Puede excluir un conjunto de máquinas virtuales de la protección de firewall distribuido de NSX.

Por qué y cuándo se efectúa esta tarea

NSX Manager, NSX Controller y las máquinas virtuales NSX Edge se excluyen automáticamente de la protección de firewall distribuido de NSX. Asimismo, VMware recomienda colocar las siguientes máquinas virtuales de servicio en la lista de exclusión para permitir que el tráfico circule libremente.

  • vCenter Server. Puede moverse a un clúster protegido por firewall, pero ya debe existir en la lista de exclusión para evitar problemas de conectividad.

    Nota:

    Es importante agregar vCenter Server a la lista de exclusión antes de cambiar la regla predeterminada "any any" de permitir a bloquear. Si no se lleva a cabo esta acción, se bloqueará el acceso a vCenter Server tras crear una regla Denegar todo (o tras modificar la regla predeterminada para bloquear la acción). Si esto sucede, revierta el DFW a la regla de firewall predeterminada con el siguiente comando: https://NSX_Manager_IP/api/4.0/firewall/globalroot-0/config. La solicitud debe devolver un estado de 204. Esto restaurará la directiva predeterminada (con la regla predeterminada de permitir) para DFW y volverá a habilitar el acceso a vCenter Server y vSphere Web Client.

  • Máquinas virtuales del servicio de partners.

  • Máquinas virtuales que requieren el modo promiscuo. Si estas máquinas virtuales están protegidas por firewall distribuido de NSX, su rendimiento puede verse gravemente afectado.

  • El servidor SQL Server que utiliza la instancia de vCenter basada en Windows.

  • vCenter Web Server, si se lo va a ejecutar por separado.

Procedimiento

  1. En vSphere Web Client, haga clic en Redes y seguridad (Networking & Security).
  2. En Inventario de redes y seguridad (Networking & Security Inventory) haga clic en Instancias de NSX Manager (NSX Managers).
  3. En la columna Nombre (Name), haga clic en una instancia de NSX Manager.
  4. Haga clic en la pestaña Administrar (Manage) y, a continuación, en Lista de exclusión (Exclusion List).
  5. Haga clic en el icono Agregar (Add) (agregar) .
  6. Seleccione las máquinas virtuales que desee excluir y haga clic en Agregar (Add).
  7. Haga clic en Aceptar (OK).

Resultados

Si una máquina virtual tiene varias NIC, todas ellas quedarán excluidas de la protección. Si agrega vNIC a una máquina virtual que ya está agregada a la lista de exclusión, el firewall se implementa automáticamente en las vNIC recientemente agregadas. Para excluir estas vNIC de la protección de firewall, debe extraer la máquina virtual de la lista de exclusión y, a continuación, volver a agregarla a la lista. Una alternativa es realizar un ciclo de energía (apagar y encender la máquina virtual), pero la primera opción es menos disruptiva.