Sie können Gruppen erstellen, die als Quellen und Ziele für Firewallregeln verwendet werden. Gruppen enthalten unterschiedliche Objekte, die eine Kombination aus virtuellen Maschinen, IP Sets, MAC Sets, Segment-Ports, Segmenten, AD-Benutzergruppen und anderen Gruppen sein können. Beim Konfigurieren einer Gruppe können Sie Objekte sowohl statisch als auch dynamisch hinzufügen. Um Objekte dynamisch hinzuzufügen, müssen Sie ein Kriterium angeben, das auf dem Tag, Maschinennamen, Betriebssystemnamen oder Computernamen basiert. Wenn eine Regel auf eine Gruppe angewendet werden muss, verarbeitet NSX-T Data Center die Kriterien, um die Mitglieder dynamisch zu berechnen. Dann werden Objekte, basierend auf den Bedingungen der Kriterien, dynamisch hinzugefügt oder entfernt.

Hinweis: Wenn Sie ein statisches Objekt einer Gruppe aus vCenter Server löschen, müssen Sie es auch aus der Gruppendefinition löschen. Andernfalls wird dieses Objekt in der NSX-Gruppe zwar nicht als effektives Gruppenmitglied angezeigt, wird in der Gruppendefinition aber weiterhin als Gruppenmitglied angezeigt.
Hinweis: Wenn Sie eine Gruppe in der API mithilfe von auf LogicalPort basierenden Kriterien erstellen, können Sie die Gruppe in der Benutzeroberfläche nicht mit dem AND-Operator zwischen SegmentPort-Kriterien bearbeiten. Wenn Sie eine Gruppe mithilfe von Kriterien erstellen, die auf Segmenten, Segmentports, verteilten Portgruppen oder verteilten Ports basieren, deaktivieren Sie die Option „Vertrauen bei erster Nutzung“ im IP Discovery-Profil der Gruppe. Andernfalls verbleibt die ursprüngliche IP-Adresse der Schnittstelle in Ihrer Gruppe, selbst wenn sich ihre IP-Adresse ändert.

Gruppen können von Firewallregeln auch ausgeschlossen werden und es können maximal 100 Gruppen in der Liste enthalten sein. IP-Sets, MAC-Sets und AD-Gruppen können nicht als Mitglieder in eine Gruppe eingeschlossen werden, die in einer Ausschlussliste für die Firewall verwendet wird. Weitere Informationen hierzu finden Sie unter Verwalten einer Firewall-Ausschlussliste.

Eine einzelne Gruppe kann nur in einer DFW-Regel als Quelle verwendet werden. Wenn IP- und Active Directory-Gruppen an der Quelle benötigt werden, erstellen Sie zwei separate Firewallregeln.

Gruppen, die nur aus IP-Adressen bestehen, MAC-Adressen oder Active Directory-Gruppen können im Textfeld Angewendet auf nicht verwendet werden.

Hinweis: Wenn ein Host einem vCenter Server hinzugefügt oder daraus entfernt wird, ändert sich die externe ID der VMs auf dem Host. Wenn eine VM ein statisches Mitglied einer Gruppe ist und sich die externe ID der VM ändert, zeigt die NSX Manager-Benutzeroberfläche die VM nicht mehr als Mitglied der Gruppe an. Die API, die die Gruppen auflistet, zeigt die VM jedoch weiterhin mit ihrer ursprünglichen ID in der Gruppe an. Wenn Sie eine VM als statisches Mitglied einer Gruppe hinzufügen und sich die externe ID der VM ändert, müssen Sie die VM erneut mit der neuen externen ID hinzufügen. Sie können auch dynamische Mitgliedschaftskriterien verwenden, um dieses Problem zu vermeiden.

Für Richtliniengruppen, die IPs, MAC-Adressen und Identitätsgruppen enthalten, zeigt die Auflistungs-API NICHT das Attribut „Mitglieder“ an. Dies gilt auch für Gruppen, die eine Kombination statischer Mitglieder enthalten. Beispiel: Für eine Richtliniengruppe, die IP und VMs enthält, wird das Attribut „Mitglieder“ nicht angezeigt.

Für Richtliniengruppen, die keine IPs, MAC-Adressen oder Identitätsgruppen enthalten, wird das Mitgliederattribut in der NSGroup-Antwort angezeigt. Neue Mitglieder und Kriterien, die in NSX-T Data Center (z. B. DVPort und DVPG) eingeführt wurden, werden jedoch nicht in die MP-Gruppendefinition aufgenommen. Benutzer können die Definition in Richtlinie anzeigen.

Bei Tags in NSX wird die Groß-/Kleinschreibung beachtet, aber für eine Gruppe, die auf Tags basiert, wird die Groß-/Kleinschreibung beachtet. Wenn z. B. das Kriterium der dynamischen Gruppierungsmitgliedschaft VM Tag Equals 'quarantine' ist, enthält die Gruppe alle VMs, die das Tag „Quarantäne“ bzw. „QUARANTÄNE“ enthalten.

Bei Verwendung von NSX Cloud finden Sie unter Gruppen-VMs mit NSX-T Data Center und Public-Cloud-Tags Informationen zur Verwendung von Public Cloud-Tags zur Gruppierung Ihrer Arbeitslast-VMs in NSX Manager.

Voraussetzungen

Wenn Sie NSX-Verbund verwenden, finden Sie weitere Informationen zu den Konfigurationsoptionen unter Sicherheit in NSX-Verbund.

Prozedur

  1. Wählen Sie im Navigationsbereich die Option Bestand > Gruppen aus.
  2. Klicken Sie auf Gruppe hinzufügen und geben Sie einen Gruppennamen ein.
  3. Wenn Sie im Globaler Manager eine Gruppe für NSX-Verbund hinzufügen, akzeptieren Sie entweder die ausgewählte Standardregion oder wählen Sie im Dropdown-Menü eine Region aus. Sobald Sie eine Gruppe mit einer Region erstellt haben, können Sie die Auswahl der Region nicht mehr bearbeiten. Sie können jedoch den Geltungsbereich der Region selbst ändern, indem Sie darin Speicherorte hinzufügen oder entfernen. Vor dem Erstellen der Gruppe können Sie angepasste Regionen erstellen. Siehe Erstellen einer Region aus Globaler Manager.
    Für Gruppen, die in einem Globaler Manager zu einer NSX-Verbund-Umgebung hinzugefügt werden, ist die Auswahl einer Region obligatorisch. Dieses Textfeld ist nicht verfügbar, wenn Sie nicht den Globaler Manager verwenden.
  4. Klicken Sie auf Festlegen.
  5. Wählen Sie im Fenster Mitglieder festlegen den Gruppentyp aus.
    Gruppentyp Beschreibung
    Generisch

    Dieser Gruppentyp ist die Standardauswahl. Eine generische Gruppendefinition kann aus einer Kombination aus Mitgliedschaftskriterien, manuell hinzugefügten Mitgliedern, IP-Adressen, MAC-Adressen und Active Directory-Gruppen bestehen.

    Generische Gruppen mit nur manuell hinzugefügten IP-Adressmitgliedern werden nicht für die Verwendung im Feld Angewendet auf in DFW-Regeln unterstützt. Es ist möglich, die Regel zu erstellen, aber sie wird nicht erzwungen.

    Wenn Sie Mitgliedschaftskriterien in der Gruppe definieren, werden die Mitglieder basierend auf einem oder mehreren Kriterien dynamisch zur Gruppe hinzugefügt. Zu den manuell hinzugefügten Mitgliedern gehören Objekte wie Segmentports, verteilte Ports, verteilte Portgruppen, VIFs, virtuelle Maschinen usw.

    Nur IP-Adressen

    Dieser Gruppentyp enthält nur IP-Adressen (IPv4 oder IPv6). Nur IP-Adressen-Gruppen mit nur manuell hinzugefügten IP-Adressmitgliedern werden nicht für die Verwendung in den DFW-Regeln Angewendet auf unterstützt. Es ist möglich, die Regel zu erstellen, aber sie wird nicht erzwungen.

    Nachdem eine Gruppe vom Typ Nur IP-Adressen in NSX-T Data Center realisiert wurde, können Sie den Gruppentyp nicht in Generisch ändern. Lautet der Gruppentyp hingegen Generisch, können Sie den Gruppentyp in Nur IP-Adressen ändern. In diesem Fall werden nur die IP-Adressen in der Gruppe beibehalten. Alle Mitgliedschaftskriterien und andere Gruppendefinitionen gehen verloren.

    Dieser Gruppentyp ist funktionell ähnlich wie NSGroups mit IP Set-Tag-basiertem Kriterium im Manager-Modus früherer NSX-T-Versionen.

    Antrea

    Dieser Gruppentyp ist nur verfügbar, wenn in Ihrer NSX-T-Umgebung ein oder mehrere Antrea-Container-Cluster registriert sind.

    Weitere Informationen finden Sie unter Antrea-Gruppen und Hinzufügen einer Antrea-Gruppe.

  6. (Optional) Klicken Sie auf der Seite Mitgliedschaftskriterien auf Kriterium hinzufügen, um Mitglieder in der Gruppe basierend auf einem oder mehreren Mitgliedschaftskriterien dynamisch hinzuzufügen.

    Ein Mitgliedschaftskriterium kann eine oder mehrere Bedingungen aufweisen. Die Bedingungen können denselben Mitgliedstyp oder eine Kombination aus verschiedenen Mitgliedstypen verwenden. Es gelten allerdings einige Einschränkungen für das Hinzufügen mehrerer Bedingungen mit gemischten Mitgliedstypen zu einem Mitgliedschaftskriterium. Weitere Informationen zu Mitgliedschaftskriterien finden Sie unter Übersicht über Gruppenmitgliedschaftskriterien.

  7. (Optional) Klicken Sie auf Mitglieder, um statische Mitglieder zur Gruppe hinzuzufügen.
    Die verfügbaren Mitgliedstypen sind:
    • Gruppen: Wenn Sie NSX-Verbund verwenden, können Sie als Mitglied eine Gruppe mit einem kleineren oder gleich großen Geltungsbereich wie die Region hinzufügen, die Sie für die im Globaler Manager erstellte Gruppe ausgewählt haben. Siehe Sicherheit in NSX-Verbund.
    • NSX-Segmente: IP-Adressen, die einer Gateway-Schnittstelle zugewiesen sind, und virtuelle IP-Adressen des NSX Load Balancers sind nicht als Segmentgruppenmitglieder enthalten.
    • Segment-Ports
    • Verteilte Portgruppen
    • Verteilte Ports
    • VIFs
    • Virtuelle Maschinen
    • Physische Server
    • Native Cloud-Dienstinstanzen
  8. (Optional) Klicken Sie auf IP-/MAC-Adressen, um IP- und MAC-Adressen als Gruppenmitglieder hinzuzufügen. IPv4-Adressen, IPv6-Adressen und Multicast-Adressen werden unterstützt.
    Klicken Sie auf Aktion > Importieren, um IP-/MAC-Adressen aus einer TXT- oder CSV-Datei zu importieren, die durch Kommas getrennte IP-/MAC-Werte enthält.
  9. (Optional) Klicken Sie auf AD-Gruppen, um Active Directory-Gruppen hinzuzufügen. Gruppen mit Active Directory-Mitgliedern können im Quelltextfeld einer verteilten Firewallregel verwendet werden. Gruppen können sowohl AD- als auch Computing-Mitglieder enthalten.
    Hinweis: Wenn Sie NSX-Verbund verwenden, können Sie keine Gruppen im globalen Manager erstellen, um AD-Benutzergruppen einzubeziehen.
  10. (Optional) Geben Sie eine Beschreibung und ein Tag ein.
  11. Klicken Sie auf Anwenden.
    Gruppen werden mit einer Option zum Anzeigen der Mitglieder und einer Angabe zu deren Verwendungsort aufgeführt.