Eine NSX-Anwendungsisolierungsrichtlinie dient als Firewall, um den gesamten ein- und ausgehenden Datenverkehr zu und von den bereitgestellten Maschinen in der Bereitstellung zu blockieren. Wenn Sie eine definierte NSX-Anwendungsisolierungsrichtlinie angeben, können die von dem Blueprint bereitgestellten Maschinen zwar miteinander kommunizieren, aber keine Verbindung außerhalb der Firewall herstellen.

Sie können die Anwendungsisolierung auf der Blueprint-Ebene anwenden, indem Sie das Dialogfeld Neuer Blueprint oder Blueprint-Eigenschaften verwenden.

Wenn eine NSX-Anwendungsisolierungsrichtlinie verwendet wird, ist nur interner Datenverkehr zwischen den durch den Blueprint bereitgestellten Maschinen zulässig. Wenn Sie die Bereitstellung anfordern, wird eine Sicherheitsgruppe für die bereitzustellenden Maschinen erstellt. Eine Anwendungsisolierungsrichtlinie wird in NSX erstellt und auf die Sicherheitsgruppe angewendet. Firewallregeln werden in der Sicherheitsrichtlinie definiert, um nur internen Datenverkehr zwischen den Komponenten in der Bereitstellung zuzulassen. Informationen hierzu finden Sie unter Erstellen eines NSX-Endpoints und Zuordnen zu einem vSphere-Endpoint.

Anmerkung:

Bei der Bereitstellung mit einem Blueprint, der sowohl einen NSX Edge-Lastausgleichsdienst als auch eine NSX-Anwendungsisolierungsrichtlinie verwendet, wird der dynamisch bereitgestellte Lastausgleichsdienst nicht zur Sicherheitsgruppe hinzugefügt. Dadurch wird verhindert, dass der Lastausgleichsdienst mit den Maschinen kommuniziert, für die er Verbindungen abwickeln soll. Edges sind von der NSX Distributed Firewall ausgeschlossen, weshalb sie nicht zu Sicherheitsgruppen hinzugefügt werden können. Für die ordnungsgemäße Funktion des Lastausgleichsdiensts sollten Sie eine andere Sicherheitsgruppe oder Sicherheitsrichtlinie verwenden, welche die Übertragung des erforderlichen Datenverkehrs an die Komponenten-VMs wegen des Lastausgleichs erlaubt.

Die Anwendungsisolierungsrichtlinie weist eine niedrigere Priorität als andere Sicherheitsrichtlinien in NSX auf. Wenn beispielsweise die zur Verfügung gestellte Bereitstellung eine Webkomponenten-Maschine und eine Anwendungskomponenten-Maschine enthält und die Webkomponenten-Maschine einen Webdienst hostet, muss der Dienst eingehenden Datenverkehr auf den Ports 80 und 443 zulassen. In diesem Fall müssen die Benutzer eine Websicherheitsrichtlinie in NSX erstellen, deren Firewallregeln so definiert sind, dass eingehender Datenverkehr auf diesen Ports zulässig ist. In vRealize Automation müssen die Benutzer die Websicherheitsrichtlinie auf die Webkomponente der Maschinenbereitstellung anwenden.

Wenn die Webkomponenten-Maschine Zugriff auf die Anwendungskomponenten-Maschine mithilfe eines Lastausgleichsdiensts auf den Ports 8080 und 8443 benötigt, sollte die Websicherheitsrichtlinie zusätzlich zu den vorhandenen Firewallregeln, die eingehenden Datenverkehr auf den Ports 80 und 443 erlauben, auch Firewallregeln enthalten, um ausgehenden Datenverkehr auf diesen Ports zu erlauben.

Informationen zu Sicherheitsfunktionen, die auf eine Maschinenkomponente in einem Blueprint angewendet werden können, finden Sie unter Verwenden von Sicherheitskomponenten auf der Design-Arbeitsfläche.