Fügen Sie Regeln hinzu, um Ost-West-Datenverkehr an die Netzwerk-Introspektion umzuleiten.
Regeln werden in einer Richtlinie definiert. Richtlinien als Konzept ähneln dem Konzept der Abschnitte in Firewalls. Wenn Sie eine Richtlinie hinzufügen, wählen Sie die Dienstkette aus, um den Datenverkehr für die Introspektion nach den Dienstprofilen der Dienstkette umzuleiten.
Eine Regeldefinition besteht aus der Quelle und dem Ziel des Datenverkehrs, einem Selbstprüfungsdienst, dem NSX-Objekt, auf das die Regel angewendet werden soll, und einer Richtlinie zum Umleiten von Datenverkehr. Nach dem Veröffentlichen der Regel löst NSX Manager die Regel aus, wenn ein passendes Datenverkehrsmuster gefunden wird. Die Regel beginnt mit der Selbstprüfung des Datenverkehrs. Beispiel: Wenn NSX Manager einen Datenverkehrsfluss klassifiziert, der introspektiert werden muss, wird der Datenverkehr an die reguläre verteilte Firewall und dann an die in der Richtlinie angegebene Dienstkette weitergeleitet. Die in der Dienstkette definierten Dienstprofile führen eine Selbstprüfung des Datenverkehrs für vom Partner angebotene Netzwerkdienste durch. Wenn ein Dienstprofil die Selbstprüfung ohne Erkennung von Sicherheitsproblemen im Datenverkehr abschließt, wird der Datenverkehr zum nächsten Dienstprofil in der Dienstkette weitergeleitet. Am Ende der Dienstkette wird der Datenverkehr an das Ziel weitergeleitet.
Alle Benachrichtigungen werden an den Partner Service Manager und NSX gesendet.
Hinweis: Standardmäßig ist eine Regel auch dann vorhanden, wenn der vertikale Dienst nicht konfiguriert ist. Diese Standardregel wird nicht angewendet und ist inaktiv. Sie müssen die erste Regel erstellen und anwenden, nachdem Sie vertikale Dienste in
NSX bereitgestellt haben.
Voraussetzungen
Zum Umleiten des Datenverkehrs für eine Netzwerk-Introspektion steht eine Dienstkette zur Verfügung.
Prozedur
- Melden Sie sich mit Administratorrechten bei NSX Manager an.
- Stellen Sie sicher, dass sich NSX Manager im Modus Richtlinie befindet.
- Wählen Sie aus.
Ein Richtlinienabschnitt gleicht einem Firewallabschnitt, in dem Regeln definiert werden, die die Flussrichtung des Datenverkehrs bestimmen.
- Wählen Sie eine Dienstkette aus.
- Klicken Sie zum Hinzufügen einer Richtlinie auf Veröffentlichen.
- Klicken Sie auf die vertikalen Punkte des eines Abschnitts und klicken Sie auf Regel hinzufügen.
- Klicken Sie in der Spalte Quellen auf das Symbol „Bearbeiten“ und wählen Sie die Quelle der Regel aus. Weitere Informationen hierzu finden Sie unter Hinzufügen einer Gruppe.
IPv4-, IPv6- und Multicast-Adressen werden unterstützt.
- Klicken Sie auf Speichern.
- Klicken Sie in der Spalte Ziele auf das Symbol „Bearbeiten“ und wählen Sie das Ziel der Regel aus. Wenn nicht definiert, bezieht sich die Regel auf alle Ziele. Weitere Informationen hierzu finden Sie unter Hinzufügen einer Gruppe.
IPv4-, IPv6- und Multicast-Adressen werden unterstützt.
- Standardmäßig ist für die Spalte Angewendet auf der Wert „DFW“ festgelegt und die Regel wird auf alle Arbeitslasten angewendet. Sie können die Regel oder Richtlinie auch auf ausgewählte Gruppen anwenden.Angewendet auf definiert den Durchsetzungsumfang für jede Regel und wird hauptsächlich für die Optimierung oder Ressourcen auf ESXi-Hosts verwendet. Diese Einstellung ist hilfreich, wenn eine gezielte Richtlinie für bestimmte Zonen und Mandanten definiert werden soll, ohne dass es zu Konflikten mit einer anderen Richtlinie kommt, die für andere Mandanten und Zonen definiert wurde.
Gruppen, die nur aus IP-Adressen bestehen, MAC-Adressen oder Active Directory-Gruppen können im Textfeld Angewendet auf nicht verwendet werden.
- Wählen Sie im Textfeld „Aktion“ die Option Umleiten aus, um Datenverkehr entlang der Dienstkette umzuleiten, oder die Option Nicht umleiten, um keine Netzwerk-Introspektion auf den Datenverkehr anzuwenden.
- Klicken Sie auf Veröffentlichen.
- Klicken Sie zum Hinzufügen einer Richtlinie auf + Richtlinie hinzufügen.
- Wählen Sie eine zu klonende Richtlinie oder Regel aus und klicken Sie auf Klonen.
- Verwenden Sie zum Aktivieren einer Regel das Symbol „Aktivieren/Deaktivieren“ oder wählen Sie die Regel aus und klicken Sie im Menü auf Aktivieren > Regel aktivieren.
- Nach dem Aktivieren bzw. Deaktivieren einer Regel klicken Sie auf Veröffentlichen, um die Regel durchzusetzen.
Ergebnisse
Datenverkehr zur Quelle wird zum Zweck der Netzwerk-Introspektion an die Dienstkette umgeleitet. Nachdem Dienstprofile in der Kette eine Selbstprüfung des Datenverkehrs vorgenommen haben, wird der Datenverkehr an das Ziel übermittelt.
Während der Bereitstellung ist es möglich, dass sich die Mitgliedschaft der VM-Gruppe für eine bestimmte Richtlinie ändert. NSX informiert den Partner Service Manager über diese Updates.