グループには静的および動的に追加されたさまざまなオブジェクトが含まれています。これらは、ファイアウォール ルールの送信元または宛先として使用できます。
また、仮想マシン、IP セット、MAC セット、セグメント ポート、セグメント、Active Directory ユーザー グループ、およびその他のグループの組み合わせを含むように構成できます。グループの動的な追加は、タグ、マシン名、OS 名、またはコンピュータ名に基づいて行うことができます。
悪意のある IP フィードが有効になっている場合、NTICS クラウド サービスから既知の悪意のある IP アドレスのリストがダウンロードされます。これらのダウンロードされた IP アドレスを含めるグループを作成し、それらの IP アドレスへのアクセスをブロックするようにファイアウォール ルールを構成できます。汎用 グループまたは IP アドレスのみのグループは、悪意のある IP アドレスを含む IP アドレスのみのグループに変換できますが、逆の変換はできません。
グループはファイアウォール ルールから除外できます。また、最大で 100 個のグループがリストに表示されます。IP セット、MAC セット、Active Directory グループは、ファイアウォール除外リストにあるグループのメンバーとして追加できません。詳細については、「ファイアウォール除外リストの管理」を参照してください。
Active Directory グループを送信元として使用する場合は、単一の Active Directory グループを使用できます。送信元で IP グループと Active Directory グループの両方が必要な場合は、それぞれのグループにファイアウォール ルールを作成します。
IP アドレスまたは MAC アドレスのみで構成されるグループは、 [適用先] テキスト ボックスで使用できません。IP、MAC アドレス、ID グループを含むポリシー グループの場合、リスト API は members 属性を[表示しません]。これは、静的メンバーの組み合わせを含むグループの場合も同じです。たとえば、IP と仮想マシンを含むポリシー グループでは、メンバー属性は表示されません。
ポリシー グループに IP 、MAC アドレス、ID グループが含まれていない場合、NSGroup 応答でメンバー属性が表示されます。ただし、NSX で導入された新しいメンバーと基準(DVPort や DVPG など)は、MP グループ定義に含まれません。ユーザーは、ポリシーで定義を確認できます。
NSX 内のタグは大文字と小文字が区別されますが、タグに基づくグループでは区別されません。たとえば、動的グループ メンバーシップの基準が VM Tag Equals 'quarantine'
場合、「quarantine」または「QUARANTINE」のいずれかのタグを含むすべての仮想マシンがこのグループに含まれます。
NSX Cloud を使用している場合は、NSX とパブリック クラウド タグを使用した仮想マシンのグループ化を参照して、パブリック クラウド タグで NSX Manager 内のワークロード仮想マシンをグループ化する方法を確認してください。