I gruppi includono oggetti diversi che vengono aggiunti in modo statico e dinamico e possono essere utilizzati come origine e destinazione di una regola del firewall.

I gruppi possono essere configurati in modo da contenere una combinazione di macchine virtuali, set di IP, set di MAC, porte di segmenti, segmenti, gruppi di utenti AD e altri gruppi. L'inclusione dinamica dei gruppi può essere basata su tag, nome della macchina, nome del sistema operativo o nome del computer.

Nota: Se si crea un gruppo nell'API utilizzando criteri basati su LogicalPort, non è possibile modificare il gruppo nell'interfaccia utente utilizzando l'operatore AND tra i criteri SegmentPort.

Se il feed IP dannosi è abilitato, viene scaricato un elenco di IP dannosi noti dal servizio cloud NTICS. È possibile creare gruppi per includere questi IP scaricati e configurare regole del firewall che ne blocchino l'accesso. È possibile convertire un gruppo Generico o Solo indirizzi IP in un gruppo Solo indirizzi IP con IP dannosi, ma non il contrario.

I gruppi possono anche essere esclusi dalle regole del firewall e nell'elenco possono essere presenti al massimo 100 gruppi. I set di IP, i set di MAC e i gruppi di AD non possono essere inclusi come membri in un gruppo utilizzato in un elenco di esclusione del firewall. Per ulteriori informazioni, consultare Gestione di un elenco di esclusione del firewall.

Un singolo gruppo può essere utilizzato come origine solo all'interno di una regola del firewall distribuito. Se sono necessari gruppi basati su IP e Active Directory all'origine, creare due regole del firewall separate.

I gruppi costituiti solo da indirizzi IP o indirizzi MAC non possono essere utilizzati nella casella di testo Si applica a.

Nota: Quando un host viene aggiunto o rimosso in un vCenter Server, l'ID esterno delle macchine virtuali nell'host viene modificato. Se una macchina virtuale è un membro statico di un gruppo e l'ID esterno della macchina virtuale viene modificato, nell'interfaccia utente di NSX Manager la macchina virtuale non verrà più visualizzata come membro del gruppo. Tuttavia, nell'API in cui sono elencati i gruppi verrà comunque indicato che il gruppo contiene la macchina virtuale con il relativo ID esterno originale. Se si aggiunge una macchina virtuale come membro statico di un gruppo e l'ID esterno della macchina virtuale viene modificato, è necessario aggiungere nuovamente la macchina virtuale utilizzando il nuovo ID esterno. Per evitare questo problema, è inoltre possibile utilizzare i criteri di appartenenza dinamica.

Per i gruppi di criteri che contengono IP, indirizzi MAC e gruppi di identità, l'API dell'elenco NON visualizzerà l'attributo "membri". Ciò si applica anche ai gruppi contenenti una combinazione di membri statici. Ad esempio, un gruppo di criteri contenente IP e macchine virtuali non visualizzerà l'attributo membri.

Per i gruppi di criteri che non contengono IP, indirizzi MAC o gruppi di identità, l'attributo membro verrà visualizzato nella risposta di NSGroup. Tuttavia, i nuovi membri e i criteri introdotti in NSX (ad esempio DVPort e DVPG) non verranno inclusi nella definizione del gruppo MP. Gli utenti possono visualizzare la definizione nel criterio.

Per i tag in NSX viene fatta distinzione tra maiuscole e minuscole, ma per un gruppo basato sui tag non viene fatta tale distinzione. Ad esempio, se il criterio di appartenenza al raggruppamento dinamico è VM Tag Equals 'quarantine', il gruppo include tutte le macchine virtuali che contengono i tag "quarantine" o "QUARANTINE".

Se si utilizza NSX Cloud, vedere Raggruppare le macchine virtuali utilizzando i tag del cloud pubblico e NSX per informazioni su come utilizzare i tag del cloud pubblico per raggruppare le macchine virtuali del carico di lavoro in NSX Manager.

Procedura

  1. Selezionare Inventario > Gruppi nel riquadro di spostamento.
  2. Fare clic su Aggiungi gruppo, quindi immettere il nome del gruppo.
  3. Se si aggiunge un gruppo da un Global Manager per federazione di NSX, accettare la selezione della regione predefinita o selezionare una regione dal menu a discesa. Dopo aver creato un gruppo con una regione, non è possibile modificare la selezione della regione. Tuttavia, è possibile modificare l'estensione della regione stessa aggiungendo o rimuovendo posizioni. Prima di creare il gruppo, è possibile creare regioni personalizzate. Vedere Creazione di una regione da Global Manager.
    Per i gruppi aggiunti da un Global Manager in un ambiente federazione di NSX, la selezione di una regione è obbligatoria. Questa casella di testo non è disponibile se non si utilizza Global Manager.
  4. Fare clic su Imposta.
  5. Nella finestra Imposta membri, selezionare il Tipo di gruppo.
    Tipo gruppo Descrizione
    Generico

    Questo tipo di gruppo è la selezione predefinita. Una definizione di gruppo generico può essere costituita da una combinazione di criteri di appartenenza, membri aggiunti manualmente, indirizzi IP, indirizzi MAC e gruppi di Active Directory.

    I gruppi generici con membri di indirizzi IP aggiunti solo manualmente non sono supportati per l'uso nel campo Si applica a nelle regole DFW. È possibile creare la regola, ma non verrà applicata.

    Quando si definiscono i criteri di appartenenza nel gruppo, i membri vengono aggiunti dinamicamente nel gruppo in base a uno o più criteri. I membri aggiunti manualmente includono oggetti, ad esempio porte del segmento, porte distribuite, gruppi di porte distribuiti, VIF, macchine virtuali e così via.
    Solo indirizzi IP

    Questo tipo di gruppo contiene solo indirizzi IP (IPv4 o IPv6). L'utilizzo dei gruppi Solo indirizzi IP con membri di indirizzi IP aggiunti manualmente non è supportato nelle regole Si applica a in DFW. È possibile creare la regola, ma non verrà applicata.

    Se il tipo di gruppo è Generico, è possibile modificarne il tipo in gruppo Solo indirizzi IP o Solo solo indirizzi IP con un gruppo di IP dannosi. In questo caso, nel gruppo vengono mantenuti solo gli indirizzi IP. Tutti i criteri di appartenenza e le altre definizioni del gruppo vengono persi. Dopo che un gruppo di tipo Solo indirizzi IP o Solo indirizzi IP con IP dannosi viene creato in NSX, non è possibile modificare il tipo di gruppo a Generico.

    Il tipo di gruppo Solo indirizzi IP è simile in termini di funzionamento agli NSGroups con criterio basato su tag di set di IP nella modalità Manager delle versioni precedenti di NSX.
    Solo indirizzi IP con IP dannosi

    Se sono stati abilitati Feed IP dannosi, è possibile creare solo un gruppo Solo indirizzi IP con IP dannosi attivando Aggiungi IP dannosi predefiniti. Per ulteriori informazioni sulla configurazione di questa funzionalità, vedere Configurazione dei feed IP dannosi.

    È inoltre possibile specificare IP e indirizzi IP solo per i gruppi che devono essere trattati come eccezioni e non devono essere bloccati.

    Tenere presente che dopo aver attivato l'interruttore Aggiungi IP dannosi predefiniti non è possibile disattivarlo durante la modifica del gruppo.
    Antrea

    Questo tipo di gruppo è disponibile solo quando nell'ambiente NSX sono registrati uno o più cluster Kubernetes Antrea.

    Per ulteriori informazioni, vedere Gruppi Antrea e Aggiunta di un gruppo Antrea.
  6. (Facoltativo) Nella pagina Criteri di appartenenza, fare clic su Aggiungi criterio per aggiungere dinamicamente i membri al gruppo generico in base a uno o più criteri di appartenenza.

    A partire da NSX 4.1, è possibile creare gruppi generici con tipi di membri Kubernetes in criteri di appartenenza dinamica in modo che corrispondano al traffico in entrata o in uscita da cluster Kubernetes Antrea registrati.

    Un criterio di appartenenza può avere una o più condizioni. Le condizioni possono utilizzare lo stesso tipo di membro o una combinazione di tipi di membri diversi. In un singolo criterio di appartenenza, le condizioni basate sui tipi di membri NSX non possono essere combinate con le condizioni basate sui tipi di membri Kubernetes. Tuttavia, è possibile disporre di un criterio basato solo su tipi di membri NSX e di un altro criterio basato solo sui tipi di membri Kubernetes, quindi unire entrambi i criteri con un operatore OR.

    L'aggiunta di più condizioni con tipi di membri NSX misti o tipi di membri Kubernetes misti in un criterio di appartenenza si applicano alcune restrizioni. Per ulteriori informazioni sui criteri di appartenenza, vedere Panoramica dei criteri di appartenenza ai gruppi di NSX.

    Nota: In un ambiente NSX multi-tenant, le risorse del cluster Kubernetes non sono esposte all'inventario del progetto. Pertanto, all'interno di un progetto, non è possibile creare gruppi generici con tipi di membri Kubernetes nei criteri di appartenenza dinamica.
  7. (Facoltativo) Fare clic su Membri per aggiungere membri statici al gruppo.
    I tipi di membri disponibili sono:
    • Gruppi: se si utilizza federazione di NSX, è possibile aggiungere un gruppo come membro con un'estensione uguale o inferiore rispetto alla regione selezionata per il gruppo che si sta creando da Global Manager (vedere Sicurezza in federazione di NSX)
    • Segmenti NSX: gli indirizzi IP assegnati a un'interfaccia del gateway e gli indirizzi IP virtuali del bilanciamento del carico NSX non sono inclusi come membri del gruppo di segmenti.
    • Porte segmenti
    • Gruppi di porte distribuiti
    • Porte distribuite
    • VIF
    • Macchine virtuali
    • Server fisici
    • Istanze di servizio nativo del cloud
  8. (Facoltativo) Fare clic su Indirizzi IP/MAC per aggiungere indirizzi IP e MAC come membri del gruppo. Sono supportati indirizzi IPv4, IPv6 e multicast.
    Fare clic su Azione > Importa per importare gli indirizzi IP/MAC da un file TXT o da un file CSV contenente valori di IP/MAC separati da virgole.
  9. (Facoltativo) Fare clic su Gruppi di AD per aggiungere gruppi di Active Directory. I gruppi con membri di Active Directory possono essere utilizzati nella casella di testo di origine di una regola di firewall distribuito per il firewall di identità. I gruppi possono contenere sia membri di AD sia membri di elaborazione.
    Nota: Se si utilizza federazione di NSX, non è possibile creare gruppi da Global Manager per includere gruppi di utenti AD.
  10. (Facoltativo) Immettere una descrizione e un tag.
  11. Fare clic su Applica
    Vengono elencati i gruppi con un'opzione per visualizzare i membri e la posizione in cui viene utilizzato il gruppo.