防火牆排除清單由可以根據群組成員資格從防火牆規則中排除的群組組成。
NSX Manager 支援系統排除的群組和使用者排除的群組:
- 系統排除的群組由系統管理,且對使用者是唯讀的。系統排除的群組包括:惡意程式碼防護和服務插入 SVM,以及透過所設定的計算管理程式來部署的 NSX Manager 和 NSX Edge 應用裝置。
- 使用者排除的群組由使用者管理,依預設會是空的。
諸如負載平衡器、防火牆、虛擬網路功能 (路由、交換等) 等虛擬機器,以及任何需要混合模式的虛擬機器,都必須位於分散式防火牆排除清單中。VMware 不支援將這些虛擬機器新增到 DFW;必須手動將其新增到使用者排除的群組中。
在 NSX Manager 叢集中,必須手動將第一個節點新增到分散式防火牆排除清單。
使用者定義的群組可以從防火牆規則中排除,且清單中最多可以有 100 個群組。用於防火牆排除清單的群組中無法包含 IP 集合、MAC 集合和 Active Directory 群組作為成員。
NSX 聯盟中的全域管理員 (GM) 支援排除清單。在本機管理員 (LM) 上,會有兩份排除清單:一份來自 GM,另一份來自 LM 本身的排除清單。這兩份清單中的所有成員都會被排除。
防火牆排除清單中不支援 Antrea 群組。