您可以在 NSX VPC 中创建组,并在防火墙策略中使用这些组,以满足 NSX VPC 内运行的工作负载的特定安全要求。

NSX VPC 中的默认组

系统会为项目中添加的每个 NSX VPC 创建一个默认组。默认组可帮助您将防火墙规则的范围限制为特定 NSX VPC

将使用以下命名约定来标识 NSX VPC 中的默认组:

PROJECT-<Project_Name>-VPC-<VPC_Name>-default

Project_NameVPC_Name 将替换为系统中的实际值。

该默认组代表 NSX VPC 本身。此默认组的成员包括子网、子网端口以及连接到 NSX VPC 子网的虚拟机接口 (VIF)。如果虚拟机为双宿主,例如,当一个接口连接到 VPC 子网,而另一个接口连接到默认空间中的某个分段时,此虚拟机中该分段上的 VIF 将不是 VPC 默认组的成员。

使用 VPC 默认组的典型用例如下所示:

假设默认空间中的项目管理员或用户想要阻止流向 NSX VPC 内所有虚拟机的流量。他们可以在其防火墙策略中使用 VPC 默认组。

NSX VPC 中用户创建的组

支持以静态方式将以下 NSX 对象添加到 NSX VPC 中的组定义:
  • 子网
  • 子网端口
  • VIF
  • 虚拟机

在“设置成员”对话框的成员选项卡上,系统仅显示 NSX VPC 拥有的对象。此对话框中未列出与 NSX VPC 共享的对象,因为共享对象不能作为成员添加到 VPC 组中。

支持将以下 NSX 对象添加到 NSX VPC 中的动态组成员资格条件:
  • 虚拟机
  • 子网
  • 子网端口

在具有基于虚拟机标记的动态条件的 NSX VPC 中添加组时,连接到 NSX VPC 中子网的虚拟机将成为该组的有效成员。

NSX VPC 共享的组只能在防火墙规则的目标字段中使用,而不能在防火墙规则的应用对象字段中使用。

NSX VPC 中添加组

  1. 项目下拉菜单中选择一个项目。
  2. 单击 VPC 选项卡。
  3. 展开要添加组的 VPC。
  4. 展开安全部分,然后单击旁边的计数。

    此时将打开设置 VPC 组页面。

  5. 现在,使用标准过程在 NSX VPC 中添加组。