Setidaknya terdapat sejumlah rekomendasi best practice yang perlu diperhatikan terkait implementasi platform virtualisasi jaringan seperti VMware NSX pada suatu datacenter. Pada use case penerapan micro-segmentation misalnya, pastikan konfigurasi NSX telah memuat Exclusion List yang mencakup sejumlah VM management (seperti vCenter Server, SRM Server, dan lain sebagainya). Tanpa hal ini, tentunya penerapan Distributed Firewall (DFW) dari NSX dapat memberikan dampak negatif misalnya security module tersebut akan secara otomatis melakukan pemblokiran akses terhadap management VM seperti vCenter Server ketika ‘Deny All’ rule diaplikasikan.
Untuk menghindari kemungkinan tersebut, perlu dipastikan kembali jika sejumlah objek VM management vital tersebut telah dimasukkan kedalam Exclusion List didalam NSX Manager. Penambahan Exclusion List pada VMware NSX sendiri dapat dilakukan via vSphere Web Client melalui Home | Network & Security | NSX Managers.
Selanjutnya, klik pada salah satu objek NSX Manager yang dikehendaki dan klik pada tab Manage.
Pada bagian Exclusion List, klik tanda plus yang tersedia.
Berikutnya, pilih pada sejumlah objek VM yang dimaksud didalam window Virtual Machine selector.
Pemulihan Akses
Meski demikian, bisa saja kita mendapati kondisi dimana penerapan DFW dari NSX yang kurang cermat sehingga mengakibatkan terblokirnya akses terhadap sejumlah VM management (sebelum konfigurasi Exclusion List dilakukan). Untuk kondisi demikian, mekanisme pemulihan yang dapat dilakukan adalah dengan mengembalikan aturan atau ruleset dari DFW menuju kondisi default melalui penggunaan panggilan terhadap metode DELETE dari REST API yang terdapat pada NSX Manager.
Untuk melakukan hal ini, silahkan gunakan REST client (misalnya addon RESTClient yang tersedia pada Mozilla Firefox). Selanjutnya, masukkan informasi URL dengan ketentuan berikut.
https://NSX_Manager_IP_or_FQDN/api/4.0/firewall/globalroot-0/config
Sementara pada bagian Method, pilih opsi DELETE yang tersedia. Jangan lupa untuk terlebih dahulu memastikan otentikasi session tersebut dengan memasukkan informasi credential dari NSX Administrator. Untuk memastikannya, klik pada menu Authentication (masih dari RESTClient) dan pilih pada opsi Basic Authentication.
Pada login form Basic Authentication yang muncul kemudian, masukkan informasi username dan password dari NSX Administrator terkait.
Setelah memastikan semua input tersebut telah sesuai, klik pada tombol SEND dari addon RESTClient yang digunakan.
Jika status code yang muncul beberapa saat kemudian menunjukkan angka 204 dibagian Response, maka dapat disimpulkan bahwa security rule yang terdapat pada DFW dari NSX telah kembali dalam kondisi default policy.
Perlu diketahui bahwa hal ini juga berarti sejumlah security rule yang telah dibuat sebelumnya menjadi hilang.