ファイアウォール除外リストは、グループ メンバーシップに基づいてファイアウォール ルールから除外するグループから構成されます。

NSX は、システムによって除外されるグループと、ユーザーによって除外されるグループをサポートしています。

  • システムによって除外されるグループはシステムによって管理され、ユーザーに対しては読み取り専用になります。システムによって除外されるグループには、マルウェア防止およびサービス挿入 SVM と、構成済みのコンピュート マネージャを介して展開される NSX Manager および NSX Edge アプライアンスが含まれます。
  • ユーザーによって除外されるグループはユーザーによって管理されます。デフォルトでは空になっています。

    [ロード バランサ、ファイアウォール、仮想ネットワーク機能(ルーティング、スイッチングなど)、無作為検出モードを必要とする仮想マシンなどは、DFW 除外リストに含める必要があります]。これらの仮想マシンは DFW に追加することはできません。ユーザーによって除外されるグループに手動で追加する必要があります。

NSX Manager クラスタで、分散ファイアウォール除外リストに最初のノードを手動で追加する必要があります。

ユーザー定義グループはファイアウォール ルールから除外できます。また、最大で 100 個のグループがリストに表示されます。IP セット、MAC セット、Active Directory グループは、ファイアウォール除外リストにあるグループのメンバーとして追加できません。

除外リストは NSX フェデレーショングローバル マネージャ (GM) でサポートされています。ローカル マネージャ (LM) には 2 つの除外リスト(GM の除外リストと LM 独自の除外リスト)があります。両方のリストのメンバーがすべて除外されます。

ファイアウォール除外リストで、Antrea グループはサポートされていません。

手順

  1. [セキュリティ] > [分散ファイアウォール] > [設定] の順に移動します。
  2. 読み取り専用の除外リストを表示するには、[システムが除外した仮想マシン] タブを選択します。
  3. NSX Manager が表示する、特定のローカル サイトを選択します。システムから除外された仮想マシンのリストは、次の条件でフィルタリングできます。
    • 名前
    • オペレーティング システム
    • 電源状態
    • 送信元
    • タグ
    • タグの範囲
  4. ユーザーが除外した仮想マシンを表示または編集するには、[ユーザー除外グループ] タブを選択します。
  5. ユーザー定義のグループをファイアウォール除外リストに追加するには、[除外リストの管理] をクリックします。

    IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは除外リストで使用できません。

  6. 除外する必要があるグループを見つけるか、作成して、対応するチェック ボックスが選択されていることを確認し、[保存] をクリックします。グループの追加、編集、削除を実行しても、除外リストのメンバーシップは変更されないことに注意してください。
    1. グループを作成するには、[グループの追加] をクリックします。「グループの追加」を参照してください。
    2. グループを編集するには、編集するグループの横にあるチェックボックスをクリックし、3 つのドット メニューをクリックして [編集] を選択します。
    3. グループを削除するには、削除するグループの横にあるチェックボックスをクリックし、3 つのドット メニューをクリックして [削除] を選択します。
    4. グループの詳細を表示するには、横矢印をクリックします。
  7. [保存] をクリックします。