NSX组和服务说明
用户使用Cloud_admin账户登录NSX控制台,可以创建用于防火墙规则的服务、组等清单内容。
防火墙规则通常应用于具有相同特性的一组虚拟机,这些相同特性包括:
遵循命名规则的虚拟机名称(例如,对于 Windows 虚拟机,采用名称 Win*,或对于 Linux 虚拟机,采用名称 Linux*)
特定范围内的 IP 地址或 CIDR 地址段
标记
除了防火墙规则的源和目标外,可以针对特定的网络服务进行安全防护,比如SSH、HTTPS等服务。如果NSX自带的网络相关服务满足不了业务需求,也可以自己新建和定义相关网络服务,以便用户将那些服务包含在防火墙规则中。
添加组
组包括以静态和动态方式添加的不同对象,可用作防火墙规则的源和目标。
可以将组配置为包含虚拟机、IP 集、MAC 集、分段端口、分段、AD 用户组和其他组的组合。可以基于标记、虚拟机名称、操作系统名称或计算机名称动态包含组。
NSX中的标记区分大小写,但基于标记的组“不区分大小写”。例如,如果动态分组成员资格条件为VM Tag Equals 'quarantine',则该组将包括所有包含标记“quarantine”或“QUARANTINE”的虚拟机。
阿里云VMware服务的组,分为计算组和管理组,计算组用于NSX的计算网关防火墙,管理组用于NSX的管理网络防火墙。
当阿里云VMware服务实例创建完成后,系统自动内置了部分管理组,不建议用户对这些内置的管理组进行修改和删除操作,内置的管理组分别如下:
名称 | 计算成员 | 说明 |
vCenter | vcenter管理IP地址 | VMware内置管理组 |
NSX Manager |
| VMware内置管理组 |
ESXi | ESXi管理地址段 | VMware内置管理组 |
ali-vpc-group_Do-not-delete-it_Created-by-ACVS | VMware服务实例创建时绑定的VPC专有网络的网段地址 | 阿里云内置管理组,不允许删除 |
ali-proxy-vm-eni-group | VMware服务代理ECS弹性网卡IP | 阿里云内置管理组,不允许删除 |
ali-nsx-edge-group |
| 阿里云内置管理组,不允许删除 |
操作过程
从NSX控制台的导航面板中选择清单>组。
在计算组或者管理组,选择添加组,然后输入组名称。
单击设置成员。
(可选)在成员资格条件页面上,单击添加成员资格条件,根据一个或多个成员资格条件动态添加通用组中的成员。成员资格条件可以具有一个或多个条件。这些条件可以使用相同的成员类型,也可以混合使用不同的成员类型。
(可选)单击成员以在组中添加静态成员。
可用成员类型包括:
组
分段
分段端口
VIF
虚拟机
(可选)单击IP地址以将IP地址添加为组成员。也可以单击操作>导入从包含以逗号分隔的IP值的TXT文件或 CSV文件导入IP地址。
如果是管理组,设置成员只支持IP地址。
(可选)单击MAC地址以将IP地址添加为组成员。也可以单击操作>导入从包含以逗号分隔的MAC值的TXT文件或CSV文件导入MAC地址。
(可选)单击AD组以添加 Active Directory 组。
(可选)输入描述和标记。
单击保存。
添加服务
可以配置服务并指定用于匹配网络流量的参数,例如,端口和协议对。也可以使用服务在防火墙规则中允许或阻止某些类型的流量。创建服务后,无法更改类型。某些服务是预定义的,无法修改或删除。
操作过程
使用 cloud_admin账户登录到NSX Manager。
选择清单>服务。
单击添加服务。
输入名称。
单击设置服务条目。
选择服务类型,可以选择第 2 层以及第 3 层和更高的层。
在端口协议下,单击添加服务条目以添加一个或多个服务条目。
对于第 2 层,唯一可用的服务类型为以太网。
对于第 3 层和更高的层,可用的服务类型包括IP、IGMP、ICMPv4、ICMPv6、ALG、TCP和UDP。
单击服务选项卡,添加VMware内置的服务。
单击应用。
(可选)添加一个或多个标记。
(可选)输入描述。
单击保存。
- 本页导读 (0)