IP セット、MAC セット、論理ポート、論理スイッチおよび他の NSGroup の組み合わせを含むように NSGroup を構成することができます。論理スイッチ、論理ポート、および仮想マシンを含む NSGroup は送信元および宛先として指定するほか、ファイアウォール ルールの Applied To フィールドに指定することができます。IPset および MACSet を含む NSGroup は、分散ファイアウォールの Applied To フィールドでは無視されます。

NSX Cloud の注 NSX Cloud を使用する場合は、 パブリック クラウドで NSX-T Data Center の機能を使用する方法を参照して、自動生成される論理エンティティ、サポートされる機能、 NSX Cloud に必要な構成を確認してください。

NSGroup には次の特性があります。

  • NSGroup には直接メンバーと有効なメンバーがあります。有効なメンバーには、メンバーシップ基準を使用して指定するメンバー、およびこの NSGroup のメンバーに属するすべての直接メンバーおよび有効なメンバーが含まれます。たとえば、NSGroup-1 に直接メンバー LogicalSwitch-1 が含まれているとします。NSGroup-2 を追加し、メンバーとして NSGroup-1 および LogicalSwitch-2 を指定します。これで、NSGroup-2 には直接のメンバーとして NSGroup-1 および LogicalSwitch-2、有効なメンバーとして LogicalSwitch-1 が含まれるようになります。次に、NSGroup-3 を追加し、メンバーとして NSGroup-2 を指定します。これで、NSGroup-3 には直接のメンバーとして NSGroup-2、有効なメンバーとして LogicalSwitch-1 および LogicalSwitch-2 が含まれるようになります。メイン グループのテーブルから、グループをクリックして [関連] > [NSGroups] の順に選択すると、NSGroup-1、NSGroup-2、および NSGroup-3 が表示されます。これらの 3 つのグループではすべて、直接的または間接的に LogicalSwitch-1 がメンバーとして含まれているためです。
  • NSGroup には最高で 500 の直接メンバーを含めることができます。
  • NSGroup で推奨される有効なメンバーの最大数は 5000 です。NSX Manager は、この制限について NSGroup を一日 2 回(午前 7 時と午後 7 時)チェックします。この制限を超えても機能への影響はありませんが、パフォーマンスにマイナスの影響をおよぼす場合があります。
    • NSGroup の有効なメンバーの数が 5,000 の 80% を超えると、「NSGroup xyz is about to exceed the maximum member limit.」ログ ファイルには「Total number in NSGroup is ...」と記録されます。数が 5,000 を超えると、警告メッセージ「NSGroup xyz has reached the maximum numbers limit.Total number in NSGroup = ...」が表示されます。
    • NSGroup 内の変換された VIF/IP/MAC の数が 5,000 を超えると、「Container xyz has reached the maximum IP/MAC/VIF translations limit.Current translations count in Container - IPs:..., MACs:..., VIFs:...」という警告メッセージがログ ファイルに表示されます。
  • サポートされる仮想マシンの最大数は 10,000 です。
  • 最大 1 万までの NSGroup を作成できます。

NSGroup にメンバーとして追加できるオブジェクトの場合、任意のオブジェクトの画面に移動して [関連] > [NSGroups] の順に選択します。

前提条件

NSX Manager ユーザー インターフェイスで [マネージャ] モードが選択されていることを確認します。NSX Manager を参照してください。[ポリシー] モード ボタンと [マネージャ] モード ボタンが表示されない場合は、ユーザー インターフェイスの設定を参照してください。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [インベントリ] > [グループ] > [追加] を選択します。
  3. NSGroup の名前を入力します。
  4. (オプション) 説明を入力します。
  5. (オプション) [メンバーシップ基準] をクリックします。
    各基準に、最大で 5 つのルールを論理 AND 演算子と組み合わせて指定することができます。利用可能なメンバー基準は以下に適用できます。
    • [論理ポート] - タグとオプションのスコープを指定できます。
    • [論理スイッチ] - タグとオプションのスコープを指定できます。
    • [仮想マシン] - 名前、タグ、コンピュータの OS 名、または、一定の条件を満たすコンピュータ名(特定の文字列と等しい、特定の文字列で開始または終了する、特定の文字列と等しくないなど)を指定できます。
    • [トランスポート ノード] - Edge ノードまたはホスト ノードと等しいノード タイプを指定できます。
    • [IP セット] - タグとオプションのスコープを指定できます。
  6. (オプション) [メンバー] をクリックしてメンバーを選択します。
    使用可能なメンバー タイプは次のとおりです。
    • [Active Directory グループ] - ADGroup を含む NSGroup は、分散ファイアウォール ルールの extended_source フィールドでのみ使用でき、グループ内の唯一のメンバーである必要があります。たとえば、ADGroup と IPSet の両方をメンバーに含む NSGroup は使用できません。
    • [IP セット] - IPv4 アドレスと IPv6 アドレスの両方を含めることができます。
    • [論理ポート] - IPv4 アドレスと IPv6 アドレスの両方を含めることができます。
    • [論理スイッチ] - IPv4 アドレスと IPv6 アドレスの両方を含めることができます。
    • [MAC セット]
    • [NSGroup]
    • [トランスポート ノード]
    • [VIF]
    • [仮想マシン]
  7. [追加] をクリックします。
    グループのテーブルに、このグループが追加されます。グループ名をクリックして概要を表示し、メンバーシップ基準、メンバー、アプリケーション、および関連グループを含むグループ情報を編集します。タグを追加および削除するには、 [概要] タブの一番下までスクロールします。詳細については オブジェクトへのタグの追加を参照してください。 [関連] > [NSGroups] の順に選択すると、選択した NSGroup をメンバーに含むすべての NSGroup が表示されます。