Una política de aislamiento de aplicaciones de NSX actúa como un cortafuegos que bloquea todo el tráfico entrante y saliente de las máquinas aprovisionadas en la implementación. Si se especifica una política de aislamiento de aplicaciones de NSX establecida, las máquinas aprovisionadas por el blueprint se podrán comunicar entre sí, pero no conectarse fuera del cortafuegos.

Puede aplicar el aislamiento de aplicaciones a nivel de blueprint mediante los cuadros de diálogo Nuevo blueprint o Propiedades de blueprint.

Cuando se usa una política de aislamiento de aplicaciones de NSX, solo se permite el tráfico interno entre las máquinas aprovisionadas por el blueprint. Cuando se solicita el aprovisionamiento, se crea un grupo de seguridad para las máquinas que se van a aprovisionar. Se crea una política de seguridad de aislamiento de aplicaciones en NSX y se aplica al grupo de seguridad. Se definen reglas de cortafuegos en la política de seguridad para permitir únicamente el tráfico interno entre los componentes de la implementación. Para obtener información relacionada, consulte Crear un endpoint de vSphere con integración de red y seguridad.

Nota:

Cuando el aprovisionamiento se realiza con un blueprint que usa tanto un equilibrador de carga de NSX Edge como una política de seguridad de aislamiento de aplicaciones de NSX, el equilibrador de carga aprovisionado dinámicamente no se añade al grupo de seguridad. Esto evita que el equilibrador de carga se comunique con las máquinas en las que debe controlar las conexiones. Los Edges no se pueden añadir a grupos de seguridad, ya que están excluidos del firewall distribuido de NSX. A fin de que el equilibrio de carga funcione de forma correcta, utilice otro grupo de seguridad o política de seguridad que permita el tráfico necesario a las máquinas virtuales de componentes.

La política de aislamiento de aplicaciones tiene una prioridad menor frente a otras políticas de seguridad en NSX. Así, por ejemplo, si la implementación aprovisionada contiene una máquina de componente web y otra de componente de aplicación y la máquina de componente web aloja un servicio web, el servicio deberá permitir el tráfico entrante en los puertos 80 y 443. En este caso, los usuarios deben crear una política de seguridad web en NSX con reglas de cortafuegos establecidas para permitir el tráfico entrante en esos puertos. En vRealize Automation, los usuarios deben aplicar la política de seguridad web en el componente web de la implementación de máquina aprovisionada.

Si la máquina de componente web requiere acceso a la máquina de componente de aplicación mediante equilibradores de carga en los puertos 8080 y 8443, la política de seguridad web también deberá incluir reglas de cortafuegos que permitan el tráfico saliente a esos puertos, aparte de las reglas de cortafuegos existentes que permiten el tráfico entrante en los puertos 80 y 443.

Para obtener información sobre las funciones de seguridad que se pueden usar en un componente de máquina de un blueprint, consulte Usar componentes de seguridad en el lienzo del blueprint.