Gruppen enthalten verschiedene Objekte, die sowohl statisch als auch dynamisch hinzugefügt werden und als Quelle und Ziel einer Firewallregel verwendet werden können.

Gruppen können so konfiguriert werden, dass sie eine Kombination aus virtuellen Maschinen, IP Sets, MAC Sets, Segment-Ports, Segmenten, AD-Benutzergruppen und anderen Gruppen enthalten. Gruppen können auf Basis von Tags, Maschinen-, Betriebssystem- oder Computernamen dynamisch aufgenommen werden.
Hinweis: Wenn Sie eine Gruppe in der API mithilfe von auf LogicalPort basierenden Kriterien erstellen, können Sie die Gruppe in der Benutzeroberfläche nicht mit dem AND-Operator zwischen SegmentPort-Kriterien bearbeiten.

Gruppen können von Firewallregeln auch ausgeschlossen werden und es können maximal 100 Gruppen in der Liste enthalten sein. IP-Sets, MAC-Sets und AD-Gruppen können nicht als Mitglieder in eine Gruppe eingeschlossen werden, die in einer Ausschlussliste für die Firewall verwendet wird. Weitere Informationen hierzu finden Sie unter Verwalten einer Firewall-Ausschlussliste.

Eine einzelne Gruppe kann nur in einer DFW-Regel als Quelle verwendet werden. Wenn IP- und Active Directory-Gruppen an der Quelle benötigt werden, erstellen Sie zwei separate Firewallregeln.

Gruppen, die nur aus IP-Adressen bestehen, MAC-Adressen oder Active Directory-Gruppen können im Textfeld Angewendet auf nicht verwendet werden.

Hinweis: Wenn ein Host einem vCenter Server hinzugefügt oder daraus entfernt wird, ändert sich die externe ID der VMs auf dem Host. Wenn eine VM ein statisches Mitglied einer Gruppe ist und sich die externe ID der VM ändert, zeigt die NSX Manager-Benutzeroberfläche die VM nicht mehr als Mitglied der Gruppe an. Die API, die die Gruppen auflistet, zeigt die VM jedoch weiterhin mit ihrer ursprünglichen ID in der Gruppe an. Wenn Sie eine VM als statisches Mitglied einer Gruppe hinzufügen und sich die externe ID der VM ändert, müssen Sie die VM erneut mit der neuen externen ID hinzufügen. Sie können auch dynamische Mitgliedschaftskriterien verwenden, um dieses Problem zu vermeiden.

Bei Tags in NSX wird die Groß-/Kleinschreibung beachtet, aber für eine Gruppe, die auf Tags basiert, wird die Groß-/Kleinschreibung beachtet. Wenn z. B. das Kriterium der dynamischen Gruppierungsmitgliedschaft VM Tag Equals 'quarantine' ist, enthält die Gruppe alle VMs, die das Tag „Quarantäne“ bzw. „QUARANTÄNE“ enthalten.

Bei Verwendung von NSX Cloud finden Sie unter Gruppen-VMs mit NSX-T Data Center und Public-Cloud-Tags Informationen zur Verwendung von Public Cloud-Tags zur Gruppierung Ihrer Arbeitslast-VMs in NSX Manager.

Voraussetzungen

Wenn Sie NSX-Verbund verwenden, finden Sie weitere Informationen zu den Konfigurationsoptionen unter Sicherheit in NSX-Verbund.
Hinweis: Wenn Sie NSX-Verbund verwenden, können Sie keine Gruppen im globalen Manager erstellen, um AD-Benutzergruppen einzubeziehen.

Prozedur

  1. Wählen Sie im Navigationsbereich die Option Bestand > Gruppen aus.
  2. Klicken Sie auf Gruppe hinzufügen.
  3. Geben Sie einen Gruppennamen ein.
  4. Wenn Sie im Globaler Manager eine Gruppe für NSX-Verbund hinzufügen, akzeptieren Sie entweder die ausgewählte Standardregion oder wählen Sie im Dropdown-Menü eine Region aus. Sobald Sie eine Gruppe mit einer Region erstellt haben, können Sie die Auswahl der Region nicht mehr bearbeiten. Sie können jedoch den Geltungsbereich der Region selbst ändern, indem Sie darin Speicherorte hinzufügen oder entfernen. Vor dem Erstellen der Gruppe können Sie angepasste Regionen erstellen. Siehe Erstellen einer Region aus Globaler Manager.
    Hinweis: Für Gruppen, die in einem Globaler Manager zu einer NSX-Verbund-Umgebung hinzugefügt werden, ist die Auswahl einer Region obligatorisch. Dieses Textfeld ist nicht verfügbar, wenn Sie nicht den Globaler Manager verwenden.
  5. (Optional) Klicken Sie auf Mitglieder festlegen.
    Für jedes Mitgliedschaftskriterium können Sie bis zu fünf Regeln angeben, die mit dem logischen Operator AND kombiniert werden. Das verfügbare Mitgliedskriterium kann auf Folgendes angewendet werden:
    • Segment-Port: Geben Sie ein Tag, einen Geltungsbereich oder beides an.
    • Segment: Geben Sie ein Tag, einen Geltungsbereich oder beides an.
    • Virtuelle Maschine: Geben Sie einen Namen, ein Tag, den Namen des Computerbetriebssystems oder einen Computernamen an, der bzw. das einer bestimmten Zeichenfolge entspricht, diese enthält, mit ihr beginnt oder auf sie endet bzw. nicht mit ihr übereinstimmt.
    • IP Set – Geben Sie ein Tag, einen Geltungsbereich oder beides an.
  6. (Optional) Klicken Sie auf Mitglieder, um Mitglieder auszuwählen.
    Die verfügbaren Mitgliedstypen sind:
    • Gruppen
      Hinweis: Wenn Sie NSX-Verbund verwenden, können Sie eine Gruppe als Mitglied hinzufügen, die einen identischen oder einen kleineren Geltungsbereich aufweist, als die Region, die Sie für die Gruppe ausgewählt haben, die Sie im Globaler Manager erstellen. Siehe Sicherheit in NSX-Verbund.
    • Segmente
      Hinweis: IP-Adressen, die einer Gateway-Schnittstelle zugewiesen sind, und virtuelle IP-Adressen des NSX Load Balancers sind nicht als Segmentgruppenmitglieder enthalten.
    • Segment-Ports
    • VIFs
    • Virtuelle Maschinen
    • Physische Server
    • Native Cloud-Dienstinstanzen
  7. (Optional) Klicken Sie auf IP-/MAC-Adressen, um IP- und MAC-Adressen als Gruppenmitglieder hinzuzufügen. IPv4-Adressen, IPv6-Adressen und Multicast-Adressen werden unterstützt.
    Klicken Sie auf Aktion > Importieren, um IP-/MAC-Adressen aus einer TXT- oder CSV-Datei zu importieren, die durch Kommas getrennte IP-/Mac-Werte enthält.
  8. (Optional) Klicken Sie auf AD-Gruppen, um Active Directory-Gruppen hinzuzufügen. Gruppen mit Active Directory-Mitgliedern können im Quelltextfeld einer verteilten Firewallregel verwendet werden. Gruppen können sowohl AD- als auch Computing-Mitglieder enthalten.
    Hinweis: Wenn Sie NSX-Verbund verwenden, können Sie keine Gruppen im globalen Manager erstellen, um AD-Benutzergruppen einzubeziehen.
  9. (Optional) Geben Sie eine Beschreibung und ein Tag ein.
  10. Klicken Sie auf Anwenden.
    Gruppen werden mit einer Option zum Anzeigen der Mitglieder und einer Angabe zu deren Verwendungsort aufgeführt.