您可以创建组以用作防火墙规则的源和目标。组包含不同的对象,可以是虚拟机、IP 集、MAC 集、分段端口、分段、AD 用户组和其他组的组合。在配置组时,可以静态和动态添加对象。要动态添加对象,您必须基于标记、虚拟机名称、操作系统名称或计算机名称指定条件。在必须将规则应用于组时,NSX-T Data Center 会处理条件以动态计算成员,并根据条件添加或移除对象。
还可以从防火墙规则中排除任何组,并且列表中最多可以包含 100 个组。对于已经包含在防火墙排除列表中的组,不能包含 IP 集、MAC 集和 AD 组作为其成员。有关详细信息,请参见 管理防火墙排除列表。
单个组只能在分布式防火墙规则中用作源。如果需要在源中使用 IP 和 Active Directory 组,请创建两个单独的防火墙规则。
不能在 应用对象文本框中使用仅包含 IP 地址的组、仅包含 MAC 地址的组或 Active Directory 组。对于包含 IP、MAC 地址和身份组的策略组,列表 API 将不显示“成员”属性。这也适用于包含静态成员组合的组。例如,包含 IP 和虚拟机的策略组不会显示成员属性。
对于不包含 IP、MAC 地址或身份组的策略组,将在 NS 组响应中显示成员属性。但是,在 NSX-T Data Center 中引入的新成员和成员资格条件(如 DVPort 和 DVPG)将不会包含在 MP 组定义中。用户可以在策略中查看定义。
NSX 中的标记区分大小写,但基于标记的组“不区分大小写”。例如,如果动态分组成员资格条件为 VM Tag Equals 'quarantine'
,则该组将包括所有包含标记“quarantine”或“QUARANTINE”的虚拟机。
如果使用的是 NSX Cloud,请参见使用 NSX-T Data Center 和公有云标记对虚拟机分组以了解如何使用公有云标记对 NSX Manager 中的工作负载虚拟机进行分组的信息。