Ajouter un groupe

Vous pouvez créer des groupes à utiliser comme source et destination pour les règles de pare-feu. Les groupes comportent différents objets qui peuvent être une combinaison de machines virtuelles, d'ensembles d'adresses IP, d'ensembles d'adresses MAC, de ports de segment, de segments, de groupes d'utilisateurs AD et d'autres groupes. Lors de la configuration d'un groupe, vous pouvez ajouter des objets statiquement et dynamiquement. Pour ajouter des objets dynamiquement, vous devez spécifier un critère basé sur la balise, le nom de la machine, le nom du système d'exploitation ou le nom de l'ordinateur. Lorsqu'une règle doit être appliquée à un groupe, NSX-T Data Center traite les critères de calcul dynamique des membres et ajoute ou supprime des objets en fonction des conditions des critères.

Notez que si vous supprimez un objet statique d'un groupe de vCenter Server, vous devez également le supprimer de la définition du groupe. Sinon, bien que le groupe NSX n'affiche pas cet objet en tant que membre effectif du groupe, la définition du groupe continue d'afficher l'objet comme membre du groupe.

Note : Si vous créez un groupe dans l'API à l'aide de critères basés sur LogicalPort, vous ne pouvez pas modifier le groupe dans l'interface utilisateur à l'aide de l'opérateur AND entre les critères SegmentPort. Si vous créez un groupe à l'aide de critères basés sur le segment, le port de segment, les groupes de ports distribués ou les ports distribués, désactivez l'option « Approuver à la première utilisation » dans le profil de détection d'adresses IP du groupe. Sinon, l'adresse IP d'origine de l'interface restera dans votre groupe, même si son adresse IP change.

Les groupes peuvent également être exclus des règles de pare-feu et la liste peut contenir un maximum de 100 groupes. Les ensembles d'adresses IP, les ensembles d'adresses MAC et les groupes AD ne peuvent pas être inclus en tant que membres dans un groupe utilisé dans une liste d'exclusion de pare-feu. Pour plus d'informations, reportez-vous à la section Gérer une liste d'exclusion de pare-feu.

Un groupe unique peut être utilisé comme source uniquement dans une règle de pare-feu distribué. Si des groupes d'adresses IP et Active Directory sont nécessaires à la source, créez deux règles de pare-feu distinctes.

Les groupes comprenant uniquement des adresses IP, des adresses MAC ou des groupes Active Directory ne peuvent pas être utilisés dans la zone de texte Appliqué à.

Note : Lorsqu'un hôte est ajouté à un serveur vCenter Server ou supprimé de celui-ci, l'ID externe des VM de l'hôte change. Si une VM est un membre statique d'un groupe et que l'ID externe de la VM change, l'interface utilisateur de NSX Manager n'affiche plus la VM en tant que membre du groupe. Toutefois, l'API qui répertorie les groupes indiquera toujours que le groupe contient la VM avec son ID externe d'origine. Si vous ajoutez une VM en tant que membre statique d'un groupe et que l'ID externe de la VM change, vous devez rajouter la VM à l'aide de son nouvel ID externe. Vous pouvez également utiliser des critères d'appartenance dynamique pour éviter ce problème.

Pour les groupes de stratégies contenant des adresses IP, des adresses MAC et des groupes d'identité, l'API de liste n'affichera PAS l'attribut « membres ». Cela s'applique également aux groupes contenant une combinaison de membres statiques. Par exemple, un groupe de stratégies contenant des adresses IP et des machines virtuelles n'affichera pas l'attribut de membre.

Pour les groupes de stratégies ne contenant pas d'adresses IP, d'adresses MAC ou de groupes d'identité, l'attribut de membre s'affiche dans la réponse de NSGroup. Toutefois, les nouveaux membres et critères introduits dans NSX-T Data Center (tels que DVPort et DVPG) ne seront pas inclus dans la définition du groupe de plan de gestion. Les utilisateurs peuvent afficher la définition dans la stratégie.

Les balises dans NSX sont sensibles à la casse, mais un groupe basé sur les balises n'est pas « sensible à la casse ». Par exemple, si le critère d'appartenance au groupement dynamique est VM Tag Equals 'quarantine', le groupe comprend toutes les machines virtuelles qui contiennent les balises « mise en quarantaine » ou « MISE EN QUARANTAINE ».

Si vous utilisez NSX Cloud, reportez-vous à la section Regrouper les machines virtuelles à l'aide de NSX-T Data Center et de balises de cloud public pour plus d'informations sur l'utilisation des balises de cloud public afin de regrouper vos machines virtuelles de charge de travail dans NSX Manager.

Conditions préalables

Si vous utilisez NSX fédération, reportez-vous à la section Sécurité dans NSX fédération pour plus de détails sur les options de configuration.

Procédure

Sélectionnez Inventaire > Groupes dans le panneau de navigation.
Cliquez sur Ajouter un groupe et entrez un nom de groupe.
Si vous ajoutez un groupe à partir d'un Gestionnaire global pour NSX fédération, acceptez la sélection de la région par défaut ou sélectionnez une région dans le menu déroulant. Une fois que vous créez un groupe avec une région, vous ne pouvez pas modifier la sélection de la région. Toutefois, vous pouvez modifier l'étendue de la région elle-même en ajoutant ou en supprimant des emplacements à partir de celle-ci. Vous pouvez créer des régions personnalisées avant de créer le groupe. Reportez-vous à la section Créer une région à partir de Gestionnaire global.
Pour les groupes ajoutés à partir d'un Gestionnaire global dans un environnement NSX fédération, la sélection d'une région est obligatoire. Cette zone de texte n'est pas disponible si vous n'utilisez pas le Gestionnaire global.
Cliquez sur Définir.

Dans la fenêtre Définir les membres, sélectionnez le Type de groupe.

Type de groupe	Description
Générique	Ce type de groupe est la sélection par défaut. Une définition de groupe générique peut se composer d'une combinaison de critères d'appartenance, de membres ajoutés manuellement, d'adresses IP, d'adresses MAC et de groupes Active Directory. Les groupes génériques avec des membres d'adresses IP ajoutés manuellement uniquement ne sont pas pris en charge pour une utilisation dans le champ Appliqué À dans les règles DFW. Il est possible de créer la règle, mais elle ne sera pas appliquée. Lorsque vous définissez des critères d'appartenance dans le groupe, les membres sont ajoutés dynamiquement au groupe en fonction d'un ou de plusieurs critères. Les membres ajoutés manuellement incluent des objets, tels que des ports de segment, des ports distribués, des groupes de ports distribués, des VIF, des machines virtuelles, etc.
Adresses IP uniquement	Ce type de groupe contient uniquement des adresses IP (IPv4 ou IPv6). Les groupes Adresses IP uniquement avec des membres d'adresses IP ajoutés manuellement uniquement ne sont pas pris en charge pour une utilisation dans Appliqué À dans les règles DFW. Il est possible de créer la règle, mais elle ne sera pas appliquée. Une fois qu'un groupe de type Adresses IP uniquement est réalisé dans NSX-T Data Center, vous ne pouvez pas modifier le type de groupe sur Générique. Cependant, si le type de groupe est Générique, vous pouvez modifier le type de groupe pour Adresses IP uniquement. Dans ce cas, seules les adresses IP sont conservées dans le groupe. Tous les critères d'appartenance et les autres définitions de groupe sont perdus. Ce type de groupe est fonctionnellement semblable aux NSGroups avec un critère basé sur des balises d'ensemble d'adresses IP dans le mode Gestionnaire des versions antérieures de NSX-T.
Antrea	Ce type de groupe est disponible uniquement lorsque votre environnement NSX-T dispose d'un ou de plusieurs clusters de conteneurs Antrea enregistrés dans celui-ci. Pour plus d'informations, reportez-vous à Groupes Antrea et Ajouter un groupe Antrea.

Type de groupe

Description

Générique

Ce type de groupe est la sélection par défaut. Une définition de groupe générique peut se composer d'une combinaison de critères d'appartenance, de membres ajoutés manuellement, d'adresses IP, d'adresses MAC et de groupes Active Directory.

Les groupes génériques avec des membres d'adresses IP ajoutés manuellement uniquement ne sont pas pris en charge pour une utilisation dans le champ Appliqué À dans les règles DFW. Il est possible de créer la règle, mais elle ne sera pas appliquée.

Lorsque vous définissez des critères d'appartenance dans le groupe, les membres sont ajoutés dynamiquement au groupe en fonction d'un ou de plusieurs critères. Les membres ajoutés manuellement incluent des objets, tels que des ports de segment, des ports distribués, des groupes de ports distribués, des VIF, des machines virtuelles, etc.

Adresses IP uniquement

Ce type de groupe contient uniquement des adresses IP (IPv4 ou IPv6). Les groupes Adresses IP uniquement avec des membres d'adresses IP ajoutés manuellement uniquement ne sont pas pris en charge pour une utilisation dans Appliqué À dans les règles DFW. Il est possible de créer la règle, mais elle ne sera pas appliquée.

Une fois qu'un groupe de type Adresses IP uniquement est réalisé dans NSX-T Data Center, vous ne pouvez pas modifier le type de groupe sur Générique. Cependant, si le type de groupe est Générique, vous pouvez modifier le type de groupe pour Adresses IP uniquement. Dans ce cas, seules les adresses IP sont conservées dans le groupe. Tous les critères d'appartenance et les autres définitions de groupe sont perdus.

Ce type de groupe est fonctionnellement semblable aux NSGroups avec un critère basé sur des balises d'ensemble d'adresses IP dans le mode Gestionnaire des versions antérieures de NSX-T.

Antrea

Ce type de groupe est disponible uniquement lorsque votre environnement NSX-T dispose d'un ou de plusieurs clusters de conteneurs Antrea enregistrés dans celui-ci.

Pour plus d'informations, reportez-vous à Groupes Antrea et Ajouter un groupe Antrea.

(Facultatif) Sur la page Critères de membre, cliquez sur Ajouter un critère pour ajouter dynamiquement des membres au groupe en fonction d'un ou de plusieurs critères d'appartenance.

Un critère d'appartenance peut avoir une ou plusieurs conditions. Les conditions peuvent utiliser le même type de membre ou un mélange de différents types de membres. Cependant, certaines restrictions s'appliquent à l'ajout de plusieurs conditions avec des types de membres mélangés dans un critère d'appartenance. Pour en savoir plus sur les critères d'appartenance, reportez-vous à la section Présentation des critères d'appartenance de groupe.
(Facultatif) Cliquez sur Membres pour ajouter des membres statiques au groupe.
Les types de membres disponibles sont les suivants :
- Groupes : si vous utilisez NSX fédération, vous pouvez ajouter un groupe en tant que membre avec une étendue égale ou inférieure à la région que vous avez sélectionnée pour le groupe que vous créez à partir du Gestionnaire global ; reportez-vous à la section Sécurité dans NSX fédération
- Segments NSX : les adresses IP attribuées à une interface de passerelle et les adresses IP virtuelles de l'équilibreur de charge NSX ne sont pas incluses en tant que membres du groupe de segments.
- Ports de segment
- Groupe de ports distribués
- Ports distribués
- VIF
- Machines virtuelles
- Serveurs physiques
- Instances de service natif de cloud
(Facultatif) Cliquez sur Adresses IP/MAC pour ajouter des adresses IP et MAC en tant que membres du groupe. Les adresses IPv4, IPv6 et de multidiffusion sont prises en charge.
Cliquez sur Action > Importer pour importer des adresses IP/MAC à partir d'un fichier .txt ou .csv contenant des valeurs d'adresses IP/MAC séparées par des virgules.
(Facultatif) Cliquez sur Groupes AD pour ajouter des groupes Active Directory. Les groupes avec des membres Active Directory peuvent être utilisés dans la zone de texte source d'une règle de pare-feu distribué pour Identity Firewall. Les groupes peuvent contenir à la fois des membres AD et des membres de calcul.

Note : Si vous utilisez NSX fédération, vous ne pouvez pas créer de groupes à partir du gestionnaire global pour inclure des groupes d'utilisateurs AD.
(Facultatif) Entrez une description et une balise.
Cliquez sur Appliquer.
Les groupes sont répertoriés, et une option permettant d'en afficher les membres et l'emplacement d'utilisation est mise à disposition.