Можно включить изоляцию приложений, чтобы разрешить внутренний трафик между компонентами, подготовленными схемой элементов.

Политика изоляции приложения NSX действует как брандмауэр для блокировки всего входящего и исходящего трафика, идущего к подготовленным компьютерам развертывания и исходящего от них. Если указать определенную политику изоляции приложения NSX, компьютеры, подготовленные схемой элементов, смогут обмениваться данными между собой, но не смогут устанавливать подключение за пределами брандмауэра.

Если задано правило изоляции приложений, а правила безопасности заданы с использованием групп безопасности в схеме элементов, параметр изоляции приложений является последним правилом, обрабатываемым во время развертывания схемы элементов.

Чтобы применить изоляцию приложений на уровне схемы элементов, воспользуйтесь страницами Новая схема элементов или Свойства схемы элементов.

Факторы, касающиеся NSX for vSphere

Подготовленные компоненты размещаются в группе безопасности, которая изолируется с помощью правил брандмауэра. Для регистрации требуется, чтобы в конечной точке vSphere была настроена поддержка изоляции приложений NSX.

При использовании политики изоляции приложений NSX for vSphere разрешен только внутренний трафик между компьютерами, подготовленными на основе схемы элементов. Когда запрашивается подготовка, для компьютеров создается группа безопасности. Политика изоляции приложений создается в NSX for vSphere и применяется к группе безопасности. Правила брандмауэра определяются в политике безопасности для допуска только внутреннего трафика между компонентами в развертывании.

Когда подготовка выполняется с помощью схемы элементов, которая использует подсистему балансировки нагрузки NSX for vSphere Edge и политику безопасности изоляции приложения NSX for vSphere, динамически подготовленная подсистема балансировки нагрузки не добавляется в группу безопасности. Таким образом предотвращается обмен данными между подсистемой балансировки нагрузки и компьютерами, для которых эта подсистема должна обрабатывать подключения. Так как устройства Edge исключены из распределенного брандмауэра NSX for vSphere, их нельзя добавлять в группы безопасности. Чтобы балансировка нагрузки функционировала надлежащим образом, воспользуйтесь другой группой безопасности или другой политикой безопасности, которая впускает нужный трафик в виртуальные машины компонента для балансировки нагрузки.

Политика изоляции приложений имеет менее высокий приоритет по сравнению с другими политиками безопасности в NSX for vSphere. Например, если в подготовленном развертывании содержатся компьютер веб-компонента и компьютер компонента приложений, и на компьютере веб-компонента размещена веб-служба, то служба должна пропускать входящий трафик через порты 80 и 443. В этом случае пользователи должны создать политику веб-безопасности в NSX for vSphere. Правила брандмауэра в этой политике должны разрешать входящий трафик через эти порты. В vRealize Automation пользователи должны применять политику веб-безопасности в веб-компоненте подготовленного развертывания компьютера.

Примечание:

Если схема элементов содержит подсистемы балансировки нагрузки и для этой схемы включена изоляция приложений, то виртуальные IP-адреса подсистемы балансировки нагрузки будут добавлены в группу безопасности изоляции приложений как набор IP-адресов. Если в схеме элементов содержится группа безопасности по требованию, связанная с уровнем компьютеров, который также связан с подсистемой балансировки нагрузки, то группа безопасности по требованию будет включать в себя уровень компьютеров, набор IP-адресов и виртуальные IP-адреса.

Если компьютеру веб-компонента нужен доступ к компьютеру компонента приложений, использующему подсистему балансировки нагрузки на портах 8080 и 8443, то политика веб-безопасности, кроме существующих правил брандмауэра, пропускающих входящий трафик через порты 80 и 443, должна включать в себя правила брандмауэра, пропускающие исходящий трафик через порты 8080 и 8443.

Факторы, касающиеся NSX-T

Подготовленные компоненты размещаются в группе NS Group, которая изолируется с помощью правил брандмауэра. Для регистрации требуется, чтобы в конечной точке vSphere была настроена поддержка изоляции приложений NSX.

NSX-T поддерживает создание двухуровневой топологии логического маршрутизатора: логический маршрутизатор верхнего (нулевого) уровня и логический маршрутизатор нижнего (первого) уровня. Эта структура дает администраторам поставщика и арендатора полный контроль над их службами и политиками. В NSX-T администраторы управляют и настраивают маршрутизацию и службы на нулевом уровне, а администраторы арендаторов — на первом.