NSX Intelligence 建议功能可为您提供建议,帮助您对应用程序进行微分段。

生成 NSX Intelligence 建议涉及应用程序的安全策略建议、策略安全组建议和服务建议。建议是根据 NSX-T Data Center 中的虚拟机 (VM) 和物理服务器之间的通信流量模式生成的。

您可以选择最多包含 1 个组或 100 个虚拟机 (VM) 和物理服务器的输入实体以生成建议,也可以选择包含组、虚拟机和物理服务器组合的输入实体以生成建议。您可以选择作为输入的总虚拟机和物理服务器数不能超过 100 个输入实体。您可以在包含组、虚拟机或物理服务器的输入中使用的总有效虚拟机和物理服务器数不能超过 250 个输入实体。

例如,如果您选择 50 个虚拟机和 50 个物理服务器以作为建议输入实体的一部分,则只能选择具有不超过 150 个计算成员的组。

重要事项: 您只能为在策略模式下创建的安全组生成新的建议。安全组必须至少有一个受支持的成员类型,以便 NSX Intelligence 开始对该安全组进行建议分析。支持的成员类型包括虚拟机、物理服务器、虚拟网络接口 (Virtual Network Interface, VIF)、逻辑端口和逻辑交换机。如果安全组中存在至少一个受支持的成员类型,则建议分析可以继续,但在建议分析期间不会考虑不受支持的成员类型。

使用 NSX Intelligence 用户界面生成建议的方法有多种。以下过程介绍了几种可使用的方法。

前提条件

过程

  1. 从浏览器中,使用所需的特权登录到 NSX Manager (https://<nsx-manager-ip-address>)。
  2. 使用以下任一种方法启动新建议的生成过程。
    启动位置 下一步
    选择安全规划和故障排除 > 建议 单击启动新的建议
    对于组建议,请选择安全规划和故障排除 > 发现并执行操作
    1. 确认已在安全视图选择区域中选择了视图。
    2. 右键单击要生成建议的组的节点。
    3. 从下拉菜单中选择启动建议
    对于虚拟机或物理服务器建议,请选择安全规划和故障排除 > 发现并执行操作
    选择至少一个虚拟机或物理服务器,或者选择两者的组合。
    1. 安全视图选择区域中,单击旁边的向下箭头,然后选择计算
    2. 单击显示所有类型,然后选择虚拟机物理服务器。或者,从“可用项目”列表中选择特定的虚拟机或物理服务器。
    3. 单击应用
    4. 单击流量栏左侧的建议魔法棒图标 建议魔法棒图标
    5. 选择为筛选出的计算资源启动建议
  3. 启动新的建议向导中,更改建议名称文本框的默认值。
    提供一个名称,可以反映要对其执行分段的应用程序。该名称将用作建议分析期间所创建的所有建议组和规则的名称的前缀。
  4. 更改描述文本框的默认值,以便更轻松地回顾有关建议的信息。
  5. 定义或修改将作为安全策略建议边界的虚拟机或物理服务器。
    1. 范围内的选定实体中,单击选择实体。如果您已选择组、虚拟机或物理服务器,请单击组、虚拟机或物理服务器数量的链接以修改当前选择的内容。
    2. 选择实体对话框中,单击以选择最多一个组(如果要包括组)。要选择希望作为分析边界的虚拟机或物理服务器,请单击虚拟机物理服务器选项卡,然后进行选择。
      您最多可以选择一个组以及最多 100 个虚拟机或物理服务器以用于建议边界,但不能超过 250 个有效计算实体。取消选择不希望包含的虚拟机。您也可以单击 筛选器,然后选择相应的属性以用于筛选您希望选择的组、虚拟机或物理服务器。
    3. 单击保存
      您将返回到 启动新的建议向导。将在 范围内的选定实体中指示选定的组、虚拟机或物理服务器数量或这些实体的组合数量。
  6. 返回到启动新的建议向导,从考虑的流量下拉菜单中选择要在建议分析中考虑的流量类型。默认值为 All Traffic
    • 所有流量 - 考虑所有出站、入站和应用程序内部流量类型。
    • 入站和出站 - 考虑来自应用程序边界内部和外部的所有流量类型。
    • 入站流量 - 仅考虑来自应用程序边界外部的流量。
  7. 连接策略下拉菜单中,选择用于为安全策略创建默认规则的连接策略。
    • 允许列表 - 创建默认丢弃规则。
    • 拒绝列表 - 创建默认允许规则。
    • - 不创建默认规则。
  8. 展开高级选项,并更改建议输出的默认值(如有必要)。
    使用的默认输出模式为 基于对象,这意味着生成的 DFW 策略建议包含成员为虚拟机和/或物理服务器实体的组。如果选择 基于 IP 建议输出模式,则生成的 DFW 策略建议将包含成员为 IPset 对象的组。基于 IP 的建议未与虚拟机紧密绑定。如果删除一个虚拟机并将其 IP 地址分配给新的虚拟机,则会将新虚拟机分配给同一组。也会对新虚拟机应用组的 DFW 策略。
  9. 如有必要,请更改建议服务类型的值。
    默认类型为 L4 服务,它由相应的第 4 层端口和协议组成。或者,您也可以选择 L7 上下文配置文件
  10. 如果需要,请更改当前时间范围值以用于生成建议。
    默认时间范围值为 过去 1 个月。在建议分析过程中,将使用选定的虚拟机或物理服务器之间或一组虚拟机或物理服务器之间在该时间范围内发生的网络流量。要从中选择的其他值包括 过去 12 小时过去 24 小时过去 1 周过去 1 个月
  11. 要开始建议分析,请单击启动发现
    建议是按顺序处理的。平均来说,完成每个建议可能需要 3 到 4 分钟,具体取决于是否还有其他待处理的建议。如果必须分析在虚拟机和物理服务器之间发生的大量流量,可能需要 10 到 15 分钟的时间才能生成建议。
    启动的建议在 建议表中列出,类似于以下屏幕截图中显示的内容。

    • 可以在建议表的状态列中跟踪建议分析的状态。状态从正在等待变为正在进行发现,然后变为准备发布。如果未生成建议,则状态值将设置为无可用建议。如果建议分析因某种原因而失败,则会显示失败状态。
    • 输入实体列列出用于生成建议的实体。如果单击该列中的链接文本,则会在只读模式下显示选定实体对话框。
    • 建议的实体列中列出了根据网络流量流和输入边界建议的安全策略规则、策略安全组和服务的链接。
    • 监控列指示对于用于生成建议的原始输入实体,是否要监控其更改。此功能适用于状态为准备发布无可用建议失败的建议。您可以打开或关闭监控按钮。按钮处于打开状态时,将每小时检查一次输入实体范围内的更改。
    • 如果对使用的任何输入实体进行任何更改,将在准备发布无可用建议失败状态旁边显示检测到更改图标 。您可以查看更改并重新运行建议。有关详细信息,请参见重新运行 NSX Intelligence 建议
    • 单击建议行最右侧的画布图标 时,所选实体的可视化将显示在安全规划和故障排除 > 发现并采取操作用户界面下的图形画布中。
  12. 状态值为准备发布时,请查看生成的建议并决定是否发布该建议。请参见查看和发布生成的 NSX Intelligence 建议