群組包含以靜態方式和動態方式新增的不同物件,可以作為防火牆規則的來源和目的地。

群組可設定為包含虛擬機器、IP 集合、MAC 集合、區段連接埠、區段交換器、AD 使用者群組以及其他群組的組合。群組的動態納入方式可以根據標籤、機器名稱、作業系統名稱或電腦名稱來進行。
備註: 如果您使用以 LogicalPort 為基礎的準則在 API 中建立群組,則無法在使用者介面中於 SegmentPort 準則之間使用 AND 運算子來編輯群組。

群組也可以從防火牆規則中排除,且清單中最多可以有 100 個群組。用於防火牆排除清單的群組中無法包含 IP 集合、MAC 集合和 AD 群組作為成員。如需詳細資訊,請參閱管理防火牆排除清單

以單一識別碼為基礎的群組在分散式防火牆規則內僅能用作來源。如果需要在來源使用以 IP 和識別碼為基礎的群組,請分別建立兩個防火牆規則。

僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組,無法在 套用至文字方塊中使用。

備註: 在 vCenter Server 中新增或移除主機時,主機上的虛擬機器的外部識別碼會發生變更。如果虛擬機器是某個群組的靜態成員,當虛擬機器的外部識別碼發生變更時, NSX Manager UI 就不再將虛擬機器顯示為該群組的成員。不過,列出群組的 API 仍會顯示該群組包含虛擬機器,且虛擬機器具有其原始的外部識別碼。如果您將虛擬機器新增為某個群組的靜態成員,當虛擬機器的外部識別碼有所變更時,您必須使用其新的外部識別碼重新新增虛擬機器。您也可以使用動態成員資格準則,以避免發生此問題。

NSX 中的標籤區分大小寫,但以標籤為基礎的群組則「不區分大小寫」。例如,如果動態群組成員資格準則為 VM Tag Equals 'quarantine',則該群組中會納入包含「quarantine」或「QUARANTINE」標籤的所有虛擬機器。

如果您使用的是 NSX Cloud,請參閱使用 NSX-T Data Center 和公有雲標記分組虛擬機器,以取得如何使用公有雲標籤在 NSX Manager 中將工作負載虛擬機器分組的資訊。

必要條件

如果您使用 NSX 聯盟,請參閱 NSX 聯盟中的安全性以取得有關組態選項的詳細資料。
備註: 如果您使用 NSX 聯盟,則無法從全域管理程式建立群組來包含 AD 使用者群組或以識別碼為基礎的群組。

程序

  1. 選取導覽面板中的詳細目錄 > 群組
  2. 按一下新增群組
  3. 輸入群組名稱。
  4. 如果您要從 NSX 聯盟全域管理程式新增群組,請接受預設區域選項,或從下拉式功能表中選取區域。建立含有區域的群組後,即無法編輯區域選取項目。但您可以透過對區域新增或移除位置,來變更區域本身的範圍。您可以先建立自訂區域,然後再建立群組。請參閱從全域管理程式建立區域
    備註: 對於從 NSX 聯盟環境中的 全域管理程式新增的群組,選取區域是必要的。如果您未使用 全域管理程式,則無法使用此文字方塊。
  5. (選擇性) 按一下設定成員
    對於每個成員資格準則,您最多可以指定五個規則,與邏輯 AND 運算子組合使用。可用成員準則可套用至下列項目:
    • 區段連接埠 - 指定標籤、範圍或兩者。
    • 區段 - 指定標籤、範圍或兩者。
    • 虛擬機器 - 指定等於、包含、開頭為、結尾為或不等於某個特定字串的名稱、標籤、電腦作業系統名稱或電腦名稱。
    • IP 集合 - 指定標籤、範圍或兩者。
  6. (選擇性) 按一下成員以選取成員。
    可用成員類型為:
    • 群組
      備註: 如果您使用 NSX 聯盟,您可以將群組新增為具有較您為從 全域管理程式建立之群組選取的區域相同或較小範圍的成員,請參閱 NSX 聯盟中的安全性
    • 區段
      備註: IP 位址已指派給閘道介面,而 NSX 負載平衡器虛擬 IP 位址不會納入為區段群組成員。
    • 區段連接埠
    • VIF
    • 虛擬機器
    • 實體伺服器
    • 雲端原生服務執行個體
  7. (選擇性) 按一下 IP/MAC 位址以新增 IP 位址和 MAC 位址做為群組成員。支援 IPv4 位址、IPv6 位址和多點傳播位址。
    按一下 動作 > 匯入,從包含以逗號分隔之 IP/MAC 值的 .TXT 檔案或 .CSV 檔案匯入 IP/MAC 位址。
  8. (選擇性) 按一下 AD 群組以新增 Active Directory 群組。在身分識別防火牆的分散式防火牆規則的來源文字方塊中,可使用含有 Active Directory 成員的群組。群組可同時包含 AD 和計算成員。
    備註: 如果您使用 NSX 聯盟,則無法從全域管理程式建立群組來包含 AD 使用者群組或以識別碼為基礎的群組。
  9. (選擇性) 輸入說明和標籤。
  10. 按一下套用
    隨即列出群組,您可以檢視成員及使用群組的位置。