Benutzer in einem Projekt können eigene Richtlinien für verteilte Firewalls erstellen, um den horizontalen Datenverkehr innerhalb des Projekts zu sichern. Die Regeln für verteilte Firewalls in einem Projekt wirken sich nicht auf die Arbeitslasten außerhalb des Projekts aus.
Standardmäßige DFW-Regeln in einem Projekt
Für jedes in NSX hinzugefügte Projekt erstellt das System eine DFW-Standardrichtlinie im Projekt. Die Standardrichtlinie wird am Ende der Richtlinienliste in der Kategorie „Anwendungs-Firewall“ angezeigt. Die Standardrichtlinie definiert das Verhalten für VMs innerhalb des Projekts, wenn keine anderen Regeln vorliegen.
Die folgende Benennungskonvention wird verwendet, um die standardmäßige DFW-Richtlinie in einem Projekt zu identifizieren:
ORG-default PROJECT-<Project_Name> Default Layer 3 sectionProject_Name wird durch den tatsächlichen Wert in Ihrem System ersetzt.
Der folgende Screenshot zeigt als Beispiel die DFW-Standardrichtlinienregeln in einem Projekt.
Dieser Screenshot zeigt die Standardrichtlinie, die auf DFW angewendet wird. Sie enthält die folgenden Firewallregeln:
- Regel 1017 lässt den IPv6-ICMP-Datenverkehr zu.
- Regel 1018 ermöglicht die Kommunikation mit dem DHCPv4-Client und -Server.
- Regel 1019 ermöglicht die Kommunikation mit dem DHCPv6-Client und -Server. (Eingeführt in NSX 4.1.1)
- Regel 1020 ermöglicht die Kommunikation zwischen Arbeitslast-VMs innerhalb des Projekts.
- Regel 1021 verwirft alle anderen Kommunikationen, die keiner der oben genannten Regeln entsprechen.
Die DFW-Standardrichtlinie stellt sicher, dass VMs innerhalb eines Projekts nur VMs in demselben Projekt erreichen können, einschließlich des DHCP-Servers. Die Kommunikation mit VMs außerhalb des Projekts wird blockiert. VMs, die mit den Segmenten innerhalb des Projekts verbunden sind, können standardmäßig ihr Standard-Gateway nicht anpingen. Wenn eine solche Kommunikation erforderlich ist, müssen Sie neue Regeln hinzufügen oder vorhandene Regeln in der DFW-Standardrichtlinie ändern.
Vom Benutzer erstellte DFW-Regeln in einem Projekt
- DFW-Regeln im Standardspeicherplatz (höchste Priorität)
- DFW-Regeln im Projekt
- (Ab NSX 4.1.1): Horizontale Firewallregeln in den NSX-VPCs innerhalb des Projekts (niedrigste Priorität)
Die DFW-Regeln im Standardbereich können sich auf ein Projekt erstrecken.
Sie können beispielsweise die Regeln auf die Standardgruppe des Projekts anwenden (ORG-default-PROJECT-<Project_Name>). Die Standardgruppe des Projekts enthält nur die Arbeitslast-VMs eines Projekts.
- Gruppen, die im Projekt erstellt werden.
- Gruppen, die für das Projekt freigegeben sind.
Gruppen, die für die Projekte freigegeben sind, können nur in den Feldern Quelle oder Ziel der Firewallregeln verwendet werden. Im Feld Angewendet auf der Firewallregeln sind sie nicht zulässig.
(Ab NSX 4.1.1): Wenn NSX-VPCs in einem Projekt hinzugefügt werden, können die vom System erstellten Standardgruppen in NSX-VPCs in den Feldern Quelle, Ziel und Angewendet auf der Firewallregeln für das Projekt verwendet werden. Die vom Benutzer erstellten Gruppen in NSX-VPCs können jedoch nicht in Projekt-Firewallregeln verwendet werden.
Die Firewallregeln in einem Projekt gelten nur für die VMs im Projekt, also für VMs, die mit den Segmenten im Projekt verbunden sind. Die Firewallregeln innerhalb eines Projekts, einschließlich der „any-any“-Regeln, die auf eine DFW angewendet werden, wirken sich nicht auf Arbeitslasten außerhalb des Projekts aus.
Hinzufügen einer DFW-Richtlinie in einem Projekt
Der Benutzeroberflächen-Workflow zum Hinzufügen einer DFW-Richtlinie in einem Projekt stimmt mit dem überein, der derzeit für das Hinzufügen von Richtlinien in der Ansicht Standard (Standardspeicher) Ihrer NSX-Bereitstellung angewendet wird.
Der einzige Unterschied besteht darin, dass Sie auf der Benutzeroberfläche zuerst oben in der Anwendungsleiste im Dropdown-Menü für den Projektwechsel ein Projekt auswählen. Dann navigieren Sie zu
, um in dem ausgewählten Projekt DFW-Richtlinien hinzuzufügen.