Aggiungere regole per reindirizzare un traffico est-ovest per la network introspection.
Le regole sono definite in un criterio. Il concetto di criterio è simile al concetto di sezioni nei firewall. Quando si aggiunge un criterio, selezionare la catena di servizi per reindirizzare il traffico per l'introspezione in base ai profili di servizio della catena di servizi.
Una definizione di regola è costituita dall'origine e dalla destinazione del traffico, dal servizio di introspezione, dall'oggetto NSX a cui applicare la regola e dal criterio di reindirizzamento del traffico. Dopo aver pubblicato la regola, NSX Manager attiva la regola quando viene trovato un modello di traffico corrispondente. La regola inizia l'introspezione del traffico. Ad esempio, quando NSX Manager classifica un flusso di traffico che deve essere ispezionato, inoltra il traffico al firewall distribuito regolare e quindi alla catena di servizi specificata nel criterio. I profili di servizio definiti nella catena di servizi eseguono l'introspezione del traffico per i servizi di rete offerti dal partner. Se un profilo di servizio completa l'introspezione senza rilevare problemi di sicurezza nel traffico, il traffico viene inoltrato al profilo di servizio successivo nella catena di servizi. Al termine della catena di servizi, il traffico viene inoltrato alla destinazione.
Tutte le notifiche vengono inviate al Service Manager del partner e a NSX.
Nota: Per impostazione predefinita, esiste una regola anche quando il servizio est-ovest non è configurato. Questa regola predefinita non è applicata ed è inattiva. È necessario creare e applicare la prima regola dopo la distribuzione del servizio est-ovest in
NSX.
Prerequisiti
È disponibile una catena di servizi per reindirizzare il traffico per una network introspection.
Procedura
- Con i privilegi admin, accedere a NSX Manager.
- Verificare che NSX Manager sia in modalità Criterio.
- Selezionare .
Una sezione del criterio è simile a una sezione del firewall in cui si definiscono le regole che determinano la modalità di flusso del traffico.
- Selezionare una catena di servizi.
- Per aggiungere un criterio, fare clic su Pubblica.
- Fare clic sui tre punti verticali in una sezione, quindi fare clic su Aggiungi regola.
- Nella colonna Origini, fare clic sull'icona di modifica e selezionare l'origine della regola. Per ulteriori informazioni, consultare Aggiunta di un gruppo.
Sono supportati indirizzi IPv4, IPv6 e multicast.
- Fare clic su Salva.
- Nella colonna Destinazioni, fare clic sull'icona di modifica e selezionare la destinazione della regola. Se non è definita, la destinazione corrisponde a qualsiasi (ANY). Per ulteriori informazioni, consultare Aggiunta di un gruppo.
Sono supportati indirizzi IPv4, IPv6 e multicast.
- Per impostazione predefinita, la colonna Si applica a è impostata su DFW e la regola viene applicata a tutti i carichi di lavoro. È inoltre possibile applicare la regola o il criterio a gruppi selezionati.L'opzione Si applica a definisce l'ambito dell'imposizione per regola e viene utilizzata principalmente per l'ottimizzazione delle risorse negli host ESXi. Consente di definire un criterio di destinazione per zone e tenant specifici, senza interferire con gli altri criteri definiti per altri tenant e zone.
I gruppi costituiti solo da indirizzi IP, indirizzi MAC o gruppi di Active Directory non possono essere utilizzati nella casella di testo Si applica a.
- Nella casella di testo Azione, selezionare Reindirizza per reindirizzare il traffico lungo la catena di servizi o Non reindirizzare per non applicare la network introspection sul traffico.
- Fare clic su Pubblica.
- Per aggiungere un criterio, fare clic su + Aggiungi criterio.
- Per clonare un criterio o una regola, selezionare il criterio o la regola e fare clic su Clona.
- Per abilitare una regola, abilitare l'icona Abilita/Disabilita o selezionare la regola e dal menu fare clic su Abilita > Abilita regola.
- Dopo aver abilitato o disabilitato una regola, fare clic su Pubblica per applicare la regola.
risultati
Il traffico verso l'origine viene reindirizzato alla catena di servizi per la network introspection. Dopo l'introspezione del traffico da parte dei profili di servizio nella catena, il traffico viene inviato alla destinazione.
Durante la distribuzione, è possibile che l'appartenenza al gruppo di macchine virtuali per un determinato criterio venga modificata. NSX informa il Service Manager partner di questi aggiornamenti.