Gruppen enthalten verschiedene Objekte, die sowohl statisch als auch dynamisch hinzugefügt werden und als Quelle und Ziel einer Firewallregel verwendet werden können.

Gruppen können so konfiguriert werden, dass sie eine Kombination aus virtuellen Maschinen, IP Sets, MAC Sets, Segment-Ports, Segmenten, AD-Benutzergruppen und anderen Gruppen enthalten. Gruppen können auf Basis von Tags, Maschinen-, Betriebssystem- oder Computernamen dynamisch aufgenommen werden.

Hinweis: Wenn Sie eine Gruppe in der API mithilfe von auf LogicalPort basierenden Kriterien erstellen, können Sie die Gruppe in der Benutzeroberfläche nicht mit dem AND-Operator zwischen SegmentPort-Kriterien bearbeiten. Wenn Sie eine Gruppe mithilfe von Kriterien erstellen, die auf Segmenten, Segmentports, verteilten Portgruppen oder verteilten Ports basieren, deaktivieren Sie die Option „Vertrauen bei erster Nutzung“ im IP Discovery-Profil der Gruppe. Andernfalls verbleibt die ursprüngliche IP-Adresse der Schnittstelle in Ihrer Gruppe, selbst wenn sich ihre IP-Adresse ändert.

Wenn „Böswilliger IP-Feed“ aktiviert ist, wird eine Liste bekannter böswilliger IPs vom NTICS Cloud Service heruntergeladen. Sie können Gruppen erstellen, um diese heruntergeladenen IPs einzubeziehen, und Firewallregeln konfigurieren, um den Zugriff darauf zu blockieren. Eine „Generisch“- oder „Nur IP-Adressen“-Gruppe kann nicht in eine „Nur IP-Adressen“-Gruppe mit böswilligen IPs konvertiert werden und genauso wenig umgekehrt. Eine „Generisch“-Gruppe kann jedoch in eine „Nur IP-Adressen“-Gruppe ohne böswillige IPs konvertiert werden.

Gruppen können von Firewallregeln auch ausgeschlossen werden und es können maximal 100 Gruppen in der Liste enthalten sein. IP-Sets, MAC-Sets und AD-Gruppen können nicht als Mitglieder in eine Gruppe eingeschlossen werden, die in einer Ausschlussliste für die Firewall verwendet wird. Weitere Informationen hierzu finden Sie unter Verwalten einer Firewall-Ausschlussliste.

Wenn Sie Active Directory-Gruppen als Quelle verwenden, kann eine einzelne Active Directory-Gruppe verwendet werden. Wenn sowohl IP- als auch Active Directory-Gruppen an der Quelle benötigt werden, erstellen Sie zwei separate Firewallregeln.

Gruppen, die nur aus IP-Adressen bestehen, MAC-Adressen oder Active Directory-Gruppen können im Textfeld Angewendet auf nicht verwendet werden.

Hinweis: Wenn ein Host einem vCenter Server hinzugefügt oder daraus entfernt wird, ändert sich die externe ID der VMs auf dem Host. Wenn eine VM ein statisches Mitglied einer Gruppe ist und sich die externe ID der VM ändert, zeigt die NSX Manager-Benutzeroberfläche die VM nicht mehr als Mitglied der Gruppe an. Die API, die die Gruppen auflistet, zeigt die VM jedoch weiterhin mit ihrer ursprünglichen ID in der Gruppe an. Wenn Sie eine VM als statisches Mitglied einer Gruppe hinzufügen und sich die externe ID der VM ändert, müssen Sie die VM erneut mit der neuen externen ID hinzufügen. Sie können auch dynamische Mitgliedschaftskriterien verwenden, um dieses Problem zu vermeiden.

Für Richtliniengruppen, die IPs oder MAC-Adressen enthalten, zeigt die Auflistungs-API für NSGroup NICHT das Attribut „Mitglieder“ an. Dies gilt auch für Gruppen, die eine Kombination statischer Mitglieder enthalten. Wenn beispielsweise eine Richtliniengruppe IP und DVPG enthält, zeigt die Auflistungs-API für NSGroup das Attribut „Mitglieder“ nicht an.

Für Richtliniengruppen, die keine IPs, MAC-Adressen oder Identitätsgruppen enthalten, wird das Mitgliederattribut in der NSGroup-Antwort angezeigt. Neue Mitglieder und Kriterien, die in NSX (z. B. DVPort und DVPG) eingeführt wurden, werden jedoch nicht in die MP-Gruppendefinition aufgenommen. Benutzer können die Definition in Richtlinie anzeigen.

Bei Tags in NSX wird die Groß-/Kleinschreibung beachtet, aber für eine Gruppe, die auf Tags basiert, wird die Groß-/Kleinschreibung nicht beachtet. Wenn z. B. das Kriterium der dynamischen Gruppierungsmitgliedschaft VM Tag Equals 'quarantine' ist, enthält die Gruppe alle VMs, die das Tag „Quarantäne“ bzw. „QUARANTÄNE“ enthalten.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie im Navigationsbereich die Option Bestand > Gruppen aus.
  3. Klicken Sie auf Gruppe hinzufügen und geben Sie einen Gruppennamen ein.
  4. Wenn Sie im Globaler Manager eine Gruppe für NSX-Verbund hinzufügen, akzeptieren Sie entweder die ausgewählte Standardregion oder wählen Sie im Dropdown-Menü eine Region aus. Sobald Sie eine Gruppe mit einer Region erstellt haben, können Sie die Auswahl der Region nicht mehr bearbeiten. Sie können jedoch den Geltungsbereich der Region selbst ändern, indem Sie darin Speicherorte hinzufügen oder entfernen. Vor dem Erstellen der Gruppe können Sie angepasste Regionen erstellen.
    Für Gruppen, die in einem Globaler Manager zu einer NSX-Verbund-Umgebung hinzugefügt werden, ist die Auswahl einer Region obligatorisch. Dieses Textfeld ist nicht verfügbar, wenn Sie nicht den Globaler Manager verwenden.
  5. Klicken Sie auf Festlegen.
  6. Wählen Sie im Fenster Mitglieder festlegen den Gruppentyp aus.
    Gruppentyp Beschreibung
    Generisch

    Dieser Gruppentyp ist die Standardauswahl. Eine generische Gruppendefinition kann aus einer Kombination aus Mitgliedschaftskriterien, manuell hinzugefügten Mitgliedern, IP-Adressen, MAC-Adressen und Active Directory-Gruppen bestehen.

    Generische Gruppen mit nur manuell hinzugefügten IP-Adressmitgliedern werden nicht für die Verwendung im Feld Angewendet auf in DFW-Regeln unterstützt. Es ist möglich, die Regel zu erstellen, aber sie wird nicht erzwungen.

    Wenn Sie Mitgliedschaftskriterien in der Gruppe definieren, werden die Mitglieder basierend auf einem oder mehreren Kriterien dynamisch zur Gruppe hinzugefügt. Zu den manuell hinzugefügten Mitgliedern gehören Objekte wie Segmentports, verteilte Ports, verteilte Portgruppen, VIFs, virtuelle Maschinen usw.

    Nur IP-Adressen

    Dieser Gruppentyp enthält nur IP-Adressen (IPv4 oder IPv6). Nur IP-Adressen-Gruppen mit nur manuell hinzugefügten IP-Adressmitgliedern werden nicht für die Verwendung in den DFW-Regeln Angewendet auf unterstützt. Es ist möglich, die Regel zu erstellen, aber sie wird nicht erzwungen.

    Wenn die Gruppe den Typ Generisch besitzt, können Sie den Typ zu einer Gruppe mit Nur IP-Adressen, nicht jedoch zu einer Gruppe mit Nur IP-Adressen mit böswilligen IP-Adressen ändern. In diesem Fall werden nur die IP-Adressen in der Gruppe beibehalten. Alle Mitgliedschaftskriterien und andere Gruppendefinitionen gehen verloren. Nachdem eine Gruppe vom Typ Nur IP-Adressen oder Nur IP-Adressen mit böswilligen IP-Adressen in NSX realisiert wurde, können Sie den Gruppentyp nicht wieder in Generisch ändern.

    Der Gruppentyp Nur IP-Adressen ist funktionell ähnlich wie NSGroups mit IP Set-Tag-basiertem Kriterium im Manager-Modus früherer NSX-Versionen.

    Nur IP-Adressen mit böswilligen IPs

    Wenn Sie Böswillige IP-Feeds aktiviert haben, können Sie eine Nur IP-Adressen-Gruppe mit böswilligen IPs erstellen, indem Sie Vordefinierte böswillige IPs hinzufügen aktivieren.

    Sie können auch IPs und „Nur IP-Adressen“-Gruppen angeben, die als Ausnahmen behandelt und nicht blockiert werden.

    Beachten Sie, dass Sie die Umschaltoption Vordefinierte böswillige IPs hinzufügen nicht deaktivieren können, während Sie die Gruppe bearbeiten.

    Antrea

    Dieser Gruppentyp ist nur verfügbar, wenn in Ihrer NSX-Umgebung ein oder mehrere Antrea-Kubernetes-Cluster registriert sind.

  7. (Optional) Klicken Sie auf der Seite Mitgliedschaftskriterien auf Kriterium hinzufügen, um Mitglieder in der generischen Gruppe basierend auf einem oder mehreren Mitgliedschaftskriterien dynamisch hinzuzufügen.

    Wenn Sie Kubernetes-Cluster mit Antrea-CNI in Ihrer NSX-Bereitstellung registriert haben, können Sie generische Gruppen mit Kubernetes-Mitgliedstypen in dynamischen Mitgliedschaftskriterien erstellen, um den in diesen Antrea-Kubernetes-Clustern eingehenden oder ausgehenden Datenverkehr abzugleichen.

    Ein Mitgliedschaftskriterium kann eine oder mehrere Bedingungen aufweisen. Die Bedingungen können denselben Mitgliedstyp oder eine Kombination aus verschiedenen Mitgliedstypen verwenden. In einem einzelnen Mitgliedschaftskriterium dürfen Bedingungen, die auf NSX-Mitgliedstypen basieren, nicht mit Bedingungen kombiniert werden, die auf Kubernetes-Mitgliedstypen basieren. Sie können jedoch ein Kriterium verwenden, das nur auf NSX-Mitgliedstypen basiert, und ein weiteres Kriterium, das nur auf Kubernetes-Mitgliedstypen basiert, und dann beide Kriterien mit einem ODER-Operator verknüpfen.

    Einige Einschränkungen gelten für das Hinzufügen mehrerer Bedingungen mit gemischten NSX-Mitgliedstypen oder gemischten Kubernetes-Mitgliedstypen in einem Mitgliedschaftskriterium. Weitere Informationen zu Mitgliedschaftskriterien finden Sie unter Übersicht über NSX-Gruppenmitgliedschaftskriterien.

    Hinweis: In einer NSX-Umgebung mit mehreren Mandanten werden Kubernetes-Cluster-Ressourcen nicht für die Projektbestandsliste verfügbar machen. Daher können Sie innerhalb eines Projekts keine generischen Gruppen mit Kubernetes-Mitgliedstypen in dynamischen Mitgliedschaftskriterien erstellen.
  8. (Optional) Klicken Sie auf Mitglieder, um statische Mitglieder zur Gruppe hinzuzufügen.
    Die verfügbaren Mitgliedstypen sind:
    • Gruppen: Wenn Sie NSX-Verbund verwenden, können Sie als Mitglied eine Gruppe mit einem kleineren oder gleich großen Geltungsbereich wie die Region hinzufügen, die Sie für die im Globaler Manager erstellte Gruppe ausgewählt haben.
    • NSX-Segmente: IP-Adressen, die einer Gateway-Schnittstelle zugewiesen sind, und virtuelle IP-Adressen des NSX Load Balancers sind nicht als Segmentgruppenmitglieder enthalten.
    • Segment-Ports
    • Verteilte Portgruppen
    • Verteilte Ports
    • VIFs
    • Virtuelle Maschinen
    • Physische Server
  9. (Optional) Klicken Sie auf IP-Adressen oder MAC-Adressen, um IP- und MAC-Adressen als Gruppenmitglieder hinzuzufügen. IPv4-Adressen, IPv6-Adressen und Multicast-Adressen werden unterstützt.
    Klicken Sie auf Aktion > Importieren, um IP-/MAC-Adressen aus einer TXT- oder CSV-Datei zu importieren, die durch Kommas getrennte IP-/MAC-Werte enthält.
  10. (Optional) Klicken Sie auf AD-Gruppen, um Active Directory-Gruppen hinzuzufügen. Gruppen mit Active Directory-Mitgliedern können im Quelltextfeld einer verteilten Firewallregel verwendet werden. Gruppen können sowohl AD- als auch Computing-Mitglieder enthalten.
    Hinweis: Wenn Sie NSX-Verbund verwenden, können Sie keine Gruppen im globalen Manager erstellen, um AD-Benutzergruppen einzubeziehen.
  11. (Optional) Geben Sie eine Beschreibung und ein Tag ein.
  12. Klicken Sie auf Anwenden.
    Gruppen werden mit einer Option zum Anzeigen der Mitglieder und einer Angabe zu deren Verwendungsort aufgeführt.