NSX 분산 방화벽으로 보호되는 대상에서 가상 시스템 집합을 제외할 수 있습니다.

이 태스크 정보

NSX Manager, NSX Controller 및 NSX Edge 가상 시스템은 NSX 분산 방화벽 보호 대상에서 자동으로 제외됩니다. 또한 다음 서비스 가상 시스템은 제외 목록에 배치하여 트래픽의 자유로운 흐름을 허용하는 것이 좋습니다.

  • vCenter Server. 방화벽으로 보호되는 클러스터로 vCenter Server를 이동할 수는 있지만, 연결 문제를 방지하려면 해당 vCenter Server가 이미 제외 목록에 있는 상태여야 합니다.

    참고:

    "any any" 기본 규칙을 허용에서 차단으로 변경하기 전에 vCenter Server를 제외 목록에 추가하는 것이 중요합니다. 이렇게 하지 못하면 모두 거부 규칙을 생성(또는 작업을 차단하도록 기본 규칙 수정)한 후에 vCenter Server에 대한 액세스가 차단됩니다. 이 경우 다음 API 명령을 실행하여 DFW를 기본 방화벽 규칙 집합으로 롤백합니다. https://NSX_Manager_IP/api/4.0/firewall/globalroot-0/config. 요청은 상태 204를 반환해야 합니다. 이렇게 하면 DFW에 대한 기본 규칙(허용 기본 규칙)이 복원되고 vCenter Server 및 vSphere Web Client에 대한 액세스가 다시 사용되도록 설정됩니다.

  • 파트너 서비스 가상 시스템.

  • 비규칙 모드가 필요한 가상 시스템. NSX 분산 방화벽에서 이 가상 시스템을 보호하는 경우 성능에 부정적인 영향을 줄 수 있습니다.

  • Windows 기반 vCenter에서 사용하는 SQL Server.

  • vCenter 웹 서버(별도로 실행할 경우).

프로시저

  1. vSphere Web Client에서 Networking & Security를 클릭합니다.
  2. Networking & Security 인벤토리(Networking & Security Inventory)에서 NSX Manager(NSX Managers)를 클릭합니다.
  3. 이름(Name) 열에서 NSX Manager를 클릭합니다.
  4. 관리(Manage) 탭을 클릭한 후 제외 목록(Exclusion List) 탭을 클릭합니다.
  5. 추가(Add)(추가 아이콘) 아이콘을 클릭합니다.
  6. 제외하려는 가상 시스템을 선택하고 추가(Add)를 클릭합니다.
  7. 확인(OK)을 클릭합니다.

결과

가상 시스템에 여러 vNIC가 있는 경우에는 모두 보호 대상에서 제외됩니다. 가상 시스템을 제외 목록에 추가한 후 vNIC를 가상 시스템에 추가한 경우 새로 추가된 vNIC에서 방화벽이 자동으로 배포됩니다. 이 vNIC를 방화벽 보호 대상에서 제외하려면 제외 목록에서 가상 시스템을 제거한 다음, 가상 시스템을 제외 목록에 다시 추가해야 합니다. 다른 해결 방법은 가상 시스템의 전원을 껐다가 다시 켜는 것입니다. 그러나 첫 번째 옵션이 지장을 적게 줍니다.