グループには静的および動的に追加されたさまざまなオブジェクトが含まれています。これらは、ファイアウォール ルールの送信元または宛先として使用できます。
また、仮想マシン、IP セット、MAC セット、セグメント ポート、セグメント、Active Directory ユーザー グループ、およびその他のグループの組み合わせを含むように構成できます。グループの動的な追加は、タグ、マシン名、OS 名、またはコンピュータ名に基づいて行うことができます。
悪意のある IP フィードが有効になっている場合、NTICS クラウド サービスから既知の悪意のある IP アドレスのリストがダウンロードされます。これらのダウンロードされた IP アドレスを含めるグループを作成し、それらの IP アドレスへのアクセスをブロックするようにファイアウォール ルールを構成できます。[汎用] または [IP アドレスのみ] グループは、悪意のある IP アドレスを持つ [IP アドレスのみ] グループに変換することはできません。その逆もできません。ただし、[汎用] グループは、悪意のある IP アドレスを持たない [IP アドレスのみ] グループに変換できます。
グループはファイアウォール ルールから除外できます。また、最大で 100 個のグループがリストに表示されます。IP セット、MAC セット、Active Directory グループは、ファイアウォール除外リストにあるグループのメンバーとして追加できません。詳細については、「ファイアウォール除外リストの管理」を参照してください。
Active Directory グループを送信元として使用する場合は、単一の Active Directory グループを使用できます。送信元で IP グループと Active Directory グループの両方が必要な場合は、それぞれのグループにファイアウォール ルールを作成します。
IP アドレス、MAC アドレス、または Active Directory グループのみで構成されるグループは、 [適用先] テキスト ボックスで使用できません。IP または MAC アドレスを含むポリシー グループの場合、NSGroup のリスト API は「members」属性を[表示しません]。これは、静的メンバーの組み合わせを含むグループの場合も同じです。たとえば、ポリシー グループに IP アドレスと DVPG が含まれている場合、NSGroup のリスト API は members 属性を表示しません。
ポリシー グループに IP 、MAC アドレス、ID グループが含まれていない場合、NSGroup 応答でメンバー属性が表示されます。ただし、NSX で導入された新しいメンバーと基準(DVPort や DVPG など)は、MP グループ定義に含まれません。ユーザーは、ポリシーで定義を確認できます。
NSX 内のタグは大文字と小文字が区別されますが、タグに基づくグループでは区別されません。たとえば、動的グループ メンバーシップの基準が VM Tag Equals 'quarantine'
場合、「quarantine」または「QUARANTINE」のいずれかのタグを含むすべての仮想マシンがこのグループに含まれます。