グループの追加

ファイアウォールルールの送信元と宛先として使用するグループを作成できます。グループには、仮想マシン、IP セット、MAC セット、セグメントポート、セグメント、Active Directory ユーザーグループ、およびその他のグループなど、さまざまなオブジェクトを含めることができます。グループの構成中に、オブジェクトを静的および動的に追加できます。オブジェクトを動的に追加するには、タグ、マシン名、OS 名、またはコンピュータ名に基づく基準を指定する必要があります。ルールをグループに適用する必要がある場合、NSX-T Data Center は基準を処理してメンバーを動的に計算し、基準の条件に基づいてオブジェクトを追加または削除します。

グループの静的オブジェクトを vCenter Server から削除する場合は、グループ定義からも削除する必要があります。そうでないと、そのオブジェクトは NSX グループではグループの有効なメンバーとして表示されなくなりますが、グループ定義では引き続きグループメンバーとして表示されます。

注： API で LogicalPort ベースの基準を使用してグループを作成する場合は、ユーザーインターフェイスで SegmentPort 基準間に AND 演算子を使用して、そのグループを編集することはできません。セグメント、セグメントポート、分散ポートグループ、または分散ポートベースの基準を使用してグループを作成する場合は、グループの IP 検出プロファイルで [初回使用時に信頼する] オプションを無効にします。それ以外の場合、IP アドレスが変更されても、インターフェイスの元の IP アドレスはグループに残ります。

グループはファイアウォールルールから除外できます。また、最大で 100 個のグループがリストに表示されます。IP セット、MAC セット、Active Directory グループは、ファイアウォール除外リストにあるグループのメンバーとして追加できません。詳細については、「ファイアウォール除外リストの管理」を参照してください。

1 つの分散ファイアウォールルール内に送信元として使用できるのは、1 つのグループのみです。送信元で IP グループと Active Directory グループが必要な場合は、それぞれのグループにファイアウォールルールを作成します。

IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、 [適用先] テキストボックスで使用できません。

注：ホストが vCenter Server に追加されたり、vCenter Server から削除されると、ホストの仮想マシンの外部 ID が変更されます。仮想マシンがグループの固定メンバーで、その外部 ID が変更されると、 NSX Manager のユーザーインターフェイスで、この仮想マシンはグループのメンバーとして表示されなくなります。ただし、グループのリストを取得する API を実行すると、このグループに元の外部 ID を持つ仮想マシンが含まれています。グループの固定メンバーとして追加した仮想マシンの外部 ID が変更された場合は、新しい外部 ID を使用して仮想マシンを再度追加する必要があります。動的なメンバーシップ基準を使用して、この問題を回避することもできます。

IP、MAC アドレス、ID グループを含むポリシーグループの場合、リスト API は members 属性を[表示しません]。これは、静的メンバーの組み合わせを含むグループの場合も同じです。たとえば、IP と仮想マシンを含むポリシーグループでは、メンバー属性は表示されません。

ポリシーグループに IP 、MAC アドレス、ID グループが含まれていない場合、NSGroup 応答でメンバー属性が表示されます。ただし、NSX-T Data Center で導入された新しいメンバーと基準（DVPort や DVPG など）は、MP グループ定義に含まれません。ユーザーは、ポリシーで定義を確認できます。

NSX 内のタグは大文字と小文字が区別されますが、タグに基づくグループでは区別されません。たとえば、動的グループメンバーシップの基準が VM Tag Equals 'quarantine' 場合、「quarantine」または「QUARANTINE」のいずれかのタグを含むすべての仮想マシンがこのグループに含まれます。

NSX Cloud を使用している場合は、NSX-T Data Center とパブリッククラウドタグを使用した仮想マシンのグループ化を参照して、パブリッククラウドタグで NSX Manager 内のワークロード仮想マシンをグループ化する方法を確認してください。

前提条件

NSX フェデレーションを使用している場合、構成オプションの詳細については、 NSX フェデレーションのセキュリティを参照してください。

手順

ナビゲーションパネルから、[インベントリ] > [グループ] の順に選択します。
[グループの追加] をクリックし、グループ名を入力します。
NSX フェデレーションのグローバルマネージャのグループを追加する場合は、デフォルトのリージョンの選択を受け入れるか、ドロップダウンメニューからリージョンを選択します。リージョンを持つグループを作成すると、リージョンの選択を編集できなくなります。ただし、場所を追加または削除することで、リージョン自体の範囲を変更することができます。グループを作成する前に、カスタマイズしたリージョンを作成できます。グローバルマネージャからのリージョンの作成を参照してください。
NSX フェデレーション環境のグローバルマネージャから追加されたグループの場合、リージョンの選択は必須です。グローバルマネージャを使用していない場合、このテキストボックスは使用できません。
[設定] をクリックします。

[メンバーの設定] ウィンドウで、[グループタイプ] を選択します。

グループタイプ	説明
汎用	このグループタイプがデフォルトの選択になります。汎用グループ定義は、メンバーシップ基準、手動で追加されたメンバー、IP アドレス、MAC アドレス、Active Directory グループの組み合わせで構成できます。手動で追加された IP アドレスのメンバーのみを含む汎用グループは、DFW ルールの [適用先] フィールドで使用できません。ルールの作成はできますが、適用されません。グループでメンバーシップ基準を定義すると、メンバーは 1 つ以上の基準に従ってグループに動的に追加されます。手動で追加されたメンバーには、セグメントポート、分散ポート、分散ポートグループ、VIF、仮想マシンなどのオブジェクトがあります。
IP アドレスのみ	このグループタイプには、IP アドレス（IPv4 または IPv6）のみが含まれます。手動で追加された IP アドレスのメンバーのみを含む [IP アドレスのみ] グループは、DFW ルールの [適用先] で使用できません。ルールの作成はできますが、適用されません。 [IP アドレスのみ] タイプのグループが NSX-T Data Center で認識された後、このグループタイプを編集して [汎用] にすることはできません。ただし、グループタイプが [汎用]の場合は、グループタイプを編集して [IP アドレスのみ] にできます。この場合、IP アドレスのみがグループに保持されます。メンバーシップ基準と他のグループ定義はすべて失われます。このグループタイプは、以前の NSX-T リリースのマネージャモードの IP セットタグベース基準を持つ NSGroup と機能的に似ています。
Antrea	このグループタイプは、NSX-T 環境に 1 つ以上の Antrea コンテナクラスタが登録されている場合にのみ使用できます。詳細については、Antrea グループとAntrea グループの追加を参照してください。

グループタイプ

説明

汎用

このグループタイプがデフォルトの選択になります。汎用グループ定義は、メンバーシップ基準、手動で追加されたメンバー、IP アドレス、MAC アドレス、Active Directory グループの組み合わせで構成できます。

手動で追加された IP アドレスのメンバーのみを含む汎用グループは、DFW ルールの [適用先] フィールドで使用できません。ルールの作成はできますが、適用されません。

グループでメンバーシップ基準を定義すると、メンバーは 1 つ以上の基準に従ってグループに動的に追加されます。手動で追加されたメンバーには、セグメントポート、分散ポート、分散ポートグループ、VIF、仮想マシンなどのオブジェクトがあります。

IP アドレスのみ

このグループタイプには、IP アドレス（IPv4 または IPv6）のみが含まれます。手動で追加された IP アドレスのメンバーのみを含む [IP アドレスのみ] グループは、DFW ルールの [適用先] で使用できません。ルールの作成はできますが、適用されません。

[IP アドレスのみ] タイプのグループが NSX-T Data Center で認識された後、このグループタイプを編集して [汎用] にすることはできません。ただし、グループタイプが [汎用]の場合は、グループタイプを編集して [IP アドレスのみ] にできます。この場合、IP アドレスのみがグループに保持されます。メンバーシップ基準と他のグループ定義はすべて失われます。

このグループタイプは、以前の NSX-T リリースのマネージャモードの IP セットタグベース基準を持つ NSGroup と機能的に似ています。

Antrea

このグループタイプは、NSX-T 環境に 1 つ以上の Antrea コンテナクラスタが登録されている場合にのみ使用できます。

詳細については、Antrea グループとAntrea グループの追加を参照してください。

（オプション） [メンバーシップ基準] ページで、[条件の追加] をクリックして、1 つ以上のメンバーシップ基準に基づいてグループにメンバーを動的に追加します。

メンバーシップ基準には 1 つ以上の条件を指定できます。条件には、同じメンバータイプを使用することも、異なるメンバータイプを混在させることもできます。ただし、メンバーシップ基準にメンバータイプが混在する複数の条件を追加する場合は、いくつかの制限があります。メンバーシップ基準については、グループメンバーシップ基準の概要を参照してください。
（オプション） [メンバー] をクリックして、グループに静的メンバーを追加します。
使用可能なメンバータイプは次のとおりです。
- [グループ] - NSX フェデレーションを使用している場合は、グローバルマネージャから作成しているグループに対して選択したリージョンと同等またはそれ以下の範囲を持つメンバーとしてグループを追加できます。NSX フェデレーションのセキュリティを参照してください。
- [NSX セグメント] - ゲートウェイインターフェイスに割り当てられた IP アドレスと、NSX ロードバランサの仮想 IP アドレスはセグメントグループメンバーとして含まれません。
- [セグメントポート]
- [分散ポートグループ]
- [分散ポート]
- [VIF]
- [仮想マシン]
- [物理サーバ]
- [クラウドネイティブサービスインスタンス]
（オプション） [IP/MAC アドレス] をクリックして、IP アドレスおよび MAC アドレスをグループメンバーとして追加します。IPv4 アドレス、IPv6 アドレス、マルチキャストアドレスがサポートされています。
[アクション] > [インポート] の順にクリックして、カンマ区切りの IP/MAC 値を含む TXT ファイルまたは CSV ファイルから IP/MAC アドレスをインポートします。
（オプション） [Active Directory グループ] をクリックして、Active Directory グループを追加します。Active Directory のメンバーを持つグループは、Identity Firewall の分散ファイアウォールルールの [送信元] テキストボックスに使用できます。グループには、Active Directory とコンピュートメンバーの両方を含めることができます。

注： NSX フェデレーションを使用している場合、グローバルマネージャからグループを作成して、Active Directory ユーザーグループを含めることはできません。
（オプション） 説明とタグを入力します。
[適用] をクリックします。
グループが表示され、メンバーとグループの使用場所を表示するオプションが示されます。