È possibile abilitare l'isolamento app per consentire soltanto il traffico interno tra i componenti di cui viene eseguito il provisioning dal blueprint.

Un criterio di isolamento app di NSX agisce come un firewall per bloccare tutto il traffico in ingresso e uscita da e verso le macchine fornite in provisioning nella distribuzione. Quando si specifica un criterio di protezione di isolamento app di NSX definito, le macchine di cui viene eseguito il provisioning dal blueprint possono comunicare tra loro ma non possono connettersi all'esterno del firewall.

Se viene specificata un regola di isolamento app e vengono specificate anche regole di sicurezza utilizzando gruppi di sicurezza inclusi nel blueprint, l'impostazione relativa all'isolamento app è la regola che viene elaborata per ultima durante la distribuzione del blueprint.

È possibile applicare l'isolamento app al livello di blueprint utilizzando la pagina Nuovo blueprint o Proprietà blueprint.

Considerazioni su NSX for vSphere

I componenti di cui è stato eseguito il provisioning vengono inseriti in un gruppo di sicurezza, che viene isolato tramite le regole del firewall. Per l'abilitazione è necessario configurare l'endpoint vSphere in modo che supporti l'isolamento app di NSX.

Quando si utilizza un criterio di isolamento app di NSX for vSphere, è consentito solo il traffico interno tra macchine fornite in provisioning dal blueprint. Quando si richiede il provisioning, viene creato un gruppo di sicurezza per le macchine da sottoporre a provisioning. In NSX for vSphere viene creato un criterio di isolamento app che viene applicato al gruppo di sicurezza. Le regole del firewall sono definite nel criterio di sicurezza per consentire solo il traffico interno tra i componenti nella distribuzione.

quando si esegue il provisioning con un blueprint che utilizza sia un bilanciamento del carico NSX for vSphere edge che un criterio di protezione di isolamento app di NSX for vSphere, il bilanciamento del carico fornito dinamicamente in provisioning non viene aggiunto al gruppo di sicurezza. Questo aspetto impedisce al bilanciamento del carico di comunicare con le macchine per le quali è deputato a gestire le connessioni. Dato che gli edge sono esclusi dal firewall distribuito NSX for vSphere, non possono essere aggiunti ai gruppi di sicurezza. Per garantire un corretto funzionamento del bilanciamento del carico, utilizzare un altro gruppo di sicurezza o criterio di protezione che permetta il bilanciamento del carico del traffico richiesto nelle macchine virtuali dei componenti.

Il criterio di isolamento app ha una precedenza inferiore rispetto ad altri criteri di protezione in NSX for vSphere. Ad esempio, se la distribuzione fornita in provisioning contiene una macchina componente Web e una macchina componente App, e la macchina componente Web ospita un servizio Web, il servizio deve consentire il traffico in ingresso sulle porte 80 e 443. In questo caso, gli utenti devono creare un criterio di protezione Web in NSX for vSphere con regole firewall definite per consentire il traffico in ingresso su queste porte. In vRealize Automation, gli utenti devono applicare il criterio di protezione Web sul componente Web della distribuzione di macchine fornite in provisioning.

Nota:

Se un blueprint contiene un bilanciamento del carico ed è abilitato l'isolamento app, i VIP del bilanciamento del carico vengono aggiunti come set di IP al gruppo di sicurezza dell'isolamento app. Se un blueprint contiene un gruppo di sicurezza su richiesta associato a un livello macchina associato a un bilanciamento del carico, il gruppo di sicurezza su richiesta include il livello macchina, il set di IP e i VIP.

Se la macchina componente Web deve accedere alla macchina componente App utilizzando un bilanciamento del carico sulle porte 8080 e 8443, oltre alle regole firewall esistenti che consentono il traffico in ingresso alle porte 80 e 443 il criterio di protezione Web dovrebbe includere anche regole firewall per consentire il traffico in ingresso a queste porte.

Considerazioni su NSX-T

I componenti di cui è stato eseguito il provisioning vengono inseriti in un gruppo NS, che viene isolato tramite le regole del firewall. Per l'abilitazione è necessario configurare l'endpoint vSphere in modo che supporti l'isolamento app di NSX.

NSX-T supporta la creazione di una topologia di router logici di livello 2: il router logico di livello 0 è il router di livello superiore e il router logico di livello 1 è il router di livello inferiore. Questa struttura fornisce all'amministratore del provider e agli amministratori tenant il controllo completo dei propri servizi e criteri. In NSX-T gli amministratori controllano e configurano il routing e i servizi di livello 0, mentre gli amministratori tenant controllano e configurano il routing e i servizi di livello 1.