グループには静的および動的に追加されたさまざまなオブジェクトが含まれています。これらは、ファイアウォール ルールの送信元または宛先として使用できます。

また、仮想マシン、IP セット、MAC セット、セグメント ポート、セグメント、Active Directory ユーザー グループ、およびその他のグループの組み合わせを含むように構成できます。グループの動的な追加は、タグ、マシン名、OS 名、またはコンピュータ名に基づいて行うことができます。
注: API で LogicalPort ベースの基準を使用してグループを作成する場合は、ユーザー インターフェイスで SegmentPort 基準間に AND 演算子を使用して、そのグループを編集することはできません。

グループはファイアウォール ルールから除外できます。また、最大で 100 個のグループがリストに表示されます。IP セット、MAC セット、Active Directory グループは、ファイアウォール除外リストにあるグループのメンバーとして追加できません。詳細については、ファイアウォール除外リストの管理を参照してください。

1 つの分散ファイアウォール ルール内に送信元として使用できるのは、1 つの IP グループまたは Active Directory グループのみです。ソースで IP グループと Active Directory グループが必要な場合は、それぞれのグループにファイアウォール ルールを作成します。

IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、 [適用先] テキスト ボックスで使用できません。

注: ホストが vCenter Server に追加されたり、vCenter Server から削除されると、ホストの仮想マシンの外部 ID が変更されます。仮想マシンがグループの固定メンバーで、その外部 ID が変更されると、 NSX Manager のユーザー インターフェイスで、この仮想マシンはグループのメンバーとして表示されなくなります。ただし、グループのリストを取得する API を実行すると、このグループに元の外部 ID を持つ仮想マシンが含まれています。グループの固定メンバーとして追加した仮想マシンの外部 ID が変更された場合は、新しい外部 ID を使用して仮想マシンを再度追加する必要があります。動的なメンバーシップ基準を使用して、この問題を回避することもできます。

NSX 内のタグは大文字と小文字が区別されますが、タグに基づくグループでは区別されません。たとえば、動的グループ メンバーシップの基準が VM Tag Equals 'quarantine' 場合、「quarantine」または「QUARANTINE」のいずれかのタグを含むすべての仮想マシンがこのグループに含まれます。

NSX Cloud を使用している場合は、NSX-T Data Center とパブリック クラウド タグを使用した仮想マシンのグループ化を参照して、パブリック クラウド タグで NSX Manager 内のワークロード仮想マシンをグループ化する方法を確認してください。

前提条件

フェデレーションを使用している場合、構成オプションの詳細については、 NSX フェデレーション のセキュリティを参照してください。
注: NSX フェデレーション を使用している場合、グローバル マネージャから Active Directory ユーザー グループを含むグループを作成することはできません。

手順

  1. ナビゲーション パネルから、[インベントリ] > [グループ] の順に選択します。
  2. [グループの追加] をクリックします。
  3. グループ名を入力します。
  4. フェデレーションの グローバル マネージャ からグループを追加する場合は、デフォルトのリージョンの選択を受け入れるか、ドロップダウン メニューからリージョンを選択します。リージョンを持つグループを作成すると、リージョンの選択を編集できなくなります。ただし、場所を追加または削除することで、リージョン自体の範囲を変更することができます。グループを作成する前に、カスタマイズしたリージョンを作成できます。グローバル マネージャ からのリージョンの作成 を参照してください。
    注: フェデレーション環境の グローバル マネージャ から追加されたグループの場合、リージョンの選択は必須です。 グローバル マネージャ を使用していない場合、このテキスト ボックスは使用できません。
  5. (オプション) [メンバーの設定] をクリックします。
    メンバーシップの基準ごとに、最大で 5 つのルールを論理 AND 演算子と組み合わせて指定することができます。利用可能なメンバー基準は以下に適用できます。
    • [セグメント ポート]:タグ、範囲、またはその両方を指定します。
    • [セグメント]:タグ、範囲、またはその両方を指定します。
    • [仮想マシン]:名前、タグ、コンピュータの OS 名、または一定の条件を満たすコンピュータ名(特定の文字列と等しい、特定の文字列で開始または終了する、特定の文字列と等しくないなど)を指定します。
    • [IP セット]:タグ、範囲、またはその両方を指定します。
  6. (オプション) [メンバー] をクリックしてメンバーを選択します。
    使用可能なメンバー タイプは次のとおりです。
    • [グループ]
      注: フェデレーションを使用している場合は、 グローバル マネージャ から作成しているグループに対して選択したリージョンと同等またはそれ以下の範囲を持つメンバーとしてグループを追加できます。 NSX フェデレーション のセキュリティを参照してください。
    • [セグメント]
      注: ゲートウェイ インターフェイスに割り当てられた IP アドレスと、NSX ロード バランサの仮想 IP アドレスはセグメント グループ メンバーとして含まれません。
    • [セグメント ポート]
    • [VIF]
    • [仮想マシン]
    • [物理サーバ]
    • [クラウド ネイティブ サービス インスタンス]
  7. (オプション) [IP/MAC アドレス] をクリックして、IP アドレスおよび MAC アドレスをグループ メンバーとして追加します。IPv4 アドレス、IPv6 アドレス、マルチキャスト アドレスがサポートされています。
    [アクション] > [インポート] の順にクリックして、カンマ区切りの IP/MAC 値を含む .TXT ファイルまたは .CSV ファイルから IP/MAC アドレスをインポートします。
  8. (オプション) [Active Directory グループ] をクリックして、Active Directory グループを追加します。Active Directory のメンバーを持つグループは、Identity Firewall の分散ファイアウォール ルールの [送信元] テキスト ボックスに使用できます。グループには、Active Directory とコンピュート メンバーの両方を含めることができます。
    NSX フェデレーションを使用している場合、グローバル マネージャからグループを作成して、Active Directory グループを含めることはできません。
  9. (オプション) 説明とタグを入力します。
  10. [適用] をクリックします。
    グループが表示され、メンバーとグループの使用場所を表示するオプションが示されます。