群組包含以靜態方式和動態方式新增的不同物件,可以作為防火牆規則的來源和目的地。

群組可設定為包含虛擬機器、IP 集合、MAC 集合、區段連接埠、區段交換器、AD 使用者群組以及其他群組的組合。群組的動態納入方式可以根據標籤、機器名稱、作業系統名稱或電腦名稱來進行。

備註: 如果您使用以 LogicalPort 為基礎的準則在 API 中建立群組,則無法在使用者介面中於 SegmentPort 準則之間使用 AND 運算子來編輯群組。如果您使用以 [區段]、[區段連接埠]、[分散式連接埠群組] 或 [分散式連接埠] 為基礎的準則來建立群組,請在該群組的 IP 探索設定檔中停用 [首次使用時信任] 選項。否則,即使介面的 IP 位址發生變更,其原始 IP 位址仍會保留在您的群組中。

如果已啟用 [惡意 IP 摘要],則會從 NTICS 雲端服務下載已知的惡意 IP 清單。您可以建立群組以包含這些已下載的 IP,並設定防火牆規則以封鎖對這些 IP 的存取。[一般] 或 [僅限 IP 位址] 群組無法轉換為包含惡意 IP 的 [僅限 IP 位址] 群組,反之亦然。不過,[一般] 群組可以轉換為不包含惡意 IP 的 [僅限 IP 位址] 群組。

群組也可以從防火牆規則中排除,且清單中最多可以有 100 個群組。用於防火牆排除清單的群組中無法包含 IP 集合、MAC 集合和 AD 群組作為成員。如需詳細資訊,請參閱管理防火牆排除清單

如果您使用 Active Directory 群組作為來源,則可以使用單一 Active Directory 群組。如果需要在來源同時使用 IP 和 Active Directory 群組,請建立兩個單獨的防火牆規則。

僅由 IP 位址、MAC 位址或 Active Directory 群組組成的群組,無法在 套用至文字方塊中使用。

備註: 在 vCenter Server 中新增或移除主機時,主機上的虛擬機器的外部識別碼會發生變更。如果虛擬機器是某個群組的靜態成員,當虛擬機器的外部識別碼發生變更時, NSX Manager UI 就不再將虛擬機器顯示為該群組的成員。不過,列出群組的 API 仍會顯示該群組包含虛擬機器,且虛擬機器具有其原始的外部識別碼。如果您將虛擬機器新增為某個群組的靜態成員,當虛擬機器的外部識別碼有所變更時,您必須使用其新的外部識別碼重新新增虛擬機器。您也可以使用動態成員資格準則,以避免發生此問題。

對於包含 IP 或 MAC 位址的原則群組,NSGroup 清單 API 將顯示「成員」屬性。這也適用於包含靜態成員組合的群組。例如,如果原則群組包含 IP 和 DVPG,則 NSGroup 清單 API 將不顯示「成員」屬性。

對於不包含 IP、MAC 位址或身分識別群組的原則群組,成員屬性將顯示在 NSGroup 回應中。但是,在 NSX 中導入的新成員和準則 (如 DVPort 和 DVPG) 將不會包含在 MP 群組定義中。使用者可以在原則中檢視其定義。

NSX 中的標籤區分大小寫,但以標籤為基礎的群組則「不區分大小寫」。例如,如果動態群組成員資格準則為 VM Tag Equals 'quarantine',則該群組中會納入包含「quarantine」或「QUARANTINE」標籤的所有虛擬機器。

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取導覽面板中的詳細目錄 > 群組
  3. 按一下新增群組,然後輸入群組名稱。
  4. 如果您要從 NSX 聯盟全域管理員新增群組,請接受預設區域選項,或從下拉式功能表中選取區域。建立含有區域的群組後,即無法編輯區域選取項目。但您可以透過對區域新增或移除位置,來變更區域本身的範圍。您可以先建立自訂區域,然後再建立群組。
    對於從 NSX 聯盟環境中的 全域管理員新增的群組,選取區域是必要的。如果您未使用 全域管理員,則無法使用此文字方塊。
  5. 按一下設定
  6. 設定成員視窗中,選取群組類型
    群組類型 說明
    一般

    此群組類型是預設選取項目。「一般」群組定義可以由成員資格準則、手動新增的成員、IP 位址、MAC 位址和 Active Directory 群組等組合而成。

    不支援在 DFW 規則的套用至欄位中使用僅具有手動新增的 IP 位址成員的一般群組。可以建立規則,但不會強制執行。

    在群組中定義成員資格準則時,將根據一或多個準則,在群組中動態新增成員。手動新增的成員包括區段連接埠、分散式連接埠、分散式連接埠群組、VIF、虛擬機器等物件。

    僅限 IP 位址

    此群組類型僅包含 IP 位址 (IPv4 或 IPv6)。不支援在 DFW 規則的套用至欄位中使用僅具有手動新增的 IP 位址成員的僅限 IP 位址群組。可以建立規則,但不會強制執行。

    如果群組類型為一般,則可以將其類型編輯為僅限 IP 位址群組或具有惡意 IP 的僅限 IP 位址群組。在這種情況下,只有 IP 位址還保留在群組中。所有成員資格準則和其他群組定義都將遺失。在 中實現僅限 IP 位址或具有惡意 IP 的僅限 IP 位址NSX群組類型後,便無法將群組類型編輯為一般

    在功能上,僅限 IP 位址群組類型與先前的 NSX 版本在管理程式模式下具有以 IP 集合標籤為基礎之準則的 NSGroup 類似。

    具有惡意 IP 的僅限 IP 位址

    如果已啟用惡意 IP 摘要,則可以透過開啟新增預先定義的惡意 IP 開關,建立具有惡意 IP 的僅限 IP 位址群組。

    您也可以指定應視為例外狀況且不得封鎖的 IP 和僅限 IP 位址群組。

    請注意,開啟新增預先定義的惡意 IP 切換開關後,您便無法在編輯群組時將其關閉。

    Antrea

    只有當您的 NSX 環境中登錄了一或多個 Antrea Kubernetes 叢集時,才可使用此群組類型。

  7. (選擇性) 成員資格準則頁面上,按一下新增準則,以根據一或多個成員資格準則,將成員動態新增至一般群組。

    如果在 NSX 部署中使用 Antrea CNI 登錄了 Kubernetes 叢集,您可以使用動態成員資格準則中的 Kubernetes 成員類型來建立一般群組,以符合進入或離開這些 Antrea Kubernetes 叢集的流量。

    一個成員資格準則可以有一或多項條件。這些條件可以使用相同的成員類型,也可以混合使用不同的成員類型。在單一成員資格準則中,以 NSX 成員類型為基礎的條件,不能與以 Kubernetes 成員類型為基礎的條件混合使用。但是,您可以使其中一個準則僅以 NSX 成員類型為基礎,另一個準則僅以 Kubernetes 成員類型為基礎,然後使用 OR 運算子,將這兩個準則聯結在一起。

    在成員資格準則中新增混合 NSX 成員類型或混合 Kubernetes 成員類型的多項條件時,會有一些限制。若要進一步瞭解成員資格準則,請參閱NSX 群組成員資格準則概觀

    備註: 在多承租人 NSX 環境中,Kubernetes 叢集資源不會向專案詳細目錄公開。因此,在專案中,您無法使用動態成員資格準則中的 Kubernetes 成員類型,來建立一般群組。
  8. (選擇性) 按一下成員,即可在群組中新增靜態成員。
    可用成員類型為:
    • 群組 - 如果您使用 NSX 聯盟,您可以將群組新增為成員,其範圍等於或小於您從全域管理員為該群組選取的區域。
    • NSX 區段 - 指派給閘道介面的 IP 位址,以及 NSX 負載平衡器虛擬 IP 位址不會納入為區段群組成員。
    • 區段連接埠
    • 分散式連接埠群組
    • 分散式連接埠
    • VIF
    • 虛擬機器
    • 實體伺服器
  9. (選擇性) 按一下 IP 位址MAC 位址以新增 IP 位址和 MAC 位址作為群組成員。支援 IPv4 位址、IPv6 位址和多點傳播位址。
    按一下 動作 > 匯入,從包含以逗號分隔之 IP/MAC 值的 .TXT 檔案或 .CSV 檔案匯入 IP/MAC 位址。
  10. (選擇性) 按一下 AD 群組以新增 Active Directory 群組。在身分識別防火牆的分散式防火牆規則的來源文字方塊中,可使用含有 Active Directory 成員的群組。群組可同時包含 AD 和計算成員。
    備註: 如果您使用 NSX 聯盟,則無法從全域管理程式建立群組來包含 AD 使用者群組。
  11. (選擇性) 輸入說明和標籤。
  12. 按一下套用
    隨即列出群組,並附有選項讓您可以檢視成員及使用群組的位置。