根据您在启动建议分析时选择的流量范围,NSX Intelligence 建议引擎选择来自指定建议边界的计算实体以及它们之间的未微分段输入(入站)流量、输出(出站)流量或应用程序内流量。

NSX Intelligence 建议引擎按照发生这些流量的服务(端口或协议条件)汇总这些流量。特定服务的每个流量的源和目标将划分在一起。在创建分组时,NSX Intelligence 建议引擎使用用户指定的匹配率阈值,并尝试重用 NSX 清单中存在的组,包括位于某个组的现有 IPSet 范围内的那些组。

如果 NSX Intelligence 建议引擎未找到可满足所设置的分组阈值要求的现有组,则会创建新的组以提供建议。

在生成建议时,NSX Intelligence 建议引擎会考虑您在要分析的流量选项中指定的流量类型。如果您选择了入站流量类型,则仅考虑来自应用程序边界外部的流量。如果您选择了“所有流量”、“入站和出站流量”或“入站和应用程序内流量”流量类型,则 NSX Intelligence 建议引擎会根据发生流量的服务将这些方向的流量汇总在一起以组成 DFW 规则建议。

以下列流量为例。

  • 使用虚拟机 1 和虚拟机 2 设置了边界

  • 组:将虚拟机 1 和虚拟机 2 作为成员的 CG

  • 组:将虚拟机 3 和虚拟机 4 作为成员的 G3

  • 假设匹配阈值为 50%

未分段的流量如下所示。

  • 使用 SSH 从虚拟机 3 到虚拟机 1

  • 使用 SSH 从虚拟机 1 到虚拟机 2

以下是生成的微分段建议,这是 SSH 的单一规则。

源组

目标组

服务

适用的组

G3 + CG(重用的现有组)

将虚拟机 1 和虚拟机 2 作为成员的 CG

SSH

将虚拟机 1 和虚拟机 2 作为成员的组 CG

如果流量来自配置的专用 IP 地址掩码外部,则与此类 IP 地址(未包含在专用 IP 前缀列表中)之间的流量将标记为“任意”。

请考虑以下未分段的流量。

  • 使用 SSH 到虚拟机 1 的任意流量

  • 使用 SSH 从虚拟机 1 到虚拟机 3 的流量

  • 使用虚拟机 1 和虚拟机 2 设置了边界

  • 定义的组是将虚拟机 1 和虚拟机 2 作为成员的 CG

在这种情况下,在汇总输入和输出流量时,它们变为使用 SSH 从虚拟机 1 到虚拟机 2 和虚拟机 3 的任意流量。

结果,这会生成以下微分段规则。

目标

服务

应用对象

任意

CG 中的 [虚拟机 1],G3 中的 [虚拟机 3]

SSH

CG [虚拟机 1、虚拟机 2]
注:

所有规则始终仅应用于您在生成建议之前指定的建议边界的成员。使用汇总的原因是,减少根据发生流量的服务生成的 DFW 规则数。

现有 DFW 区域的建议

如果您在建议边界范围内选择的实体与任何现有的分布式防火墙区域相关联,并且您在选择分布式防火墙区域对话框中选择了使用现有区域选项,则 NSX Intelligence 建议引擎在执行建议分析时会包含这些现有的 DFW 区域。DFW 建议涉及更新现有规则的源字段和目标字段,以正确对流入和流出与指定 DFW 区域范围匹配的计算工作负载的任何泄漏流量进行微分段。

以前,支持仅提供了对现有 DFW 区域中现有 L4 规则的更新。从 NSX Intelligence 4.1.1 开始,还支持更新与您指定的建议边界范围内的实体关联的现有 DFW 区域中的现有 L7 规则。

要使用该新功能,您必须在启动新的建议对话框的建议服务类型部分中选择 L7 上下文配置文件选项。

以下信息描述了在选择 L7 上下文配置文件选项时发生的情况:在检测到泄漏的流量时, NSX Intelligence 建议引擎会创建规则或组或者修改现有的规则。
  1. 所有现有的规则用于匹配泄漏的流量,并且 NSX Intelligence 建议引擎会尝试将这些流量与规则中的相同 portprotocolapp_id 值进行匹配。具有非零 app_id 的流量的采样保留为泄漏流量的一部分。将筛选掉 app_id 值等于 0 或为空的流量的采样。
  2. 在规则的源或目标匹配时,将使用这些规则。首选项是使用仅需要更新一端的规则。如果找不到这种规则,则选择需要更新源和目标的规则。
    1. 对于那些具有 app_id 值的流量,如果匹配并选择了现有的规则,则使用 L7 规则。
    2. 对于那些没有 app_id 值的流量,如果匹配并选择了现有的规则,则该规则不能包含任何上下文配置文件。NSX Intelligence 建议作业仅更改该规则中的源和目标。
  3. 如果未找到现有规则,则会创建新规则。
    1. 对于具有 app_id 值的流量,如果可以使用与流量关联的 app_id 值确定上下文配置文件详细信息,则会创建包含上下文配置文件的新规则。否则,将创建新的 L4 规则,因为 NSX Intelligence 建议引擎不会创建新的上下文配置文件。
    2. 对于没有 app_id 值的流量,NSX Intelligence 建议引擎会创建与这些流量匹配的新 L4 规则。
  4. 如果 NSX Intelligence 建议引擎发现一个需要修改的现有规则(即,找到匹配的源/目标端),则会修改不匹配端,以包括具有检测到泄漏流量的计算实体的组(新组或重用的组)。
  5. 修改规则的不匹配端以包括基于以下选择条件的组:
    1. 查找泄漏的虚拟机的最大匹配项以选择一个组。它可能是部分匹配,其中组可能包括流量中未涉及的其他计算实体。可能会选择多个组。先按最高匹配率选择组,然后按最多匹配计数选择组,最后按最近的创建时间选择组(优先选择最近创建的组),直到无法再选择其他组或涵盖了所有泄漏。
    2. 如果计算实体未与任何组关联,则会创建新组以容纳这些计算实体。如果匹配比率小于指定的组重用阈值,则即使现有组中存在计算实体,也会为计算实体创建新组。
  6. 修改规则以将选定的组包括在源或目标中。
  7. 如果未检测到泄漏的流量,这意味着当前现有规则涵盖选定时间段内的所有流量,则不建议使用新的 DFW 规则。
  8. 如果需要修改现有 DFW 规则,并且它是包含上下文配置文件的 L7 规则,则上下文配置文件将保留在此 DFW 规则中。
注:

如果作为输入提供的 DFW 区域已具有一些规则,并且建议的新 DFW 规则可能超过每个区域 1000 个规则的限制,NSX Intelligence 建议作业状态将设置为失败。因此,无法发布 DFW 规则建议。您必须提供一个具有足够空间以添加建议的规则的区域。