组包括以静态和动态方式添加的不同对象,可用作防火墙规则的源和目标。
可以将组配置为包含虚拟机、IP 集、MAC 集、分段端口、分段、AD 用户组和其他组的组合。可以基于标记、虚拟机名称、操作系统名称或计算机名称动态包含组。
注: 如果在 API 中使用基于 LogicalPort 的条件创建组,则无法在 UI 中使用 SegmentPort 条件之间的 AND 运算符编辑该组。
还可以从防火墙规则中排除任何组,并且列表中最多可以包含 100 个组。对于已经包含在防火墙排除列表中的组,不能包含 IP 集、MAC 集和 AD 组作为其成员。有关详细信息,请参见管理防火墙排除列表。
单个组只能在分布式防火墙规则中用作源。如果需要在源中使用 IP 和 Active Directory 组,请创建两个单独的防火墙规则。
不能在 应用对象文本框中使用仅包含 IP 地址的组、仅包含 MAC 地址的组或 Active Directory 组。
注: 在 vCenter Server 中添加或移除主机时,主机上的虚拟机的外部 ID 将发生变化。如果虚拟机是一个组的静态成员,并且虚拟机的外部 ID 发生变化,则
NSX Manager UI 不再将虚拟机显示为该组的成员。不过,列出组的 API 仍显示该组包含虚拟机,并且虚拟机具有原始外部 ID。如果将虚拟机添加为一个组的静态成员,并且虚拟机的外部 ID 发生变化,您必须使用新的外部 ID 重新添加虚拟机。您也可以使用动态成员资格条件以避免该问题。
NSX 中的标记区分大小写,但基于标记的组“不区分大小写”。例如,如果动态分组成员资格条件为 VM Tag Equals 'quarantine'
,则该组将包括所有包含标记“quarantine”或“QUARANTINE”的虚拟机。
如果使用的是 NSX Cloud,请参见使用 NSX-T Data Center 和公有云标记对虚拟机分组以了解如何使用公有云标记对 NSX Manager 中的工作负载虚拟机进行分组的信息。
前提条件
注: 如果使用
NSX 联合,您无法从全局管理器中创建组以包括 AD 用户组。