NSX VPC 中的默认组

系统会为项目中添加的每个 NSX VPC 创建一个默认组。默认组可帮助您将防火墙规则的范围限制为特定 NSX VPC。

将使用以下命名约定来标识 NSX VPC 中的默认组：

ORG-default-PROJECT-<Project_Name>-VPC-<VPC_Name>-default

Project_Name 和 VPC_Name 将替换为系统中的实际值。

该默认组代表 NSX VPC 本身。此默认组的成员包括子网、子网端口以及连接到 NSX VPC 子网的虚拟机接口 (VIF)。如果虚拟机为双宿主，例如，当一个接口连接到 VPC 子网，而另一个接口连接到默认空间中的某个分段时，此虚拟机中该分段上的 VIF 将不是 VPC 默认组的成员。

使用 VPC 默认组的典型用例如下所示：

假设默认空间中的项目管理员或用户想要阻止流向 NSX VPC 内所有虚拟机的流量。他们可以在其防火墙策略中使用 VPC 默认组。

NSX VPC 中用户创建的组

在“设置成员”对话框的成员选项卡上，系统仅显示 NSX VPC 拥有的对象。此对话框中未列出与 NSX VPC 共享的对象，因为共享对象不能作为成员添加到 VPC 组中。

在具有基于虚拟机标记的动态条件的 NSX VPC 中添加组时，连接到 NSX VPC 中子网的虚拟机将成为该组的有效成员。

与 NSX VPC 共享的组只能在防火墙规则的源或目标字段中使用，而不能在防火墙规则的应用对象字段中使用。

在 NSX VPC 中添加组

1. 从项目下拉菜单中选择一个项目。
2. 单击 VPC 选项卡。
3. 展开要添加组的 VPC。
4. 展开安全部分，然后单击组旁边的计数。

   此时将打开设置 VPC 组页面。

5. 现在，使用标准过程在 NSX VPC 中添加组。