您可以在 NSX VPC 中创建组,并在防火墙策略中使用这些组,以满足 NSX VPC 内运行的工作负载的特定安全要求。
NSX VPC 中的默认组
系统会为项目中添加的每个 NSX VPC 创建一个默认组。默认组可帮助您将防火墙规则的范围限制为特定 NSX VPC。
将使用以下命名约定来标识 NSX VPC 中的默认组:
PROJECT-<Project_Name>-VPC-<VPC_Name>-default
Project_Name 和 VPC_Name 将替换为系统中的实际值。
该默认组代表 NSX VPC 本身。此默认组的成员包括子网、子网端口以及连接到 NSX VPC 子网的虚拟机接口 (VIF)。如果虚拟机为双宿主,例如,当一个接口连接到 VPC 子网,而另一个接口连接到默认空间中的某个分段时,此虚拟机中该分段上的 VIF 将不是 VPC 默认组的成员。
使用 VPC 默认组的典型用例如下所示:
假设默认空间中的项目管理员或用户想要阻止流向 NSX VPC 内所有虚拟机的流量。他们可以在其防火墙策略中使用 VPC 默认组。
NSX VPC 中用户创建的组
支持以静态方式将以下
NSX 对象添加到
NSX VPC 中的组定义:
- 子网
- 子网端口
- VIF
- 虚拟机
- 组
在“设置成员”对话框的成员选项卡上,系统仅显示 NSX VPC 拥有的对象。此对话框中未列出与 NSX VPC 共享的对象,因为共享对象不能作为成员添加到 VPC 组中。
支持将以下
NSX 对象添加到
NSX VPC 中的动态组成员资格条件:
- 虚拟机
- 子网
- 子网端口
在具有基于虚拟机标记的动态条件的 NSX VPC 中添加组时,连接到 NSX VPC 中子网的虚拟机将成为该组的有效成员。
与 NSX VPC 共享的组只能在防火墙规则的源或目标字段中使用,而不能在防火墙规则的应用对象字段中使用。
在 NSX VPC 中添加组
- 从项目下拉菜单中选择一个项目。
- 单击 VPC 选项卡。
- 展开要添加组的 VPC。
- 展开安全部分,然后单击组旁边的计数。
此时将打开设置 VPC 组页面。
- 现在,使用标准过程在 NSX VPC 中添加组。