Un criterio di isolamento app di NSX agisce come un firewall per bloccare tutto il traffico in ingresso e uscita da e verso le macchine fornite in provisioning nella distribuzione. Quando si specifica un criterio di protezione di isolamento app di NSX definito, le macchine di cui viene eseguito il provisioning dal blueprint possono comunicare tra loro ma non possono connettersi all'esterno del firewall.

È possibile applicare l'isolamento app al livello di blueprint utilizzando la pagina Nuovo blueprint o Proprietà blueprint.

Quando si utilizza un criterio di isolamento app di NSX, è consentito solo il traffico interno tra macchine fornite in provisioning dal blueprint. Quando si richiede il provisioning, viene creato un gruppo di sicurezza per le macchine da sottoporre a provisioning. Viene creato un criterio di protezione di isolamento app in NSX e poi applicato al gruppo di sicurezza. Le regole del firewall sono definite nel criterio di sicurezza per consentire solo il traffico interno tra i componenti nella distribuzione. Per informazioni correlate, vedere Creazione di un endpoint NSX e associazione a un endpoint vSphere.

Nota:

quando si esegue il provisioning con un blueprint che utilizza sia un bilanciamento del carico NSX edge che un criterio di protezione di isolamento app di NSX, il bilanciamento del carico fornito dinamicamente in provisioning non viene aggiunto al gruppo di sicurezza. Questo aspetto impedisce al bilanciamento del carico di comunicare con le macchine per le quali è deputato a gestire le connessioni. Dato che gli edge sono esclusi dal firewall distribuito NSX, non possono essere aggiunti ai gruppi di sicurezza. Per garantire un corretto funzionamento del bilanciamento del carico, utilizzare un altro gruppo di sicurezza o criterio di protezione che permetta il bilanciamento del carico del traffico richiesto nelle macchine virtuali dei componenti.

Il criterio di isolamento app ha una precedenza inferiore rispetto ad altri criteri di protezione in NSX. Ad esempio, se la distribuzione fornita in provisioning contiene una macchina componente Web e una macchina componente App, e la macchina componente Web ospita un servizio Web, il servizio deve consentire il traffico in ingresso sulle porte 80 e 443. In questo caso, gli utenti devono creare un criterio di protezione Web in NSX con regole firewall definite per consentire il traffico in ingresso su queste porte. In vRealize Automation, gli utenti devono applicare il criterio di protezione Web sul componente Web della distribuzione di macchine fornite in provisioning.

Nota:
Se un blueprint contiene uno o più bilanciamenti del carico e per il blueprint è abilitato Isolamento app, i VIP del bilanciamento del carico vengono aggiunti come set di IP al gruppo di sicurezza di Isolamento app. Se un blueprint contiene un gruppo di sicurezza su richiesta associato a un livello di macchina che è anche associato a un bilanciamento del carico, il gruppo di sicurezza su richiesta include il livello di macchina e il set di IP con il VIP del bilanciamento del carico.

Se la macchina componente Web deve accedere alla macchina componente App utilizzando un bilanciamento del carico sulle porte 8080 e 8443, oltre alle regole firewall esistenti che consentono il traffico in ingresso alle porte 80 e 443 il criterio di protezione Web dovrebbe includere anche regole firewall per consentire il traffico in ingresso a queste porte.

Per informazioni sulle funzionalità di sicurezza che possono essere applicate a un componente macchina in un blueprint, vedere Utilizzo di componenti di sicurezza nella tela di progettazione.