Een NSX-appisolatiebeleid fungeert als een firewall om al het binnenkomende en het uitgaande verkeer naar en van de ingerichte machines in de implementatie te blokkeren. Wanneer u een gedefinieerd NSX-appisolatiebeleid opgeeft, kunnen de machines die zijn ingericht door de blueprint met elkaar communiceren maar geen verbindingen maken buiten de firewall.

U kunt appisolatie op blueprintniveau toepassen met behulp van de dialoogvensters Nieuwe blueprint of Blueprinteigenschappen.

Bij gebruik van een NSX-appisolatiebeleid is alleen intern verkeer toegestaan tussen de machines die door de blueprint zijn ingericht. Wanneer u een inrichting aanvraagt, wordt er een beveiligingsgroep gemaakt voor de machines die worden ingericht. Een beveiligingsbeleid voor appisolatie wordt gemaakt in NSX en toegepast op de beveiligingsgroep. Firewallregels worden gedefinieerd in het beveiligingsbeleid om alleen intern verkeer toe te staan tussen de onderdelen in de implementatie. Zie Een NSX-endpoint maken en associëren met een vSphere-endpoint voor gerelateerde informatie.

Opmerking:

Bij inrichting met een blueprint die zowel een NSX Edge-load balancer als een NSX-appisolatiebeveiligingsbeleid gebruikt, wordt de dynamisch ingerichte load balancer niet toegevoegd aan de beveiligingsgroep. Dit voorkomt dat de load balancer communiceert met de machines waarvoor het verbindingen moet afhandelen. Omdat Edges worden uitgesloten uit de met NSX gedistribueerde firewall, kunnen deze niet worden toegevoegd aan beveiligingsgroepen. Om ervoor te zorgen dat de taakverdeling correct werkt, gebruikt u een andere beveiligingsgroep of een ander beveiligingsbeleid dat het verkeer naar de onderdeel-VM's toestaat voor de taakverdeling.

Het appisolatiebeleid heeft een lagere prioriteit in vergelijking met andere beveiligingsgroepen in NSX. Als de ingerichte implementatie bijvoorbeeld een webonderdeelmachine en een apponderdeelmachine bevat en de webonderdeelmachine host een webservice, dan moet de service binnenkomend verkeer toestaan op poorten 80 en 443. In dit geval moeten gebruikers een webbeveiligingsbeleid in NSX maken met firewallregels die zijn gedefinieerd om binnenkomend verkeer naar deze poorten toe te staan. In vRealize Automation moeten gebruikers het webbeveiligingsbeleid toepassen op het webonderdeel van de ingerichte machine-implementatie.

Als de webonderdeelmachine toegang vereist tot de apponderdeelmachine met behulp van een load balancer op de poorten 8080 en 8443, dan moet het webbeveiligingsbeleid naast de bestaande firewallregels die het binnenkomend verkeer op de poorten 80 en 443 toestaan, tevens firewallregels bevatten die uitgaand verkeer via de poorten 8080 en 8443 mogelijk maken.

Voor informatie over beveiligingsfuncties die op een machineonderdeel in een blueprint kunnen worden toegepast, raadpleegt u Beveiligingsonderdelen gebruiken in het ontwerpcanvas.