Sie können Gruppen erstellen, die als Quellen und Ziele für Firewallregeln verwendet werden. Gruppen enthalten unterschiedliche Objekte, die eine Kombination aus virtuellen Maschinen, IP Sets, MAC Sets, Segment-Ports, Segmenten, AD-Benutzergruppen und anderen Gruppen sein können. Beim Konfigurieren einer Gruppe können Sie Objekte sowohl statisch als auch dynamisch hinzufügen. Um Objekte dynamisch hinzuzufügen, müssen Sie ein Kriterium angeben, das auf dem Tag, Maschinennamen, Betriebssystemnamen oder Computernamen basiert. Wenn eine Regel auf eine Gruppe angewendet werden muss, verarbeitet NSX-T Data Center die Kriterien, um die Mitglieder dynamisch zu berechnen. Dann werden Objekte, basierend auf den Bedingungen der Kriterien, dynamisch hinzugefügt oder entfernt.
Gruppen können von Firewallregeln auch ausgeschlossen werden und es können maximal 100 Gruppen in der Liste enthalten sein. IP-Sets, MAC-Sets und AD-Gruppen können nicht als Mitglieder in eine Gruppe eingeschlossen werden, die in einer Ausschlussliste für die Firewall verwendet wird. Weitere Informationen hierzu finden Sie unter Verwalten einer Firewall-Ausschlussliste.
Eine einzelne Gruppe kann nur in einer DFW-Regel als Quelle verwendet werden. Wenn IP- und Active Directory-Gruppen an der Quelle benötigt werden, erstellen Sie zwei separate Firewallregeln.
Gruppen, die nur aus IP-Adressen bestehen, MAC-Adressen oder Active Directory-Gruppen können im Textfeld Angewendet auf nicht verwendet werden.Für Richtliniengruppen, die IPs, MAC-Adressen und Identitätsgruppen enthalten, zeigt die Auflistungs-API NICHT das Attribut „Mitglieder“ an. Dies gilt auch für Gruppen, die eine Kombination statischer Mitglieder enthalten. Beispiel: Für eine Richtliniengruppe, die IP und VMs enthält, wird das Attribut „Mitglieder“ nicht angezeigt.
Für Richtliniengruppen, die keine IPs, MAC-Adressen oder Identitätsgruppen enthalten, wird das Mitgliederattribut in der NSGroup-Antwort angezeigt. Neue Mitglieder und Kriterien, die in NSX-T Data Center (z. B. DVPort und DVPG) eingeführt wurden, werden jedoch nicht in die MP-Gruppendefinition aufgenommen. Benutzer können die Definition in Richtlinie anzeigen.
Bei Tags in NSX wird die Groß-/Kleinschreibung beachtet, aber für eine Gruppe, die auf Tags basiert, wird die Groß-/Kleinschreibung beachtet. Wenn z. B. das Kriterium der dynamischen Gruppierungsmitgliedschaft VM Tag Equals 'quarantine'
ist, enthält die Gruppe alle VMs, die das Tag „Quarantäne“ bzw. „QUARANTÄNE“ enthalten.
Bei Verwendung von NSX Cloud finden Sie unter Gruppen-VMs mit NSX-T Data Center und Public-Cloud-Tags Informationen zur Verwendung von Public Cloud-Tags zur Gruppierung Ihrer Arbeitslast-VMs in NSX Manager.