生成新的 NSX Intelligence 建议

NSX Intelligence 建议功能可为您提供建议，帮助您对应用程序进行微分段。

生成 NSX Intelligence 建议涉及应用程序的安全策略建议、策略安全组建议和服务建议。建议是根据 NSX-T Data Center 中的虚拟机 (VM) 和物理服务器之间的通信流量模式生成的。

您可以选择组或 100 个虚拟机和物理服务器的输入实体以生成建议，也可以选择组、虚拟机和物理服务器组合或现有安全策略的输入实体以生成建议。您可以选择作为输入的总虚拟机和物理服务器数不能超过 100 个输入实体。您可以在包含组、虚拟机或物理服务器的输入中使用的总有效虚拟机和物理服务器数不能超过 250 个输入实体。

例如，如果您选择 50 个虚拟机和 50 个物理服务器以作为建议输入实体的一部分，则只能选择总共具有不超过 150 个计算成员的组。

重要说明：

您只能为在策略模式下创建的安全组生成新的建议。安全组必须至少具有一种支持的成员类型，NSX Intelligence 功能才能开始为这些安全组执行建议分析。支持的成员类型包括虚拟机、物理服务器、虚拟网络接口 (Virtual Network Interface, VIF)、逻辑端口和逻辑交换机。如果安全组中存在至少一个受支持的成员类型，则建议分析可以继续，但在建议分析期间不会考虑不受支持的成员类型。

使用 NSX Intelligence 用户界面生成建议的方法有多种。以下过程介绍了几种可使用的方法。

前提条件

在 NSX Application Platform 上激活 NSX Intelligence 3.2 或更高版本功能。请参见激活和升级 VMware NSX Intelligence 3.2 文档。
确保您具有生成建议所需的权限。有关详细信息，请参见NSX Intelligence 中的基于角色的访问控制。

过程

从浏览器中，使用所需的特权登录到 NSX Manager (https://<nsx-manager-ip-address>)。

使用以下任一种方法启动新建议的生成过程。


启动位置	下一步
选择安全规划和故障排除 > 建议。	单击启动新的建议。
对于组建议，请选择安全规划和故障排除 > 发现并执行操作。	确认在安全视图选择区域中选择了组视图。右键单击要生成建议的组的节点。从下拉菜单中选择启动建议。
对于虚拟机或物理服务器建议，请选择安全规划和故障排除 > 发现并执行操作。	选择至少一个虚拟机或物理服务器，或者选择两者的组合。在安全视图选择区域中，单击组旁边的向下箭头，然后选择计算。单击显示所有类型，然后选择虚拟机或物理服务器。或者，从“可用项目”列表中选择特定的虚拟机或物理服务器。单击应用。单击流量栏左侧的建议魔法棒图标。选择为筛选出的计算资源启动建议。

在启动新的建议向导中，更改建议名称文本框的默认值。

提供一个名称，可以反映要对其执行分段的应用程序。该名称将用作建议分析期间所创建的所有建议组和规则的名称的前缀。
更改描述文本框的默认值，以便更轻松地回顾有关建议的信息。
定义或修改将作为安全策略建议边界的虚拟机或物理服务器。
1. 在范围内的选定实体中，单击选择实体。如果您已选择组、虚拟机或物理服务器，请单击选定实体数量的链接以修改当前选择的内容。
2. 在选择实体对话框中，单击组以选择一个或多个组（如果要包括这些组）。要选择希望作为分析边界的虚拟机或物理服务器，请单击虚拟机或物理服务器选项卡，然后进行选择。
  
  您可以选择组以及最多 100 个虚拟机或物理服务器，但不能超过用于建议边界的 250 个有效计算实体。取消选择不希望包含的组、虚拟机或物理服务器。您也可以单击筛选器，然后选择属性以用于筛选您希望选择的组、虚拟机或物理服务器。
3. 单击保存。
4. （可选） 如果系统发现现有的分布式防火墙 (DFW) 区域与您在上一步中选择的组相关联，请在选择分布式防火墙区域对话框中选择是要使用现有的分布式防火墙 (DFW) 区域还是创建新的分布式防火墙区域。单击保存。
  
  在启动新的建议向导中，范围内的选定实体文本框中的数量链接指示您选择的实体数。
  
  如果您在建议分析期间选择使用现有的分布式 DFW 区域，系统将在范围内的选定实体文本框中指示该区域。
在时间范围文本框中，可以选择更改用于生成建议的默认值。

默认时间范围值为过去 1 个月。在建议分析期间，将使用在选定的虚拟机或物理服务器之间或一组虚拟机或物理服务器之间发生的网络流量。要从中选择的其他值包括过去 1 小时、过去 12 小时、过去 24 小时、过去 1 周、过去 2 周或过去 1 个月。
如有必要，请展开高级选项部分并修改分配的默认值。

如果您没有使用现有的 DFW 区域，则可以修改分配的默认值。如果您选择使用现有的 DFW 区域，则该部分中显示的值是从该现有 DFW 区域中获取的。
1. 在为以下内容创建规则下拉菜单中，选择要在建议分析中考虑的流量类型。默认值为 All Traffic。
  - 入站和出站流量 - 考虑从应用程序边界内部到边界外部以及从应用程序边界外部到边界内部的所有流量类型。
  - 入站流量 - 仅考虑来自应用程序边界外部的流量。
  - 所有流量 - 考虑所有出站、入站和应用程序内部流量类型。
  - 入站和应用程序内流量 - 考虑来自应用程序边界外部的所有流量类型和应用程序内流量。
2. 从默认规则下拉菜单中，选择一种连接策略以用于为安全策略创建默认规则。将根据连接策略值在规则上设置相应的操作。默认值为无。
  - 拒绝列表 - 创建默认允许规则。
  - 允许列表 - 创建默认丢弃规则。
  - 无 - 不创建默认规则。
3. 如有必要，请更改建议输出的默认值。
  
  基于计算是使用的默认输出模式。该模式意味着，建议引擎生成的 DFW 策略建议包含成员为虚拟机和/或物理服务器的组。如果选择基于 IP 建议输出模式，则生成的 DFW 策略建议包含成员为具有一组静态 IP 地址的 IPSet 对象的组。基于 IP 的建议未与虚拟机紧密绑定。如果删除一个虚拟机并将其 IP 地址分配给新的虚拟机，则会将新虚拟机分配给同一组。也会对新虚拟机应用组的 DFW 策略。
4. 如有必要，请更改建议服务类型的值。
  
  默认类型为 L4 服务，它由相应的第 4 层端口和协议组成。或者，您也可以为第 7 层上下文配置文件选择 L7 上下文配置文件。
5. 更改组重用阈值的默认值，以指定您认为在生成规则建议时适合使用的值。
  
  您可以将阈值百分比值设置为 10 到 100。该值指定系统重用组以涵盖未进行微分段的检测流量的严格程度。可以使用该值控制是应重用现有的组，还是创建新的组。组重用功能适用于任何具有现有安全策略或新安全策略的建议作业。
  
  将该值设置为 100 意味着，只能选择成员与系统尝试分组的计算实体完全相同的组以作为额外的规则源或目标。不过，使用较高的值可能会导致创建更多的新组，因为不太可能在修改的规则中重用现有的组。
  
  将该值设置为较低的值（例如 10 或 20）意味着，甚至可以选择具有无关成员（不是系统尝试分组的计算实体）的组以作为额外的规则源或目标。使用较低的值可能会导致重用大量的组，从而建议较少的新组。
6. 如有必要，请更改在排除流量文本框中选择的默认值，以指定要在建议分析期间排除的流量类型。
  
  从 NSX Intelligence 3.2.1 开始，可以使用此功能。默认值为广播流量和多播流量。这些流量类型与应用程序类别规则无关。排除广播流量和/或多播流量有助于优化 DFW 规则建议分析。
要开始建议分析，请单击启动发现。

建议是按顺序处理的。平均来说，完成每个建议可能需要 3 到 4 分钟，具体取决于是否还有其他待处理的建议。如果必须分析在虚拟机和物理服务器之间发生的大量流量，可能需要 10 到 15 分钟的时间才能生成建议。
建议表显示您启动的建议，如下图所示。
- 您可以在建议表的状态列中跟踪建议分析的状态。状态从正在等待变为正在进行发现，然后变为准备发布和已发布。如果系统不生成建议，则状态值设置为无可用建议。如果建议分析因某种原因而失败，则会显示失败状态。
- 输入实体列列出用于生成建议的实体。如果单击该列中的链接文本，则会在只读模式下显示选定实体对话框。
- 监控列指示对于用于生成建议的原始输入实体，是否要监控其更改。此功能适用于状态为准备发布、无可用建议或失败的建议。您可以打开或关闭监控按钮。在打开了该切换开关时，将每小时检查一次输入实体范围或连接策略变化。
- 如果使用的任何输入实体发生任何更改，将在准备发布、无可用建议或失败状态旁边显示检测到更改图标。您可以查看更改并重新运行建议。有关详细信息，请参见重新运行 NSX Intelligence 建议。
- 单击建议行最右侧的画布图标时，所选实体的可视化将显示在安全规划和故障排除 > 发现并执行操作用户界面下的图形画布中。如果显示的建议状态为已发布，在单击画布图标时，将在发现并执行操作图形画布中显示建议组。
当状态值为准备发布时，请查看生成的建议并决定是否发布该建议。请参见查看和发布生成的 NSX Intelligence 建议。