NSGroups können so konfiguriert werden, dass diese eine Kombination von IP-Sätzen, MAC Sets, logischen Ports, logischen Switches und anderen NSGroups aufnehmen. Sie können NSGroups mit logischen Switches, logischen Ports und VMs als Quellen und Ziele sowie im Feld Applied To einer Firewallregel angeben. NSGroups mit IPset und MACSet werden in einem Applied To-Feld einer verteilten Firewall ignoriert.

Eine NSGroup verfügt über die folgenden Merkmale:

  • Eine NSGroup verfügt über direkte und effektive Mitglieder. Zu den effektiven Mitgliedern gehören Mitglieder, die mithilfe von Mitgliedschaftskriterien festgelegt werden, sowie alle direkten und effektiven Mitglieder, die zu den Mitgliedern dieser NSGroup gehören. Angenommen, NSGroup-1 verfügt über das direkte Mitglied LogischerSwitch-1. Sie fügen NSGroup-2 hinzu und Sie legen NSGroup-1 sowie LogischerSwitch-2 als Mitglieder fest. Damit verfügt NSGroup-2 über die direkten Mitglieder NSGroup-1 und LogischerSwitch-2 sowie über ein effektives Mitglied, LogischerSwitch-1. Als Nächstes fügen Sie NSGroup-3 hinzu und legen NSGroup-2 als Mitglied fest. NSGroup-3 verfügt damit über das direkte Mitglied NSGroup-2 sowie über die effektiven Mitglieder LogischerSwitch-1 und LogischerSwitch-2. Aus der Hauptgruppentabelle würde durch Klicken auf eine Gruppe und Auswählen der Option Zugehörig > NSGroups NSGroup-1, NSGroup-2 und NSGroup-3 angezeigt werden, da alle drei direkt oder indirekt LogischerSwitch-1 als Mitglied haben.
  • Eine NSGroup kann maximal 500 direkte Mitglieder enthalten.
  • Der empfohlene Grenzwert für die Anzahl der effektiven Mitglieder in einer NSGroup beträgt 5000. Der NSX Manager überprüft die NSGroups zweimal täglich auf diesen Grenzwert, um 7:00 Uhr und um 19:00 Uhr. Wird der Grenzwert überschritten, beeinträchtigt dies nicht die Funktionalität, aber möglicherweise die Leistung.
    • Wenn die Anzahl der effektiven Mitglieder einer NSGroup 80 % von 5000 überschreitet, wird die Warnmeldung NSGroup XYZ ist im Begriff, die maximale Anzahl an Mitgliedern in einer NSGroup zu überschreiten. Gesamtanzahl in NSGroup ist... in der Protokolldatei angezeigt. Wenn die Anzahl 5000 überschreitet, wird die Warnmeldung „NSGroup Xyz hat das maximale Zahlenlimit erreicht“ angezeigt. Die Gesamtzahl an Mitgliedern in der NSGroup = ....
    • Wenn die Anzahl der übersetzten VIFs/IPs/MACs in einer NSGroup 5000 überschreitet, wird die Warnmeldung Container XYZ hat die maximale Anzahl an IP-/MAC-/VIF-Übersetzungen erreicht. Aktuelle Anzahl der Übersetzungen im Container – IPs:..., MACs:..., VIFs:... in der Protokolldatei angezeigt.
  • Die maximal unterstützte Anzahl VMs ist 10.000.
  • Sie können maximal 10.000 NSGroups erstellen.
  • Edge_NSGroup ist eine richtlinieneigene Gruppe (Systemgruppe), die auf einem lokalen Manager verfügbar ist und in der Benutzeroberfläche angezeigt wird. Diese Gruppe ist auf einem globalen Manager nicht verfügbar. Eine migrierte Einrichtung des globalen Managers enthält jedoch eine veraltete Edge_NSGroup, und in der Benutzeroberfläche wird dieselbe angezeigt, aber die Gruppe ist für einen globalen Manager ohne Bedeutung.

Für alle Objekte, die Sie einer NSGroup als Mitglieder hinzufügen können, können Sie zum Bildschirm navigieren und die Option Zugehörig > NSGroups auswählen.

Voraussetzungen

Stellen Sie sicher, dass der Modus Manager in der Benutzerschnittstelle von NSX Manager ausgewählt ist. Siehe NSX Manager. Wenn die Modusschaltflächen Richtlinie und Manager nicht angezeigt werden, finden Sie Informationen unter Konfigurieren der Benutzeroberflächeneinstellungen.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie Bestand > Gruppen > Hinzufügen aus.
  3. Geben Sie einen Namen für die NSGroup ein.
  4. (Optional) Geben Sie eine Beschreibung ein.
  5. (Optional) Klicken Sie auf Mitgliedschaftskriterien.
    Für jedes Kriterium können Sie bis zu fünf Regeln angeben, die mit dem logischen Operator AND kombiniert werden. Das verfügbare Mitgliedskriterium kann auf Folgendes angewendet werden:
    • Logischer Port – kann ein Tag und optional den Geltungsbereich angeben.
    • Logischer Switch – kann ein Tag und optional den Geltungsbereich angeben.
    • Virtuelle Maschine – kann einen Namen, ein Tag, den Namen des Computerbetriebssystems oder einen Computernamen angeben, der bzw. das einer bestimmten Zeichenfolge entspricht, diese enthält, mit ihr beginnt oder endet oder nicht mit ihr übereinstimmt
    • Transportknoten – kann einen Knotentyp angeben, der einem Edge-Knoten oder einem Hostknoten entspricht.
    • IP Set – kann ein Tag und optional den Geltungsbereich angeben.
  6. (Optional) Klicken Sie auf Mitglieder, um Mitglieder auszuwählen.
    Die verfügbaren Mitgliedstypen sind:
    • AD-Gruppe – NSGroups mit AD-Gruppen können nur im Feld „Extended_source“ einer verteilten Firewallregel verwendet werden und müssen die einzigen Mitglieder der Gruppe sein. Beispiel: Es kann keine NSGroups mit sowohl einer AD-Gruppe als auch einem IP Set zusammen als Mitglieder geben.
    • IP Set – kann sowohl IPv4- als auch IPv6-Adressen enthalten.
    • Logischer Port – kann sowohl IPv4- als auch IPv6-Adressen enthalten.
    • Logischer Switch – kann sowohl IPv4- als auch IPv6-Adressen enthalten.
    • MAC Set
    • NSGroup
    • Transportknoten
    • VIF
    • Virtuelle Maschine
  7. Klicken Sie auf HINZUFÜGEN.
    Die Gruppe wird zur Gruppentabelle hinzugefügt. Klicken Sie auf einen Gruppennamen, um eine Übersicht über Gruppeninformationen, einschließlich den Kriterien für Mitgliedschaft, Mitglieder, Anwendungen und verwandte Gruppen, anzuzeigen und diese zu bearbeiten. Scrollen Sie zum unteren Rand der Registerkarte Übersicht, um Tags hinzuzufügen und zu löschen. Weitere Informationen hierzu finden Sie unter Hinzufügen von Tags zu einem NSX-Objekt. Bei der Auswahl von Zugehörig > NSGroups werden alle NSGroups, die die ausgewählte NSGroup als Mitglied haben, angezeigt.