您可以設定 NSGroup 來包含 IP 集合、MAC 集合、邏輯連接埠、邏輯交換器以及其他 NSGroup。您可將 NSGroup 指定為來源和目的地,以及在Applied To欄位和防火牆規則中指定。

執行這項作業的原因和時機

NSGroup 具有下列特性:

  • 您可以設定直接成員,這可以是 IP 集合、MAC 集合、邏輯連接埠、邏輯交換器以及其他 NSGroup。

  • 您最多可以為邏輯交換器和邏輯連接埠設定五個成員資格準則。對於每個準則,請指定標記並可選擇指定範圍。

  • NSGroup 具有直接成員和有效成員。有效成員包含您使用成員資格準則指定的成員,以及屬於此 NSGroup 成員的所有直接和有效成員。例如,假設 NSGroup-1 具有直接成員 LogicalSwitch-1。您新增 NSGroup-2 並指定 NSGroup-1 和 LogicalSwitch-2 作為成員。現在 NSGroup-2 具有直接成員 NSGroup-1 和 LogicalSwitch-2,以及有效成員 LogicalSwitch-1。接著您新增 NSGroup-3 並指定 NSGroup-2 作為成員。NSGroup-3 現在具有直接成員 NSGroup-2,以及有效成員 LogicalSwitch-1 和 LogicalSwitch-2。

  • NSGroup 最多可以有 500 個直接成員。

  • NSGroup 中有效成員的建議數目上限是 5000 個。超過此限制並不會影響任何功能,但可能會對效能造成不利影響。在 NSX Manager 上,當 NSGroup 的有效成員數目超過 5000 的 80%,記錄檔中會顯示警告訊息 NSGroup xyz is about to exceed the maximum member limit.Total number in NSGroup is ...,而當數目超過 5000,系統會顯示警告訊息 NSGroup xyz has reached the maximum numbers limit.Total number in NSGroup = ...。在 NSX Controller 中,當 NSGroup 中的已轉譯 VIF/IP/MAC 數目超過 5000,記錄檔中會出現警告訊息 Container xyz has reached the maximum IP/MAC/VIF translations limit.Current translations count in Container - IPs:..., MACs:..., VIFs:...NSX ManagerNSX Controller 會每天檢查 NSGroup 的限制數目兩次,分別在上午 7 點和下午 7 點。

對於所有您可新增至 NSGroup 作為成員的物件 (亦即邏輯交換器、邏輯連接埠、IP 集合、MAC 集合和 NSGroup),您可導覽至任何物件的畫面並選取相關 (Related) > NSGroup (NSGroups),即可查看直接或間接擁有該物件作為成員的所有 NSGroup。例如,在上述範例中,在您導覽至 LogicalSwitch-1 的畫面後,選取相關 (Related) > NSGroup (NSGroups) 會顯示 NSGroup-1、NSGroup-2 和 NSGroup-3,因為這三個皆擁有 LogicalSwitch-1 作為直接或間接成員。

程序

  1. 從瀏覽器登入 NSX Manager,網址為 https://nsx-manager-ip-address
  2. 選取導覽面板中的詳細目錄 (Inventory) > 群組 (Groups)
  3. 在主面板頂部選取 NSGroup (NSGroups)
  4. 按一下新增 (Add)
  5. 輸入 NSGroup 的名稱。
  6. (選擇性) 輸入說明。
  7. (選擇性) 按一下成員資格準則 (Membership Criteria),最多指定五個準則。

    準則可套用至邏輯交換器或邏輯連接埠。

    準則可以指定標籤值、範圍值,或兩者。

  8. (選擇性) 按一下成員 (Members)以選取成員。

    可用的類型為 IP 集合 (IP Set)MAC 集合 (MAC Set)邏輯交換器 (Logical Switch)邏輯連接埠 (Logical Port)NSGroup

  9. 按一下儲存 (Save)