新增群組

群組包含以靜態方式和動態方式新增的不同物件，可以作為防火牆規則的來源和目的地。

群組可設定為包含虛擬機器、IP 集合、MAC 集合、區段連接埠、區段交換器、AD 使用者群組以及其他群組的組合。群組的動態納入方式可以根據標籤、機器名稱、作業系統名稱或電腦名稱來進行。

備註：如果您使用以 LogicalPort 為基礎的準則在 API 中建立群組，則無法在使用者介面中於 SegmentPort 準則之間使用 AND 運算子來編輯群組。

群組也可以從防火牆規則中排除，且清單中最多可以有 100 個群組。用於防火牆排除清單的群組中無法包含 IP 集合、MAC 集合和 AD 群組作為成員。如需詳細資訊，請參閱管理防火牆排除清單。

單一 IP 或 AD 群組在分散式防火牆規則內僅能用作來源。如果需要在來源使用 IP 和 AD 群組，請分別建立兩個防火牆規則。

僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組，無法在套用至文字方塊中使用。

備註：在 vCenter Server 中新增或移除主機時，主機上的虛擬機器的外部識別碼會發生變更。如果虛擬機器是某個群組的靜態成員，當虛擬機器的外部識別碼發生變更時， NSX Manager UI 就不再將虛擬機器顯示為該群組的成員。不過，列出群組的 API 仍會顯示該群組包含虛擬機器，且虛擬機器具有其原始的外部識別碼。如果您將虛擬機器新增為某個群組的靜態成員，當虛擬機器的外部識別碼有所變更時，您必須使用其新的外部識別碼重新新增虛擬機器。您也可以使用動態成員資格準則，以避免發生此問題。

NSX 中的標籤區分大小寫，但以標籤為基礎的群組則「不區分大小寫」。例如，如果動態群組成員資格準則為 VM Tag Equals 'quarantine'，則該群組中會納入包含「quarantine」或「QUARANTINE」標籤的所有虛擬機器。

如果您使用的是 NSX Cloud，請參閱使用 NSX-T Data Center 和公有雲標記分組虛擬機器，以取得如何使用公有雲標籤在 NSX Manager 中將工作負載虛擬機器分組的資訊。

必要條件

如果您使用聯盟，請參閱 NSX 聯盟中的安全性以取得有關組態選項的詳細資料。

備註：如果您使用 NSX 聯盟，則無法從全域管理程式建立群組來包含 AD 使用者群組。

程序

選取導覽面板中的詳細目錄 > 群組。
按一下新增群組。
輸入群組名稱。
如果您要從聯盟的全域管理程式新增群組，請接受預設區域選項，或從下拉式功能表中選取區域。建立含有區域的群組後，即無法編輯區域選取項目。但您可以透過對區域新增或移除位置，來變更區域本身的範圍。您可以先建立自訂區域，然後再建立群組。請參閱從全域管理程式建立區域。

備註：對於從聯盟環境中全域管理程式新增的群組，選取區域是必要的。如果您未使用全域管理程式，則無法使用此文字方塊。
(選擇性) 按一下設定成員。
對於每個成員資格準則，您最多可以指定五個規則，與邏輯 AND 運算子組合使用。可用成員準則可套用至下列項目：
- 區段連接埠 - 指定標籤、範圍或兩者。
- 區段 - 指定標籤、範圍或兩者。
- 虛擬機器 - 指定等於、包含、開頭為、結尾為或不等於某個特定字串的名稱、標籤、電腦作業系統名稱或電腦名稱。
- IP 集合 - 指定標籤、範圍或兩者。
(選擇性) 按一下成員以選取成員。
可用成員類型為：
- 群組
  備註：如果您使用聯盟，則可以將群組新增為具有較您為從全域管理程式建立之群組選取的區域相同或較小範圍的成員，請參閱 NSX 聯盟中的安全性。
- 區段
  備註： IP 位址已指派給閘道介面，而 NSX 負載平衡器虛擬 IP 位址不會納入為區段群組成員。
- 區段連接埠
- VIF
- 虛擬機器
- 實體伺服器
- 雲端原生服務執行個體
(選擇性) 按一下 IP/MAC 位址以新增 IP 位址和 MAC 位址做為群組成員。支援 IPv4 位址、IPv6 位址和多點傳播位址。
按一下動作 > 匯入，從包含以逗號分隔之 IP/MAC 值的 .TXT 檔案或 .CSV 檔案匯入 IP/MAC 位址。
(選擇性) 按一下 AD 群組以新增 Active Directory 群組。在身分識別防火牆的分散式防火牆規則的來源文字方塊中，可使用含有 Active Directory 成員的群組。群組可同時包含 AD 和計算成員。
如果您使用 NSX 聯盟，則無法從全域管理程式建立群組來包含 AD 群組。
(選擇性) 輸入說明和標籤。
按一下套用。
隨即列出群組，您可以檢視成員及使用群組的位置。