NSX のアプリケーションの隔離ポリシーはファイアウォールとして動作し、展開内のプロビジョニングされたマシンとの間の送受信トラフィックすべてをブロックします。 定義済みの NSX のアプリケーションの隔離ポリシーを指定する場合、ブループリントによってプロビジョニングされたマシンは相互に通信することができますが、ファイアウォールの外部に接続することはできなくなります。

新規ブループリント または ブループリントのプロパティ ダイアログを使用して、ブループリント レベルのアプリケーションの隔離を適用できます。

NSX のアプリケーションの隔離ポリシーを使用すると、ブループリントによってプロビジョニングされたマシン間の内部トラフィックのみが許可されます。プロビジョニングを申請すると、プロビジョニングされるマシンのセキュリティ グループが作成されます。アプリケーションの隔離ポリシーが NSX で作成され、そのセキュリティ グループに適用されます。 展開内のコンポーネント間で内部トラフィックのみを許可するように、ファイアウォール ルールがセキュリティ ポリシーで定義されています。詳細については、ネットワークとセキュリティが統合された vSphere エンドポイントの作成を参照してください。

注:

NSX Edge ロード バランサと NSX のアプリケーションの隔離セキュリティ ポリシーの両方を使用するブループリントによるプロビジョニングの場合、動的にプロビジョニングされたロード バランサはセキュリティ グループに追加されません。 これにより、ロード バランサが、接続を処理することになっているマシンと通信することのないようにしています。Edge は、NSX Distributed Firewall から除外されるため、セキュリティ グループに追加できません。 ロード バランシングが正常に機能するようにするため、別のセキュリティ グループまたはセキュリティ ポリシーを使用して、ロード バランシングのために必要なトラフィックがコンポーネント仮想マシンに送られるようにしてください。

アプリケーションの隔離ポリシーは、NSX での他のセキュリティ ポリシーと比較して優先順位が低くなります。 たとえば、プロビジョニングされた展開に Web コンポーネント マシンとアプリケーション コンポーネント マシンが含まれており、その Web コンポーネント マシンが Web サービスをホストしている場合、そのサービスでは、ポート 80 と 443 で受信トラフィックを許可する必要があります。 この場合ユーザーは、ファイアウォール ルールを定義して NSX で Web セキュリティ ポリシーを作成し、これらのポートへの受信トラフィックを許可する必要があります。 vRealize Automation では、プロビジョニングされたマシン展開の Web コンポーネントで、ユーザーが Web セキュリティ ポリシーを適用する必要があります。

Web コンポーネント マシンが、ロード バランサを使用してポート 8080 および 8443 でアプリケーション コンポーネント マシンにアクセスする必要がある場合、Web セキュリティ ポリシーには、ポート 80 および 443 への受信トラフィックを許可する既存のファイアウォール ルールに加えて、ポート 8080 および 8443 への送信トラフィックを許可するファイアウォール ルールも含める必要があります。

ブループリントのマシン コンポーネントに適用可能なセキュリティ機能の詳細については、デザイン キャンバスでのセキュリティ コンポーネントの使用を参照してください。