Vous pouvez exclure un ensemble de machines virtuelles de la protection par pare-feu distribué.

Les machines virtuelles NSX Manager, NSX Controller et NSX Edge sont automatiquement exclues de la protection par pare-feu distribué. En outre, placez les machines virtuelles de service suivantes dans la liste d'exclusion pour permettre au trafic de circuler sans entrave.
  • vCenter Server. Il peut être déplacé vers un cluster protégé par pare-feu, mais il doit déjà exister dans la liste d'exclusion pour éviter tout problème de connectivité.
    Note : Il est important d'ajouter vCenter Server à la liste d'exclusion avant de passer la règle par défaut « any any » de Autoriser à Bloquer. Le non-respect de cette instruction entraîne le blocage de l'accès à vCenter Server après la création d'une règle Refuser tout (ou après la modification de la règle par défaut sur l'action bloquer). Dans ce cas, utilisez l'API pour remplacer la règle par défaut refuser par autoriser. Par exemple, utilisez GET /api/4.0/firewall/globalroot-0/config pour récupérer la configuration actuelle et utilisez PUT /api/4.0/firewall/globalroot-0/config pour modifier la configuration. Reportez-vous à la section « Utilisation de la configuration du pare-feu distribué » dans le Guide de Guide de NSX API pour plus d'informations.
  • Machines virtuelles de service partenaires.
  • Machines virtuelles nécessitant un mode Promiscuité. Si ces machines virtuelles sont protégées par le pare-feu distribué, leurs performances risquent d'en souffrir.
  • Le serveur SQL utilisé par votre vCenter basé sur Windows.
  • Serveur Web vCenter si vous l'exécutez séparément.

Procédure

  1. Accédez aux paramètres de la liste d'exclusion.
    • Dans NSX 6.4.1 et versions ultérieures, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Paramètres du pare-feu (Firewall Settings) > Liste d'exclusion (Exclusion List).
    • Dans NSX 6.4.0, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Pare-feu (Firewall) > Liste d'exclusion (Exclusion List).
  2. Cliquez sur Ajouter (Add).
  3. Déplacez les machines virtuelles que vous souhaitez exclure vers les Objets sélectionnés.
  4. Cliquez sur OK.

Résultats

Si une machine virtuelle dispose de plusieurs cartes réseau virtuelles (vNIC), toutes ces cartes virtuelles sont exclues de la protection. Si vous ajoutez des cartes réseau virtuelles (vNIC) à une machine virtuelle après son ajout à la liste d'exclusion, le pare-feu est automatiquement déployé sur les vNIC qui viennent d'être ajoutés. Pour exclure les nouvelles cartes réseau virtuelles (vNIC) de la protection assurée par le pare-feu, vous devez supprimer la machine virtuelle de la liste d'exclusion avant de l'ajouter à nouveau à cette liste. Une autre méthode consiste à appliquer un cycle d'alimentation (mettre hors tension, puis à nouveau sous tension) à la machine virtuelle, mais la première option entraîne moins de perturbations.