新增群組

您可以建立群組以用作防火牆規則的來源和目的地。群組包含不同的物件，可以是虛擬機器、IP 集、MAC 集合、區段連接埠、區段、AD 使用者群組和其他群組的組合。在設定群組時，可以靜態和動態新增物件。若要動態新增物件，您必須根據標籤、機器名稱、作業系統名稱或電腦名稱來指定條件。當一項規則需要套用至某個群組時，NSX-T Data Center 會動態處理條件來計算成員，並根據條件的狀況新增或移除物件。

請注意，如果您從 vCenter Server 中刪除任何群組的靜態物件，您也必須從該群組定義中刪除該物件。否則，儘管 NSX 群組不會將該物件顯示為群組的有效成員，但群組定義仍會將該物件顯示為群組成員。

備註：如果您使用以 LogicalPort 為基礎的準則在 API 中建立群組，則無法在使用者介面中於 SegmentPort 準則之間使用 AND 運算子來編輯群組。如果您使用以 [區段]、[區段連接埠]、[分散式連接埠群組] 或 [分散式連接埠] 為基礎的準則來建立群組，請在該群組的 IP 探索設定檔中停用 [首次使用時信任] 選項。否則，即使介面的 IP 位址發生變更，其原始 IP 位址仍會保留在您的群組中。

群組也可以從防火牆規則中排除，且清單中最多可以有 100 個群組。用於防火牆排除清單的群組中無法包含 IP 集合、MAC 集合和 AD 群組作為成員。如需詳細資訊，請參閱管理防火牆排除清單。

單一群組僅能在分散式防火牆規則中用作來源。如果需要在來源使用 IP 和 Active Directory 群組，請建立分別兩個防火牆規則。

僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組，無法在套用至文字方塊中使用。

備註：在 vCenter Server 中新增或移除主機時，主機上的虛擬機器的外部識別碼會發生變更。如果虛擬機器是某個群組的靜態成員，當虛擬機器的外部識別碼發生變更時， NSX Manager UI 就不再將虛擬機器顯示為該群組的成員。不過，列出群組的 API 仍會顯示該群組包含虛擬機器，且虛擬機器具有其原始的外部識別碼。如果您將虛擬機器新增為某個群組的靜態成員，當虛擬機器的外部識別碼有所變更時，您必須使用其新的外部識別碼重新新增虛擬機器。您也可以使用動態成員資格準則，以避免發生此問題。

對於包含 IP、MAC 位址和身分識別群組的原則群組，清單 API 將不顯示「成員」屬性。這也適用於包含靜態成員組合的群組。例如，包含 IP 和虛擬機器的原則群組不會顯示成員屬性。

對於不包含 IP、MAC 位址或身分識別群組的原則群組，成員屬性將顯示在 NSGroup 回應中。但是，在 NSX-T Data Center 中導入的新成員和準則 (如 DVPort 和 DVPG) 將不會包含在 MP 群組定義中。使用者可以在原則中檢視其定義。

NSX 中的標籤區分大小寫，但以標籤為基礎的群組則「不區分大小寫」。例如，如果動態群組成員資格準則為 VM Tag Equals 'quarantine'，則該群組中會納入包含「quarantine」或「QUARANTINE」標籤的所有虛擬機器。

如果您使用的是 NSX Cloud，請參閱使用 NSX-T Data Center 和公有雲標記分組虛擬機器，以取得如何使用公有雲標籤在 NSX Manager 中將工作負載虛擬機器分組的資訊。

必要條件

如果您使用 NSX 聯盟，請參閱 NSX 聯盟中的安全性以取得有關組態選項的詳細資料。

程序

選取導覽面板中的詳細目錄 > 群組。
按一下新增群組，然後輸入群組名稱。
如果您要從 NSX 聯盟的全域管理程式新增群組，請接受預設區域選項，或從下拉式功能表中選取區域。建立含有區域的群組後，即無法編輯區域選取項目。但您可以透過對區域新增或移除位置，來變更區域本身的範圍。您可以先建立自訂區域，然後再建立群組。請參閱從全域管理程式建立區域。
對於從 NSX 聯盟環境中的全域管理程式新增的群組，選取區域是必要的。如果您未使用全域管理程式，則無法使用此文字方塊。
按一下設定。

在設定成員視窗中，選取群組類型。

群組類型	說明
一般	此群組類型是預設選取項目。「一般」群組定義可以由成員資格準則、手動新增的成員、IP 位址、MAC 位址和 Active Directory 群組等組合而成。不支援在 DFW 規則的套用至欄位中使用僅具有手動新增的 IP 位址成員的一般群組。可以建立規則，但不會強制執行。在群組中定義成員資格準則時，將根據一或多個準則，在群組中動態新增成員。手動新增的成員包括區段連接埠、分散式連接埠、分散式連接埠群組、VIF、虛擬機器等物件。
僅限 IP 位址	此群組類型僅包含 IP 位址 (IPv4 或 IPv6)。不支援在 DFW 規則的套用至欄位中使用僅具有手動新增的 IP 位址成員的僅限 IP 位址群組。可以建立規則，但不會強制執行。在 NSX-T Data Center 中實現僅限 IP 位址類型的群組之後，您無法將群組類型編輯為一般。但是，如果群組類型為一般，您可以將群組類型編輯為僅限 IP 位址。在這種情況下，只有 IP 位址還保留在群組中。所有成員資格準則和其他群組定義都將遺失。在功能上，此群組類型與先前的 NSX-T 版本在管理程式模式下以 IP 集合標籤為基礎之準則的 NSGroups 類似。
Antrea	只有當您的 NSX-T 環境中登錄了一或多個 Antrea 容器叢集時，才可使用此群組類型。如需詳細資訊，請參閱Antrea 群組和新增 Antrea 群組。

群組類型

說明

一般

此群組類型是預設選取項目。「一般」群組定義可以由成員資格準則、手動新增的成員、IP 位址、MAC 位址和 Active Directory 群組等組合而成。

不支援在 DFW 規則的套用至欄位中使用僅具有手動新增的 IP 位址成員的一般群組。可以建立規則，但不會強制執行。

在群組中定義成員資格準則時，將根據一或多個準則，在群組中動態新增成員。手動新增的成員包括區段連接埠、分散式連接埠、分散式連接埠群組、VIF、虛擬機器等物件。

僅限 IP 位址

此群組類型僅包含 IP 位址 (IPv4 或 IPv6)。不支援在 DFW 規則的套用至欄位中使用僅具有手動新增的 IP 位址成員的僅限 IP 位址群組。可以建立規則，但不會強制執行。

在 NSX-T Data Center 中實現僅限 IP 位址類型的群組之後，您無法將群組類型編輯為一般。但是，如果群組類型為一般，您可以將群組類型編輯為僅限 IP 位址。在這種情況下，只有 IP 位址還保留在群組中。所有成員資格準則和其他群組定義都將遺失。

在功能上，此群組類型與先前的 NSX-T 版本在管理程式模式下以 IP 集合標籤為基礎之準則的 NSGroups 類似。

Antrea

只有當您的 NSX-T 環境中登錄了一或多個 Antrea 容器叢集時，才可使用此群組類型。

如需詳細資訊，請參閱Antrea 群組和新增 Antrea 群組。

(選擇性) 在成員資格準則頁面上，按一下新增準則，以根據一或多個成員資格準則動態新增成員至群組中。

一個成員資格準則可以有一或多項條件。這些條件可以使用相同的成員類型，也可以混合使用不同的成員類型。不過，在成員資格準則中新增混合了多個成員類型的條件時，會有一些限制。若要瞭解成員資格準則，請參閱：群組成員資格準則概觀。
(選擇性) 按一下成員，即可在群組中新增靜態成員。
可用成員類型為：
- 群組 - 如果您使用 NSX 聯盟，您可以將群組新增為成員，其範圍等於或小於您從全域管理程式為該群組選取的區域，請參閱NSX 聯盟中的安全性
- NSX 區段 - 指派給閘道介面的 IP 位址，以及 NSX 負載平衡器虛擬 IP 位址不會納入為區段群組成員。
- 區段連接埠
- 分散式連接埠群組
- 分散式連接埠
- VIF
- 虛擬機器
- 實體伺服器
- 雲端原生服務執行個體
(選擇性) 按一下 IP/MAC 位址以新增 IP 位址和 MAC 位址做為群組成員。支援 IPv4 位址、IPv6 位址和多點傳播位址。
按一下動作 > 匯入，從包含以逗號分隔之 IP/MAC 值的 .TXT 檔案或 .CSV 檔案匯入 IP/MAC 位址。
(選擇性) 按一下 AD 群組以新增 Active Directory 群組。在身分識別防火牆的分散式防火牆規則的來源文字方塊中，可使用含有 Active Directory 成員的群組。群組可同時包含 AD 和計算成員。

備註：如果您使用 NSX 聯盟，則無法從全域管理程式建立群組來包含 AD 使用者群組。
(選擇性) 輸入說明和標籤。
按一下套用。
隨即列出群組，並附有選項讓您可以檢視成員及使用群組的位置。