Los grupos incluyen distintos objetos que se agregan tanto de forma estática como dinámica y pueden utilizarse como origen y destino de una regla de firewall.

Los grupos se pueden configurar para que contengan una combinación de máquinas virtuales, conjuntos de direcciones IP, conjuntos de direcciones MAC, puertos de segmentos, segmentos, grupos de usuarios de AD y otros grupos. La inclusión dinámica de grupos puede basarse en la etiqueta, el nombre del equipo, el nombre del sistema operativo o el nombre del equipo.

Nota: Si crea un grupo en la API utilizando criterios basados en LogicalPort, no podrá editar el grupo en la interfaz de usuario mediante el operador AND entre los criterios de SegmentPort. Si crea un grupo con criterios basados en segmento, puerto de segmento, grupos de puertos distribuidos o puertos distribuidos, deshabilite la opción "Confiar en el primer uso" en el Perfil de detección de IP del grupo. De lo contrario, la dirección IP original de la interfaz permanecerá en el grupo aunque cambie su dirección IP.

Si Fuente de direcciones IP malintencionadas está habilitada, se descargará una lista de direcciones IP malintencionadas conocidas desde el servicio de nube de NTICS. Puede crear grupos para incluir estas direcciones IP descargadas y configurar reglas de firewall para bloquear el acceso a ellas. Un grupo de tipo Genérico o Solo direcciones IP no se puede convertir en un grupo de tipo Solo direcciones IP con direcciones IP malintencionadas y viceversa. Sin embargo, un grupo de tipo Genérico se puede convertir en un grupo de tipo Solo direcciones IP sin direcciones IP malintencionadas.

Los grupos también se pueden excluir de las reglas de firewall, pudiendo incluir en la lista un máximo de 100 grupos. Los conjuntos de direcciones IP, los conjuntos de direcciones MAC y los grupos de AD no se pueden incluir como miembros de un grupo que se utiliza en una lista de exclusión de firewall. Consulte Administrar una lista de exclusión de firewall para obtener más información.

Si utiliza grupos de Active Directory como origen, se puede utilizar un único grupo de Active Directory. Si necesita utilizar grupos tanto de Active Directory como de direcciones IP en el origen, cree dos reglas de firewall independientes.

Los grupos que constan únicamente de direcciones IP, direcciones MAC o grupos de Active Directory no se pueden utilizar en el cuadro de texto Se aplica a.

Nota: Cuando se agrega un host a vCenter Server o se elimina de este sistema, el identificador externo de las máquinas virtuales del host cambia. Si una máquina virtual es un miembro estático de un grupo y su identificador externo cambia, esta máquina virtual dejará de aparecer como miembro del grupo en la interfaz de usuario de NSX Manager. Sin embargo, el grupo en el que se incluye la máquina virtual seguirá apareciendo con su identificador externo original en la API que contiene los grupos. Si agrega una máquina virtual como un miembro estático de un grupo y cambia el identificador externo de la máquina virtual, deberá volver a agregar la máquina virtual con el nuevo identificador externo. También puede utilizar los criterios dinámicos de pertenencia al grupo para evitar este problema.

Para los grupos de directivas que contienen direcciones IP o MAC, la API de enumeración de NSGroup NO mostrará el atributo 'members'. Esto también se aplica a los grupos que contienen una combinación de miembros estáticos. Por ejemplo, si un grupo de directivas contiene IP y DVPG, la API de lista de grupos NSGroup no mostrará el atributo de miembros.

Para los grupos de directivas que no contengan direcciones IP, direcciones MAC ni grupos de identidades, el atributo de miembro se mostrará en la respuesta del grupo NSGroup. Sin embargo, los nuevos miembros y criterios introducidos en NSX (como DVPort y DVPG) no se incluirán en la definición del grupo MP. Los usuarios pueden ver la definición en Directiva.

Las etiquetas en NSX distinguen entre mayúsculas y minúsculas, pero los grupos basados en etiquetas no. Por ejemplo, si el criterio de pertenencia a grupos dinámicos es VM Tag Equals 'quarantine', el grupo incluirá todas las máquinas virtuales que contengan las etiquetas "Cuarentena" o "CUARENTENA".

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Seleccione Inventario > Grupos en el panel de navegación.
  3. Haga clic en Agregar grupo y asígnele un nombre al grupo.
  4. Si va a agregar un grupo desde un Administrador global para Federación de NSX, acepte la selección de región predeterminada o seleccione una región en el menú desplegable. Una vez que se crea un grupo con una región, no se puede editar la selección de región. Sin embargo, puede cambiar el alcance de la propia región agregando o eliminando ubicaciones. Puede crear regiones personalizadas antes de crear el grupo.
    Para los grupos que se agreguen desde un Administrador global en un entorno de Federación de NSX, se debe seleccionar una región obligatoria. Este cuadro de texto no está disponible si no se utiliza el Administrador global.
  5. Haga clic en Establecer.
  6. En la ventana Configurar miembros, seleccione el Tipo de grupo.
    Tipo de grupo Descripción
    Genérico

    Este tipo de grupo es la selección predeterminada. Una definición de grupo genérico puede constar de una combinación de criterios de pertenencia, miembros agregados manualmente, direcciones IP, direcciones MAC y grupos Active Directory.

    Los grupos genéricos con solo miembros de dirección IP agregados manualmente no se pueden usar en el campo Se aplica a en las reglas de DFW. Es posible crear la regla, pero no se aplicará.

    Cuando se definen criterios de pertenencia en el grupo, los miembros se agregan dinámicamente al grupo en función de uno o varios criterios. Los miembros agregados manualmente incluyen objetos, como puertos de segmentos, puertos distribuidos, grupos de puertos distribuidos, VIF, máquinas virtuales, etc.

    Solo direcciones IP

    Este tipo de grupo solo contiene direcciones IP (IPv4 o IPv6). Los grupos Solo direcciones IP solo con direcciones IP agregadas manualmente no se pueden usar en reglas Se aplica a en DFW. Es posible crear la regla, pero no se aplicará.

    Si el tipo de grupo es Genérico, puede cambiarlo al tipo de grupo Solo direcciones IP, pero no al tipo de grupo Solo direcciones IP con direcciones IP malintencionadas. En este caso, solo se conservan las direcciones IP en el grupo. Se perderán todos los criterios de pertenencia del grupo y otras definiciones del grupo. Después de que un grupo de tipo Solo direcciones IP o Solo direcciones IP con direcciones IP malintencionadas se haya realizado en NSX, no se podrá editar el tipo de grupo en Genérico.

    El tipo de grupo Solo direcciones IP es funcionalmente similar a NSGroups con criterio basado en etiquetas de conjunto de direcciones IP en el modo Manager de versiones anteriores de NSX.

    Solo direcciones IP con direcciones IP malintencionadas

    Si habilitó Fuentes de direcciones IP malintencionadas, puede crear un grupo Solo direcciones IP con direcciones IP malintencionadas activando Agregar direcciones IP malintencionadas predefinidas.

    También puede especificar direcciones IP y grupos de solo direcciones IP que deben tratarse como excepciones y que no deben bloquearse.

    Tenga en cuenta que, una vez que haya activado la opción Agregar direcciones IP malintencionadas predefinidas, no podrá desactivarla mientras edita el grupo.

    Antrea

    Este tipo de grupo solo está disponible cuando el entorno de NSX tiene uno o varios clústeres de Antrea Kubernetes registrados.

  7. (opcional) En la página Criterios de pertenencia, haga clic en Agregar criterio para agregar miembros al grupo genérico de forma dinámica en función de uno o varios criterios de pertenencia.

    Si registró clústeres de Kubernetes con CNI de Antrea en su implementación de NSX, puede crear grupos genéricos con tipos de miembros de Kubernetes en criterios dinámicos de pertenencia para que coincidan con el tráfico entrante y saliente de estos clústeres de Antrea Kubernetes.

    Un criterio de pertenencia puede tener una o varias condiciones. Las condiciones pueden utilizar el mismo tipo de miembro o una combinación de diferentes tipos de miembros. En un único criterio de pertenencia, las condiciones basadas en tipos de miembros de NSX no se pueden combinar con condiciones basadas en tipos de miembros de Kubernetes. Sin embargo, puede tener un criterio basado solo en tipos de miembros de NSX y otro basado solo en tipos de miembros de Kubernetes y, después, unir ambos criterios con un operador OR.

    Algunas restricciones se aplican a la adición de varias condiciones con tipos de miembros de NSX mixtos o tipos de miembros de Kubernetes mixtos en un criterio de pertenencia. Para obtener más información sobre los criterios de pertenencia, consulte Descripción general de los criterios de pertenencia a grupos de NSX.

    Nota: En un entorno de NSX de varios tenants, los recursos del clúster de Kubernetes no se exponen al inventario del proyecto. Por lo tanto, dentro de un proyecto, no se pueden crear grupos genéricos con tipos de miembros de Kubernetes en criterios dinámicos de pertenencia.
  8. (opcional) Haga clic en Miembros para agregar miembros estáticos al grupo.
    Los tipos de miembro disponibles son:
    • Grupos: si utiliza Federación de NSX, puede agregar un grupo como miembro que tenga un intervalo igual o menor que la región seleccionada para el grupo que va a crear desde el Administrador global.
    • NSX Segments: segmentos de NSX Las direcciones IP asignadas a una interfaz de puerta de enlace y las direcciones IP virtuales del equilibrador de carga de NSX no se incluyen como miembros del grupo de segmentos.
    • Puertos de segmento
    • Grupos de puertos distribuidos
    • Puertos distribuidos
    • VIF
    • Máquinas virtuales
    • Servidores físicos
  9. (opcional) Haga clic en Direcciones IP o Direcciones MAC para agregar direcciones IP y MAC como miembros del grupo. Se admiten direcciones IPv4, IPv6 y de multidifusión.
    Haga clic en Acción > Importar para importar direcciones IP/MAC desde un archivo TXT o CSV con valores de direcciones IP/MAC separados por comas.
  10. (opcional) Haga clic en Grupos de AD para agregar grupos de Active Directory. Los grupos con miembros de Active Directory se pueden utilizar en el cuadro de texto de origen de una regla de firewall distribuido para el firewall de identidad. Los grupos pueden contener tanto miembros de equipos como de AD.
    Nota: Si utiliza Federación de NSX, no podrá crear grupos desde Global Manager para incluir grupos de usuarios de AD.
  11. (opcional) Introduzca una descripción y una etiqueta.
  12. Haga clic en Aplicar.
    Se muestra una lista de grupos, con una opción para ver los miembros y donde se utiliza el grupo.