新增重新導向東西向流量來進行網路自我檢查的規則。

規則是在原則中定義的。做為概念的原則,類似於防火牆中區段的概念。新增原則時,請選取重新導向流量來由服務鏈結的服務設定檔進行自我檢查的服務鏈結。

規則定義包含流量的來源和目的地、自我檢查服務、要套用規則的 NSX-T Data Center 物件,以及流量重新導向原則。發佈規則後,NSX Manager 會在找不到相符的流量模式時觸發此規則。規則會開始自我檢查流量。例如,當 NSX Manager 將流量分類為必須自我檢查時,它會將流量轉送至一般分散式防火牆,然後再轉送至原則中指定的服務鏈結。服務鏈結中定義的服務設定檔會自我檢查合作夥伴提供之網路服務的流量。如果服務設定檔完成自我檢查,並且未在流量中偵測到任何安全性問題,就會將流量轉送至服務鏈結中的下一個服務設定檔。在服務鏈結結束時,流量會轉送至目的地。

所有通知都會傳送給合作夥伴 Service Manager 和 NSX-T Data Center

備註: 依預設,即使未設定東西向服務,仍會有規則存在。此預設規則未套用,且處於非作用中狀態。在 NSX-T Data Center 上部署東西向服務後,需要建立並套用第一個規則。

必要條件

服務鏈結可用於重新導向流量來進行網路自我檢查。

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 確認 NSX Manager 處於原則模式。
  3. 選取安全性 > 東西向網路自我檢查 > 新增原則

    [原則] 區段類似於 [防火牆] 區段,您可在其中定義規則來判定流量的流動方式。

  4. 選取服務鏈結。
  5. 若要新增原則,請按一下發佈
  6. 按一下區段上的垂直省略符號 (三個點功能表),然後按一下新增規則
  7. 來源資料行中按一下編輯圖示,然後選取規則來源。如需詳細資訊,請參閱新增群組
    支援 IPv4 和多點傳播位址。
  8. 按一下儲存
  9. 目的地資料行中按一下編輯圖示,然後選取規則的目的地。若未定義,則代表不分目的地。如需詳細資訊,請參閱新增群組
    支援 IPv4 和多點傳播位址。
    備註: 不支援 IPv6。請勿將流量類型設定為 IPv6。
  10. 依預設,套用至資料行設定為 [DFW],而規則會套用至所有工作負載。您也可以將規則或原則套用至選取的群組。套用至定義了每個規則的強制執行範圍,主要用於 ESXi 與 KVM 主機上的最佳化或資源。這有助於為特定的區域與承租人定義針對性的原則,卻不干擾為其他承租人與區域所定義的其他原則。

    僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組,無法在套用至文字方塊中使用。

  11. 在 [動作] 文字方塊中,選取重新導向以將流量重新導向至服務鏈結,或是選取不重新導向,不對流量實施網路自我檢查。
  12. 按一下發佈
  13. 若要還原已發佈的規則,請選取規則,然後按一下還原
  14. 若要新增原則,請按一下 + 新增原則
  15. 若要複製原則或規則,請選取原則或規則,然後按一下複製
  16. 若要啟用規則,請啟用 [啟用/停用] 圖示,或從功能表中選取規則,然後按一下啟用 > 啟用規則
  17. 啟用或停用規則之後,請按一下發佈以強制執行規則。

結果

流入來源的流量會重新導向至服務鏈結來進行網路自我檢查。鏈結中的服務設定檔對流量進行自我檢查後,會將流量傳送到目的地。

在部署期間,特定原則的虛擬機器群組成員資格有可能變更。NSX-T Data Center 會向合作夥伴 Service Manager 通知這些更新。