Une règle de pare-feu Edge n'est plus valide lorsque les objets de regroupement, services ou groupes de services utilisés dans la règle sont supprimés. Les règles de pare-feu non valides ne peuvent pas être publiées.

Supposons que vous ayez créé une règle de pare-feu Edge qui utilise un objet d'ensemble d'adresses IP dans la destination de la règle, comme illustré dans la figure suivante.


La figure illustre une règle de pare-feu Edge qui utilise un objet d'ensemble d'adresses IP dans la colonne destination de la règle.

Dans la procédure suivante, vous allez supprimer l'objet « FW-IPset » sur le dispositif Edge, puis revenir à la table de pare-feu pour noter que NSX Edge détecte la règle non valide. Vous allez marquer la règle comme valide et republier la règle.

Procédure

  1. Forcez la suppression de l'objet d'ensemble d'adresses IP sur le dispositif Edge.
    1. Connectez-vous à vSphere Web Client.
    2. Cliquez sur Mise en réseau et sécurité > Dispositifs NSX Edge.
    3. Double-cliquez sur le dispositif Edge et accédez à Gérer > Regroupement des objets.
    4. Cliquez sur l'onglet Ensembles d'adresses IP, puis sélectionnez l'objet FW-IPSet.
    5. Cliquez sur l'icône Supprimer (Icône Supprimer dans l'interface utilisateur HTML5. ou Icône Supprimer dans l'interface utilisateur Flex.), puis cochez la case Procéder à la suppression forcée.
  2. Cliquez sur l'onglet Pare-feu pour revenir à la table de pare-feu Edge.
  3. Notez que NSX affiche le message d'erreur suivant au-dessus de la table de pare-feu.

    Le message d'erreur affiche la position de l'objet non valide dans la règle de pare-feu.
    NSX Edge détecte que la destination de la règle de pare-feu à la position 4 n'est pas valide et, par conséquent, la règle devient non valide. L'objet vide dans la colonne de destination de la règle est délimité par un cadre rouge, comme illustré dans la figure suivante.

    La figure illustre un objet vide dans la règle de pare-feu délimité par un cadre rouge.
  4. (Requis) Supprimez l'objet vide.
    Version de NSX Étapes
    6.4.6 et versions ultérieures Pointez le curseur sur l'objet sys-gen-empty-ipset-edge-fw vide, cliquez sur l'icône de trois points, puis sélectionnez Supprimer.
    6.4.5 et versions antérieures Pointez le curseur sur l'objet sys-gen-empty-ipset-edge-fw vide et cliquez sur l'icône Supprimer.
  5. (Facultatif) Modifiez la destination de la règle pour rendre la configuration de la règle valide.
    Version de NSX Étapes
    6.4.6 et versions ultérieures
    1. Pointez le curseur sur la colonne Destination de la règle, cliquez sur l'icône de trois points et sélectionnez Modifier la destination de la règle.
    2. Ajoutez des objets ou des adresses IP, si nécessaire.
    6.4.5 et versions antérieures
    1. Pointez le curseur sur la colonne Destination de la règle, puis cliquez sur Icône Modifier..
    2. Ajoutez des objets ou des adresses IP, si nécessaire.
  6. (6.4.6 et versions ultérieures uniquement) Cliquez sur le lien Marquer la règle comme valide dans le message d'erreur.
    NSX Edge présente le message d'avertissement suivant : 
    This action will mark rule as valid.
Please ensure that all elements in the rule are valid objects before performing this action.
Do you want to continue?
    • Pour vérifier que la règle peut être marquée comme valide, cliquez sur Oui. Le message d'erreur est supprimé.
    • Pour fermer le message d'avertissement et revenir à la table de pare-feu afin de vérifier et modifier la destination de la règle, cliquez sur Non.
    Note : Dans NSX 6.4.5 et versions antérieures, le message d'erreur au-dessus de la table de pare-feu n'affiche pas le lien Marquer la règle comme valide. Après avoir supprimé l'objet vide et éventuellement modifié la destination de la règle, NSX Edge supprime le message d'erreur lorsqu'il détecte que la configuration de la règle est devenue valide.
  7. Cliquez sur Publier les modifications pour que les modifications de la règle prennent effet.