グループの追加

グループには静的および動的に追加されたさまざまなオブジェクトが含まれています。これらは、ファイアウォールルールの送信元または宛先として使用できます。

また、仮想マシン、IP セット、MAC セット、セグメントポート、セグメント、Active Directory ユーザーグループ、およびその他のグループの組み合わせを含むように構成できます。グループの動的な追加は、タグ、マシン名、OS 名、またはコンピュータ名に基づいて行うことができます。

注： API で LogicalPort ベースの基準を使用してグループを作成する場合は、ユーザーインターフェイスで SegmentPort 基準間に AND 演算子を使用して、そのグループを編集することはできません。

グループはファイアウォールルールから除外できます。また、最大で 100 個のグループがリストに表示されます。IP セット、MAC セット、Active Directory グループは、ファイアウォール除外リストにあるグループのメンバーとして追加できません。詳細については、ファイアウォール除外リストの管理を参照してください。

1 つの分散ファイアウォールルール内に送信元として使用できるのは、1 つのグループのみです。送信元で IP グループと Active Directory グループが必要な場合は、それぞれのグループにファイアウォールルールを作成します。

IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、 [適用先] テキストボックスで使用できません。

注：ホストが vCenter Server に追加されたり、vCenter Server から削除されると、ホストの仮想マシンの外部 ID が変更されます。仮想マシンがグループの固定メンバーで、その外部 ID が変更されると、 NSX Manager のユーザーインターフェイスで、この仮想マシンはグループのメンバーとして表示されなくなります。ただし、グループのリストを取得する API を実行すると、このグループに元の外部 ID を持つ仮想マシンが含まれています。グループの固定メンバーとして追加した仮想マシンの外部 ID が変更された場合は、新しい外部 ID を使用して仮想マシンを再度追加する必要があります。動的なメンバーシップ基準を使用して、この問題を回避することもできます。

IP、MAC アドレス、ID グループを含むポリシーグループの場合、リスト API は members 属性を[表示しません]。これは、静的メンバーの組み合わせを含むグループの場合も同じです。たとえば、IP と仮想マシンを含むポリシーグループでは、メンバー属性は表示されません。

ポリシーグループに IP 、MAC アドレス、ID グループが含まれていない場合、NSGroup 応答でメンバー属性が表示されます。ただし、NSX-T Data Center で導入された新しいメンバーと基準（DVPort や DVPG など）は、MP グループ定義に含まれません。ユーザーは、ポリシーで定義を確認できます。

NSX 内のタグは大文字と小文字が区別されますが、タグに基づくグループでは区別されません。たとえば、動的グループメンバーシップの基準が VM Tag Equals 'quarantine' 場合、「quarantine」または「QUARANTINE」のいずれかのタグを含むすべての仮想マシンがこのグループに含まれます。

NSX Cloud を使用している場合は、NSX-T Data Center とパブリッククラウドタグを使用した仮想マシンのグループ化を参照して、パブリッククラウドタグで NSX Manager 内のワークロード仮想マシンをグループ化する方法を確認してください。

前提条件

NSX フェデレーションを使用している場合、構成オプションの詳細については、 NSX フェデレーションのセキュリティを参照してください。

手順

ナビゲーションパネルから、[インベントリ] > [グループ] の順に選択します。
[グループの追加] をクリックし、グループ名を入力します。
NSX フェデレーションのグローバルマネージャのグループを追加する場合は、デフォルトのリージョンの選択を受け入れるか、ドロップダウンメニューからリージョンを選択します。リージョンを持つグループを作成すると、リージョンの選択を編集できなくなります。ただし、場所を追加または削除することで、リージョン自体の範囲を変更することができます。グループを作成する前に、カスタマイズしたリージョンを作成できます。グローバルマネージャからのリージョンの作成を参照してください。
NSX フェデレーション環境のグローバルマネージャから追加されたグループの場合、リージョンの選択は必須です。グローバルマネージャを使用していない場合、このテキストボックスは使用できません。
[設定] をクリックします。

[メンバーの設定] ウィンドウで、[グループタイプ] を選択します。

グループタイプ	説明
汎用	このグループタイプがデフォルトの選択になります。汎用グループ定義は、メンバーシップ基準、手動で追加されたメンバー、IP アドレス、MAC アドレス、Active Directory グループの組み合わせで構成できます。手動で追加された IP アドレスのメンバーのみを含む汎用グループは、DFW ルールの [適用先] フィールドで使用できません。ルールの作成はできますが、適用されません。グループでメンバーシップ基準を定義すると、メンバーは 1 つ以上の基準に従ってグループに動的に追加されます。手動で追加されたメンバーには、セグメントポート、分散ポート、分散ポートグループ、VIF、仮想マシンなどのオブジェクトがあります。
IP アドレスのみ	このグループタイプには、IP アドレス（IPv4 または IPv6）のみが含まれます。手動で追加された IP アドレスのメンバーのみを含む [IP アドレスのみ] グループは、DFW ルールの [適用先] で使用できません。ルールの作成はできますが、適用されません。 [IP アドレスのみ] タイプのグループが NSX-T Data Center で認識された後、このグループタイプを編集して [汎用] にすることはできません。ただし、グループタイプが [汎用]の場合は、グループタイプを編集して [IP アドレスのみ] にできます。この場合、IP アドレスのみがグループに保持されます。メンバーシップ基準と他のグループ定義はすべて失われます。このグループタイプは、以前の NSX-T リリースのマネージャモードの IP セットタグベース基準を持つ NSGroup と機能的に似ています。
Antrea	このグループタイプは、NSX-T 環境に 1 つ以上の Antrea コンテナクラスタが登録されている場合にのみ使用できます。詳細については、Antrea グループとAntrea グループの追加を参照してください。

グループタイプ

説明

汎用

このグループタイプがデフォルトの選択になります。汎用グループ定義は、メンバーシップ基準、手動で追加されたメンバー、IP アドレス、MAC アドレス、Active Directory グループの組み合わせで構成できます。

手動で追加された IP アドレスのメンバーのみを含む汎用グループは、DFW ルールの [適用先] フィールドで使用できません。ルールの作成はできますが、適用されません。

グループでメンバーシップ基準を定義すると、メンバーは 1 つ以上の基準に従ってグループに動的に追加されます。手動で追加されたメンバーには、セグメントポート、分散ポート、分散ポートグループ、VIF、仮想マシンなどのオブジェクトがあります。

IP アドレスのみ

このグループタイプには、IP アドレス（IPv4 または IPv6）のみが含まれます。手動で追加された IP アドレスのメンバーのみを含む [IP アドレスのみ] グループは、DFW ルールの [適用先] で使用できません。ルールの作成はできますが、適用されません。

[IP アドレスのみ] タイプのグループが NSX-T Data Center で認識された後、このグループタイプを編集して [汎用] にすることはできません。ただし、グループタイプが [汎用]の場合は、グループタイプを編集して [IP アドレスのみ] にできます。この場合、IP アドレスのみがグループに保持されます。メンバーシップ基準と他のグループ定義はすべて失われます。

このグループタイプは、以前の NSX-T リリースのマネージャモードの IP セットタグベース基準を持つ NSGroup と機能的に似ています。

Antrea

このグループタイプは、NSX-T 環境に 1 つ以上の Antrea コンテナクラスタが登録されている場合にのみ使用できます。

詳細については、Antrea グループとAntrea グループの追加を参照してください。

（オプション） [メンバーシップ基準] ページで、[条件の追加] をクリックして、1 つ以上のメンバーシップ基準に基づいてグループにメンバーを動的に追加します。

メンバーシップ基準には 1 つ以上の条件を指定できます。条件には、同じメンバータイプを使用することも、異なるメンバータイプを混在させることもできます。ただし、メンバーシップ基準にメンバータイプが混在する複数の条件を追加する場合は、いくつかの制限があります。メンバーシップ基準については、グループメンバーシップ基準の概要を参照してください。
（オプション） [メンバー] をクリックして、グループに静的メンバーを追加します。
使用可能なメンバータイプは次のとおりです。
- [グループ] - NSX フェデレーションを使用している場合は、グローバルマネージャから作成しているグループに対して選択したリージョンと同等またはそれ以下の範囲を持つメンバーとしてグループを追加できます。NSX フェデレーションのセキュリティを参照してください。
- [NSX セグメント] - ゲートウェイインターフェイスに割り当てられた IP アドレスと、NSX ロードバランサの仮想 IP アドレスはセグメントグループメンバーとして含まれません。
- [セグメントポート]
- [分散ポートグループ]
- [分散ポート]
- [VIF]
- [仮想マシン]
- [物理サーバ]
- [クラウドネイティブサービスインスタンス]
（オプション） [IP/MAC アドレス] をクリックして、IP アドレスおよび MAC アドレスをグループメンバーとして追加します。IPv4 アドレス、IPv6 アドレス、マルチキャストアドレスがサポートされています。
[アクション] > [インポート] の順にクリックして、カンマ区切りの IP/MAC 値を含む TXT ファイルまたは CSV ファイルから IP/MAC アドレスをインポートします。
（オプション） [Active Directory グループ] をクリックして、Active Directory グループを追加します。Active Directory のメンバーを持つグループは、Identity Firewall の分散ファイアウォールルールの [送信元] テキストボックスに使用できます。グループには、Active Directory とコンピュートメンバーの両方を含めることができます。

注： NSX フェデレーションを使用している場合、グローバルマネージャからグループを作成して、Active Directory ユーザーグループを含めることはできません。
（オプション） 説明とタグを入力します。
[適用] をクリックします。
グループが表示され、メンバーとグループの使用場所を表示するオプションが示されます。