I gruppi includono oggetti diversi che vengono aggiunti in modo statico e dinamico e possono essere utilizzati come origine e destinazione di una regola del firewall.
I gruppi possono essere configurati in modo da contenere una combinazione di macchine virtuali, set di IP, set di MAC, porte di segmenti, segmenti, gruppi di utenti AD e altri gruppi. L'inclusione dinamica dei gruppi può essere basata su tag, nome della macchina, nome del sistema operativo o nome del computer.
Se il feed IP dannosi è abilitato, viene scaricato un elenco di IP dannosi noti dal servizio cloud NTICS. È possibile creare gruppi per includere questi IP scaricati e configurare regole del firewall che ne blocchino l'accesso. Un gruppo Generico o Solo indirizzi IP non può essere convertito in un gruppo Solo indirizzi IP con IP dannosi e viceversa. Tuttavia, un gruppo Generico può essere convertito in un gruppo Solo indirizzi IP senza IP dannosi.
I gruppi possono anche essere esclusi dalle regole del firewall e nell'elenco possono essere presenti al massimo 100 gruppi. I set di IP, i set di MAC e i gruppi di AD non possono essere inclusi come membri in un gruppo utilizzato in un elenco di esclusione del firewall. Per ulteriori informazioni, consultare Gestione di un elenco di esclusione del firewall.
Se si utilizzano gruppi di Active Directory come origine, è possibile utilizzare un singolo gruppo di Active Directory. Se all'origine sono necessari sia gruppi di IP sia gruppi di Active Directory, creare due regole del firewall separate.
I gruppi costituiti solo da indirizzi IP, indirizzi MAC o gruppi di Active Directory non possono essere utilizzati nella casella di testo Si applica a.Per i gruppi di criteri che contengono indirizzi IP o MAC, nell'API dell'elenco NSGroup NON verrà visualizzato l'attributo "members". Ciò si applica anche ai gruppi contenenti una combinazione di membri statici. Ad esempio, se un gruppo di criteri contiene IP e DVPG, nell'API dell'elenco NSGroup non verrà visualizzato l'attributo "members".
Per i gruppi di criteri che non contengono IP, indirizzi MAC o gruppi di identità, l'attributo membro verrà visualizzato nella risposta di NSGroup. Tuttavia, i nuovi membri e i criteri introdotti in NSX (ad esempio DVPort e DVPG) non verranno inclusi nella definizione del gruppo MP. Gli utenti possono visualizzare la definizione nel criterio.
Per i tag in NSX viene fatta distinzione tra maiuscole e minuscole, ma per un gruppo basato su tag non viene fatta tale distinzione. Ad esempio, se il criterio di appartenenza al raggruppamento dinamico è VM Tag Equals 'quarantine'
, il gruppo include tutte le macchine virtuali che contengono i tag "quarantine" o "QUARANTINE".