Les listes d'exclusion de pare-feu sont constituées de groupes qui peuvent être exclus d'une règle de pare-feu basée sur l'appartenance à un groupe.
NSX prend en charge les groupes exclus du système et des groupes exclus par l'utilisateur :
- Les groupes exclus du système sont gérés par le système et sont en lecture seule pour les utilisateurs. Les groupes exclus du système incluent les SVM de protection contre les programmes malveillants et d'insertion de services, ainsi que les dispositifs NSX Manager et NSX Edge qui sont déployés via un gestionnaire de calcul configuré.
- Les groupes exclus par l'utilisateur sont gérés par l'utilisateur et vides par défaut.
Les machines virtuelles telles que les équilibreurs de charge, les pare-feu, les fonctions de réseau virtuel (routage, commutation, etc.) et toutes les machines virtuelles qui nécessitent le mode promiscuité doivent se trouver dans une liste d'exclusion DFW. VMware ne prend pas en charge l'ajout de ces machines virtuelles à DFW ; vous devez les ajouter manuellement aux groupes exclus par l'utilisateur.
Dans le cluster NSX Manager, vous devez ajouter manuellement le premier nœud à la liste d'exclusion de pare-feu distribué.
Les groupes définis par l'utilisateur peuvent être exclus des règles de pare-feu et la liste peut contenir un maximum de 100 groupes. Les ensembles d'adresses IP, les ensembles d'adresses MAC et les groupes Active Directory ne peuvent pas être inclus en tant que membres d'un groupe utilisé dans une liste d'exclusion de pare-feu.
Les listes d'exclusion sont prises en charge sur un Gestionnaire global (GM) dans Fédération NSX. Sur un Gestionnaire local (LM), il existe deux listes d'exclusion : une du gestionnaire global et la propre liste d'exclusion du gestionnaire local. Tous les membres des deux listes sont exclus.
Les groupes Antrea ne sont pas pris en charge dans une liste d'exclusion de pare-feu.