收集流量监控会话后,可以对结果进行分析和筛选,以便用于分组对象和防火墙规则。ARM 会基于所分析的流量自动建议防火墙规则和安全组。
可以对所分析的流量进行筛选,以限制工作集中的流量数量。筛选器选项图标位于右侧的“已处理的视图”下拉菜单旁边。
前提条件
在进行分析之前,必须先从选定的虚拟网卡或虚拟机收集流量监控会话。
过程
- 收集流量后,单击分析 (Analyze)。
将解析所定义的服务,开始将 IP 地址转换到虚拟机,并移除重复项。
- 分析完成后,将提供有关流量的以下数据:
字段 选项 方向 流入 - 流量进入输入源中一个选定的虚拟机和虚拟网卡。
流出 - 流量由输入源中一个选定的虚拟机和虚拟网卡产生。
内部 - 流量在输入源中选定的虚拟机和虚拟网卡之间流过。
源 如果流量记录的源 IP 地址解析为 NSX 清单中的一个虚拟机,则为该虚拟机名称。请注意,只有在这些虚拟机中启用了 VM Tools 时,IP 地址才能被解析为虚拟机。
如果没有在 NSX 清单中找到此源 IP 地址的虚拟机,则为原始 IP。请注意,多播和广播 IP 地址将不会解析为虚拟机。
如果 IP 地址是映射到不同网络中多个虚拟机的重叠 IP 地址,用户需要将虚拟机解析为与此流量记录相关的正确虚拟机,则为虚拟机数量(例如:2 个虚拟机)。
目标 与“源”字段中的值相同。 服务 NSX 定义的协议/端口服务。
如果 NSX Manager 中没有定义服务,则为原始协议/端口。
服务数量。如果有多个服务映射到同一协议/端口,并且用户需要将其解析为一个适用于流量记录的服务。
- 选择防火墙规则 (Firewall Rules)选项卡以查看自动建议的 ARM 分组工作流和策略创建,以及基于选定的流量创建的防火墙规则。用户可以修改建议的规则,尤其是组和规则的命名,以使其更加直观。
在进行流量分析后,ARM 会自动提供以下建议
- 基于流量模式和服务建议工作流的分组和 IP 集。例如,对于一个 3 层应用程序,结果将会有四个建议的安全组,其中的三个组分别用于每个应用程序层,还有一个组则用于该应用程序中的所有虚拟机。如果目标 IP 在 vCenter 域之外,ARM 还会基于应用程序虚拟机(例如 DNS/NTP 服务器)使用的服务建议目标的 IP 集。
- 基于所分析的流量数据建议安全组。对于一个 3 层应用程序,结果可能有四个规则:https 上的 LB 到 WEB,http 上的 WEB 到 APP,MYSQL 上的 APP 到 DB,以及用于基础架构服务(例如 DNS)的通用规则。
- 识别应用程序层之间流量的应用程序上下文(第 7 层)。例如,不考虑所使用的 TCP/UDP 端口和用于 https 的 TLS 版本而运行的 L7 应用程序。
- 单击发布 (Publish)以将给定应用程序的策略作为防火墙规则表中的一个区域进行发布。或者,根据需要修改规则。请注意,建议的防火墙规则将限制对与应用程序关联的虚拟机的实施(应用)范围。输入防火墙规则区域名称,然后单击相应的复选框以启用以下可选参数:
选项 说明 启用 TCP 严格策略 允许您为每个防火墙区域设置 TCP 严格策略。 启用无状态防火墙 允许您为每个防火墙区域启用无状态防火墙。
