Los grupos NSGroup se pueden configurar para que contengan una combinación de conjuntos de direcciones IP, conjuntos de direcciones MAC, puertos lógicos, conmutadores lógicos y otros grupos NSGroup. Puede especificar grupos NSGroup con conmutadores lógicos, puertos lógicos y máquinas virtuales como orígenes y destinos, así como en el campo Applied To de una regla del firewall. Los grupos NSGroup con un conjunto de direcciones IP y un conjunto de direcciones MAC se omitirán en un campo Applied To del firewall distribuido.

Un grupo NSGroup tiene las siguientes características:

  • Un grupo NSGroup tiene miembros directos y efectivos. Entre los miembros efectivos, se incluyen los miembros que especifica con los criterios de pertenencia, así como todos los miembros efectivos y directos que pertenecen a los miembros de este grupo NSGroup. Por ejemplo, imaginemos que el grupo NSGroup-1 tiene el miembro directo LogicalSwitch-1. Agrega el grupo NSGroup-2 y especifica NSGroup-1 y LogicalSwitch-2 como miembros. Ahora NSGroup-2 tiene los miembros directos NSGroup-1 y LogicalSwitch-2, así como un miembro efectivo, LogicalSwitch-1. A continuación, agrega NSGroup-3 y especifica NSGroup-2 como miembro. NSGroup-3 ahora tiene el miembro directo NSGroup-2 y los miembros efectivos LogicalSwitch-1 y LogicalSwitch-2. En la tabla de grupos principal, al hacer clic en un grupo y seleccionar Relacionado > Grupos NSGroup, aparecería NSGroup-1, NSGroup-2 y NSGroup-3 debido a que LogicalSwitch-1 es miembro de estos tres de forma directa o indirecta.
  • Un grupo NSGroup puede tener un máximo de 500 miembros directos.
  • El límite recomendado para el número de miembros efectivos de un grupo NSGroup es 5.000. NSX Manager comprueba el límite de los grupos NSGroup dos veces al día, a las 7 de la mañana y a las 7 de la tarde. Si supera este límite, ninguna funcionalidad se verá afectada pero es posible que exista un impacto negativo en el rendimiento.
    • Cuando el número de miembros efectivos de un grupo NSGroup supera el 80% de 5.000, se muestra el mensaje de advertencia El grupo NSGroup xyz está a punto de superar el límite máximo de miembros. El número total de grupos NSGroup es... en el archivo de registro. Cuando el número supera el límite de 5.000, aparece el mensaje de advertencia El grupo NSGroup xyz alcanzó el límite máximo de números. Número total en el grupo NSGroup = ....
    • Cuando el número de direcciones MAC o IP, o de archivos VIF traducidos, supera el límite de 5.000, se muestra el mensaje de advertencia El contenedor xyz alcanzó el límite máximo de traducciones de IP/MAC/VIF. Las traducciones actuales se incluyen en Contenedor: Direcciones IP:..., Direcciones MAC:..., Archivos VIF:... en el archivo de registro.
  • El número máximo de máquinas virtuales admitidas es 10.000.
  • Puede crear un máximo de 10.000 grupos NSGroup.
  • Edge_NSGroup es un grupo propiedad de la directiva (grupo del sistema) que está disponible en un administrador local y que está visible en la interfaz de usuario. Este grupo no está disponible en un Global Manager. Sin embargo, una configuración de Global Manager migrada contiene Edge_NSGroup obsoletos y la interfaz de usuario muestra lo mismo, pero el grupo no tiene ningún significado en un Global Manager.

Para todos los objetos que se pueden agregar a un grupo NSGroup como miembros, puede desplazarse hasta la pantalla de cualquiera de los objetos y seleccionar Relacionado > Grupos NSGroup.

Requisitos previos

Compruebe que el modo Manager esté seleccionado en la interfaz de usuario de NSX Manager. Consulte NSX Manager. Si no ve los botones de los modos Directiva y Manager, consulte Configurar los ajustes de la interfaz de usuario.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Seleccione Inventario > Grupos > Agregar.
  3. Introduzca un nombre para el grupo NSGroup.
  4. (opcional) Escriba una descripción.
  5. (opcional) Haga clic en Criterios de pertenencia.
    Para cada criterio, puede especificar hasta cinco reglas, que se combinen con el operador AND lógico. El criterio de miembro disponible puede aplicarse a lo siguiente:
    • Puerto lógico: puede especificar una etiqueta y un ámbito opcional.
    • Conmutador lógico: puede especificar una etiqueta y un ámbito opcional.
    • Máquina Virtual: puede especificar un nombre, una etiqueta, un nombre de sistema operativo de equipo o un nombre de equipo que coincida con una cadena específica, que no coincida con ella, que la contenga, o que comience o termine con ella.
    • Nodo de transporte: puede especificar un tipo de nodo que equivalga a un nodo de Edge o un nodo de host.
    • Conjunto de direcciones IP: puede especificar una etiqueta y, opcionalmente, un ámbito.
  6. (opcional) Haga clic en Miembros para seleccionar miembros.
    Los tipos de miembro disponibles son:
    • Grupo de AD: los grupos NSGroup con grupos ADGroup solo se pueden usar en el campo extended_source de una regla de firewall distribuido y deben ser los únicos miembros del grupo. Por ejemplo, no puede haber un grupo NSGroup con en el que ADGroup y IPSet sean miembros al mismo tiempo.
    • Conjunto de direcciones IP: puede incluir direcciones IPv4 y direcciones IPv6.
    • Puerto lógico: puede incluir direcciones IPv4 y direcciones IPv6.
    • Conmutador lógico: puede incluir direcciones IPv4 y direcciones IPv6.
    • Conjunto de direcciones MAC
    • Grupo NSGroup
    • Nodo de transporte
    • VIF
    • Máquina virtual
  7. Haga clic en AGREGAR.
    El grupo se agrega a la tabla de grupos. Haga clic en un nombre de grupo para que aparezca una descripción general y pueda editar la información de grupo, incluidos los criterios de pertenencia, los miembros, las aplicaciones y los grupos relacionados. Desplácese hasta la parte inferior de la pestaña Información general para agregar y eliminar etiquetas. Consulte Agregar etiquetas a un objeto de NSX para obtener más información. Al seleccionar Relacionado > Grupos NSGroup, se muestran todos los grupos NSGroup que tienen el grupo NSGroup seleccionado como miembro.