群組包含以靜態方式和動態方式新增的不同物件,可以作為防火牆規則的來源和目的地。

群組可設定為包含虛擬機器、IP 集合、MAC 集合、區段連接埠、區段交換器、AD 使用者群組以及其他群組的組合。群組的動態納入方式可以根據標籤、機器名稱、作業系統名稱或電腦名稱來進行。

備註: 如果您使用以 LogicalPort 為基礎的準則在 API 中建立群組,則無法在使用者介面中於 SegmentPort 準則之間使用 AND 運算子來編輯群組。如果您使用以 [區段]、[區段連接埠]、[分散式連接埠群組] 或 [分散式連接埠] 為基礎的準則來建立群組,請在該群組的 IP 探索設定檔中停用 [首次使用時信任] 選項。否則,即使介面的 IP 位址發生變更,其原始 IP 位址仍會保留在您的群組中。

如果已啟用 [惡意 IP 摘要],則會從 NTICS 雲端服務下載已知的惡意 IP 清單。您可以建立群組以包含這些已下載的 IP,並設定防火牆規則以封鎖對這些 IP 的存取。請注意,您可以將「一般」或「僅限 IP 位址」群組轉換為具有惡意 IP 的「僅限 IP 位址」群組,但無法反向轉換。

群組也可以從防火牆規則中排除,且清單中最多可以有 100 個群組。用於防火牆排除清單的群組中無法包含 IP 集合、MAC 集合和 AD 群組作為成員。如需詳細資訊,請參閱管理防火牆排除清單

如果您使用 Active Directory 群組作為來源,則可以使用單一 Active Directory 群組。如果需要在來源同時使用 IP 和 Active Directory 群組,請建立兩個單獨的防火牆規則。

無法在 套用至文字方塊中,使用僅由 IP 位址或 MAC 位址組成的群組。

備註: 在 vCenter Server 中新增或移除主機時,主機上的虛擬機器的外部識別碼會發生變更。如果虛擬機器是某個群組的靜態成員,當虛擬機器的外部識別碼發生變更時, NSX Manager UI 就不再將虛擬機器顯示為該群組的成員。不過,列出群組的 API 仍會顯示該群組包含虛擬機器,且虛擬機器具有其原始的外部識別碼。如果您將虛擬機器新增為某個群組的靜態成員,當虛擬機器的外部識別碼有所變更時,您必須使用其新的外部識別碼重新新增虛擬機器。您也可以使用動態成員資格準則,以避免發生此問題。

對於包含 IP、MAC 位址和身分識別群組的原則群組,清單 API 將顯示「成員」屬性。這也適用於包含靜態成員組合的群組。例如,包含 IP 和虛擬機器的原則群組不會顯示成員屬性。

對於不包含 IP、MAC 位址或身分識別群組的原則群組,成員屬性將顯示在 NSGroup 回應中。但是,在 NSX 中導入的新成員和準則 (如 DVPort 和 DVPG) 將不會包含在 MP 群組定義中。使用者可以在原則中檢視其定義。

NSX 中的標籤區分大小寫,但以標籤為基礎的群組則「不區分大小寫」。例如,如果動態群組成員資格準則為 VM Tag Equals 'quarantine',則該群組中會納入包含「quarantine」或「QUARANTINE」標籤的所有虛擬機器。

如果您使用的是 NSX Cloud,請參閱使用 NSX 和公有雲標記分組虛擬機器,以取得如何使用公有雲標籤在 NSX Manager 中將工作負載虛擬機器分組的資訊。

程序

  1. 選取導覽面板中的詳細目錄 > 群組
  2. 按一下新增群組,然後輸入群組名稱。
  3. 如果您要從 NSX 聯盟全域管理程式新增群組,請接受預設區域選項,或從下拉式功能表中選取區域。建立含有區域的群組後,即無法編輯區域選取項目。但您可以透過對區域新增或移除位置,來變更區域本身的範圍。您可以先建立自訂區域,然後再建立群組。請參閱從全域管理程式建立區域
    對於從 NSX 聯盟環境中的 全域管理程式新增的群組,選取區域是必要的。如果您未使用 全域管理程式,則無法使用此文字方塊。
  4. 按一下設定
  5. 設定成員視窗中,選取群組類型
    群組類型 說明
    一般

    此群組類型是預設選取項目。「一般」群組定義可以由成員資格準則、手動新增的成員、IP 位址、MAC 位址和 Active Directory 群組等組合而成。

    不支援在 DFW 規則的套用至欄位中使用僅具有手動新增的 IP 位址成員的一般群組。可以建立規則,但不會強制執行。

    在群組中定義成員資格準則時,將根據一或多個準則,在群組中動態新增成員。手動新增的成員包括區段連接埠、分散式連接埠、分散式連接埠群組、VIF、虛擬機器等物件。

    僅限 IP 位址

    此群組類型僅包含 IP 位址 (IPv4 或 IPv6)。不支援在 DFW 規則的套用至欄位中使用僅具有手動新增的 IP 位址成員的僅限 IP 位址群組。可以建立規則,但不會強制執行。

    如果群組類型為一般,則可以將其類型編輯為僅限 IP 位址群組或具有惡意 IP 的僅限 IP 位址群組。在這種情況下,只有 IP 位址還保留在群組中。所有成員資格準則和其他群組定義都將遺失。在 中實現僅限 IP 位址或具有惡意 IP 的僅限 IP 位址NSX群組類型後,便無法將群組類型編輯為一般

    在功能上,僅限 IP 位址群組類型與先前的 NSX 版本在管理程式模式下具有以 IP 集合標籤為基礎之準則的 NSGroup 類似。

    具有惡意 IP 的僅限 IP 位址

    如果已啟用惡意 IP 摘要,則可以透過開啟新增預先定義的惡意 IP 開關,建立具有惡意 IP 的僅限 IP 位址群組。如需有關設定功能的詳細資訊,請參閱設定惡意 IP 摘要

    您也可以指定應視為例外狀況且不得封鎖的 IP 和僅限 IP 位址群組。

    請注意,開啟新增預先定義的惡意 IP 切換開關後,您便無法在編輯群組時將其關閉。

    Antrea

    只有當您的 NSX 環境中登錄了一或多個 Antrea 容器叢集時,才可使用此群組類型。

    如需詳細資訊,請參閱Antrea 群組新增 Antrea 群組

  6. (選擇性) 成員資格準則頁面上,按一下新增準則,以根據一或多個成員資格準則動態新增成員至群組中。

    一個成員資格準則可以有一或多項條件。這些條件可以使用相同的成員類型,也可以混合使用不同的成員類型。不過,在成員資格準則中新增混合了多個成員類型的條件時,會有一些限制。若要瞭解成員資格準則,請參閱:群組成員資格準則概觀

  7. (選擇性) 按一下成員,即可在群組中新增靜態成員。
    可用成員類型為:
    • 群組 - 如果您使用 NSX 聯盟,您可以將群組新增為成員,其範圍等於或小於您從全域管理程式為該群組選取的區域,請參閱NSX 聯盟中的安全性
    • NSX 區段 - 指派給閘道介面的 IP 位址,以及 NSX 負載平衡器虛擬 IP 位址不會納入為區段群組成員。
    • 區段連接埠
    • 分散式連接埠群組
    • 分散式連接埠
    • VIF
    • 虛擬機器
    • 實體伺服器
    • 雲端原生服務執行個體
  8. (選擇性) 按一下 IP/MAC 位址以新增 IP 位址和 MAC 位址做為群組成員。支援 IPv4 位址、IPv6 位址和多點傳播位址。
    按一下 動作 > 匯入,從包含以逗號分隔之 IP/MAC 值的 .TXT 檔案或 .CSV 檔案匯入 IP/MAC 位址。
  9. (選擇性) 按一下 AD 群組以新增 Active Directory 群組。在身分識別防火牆的分散式防火牆規則的來源文字方塊中,可使用含有 Active Directory 成員的群組。群組可同時包含 AD 和計算成員。
    備註: 如果您使用 NSX 聯盟,則無法從全域管理程式建立群組來包含 AD 使用者群組。
  10. (選擇性) 輸入說明和標籤。
  11. 按一下套用
    隨即列出群組,並附有選項讓您可以檢視成員及使用群組的位置。