可以创建一个 IP 地址组,然后将该组作为源或目标添加到防火墙规则中。该规则可帮助保护物理机不受虚拟机的影响,反之亦然。

前提条件

  • 在每个虚拟机上安装 VMware Tools。
  • 如果您打算使用分组对象而不是 IP 地址,请启用一种 IP 发现方法,如 DHCP 侦听和/或 ARP 侦听。有关详细信息,请参见虚拟机的 IP 发现

过程

  1. vSphere Web Client 中,单击网络和安全 (Networking & Security) > 组和标记 (Groups and Tags)
  2. 导航到 IP 集 (IP Sets)
    • NSX 6.4.1 和更高版本中,确保您处于 IP 集 (IP Sets)选项卡中。
    • NSX 6.4.0 中,确保您处于分组对象 (Grouping Objects) > IP 集 (IP Sets)选项卡中。
  3. 如果 NSX Manager 下拉菜单中有多个 IP 地址,请选择一个 IP 地址或保留默认选择。
    • 如果需要管理通用 IP 地址组,必须选择主 NSX Manager
  4. 单击添加 (Add)添加 (Add) (添加) 图标。
  5. 键入地址组名称。
  6. (可选) 键入地址组描述。
  7. 键入要包含在组中的 IP 地址或 IP 地址范围。
    小心: 在 IP 集中输入 IPv6 地址范围时,请确保将地址范围拆分为 /64。否则,防火墙规则发布将失败。
  8. (可选) 选择继承 (Inheritance)启用继承以便可在基础范围内可见 (Enable inheritance to allow visibility at underlying scopes.)
    如果启用了继承,可以从派生的范围中访问在全局范围创建的分组对象,如数据中心、Edge 等。
  9. (可选) 要创建通用 IP 地址组,请执行以下操作:
    • NSX 6.4.1 和更高版本中,单击通用同步 (Universal Synchronization)切换按钮以切换到开启 (On)
    • NSX 6.4.0 中,选择标记此对象待进行通用同步 (Mark this object for Universal Synchronization)
  10. 单击添加 (Add)确定 (OK)