充當防火牆的 NSX 應用程式隔離原則可封鎖進出部署中已佈建機器的所有輸入和輸出流量。指定定義的 NSX 應用程式隔離原則時,按藍圖佈建的機器可以彼此通訊,但無法從防火牆外部連線。

您可以透過使用新增藍圖藍圖內容對話方塊,在藍圖層級上套用應用程式隔離。

使用 NSX 應用程式隔離原則時,只允許由藍圖佈建之機器之間的內部流量。申請佈建時,會為要佈建的機器建立安全群組。應用程式隔離安全性原則於 NSX 中建立並套用至安全群組。防火牆規則在安全性原則中定義,可僅允許部署中元件之間的內部流量。如需相關資訊,請參閱建立網路和安全性整合的 vSphere 端點

備註︰

透過使用 NSX Edge 負載平衡器及 NSX 應用程式隔離安全性原則的藍圖佈建時,動態佈建的負載平衡器沒有新增至安全群組。這可避免負載平衡器與要為其處理連線的機器通訊。由於 Edge 被排除在 NSX Distributed Firewall 以外,因此無法新增至安全群組。若要讓負載平衡正常運作,請使用可讓所需流量進入元件虛擬機器以進行負載平衡的其他安全群組或安全性原則。

相較於 NSX 中的其他安全性原則,應用程式隔離原則擁有較低的優先順序。例如,假設已佈建的部署包含 Web 元件機器及應用程式元件機器,並且 Web 元件機器主控某個 Web 服務,則該服務必須允許連接埠 80 和 443 上的輸入流量。在此情況下,使用者必須透過定義的防火牆規則,在 NSX 中建立 Web 安全性原則,以允許輸入流量進入這些連接埠。在 vRealize Automation 中,使用者必須在已佈建機器部署的 Web 元件上套用 Web 安全性原則。

如果 Web 元件機器需要在連接埠 8080 和 8443 上使用負載平衡器存取應用程式元件機器,那麼除了允許連接埠 80 和 443 之輸入流量的現有防火牆規則之外,Web 安全性原則還應包含允許這些連接埠之輸出流量的防火牆規則。

如需有關可套用至藍圖中機器元件之安全性功能的相關資訊,請參閱在藍圖畫布中使用安全性元件