Vous pouvez configurer une microsegmentation pour les machines virtuelles de charge de travail gérées.
Note : Les règles DFW dépendent des balises attribuées aux machines virtuelles. Comme ces balises peuvent être modifiées par toute personne disposant des autorisations de cloud public appropriées,
NSX suppose que ces utilisateurs sont approuvés. L'administrateur réseau du cloud public doit vérifier que les VM sont correctement balisées à tout moment.
Pour appliquer des règles de pare-feu distribué aux machines virtuelles de charge de travail gérées par NSX, procédez comme suit :
- Créez des groupes à l'aide de noms ou de balises de machines virtuelles ou d'autres critères d'appartenance (par exemple, pour les niveaux web, app et DB). Pour trouver des instructions, voir Ajouter un groupe.
Vous pouvez utiliser l'une des balises suivantes pour les critères d'appartenance. Reportez-vous à Regrouper les machines virtuelles à l'aide de NSX et de balises de cloud public pour plus de détails.
- balises définies par le système
- balises de votre VPC ou VNet découvertes par NSX Cloud
- ou vos propres balises personnalisées
- Créez une stratégie et une règle de pare-feu distribué est-ouest et appliquez-les au groupe que vous avez créé. Reportez-vous à la section Ajouter un pare-feu distribué. Vous pouvez également utiliser des profils de contexte pour créer des règles propres aux ID d'application et aux nom de domaine complet/URL. Une liste prédéfinie de nom de domaine complet/URL de cloud public est disponible lorsque vous créez un profil de contexte de nom de domaine complet/URL. Pour plus d'informations, reportez-vous à la section Profil de contexte de couche 7.
Cette microsegmentation prend effet lorsque l'inventaire est manuellement resynchronisé à partir de CSM ou dans un délai d'environ trois minutes lorsque les modifications sont intégrées dans CSM à partir de votre cloud public.