组包括以静态和动态方式添加的不同对象,可用作防火墙规则的源和目标。

可以将组配置为包含虚拟机、IP 集、MAC 集、分段端口、分段、AD 用户组和其他组的组合。可以基于标记、虚拟机名称、操作系统名称或计算机名称动态包含组。
注: 如果在 API 中使用基于 LogicalPort 的条件创建组,则无法在 UI 中使用 SegmentPort 条件之间的 AND 运算编辑该组。

还可以从防火墙规则中排除任何组,并且列表中最多可以包含 100 个组。对于已经包含在防火墙排除列表中的组,不能包含 IP 集、MAC 集和 AD 组作为其成员。有关详细信息,请参见管理防火墙排除列表

单个基于 ID 的组只能在分布式防火墙规则中用作源。如果在源中需要使用基于 IP 和基于 ID 的组,请创建两个单独的防火墙规则。

不能在 应用对象文本框中使用仅包含 IP 地址的组、仅包含 MAC 地址的组或 Active Directory 组。

注: 在 vCenter Server 中添加或移除主机时,主机上的虚拟机的外部 ID 将发生变化。如果虚拟机是一个组的静态成员,并且虚拟机的外部 ID 发生变化,则 NSX Manager UI 不再将虚拟机显示为该组的成员。不过,列出组的 API 仍显示该组包含虚拟机,并且虚拟机具有原始外部 ID。如果将虚拟机添加为一个组的静态成员,并且虚拟机的外部 ID 发生变化,您必须使用新的外部 ID 重新添加虚拟机。您也可以使用动态成员资格条件以避免该问题。

NSX 中的标记区分大小写,但基于标记的组“不区分大小写”。例如,如果动态分组成员资格条件为 VM Tag Equals 'quarantine',则该组将包括所有包含标记“quarantine”或“QUARANTINE”的虚拟机。

如果使用的是 NSX Cloud,请参见使用 NSX-T Data Center 和公有云标记对虚拟机分组以了解如何使用公有云标记对 NSX Manager 中的工作负载虚拟机进行分组的信息。

前提条件

如果使用 NSX 联合,请参见 NSX 联合中的安全性以了解配置选项的详细信息。
注: 如果使用 NSX 联合,您无法从全局管理器中创建组以包括 AD 用户组或基于 ID 的组。

过程

  1. 从导航面板中选择清单 >
  2. 单击添加组
  3. 输入组名称。
  4. 如果要从 NSX 联合全局管理器中添加组,请接受选择的默认区域,或者从下拉菜单中选择一个区域。创建具有区域的组后,将无法编辑区域选择。但是,您可以通过在区域中添加或移除位置来更改区域本身的跨度。您可以在创建组之前创建自定义的区域。请参见从全局管理器创建区域
    注: 对于从 NSX 联合环境的 全局管理器中添加的组,必须选择一个区域。如果未使用 全局管理器,则该文本框不可用。
  5. (可选) 单击设置成员
    对于每个成员资格条件,最多可以指定五个规则,且这些规则可与逻辑 AND 运算符结合使用。可用成员条件可应用于以下各项:
    • 分段端口 - 指定标记和/或范围。
    • 分段 - 指定标记和/或范围。
    • 虚拟机 - 指定名称、标记、计算机操作系统名称或计算机名称(等于、包含、开头为、结尾为或不等于特定字符串)。
    • IP 集 - 指定标记和/或范围。
  6. (可选) 单击成员以选择成员。
    可用成员类型包括:
    • 注: 如果使用 NSX 联合,您可以将一个组添加为成员,它的跨度小于或等于您为从 全局管理器中创建的组选择的区域,请参见 NSX 联合中的安全性
    • 分段
      注: 不会将分配给网关接口的 IP 地址和 NSX 负载均衡器虚拟 IP 地址包含为分段组成员。
    • 分段端口
    • VIF
    • 虚拟机
    • 物理服务器
    • 云原生服务实例
  7. (可选) 单击 IP/MAC 地址以将 IP 和 MAC 地址添加为组成员。支持 IPv4 地址、IPv6 地址和多播地址。
    单击 操作 > 导入从包含以逗号分隔的 IP/MAC 值的 .TXT 文件或 .CSV 文件导入 IP/MAC 地址。
  8. (可选) 单击 AD 组以添加 Active Directory 组。可以在身份防火墙的分布式防火墙规则的源文本框中使用具有 Active Directory 成员的组。组可以同时包含 AD 成员和计算成员。
    注: 如果使用 NSX 联合,您无法从全局管理器中创建组以包括 AD 用户组或基于 ID 的组。
  9. (可选) 输入说明和标记。
  10. 单击应用
    将列出组,并提供用于查看成员及组使用位置的选项。