IP セット、MAC セット、論理ポート、論理スイッチおよび他の NSGroup の組み合わせを含むように NSGroup を構成することができます。論理スイッチ、論理ポート、および仮想マシンを含む NSGroup は送信元および宛先として指定するほか、ファイアウォール ルールの Applied To フィールドに指定することができます。IPset および MACSet を含む NSGroup は、分散ファイアウォールの Applied To フィールドでは無視されます。

NSX Cloud の注 NSX Cloud を使用する場合は、 パブリック クラウドで NSX の機能を使用する方法を参照して、自動生成される論理エンティティ、サポートされる機能、 NSX Cloud に必要な構成を確認してください。

NSGroup には次の特性があります。

  • NSGroup には直接メンバーと有効なメンバーがあります。有効なメンバーには、メンバーシップ基準を使用して指定するメンバー、およびこの NSGroup のメンバーに属するすべての直接メンバーおよび有効なメンバーが含まれます。たとえば、NSGroup-1 に直接メンバー LogicalSwitch-1 が含まれているとします。NSGroup-2 を追加し、メンバーとして NSGroup-1 および LogicalSwitch-2 を指定します。これで、NSGroup-2 には直接のメンバーとして NSGroup-1 および LogicalSwitch-2、有効なメンバーとして LogicalSwitch-1 が含まれるようになります。次に、NSGroup-3 を追加し、メンバーとして NSGroup-2 を指定します。これで、NSGroup-3 には直接のメンバーとして NSGroup-2、有効なメンバーとして LogicalSwitch-1 および LogicalSwitch-2 が含まれるようになります。メイン グループのテーブルから、グループをクリックして [関連] > [NSGroups] の順に選択すると、NSGroup-1、NSGroup-2、および NSGroup-3 が表示されます。これらの 3 つのグループではすべて、直接的または間接的に LogicalSwitch-1 がメンバーとして含まれているためです。
  • NSGroup には最高で 500 の直接メンバーを含めることができます。
  • NSGroup で推奨される有効なメンバーの最大数は 5000 です。NSX Manager は、この制限について NSGroup を一日 2 回(午前 7 時と午後 7 時)チェックします。この制限を超えても機能への影響はありませんが、パフォーマンスにマイナスの影響をおよぼす場合があります。
    • NSGroup の有効なメンバーの数が 5,000 の 80% を超えると、「NSGroup xyz is about to exceed the maximum member limit.」ログ ファイルには「Total number in NSGroup is ...」と記録されます。数が 5,000 を超えると、警告メッセージ「NSGroup xyz has reached the maximum numbers limit.Total number in NSGroup = ...」が表示されます。
    • NSGroup 内の変換された VIF/IP/MAC の数が 5,000 を超えると、「Container xyz has reached the maximum IP/MAC/VIF translations limit.Current translations count in Container - IPs:..., MACs:..., VIFs:...」という警告メッセージがログ ファイルに表示されます。
  • サポートされる仮想マシンの最大数は 10,000 です。
  • 最大 1 万までの NSGroup を作成できます。
  • Edge_NSGroup は、ローカル マネージャで使用可能なポリシー所有グループ(システム グループ)で、ユーザー インターフェイスに表示されます。このグループは、グローバル マネージャで使用できません。ただし、移行されたグローバル マネージャの設定に古い Edge_NSGroup が含まれ、ユーザー インターフェイスにも同じように表示されますが、グローバル マネージャではグループに意味はありません。

NSGroup にメンバーとして追加できるオブジェクトの場合、任意のオブジェクトの画面に移動して [関連] > [NSGroups] の順に選択します。

前提条件

NSX Manager ユーザー インターフェイスで [マネージャ] モードが選択されていることを確認します。NSX Manager を参照してください。[ポリシー] モード ボタンと [マネージャ] モード ボタンが表示されない場合は、ユーザー インターフェイスの構成を参照してください。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [インベントリ] > [グループ] > [追加] を選択します。
  3. NSGroup の名前を入力します。
  4. (オプション) 説明を入力します。
  5. (オプション) [メンバーシップ基準] をクリックします。
    各基準に、最大で 5 つのルールを論理 AND 演算子と組み合わせて指定することができます。利用可能なメンバー基準は以下に適用できます。
    • [論理ポート] - タグとオプションのスコープを指定できます。
    • [論理スイッチ] - タグとオプションのスコープを指定できます。
    • [仮想マシン] - 名前、タグ、コンピュータの OS 名、または、一定の条件を満たすコンピュータ名(特定の文字列と等しい、特定の文字列で開始または終了する、特定の文字列と等しくないなど)を指定できます。
    • [トランスポート ノード] - Edge ノードまたはホスト ノードと等しいノード タイプを指定できます。
    • [IP セット] - タグとオプションのスコープを指定できます。
  6. (オプション) [メンバー] をクリックしてメンバーを選択します。
    使用可能なメンバー タイプは次のとおりです。
    • [Active Directory グループ] - ADGroup を含む NSGroup は、分散ファイアウォール ルールの extended_source フィールドでのみ使用でき、グループ内の唯一のメンバーである必要があります。たとえば、ADGroup と IPSet の両方をメンバーに含む NSGroup は使用できません。
    • [IP セット] - IPv4 アドレスと IPv6 アドレスの両方を含めることができます。
    • [論理ポート] - IPv4 アドレスと IPv6 アドレスの両方を含めることができます。
    • [論理スイッチ] - IPv4 アドレスと IPv6 アドレスの両方を含めることができます。
    • [MAC セット]
    • [NSGroup]
    • [トランスポート ノード]
    • [VIF]
    • [仮想マシン]
  7. [追加] をクリックします。
    グループのテーブルに、このグループが追加されます。グループ名をクリックして概要を表示し、メンバーシップ基準、メンバー、アプリケーション、および関連グループを含むグループ情報を編集します。タグを追加および削除するには、 [概要] タブの一番下までスクロールします。詳細については オブジェクトへのタグの追加を参照してください。 [関連] > [NSGroups] の順に選択すると、選択した NSGroup をメンバーに含むすべての NSGroup が表示されます。