VM与NSX-T之间存在一台隐藏的IO链条,该链条上有16个slot,分别为slot0-slot15,这些slot为安全等需求所预留,其中Slot 0-3,Slot 12-15为VMware自留,其它用于连接合作伙伴方案;其中Slot2就是分布式防火墙,类似主机防火墙,在每个虚拟机生效。
下面内容摘自国外的一篇Blog,原文地址:https://thevirtualunknown.co.uk/2017/02/14/vmware-nsx-iochain-and-how-packets-are-processed-within-the-kernel/
当虚拟机连接到逻辑交换机时,每个数据包都会跨越多个安全服务,这些服务被实现为在 vSphere 内核中处理的 IOChains。
插槽 0:DVFilter –分布式虚拟过滤器监控受保护 vNIC 上的入口/出口流量并执行无状态过滤和 ACL。
插槽 1:vmware-swsec – 交换机安全模块了解虚拟机的 IP/MAC 地址并捕获来自虚拟机的任何 DHCP Ack 或 ARP 广播,将请求重定向到 NSX 控制器 – 这是 ARP 抑制功能。此插槽也是实施 NSX IP Spoofguard 的地方。
插槽 2:vmware-sfw – 这是 NSX 分布式防火墙所在的位置,也是存储和执行 DFW 规则的位置(因此防火墙规则和连接表)。
插槽 3:保留供 VMware 将来使用
插槽 4-12:第 3 方服务——这是将流量重定向到第 3 方服务设备的地方
插槽 13-14:保留供 VMware 将来使用
Slot 15:分布式网络加密(可用时)