组包括以静态和动态方式添加的不同对象,可用作防火墙规则的源和目标。

可以将组配置为包含虚拟机、IP 集、MAC 集、分段端口、分段、AD 用户组和其他组的组合。可以基于标记、虚拟机名称、操作系统名称或计算机名称动态包含组。

注: 如果在 API 中使用基于 LogicalPort 的条件创建组,则无法在 UI 中使用 SegmentPort 条件之间的 AND 运算符编辑该组。如果使用基于“分段”、“分段端口”、“分布式端口组”或“分布式端口”的条件创建组,请在组的 IP 发现配置文件中禁用“首次使用时信任”选项。否则,即使接口的 IP 地址发生更改,其原始 IP 地址也将保留在您的组中。

如果启用了“恶意 IP 源”,则会从 NTICS 云服务下载已知的恶意 IP 列表。您可以创建组以包含这些已下载的 IP,并配置防火墙规则以阻止对这些 IP 的访问。“常规”或“仅限 IP 地址”组不能转换为包含恶意 IP 的“仅限 IP 地址”组,反之亦然。但是,“常规”组可以转换为不含恶意 IP 的“仅限 IP 地址”组。

还可以从防火墙规则中排除任何组,并且列表中最多可以包含 100 个组。对于已经包含在防火墙排除列表中的组,不能包含 IP 集、MAC 集和 AD 组作为其成员。有关详细信息,请参见 管理防火墙排除列表

如果使用 Active Directory 组作为源,则可以使用单个 Active Directory 组。如果需要在源中同时使用 IP 和 Active Directory 组,请创建两个单独的防火墙规则。

不能在 应用对象文本框中使用仅包含 IP 地址的组、仅包含 MAC 地址的组或 Active Directory 组。

注: 在 vCenter Server 中添加或移除主机时,主机上的虚拟机的外部 ID 将发生变化。如果虚拟机是一个组的静态成员,并且虚拟机的外部 ID 发生变化,则 NSX Manager UI 不再将虚拟机显示为该组的成员。不过,列出组的 API 仍显示该组包含虚拟机,并且虚拟机具有原始外部 ID。如果将虚拟机添加为一个组的静态成员,并且虚拟机的外部 ID 发生变化,您必须使用新的外部 ID 重新添加虚拟机。您也可以使用动态成员资格条件以避免该问题。

对于包含 IP 或 MAC 地址的策略组,NS 组列表 API 将显示“成员”属性。这也适用于包含静态成员组合的组。例如,如果策略组包含 IP 和 DVPG,则 NS 组列表 API 将不显示“成员”属性。

对于不包含 IP、MAC 地址或身份组的策略组,将在 NS 组响应中显示成员属性。但是,在 NSX 中引入的新成员和成员资格条件(如 DVPort 和 DVPG)将不会包含在 MP 组定义中。用户可以在策略中查看定义。

NSX 中的标记区分大小写,但基于标记的组“不区分大小写”。例如,如果动态分组成员资格条件为 VM Tag Equals 'quarantine',则该组将包括所有包含标记“quarantine”或“QUARANTINE”的虚拟机。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 从导航面板中选择清单 >
  3. 单击添加组,然后输入组名称。
  4. 如果要从 NSX 联合全局管理器中添加组,请接受选择的默认区域,或者从下拉菜单中选择一个区域。创建具有区域的组后,将无法编辑区域选择。但是,您可以通过在区域中添加或移除位置来更改区域本身的跨度。您可以在创建组之前创建自定义的区域。
    对于从 NSX 联合环境的 全局管理器中添加的组,必须选择一个区域。如果未使用 全局管理器,则该文本框不可用。
  5. 单击设置
  6. 设置成员窗口中,选择组类型
    组类型 描述
    通用

    此组类型是默认选择。“通用”组定义可以由成员资格条件、手动添加的成员、IP 地址、MAC 地址和 Active Directory 的组合组成。

    不支持在 DFW 规则的应用对象字段中使用仅具有手动添加的 IP 地址成员的通用组。可以创建规则,但不会强制执行。

    在组中定义成员资格条件时,将根据一个或多个条件在组中动态添加成员。手动添加的成员包括分段端口、分布式端口、分布式端口组、VIF、虚拟机等对象。

    仅限 IP 地址

    此组类型仅包含 IP 地址(IPv4 或 IPv6)。不支持在 DFW 规则中的应用对象中使用仅具有手动添加的 IP 地址成员的仅限 IP 地址组。可以创建规则,但不会强制执行。

    如果组类型为通用,则可以将其类型编辑为仅限 IP 地址组,但不可以编辑为包含恶意 IP 的仅限 IP 地址组。在这种情况下,仅在组中保留 IP 地址。所有成员资格条件和其他组定义都将丢失。在 NSX 中实现仅限 IP 地址或者包含恶意 IP 的仅限 IP 地址组类型后,无法将组类型编辑为通用

    在功能上,仅限 IP 地址组类型与之前的 NSX 版本的管理器模式下基于 IP 集标记条件的 NS 组类似。

    包含恶意 IP 的“仅限 IP 地址”组

    如果启用了恶意 IP 源,则可以通过打开添加预定义的恶意 IP 切换开关,创建包含恶意 IP 的仅限 IP 地址组。

    您还可以指定应当视为例外且不得被阻止的 IP 组和“仅限 IP 地址”组。

    请注意,打开添加预定义的恶意 IP 切换开关后,您将无法在编辑组时将其关闭。

    Antrea

    此组类型仅适用于 NSX 环境中注册了一个或多个 Antrea Kubernetes 集群的情形。

  7. (可选) 成员资格条件页面上,单击添加成员资格条件,根据一个或多个成员资格条件动态添加通用组中的成员。

    如果在 NSX 部署中使用 Antrea CNI 注册了 Kubernetes 集群,您可以使用动态成员资格条件中的 Kubernetes 成员类型创建通用组,以匹配流入或流出这些 Antrea Kubernetes 集群的流量。

    成员资格条件可以具有一个或多个条件。这些条件可以使用相同的成员类型,也可以混合使用不同的成员类型。在单个成员资格条件中,基于 NSX 成员类型的条件不能与基于 Kubernetes 成员类型的条件混合使用。但是,您可以使一个成员资格条件仅基于 NSX 成员类型,另一个成员资格条件仅基于 Kubernetes 成员类型,然后使用“或”运算符将这两个成员资格条件连接在一起。

    在成员资格条件中添加多个混合 NSX 成员类型或混合 Kubernetes 成员类型的条件时,存在一些限制。要了解成员资格条件的更多信息,请参见NSX 组成员资格条件概览

    注: 在多租户 NSX 环境中,Kubernetes 集群资源不会向项目清单公开。因此,在项目中,您无法使用动态成员资格条件中的 Kubernetes 成员类型创建通用组。
  8. (可选) 单击成员以在组中添加静态成员。
    可用成员类型包括:
    • - 如果使用 NSX 联合,您可以将一个组添加为成员,它的跨度小于或等于您为从全局管理器中创建的组选择的区域。
    • NSX 分段 - 不会将分配给网关接口的 IP 地址和 NSX 负载均衡器虚拟 IP 地址包含为分段组成员。
    • 分段端口
    • 分布式端口组
    • 分布式端口
    • VIF
    • 虚拟机
    • 物理服务器
  9. (可选) 单击 IP 地址MAC 地址以将 IP 地址和 MAC 地址添加为组成员。支持 IPv4 地址、IPv6 地址和多播地址。
    单击 操作 > 导入从包含以逗号分隔的 IP/MAC 值的 .TXT 文件或 .CSV 文件导入 IP/MAC 地址。
  10. (可选) 单击 AD 组以添加 Active Directory 组。可以在身份防火墙的分布式防火墙规则的源文本框中使用具有 Active Directory 成员的组。组可以同时包含 AD 成员和计算成员。
    注: 如果使用 NSX 联合,您无法从全局管理器中创建组以包括 AD 用户组。
  11. (可选) 输入说明和标记。
  12. 单击应用
    将列出组,并提供用于查看成员及组使用位置的选项。