Les groupes incluent différents objets qui sont ajoutés à la fois statiquement et dynamiquement, et peuvent être utilisés comme source et destination d'une règle de pare-feu.

Des groupes peuvent être configurés de manière à comporter des machines virtuelles, des ensembles d'adresses IP, des ensembles d'adresses MAC, des ports de segment, des segments, des groupes d'utilisateurs AD et d'autres groupes. L'inclusion dynamique de groupes peut reposer sur une balise, un nom de machine, un nom de système d'exploitation ou un nom d'ordinateur.

Note : Si vous créez un groupe dans l'API à l'aide de critères basés sur LogicalPort, vous ne pouvez pas modifier le groupe dans l'interface utilisateur à l'aide de l'opérateur AND entre les critères SegmentPort. Si vous créez un groupe à l'aide de critères basés sur le segment, le port de segment, les groupes de ports distribués ou les ports distribués, désactivez l'option « Approuver à la première utilisation » dans le profil de détection d'adresses IP du groupe. Sinon, l'adresse IP d'origine de l'interface restera dans votre groupe, même si son adresse IP change.

Un flux IP malveillant est activé. Une liste d'adresses IP malveillantes connues est téléchargée à partir du service cloud NTICS. Vous pouvez créer des groupes pour inclure ces adresses IP téléchargées et configurer des règles de pare-feu pour bloquer l'accès à ceux-ci. Un groupe générique ou d’adresses IP uniquement ne peut pas être converti en groupe d'adresses IP uniquement avec des adresses IP malveillantes, et inversement. Cependant, un groupe générique peut être converti en un groupe d’adresses IP uniquement sans adresses IP malveillantes.

Les groupes peuvent également être exclus des règles de pare-feu et la liste peut contenir un maximum de 100 groupes. Les ensembles d'adresses IP, les ensembles d'adresses MAC et les groupes AD ne peuvent pas être inclus en tant que membres dans un groupe utilisé dans une liste d'exclusion de pare-feu. Pour plus d'informations, reportez-vous à la section Gérer une liste d'exclusion de pare-feu.

Si vous utilisez des groupes Active Directory comme source, un seul groupe Active Directory peut être utilisé. Si des groupes d'adresses IP et Active Directory sont nécessaires à la source, créez deux règles de pare-feu distinctes.

Les groupes comprenant uniquement des adresses IP, des adresses MAC ou des groupes Active Directory ne peuvent pas être utilisés dans la zone de texte Appliqué à.

Note : Lorsqu'un hôte est ajouté à un serveur vCenter Server ou supprimé de celui-ci, l'ID externe des VM de l'hôte change. Si une VM est un membre statique d'un groupe et que l'ID externe de la VM change, l'interface utilisateur de NSX Manager n'affiche plus la VM en tant que membre du groupe. Toutefois, l'API qui répertorie les groupes indiquera toujours que le groupe contient la VM avec son ID externe d'origine. Si vous ajoutez une VM en tant que membre statique d'un groupe et que l'ID externe de la VM change, vous devez rajouter la VM à l'aide de son nouvel ID externe. Vous pouvez également utiliser des critères d'appartenance dynamique pour éviter ce problème.

Pour les groupes de stratégies contenant des adresses IP ou des adresses MAC, l'API de liste NSGroup n’affichera PAS l'attribut « membres ». Cela s'applique également aux groupes contenant une combinaison de membres statiques. Par exemple, si un groupe de stratégies contient une adresse IP et un DVPG, l'API de liste NSGroup n'affiche pas l'attribut members.

Pour les groupes de stratégies ne contenant pas d'adresses IP, d'adresses MAC ou de groupes d'identité, l'attribut de membre s'affiche dans la réponse de NSGroup. Toutefois, les nouveaux membres et critères introduits dans NSX (tels que DVPort et DVPG) ne seront pas inclus dans la définition du groupe de plan de gestion. Les utilisateurs peuvent afficher la définition dans la stratégie.

Les balises dans NSX sont sensibles à la casse, mais un groupe basé sur les balises « n'est pas sensible à la casse ». Par exemple, si le critère d'appartenance au groupement dynamique est VM Tag Equals 'quarantine', le groupe comprend toutes les machines virtuelles qui contiennent les balises « mise en quarantaine » ou « MISE EN QUARANTAINE ».

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Inventaire > Groupes dans le panneau de navigation.
  3. Cliquez sur Ajouter un groupe et entrez un nom de groupe.
  4. Si vous ajoutez un groupe à partir d'un Gestionnaire global pour NSX Federation, acceptez la sélection de la région par défaut ou sélectionnez une région dans le menu déroulant. Une fois que vous créez un groupe avec une région, vous ne pouvez pas modifier la sélection de la région. Toutefois, vous pouvez modifier l'étendue de la région elle-même en ajoutant ou en supprimant des emplacements à partir de celle-ci. Vous pouvez créer des régions personnalisées avant de créer le groupe.
    Pour les groupes ajoutés à partir d'un Gestionnaire global dans un environnement NSX Federation, la sélection d'une région est obligatoire. Cette zone de texte n'est pas disponible si vous n'utilisez pas le Gestionnaire global.
  5. Cliquez sur Définir.
  6. Dans la fenêtre Définir les membres, sélectionnez le Type de groupe.
    Type de groupe Description
    Générique

    Ce type de groupe est la sélection par défaut. Une définition de groupe générique peut se composer d'une combinaison de critères d'appartenance, de membres ajoutés manuellement, d'adresses IP, d'adresses MAC et de groupes Active Directory.

    Les groupes génériques avec des membres d'adresses IP ajoutés manuellement uniquement ne sont pas pris en charge pour une utilisation dans le champ Appliqué À dans les règles DFW. Il est possible de créer la règle, mais elle ne sera pas appliquée.

    Lorsque vous définissez des critères d'appartenance dans le groupe, les membres sont ajoutés dynamiquement au groupe en fonction d'un ou de plusieurs critères. Les membres ajoutés manuellement incluent des objets, tels que des ports de segment, des ports distribués, des groupes de ports distribués, des VIF, des machines virtuelles, etc.

    Adresses IP uniquement

    Ce type de groupe contient uniquement des adresses IP (IPv4 ou IPv6). Les groupes Adresses IP uniquement avec des membres d'adresses IP ajoutés manuellement uniquement ne sont pas pris en charge pour une utilisation dans Appliqué À dans les règles DFW. Il est possible de créer la règle, mais elle ne sera pas appliquée.

    Le type de groupe est Général, vous pouvez le modifier en groupe Adresses IP uniquement mais pas aux Adresses IP uniquement avec un groupe d'adresses IP malveillantes. Dans ce cas, seules les adresses IP sont conservées dans le groupe. Tous les critères d'appartenance et les autres définitions de groupe sont perdus. Une fois qu'un groupe de type Adresses IP uniquement ou Adresses IP uniquement avec IP malveillantes est réalisé dans NSX, vous ne pouvez pas modifier le type de groupe sur Générique.

    Le type de groupe Adresses IP uniquement est fonctionnellement semblable aux NSGroups avec un critère basé sur des balises d'ensemble d'adresses IP dans le mode Gestionnaire des versions antérieures de NSX.

    Adresses IP uniquement avec des adresses IP malveillantes

    Si vous avez activé des Flux d'adresses IP malveillantes, vous pouvez créer un groupe d'adresses IP uniquement avec des adresses IP malveillantes en activant Ajouter des adresses IP malveillantes prédéfinies.

    Vous pouvez également spécifier les adresses IP et les adresses IP uniquement des groupes qui doivent être traités comme des exceptions et qui ne doivent pas être bloqués.

    Notez qu'une fois que vous avez activé l'option Ajouter des adresses IP malveillantes prédéfinies vous ne pouvez pas la désactiver lors de la modification du groupe.

    Antrea

    Ce type de groupe est disponible uniquement lorsque votre environnement NSX dispose d'un ou de plusieurs clusters Kubernetes Antrea enregistrés dans celui-ci.

  7. (Facultatif) Sur la page Critères d'appartenance, cliquez sur Ajouter un critère pour ajouter dynamiquement des membres au groupe générique en fonction d'un ou de plusieurs critères d'appartenance.

    Si vous avez enregistré des clusters Kubernetes avec Antrea CNI dans votre déploiement de NSX, vous pouvez créer des groupes génériques avec des types de membres Kubernetes dans des critères d'appartenance dynamique pour faire correspondre le trafic entrant ou sortant de ces clusters Kubernetes Antrea.

    Un critère d'appartenance peut avoir une ou plusieurs conditions. Les conditions peuvent utiliser le même type de membre ou un mélange de différents types de membres. Dans un critère d'appartenance unique, les conditions basées sur des types de membres NSX ne peuvent pas être mélangées avec des conditions basées sur des types de membres Kubernetes. Cependant, vous pouvez avoir un critère basé uniquement sur des types de membres NSX et un autre basé uniquement sur des types de membres Kubernetes, puis joindre les deux critères avec un opérateur OR.

    Certaines restrictions s'appliquent à l'ajout de plusieurs conditions avec des types de membres NSX ou Kubernetes mixtes dans un critère d'appartenance. Pour en savoir plus sur les critères d'appartenance, reportez-vous à la section Présentation des critères d'appartenance de groupe NSX.

    Note : Dans un environnement NSX mutualisé, les ressources de cluster Kubernetes ne sont pas exposées à l'inventaire du projet. Par conséquent, dans un projet, vous ne pouvez pas créer de groupes génériques avec des types de membres Kubernetes dans des critères d'appartenance dynamique.
  8. (Facultatif) Cliquez sur Membres pour ajouter des membres statiques au groupe.
    Les types de membres disponibles sont les suivants :
    • Groupes : si vous utilisez NSX Federation, vous pouvez ajouter un groupe en tant que membre avec une étendue égale ou inférieure à la région que vous avez sélectionnée pour le groupe que vous créez à partir du Gestionnaire global.
    • Segments NSX : les adresses IP attribuées à une interface de passerelle et les adresses IP virtuelles de l'équilibreur de charge NSX ne sont pas incluses en tant que membres du groupe de segments.
    • Ports de segment
    • Groupe de ports distribués
    • Ports distribués
    • VIF
    • Machines virtuelles
    • Serveurs physiques
  9. (Facultatif) Cliquez surAdresses IP ou Adresses MAC pour ajouter des adresses IP et MAC comme membres du groupe. Les adresses IPv4, IPv6 et de multidiffusion sont prises en charge.
    Cliquez sur Action > Importer pour importer des adresses IP/MAC à partir d'un fichier .txt ou .csv contenant des valeurs d'adresses IP/MAC séparées par des virgules.
  10. (Facultatif) Cliquez sur Groupes AD pour ajouter des groupes Active Directory. Les groupes avec des membres Active Directory peuvent être utilisés dans la zone de texte source d'une règle de pare-feu distribué pour Identity Firewall. Les groupes peuvent contenir à la fois des membres AD et des membres de calcul.
    Note : Si vous utilisez NSX Federation, vous ne pouvez pas créer de groupes à partir du gestionnaire global pour inclure des groupes d'utilisateurs AD.
  11. (Facultatif) Entrez une description et une balise.
  12. Cliquez sur Appliquer.
    Les groupes sont répertoriés, et une option permettant d'en afficher les membres et l'emplacement d'utilisation est mise à disposition.