Я окунаюсь в мир продукта VMware NSX с целью микросегментирования виртуальных машин в центре обработки данных. Иными словами, они живут в одном сетевом пространстве, но не могут разговаривать друг с другом. Одна из проблем, с которыми я столкнулся при использовании распределенного брандмауэра (DFW), - это разрешение исходящего доступа в Интернет при одновременном сохранении микросегментации.
Если бы мне пришлось создать разрешающее правило any / any / any, это позволило бы виртуальным машинам общаться друг с другом. Единственное решение, которое я придумал, - это разместить запреты между кластерами и использовать разрешающее правило. Однако мне это кажется беспорядочным, и я должен поверить (на данный момент), что у NSX есть лучшее решение для этого. Я попытался добавить шлюз пограничных служб, но я недостаточно знаю о нем, чтобы делать что-то отличное от того, что можно сделать с помощью DFW.
Мы будем очень благодарны за любые идеи или вещи, которые стоит попробовать.