NSX Intelligence 建议功能可为您提供建议,帮助您对应用程序进行微分段。

生成 NSX Intelligence 建议涉及应用程序的安全策略建议、策略安全组建议和服务建议。建议基于 NSX-T Data Center 中虚拟机之间的通信流量模式。

您可以通过选择最多 1 组或 100 个虚拟机 (VM) 的输入实体, 或者选择组与虚拟机组合的输入实体来生成建议。可以在包含组和虚拟机的输入中使用的总虚拟机数不能超过 250 个虚拟机。

重要事项: 您只能为在策略模式下创建的安全组生成新的建议。安全组必须至少有一个受支持的成员类型,以便 NSX Intelligence 开始对该安全组进行建议分析。支持的成员类型包括虚拟机、虚拟网络接口 (VIF)、逻辑端口和逻辑交换机。如果安全组中存在至少一个受支持的成员类型,则建议分析可以继续,但在建议分析期间不会考虑不受支持的成员类型。

使用 NSX Intelligence 用户界面生成建议的方法有多种。以下过程介绍了几种可使用的方法。

前提条件

过程

  1. 从浏览器中,使用所需权限登录到 NSX Manager (https:<nsx-manager-ip-address>)。
  2. 使用以下任一种方法启动新建议的生成过程。
    启动位置 下一步
    选择安全规划和故障排除 > 建议 单击启动新的建议
    对于组的建议,请选择安全规划和故障排除 > 发现并执行操作
    1. 确认已在安全视图选择区域中选择了视图。
    2. 右键单击要生成建议的组的节点。
    3. 选择启动建议
    对于虚拟机的建议,请选择安全规划和故障排除 > 发现并执行操作
    对于单个虚拟机:
    1. 安全性视图选择区域中,单击旁边的向下箭头,然后选择虚拟机
    2. 右键单击虚拟机的节点,然后从上下文菜单中选择启动建议
    对于多个虚拟机:
    1. 安全性视图选择区域中,单击旁边的向下箭头,然后选择虚拟机
    2. 如果要仅包含特定的虚拟机,请单击全部旁边的向下箭头,然后选择要使用的构成应用程序边界的虚拟机。否则,请保持选择全部,然后单击应用
    3. 单击流量栏左侧的建议魔法棒图标 建议魔法棒图标
    4. 选择启动建议为筛选出的虚拟机启动建议
  3. 启动新的建议向导中,更改建议名称文本框的默认值。
    提供一个名称,可以反映要对其执行分段的应用程序。该名称将用作建议分析期间所创建的所有建议组和规则的名称的前缀。
  4. 更改描述文本框的默认值,以便更轻松地回顾有关建议的信息。
  5. 定义或修改将用作安全策略建议边界的虚拟机。
    1. 范围内的选定实体中,单击选择实体,或者如果已选择了组或虚拟机,请单击表示组或虚拟机数量的链接。
    2. 如果要使用一个组,请在选择实体对话框中单击以选择该组。要选择要用作分析边界的虚拟机,请单击虚拟机
      NSX Intelligence 1.1 中,您可以最多选择一个组和 100 个要用于建议边界的虚拟机。取消选择不希望包含的虚拟机。您也可以单击右侧的 筛选器,然后选择要用于筛选所选组或虚拟机的属性。
    3. 单击保存
      范围内的选定实体中会指示所选组和/或虚拟机的数量。
  6. 返回启动新的建议向导中,展开更多选项并根据需要更改建议输出模式的默认值。
    使用的默认输出模式是 基于对象,这意味着生成的 DFW 策略建议包含成员为虚拟机对象的组。如果选择 基于 IP 建议输出模式,则生成的 DFW 策略建议将包含成员为 IPset 对象的组。基于 IP 的建议未与虚拟机紧密绑定。如果删除虚拟机并将其 IP 地址分配给新的虚拟机,则系统会自动将新虚拟机分配给同一组。也会对新虚拟机应用组的 DFW 策略。
  7. 如果需要,请更改当前时间范围值以用于生成建议。
    默认时间范围值为 过去 1 个月。在所选虚拟机或虚拟机组之间发生的网络流量流,会在建议分析期间使用的时间范围内使用。可从中选择的其他值包括 1 小时12 小时24 小时1 周
  8. 要开始建议分析,请单击启动发现
    建议是按顺序处理的。平均来说,完成每个建议可能需要 3 到 4 分钟,具体取决于是否还有其他待处理的建议。如果必须分析在虚拟机之间发生的大量流量,建议的生成时间可能需要 10-15 分钟。
    已启动的建议将在 建议表中列出,类似于下图中显示的内容。
  9. 查看您启动的建议的状态。
    可以在 建议表的 状态列中跟踪建议分析的状态。状态从 正在等待变为 正在进行发现,然后变为 准备发布。如果未生成建议,则 状态值将设置为 无可用建议。如果建议分析因某种原因而失败,则会显示 失败状态。

    监控列指示对于用于生成建议的原始输入实体,是否要监控其更改。此功能适用于状态为准备发布无可用建议失败的建议。您可以打开或关闭监控按钮。按钮处于打开状态时,将每小时检查一次输入实体范围内的更改。

    如果对使用的任何输入实体进行任何更改,将在准备发布无可用建议失败状态旁边显示检测到更改图标 。您可以查看更改并重新运行建议。有关详细信息,请参见重新运行建议

    该表还显示了输入实体的链接、生成的建议实体以及用于生成建议的时间间隔。单击建议行最右侧的画布图标 时,所选实体的可视化将显示在图形画布中的安全规划和故障排除 > 发现并采取操作 UI 下。

  10. 状态值为准备发布时,请查看生成的建议并决定是否发布该建议。请参见查看并发布生成的建议