Vous pouvez exclure un ensemble de machines virtuelles de la protection de NSX Distributed Firewall.

NSX Manager, les instances NSX Controller et les machines virtuelles NSX Edge sont automatiquement exclus de la protection assurée par NSX Distributed Firewall. En outre, VMware vous recommande de placer les machines virtuelles de service suivantes dans la liste d'exclusion pour permettre au trafic de circuler sans entrave.

  • vCenter Server. Il peut être déplacé vers un cluster protégé par pare-feu, mais il doit déjà exister dans la liste d'exclusion pour éviter tout problème de connectivité.

  • Machines virtuelles de service partenaires.

  • Machines virtuelles nécessitant un mode Promiscuité. Si ces machines virtuelles sont protégées par NSX Distributed Firewall, leurs performances risquent d'en souffrir.

  • Le serveur SQL utilisé par votre vCenter basé sur Windows.

  • Serveur Web vCenter si vous l'exécutez séparément.

Procédure

  1. Dans vSphere Web Client, cliquez sur Networking & Security.
  2. Dans Inventaire de mise en réseau et de sécurité (Networking & Security Inventory), cliquez sur NSX Manager (NSX Managers).
  3. Dans la colonne Nom (Name), cliquez sur un dispositif NSX Manager.
  4. Cliquez sur l'onglet Gérer (Manage), puis sur l'onglet Liste d'exclusion (Exclusion List).
  5. Cliquez sur l'icône Ajouter (Add) (icône ajouter).
  6. Saisissez le nom de la machine virtuelle à exclure et cliquez sur Ajouter (Add).

    Par exemple :

  7. Cliquez sur OK.

Résultats

Si une machine virtuelle dispose de plusieurs cartes réseau virtuelles (vNIC), toutes ces cartes virtuelles sont exclues de la protection. Si vous ajoutez des cartes réseau virtuelles (vNIC) à une machine virtuelle après son ajout à la liste d'exclusion, le pare-feu est automatiquement déployé sur les vNIC qui viennent d'être ajoutés. Pour exclure ces cartes réseau virtuelles (vNIC) de la protection assurée par le pare-feu, vous devez supprimer la machine virtuelle de la liste d'exclusion avant de l'ajouter à nouveau à cette liste. Une autre méthode consiste à appliquer un cycle d'alimentation (mettre hors tension, puis à nouveau sous tension) à la machine virtuelle, mais la première option entraîne moins de perturbations.