防火牆排除清單由可以根據群組成員資格從防火牆規則中排除的群組組成。

NSX Manager 支援系統排除的群組和使用者排除的群組:

  • 系統排除的群組由系統管理,且對使用者是唯讀的。系統排除的群組包括:惡意程式碼防護和服務插入 SVM,以及透過所設定的計算管理程式來部署的 NSX ManagerNSX Edge 應用裝置。
  • 使用者排除的群組由使用者管理,依預設會是空的。

    諸如負載平衡器、防火牆、虛擬網路功能 (路由、交換等) 等虛擬機器,以及任何需要混合模式的虛擬機器,都必須位於分散式防火牆排除清單中。VMware 不支援將這些虛擬機器新增到 DFW;必須手動將其新增到使用者排除的群組中。

NSX Manager 叢集中,必須手動將第一個節點新增到分散式防火牆排除清單。

使用者定義的群組可以從防火牆規則中排除,且清單中最多可以有 100 個群組。用於防火牆排除清單的群組中無法包含 IP 集合、MAC 集合和 Active Directory 群組作為成員。

NSX 聯盟中的全域管理員 (GM) 支援排除清單。在本機管理員 (LM) 上,會有兩份排除清單:一份來自 GM,另一份來自 LM 本身的排除清單。這兩份清單中的所有成員都會被排除。

防火牆排除清單中不支援 Antrea 群組。

程序

  1. 導覽至安全性 > 分散式防火牆 > 設定
  2. 若要檢視唯讀排除清單,請選取系統排除的虛擬機器索引標籤。
  3. 選取您要檢視的特定本機站台 NSX Manager。您可以依下列方式篩選系統排除的虛擬機器清單:
    • 名稱
    • 作業系統
    • 電源狀態
    • 來源
    • 標籤
    • 標籤範圍
  4. 若要檢視或編輯使用者排除的虛擬機器,請選取使用者排除的群組索引標籤。
  5. 若要將使用者定義的群組新增至防火牆排除清單,請按一下管理排除清單

    不能在排除清單中使用僅包含 IP 位址的群組、僅包含 MAC 位址的群組或 Active Directory 群組。

  6. 找出或建立需要排除的群組,確定已選取對應的核取方塊,然後按一下儲存。請注意,新增/編輯/刪除群組不會變更排除清單成員資格。
    1. 若要建立群組,請按一下新增群組。請參閱新增群組
    2. 若要編輯群組,請按一下要編輯的群組旁邊的核取方塊,然後按一下三個點功能表並選取編輯
    3. 若要刪除群組,請按一下要刪除的群組旁邊的核取方塊,然後按一下三個點功能表並選取刪除
    4. 若要顯示群組詳細資料,請按一下側箭頭。
  7. 按一下儲存