Une stratégie d'isolation d'app NSX agit en tant que pare-feu pour bloquer tout le trafic entrant et sortant depuis et vers les machines provisionnées dans le déploiement. Lorsque vous spécifiez une stratégie d'isolation d'app NSX définie, les machines provisionnées par le Blueprint peuvent communiquer entre elles mais ne peuvent pas se connecter en dehors du pare-feu.

Vous pouvez appliquer une isolation d'application au niveau du Blueprint à l'aide de la boîte de dialogue Nouveau Blueprint ou Propriétés du Blueprint.

Lorsque vous utilisez une stratégie d'isolation d'app NSX, seul le trafic interne entre les machines provisionnées par le Blueprint est autorisé. Lorsque vous demandez le provisionnement, un groupe de sécurité est créé pour les machines qui doivent être provisionnées. Une stratégie de sécurité d'isolation d'app est créée dans NSX et appliquée au groupe de sécurité. Des règles de pare-feu sont définies dans la stratégie de sécurité pour autoriser uniquement le trafic interne entre les composants qui figurent dans le déploiement. Pour des informations complémentaires, consultez Créer un point de terminaison vSphere avec l'intégration de réseau et de sécurité.

Remarque :

Lorsque le provisionnement est effectué avec un Blueprint qui utilise un équilibrage de charge Edge NSX et une stratégie de sécurité d'isolation d'app NSX, l'équilibrage de charge provisionné dynamiquement n'est pas ajouté au groupe de sécurité. Ceci empêche l'équilibrage de charge de communiquer avec les machines pour lesquelles il doit gérer des connexions. Du fait que les dispositifs Edge sont exclus du pare-feu distribué NSX, ils ne peuvent pas être ajoutés aux groupes de sécurité. Pour que l'équilibrage de charge fonctionne correctement, utilisez un autre groupe de sécurité ou une autre stratégie de sécurité qui autorise le trafic requis dans le composant de machines virtuelles pour l'équilibrage de charge.

La stratégie d'isolation d'app a un ordre de priorité moins élevé que les autres stratégies de sécurité dans NSX. Par exemple, si le déploiement des machines provisionnées contient une machine de composant Web et une machine de composant App et que la machine du composant Web héberge un service Web, le service doit alors autoriser le trafic entrant sur les ports 80 et 443. Dans ce cas, les utilisateurs doivent créer une stratégie de sécurité Web dans NSX avec les règles de pare-feu définies pour autoriser le trafic entrant sur ces ports. Dans vRealize Automation, les utilisateurs doivent appliquer la stratégie de sécurité Web sur le composant Web du déploiement des machines provisionnées.

Si la machine du composant Web doit accéder à la machine du composant App en utilisant un équilibrage de charge sur les ports 8080 et 8443, la stratégie de sécurité Web doit inclure également des règles de pare-feu pour autoriser le trafic sortant sur ces ports en plus des règles de pare-feu existantes qui autorisent le trafic entrant sur les ports 80 et 443.

Pour obtenir des informations complémentaires sur les fonctionnalités de sécurité qui peuvent être appliquées à un composant de machine dans un Blueprint, reportez-vous à Utilisation de composants de sécurité dans le canevas de conception