グループには静的および動的に追加されたさまざまなオブジェクトが含まれています。これらは、ファイアウォール ルールの送信元または宛先として使用できます。

また、仮想マシン、IP セット、MAC セット、セグメント ポート、セグメント、Active Directory ユーザー グループ、およびその他のグループの組み合わせを含むように構成できます。グループの動的な追加は、タグ、マシン名、OS 名、またはコンピュータ名に基づいて行うことができます。

注: API で LogicalPort ベースの基準を使用してグループを作成する場合は、ユーザー インターフェイスで SegmentPort 基準間に AND 演算子を使用して、そのグループを編集することはできません。セグメント、セグメント ポート、分散ポート グループ、または分散ポート ベースの基準を使用してグループを作成する場合は、グループの IP 検出プロファイルで [初回使用時に信頼する] オプションを無効にします。それ以外の場合、IP アドレスが変更されても、インターフェイスの元の IP アドレスはグループに残ります。

悪意のある IP フィードが有効になっている場合、NTICS クラウド サービスから既知の悪意のある IP アドレスのリストがダウンロードされます。これらのダウンロードされた IP アドレスを含めるグループを作成し、それらの IP アドレスへのアクセスをブロックするようにファイアウォール ルールを構成できます。[汎用] または [IP アドレスのみ] グループは、悪意のある IP アドレスを持つ [IP アドレスのみ] グループに変換することはできません。その逆もできません。ただし、[汎用] グループは、悪意のある IP アドレスを持たない [IP アドレスのみ] グループに変換できます。

グループはファイアウォール ルールから除外できます。また、最大で 100 個のグループがリストに表示されます。IP セット、MAC セット、Active Directory グループは、ファイアウォール除外リストにあるグループのメンバーとして追加できません。詳細については、「ファイアウォール除外リストの管理」を参照してください。

Active Directory グループを送信元として使用する場合は、単一の Active Directory グループを使用できます。送信元で IP グループと Active Directory グループの両方が必要な場合は、それぞれのグループにファイアウォール ルールを作成します。

IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、 [適用先] テキスト ボックスで使用できません。

注: ホストが vCenter Server に追加されたり、vCenter Server から削除されると、ホストの仮想マシンの外部 ID が変更されます。仮想マシンがグループの固定メンバーで、その外部 ID が変更されると、 NSX Manager のユーザー インターフェイスで、この仮想マシンはグループのメンバーとして表示されなくなります。ただし、グループのリストを取得する API を実行すると、このグループに元の外部 ID を持つ仮想マシンが含まれています。グループの固定メンバーとして追加した仮想マシンの外部 ID が変更された場合は、新しい外部 ID を使用して仮想マシンを再度追加する必要があります。動的なメンバーシップ基準を使用して、この問題を回避することもできます。

IP または MAC アドレスを含むポリシー グループの場合、NSGroup のリスト API は「members」属性を[表示しません]。これは、静的メンバーの組み合わせを含むグループの場合も同じです。たとえば、ポリシー グループに IP アドレスと DVPG が含まれている場合、NSGroup のリスト API は members 属性を表示しません。

ポリシー グループに IP 、MAC アドレス、ID グループが含まれていない場合、NSGroup 応答でメンバー属性が表示されます。ただし、NSX で導入された新しいメンバーと基準(DVPort や DVPG など)は、MP グループ定義に含まれません。ユーザーは、ポリシーで定義を確認できます。

NSX 内のタグは大文字と小文字が区別されますが、タグに基づくグループでは区別されません。たとえば、動的グループ メンバーシップの基準が VM Tag Equals 'quarantine' 場合、「quarantine」または「QUARANTINE」のいずれかのタグを含むすべての仮想マシンがこのグループに含まれます。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. ナビゲーション パネルから、[インベントリ] > [グループ] の順に選択します。
  3. [グループの追加] をクリックし、グループ名を入力します。
  4. NSX フェデレーショングローバル マネージャ のグループを追加する場合は、デフォルトのリージョンの選択を受け入れるか、ドロップダウン メニューからリージョンを選択します。リージョンを持つグループを作成すると、リージョンの選択を編集できなくなります。ただし、場所を追加または削除することで、リージョン自体の範囲を変更することができます。グループを作成する前に、カスタマイズしたリージョンを作成できます。
    NSX フェデレーション環境の グローバル マネージャ から追加されたグループの場合、リージョンの選択は必須です。 グローバル マネージャ を使用していない場合、このテキスト ボックスは使用できません。
  5. [設定] をクリックします。
  6. [メンバーの設定] ウィンドウで、[グループ タイプ] を選択します。
    グループ タイプ 説明
    汎用

    このグループ タイプがデフォルトの選択になります。汎用グループ定義は、メンバーシップ基準、手動で追加されたメンバー、IP アドレス、MAC アドレス、Active Directory グループの組み合わせで構成できます。

    手動で追加された IP アドレスのメンバーのみを含む汎用グループは、DFW ルールの [適用先] フィールドで使用できません。ルールの作成はできますが、適用されません。

    グループでメンバーシップ基準を定義すると、メンバーは 1 つ以上の基準に従ってグループに動的に追加されます。手動で追加されたメンバーには、セグメント ポート、分散ポート、分散ポート グループ、VIF、仮想マシンなどのオブジェクトがあります。
    IP アドレスのみ

    このグループ タイプには、IP アドレス(IPv4 または IPv6)のみが含まれます。手動で追加された IP アドレスのメンバーのみを含む [IP アドレスのみ] グループは、DFW ルールの [適用先] で使用できません。ルールの作成はできますが、適用されません。

    グループ タイプが [汎用] の場合は、そのタイプを編集して [IP アドレスのみ] グループに設定できますが、悪意のある IP アドレスを含む [IP アドレスのみ] グループには設定できません。この場合、IP アドレスのみがグループに保持されます。メンバーシップ基準と他のグループ定義はすべて失われます。NSX[IP アドレスのみ] または悪意のある IP アドレスを含む [IP アドレスのみ] タイプのグループが認識された後、グループ タイプを [Generic] に編集することはできません。

    [IP アドレスのみ] グループ タイプは、以前の NSX リリースのマネージャ モードの IP セット タグベース基準を持つ NSGroup と機能的に似ています。
    悪意のある IP アドレスを含む IP アドレスのみ

    悪意のある IP フィード を有効にしている場合は、[事前定義された悪意のある IP を追加] をオンに切り替えることで悪意のある IP アドレスを持つ [IP アドレスのみ] グループを作成できます。

    例外として扱う必要があり、ブロックしてはならない IP アドレスおよび IP アドレスのみのグループを指定することもできます。

    グループの編集中は、[事前定義された悪意のある IP を追加] トグルをオンに切り替えた後はオフにできません。
    Antrea

    このグループ タイプは、NSX 環境に 1 つ以上の Antrea Kubernetes クラスタが登録されている場合にのみサポートされています。
  7. (オプション) [メンバーシップ基準] ページで、[条件の追加] をクリックして、1 つ以上のメンバーシップ基準に基づいて汎用グループにメンバーを動的に追加します。

    NSX の環境で Kubernetes クラスタを Antrea CNI に登録している場合は、動的メンバーシップ基準に Kubernetes メンバー タイプの汎用グループを作成して、これらの Antrea Kubernetes クラスタに出入りするトラフィックと一致させることができます。

    メンバーシップ基準には 1 つ以上の条件を指定できます。条件には、同じメンバー タイプを使用することも、異なるメンバー タイプを混在させることもできます。単一のメンバーシップ基準で、NSX メンバー タイプに基づく条件を Kubernetes メンバー タイプに基づく条件と混在させることはできません。ただし、NSX メンバー タイプのみに基づく 1 つの基準と、Kubernetes メンバー タイプのみに基づく他の基準を作成し、両方の基準を OR 演算子で結合することはできます。

    メンバーシップ基準に、混在する NSX メンバー タイプまたは混在する Kubernetes メンバー タイプを含む複数の条件を追加する場合は、いくつかの制限が適用されます。メンバーシップ基準については、NSX グループ メンバーシップ基準の概要を参照してください。

    注: マルチテナント NSX 環境では、Kubernetes クラスタ リソースがプロジェクト インベントリに公開されません。したがって、プロジェクト内で、動的メンバーシップ基準に Kubernetes メンバー タイプを含む汎用グループを作成することはできません。
  8. (オプション) [メンバー] をクリックして、グループに静的メンバーを追加します。
    使用可能なメンバー タイプは次のとおりです。
    • [グループ] - NSX フェデレーション を使用している場合は、グローバル マネージャ から作成しているグループに対して選択したリージョンと同等またはそれ以下の範囲を持つメンバーとしてグループを追加できます。
    • [NSX セグメント] - ゲートウェイ インターフェイスに割り当てられた IP アドレスと、NSX ロード バランサの仮想 IP アドレスはセグメント グループ メンバーとして含まれません。
    • [セグメント ポート]
    • [分散ポート グループ]
    • [分散ポート]
    • [VIF]
    • [仮想マシン]
    • [物理サーバ]
  9. (オプション) [IP アドレス] または [MAC アドレス] をクリックして、IP アドレスおよび MAC アドレスをグループ メンバーとして追加します。IPv4 アドレス、IPv6 アドレス、マルチキャスト アドレスがサポートされています。
    [アクション] > [インポート] の順にクリックして、カンマ区切りの IP/MAC 値を含む TXT ファイルまたは CSV ファイルから IP/MAC アドレスをインポートします。
  10. (オプション) [Active Directory グループ] をクリックして、Active Directory グループを追加します。Active Directory のメンバーを持つグループは、Identity Firewall の分散ファイアウォール ルールの [送信元] テキスト ボックスに使用できます。グループには、Active Directory とコンピュート メンバーの両方を含めることができます。
    注: NSX フェデレーション を使用している場合、グローバル マネージャからグループを作成して、Active Directory ユーザー グループを含めることはできません。
  11. (オプション) 説明とタグを入力します。
  12. [適用] をクリックします。
    グループが表示され、メンバーとグループの使用場所を表示するオプションが示されます。