Règles de pare-feu par défaut du projet NSX : considérations relatives aux licences

Cette rubrique décrit l'état par défaut de l'option Activer les règles de pare-feu distribué par défaut dans le projet dans divers scénarios.

Dans le tableau suivant, le terme « licence de base » fait référence à l'une des deux licences suivantes :

Mise en réseau NSX pour VMware Cloud Foundation
Licence de solution pour VCF

Pour plus d'informations sur l'activation ou la désactivation des règles de pare-feu distribué par défaut pour un projet, reportez-vous à la section Ajouter un projet NSX.

N° de scénario	Scénario	État par défaut de l'option	Remarques
1	Vous êtes un nouveau client NSX et avez appliqué une licence de base qui autorise le système uniquement aux fonctionnalités de mise en réseau NSX.	Désactivé	Cette option n'est pas modifiable, car la licence appliquée actuelle ne prend pas en charge la configuration des règles de sécurité de pare-feu distribué. Vous devez appliquer la licence de sécurité appropriée dans le système, puis activer cette option pour activer les règles de pare-feu distribué par défaut dans le projet.
2	Vous êtes un nouveau client NSX. Le jour 0, vous avez appliqué une licence de base qui autorise le système à accéder aux fonctionnalités de mise en réseau NSX. Vous avez également appliqué une licence de sécurité appropriée qui autorise le système à accéder à la sécurité du pare-feu distribué.	Activé	Les règles de pare-feu distribué par défaut sont activées pour le projet. Vous pouvez désactiver cette option dans le projet si nécessaire.
3	Vous êtes un nouveau client NSX. Le jour 0, vous avez appliqué uniquement la licence de base qui autorise le système à n’accéder qu’aux fonctionnalités de mise en réseau NSX. Vous avez ajouté des projets dans le système, disons, les projets A et B Plus tard, lors des opérations du jour 2, vous avez appliqué une licence de sécurité appropriée qui autorise le système à accéder à la sécurité du pare-feu distribué. Maintenant, vous avez ajouté des règles de pare-feu distribué définies par l'utilisateur dans les projets existants A et B, et vous avez également créé de nouveaux projets dans le système, disons, les projets C et D.	Désactivé : pour les projets préexistants dans le système Activé : pour les nouveaux projets dans le système	Dans ce scénario, le terme « projets préexistants » fait référence aux projets qui existaient dans le système avant l'application de la licence de sécurité le jour 2. Dans ce scénario, ils font référence aux projets A et B. Le terme « nouveaux projets » fait référence aux projets ajoutés dans le système après l'application de la licence de sécurité au jour 2. Dans ce scénario, ils font référence aux projets C et D. Pour les projets préexistants A et B, le comportement du système est le suivant : Cette option sera dans l'état Désactivé, par défaut. Les règles DFW définies par l'utilisateur sont efficaces dans les projets A et B. Si vous souhaitez activer les règles de pare-feu distribué par défaut dans ces projets, ouvrez-les en mode d'édition et activez cette option manuellement. Toutefois, lorsqu'elle est activée, elle peut avoir une incidence sur le comportement du trafic est-ouest dans les projets A et B. Pour les nouveaux projets C et D, le comportement du système est le suivant : Cette option sera à l'état Activé par défaut. Autrement dit, pour les projets C et D, les règles de pare-feu distribué par défaut sont activées, par défaut. Si nécessaire, vous pouvez les désactiver afin que seules les règles de pare-feu distribué définies par l'utilisateur soient effectives dans ces projets.
4	Vous êtes un client NSX existant disposant d'une licence NSX héritée qui autorise votre système à accéder à DFW complet. Après l'expiration de la licence héritée, vous avez appliqué une licence de base qui autorise votre système à accéder aux fonctionnalités de mise en réseau NSX, et vous avez également appliqué une licence de sécurité qui autorise votre système à accéder à la sécurité du pare-feu distribué.	Activé	Les règles de pare-feu distribué par défaut et les règles de pare-feu distribué définies par l'utilisateur continuent de s'exécuter dans les projets existants que vous avez créés avant de passer à la nouvelle licence. Il n'y a aucune modification dans le comportement du système. Pour tous les nouveaux projets que vous ajoutez après la modification de la licence, cette option est activée par défaut. Vous pouvez éventuellement la désactiver, si nécessaire.
5	Vous êtes un client NSX existant disposant d'une licence NSX héritée qui autorise votre système à accéder à DFW complet. Vous avez ajouté deux projets dans le système, disons, les projets A et B. Après l'expiration de la licence héritée actuelle, vous avez appliqué la licence de base qui autorise votre système à accéder uniquement aux fonctionnalités de mise en réseau NSX. La licence de sécurité n'est pas appliquée. Maintenant, vous avez créé deux nouveaux projets dans le système, disons, les projets C et D.	Activé : pour les projets préexistants Désactivé : pour les nouveaux projets	Dans ce scénario, le terme « projets préexistants » fait référence aux projets qui ont été ajoutés au système lorsque la licence NSX héritée était valide. Dans ce scénario, ils font référence aux projets A et B. Le terme « nouveaux projets » fait référence aux projets ajoutés dans le système après l'application de la licence de base. Dans ce scénario, ils font référence aux projets C et D. Pour les projets préexistants A et B, le comportement du système est le suivant : Cette option est à l'état Activé, par défaut. Vous pouvez la désactiver, si nécessaire. Cependant, cette action n'est pas réversible. Autrement dit, vous ne pouvez pas réactiver les règles de pare-feu E-O par défaut dans les projets A et B. Les règles de pare-feu distribué par défaut et les règles de pare-feu distribué définies par l'utilisateur continuent de s'exécuter dans les projets A et B. Mais vous ne pouvez pas les modifier. Vous ne pouvez pas non plus ajouter de nouvelles règles de pare-feu distribué. Cependant, vous pouvez supprimer les règles de pare-feu définies par l'utilisateur existantes. Pour disposer d'un accès complet aux règles de pare-feu distribué, vous devez appliquer une licence de sécurité appropriée. Pour les nouveaux projets C et D, le comportement du système est le suivant : Cette option est dans l'état Désactivé, par défaut. Vous ne pouvez pas l'activer, car la licence appliquée actuelle n'autorise pas le système à accéder à la fonctionnalité de pare-feu distribué.
6	Vous êtes un nouveau client NSX et votre système est passé en mode Évaluation, qui est valide pendant 60 jours.	Désactivé	Pendant la période d'évaluation d'un nouveau déploiement NSX, le système n'est autorisé à utiliser que les fonctionnalités de mise en réseau. Les fonctionnalités de sécurité ne sont pas autorisées.

Pour plus d'informations sur la configuration de l'option Activer les règles de pare-feu distribué par défaut, reportez-vous à la section Ajouter un projet NSX.