Les groupes incluent différents objets qui sont ajoutés à la fois statiquement et dynamiquement, et peuvent être utilisés comme source et destination d'une règle de pare-feu.

Des groupes peuvent être configurés de manière à comporter des machines virtuelles, des ensembles d'adresses IP, des ensembles d'adresses MAC, des ports de segment, des segments, des groupes d'utilisateurs AD et d'autres groupes. L'inclusion dynamique de groupes peut reposer sur une balise, un nom de machine, un nom de système d'exploitation ou un nom d'ordinateur.
Note : Si vous créez un groupe dans l'API à l'aide de critères basés sur LogicalPort, vous ne pouvez pas modifier le groupe dans l'interface utilisateur à l'aide de l'opérateur AND entre les critères SegmentPort.

Les groupes peuvent également être exclus des règles de pare-feu et la liste peut contenir un maximum de 100 groupes. Les ensembles d'adresses IP, les ensembles d'adresses MAC et les groupes AD ne peuvent pas être inclus en tant que membres dans un groupe utilisé dans une liste d'exclusion de pare-feu. Pour plus d'informations, reportez-vous à la section Gérer une liste d'exclusion de pare-feu.

Un groupe d'adresses IP ou un groupe AD unique peut être utilisé comme source uniquement dans une règle de pare-feu distribué. Si des groupes d'adresses IP et AD sont nécessaires à la source, créez deux règles de pare-feu distinctes.

Les groupes comprenant uniquement des adresses IP, des adresses MAC ou des groupes Active Directory ne peuvent pas être utilisés dans la zone de texte Appliqué à.

Note : Lorsqu'un hôte est ajouté à un serveur vCenter Server ou supprimé de celui-ci, l'ID externe des VM de l'hôte change. Si une VM est un membre statique d'un groupe et que l'ID externe de la VM change, l'interface utilisateur de NSX Manager n'affiche plus la VM en tant que membre du groupe. Toutefois, l'API qui répertorie les groupes indiquera toujours que le groupe contient la VM avec son ID externe d'origine. Si vous ajoutez une VM en tant que membre statique d'un groupe et que l'ID externe de la VM change, vous devez rajouter la VM à l'aide de son nouvel ID externe. Vous pouvez également utiliser des critères d'appartenance dynamique pour éviter ce problème.

Les balises dans NSX sont sensibles à la casse, mais un groupe basé sur les balises n'est pas « sensible à la casse ». Par exemple, si le critère d'appartenance au groupement dynamique est VM Tag Equals 'quarantine', le groupe comprend toutes les machines virtuelles qui contiennent les balises « mise en quarantaine » ou « MISE EN QUARANTAINE ».

Si vous utilisez NSX Cloud, reportez-vous à la section Regrouper les machines virtuelles à l'aide de NSX-T Data Center et de balises de cloud public pour plus d'informations sur l'utilisation des balises de cloud public afin de regrouper vos machines virtuelles de charge de travail dans NSX Manager.

Conditions préalables

Si vous utilisez Fédération, reportez-vous à la section Sécurité dans NSX Federation pour plus de détails sur les options de configuration.
Note : Si vous utilisez NSX Federation, vous ne pouvez pas créer de groupes à partir du gestionnaire global qui incluent des groupes d'utilisateurs AD.

Procédure

  1. Sélectionnez Inventaire > Groupes dans le panneau de navigation.
  2. Cliquez sur Ajouter un groupe.
  3. Entrez un nom de groupe.
  4. Si vous ajoutez un groupe à partir d'un Gestionnaire global pour Fédération, acceptez la sélection de la région par défaut ou sélectionnez une région dans le menu déroulant. Une fois que vous créez un groupe avec une région, vous ne pouvez pas modifier la sélection de la région. Toutefois, vous pouvez modifier l'étendue de la région elle-même en ajoutant ou en supprimant des emplacements à partir de celle-ci. Vous pouvez créer des régions personnalisées avant de créer le groupe. Reportez-vous à la section Créer une région à partir de Gestionnaire global.
    Note : Pour les groupes ajoutés à partir d'un Gestionnaire global dans un environnement Fédération, la sélection d'une région est obligatoire. Cette zone de texte n'est pas disponible si vous n'utilisez pas le Gestionnaire global.
  5. (Facultatif) Cliquez sur Définir les membres.
    Pour chaque critère d'appartenance, vous pouvez spécifier jusqu'à cinq règles, combinées avec l'opérateur logique AND. Le critère d'appartenance disponible peut s'appliquer aux éléments suivants :
    • Port de segment : spécifiez une balise, une étendue ou les deux.
    • Segment : spécifiez une balise, une étendue ou les deux.
    • Machine virtuelle : spécifiez un nom, une balise, un nom de SE d'ordinateur ou un nom d'ordinateur qui est égal à, contient, commence par, se termine par ou n'est pas égal à une chaîne donnée.
    • Ensemble d'adresses IP : spécifier une balise, une étendue ou les deux.
  6. (Facultatif) Cliquez sur Membres pour sélectionner des membres.
    Les types de membres disponibles sont les suivants :
    • Groupes
      Note : Si vous utilisez fédération, vous pouvez ajouter un groupe en tant que membre avec une étendue égale ou inférieure à la région que vous avez sélectionnée pour le groupe que vous créez à partir du Gestionnaire global, reportez-vous à Sécurité dans NSX Federation.
    • Segments
      Note : Les adresses IP attribuées à une interface de passerelle et les adresses IP virtuelles de l'équilibreur de charge NSX ne sont pas incluses en tant que membres du groupe de segments.
    • Ports de segment
    • VIF
    • Machines virtuelles
    • Serveurs physiques
    • Instances de service natif de cloud
  7. (Facultatif) Cliquez sur Adresses IP/MAC pour ajouter des adresses IP et MAC en tant que membres du groupe. Les adresses IPv4, IPv6 et de multidiffusion sont prises en charge.
    Cliquez sur Action > Importer pour importer des adresses IP/MAC à partir d'un fichier .txt ou .csv contenant des valeurs d'adresses IP/MAC séparées par des virgules.
  8. (Facultatif) Cliquez sur Groupes AD pour ajouter des groupes Active Directory. Les groupes avec des membres Active Directory peuvent être utilisés dans la zone de texte source d'une règle de pare-feu distribué pour Identity Firewall. Les groupes peuvent contenir à la fois des membres AD et des membres de calcul.
    Si vous utilisez NSX fédération, vous ne pouvez pas créer de groupes à partir du gestionnaire global pour inclure des groupes AD.
  9. (Facultatif) Entrez une description et une balise.
  10. Cliquez sur Appliquer.
    Les groupes sont répertoriés, et une option permettant d'en afficher les membres et l'emplacement d'utilisation est mise à disposition.