生成的 NSX Intelligence 建议达到准备发布状态后,您可以查看建议,根据需要进行修改,并决定是否发布该建议。
前提条件
- 生成新的建议。请参见生成新的 NSX Intelligence 建议。
- 在发布建议之前,请确保您具有所需的特权。有关详细信息,请参见NSX Intelligence 中的基于角色的访问控制。
过程
- (可选) 如果决定不使用生成的建议,请单击三点菜单图标
,然后选择删除。 - 要开始查看和管理状态为准备发布的建议的详细信息,请单击建议的名称。
将显示类似于下图的 建议向导。在 查看建议窗格中,建议的详细信息将显示在拆分视图中。窗格的上半部分以图形格式显示建议可视化。窗格的下半部分以表格格式列出建议。
- 使用窗格的上半部分以检查建议图形可视化内容。
您可以单击特定节点和流量箭头以查看建议详细信息。您可以指向两个组节点之间的流量箭头,以查看在组之间应用了哪些策略规则或创建了哪些服务。可以右键单击流量箭头以按相应策略规则筛选建议。
如果节点在边缘具有建议魔法棒图标
,则说明该节点表示建议的组。您可以右键单击组建议节点,重命名组或编辑属于该组的计算实体成员。您还可以右键单击组节点以重命名该节点,查看或编辑其成员,或者选择筛选方式以将当前组作为用于显示有关生成的建议的详细信息的筛选器。使用建议的图形视图所做的更改会反映在窗格下半部分的表格中。同样,对表格中的建议信息所做的更改会反映在图形可视化中。
- 在查看建议窗格的下半部分,您可以使用建议表格视图以查看有关建议中包含的规则、组和服务的详细信息。可以使用用于建议的流选项卡以查看用于生成建议的流量。
您可以通过单击规则、组或服务选项卡来检查和修改任何建议详细信息。
在建议的策略部分中,规则、组和服务选项卡上显示了一些数字。这些数字表示建议的规则、组和服务的数量。在生成建议时,NSX-T 清单中不存在这些数字。例如,在上面的屏幕截图中,建议服务选项卡显示零个建议的服务。在生成建议时,组使用的服务在 NSX-T 清单中已存在。因此,不建议使用新的服务。
将在规则表和图形可视化窗格中立即反映应用于规则选项卡中的规则的任何更改(例如,添加、删除或编辑规则或区域)。
- 要定义命中 DFW 规则时数据包的处理方式,请在操作列中选择允许、丢弃或拒绝。
- 要启用或禁用 DFW 规则,请切换操作列右侧的按钮。默认情况下,在发布建议时,生成的规则将被设置为 Enabled。
- 要查看有关建议中组的详细信息,请单击组。
在删除某个组之前,请确保没有使用该组的规则。
- 单击成员列中的链接,以查看有关为组建议设置的虚拟机、IP 和物理服务器的详细信息。
- 单击组名称旁边的三点菜单图标 ,然后选择编辑以修改组建议。
- 单击服务并查看详细信息。
- 单击服务名称旁边的三点菜单图标 ,然后选择编辑以修改名称或描述。
在删除某个服务之前,请确保没有使用该服务的规则。
- 在序列与发布窗格中,定义针对现有 DFW 规则应用新建议的安全策略的顺序。
- 选择新安全策略建议所在的行。
- 单击列出的其中一个现有安全策略所在行最左侧的三点菜单图标 。
- 要将新建议的安全策略的选定行移动到现有安全策略所在行的上方或下方,请选择将所选策略移至此策略上方或将所选策略移至此策略下方。
或者,您也可以将当前选定的新策略建议行向上或向下拖动到所需的位置。
结果
安全策略建议成功发布后,它们在
选项卡中将处于只读模式。要查看和管理已发布的规则建议,请转到
。
重要说明: 在发布规则建议后,可视化继续将计算实体之间的受影响流量显示为橙色箭头(不受保护的流量),直到在受影响的计算实体之间生成新的流量。可视化仅根据在主机上发生的时间报告流量,而不反映在这些流量发生后发布的规则集。在发布规则集并生成新的流量后,新流量将显示为绿色箭头(允许的流量)。
