È possibile creare gruppi da utilizzare come origine e destinazione per le regole del firewall. I gruppi includono oggetti diversi che possono essere una combinazione di macchine virtuali, set di IP, set di MAC, porte di segmenti, segmenti, gruppi di utenti di Active Directory e altri gruppi. Durante la configurazione di un gruppo, è possibile aggiungere oggetti sia in modo statico sia in modo dinamico. Per aggiungere oggetti in modo dinamico, è necessario specificare un criterio in base a tag, nome della macchina, nome del sistema operativo o nome del computer. Quando una regola deve essere applicata a un gruppo, NSX-T Data Center elabora i criteri per calcolare dinamicamente i membri e aggiunge o rimuove oggetti in base alle condizioni dei criteri.

Si tenga presente che se si elimina un oggetto statico di un gruppo da vCenter Server, è necessario eliminarlo anche dalla definizione del gruppo. In caso contrario, anche se tale oggetto non verrà visualizzato come membro effettivo del gruppo di NSX, continuerà a essere indicato come membro del gruppo nella definizione del gruppo.
Nota: Se si crea un gruppo nell'API utilizzando criteri basati su LogicalPort, non è possibile modificare il gruppo nell'interfaccia utente utilizzando l'operatore AND tra i criteri SegmentPort. Se si crea un gruppo utilizzando criteri basati su segmento, porta segmento, gruppi di porte distribuite o porte distribuite, disabilitare l'opzione "TOFU (Trust on First Use)" nel profilo di rilevamento IP del gruppo. In caso contrario, l'indirizzo IP originale dell'interfaccia rimarrà nel gruppo anche se il relativo indirizzo IP viene modificato.

I gruppi possono anche essere esclusi dalle regole del firewall e nell'elenco possono essere presenti al massimo 100 gruppi. I set di IP, i set di MAC e i gruppi di AD non possono essere inclusi come membri in un gruppo utilizzato in un elenco di esclusione del firewall. Per ulteriori informazioni, consultare Gestione di un elenco di esclusione del firewall.

Un singolo gruppo può essere utilizzato come origine solo all'interno di una regola del firewall distribuito. Se sono necessari gruppi basati su IP e Active Directory all'origine, creare due regole del firewall separate.

I gruppi costituiti solo da indirizzi IP, indirizzi MAC o gruppi di Active Directory non possono essere utilizzati nella casella di testo Si applica a.

Nota: Quando un host viene aggiunto o rimosso in un vCenter Server, l'ID esterno delle macchine virtuali nell'host viene modificato. Se una macchina virtuale è un membro statico di un gruppo e l'ID esterno della macchina virtuale viene modificato, nell'interfaccia utente di NSX Manager la macchina virtuale non verrà più visualizzata come membro del gruppo. Tuttavia, nell'API in cui sono elencati i gruppi verrà comunque indicato che il gruppo contiene la macchina virtuale con il relativo ID esterno originale. Se si aggiunge una macchina virtuale come membro statico di un gruppo e l'ID esterno della macchina virtuale viene modificato, è necessario aggiungere nuovamente la macchina virtuale utilizzando il nuovo ID esterno. Per evitare questo problema, è inoltre possibile utilizzare i criteri di appartenenza dinamica.

Per i gruppi di criteri che contengono IP, indirizzi MAC e gruppi di identità, l'API dell'elenco NON visualizzerà l'attributo "membri". Ciò si applica anche ai gruppi contenenti una combinazione di membri statici. Ad esempio, un gruppo di criteri contenente IP e macchine virtuali non visualizzerà l'attributo membri.

Per i gruppi di criteri che non contengono IP, indirizzi MAC o gruppi di identità, l'attributo membro verrà visualizzato nella risposta di NSGroup. Tuttavia, i nuovi membri e i criteri introdotti in NSX-T Data Center (ad esempio DVPort e DVPG) non verranno inclusi nella definizione del gruppo MP. Gli utenti possono visualizzare la definizione nel criterio.

Per i tag in NSX viene fatta distinzione tra maiuscole e minuscole, ma per un gruppo basato sui tag non viene fatta tale distinzione. Ad esempio, se il criterio di appartenenza al raggruppamento dinamico è VM Tag Equals 'quarantine', il gruppo include tutte le macchine virtuali che contengono i tag "quarantine" o "QUARANTINE".

Se si utilizza NSX Cloud, vedere Raggruppare le macchine virtuali utilizzando i tag del cloud pubblico e NSX-T Data Center per informazioni su come utilizzare i tag del cloud pubblico per raggruppare le macchine virtuali del carico di lavoro in NSX Manager.

Prerequisiti

Se si utilizza federazione di NSX, vedere Sicurezza in federazione di NSX per informazioni dettagliate sulle opzioni di configurazione.

Procedura

  1. Selezionare Inventario > Gruppi nel riquadro di spostamento.
  2. Fare clic su Aggiungi gruppo, quindi immettere il nome del gruppo.
  3. Se si aggiunge un gruppo da un Global Manager per federazione di NSX, accettare la selezione della regione predefinita o selezionare una regione dal menu a discesa. Dopo aver creato un gruppo con una regione, non è possibile modificare la selezione della regione. Tuttavia, è possibile modificare l'estensione della regione stessa aggiungendo o rimuovendo posizioni. Prima di creare il gruppo, è possibile creare regioni personalizzate. Vedere Creazione di una regione da Global Manager.
    Per i gruppi aggiunti da un Global Manager in un ambiente federazione di NSX, la selezione di una regione è obbligatoria. Questa casella di testo non è disponibile se non si utilizza Global Manager.
  4. Fare clic su Imposta.
  5. Nella finestra Imposta membri, selezionare il Tipo di gruppo.
    Tipo gruppo Descrizione
    Generico

    Questo tipo di gruppo è la selezione predefinita. Una definizione di gruppo generico può essere costituita da una combinazione di criteri di appartenenza, membri aggiunti manualmente, indirizzi IP, indirizzi MAC e gruppi di Active Directory.

    I gruppi generici con membri di indirizzi IP aggiunti solo manualmente non sono supportati per l'uso nel campo Si applica a nelle regole DFW. È possibile creare la regola, ma non verrà applicata.

    Quando si definiscono i criteri di appartenenza nel gruppo, i membri vengono aggiunti dinamicamente nel gruppo in base a uno o più criteri. I membri aggiunti manualmente includono oggetti, ad esempio porte del segmento, porte distribuite, gruppi di porte distribuiti, VIF, macchine virtuali e così via.
    Solo indirizzi IP

    Questo tipo di gruppo contiene solo indirizzi IP (IPv4 o IPv6). L'utilizzo dei gruppi Solo indirizzi IP con membri di indirizzi IP aggiunti manualmente non è supportato nelle regole Si applica a in DFW. È possibile creare la regola, ma non verrà applicata.

    Dopo che un gruppo di tipo Solo indirizzi IP è realizzato in NSX-T Data Center, non è possibile modificare il tipo di gruppo in Generico. Tuttavia, se il tipo di gruppo è Generico, è possibile modificare il tipo di gruppo in Solo indirizzi IP. In questo caso, nel gruppo vengono mantenuti solo gli indirizzi IP. Tutti i criteri di appartenenza e le altre definizioni del gruppo vengono persi.

    Questo tipo di gruppo è simile in termini di funzionamento agli NSGroups con criterio basato su tag di set di IP nella modalità Manager delle versioni precedenti di NSX-T.
    Antrea

    Questo tipo di gruppo è disponibile solo quando nell'ambiente NSX-T sono registrati uno o più cluster di container Antrea.

    Per ulteriori informazioni, vedere Gruppi Antrea e Aggiunta di un gruppo Antrea.
  6. (Facoltativo) Nella pagina Criteri di appartenenza, fare clic su Aggiungi criterio per aggiungere dinamicamente i membri al gruppo in base a uno o più criteri di appartenenza.

    Un criterio di appartenenza può avere una o più condizioni. Le condizioni possono utilizzare lo stesso tipo di membro o una combinazione di tipi di membri diversi. Tuttavia, si applicano alcune restrizioni all'aggiunta di più condizioni con tipi di membri misti in un criterio di appartenenza. Per ulteriori informazioni sui criteri di appartenenza, vedere Panoramica dei criteri di appartenenza ai gruppi.

  7. (Facoltativo) Fare clic su Membri per aggiungere membri statici al gruppo.
    I tipi di membri disponibili sono:
    • Gruppi: se si utilizza federazione di NSX, è possibile aggiungere un gruppo come membro con un'estensione uguale o inferiore rispetto alla regione selezionata per il gruppo che si sta creando da Global Manager (vedere Sicurezza in federazione di NSX)
    • Segmenti NSX: gli indirizzi IP assegnati a un'interfaccia del gateway e gli indirizzi IP virtuali del bilanciamento del carico NSX non sono inclusi come membri del gruppo di segmenti.
    • Porte segmenti
    • Gruppi di porte distribuiti
    • Porte distribuite
    • VIF
    • Macchine virtuali
    • Server fisici
    • Istanze di servizio nativo del cloud
  8. (Facoltativo) Fare clic su Indirizzi IP/MAC per aggiungere indirizzi IP e MAC come membri del gruppo. Sono supportati indirizzi IPv4, IPv6 e multicast.
    Fare clic su Azione > Importa per importare gli indirizzi IP/MAC da un file TXT o da un file CSV contenente valori di IP/MAC separati da virgole.
  9. (Facoltativo) Fare clic su Gruppi di AD per aggiungere gruppi di Active Directory. I gruppi con membri di Active Directory possono essere utilizzati nella casella di testo di origine di una regola di firewall distribuito per il firewall di identità. I gruppi possono contenere sia membri di AD sia membri di elaborazione.
    Nota: Se si utilizza federazione di NSX, non è possibile creare gruppi da Global Manager per includere gruppi di utenti AD.
  10. (Facoltativo) Immettere una descrizione e un tag.
  11. Fare clic su Applica
    Vengono elencati i gruppi con un'opzione per visualizzare i membri e la posizione in cui viene utilizzato il gruppo.