Los grupos incluyen distintos objetos que se agregan tanto de forma estática como dinámica y pueden utilizarse como origen y destino de una regla de firewall.

Los grupos se pueden configurar para que contengan una combinación de máquinas virtuales, conjuntos de direcciones IP, conjuntos de direcciones MAC, puertos de segmentos, segmentos, grupos de usuarios de AD y otros grupos. La inclusión dinámica de grupos puede basarse en la etiqueta, el nombre del equipo, el nombre del sistema operativo o el nombre del equipo.
Nota: Si crea un grupo en la API utilizando criterios basados en LogicalPort, no podrá editar el grupo en la interfaz de usuario mediante el operador AND entre los criterios de SegmentPort.

Los grupos también se pueden excluir de las reglas de firewall, pudiendo incluir en la lista un máximo de 100 grupos. Los conjuntos de direcciones IP, los conjuntos de direcciones MAC y los grupos de AD no se pueden incluir como miembros de un grupo que se utiliza en una lista de exclusión de firewall. Consulte Administrar una lista de exclusión de firewall para obtener más información.

Un único grupo de IP o AD se puede utilizar como origen solo dentro de una regla de firewall distribuido. Si necesita utilizar grupos de IP y AD en el origen, cree dos reglas de firewall independientes.

Los grupos que constan únicamente de direcciones IP, direcciones MAC o grupos de Active Directory no se pueden utilizar en el cuadro de texto Se aplica a.

Nota: Cuando se agrega un host a vCenter Server o se elimina de este sistema, el identificador externo de las máquinas virtuales del host cambia. Si una máquina virtual es un miembro estático de un grupo y su identificador externo cambia, esta máquina virtual dejará de aparecer como miembro del grupo en la interfaz de usuario de NSX Manager. Sin embargo, el grupo en el que se incluye la máquina virtual seguirá apareciendo con su identificador externo original en la API que contiene los grupos. Si agrega una máquina virtual como un miembro estático de un grupo y cambia el identificador externo de la máquina virtual, deberá volver a agregar la máquina virtual con el nuevo identificador externo. También puede utilizar los criterios dinámicos de pertenencia al grupo para evitar este problema.

Las etiquetas en NSX distinguen entre mayúsculas y minúsculas, pero los grupos basados en etiquetas no. Por ejemplo, si el criterio de pertenencia a grupos dinámicos es VM Tag Equals 'quarantine', el grupo incluirá todas las máquinas virtuales que contengan las etiquetas "Cuarentena" o "CUARENTENA".

Si utiliza NSX Cloud, consulte Agrupar las máquinas virtuales utilizando NSX-T Data Center y etiquetas de nube pública para obtener información sobre cómo usar las etiquetas de nube pública para agrupar las máquinas virtuales de carga de trabajo en NSX Manager.

Requisitos previos

Si utiliza Federation, consulte Seguridad en NSX Federation para obtener más información sobre las opciones de configuración.
Nota: Si utiliza NSX Federation, no podrá crear grupos desde Global Manager que incluyan grupos de usuarios de AD.

Procedimiento

  1. Seleccione Inventario > Grupos en el panel de navegación.
  2. Haga clic en Agregar grupo.
  3. Introduzca un nombre de grupo.
  4. Si va a agregar un grupo desde un Global Manager para Federation, acepte la selección de región predeterminada o seleccione una región en el menú desplegable. Una vez que se crea un grupo con una región, no se puede editar la selección de región. Sin embargo, puede cambiar el alcance de la propia región agregando o eliminando ubicaciones. Puede crear regiones personalizadas antes de crear el grupo. Consulte Crear una región desde Global Manager.
    Nota: Para los grupos que se agreguen desde un Global Manager en un entorno de Federation, se debe seleccionar una región obligatoria. Este cuadro de texto no está disponible si no se utiliza el Global Manager.
  5. (opcional) Haga clic en Establecer miembros.
    Para cada criterio de pertenencia, puede especificar hasta cinco reglas, que se combinan con el operador lógico AND. El criterio de miembro disponible puede aplicarse a lo siguiente:
    • Puerto de segmento: especifique una etiqueta, un ámbito o ambos.
    • Segmento: especifique una etiqueta, un ámbito o ambos.
    • Máquina virtual: especifique un nombre, una etiqueta, un nombre de sistema operativo de equipo o un nombre de equipo que coincida con una cadena específica, que no coincida con ella, que la contenga, o que comience o termine con ella.
    • Conjunto de direcciones IP: especifique una etiqueta, un ámbito o ambos.
  6. (opcional) Haga clic en Miembros para seleccionar miembros.
    Los tipos de miembro disponibles son:
    • Grupos
      Nota: Si utiliza Federation, puede agregar un grupo como miembro que tenga un span igual o menor que la región seleccionada para el grupo que va a crear desde el Global Manager (consulte Seguridad en NSX Federation).
    • Segmentos
      Nota: Las direcciones IP asignadas a una interfaz de puerta de enlace y las direcciones IP virtuales del equilibrador de carga de NSX no se incluyen como miembros del grupo de segmentos.
    • Puertos de segmento
    • VIF
    • Máquinas virtuales
    • Servidores físicos
    • Instancias del servicio nativo de nube
  7. (opcional) Haga clic en Direcciones IP/MAC para agregar direcciones IP y MAC como miembros del grupo. Se admiten direcciones IPv4, IPv6 y de multidifusión.
    Haga clic en Acción > Importar para importar direcciones IP/MAC desde un archivo .TXT o .CSV con valores de direcciones IP/MAC separados por comas.
  8. (opcional) Haga clic en Grupos de AD para agregar grupos de Active Directory. Los grupos con miembros de Active Directory se pueden utilizar en el cuadro de texto de origen de una regla de firewall distribuido para el firewall de identidad. Los grupos pueden contener tanto miembros de equipos como de AD.
    Si utiliza NSX Federation, no podrá crear grupos desde Global Manager para incluir grupos de AD.
  9. (opcional) Introduzca una descripción y una etiqueta.
  10. Haga clic en Aplicar.
    Se muestra una lista de grupos, con una opción para ver los miembros y donde se utiliza el grupo.