Gruppen enthalten verschiedene Objekte, die sowohl statisch als auch dynamisch hinzugefügt werden und als Quelle und Ziel einer Firewallregel verwendet werden können.
Gruppen können so konfiguriert werden, dass sie eine Kombination aus virtuellen Maschinen, IP Sets, MAC Sets, Segment-Ports, Segmenten, AD-Benutzergruppen und anderen Gruppen enthalten. Gruppen können auf Basis von Tags, Maschinen-, Betriebssystem- oder Computernamen dynamisch aufgenommen werden.
Wenn „Böswilliger IP-Feed“ aktiviert ist, wird eine Liste bekannter böswilliger IPs vom NTICS Cloud Service heruntergeladen. Sie können Gruppen erstellen, um diese heruntergeladenen IPs einzubeziehen, und Firewallregeln konfigurieren, um den Zugriff darauf zu blockieren. Beachten Sie, dass eine „Generisch“- oder „Nur IP-Adressen“-Gruppe in eine „Nur IP-Adressen“-Gruppe mit böswilligen IPs konvertiert werden kann, aber nicht umgekehrt.
Gruppen können von Firewallregeln auch ausgeschlossen werden und es können maximal 100 Gruppen in der Liste enthalten sein. IP-Sets, MAC-Sets und AD-Gruppen können nicht als Mitglieder in eine Gruppe eingeschlossen werden, die in einer Ausschlussliste für die Firewall verwendet wird. Weitere Informationen hierzu finden Sie unter Verwalten einer Firewall-Ausschlussliste.
Wenn Sie Active Directory-Gruppen als Quelle verwenden, kann eine einzelne Active Directory-Gruppe verwendet werden. Wenn sowohl IP- als auch Active Directory-Gruppen an der Quelle benötigt werden, erstellen Sie zwei separate Firewallregeln.
Gruppen, die nur aus IP-Adressen oder MAC-Adressen bestehen, können im Textfeld Angewendet auf nicht verwendet werden.Für Richtliniengruppen, die IPs, MAC-Adressen und Identitätsgruppen enthalten, zeigt die Auflistungs-API NICHT das Attribut „Mitglieder“ an. Dies gilt auch für Gruppen, die eine Kombination statischer Mitglieder enthalten. Beispiel: Für eine Richtliniengruppe, die IP und VMs enthält, wird das Attribut „Mitglieder“ nicht angezeigt.
Für Richtliniengruppen, die keine IPs, MAC-Adressen oder Identitätsgruppen enthalten, wird das Mitgliederattribut in der NSGroup-Antwort angezeigt. Neue Mitglieder und Kriterien, die in NSX (z. B. DVPort und DVPG) eingeführt wurden, werden jedoch nicht in die MP-Gruppendefinition aufgenommen. Benutzer können die Definition in Richtlinie anzeigen.
Bei Tags in NSX wird die Groß-/Kleinschreibung beachtet, aber für eine Gruppe, die auf Tags basiert, wird die Groß-/Kleinschreibung nicht beachtet. Wenn z. B. das Kriterium der dynamischen Gruppierungsmitgliedschaft VM Tag Equals 'quarantine'
ist, enthält die Gruppe alle VMs, die das Tag „Quarantäne“ bzw. „QUARANTÄNE“ enthalten.
Bei Verwendung von NSX Cloud finden Sie unter Gruppen-VMs mit NSX und Public-Cloud-Tags Informationen zur Verwendung von Public Cloud-Tags zur Gruppierung Ihrer Arbeitslast-VMs in NSX Manager.