Les NSGroups peuvent être configurés de manière à inclure une combinaison d'ensembles d'adresses IP, d'ensembles d'adresses MAC, de ports logiques, de commutateurs logiques et d'autres NSGroups. Les NSGroups comprenant des commutateurs logiques, des ports logiques et des machines virtuelles peuvent être spécifiés en tant que sources et destinations, ainsi que dans le champ Applied To d'une règle de pare-feu. Les NSGroups comprenant des ensembles d'adresses IP et des ensembles d'adresses MAC sont ignorés dans le champ Applied To d'un pare-feu distribué.

Un NSGroup a les caractéristiques suivantes :

  • Un NSGroup dispose de membres directs et de membres effectifs. Les membres effectifs incluent des membres que vous spécifiez à l'aide de critères d'appartenance, ainsi que tous les membres directs et effectifs qui appartiennent aux membres de ce NSGroup. Par exemple, supposons que NSGroup-1 dispose du membre direct LogicalSwitch-1. Vous ajoutez NSGroup-2 et spécifiez NSGroup-1 et LogicalSwitch-2 comme membres. Maintenant, NSGroup-2 dispose des membres directs NSGroup-1 et LogicalSwitch-2, ainsi que d'un membre effectif, LogicalSwitch-1. Ensuite, vous ajoutez NSGroup-3 et spécifiez NSGroup-2 comme membre. NSGroup-3 dispose désormais du membre direct NSGroup-2 et des membres effectifs LogicalSwitch-1 et LogicalSwitch-2. Si, dans la table des groupes principaux, vous cliquez sur un groupe et sélectionnez Éléments associés > NSGroups, NSGroup-1, NSGroup-2 et NSGroup-3 s'affichent, car LogicalSwitch-1 est membre de chacun d'eux, directement ou indirectement.
  • Un NSGroup peut disposer d'un maximum de 500 membres directs.
  • La limite recommandée pour le nombre de membres effectifs dans un NSGroup est de 5 000. NSX Manager vérifie deux fois par jour (à 7 h et à 19 h) que les NSGroups respectent la limite. Un dépassement de cette limite n'affecte aucune fonctionnalité, mais peut avoir un impact négatif sur les performances.
    • Lorsque le nombre de membres effectifs d'un NSGroup dépasse 80 % de 5 000, le message d'avertissement Le NSGroup xyz est sur le point de dépasser la limite de membres maximale. Le nombre total dans le NSGroup est de ... s'affiche dans le fichier journal. Lorsque le nombre dépasse 5 000, un message d'avertissement signale que le NSGroup a atteint le nombre maximal et indique le nombre total actuel dans le NSGroup.
    • Lorsque le nombre de VIF/IP/MAC traduits dans un NSGroup dépasse 5 000, le message d'avertissement Le conteneur xyz a atteint la limite de traductions maximale d'IP/MAC/VIF. Nombre de traductions actuel dans le conteneur - IP :..., MAC :..., VIF :... s'affiche dans le fichier journal.
  • Le nombre maximal pris en charge de machines virtuelles est de 10 000.
  • Vous pouvez créer un maximum de 10 000 NSGroup.
  • Edge_NSGroup est un groupe appartenant à une stratégie (groupe système) disponible sur un gestionnaire local et visible dans l'interface utilisateur. Ce groupe n'est pas disponible sur un gestionnaire global. Toutefois, une configuration de gestionnaire global migré contient des Edge_NSGroup périmés et l'interface utilisateur affiche la même valeur, mais le groupe n'a aucune signification sur un gestionnaire global.

Vous pouvez accéder à l'écran pour tout objet qu'il est possible d'ajouter en tant que membre d'un NSGroup, puis sélectionner Éléments associés > NSGroups.

Conditions préalables

Vérifiez que le mode Gestionnaire est sélectionné dans l'interface utilisateur NSX Manager. Reportez-vous à la section NSX Manager. Si vous ne voyez pas les boutons Stratégie et Gestionnaire, reportez-vous à Configurer les paramètres de l'interface utilisateur.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Inventaire > Groupes > Ajouter.
  3. Entrez un nom pour le NSGroup.
  4. (Facultatif) Entrez une description.
  5. (Facultatif) Cliquez sur Critères d'appartenance.
    Pour chaque critère, vous pouvez spécifier jusqu'à cinq règles qui sont combinées avec l'opérateur logique AND. Le critère d'appartenance disponible peut s'appliquer aux éléments suivants :
    • Port logique : peut spécifier une balise et éventuellement une étendue.
    • Commutateur logique : peut spécifier une balise et éventuellement une étendue.
    • Machine virtuelle : peut spécifier un nom, une balise, un nom de SE d'ordinateur ou un nom d'ordinateur qui est égal à, contient, commence par, se termine par ou n'est pas égal à une chaîne donnée.
    • Nœud de transport : peut spécifier un type de nœud correspondant à un nœud Edge ou à un nœud hôte.
    • Ensemble d'adresses IP : peut spécifier une balise et éventuellement une étendue.
  6. (Facultatif) Cliquez sur Membres pour sélectionner des membres.
    Les types de membres disponibles sont les suivants :
    • Groupe AD : les NSGroups contenant des groupes AD ne peuvent être utilisés que dans le champ extended_source d'une règle de pare-feu distribué. En outre, ils doivent être les seuls membres du groupe. Par exemple, aucun NSGroup ne peut contenir à la fois des ensembles d'adresses IP et des groupes AD.
    • Ensemble d'adresses IP : peut inclure des adresses IPv4 et IPv6.
    • Port logique : peut inclure des adresses IPv4 et IPv6.
    • Commutateur logique : peut inclure des adresses IPv4 et IPv6.
    • Ensemble d'adresses MAC
    • NSGroup
    • Nœud de transport
    • VIF
    • Machine virtuelle
  7. Cliquez sur AJOUTER.
    Le groupe est ajouté à la table des groupes. Cliquez sur le nom d'un groupe pour en afficher un aperçu et modifier les informations du groupe (critères d'appartenance, membres, applications et groupes associés). Faites défiler l'écran jusqu'au bas de l'onglet Présentation pour ajouter et supprimer des balises. Pour plus d'informations, reportez-vous à Ajouter des balises à un objet NSX. Si vous sélectionnez Éléments associés  > NSGroups, tous les NSGroups dont le NSGroup sélectionné est membre s'affichent.