IP 组是配置文件、策略和日志可以引用的 IP 地址列表(以逗号分隔)。该列表中的每个条目可以是 IPv4 地址、IP 范围、IP 掩码或国家/地区代码。IP 组是可重用的对象,可以由附加到任意数量的虚拟服务的任意数量的功能引用。IP 组通常用于服务分类、允许列表或拒绝列表,可以通过外部 API 调用自动更新这些组。在更新 IP 组时,更新将从控制器推送到托管虚拟服务的任何服务引擎,从而利用该 IP 组。
IP 组用途
以下是 NSX Advanced Load Balancer 中使用的几个示例 IP 组。通常,IP 组可用于(或分配给)任何接受 IP 地址的对象。以下是 NSX Advanced Load Balancer 中可以使用 IP 组的对象。
- 策略:
-
可以配置网络安全策略或 HTTP 安全策略以丢弃来自 IP 地址阻止列表的任何客户端。NSX Advanced Load Balancer 将策略的规则逻辑与 IP 组中保存的地址列表分开保留,而不是在策略中保留较长的列表。可以为用户授予一个角色,以允许他们更新 IP 地址列表,而无法更改策略本身。
- 日志:
-
日志按 IP 地址对客户端进行分类,并将它们与包含的国家/地区地理位置数据库进行匹配。可以使用自定义 IP 组创建特定的映射(例如内部 IP 地址)以覆盖该数据库。例如,LA_Office 可能包含 10.1.0.0/16,而 NY_Office 包含 10.2.0.0/16。日志显示这些客户端来自这些位置。还可以对组名称(例如 LA_Office)执行日志搜索。
- DataScript:
-
可以根据在 IP 组中包括或排除的客户端做出自定义决策。有关示例和语法,请参见《VMware NSX Advanced Load Balancer DataScript 指南》中的 DataScript 函数
avi.ipgroup.contains
。 - 池服务器:
-
如果需要使用多个池,这些池具有不同的配置但具有相同的服务器列表,可以将服务器 IP 地址放入 IP 组中。如果在组中添加或移除 IP,每个订阅池自动继承成员资格变化。
页面上的表包含每个 IP 组的以下信息:
名称:IP 地址组的名称。
IP 地址或范围:IP 地址、网络或地址范围数量。
国家/地区代码或 EPG:列出的任何配置的国家/地区代码。
创建 IP 组
要创建或编辑 IP 组,请提供以下信息:
名称:为 IP 组指定唯一的名称。
类型:从类型下拉菜单中选择以下选项之一。
IP 地址。
国家/地区代码。
从文件导入 IP 地址:单击导入文件以上载包含 IP 地址、范围或掩码的任意组合的逗号分隔值 (CSV) 文件。
添加:单击添加以添加单个 IP 地址、以逗号分隔的 IP 地址或 IP 地址范围。
国家/地区代码:通过该国家/地区的地理数据库填充 IP 地址范围。
按国家/地区代码选择:选择一个或多个国家/地区,或者在搜索字段中键入国家/地区名称以进行筛选。国家/地区不能与 IP 组中的各个 IP 地址组合使用。包含国家/地区的 IP 组不能作为池成员的服务器列表。