群組包含以靜態方式和動態方式新增,並且可用做防火牆規則的來源和目的地欄位的不同物件。

群組可設定為包含虛擬機器、IP 集合、MAC 集合、邏輯連接埠、邏輯交換器、AD 使用者群組以及其他巢狀群組的組合。群組的動態納入方式可以根據標籤、機器名稱、作業系統名稱或電腦名稱來進行。

以單一識別碼為基礎的群組可用於一個防火牆規則中。如果需要在來源使用以 IP 和識別碼為基礎的群組,請建立分別兩個防火牆規則。

僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組,無法在 套用至文字方塊中使用。
備註: 在 vCenter Server 中新增或移除主機時,主機上的虛擬機器的外部識別碼會發生變更。如果虛擬機器是某個群組的靜態成員,當虛擬機器的外部識別碼發生變更時, NSX Manager UI 就不再將虛擬機器顯示為該群組的成員。不過,列出群組的 API 仍會顯示該群組包含虛擬機器,且虛擬機器具有其原始的外部識別碼。如果您將虛擬機器新增為某個群組的靜態成員,當虛擬機器的外部識別碼發生變更時,您必須使用其新的外部識別碼重新新增虛擬機器。您也可以使用動態成員資格準則,以避免發生此問題。

程序

  1. 選取導覽面板中的詳細目錄 > 群組
  2. 按一下新增群組
  3. 輸入群組名稱。
  4. (必要) 從下拉式功能表中選擇網域,或使用預設網域。網域是一種邏輯結構,代表一個安全性區域以及所有規則和群組。預設網域代表整個 NSX 環境。
    請注意,網域物件是 NSX-T Data Center 2.4 中的實驗性功能,未在 NSX-T Data Center 2.4.1 中提供。在 NSX-T Data Center 2.4.1 中,不需建立任何網域。
  5. (選擇性) 按一下設定成員
    對於每個成員資格準則,您最多可以指定五個規則,與邏輯 AND 運算子組合使用。可用成員準則可套用至下列項目:
    • 邏輯連接埠 - 可以指定標籤和選用範圍。
    • 邏輯交換器 - 可以指定標籤和選用範圍。
    • 虛擬機器 - 可以指定等於、包含、開頭為、結尾為或不等於某個特定字串的名稱、標籤、電腦作業系統名稱或電腦名稱。
    • 傳輸節點 - 可以指定等於某個 Edge 節點或主機節點的節點類型。
  6. (選擇性) 按一下成員以選取成員。
    可用成員類型為:
    • 群組
    • 區段
    • 區段連接埠
    • 虛擬網路介面
    • 虛擬機器
  7. 按一下 IP/MAC 位址以新增 IP 位址和 MAC 位址做為群組成員。
  8. 按一下 AD 群組以新增 Active Directory 群組。具有 Active Directory 成員的群組可以在身分識別防火牆的分散式防火牆規則的來源或目的地欄位中使用,並且必須是群組中的唯一成員。例如,不能有同時將 ADGroup 和 IPSet 做為成員的群組。
  9. 按一下套用
    隨即列出群組,您可以檢視成員及使用群組的位置。