auf
      • Wenn Sie eine vertikale Service Insertion mit der Dienst-Appliance in der Public Cloud verwenden: Wählen Sie den Uplink-Port des aktiven und des Standby-PCGs aus.
      • Wenn Sie VPN-Datenverkehr zum lokalen System verwenden: Wählen Sie die VTI-Schnittstelle des aktiven und des Standby-PCGs der lokalen Dienst-Appliance aus.
      Aktion Wählen Sie Umleiten aus.