您可以設定 NSGroup 來包含 IP 集合、MAC 集合、邏輯連接埠、邏輯交換器以及其他 NSGroup。您可將 NSGroup 指定為來源和目的地,以及在Applied To欄位和防火牆規則中指定。

執行這項作業的原因和時機

NSGroup 具有下列特性:

  • 您可以設定直接成員,這可以是 IP 集合、MAC 集合、邏輯連接埠、邏輯交換器以及其他 NSGroup。

  • 您最多可以為邏輯交換器和邏輯連接埠設定五個成員資格準則。對於每個準則,請指定標記並可選擇指定範圍。

  • NSGroup 具有直接成員和有效成員。有效成員包含您使用成員資格準則指定的成員,以及屬於此 NSGroup 成員的所有直接和有效成員。例如,假設 NSGroup-1 具有直接成員 LogicalSwitch-1。您新增 NSGroup-2 並指定 NSGroup-1 和 LogicalSwitch-2 作為成員。現在 NSGroup-2 具有直接成員 NSGroup-1 和 LogicalSwitch-2,以及有效成員 LogicalSwitch-1。接著您新增 NSGroup-3 並指定 NSGroup-2 作為成員。NSGroup-3 現在具有直接成員 NSGroup-2,以及有效成員 LogicalSwitch-1 和 LogicalSwitch-2。

  • NSGroup 最多可以有 500 個直接成員。

  • NSGroup 中有效成員的建議數目上限是 5000 個。超過此限制並不會影響任何功能,但可能會對效能造成不利影響。在 NSX Manager 上,當 NSGroup 的有效成員數目超過 5000 的 80%,記錄檔中會顯示警告訊息 NSGroup xyz is about to exceed the maximum member limit.Total number in NSGroup is ...,而當數目超過 5000,系統會顯示警告訊息 NSGroup xyz has reached the maximum numbers limit.Total number in NSGroup = ...。在 NSX Controller 中,當 NSGroup 中的已轉譯 VIF/IP/MAC 數目超過 5000,記錄檔中會出現警告訊息 Container xyz has reached the maximum IP/MAC/VIF translations limit.Current translations count in Container - IPs:..., MACs:..., VIFs:...NSX ManagerNSX Controller 會每天檢查 NSGroup 的限制數目兩次,分別在上午 7 點和下午 7 點。

對於所有您可新增至 NSGroup 作為成員的物件 (亦即邏輯交換器、邏輯連接埠、IP 集合、MAC 集合和 NSGroup),您可導覽至任何物件的畫面並選取相關 (Related) > NSGroup (NSGroups),即可查看直接或間接擁有該物件作為成員的所有 NSGroup。例如,在上述範例中,在您導覽至 LogicalSwitch-1 的畫面後,選取相關 (Related) > NSGroup (NSGroups) 會顯示 NSGroup-1、NSGroup-2 和 NSGroup-3,因為這三個皆擁有 LogicalSwitch-1 作為直接或間接成員。

程序

  1. 從瀏覽器登入 NSX Manager,網址為 https://nsx-manager-ip-address
  2. 選取導覽面板中的詳細目錄 (Inventory) > 群組 (Groups)
  3. 在主面板頂部選取 NSGroup (NSGroups)
  4. 按一下新增 (Add)
  5. 輸入 NSGroup 的名稱。
  6. (選擇性) ︰ 輸入說明。
  7. (選擇性) ︰ 按一下成員資格準則 (Membership Criteria),最多指定五個準則。

    準則可套用至邏輯交換器或邏輯連接埠。

    準則可以指定標籤值、範圍值,或兩者。

  8. (選擇性) ︰ 按一下成員 (Members)以選取成員。

    可用的類型為 IP 集合 (IP Set)MAC 集合 (MAC Set)邏輯交換器 (Logical Switch)邏輯連接埠 (Logical Port)NSGroup

  9. 按一下儲存 (Save)