NSX Intelligence 建议功能可为您提供建议,帮助您对应用程序进行微分段。

生成 NSX Intelligence 建议涉及应用程序的安全策略建议、策略安全组建议和服务建议。NSX Intelligence 将根据 NSX 环境中虚拟机 (VM) 和物理服务器之间的通信流量模式生成策略建议。

您可以选择组或 100 个虚拟机和物理服务器的输入实体以生成 NSX Intelligence 建议,也可以选择组、虚拟机和物理服务器组合或现有安全策略的输入实体以生成建议。您可以选择作为输入的总虚拟机和物理服务器数不能超过 100 个输入实体。您可以在包含组、虚拟机或物理服务器的输入中使用的总有效虚拟机和物理服务器数不能超过 250 个输入实体。

例如,如果您选择 50 个虚拟机和 50 个物理服务器以作为建议输入实体的一部分,则只能选择总共具有不超过 150 个计算成员的组。

重要说明:

您只能为在策略模式下创建的安全组生成新的建议。安全组必须至少具有一种支持的成员类型,NSX Intelligence 功能才能开始为这些安全组执行建议分析。支持的成员类型包括虚拟机、物理服务器、虚拟网络接口 (Virtual Network Interface, VIF)、逻辑端口和逻辑交换机。如果安全组中存在至少一个受支持的成员类型,则建议分析可以继续,但在建议分析期间不会考虑不受支持的成员类型。

使用 NSX Intelligence 用户界面生成建议的方法有多种。以下过程介绍了几种可使用的方法。

前提条件

  • NSX Application Platform 3.2 或更高版本上激活 NSX Intelligence 3.2 或更高版本。请参见激活和升级 VMware NSX Intelligence 3.2 或更高版本文档。

  • 确保您具有生成建议所需的特权。有关更多信息,请参见NSX Intelligence 中的基于角色的访问控制

过程

  1. 从 Web 浏览器中,使用所需的特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>
  2. 使用以下任一种方法启动新建议的生成过程。

    启动位置

    下一步

    选择安全规划和故障排除 > 建议

    单击启动新的建议

    选择安全规划和故障排除 > 发现并执行操作
    1. 单击位于流量栏左侧的“建议”图标 “建议”图标

    2. 选择启动建议

    对于针对一个或多个组的建议,请选择安全规划和故障排除 > 发现并执行操作

    1. 确认在安全视图选择区域中选择了视图。

    2. 右键单击要生成建议的组的节点。或者,使用选择图标 选择图标 选择一个或多个组节点。

    3. 右键单击所选节点之一,然后从下拉菜单中选择启动建议

      或者,如果使用选择图标 选择图标 进行选择,请单击选定面板中的建议图标 建议图标

    对于虚拟机或物理服务器建议,请选择安全规划和故障排除 > 发现并执行操作

    选择至少一个虚拟机或物理服务器,或者选择两者的组合。

    1. 安全视图选择区域中,单击旁边的向下箭头,然后选择计算

    2. 单击全部,然后从“可用项目”列表中选择特定的虚拟机、特定的物理服务器或两者的组合。或者,单击所有 > 显示所有类型,然后从下拉菜单中选择虚拟机物理服务器

    3. 单击应用

    4. 单击位于流量栏左侧的“建议”图标 “建议”图标

    5. 选择为筛选出的计算资源启动建议

      或者,如果使用选择图标 选择图标 选择了计算实体节点,请单击选定面板中的建议图标 建议图标
    下图显示在启动新建议时使用的默认值。
    “启动新的建议”对话框图像,其中展开了“高级选项”部分

  3. 启动新的建议对话框中,更改建议名称文本框的默认值。

    提供一个名称,以反映要对其执行微分段的应用程序。该名称将在为建议分析期间创建的建议组和规则生成名称时使用。

  4. 更改描述文本框的默认值,以便更轻松地回顾有关建议的信息。
  5. 定义或修改将作为安全策略建议边界的虚拟机或物理服务器。
    1. 范围内的选定实体部分,单击选择实体。如果在启动新的建议之前已选择组、虚拟机或物理服务器,您可以单击选定的实体数量链接以修改当前选择的内容。
    2. 选择实体对话框中,要选择一个或多个希望包含的组,请单击。要选择希望作为分析边界的虚拟机或物理服务器,请单击虚拟机物理服务器选项卡,然后进行选择。

      您可以选择组以及最多 100 个虚拟机或物理服务器,但不能超过用于建议边界的有效计算实体总数(250 个)。取消选择您不希望包含的实体。您也可以单击筛选器,然后选择要用于筛选希望选择的组、虚拟机或物理服务器的属性。要取消选择任何当前选择的实体,请单击清除

    3. 单击保存
    4. (可选) 如果系统发现现有的分布式防火墙 (DFW) 区域与上一步中选择的组相关联,则会显示选择分布式防火墙区域对话框。如果要使用现有的 L4 或 L7 分布式防火墙 (DFW) 区域,请从列表中选择一个区域。如果您希望系统创建新的区域,请选择创建新的区域
    5. (可选) 单击保存

      系统将通过指示选定实体数量的链接来更新范围内的选定实体文本框。要修改您的选择,请单击这个指示数量的链接。

      如果您在建议分析期间选择使用现有的分布式 DFW 区域,系统将在范围内的选定实体文本框中指示该区域。

  6. (可选) 时间范围文本框中,更改显示的默认值。

    默认值为过去 1 个月。在建议分析期间,将使用选定的虚拟机或物理服务器之间或一组虚拟机或物理服务器之间在选定时间范围内发生的流量。可供选择的其他时间范围值包括过去 1 小时过去 12 小时过去 24 小时过去 1 周过去 2 周

  7. 展开高级选项部分。
  8. 输入选项子部分中,根据需要修改分配的默认值。

    如果您没有使用现有的 DFW 区域,则可以修改分配的默认值。如果您选择使用现有的 DFW 区域,则该部分中显示的值是从该现有 DFW 区域中获取的。

    1. 要分析的流量下拉菜单中,选择要在建议分析中考虑的流量类型。默认值为 All Traffic

      • 入站和出站流量 - 考虑从应用程序边界内部到边界外部以及从应用程序边界外部到边界内部的所有流量类型。

      • 入站流量 - 仅考虑来自应用程序边界外部的流量。

      • 所有流量 - 考虑所有出站、入站和应用程序内部流量类型。

      • 入站和应用程序内流量 - 考虑来自应用程序边界外部的所有流量类型和应用程序内流量。

    2. 协议和端口条件部分中,选择排除匹配任意以指定是要排除还是匹配在文本框中输入的任何端口、端口范围或协议。

      默认情况下,在建议分析期间使用环境中在指定时间范围内通过所有已知端口和协议发生的流量。要筛选在建议分析期间使用的流量,请输入最多 15 个单一端口、端口范围或协议条目的任意组合,您希望排除这些条目的流量或使用它们的流量匹配任何条目。例如,88, 90-98, TCP:100-111, UDP

    3. 排除流量部分中,指定要在建议分析期间排除的流量类型。
      默认情况下,将排除多播流量和广播流量。您可以单击流量类型名称旁边的 X,以取消选择一种或两种流量类型。
    4. 要从新建议分析中排除基础架构计算实体,请激活排除基础架构工作负载切换开关。

      激活此选项开关后,建议引擎会从建议分析中排除所有基础架构计算实体及其发生的流量。建议引擎不会重用包含基础架构实体的组。上下文输入不会发生更改,即使其中包含任何基础架构计算实体也是如此。不过,建议引擎不会建议在规则源或目标中具有任何基础架构计算实体的任何防火墙规则。

      有关更多信息,请参见在 NSX Intelligence 中管理计算实体分类

    5. 要考虑的其他规则部分中,可以选择指定一些规则,还应使用这些规则以确定哪些流量被视为未分段。
      默认情况下,建议引擎使用 SourceDestination具有 Any值的规则。

      如果希望在建议分析期间考虑更多规则,您可以从要考虑的规则类型下拉菜单中最多选择三种规则类型,或者从要考虑的其他规则下拉菜单中最多选择 5 个特定的规则。

      规则类型或特定规则 描述
      Source中具有ANY的规则

      如果选定,则将Source值为ANY的非默认规则视为默认规则。遇到这些规则的流量被视为未微分段。为了重用现有的区域,不会考虑修改这些额外的默认规则。
      Destination中具有ANY的规则

      如果选定,则将Destination值为ANY的非默认规则视为默认规则。遇到这些规则的流量被视为未微分段。为了重用现有的区域,不会考虑修改这些额外的默认规则。
      Service中具有ANY的规则

      如果选定,则将Service值为ANY的非默认规则视为默认规则。遇到这些规则的流量被视为未微分段。为了重用现有的区域,不会考虑修改这些额外的默认规则。
      特定规则 ID 或规则名称的列表

      该列表最多可以包含 5 个被视为额外默认规则的规则 ID 或规则名称。遇到默认规则和这些规则的流量被视为未微分段。为了重用现有的区域,不会考虑修改这些额外的默认规则。
  9. 启动新的建议部分对话框的输出选项子部分中,可以选择修改默认设置。
    1. 默认规则下拉菜单中,选择一种连接策略以用于为安全策略创建默认规则。根据您选择的连接策略值,将对规则设置相应的操作。默认值为

      • 拒绝列表 - 创建默认允许规则。

      • 允许列表 - 创建默认丢弃规则。

      • - 不创建默认规则。

    2. 如果您希望建议引擎创建并建议基于未微分段流量方向的更精细规则,请激活生成流量方向感知规则切换开关。
      在建议分析期间,不会将不同方向的未分段流量汇总在一起以建议新规则。建议的规则的源组和目标组由上下文配置文件成员或非上下文配置文件成员组成。建议边界是由在 启动新的建议对话框的 范围内的选定实体部分中选择的内容定义的。分析得出的 DFW 建议有助于确保没有外部实体具有允许规则以进入建议边界,除非存在从外部实体到具有指定建议边界的实体的明确流量。
    3. 如有必要,请更改建议输出的默认值。

      • 基于计算是使用的默认输出模式。该模式意味着,建议引擎生成的 DFW 策略建议包含成员为虚拟机和/或物理服务器的组。

      • 如果选择基于 IP 建议输出模式,则生成的 DFW 策略建议包含的组的成员是具有一组静态 IP 地址的 IP 集对象。基于 IP 的建议未与虚拟机紧密绑定。如果删除一个虚拟机并将其 IP 地址分配给新的虚拟机,则会将该新虚拟机分配给同一组。NSX Intelligence 还会将组的现有 DFW 策略应用于该新虚拟机。

    4. 更改计算组重用阈值的默认值,以指定您认为在生成规则建议时适合使用的值。

      您可以将阈值百分比值设置为 10 到 100。该值指定系统重用现有计算组(非 IP 集组)以涵盖未进行微分段的检测流量的严格程度。可以使用该值控制是重用现有的组,还是创建新的组。组重用功能适用于任何具有现有安全策略或新安全策略的建议作业。

      如果将该值设置为 100,则为建议选择的组不能具有任何无关的计算实体。组的计算成员不必与泄漏的计算实体相同。例如,如果泄漏的计算实体是 [虚拟机 1、虚拟机 2],G1 组将 [虚拟机 1] 作为成员,G2 组将 [虚拟机 2] 作为成员,则 G1 和 G2 的计算成员与泄漏的计算实体不相同,但可以同时选择这两个组以涵盖泄漏的 [虚拟机 1、虚拟机 2] 计算实体。

      不过,使用较高的值可能会导致创建更多的新组,因为不太可能在修改的规则中重用现有的组。

      将该值设置为较低的值(例如 10 或 20)意味着,甚至可以选择具有无关成员(不是系统尝试分组的计算实体)的计算组以作为额外的规则源或目标。使用较低的值可能会导致重用大量的组,从而建议较少的新组。

    5. 在建议分析期间,如果您希望建议引擎仅重用 IP 集与泄漏的 IP 的 IP 集相同的现有 IP 组,请停用部分 IPSet 组重用切换开关。
      默认情况下,将激活该切换开关。
    6. 如有必要,请更改建议服务类型的值。

      默认类型为 L4 服务,它由相应的传输层端口和协议组成。或者,也可以选择 L7 上下文配置文件,以指示您希望生成应用程序层协议规则建议。

      NSX Intelligence 4.1.1 版本开始,如果在对话框的范围内的选定实体区域中选择了现有的 L7 DFW 区域,则包含现有区域的 L7 规则建议。有关更多信息,请参见现有 DFW 区域的建议

  10. 要开始建议分析,请单击启动发现

    NSX Intelligence 按顺序处理提交的建议作业。平均来说,完成每次建议分析可能需要 3 到 4 分钟的时间,具体取决于是否具有仍在等待处理的建议作业。如果 NSX Intelligence 必须分析很多流量,生成建议可能需要 10 到 15 分钟的时间。

    建议表显示建议作业的状态。以下屏幕截图显示一个示例“建议”页面,其中显示一个等待处理的建议作业以及另一个准备发布的建议。准备发布的建议的展开行显示用于生成该 DFW 建议的详细信息。
    “建议”窗格的屏幕截图,其中展开了一个新生成的建议以显示详细信息。

    • 您可以在建议表的状态列中跟踪建议分析作业的状态。状态会从正在等待变为正在进行发现,然后变为准备发布已发布

      如果系统未生成建议,则将Status值设置为无可用建议。如果建议分析因某种原因而失败,则会显示失败状态。

      可以取消处于正在等待状态或正在进行发现状态的建议作业。单击操作菜单图标 “操作”菜单,然后选择取消发现

      取消建议作业会将该作业从建议队列中移除,并且其状态将更改为已取消发现。取消建议发现后,您可以在操作菜单中选择检查并重新运行,对之前的输入选择进行修改,然后重新提交建议分析作业。

      如果建议作业处于正在等待正在进行发现已取消发现状态,也可以从操作菜单中选择删除。删除建议作业将移除在启动建议分析之前所做选择的所有相关信息。

    • 输入实体列列出用于生成建议的实体。如果单击该列中的链接文本,则会在只读模式下显示选定实体对话框。您可以查看建议分析中包含的组及其成员,以及所有虚拟机。

    • 监控列指示对于用于生成建议的原始输入实体,是否要监控其更改。此功能适用于状态为准备发布无可用建议失败的建议。您可以将监控切换开关设置为“开”或“关”。在打开了该切换开关时,将每小时检查一次输入实体范围或连接策略变化。

    • 如果使用的任何输入实体发生任何变化,将在准备发布无可用建议失败状态旁边显示“检测到更改”图标 在用于建议分析的输入实体中检测到更改时显示的图标。您可以查看更改并重新运行建议。有关更多信息,请参见重新运行 NSX Intelligence 建议

    • 在单击建议行最右侧的画布图标 画布图标 时,将在安全规划和故障排除 > 发现并执行操作用户界面下面的图形画布中显示选定实体的可视化图形。如果显示的建议状态为已发布,在单击画布图标时,将在发现并执行操作图形画布中显示建议组。

  11. Status值为Ready to Publish时,查看生成的建议并确定是否发布该建议。有关更多信息,请参见查看和发布生成的 NSX Intelligence 建议