组包括以静态和动态方式添加的不同对象,可用作防火墙规则的源和目标。
可以将组配置为包含虚拟机、IP 集、MAC 集、分段端口、分段、AD 用户组和其他组的组合。可以基于标记、虚拟机名称、操作系统名称或计算机名称动态包含组。
如果启用了“恶意 IP 源”,则会从 NTICS 云服务下载已知的恶意 IP 列表。您可以创建组以包含这些已下载的 IP,并配置防火墙规则以阻止对这些 IP 的访问。请注意,您可以将“通用”或“仅限 IP 地址”组转换为包含恶意 IP 的“仅限 IP 地址”组,但不可以反向转换。
还可以从防火墙规则中排除任何组,并且列表中最多可以包含 100 个组。对于已经包含在防火墙排除列表中的组,不能包含 IP 集、MAC 集和 AD 组作为其成员。有关详细信息,请参见 管理防火墙排除列表。
单个组只能在分布式防火墙规则中用作源。如果需要在源中使用 IP 和 Active Directory 组,请创建两个单独的防火墙规则。
不能在 应用对象文本框中使用仅包含 IP 地址的组或仅包含 MAC 地址的组。对于包含 IP、MAC 地址和身份组的策略组,列表 API 将不显示“成员”属性。这也适用于包含静态成员组合的组。例如,包含 IP 和虚拟机的策略组不会显示成员属性。
对于不包含 IP、MAC 地址或身份组的策略组,将在 NS 组响应中显示成员属性。但是,在 NSX 中引入的新成员和成员资格条件(如 DVPort 和 DVPG)将不会包含在 MP 组定义中。用户可以在策略中查看定义。
NSX 中的标记区分大小写,但基于标记的组“不区分大小写”。例如,如果动态分组成员资格条件为 VM Tag Equals 'quarantine'
,则该组将包括所有包含标记“quarantine”或“QUARANTINE”的虚拟机。
如果使用的是 NSX Cloud,请参见使用 NSX 和公有云标记对虚拟机分组以了解如何使用公有云标记对 NSX Manager 中的工作负载虚拟机进行分组的信息。