Les groupes comprennent différents objets, ajoutés à la fois statiquement et dynamiquement, et pouvant faire office de source et de destination pour une règle de pare-feu.

Des groupes peuvent être configurés de manière à comporter des machines virtuelles, des ensembles d'adresses IP, des ensembles d'adresses MAC, des ports de segment, des segments, des groupes d'utilisateurs AD et d'autres groupes. L'inclusion dynamique de groupes peut reposer sur une balise, un nom de machine, un nom de système d'exploitation ou un nom d'ordinateur.
Note : Si vous utilisez Fédération, vous ne pouvez pas créer de groupes à partir du gestionnaire global pour inclure des groupes d'utilisateurs AD ou des groupes basés sur l'ID.

Les balises dans NSX sont sensibles à la casse, mais un groupe basé sur les balises n'est pas « sensible à la casse ». Par exemple, si le critère d'appartenance au groupement dynamique est VM Tag Equals 'quarantine', le groupe comprend toutes les machines virtuelles qui contiennent les balises « mise en quarantaine » ou « MISE EN QUARANTAINE ».

Si vous utilisez NSX Cloud, reportez-vous à la section Regrouper les machines virtuelles à l'aide de NSX-T Data Center et de balises de cloud public pour plus d'informations sur l'utilisation des balises de cloud public afin de regrouper vos machines virtuelles de charge de travail dans NSX Manager.

Les groupes peuvent également être exclus des règles de pare-feu et la liste peut contenir un maximum de 100 groupes. Les ensembles d'adresses IP, les ensembles d'adresses MAC et les groupes AD ne peuvent pas être inclus en tant que membres dans un groupe utilisé dans une liste d'exclusion de pare-feu. Pour plus d'informations, reportez-vous à la section Gérer une liste d'exclusion de pare-feu.

Un groupe basé sur un seul ID peut être utilisé comme source uniquement dans une règle de pare-feu distribué. Si des groupes basés sur l'adresse IP et l'ID sont nécessaires à la source, créez deux règles de pare-feu distinctes.

Les groupes composés uniquement d'adresses IP ou avec des membres IPSet ne peuvent pas être utilisés dans le champ Appliqué à des règles de pare-feu distribué.

Note : Lorsqu'un hôte est ajouté à un serveur vCenter Server ou supprimé de celui-ci, l'ID externe des VM de l'hôte change. Si une VM est un membre statique d'un groupe et que l'ID externe de la VM change, l'interface utilisateur de NSX Manager n'affiche plus la VM en tant que membre du groupe. Toutefois, l'API qui répertorie les groupes indiquera toujours que le groupe contient la VM avec son ID externe d'origine. Si vous ajoutez une VM en tant que membre statique d'un groupe et que l'ID externe de la VM change, vous devez rajouter la VM à l'aide de son nouvel ID externe. Vous pouvez également utiliser des critères d'appartenance dynamique pour éviter ce problème.

Conditions préalables

Si vous utilisez Fédération, reportez-vous à la section Sécurité dans Fédération pour plus de détails sur les options de configuration.

Procédure

  1. Sélectionnez Inventaire > Groupes dans le panneau de navigation.
  2. Cliquez sur Ajouter un groupe.
  3. Entrez un nom de groupe.
  4. Si vous ajoutez un groupe à partir d'un Gestionnaire global pour Fédération, acceptez la sélection de la région par défaut ou sélectionnez une région dans le menu déroulant. Une fois que vous créez un groupe avec une région, vous ne pouvez pas modifier la sélection de la région. Toutefois, vous pouvez modifier l'étendue de la région elle-même en ajoutant ou en supprimant des emplacements à partir de celle-ci. Vous pouvez créer des régions personnalisées avant de créer le groupe. Reportez-vous à la section Créer une région à partir de Gestionnaire global.
    Note : Pour les groupes ajoutés à partir d'un Gestionnaire global dans un environnement Fédération, la sélection d'une région est obligatoire. Ce champ n'est pas disponible si vous n'utilisez pas le Gestionnaire global.
  5. (Facultatif) Cliquez sur Définir les membres.
    Pour chaque critère d'appartenance, vous pouvez spécifier jusqu'à cinq règles, combinées avec l'opérateur logique AND. Le critère d'appartenance disponible peut s'appliquer aux éléments suivants :
    • Port de segment : spécifiez une balise, une étendue ou les deux.
    • Segment : spécifiez une balise, une étendue ou les deux.
    • Machine virtuelle : spécifiez un nom, une balise, un nom de SE d'ordinateur ou un nom d'ordinateur qui est égal à, contient, commence par, se termine par ou n'est pas égal à une chaîne donnée.
    • Ensemble d'adresses IP : spécifier une balise, une étendue ou les deux.
  6. (Facultatif) Cliquez sur Membres pour sélectionner des membres.
    Les types de membres disponibles sont les suivants :
    • Groupes
      Note : Si vous utilisez Fédération, vous pouvez ajouter un groupe en tant que membre avec une étendue égale ou inférieure à la région que vous avez sélectionnée pour le groupe que vous créez à partir du Gestionnaire global, reportez-vous à Sécurité dans Fédération.
    • Segments
    • Ports de segment
    • VIF
    • Machines virtuelles
    • Serveurs physiques
    • Instances de service natif de cloud
  7. (Facultatif) Cliquez sur Adresses IP/MAC pour ajouter des adresses IP et MAC en tant que membres du groupe. Les adresses IPv4, IPv6 et de multidiffusion sont prises en charge.
    Cliquez sur Action > Importer pour importer des adresses IP/MAC à partir d'un fichier .txt ou .csv contenant des valeurs d'adresses IP/MAC séparées par des virgules.
  8. (Facultatif) Cliquez sur Groupes AD pour ajouter des groupes Active Directory. Les groupes avec des membres Active Directory peuvent être utilisés dans le champ source d'une règle de pare-feu distribué pour Identity Firewall. Les groupes peuvent contenir à la fois des membres AD et des membres de calcul.
    Note : Si vous utilisez Fédération, vous ne pouvez pas créer de groupes à partir du gestionnaire global pour inclure des groupes d'utilisateurs AD ou des groupes basés sur l'ID.
  9. (Facultatif) Entrez une description et une balise.
  10. Cliquez sur Appliquer.
    Les groupes sont répertoriés, et une option permettant d'en afficher les membres et l'emplacement d'utilisation est mise à disposition.