Un pare-feu distribué permet de surveiller l'ensemble du trafic est-ouest sur vos machines virtuelles.
La procédure décrite dans cette rubrique explique le workflow d'ajout de stratégies de pare-feu appliquées au pare-feu distribué NSX ou à des groupes spécifiques avec des objets gérés par NSX.
Si des conteneurs
Antrea sont enregistrés dans votre environnement
NSX-T Data Center, vous pouvez créer des stratégies de pare-feu distribué et les appliquer aux clusters de conteneurs
Antrea. Pour plus d'informations, reportez-vous à la section suivante :
Note :
NSX-T Data Center ne prend pas en charge la combinaison de règles créées avec des objets gérés par NSX et des objets de cluster de conteneurs
Antrea dans la même stratégie de pare-feu distribué. En d'autres termes, les règles de pare-feu que vous appliquez au pare-feu distribué NSX et aux clusters de conteneurs
Antrea doivent se trouver dans des stratégies distinctes.
Conditions préalables
Avant NSX-T Data Center 3.2, les VM doivent avoir leur vNIC connectée à un segment de superposition NSX ou VLAN pour être protégées par DFW. Dans NSX-T Data Center 3.2, le pare-feu distribué protège les charges de travail qui sont connectées en mode natif à un groupe de ports distribués VDS (DVPG). Pour plus d'informations reportez-vous à la section Sécurité distribuée pour vSphere Distributed Switch.
Si vous créez des règles de pare-feu d'identité, vous devez tout d'abord créer un groupe avec les membres Active Directory. Pour afficher les protocoles pris en charge pour IDFW, reportez-vous à la section
Configurations prises en charge par le pare-feu d'identité. Lors de la création d'une règle DFW à l'aide de Guest Instrospection, assurez-vous que le champ
Appliqué à s'applique au groupe de destination.
Note : Pour l'application des règles de pare-feu d'identité, le service de temps Windows doit être
activé pour toutes les VM utilisant Active Directory. Cela garantit que la date et l'heure sont synchronisées entre Active Directory et les VM. Les modifications apportées à l'appartenance au groupe AD, y compris l'activation et la suppression d'utilisateurs, ne prennent pas immédiatement effet pour les utilisateurs connectés. Pour que les modifications prennent effet, les utilisateurs doivent fermer puis rouvrir leur session. L'administrateur AD doit forcer la fermeture de session lorsque l'appartenance au groupe est modifiée. Ce comportement est une limite d'Active Directory.
Notez que si vous utilisez une combinaison de couche 7 et d'ICMP, ou d'autres protocoles, vous devez placer les règles de pare-feu de couche 7 en dernier. Les règles situées après une règle any/any de couche 7 ne sont pas exécutées.
Pour plus d'informations spécifiques à la fédération sur la stratégie de pare-feu distribué et la création de règles, reportez-vous à Créer des stratégies et des règles DFW depuis Gestionnaire global.