Un criterio di isolamento app di NSX agisce come un firewall per bloccare tutto il traffico in ingresso e uscita da e verso le macchine fornite in provisioning nella distribuzione. Quando si specifica un criterio di protezione di isolamento app di NSX definito, le macchine di cui viene eseguito il provisioning dal blueprint possono comunicare tra loro ma non possono connettersi all'esterno del firewall.

È possibile applicare l'isolamento app al livello di blueprint utilizzando la finestra di dialogo Nuovo blueprint o Proprietà blueprint.

Quando si utilizza un criterio di isolamento app di NSX, è consentito solo il traffico interno tra macchine fornite in provisioning dal blueprint. Quando si richiede il provisioning, viene creato un gruppo di sicurezza per le macchine da sottoporre a provisioning. Viene creato un criterio di protezione di isolamento app in NSX e poi applicato al gruppo di sicurezza. Le regole del firewall sono definite nel criterio di sicurezza per consentire solo il traffico interno tra i componenti nella distribuzione. Per informazioni correlate, vedere Creazione di un endpoint vSphere con integrazione di rete e sicurezza.

Nota:

quando si esegue il provisioning con un blueprint che utilizza sia un bilanciamento del carico NSX Edge che un criterio di protezione di isolamento app di NSX, il bilanciamento del carico fornito dinamicamente in provisioning non viene aggiunto al gruppo di sicurezza. Questo aspetto impedisce al bilanciamento del carico di comunicare con le macchine per le quali è deputato a gestire le connessioni. Dato che gli edge sono esclusi dal firewall distribuito NSX, non possono essere aggiunti ai gruppi di sicurezza. Per garantire un corretto funzionamento del bilanciamento del carico, utilizzare un altro gruppo di sicurezza o criterio di protezione che permetta il bilanciamento del carico del traffico richiesto nelle macchine virtuali dei componenti.

Il criterio di isolamento app ha una precedenza inferiore rispetto ad altri criteri di protezione in NSX. Ad esempio, se la distribuzione fornita in provisioning contiene una macchina componente Web e una macchina componente App, e la macchina componente Web ospita un servizio Web, il servizio deve consentire il traffico in ingresso sulle porte 80 e 443. In questo caso, gli utenti devono creare un criterio di protezione Web in NSX con regole firewall definite per consentire il traffico in ingresso su queste porte. In vRealize Automation, gli utenti devono applicare il criterio di protezione Web sul componente Web della distribuzione di macchine fornite in provisioning.

Se la macchina componente Web deve accedere alla macchina componente App utilizzando un bilanciamento del carico sulle porte 8080 e 8443, oltre alle regole firewall esistenti che consentono il traffico in ingresso alle porte 80 e 443 il criterio di protezione Web dovrebbe includere anche regole firewall per consentire il traffico in ingresso a queste porte.

Per informazioni sulle funzionalità di sicurezza che possono essere applicate a un componente macchina in un blueprint, vedere Utilizzo dei componenti sicurezza nella tela del blueprint.