I gruppi includono oggetti diversi che vengono aggiunti in modo statico e dinamico e possono essere utilizzati come origine e destinazione di una regola del firewall.

I gruppi possono essere configurati in modo da contenere una combinazione di macchine virtuali, set di IP, set di MAC, porte di segmenti, segmenti, gruppi di utenti AD e altri gruppi. L'inclusione dinamica dei gruppi può essere basata su tag, nome della macchina, nome del sistema operativo o nome del computer.

Nota: Se si crea un gruppo nell'API utilizzando criteri basati su LogicalPort, non è possibile modificare il gruppo nell'interfaccia utente utilizzando l'operatore AND tra i criteri SegmentPort. Se si crea un gruppo utilizzando criteri basati su segmento, porta segmento, gruppi di porte distribuite o porte distribuite, disabilitare l'opzione "TOFU (Trust on First Use)" nel profilo di rilevamento IP del gruppo. In caso contrario, l'indirizzo IP originale dell'interfaccia rimarrà nel gruppo anche se il relativo indirizzo IP viene modificato.

Se il feed IP dannosi è abilitato, viene scaricato un elenco di IP dannosi noti dal servizio cloud NTICS. È possibile creare gruppi per includere questi IP scaricati e configurare regole del firewall che ne blocchino l'accesso. Un gruppo Generico o Solo indirizzi IP non può essere convertito in un gruppo Solo indirizzi IP con IP dannosi e viceversa. Tuttavia, un gruppo Generico può essere convertito in un gruppo Solo indirizzi IP senza IP dannosi.

I gruppi possono anche essere esclusi dalle regole del firewall e nell'elenco possono essere presenti al massimo 100 gruppi. I set di IP, i set di MAC e i gruppi di AD non possono essere inclusi come membri in un gruppo utilizzato in un elenco di esclusione del firewall. Per ulteriori informazioni, consultare Gestione di un elenco di esclusione del firewall.

Se si utilizzano gruppi di Active Directory come origine, è possibile utilizzare un singolo gruppo di Active Directory. Se all'origine sono necessari sia gruppi di IP sia gruppi di Active Directory, creare due regole del firewall separate.

I gruppi costituiti solo da indirizzi IP, indirizzi MAC o gruppi di Active Directory non possono essere utilizzati nella casella di testo Si applica a.

Nota: Quando un host viene aggiunto o rimosso in un vCenter Server, l'ID esterno delle macchine virtuali nell'host viene modificato. Se una macchina virtuale è un membro statico di un gruppo e l'ID esterno della macchina virtuale viene modificato, nell'interfaccia utente di NSX Manager la macchina virtuale non verrà più visualizzata come membro del gruppo. Tuttavia, nell'API in cui sono elencati i gruppi verrà comunque indicato che il gruppo contiene la macchina virtuale con il relativo ID esterno originale. Se si aggiunge una macchina virtuale come membro statico di un gruppo e l'ID esterno della macchina virtuale viene modificato, è necessario aggiungere nuovamente la macchina virtuale utilizzando il nuovo ID esterno. Per evitare questo problema, è inoltre possibile utilizzare i criteri di appartenenza dinamica.

Per i gruppi di criteri che contengono indirizzi IP o MAC, nell'API dell'elenco NSGroup NON verrà visualizzato l'attributo "members". Ciò si applica anche ai gruppi contenenti una combinazione di membri statici. Ad esempio, se un gruppo di criteri contiene IP e DVPG, nell'API dell'elenco NSGroup non verrà visualizzato l'attributo "members".

Per i gruppi di criteri che non contengono IP, indirizzi MAC o gruppi di identità, l'attributo membro verrà visualizzato nella risposta di NSGroup. Tuttavia, i nuovi membri e i criteri introdotti in NSX (ad esempio DVPort e DVPG) non verranno inclusi nella definizione del gruppo MP. Gli utenti possono visualizzare la definizione nel criterio.

Per i tag in NSX viene fatta distinzione tra maiuscole e minuscole, ma per un gruppo basato su tag non viene fatta tale distinzione. Ad esempio, se il criterio di appartenenza al raggruppamento dinamico è VM Tag Equals 'quarantine', il gruppo include tutte le macchine virtuali che contengono i tag "quarantine" o "QUARANTINE".

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Inventario > Gruppi nel riquadro di spostamento.
  3. Fare clic su Aggiungi gruppo, quindi immettere il nome del gruppo.
  4. Se si aggiunge un gruppo da un Global Manager per federazione di NSX, accettare la selezione della regione predefinita o selezionare una regione dal menu a discesa. Dopo aver creato un gruppo con una regione, non è possibile modificare la selezione della regione. Tuttavia, è possibile modificare l'estensione della regione stessa aggiungendo o rimuovendo posizioni. Prima di creare il gruppo, è possibile creare regioni personalizzate.
    Per i gruppi aggiunti da un Global Manager in un ambiente federazione di NSX, la selezione di una regione è obbligatoria. Questa casella di testo non è disponibile se non si utilizza Global Manager.
  5. Fare clic su Imposta.
  6. Nella finestra Imposta membri, selezionare il Tipo di gruppo.
    Tipo gruppo Descrizione
    Generico

    Questo tipo di gruppo è la selezione predefinita. Una definizione di gruppo generico può essere costituita da una combinazione di criteri di appartenenza, membri aggiunti manualmente, indirizzi IP, indirizzi MAC e gruppi di Active Directory.

    I gruppi generici con membri di indirizzi IP aggiunti solo manualmente non sono supportati per l'uso nel campo Si applica a nelle regole DFW. È possibile creare la regola, ma non verrà applicata.

    Quando si definiscono i criteri di appartenenza nel gruppo, i membri vengono aggiunti dinamicamente nel gruppo in base a uno o più criteri. I membri aggiunti manualmente includono oggetti, ad esempio porte del segmento, porte distribuite, gruppi di porte distribuiti, VIF, macchine virtuali e così via.
    Solo indirizzi IP

    Questo tipo di gruppo contiene solo indirizzi IP (IPv4 o IPv6). L'utilizzo dei gruppi Solo indirizzi IP con membri di indirizzi IP aggiunti manualmente non è supportato nelle regole Si applica a in DFW. È possibile creare la regola, ma non verrà applicata.

    Se il tipo di gruppo è Generico, è possibile modificarlo impostandolo sul gruppo Solo indirizzi IP ma non sul gruppo Solo indirizzi IP con IP dannosi. In questo caso, nel gruppo vengono mantenuti solo gli indirizzi IP. Tutti i criteri di appartenenza e le altre definizioni del gruppo vengono persi. Dopo che un gruppo di tipo Solo indirizzi IP o Solo indirizzi IP con IP dannosi viene creato in NSX, non è possibile modificare il tipo di gruppo a Generico.

    Il tipo di gruppo Solo indirizzi IP è simile in termini di funzionamento agli NSGroups con criterio basato su tag di set di IP nella modalità Manager delle versioni precedenti di NSX.
    Solo indirizzi IP con IP dannosi

    Se sono stati abilitati Feed IP dannosi, è possibile creare un gruppo Solo indirizzi IP con IP dannosi attivando Aggiungi IP dannosi predefiniti.

    È inoltre possibile specificare IP e indirizzi IP solo per i gruppi che devono essere trattati come eccezioni e non devono essere bloccati.

    Tenere presente che dopo aver attivato l'interruttore Aggiungi IP dannosi predefiniti non è possibile disattivarlo durante la modifica del gruppo.
    Antrea

    Questo tipo di gruppo è disponibile solo quando nell'ambiente NSX sono registrati uno o più cluster Kubernetes Antrea.
  7. (Facoltativo) Nella pagina Criteri di appartenenza, fare clic su Aggiungi criterio per aggiungere dinamicamente i membri al gruppo generico in base a uno o più criteri di appartenenza.

    Se nella distribuzione di NSX sono stati registrati cluster Kubernetes nella CNI di Antrea, è possibile creare gruppi generici con tipi di membri Kubernetes in criteri di appartenenza dinamica per associare il traffico in entrata o in uscita da questi cluster Kubernetes di Antrea.

    Un criterio di appartenenza può avere una o più condizioni. Le condizioni possono utilizzare lo stesso tipo di membro o una combinazione di tipi di membri diversi. In un singolo criterio di appartenenza, le condizioni basate sui tipi di membri NSX non possono essere combinate con le condizioni basate sui tipi di membri Kubernetes. Tuttavia, è possibile disporre di un criterio basato solo su tipi di membri NSX e di un altro criterio basato solo sui tipi di membri Kubernetes, quindi unire entrambi i criteri con un operatore OR.

    L'aggiunta di più condizioni con tipi di membri NSX misti o tipi di membri Kubernetes misti in un criterio di appartenenza si applicano alcune restrizioni. Per ulteriori informazioni sui criteri di appartenenza, vedere Panoramica dei criteri di appartenenza ai gruppi NSX.

    Nota: In un ambiente NSX multi-tenant, le risorse del cluster Kubernetes non sono esposte all'inventario del progetto. Pertanto, all'interno di un progetto, non è possibile creare gruppi generici con tipi di membri Kubernetes nei criteri di appartenenza dinamica.
  8. (Facoltativo) Fare clic su Membri per aggiungere membri statici al gruppo.
    I tipi di membri disponibili sono:
    • Gruppi: se si utilizza federazione di NSX, è possibile aggiungere un gruppo come membro con un'estensione uguale o inferiore a quella della regione selezionata per il gruppo che si sta creando da Global Manager.
    • Segmenti NSX: gli indirizzi IP assegnati a un'interfaccia del gateway e gli indirizzi IP virtuali del bilanciamento del carico NSX non sono inclusi come membri del gruppo di segmenti.
    • Porte segmenti
    • Gruppi di porte distribuiti
    • Porte distribuite
    • VIF
    • Macchine virtuali
    • Server fisici
  9. (Facoltativo) Fare clic su Indirizzi IP o Indirizzi MAC per aggiungere indirizzi IP e MAC come membri del gruppo. Sono supportati indirizzi IPv4, IPv6 e multicast.
    Fare clic su Azione > Importa per importare gli indirizzi IP/MAC da un file TXT o da un file CSV contenente valori di IP/MAC separati da virgole.
  10. (Facoltativo) Fare clic su Gruppi di AD per aggiungere gruppi di Active Directory. I gruppi con membri di Active Directory possono essere utilizzati nella casella di testo di origine di una regola di firewall distribuito per il firewall di identità. I gruppi possono contenere sia membri di AD sia membri di elaborazione.
    Nota: Se si utilizza federazione di NSX, non è possibile creare gruppi da Global Manager per includere gruppi di utenti AD.
  11. (Facoltativo) Immettere una descrizione e un tag.
  12. Fare clic su Applica
    Vengono elencati i gruppi con un'opzione per visualizzare i membri e la posizione in cui viene utilizzato il gruppo.