可以在分布式防火墙规则的应用对象文本框中创建并使用基于动态或逻辑对象的安全组。

由于地址集是根据虚拟机名称或标签动态填充的,并且必须针对每个筛选器进行更新,因此它们可能用完了主机上可用于存储 DFW 规则和 IP 地址集的堆内存量。

NSX-T Data Center 版本 2.5 及更高版本中,称为“全局”或“共享地址集”的功能可以在所有筛选器之间共享地址集。虽然每个筛选器可以具有不同的规则(取决于应用对象),但是地址集成员在所有筛选器中都是固定的。默认情况下,已启用此功能,这可以减少堆内存使用量。无法禁用此功能。

NSX-T Data Center 版本 2.4 及更低版本中,已禁用全局或共享地址集,并且包含大量分布式防火墙规则的环境可能会遇到 VSIP 堆内存耗尽的情况。