È possibile creare gruppi in un VPC NSX e utilizzarli nei criteri del firewall per soddisfare requisiti di sicurezza specifici per i carichi di lavoro in esecuzione all'interno del VPC NSX.

Gruppi predefiniti in un VPC NSX

Il sistema crea un gruppo predefinito di tipo Generico per ogni progetto VPC NSX aggiunto al progetto. Il gruppo predefinito consente di limitare l'ambito delle regole del firewall a un progetto VPC NSX specifico.

Viene utilizzata la seguente convenzione di denominazione per identificare il gruppo predefinito in un VPC NSX:

ORG-default-PROJECT-<Project_Name>-VPC-<VPC_Name>-default

Project_Name e VPC_Name vengono sostituiti con i valori effettivi nel sistema.

Questo gruppo predefinito rappresenta il VPC NSX stesso. I membri di questo gruppo predefinito sono subnet, porte di subnet e interfacce di macchine virtuali (VIF) connesse alle subnet VPC NSX. Se la macchina virtuale è dual-homed, ad esempio quando un'interfaccia è connessa a una subnet del VPC e l'altra interfaccia è connessa a un segmento nello spazio predefinito, la VIF di questa macchina virtuale nel segmento non sarà un membro del gruppo predefinito di VPC.

Un caso d'uso tipico per l'utilizzo del gruppo predefinito di VPC è il seguente:

Si supponga che un amministratore del progetto o un utente nello spazio predefinito desideri bloccare il traffico verso tutte le macchine virtuali all'interno del VPC NSX. Possono utilizzare il gruppo predefinito di VPC nel criterio del firewall.

Gruppi creati dall'utente in un VPC NSX

In un VPC NSX sono supportati i gruppi di tipo Generico e Solo indirizzi IP.

Sono supportati i seguenti oggetti NSX per l'aggiunta statica a una definizione di gruppo all'interno di un VPC NSX:
  • Subnet
  • Porte subnet
  • VIF
  • Macchine virtuali
  • Gruppi

Nella scheda Membri della finestra di dialogo Imposta membri, il sistema visualizza solo gli oggetti di proprietà del VPC NSX o condivisi con il VPC NSX.

Sono supportati i seguenti oggetti NSX per l'aggiunta a un criterio di appartenenza dinamica al gruppo all'interno di un VPC NSX:
  • Macchina virtuale
  • Subnet
  • Porta subnet

Quando si aggiunge un gruppo in una VPC NSX con criteri dinamici basati su tag di macchina virtuale, le macchine virtuali connesse alle subnet nel VPC NSX diventano i membri effettivi del gruppo.

I gruppi condivisi con un VPC NSX possono essere utilizzati solo nei campi Origine o Destinazione della regola del firewall e non nel campo Si applica a della regola del firewall.

Aggiunta di gruppi in un VPC NSX

  1. Selezionare un progetto dal menu a discesa Progetto.
  2. Fare clic sulla scheda VPC.
  3. Espandere il VPC in cui si desidera aggiungere gruppi.
  4. Espandere la sezione Sicurezza e quindi fare clic sul numero accanto a Gruppi.

    Viene aperta la pagina Imposta gruppi VPC.

  5. Quindi utilizzare la procedura standard per aggiungere gruppi nel VPC NSX.