根据您在开始生成建议时选择的流量范围,建议服务作业选择来自选定建议边界的实体以及它们之间的未微分段输入(入站)、输出(出站)或应用程序内流量。
然后,这些流量通信时使用的服务(端口或协议)汇总这些流量。接下来,将特定服务的每个流量的源和目标划分在一起。在进行分组时,将尝试根据用户指定的匹配率阈值重用清单中已存在的现有组。
如果找不到可以满足设置的分组阈值要求的现有组,则会创建新的组。
根据您为为以下内容创建规则选项设置的值,在生成建议规则时,仅考虑特定方向的流量。如果流量的范围是所有流量、入站和出站流量或入站和应用程序内流量,则根据服务将这些方向的流量汇总在一起以组成规则。
以下面的流量为例。
使用虚拟机 1 和虚拟机 2 设置了边界
组:将虚拟机 1 和虚拟机 2 作为成员的 CG
组:将虚拟机 3 和虚拟机 4 作为成员的 G3
假设匹配阈值为 50%
未分段的流量如下所示。
使用 SSH 从虚拟机 3 到虚拟机 1
使用 SSH 从虚拟机 1 到虚拟机 2
以下是生成的微分段建议,这是 SSH 的单一规则。
新建源组 |
目标组 |
服务 |
适用的组 |
|---|---|---|---|
将虚拟机 1 和虚拟机 3 作为成员的组 |
将虚拟机 1 和虚拟机 2 作为成员的 CG |
SSH |
将虚拟机 1 和虚拟机 2 作为成员的组 CG |
如果流量来自配置的专用 IP 地址掩码外部,则与此类 IP 地址(未包含在专用 IP 前缀列表中)之间的流量将标记为“任意”。
请考虑以下未分段的流量。
使用 SSH 到虚拟机 1 的任意流量
使用 SSH 从虚拟机 1 到虚拟机 3 的流量
使用虚拟机 1 和虚拟机 2 设置了边界
定义的组是将虚拟机 1 和虚拟机 2 作为成员的 CG
在这种情况下,在汇总输入和输出流量时,它们变为使用 SSH 到虚拟机 1 的任意流量以及从虚拟机 1 到虚拟机 3 的流量。
结果,这会生成以下微分段规则。
源 |
目标 |
服务 |
应用对象 |
|---|---|---|---|
任意 |
CG 中的 [虚拟机 1],G3 中的 [虚拟机 3] |
SSH |
CG [虚拟机 1、虚拟机 2] |
所有规则始终仅应用于您在生成建议之前指定的建议边界的成员。使用汇总的原因是,减少根据服务生成的规则数。
