生成的 NSX Intelligence 建议达到准备发布状态后,您可以查看建议,根据需要进行修改,并决定是否发布该建议。

前提条件

过程

  1. 从浏览器中,使用所需权限登录到 NSX Manager (https:<nsx-manager-ip-address>)。
  2. 单击安全规划和故障排除 > 建议
  3. (可选) 要帮助缩小显示的建议列表,请单击 UI 右上角的 筛选器。单击应用筛选器,然后从下拉菜单中选择一个或多个筛选器。
    例如,单击 应用筛选器后,选择 基本详细信息 > 监控 > 开启,可显示将监控参数设置为打开的建议。
  4. (可选) 如果决定不使用生成的建议,请单击三点菜单图标 ,然后选择删除
  5. 要开始查看和管理状态为准备发布的建议的详细信息,请单击建议的名称。
    将显示类似于下图的 建议向导。在 查看建议窗格中,建议的详细信息将显示在拆分视图中。窗格的上半部分以图形格式显示建议可视化。窗格的下半部分以表格格式列出建议。

  6. 查看建议窗格中,使用窗格的上半部分来检查建议的图形可视化。
    您可以单击特定节点和箭头以查看建议的详细信息。您可以指向两个组节点之间的箭头,以查看组之间已应用哪些策略规则或已创建哪些服务。

    您可以右键单击组建议的节点、重命名组或编辑属于该组的虚拟机成员。您还可以右键单击某个组节点,然后选择筛选器,以将当前组用作用于显示已生成建议相关详细信息的筛选器。

    使用建议的图形视图所做的更改会反映在窗格下半部分的表格中。同样,对表格中的建议信息所做的更改会反映在图形可视化中。

  7. 查看建议窗格的下半部分中,您可以使用建议的表格视图查看有关建议中包含的规则、组和服务的详细信息。

    您可以通过单击规则服务选项卡来检查和修改任何建议详细信息。

    建议的策略部分中,规则服务选项卡上显示了一些数字。这些数字表示建议的规则、组和服务的数量。在生成建议时,NSX-T 清单中不存在这些数字。例如,在上图中,建议服务选项卡显示零个建议的服务。在生成建议时,组使用的服务在 NSX-T 清单中已存在。因此,不建议使用新的服务。

    将在规则表和图形可视化窗格中立即反映应用于规则选项卡中的规则的任何更改(例如,添加、删除或编辑规则或区域)。

    1. 要定义命中 DFW 规则时数据包的处理方式,请在操作列中选择允许丢弃拒绝
    2. 要启用或禁用 DFW 规则,请切换操作列右侧的按钮。默认情况下,在发布建议时,生成的规则将被设置为 Enabled
    3. 要查看有关建议中组的详细信息,请单击
      在删除某个组之前,请确保没有使用该组的规则。
    4. 单击成员列中的链接,以查看有关为组建议设置的虚拟机和 IP 的详细信息。
    5. 单击组名称旁边的三点菜单图标,然后选择编辑以修改组建议。
    6. 单击服务并查看详细信息。
    7. 单击服务名称旁边的三点菜单图标,然后选择编辑以修改名称或描述。
      在删除某个服务之前,请确保没有使用该服务的规则。
  8. 要继续发布建议,请单击继续
    或者,单击 稍后继续以保存您所做的所有更改,并退出建议审查会话。
  9. 序列与发布窗格中,定义针对现有 DFW 规则应用新建议的安全策略的顺序。
    1. 选择新安全策略建议所在的行。
    2. 单击列出的其中一个现有安全策略行,单击该行最左侧的三点菜单图标。
    3. 要将新建议的安全策略的选定行移动到现有安全策略所在行的上方或下方,请选择将所选策略移至此策略上方将所选策略移至此策略下方
      或者,您也可以将当前选定的新策略建议行向上或向下拖动到所需的位置。
  10. 单击发布
    要停止查看建议,请单击 取消
  11. 发布建议对话框中,单击
  12. 策略已发布对话框中,单击关闭以关闭对话框,或单击在分布式防火墙表中查看以查看安全 > 分布式防火墙 > 所有规则选项卡中刚发布的安全策略。
    返回 安全规划和故障排除 > 建议窗格,在 建议表中,您发布的建议的 状态列已更改为 已发布

结果

安全策略建议成功发布后,它们在 安全规划和故障排除 > 建议选项卡中将处于只读模式。要查看和管理已发布的规则建议,请转到 安全 > 分布式防火墙
重要事项: 在发布规则建议后,可视化继续将虚拟机之间的受影响的流显示为橙色箭头(不受保护的流),直到在受影响的虚拟机之间生成新的流。可视化仅根据在主机上发生的时间报告流量,而不反映在这些流量发生后发布的规则集。在发布规则集并生成新的流量后,新流量将显示为绿色箭头(允许的流量)。