Sie können eine IP-Adressgruppe erstellen und anschließend diese Gruppe als Quelle oder Ziel zu einer Firewallregel hinzufügen. Eine solche Regel kann physische Maschinen vor virtuellen Maschinen schützen oder umgekehrt.

Voraussetzungen

  • Installieren Sie VMware Tools auf jeder virtuellen Maschine.
  • Wenn Sie Gruppierungsobjekte anstelle von IP-Adressen verwenden möchten, aktivieren Sie eine IP-Erkennungsmethode, wie z. B. DHCP-Snooping oder ARP-Snooping oder beides. Weitere Informationen finden Sie unter IP-Erkennung für virtuelle Maschinen.

Prozedur

  1. Klicken Sie im vSphere Web Client auf Netzwerk und Sicherheit (Networking & Security) > Gruppen und Tags (Groups and Tags).
  2. Navigieren Sie zu IP Sets:
    • Stellen Sie bei NSX 6.4.1 und höher sicher, dass Sie sich auf der Registerkarte IP Sets befinden.
    • Stellen Sie bei NSX 6.4.0 sicher, dass Sie sich auf der Registerkarte Gruppieren von Objekten (Grouping Objects) > IP Sets befinden.
  3. Wenn im Dropdown-Menü NSX Manager mehrere IP-Adressen verfügbar sind, wählen Sie eine IP-Adresse aus oder behalten Sie die Standardauswahl bei.
    • Zur Verwaltung globaler IP-Adressengruppen müssen Sie den primären NSX Manager auswählen.
  4. Klicken Sie auf Hinzufügen (Add) oder das Symbol Hinzufügen (Add) (hinzufügen).
  5. Geben Sie einen Namen für die Adressgruppe ein.
  6. (Optional) Geben Sie eine Beschreibung für die Adressgruppe ein.
  7. Geben Sie die IP-Adressen oder einen Bereich von IP-Adressen ein, die zur Gruppe hinzugefügt werden sollen.
    Vorsicht: Stellen Sie bei der Eingabe von IPv6-Adressbereichen in den IP-Sätzen sicher, dass die Adressbereiche in /64 unterteilt sind. Andernfalls schlägt die Veröffentlichung der Firewallregeln fehl.
  8. (Optional) Wählen Sie Vererbung (Inheritance) oder Vererbung aktivieren, um die Sichtbarkeit für zugrunde liegende Geltungsbereichen zuzulassen. (Enable inheritance to allow visibility at underlying scopes.)
    Wenn die Vererbung aktiviert ist, kann auf Gruppierungsobjekte, die auf globaler Ebene erstellt wurden, über abgeleitete Geltungsbereiche zugegriffen werden, z. B. Datencenter, Edge usw.
  9. (Optional) Erstellen einer globalen IP-Adressengruppe:
    • Klicken Sie in NSX 6.4.1 und höher auf die Umschaltschaltfläche Globale Synchronisierung (Universal Synchronization), um Ein (On) festzulegen.
    • Wählen Sie in NSX 6.4.0 Dieses Objekt für globale Synchronisierung markieren (Mark this object for Universal Synchronization) aus.
  10. Klicken Sie auf Hinzufügen (Add) oder OK.