组包括以静态和动态方式添加的不同对象,可用作防火墙规则的源和目标。

可以将组配置为包含虚拟机、IP 集、MAC 集、分段端口、分段、AD 用户组和其他组的组合。可以基于标记、虚拟机名称、操作系统名称或计算机名称动态包含组。
注: 如果在 API 中使用基于 LogicalPort 的条件创建组,则无法在 UI 中使用 SegmentPort 条件之间的 AND 运算符编辑该组。

还可以从防火墙规则中排除任何组,并且列表中最多可以包含 100 个组。对于已经包含在防火墙排除列表中的组,不能包含 IP 集、MAC 集和 AD 组作为其成员。有关详细信息,请参见管理防火墙排除列表

单个 IP 或 AD 组只能在分布式防火墙规则中用作源。如果源中需要 IP 和 AD 组,请创建两个单独的防火墙规则。

不能在 应用对象文本框中使用仅包含 IP 地址的组、仅包含 MAC 地址的组或 Active Directory 组。

注: 在 vCenter Server 中添加或移除主机时,主机上的虚拟机的外部 ID 将发生变化。如果虚拟机是一个组的静态成员,并且虚拟机的外部 ID 发生变化,则 NSX Manager UI 不再将虚拟机显示为该组的成员。不过,列出组的 API 仍显示该组包含虚拟机,并且虚拟机具有原始外部 ID。如果将虚拟机添加为一个组的静态成员,并且虚拟机的外部 ID 发生变化,您必须使用新的外部 ID 重新添加虚拟机。您也可以使用动态成员资格条件以避免该问题。

NSX 中的标记区分大小写,但基于标记的组“不区分大小写”。例如,如果动态分组成员资格条件为 VM Tag Equals 'quarantine',则该组将包括所有包含标记“quarantine”或“QUARANTINE”的虚拟机。

如果使用的是 NSX Cloud,请参见使用 NSX-T Data Center 和公有云标记对虚拟机分组以了解如何使用公有云标记对 NSX Manager 中的工作负载虚拟机进行分组的信息。

前提条件

如果使用联合,请参见 NSX 联合中的安全性以了解配置选项的详细信息。
注: 如果使用 NSX 联合,您无法从全局管理器中创建包含 AD 用户组的组。

过程

  1. 从导航面板中选择清单 >
  2. 单击添加组
  3. 输入组名称。
  4. 如果从联合的全局管理器中添加组,请接受选择的默认区域,或者从下拉菜单中选择一个区域。创建具有区域的组后,将无法编辑区域选择。但是,您可以通过在区域中添加或移除位置来更改区域本身的跨度。您可以在创建组之前创建自定义的区域。请参见从全局管理器创建区域
    注: 对于从联合环境的 全局管理器中添加的组,必须选择一个区域。如果未使用 全局管理器,则该文本框不可用。
  5. (可选) 单击设置成员
    对于每个成员资格条件,最多可以指定五个规则,且这些规则可与逻辑 AND 运算符结合使用。可用成员条件可应用于以下各项:
    • 分段端口 - 指定标记和/或范围。
    • 分段 - 指定标记和/或范围。
    • 虚拟机 - 指定名称、标记、计算机操作系统名称或计算机名称(等于、包含、开头为、结尾为或不等于特定字符串)。
    • IP 集 - 指定标记和/或范围。
  6. (可选) 单击成员以选择成员。
    可用成员类型包括:
    • 注: 如果使用联合,您可以添加一个组作为成员,该组的跨度小于或等于您为从 全局管理器中创建的组选择的区域,请参见 NSX 联合中的安全性
    • 分段
      注: 不会将分配给网关接口的 IP 地址和 NSX 负载均衡器虚拟 IP 地址包含为分段组成员。
    • 分段端口
    • VIF
    • 虚拟机
    • 物理服务器
    • 云原生服务实例
  7. (可选) 单击 IP/MAC 地址以将 IP 和 MAC 地址添加为组成员。支持 IPv4 地址、IPv6 地址和多播地址。
    单击 操作 > 导入从包含以逗号分隔的 IP/MAC 值的 .TXT 文件或 .CSV 文件导入 IP/MAC 地址。
  8. (可选) 单击 AD 组以添加 Active Directory 组。可以在身份防火墙的分布式防火墙规则的源文本框中使用具有 Active Directory 成员的组。组可以同时包含 AD 成员和计算成员。
    如果使用 NSX 联合,您无法从全局管理器中创建组以包含 AD 组。
  9. (可选) 输入说明和标记。
  10. 单击应用
    将列出组,并提供用于查看成员及组使用位置的选项。