分散ファイアウォール保護から一連の仮想マシンを除外することができます。

NSX ManagerNSX ControllerNSX Edge 仮想マシンは、分散ファイアウォール保護から自動的に除外されます。また、除外リストに以下のサービス仮想マシンを含めて、トラフィックの自由なフローを可能にします。
  • vCenter Server。vCenter Server は Firewall によって保護されているクラスタに移動できますが、これを前もって除外リストに追加しておき、接続の問題を防止する必要があります。
    注: 「任意」のデフォルト ルールを許可からブロックに変更する前に、除外リストに vCenter Server を追加することが重要です。この操作を行わないと、「すべて拒否」ルールを作成した後(または、デフォルト ルールをブロック アクションに変更した後)で vCenter Server へのアクセスがブロックされます。この場合、デフォルトのルールを拒否から許可に変更します。たとえば、現在の設定を取得するには GET /api/4.0/firewall/globalroot-0/config を使用します。設定を変更するには PUT /api/4.0/firewall/globalroot-0/config を使用します。詳細については、『 NSX API ガイド』の「分散ファイアウォール設定の操作」を参照してください。
  • パートナーのサービス仮想マシン。
  • 無差別モードを必要とする仮想マシン。この仮想マシンを分散ファイアウォールで保護した場合、仮想マシンのパフォーマンスに悪影響が及ぶ可能性があります。
  • Windows ベースの vCenter Server で使用する SQL Server。
  • vCenter Server Web サーバ(個別に実行している場合)。

手順

  1. 除外リストの設定に移動します。
    • NSX 6.4.1 以降では、[ネットワークとセキュリティ (Networking & Security)] > [セキュリティ (Security)] > [ファイアウォール設定 (Firewall Settings)] > [除外リスト (Exclusion List)] の順に移動します。
    • NSX 6.4.0 では、[ネットワークとセキュリティ (Networking & Security)] > [セキュリティ (Security)] > [ファイアウォール (Firewall)] > [除外リスト (Exclusion List)] の順に移動します。
  2. [追加 (Add)] をクリックします。
  3. 除外する仮想マシンを [選択したオブジェクト] に移動します。
  4. [OK] をクリックします。

結果

1 台の仮想マシンに複数の vNIC がある場合は、そのすべてが保護から除外されます。仮想マシンを除外リストに追加した後に vNIC を仮想マシンに追加した場合、新しく追加した vNIC に Firewall が自動的にデプロイされます。新しい vNIC をファイアウォール保護から除外するには、仮想マシンを除外リストから削除した後、除外リストに再度追加する必要があります。代替の回避策は仮想マシンの電源を入れ直す(パワーオフした後にパワーオンする)ことですが、問題が少ないのは最初のオプションです。