您可以在 NSX VPC 中建立群組,並在防火牆原則中使用這些群組,以符合在 NSX VPC 內執行的工作負載的特定安全需求。

NSX VPC 中的預設群組

系統會為專案中新增的每個 NSX VPC 建立一個一般類型的預設群組。預設群組有助於您將防火牆規則的範圍限制在特定 NSX VPC 內。

以下命名慣例用來識別 NSX VPC 中的預設群組:

ORG-default-PROJECT-<Project_Name>-VPC-<VPC_Name>-default

Project_NameVPC_Name 將取代為系統中的實際值。

預設群組代表 NSX VPC 本身。此預設群組的成員是子網路、子網路連接埠,以及連線至 NSX VPC 子網路的虛擬機器介面 (VIF)。如果虛擬機器為雙宿主,例如,當一個介面連線至 VPC 子網路,而另一個介面連線至預設空間中的某個區段時,此虛擬機器中該區段上的 VIF 將不是 VPC 預設群組的成員。

使用 VPC 預設群組的一般使用案例如下所示:

假設預設空間中的專案管理員或使用者想要封鎖流向 NSX VPC 內所有虛擬機器的流量。他們可以在其防火牆原則中使用 VPC 預設群組。

使用者在 NSX VPC 中建立的群組

NSX VPC 中支援一般僅限 IP 位址類型的群組。

支援將下列 NSX VPC 物件以靜態方式新增至 NSX 內的群組定義:
  • 子網路
  • 子網路連接埠
  • VIF
  • 虛擬機器
  • 群組

設定成員對話方塊的成員索引標籤上,系統只會顯示 NSX VPC 所擁有的物件,或與 NSX VPC 共用的物件。

支援將下列 NSX VPC 物件新增至 NSX 中的動態群組成員資格準則:
  • 虛擬機器
  • 子網路
  • 子網路連接埠

當您在一個具有動態準則 (以虛擬機器標籤為基礎) 的 NSX VPC 中新增群組時,連線至 NSX VPC 中的子網路的虛擬機器將成為該群組的有效成員。

提供給 NSX VPC 共用的群組只能用於防火牆規則的來源目的地欄位中,而不能用於防火牆規則的套用至欄位中。

NSX VPC 中新增群組

  1. 專案下拉式功能表中選取一個專案。
  2. 按一下 VPC 索引標籤。
  3. 展開要新增群組的 VPC。
  4. 展開安全性區段,然後按一下群組旁邊的計數。

    此時會開啟設定 VPC 群組頁面。

  5. 現在,使用標準程序在 NSX VPC 中新增群組。