U kunt een NSX-T-netwerkbeveiligingsonderdeel aan het ontwerpcanvas toevoegen om de bijbehorende geconfigureerde instellingen beschikbaar te maken voor een of meer gekoppelde vSphere-machineonderdelen in de blueprint.

Met een bestaande NSX-T NS-groep kunt u resources toewijzen, zoals virtuele machines en netwerkadapters, voor gedistribueerde firewallbescherming.

U kunt beveiligingselementen aan blueprints toevoegen door NS-groepen te configureren voor de vSphere-computerresource in NSX-T. Nadat u gegevensverzameling hebt uitgevoerd, zijn de beveiligingsconfiguraties beschikbaar in vRealize Automation. U kunt een bestaand NSX-T NS-groepsonderdeel aan de blueprint toevoegen als bron of doel van een firewallregel.

NSX-T NS-beveiligingsgroepen worden buiten vRealize Automation beheerd in de toepassing NSX-T. Zie de productdocumentatie van NSX-T voor informatie over het beheren van NS-groepen.

De instellingen voor netwerk- en beveiligingsonderdelen die u aan de blueprint toevoegt, worden afgeleid van uw configuratie van NSX for vSphere en NSX-T. Raadpleeg de Administration Guide in de NSX for vSphere-productdocumentatie of NSX-T-productdocumentatie, afhankelijk van welke toepassing u gebruikt, voor informatie over het configureren van NSX.

Wanneer u een blueprint implementeert die een NSX-T-endpoint bevat, wijst de implementatie een tag toe aan NSX-T-onderdelen in de implementatie. De naam van de tag en de naam van de implementatie komen overeen.

Als app-isolatie is ingeschakeld, wordt een nieuwe firewallsectie met regels gemaakt voor een implementatie. App-isolatie maakt gebruik van een logische firewall om alle inkomend en uitgaand verkeer naar en van de toepassingen in de blueprint, te blokkeren. Componentmachines die zijn voorzien van een blueprint die een app-isolatiebeleid bevat, kunnen met elkaar communiceren, maar kunnen geen verbinding maken buiten de firewall tenzij andere NS-groepen zijn toegevoegd aan de blueprint met beveiligingsregels die toegang toestaan.

Als een blueprint een load balancer bevat en app-isolatie is ingeschakeld, worden de load balancer-VIP's aan de app-isolatiebeveiligingsgroep toegevoegd als IPSet. Als een blueprint een beveiligingsgroep op aanvraag bevat die is gekoppeld aan een machinelaag die ook is gekoppeld aan een load balancer, bevat de beveiligingsgroep op aanvraag de machinelaag IPSet en VIP’s.

Voor NSX-T is app-isolatie de enige aangemaakte NS-groep op aanvraag. Het bevat een IP-set die load balancer VIP's en externe IP-adressen van één-op-veel NAT-netwerken bevat.

Zie Informatie over de NSX-T-implementatietopologieën voor netwerken, beveiliging en load balancer-configuraties voor meer informatie over NSX-T-specifieke overwegingen met betrekking tot implementatie en topologie.