Gruppen enthalten verschiedene Objekte, die sowohl statisch als auch dynamisch hinzugefügt werden und als Quelle und Ziel einer Firewallregel verwendet werden können.
Gruppen können so konfiguriert werden, dass sie eine Kombination aus virtuellen Maschinen, IP Sets, MAC Sets, Segment-Ports, Segmenten, AD-Benutzergruppen und anderen Gruppen enthalten. Gruppen können auf Basis von Tags, Maschinen-, Betriebssystem- oder Computernamen dynamisch aufgenommen werden.
Wenn „Böswilliger IP-Feed“ aktiviert ist, wird eine Liste bekannter böswilliger IPs vom NTICS Cloud Service heruntergeladen. Sie können Gruppen erstellen, um diese heruntergeladenen IPs einzubeziehen, und Firewallregeln konfigurieren, um den Zugriff darauf zu blockieren. Eine „Generisch“- oder „Nur IP-Adressen“-Gruppe kann nicht in eine „Nur IP-Adressen“-Gruppe mit böswilligen IPs konvertiert werden und genauso wenig umgekehrt. Eine „Generisch“-Gruppe kann jedoch in eine „Nur IP-Adressen“-Gruppe ohne böswillige IPs konvertiert werden.
Gruppen können von Firewallregeln auch ausgeschlossen werden und es können maximal 100 Gruppen in der Liste enthalten sein. IP-Sets, MAC-Sets und AD-Gruppen können nicht als Mitglieder in eine Gruppe eingeschlossen werden, die in einer Ausschlussliste für die Firewall verwendet wird. Weitere Informationen hierzu finden Sie unter Verwalten einer Firewall-Ausschlussliste.
Wenn Sie Active Directory-Gruppen als Quelle verwenden, kann eine einzelne Active Directory-Gruppe verwendet werden. Wenn sowohl IP- als auch Active Directory-Gruppen an der Quelle benötigt werden, erstellen Sie zwei separate Firewallregeln.
Gruppen, die nur aus IP-Adressen bestehen, MAC-Adressen oder Active Directory-Gruppen können im Textfeld Angewendet auf nicht verwendet werden.Für Richtliniengruppen, die IPs oder MAC-Adressen enthalten, zeigt die Auflistungs-API für NSGroup NICHT das Attribut „Mitglieder“ an. Dies gilt auch für Gruppen, die eine Kombination statischer Mitglieder enthalten. Wenn beispielsweise eine Richtliniengruppe IP und DVPG enthält, zeigt die Auflistungs-API für NSGroup das Attribut „Mitglieder“ nicht an.
Für Richtliniengruppen, die keine IPs, MAC-Adressen oder Identitätsgruppen enthalten, wird das Mitgliederattribut in der NSGroup-Antwort angezeigt. Neue Mitglieder und Kriterien, die in NSX (z. B. DVPort und DVPG) eingeführt wurden, werden jedoch nicht in die MP-Gruppendefinition aufgenommen. Benutzer können die Definition in Richtlinie anzeigen.
Bei Tags in NSX wird die Groß-/Kleinschreibung beachtet, aber für eine Gruppe, die auf Tags basiert, wird die Groß-/Kleinschreibung nicht beachtet. Wenn z. B. das Kriterium der dynamischen Gruppierungsmitgliedschaft VM Tag Equals 'quarantine'
ist, enthält die Gruppe alle VMs, die das Tag „Quarantäne“ bzw. „QUARANTÄNE“ enthalten.
Bei Verwendung von NSX Cloud finden Sie unter Gruppen-VMs mit NSX und Public-Cloud-Tags Informationen zur Verwendung von Public Cloud-Tags zur Gruppierung Ihrer Arbeitslast-VMs in NSX Manager.