组包括以静态和动态方式添加的不同对象,可用作防火墙规则的源和目标。
可以将组配置为包含虚拟机、IP 集、MAC 集、分段端口、分段、AD 用户组和其他组的组合。可以基于标记、虚拟机名称、操作系统名称或计算机名称动态包含组。
如果启用了“恶意 IP 源”,则会从 NTICS 云服务下载已知的恶意 IP 列表。您可以创建组以包含这些已下载的 IP,并配置防火墙规则以阻止对这些 IP 的访问。请注意,您可以将“通用”或“仅限 IP 地址”组转换为包含恶意 IP 的“仅限 IP 地址”组,但不可以反向转换。
还可以从防火墙规则中排除任何组,并且列表中最多可以包含 100 个组。对于已经包含在防火墙排除列表中的组,不能包含 IP 集、MAC 集和 AD 组作为其成员。有关详细信息,请参见 管理防火墙排除列表。
如果使用 Active Directory 组作为源,则可以使用单个 Active Directory 组。如果需要在源中同时使用 IP 和 Active Directory 组,请创建两个单独的防火墙规则。
不能在 应用对象文本框中使用仅包含 IP 地址的组或仅包含 MAC 地址的组。对于包含 IP、MAC 地址和身份组的策略组,列表 API 将不显示“成员”属性。这也适用于包含静态成员组合的组。例如,包含 IP 和虚拟机的策略组不会显示成员属性。
对于不包含 IP、MAC 地址或身份组的策略组,将在 NS 组响应中显示成员属性。但是,在 NSX 中引入的新成员和成员资格条件(如 DVPort 和 DVPG)将不会包含在 MP 组定义中。用户可以在策略中查看定义。
NSX 中的标记区分大小写,但基于标记的组“不区分大小写”。例如,如果动态分组成员资格条件为 VM Tag Equals 'quarantine'
,则该组将包括所有包含标记“quarantine”或“QUARANTINE”的虚拟机。
如果使用的是 NSX Cloud,请参见使用 NSX 和公有云标记对虚拟机分组以了解如何使用公有云标记对 NSX Manager 中的工作负载虚拟机进行分组的信息。