生成的 NSX Intelligence 建议达到准备发布状态后,您可以查看建议,根据需要进行修改,并决定是否发布该建议。

前提条件

过程

  1. 从浏览器中,使用所需的特权登录到 NSX Manager (https://<nsx-manager-ip-address>)。
  2. 单击安全规划和故障排除 > 建议
  3. (可选) 要帮助缩小显示的建议列表,请单击 UI 右上角的 筛选器。单击应用筛选器,然后从下拉菜单中选择一个或多个筛选器。

    例如,在单击应用筛选器后,选择基本详细信息 > 监控 > 开启以仅显示将监控参数设置为开启的建议。

  4. (可选) 如果您决定不使用生成的建议,请单击 “操作”菜单,然后选择删除
  5. 要开始查看和管理状态为准备发布的建议的详细信息,请单击建议名称的链接,或单击 “操作”菜单并选择检查并发布

    将显示类似于下图的建议向导。在查看建议窗格中,建议的详细信息将显示在拆分视图中。窗格的上半部分以图形格式显示建议可视化。窗格的下半部分以表格形式列出建议。


    由周围内容描述的“查看建议”窗格。

  6. 使用窗格的上半部分以检查建议图形可视化内容。

    您可以单击特定节点和流量箭头以查看建议详细信息。您可以指向两个组节点之间的流量箭头,以查看在组之间应用了哪些策略规则或创建了哪些服务。可以右键单击流量箭头以按相应策略规则筛选建议。

    边缘带有 建议的组图标 图标的节点表示,该节点是一个建议的组。您可以右键单击一个建议的组的节点,重命名该组或编辑属于该组的计算实体成员。您还可以右键单击一个组节点,然后选择筛选方式,以将当前组作为用于显示有关生成的建议的详细信息的筛选器。

    使用建议的图形视图所做的更改会反映在窗格下半部分的表格中。同样,对表格中的建议信息所做的更改会反映在图形可视化中。

  7. 查看建议窗格的下半部分,您可以使用建议表格视图以查看有关建议中包含的规则、组和服务的详细信息。可以使用用于建议的流选项卡以查看用于生成建议的未保护流量。

    您可以通过单击规则服务选项卡来检查和修改任何建议详细信息。

    建议的策略部分中,规则服务选项卡上显示了一些数字。这些数字表示建议的新规则、组和服务数量。在生成建议时,NSX 清单中不存在这些数字。例如,在上面的屏幕截图中,建议服务选项卡显示零个建议的服务。在生成建议时,组使用的服务在 NSX 清单中已存在。因此,不建议使用新的服务。

    将在规则表和图形可视化窗格中立即反映应用于规则选项卡中的规则的任何更改(例如,添加、删除或编辑规则或区域)。在“规则”表中,名称左侧带有新建标志的规则表示,这是新生成的规则,而不是与选定实体关联的已有 DFW 规则。如果使用现有的规则,但未对其进行任何更改,该规则的行将变灰。如果建议引擎修改了现有规则,该规则的行不会变灰,并且旁边没有“新建”标志。

    1. 要编辑目标应用对象列中的详细信息,请指向相应的列,然后单击编辑图标 编辑图标

      在出现的对话框(例如,设置源组)中,查看新建议的组或建议引擎生成的现有组。如果添加或移除组,请单击保存

    2. 如果要重命名建议的组,请在规则选项卡或选项卡中单击组名称的链接。在组详细信息对话框中,单击组定义,然后在名称文本框中键入建议的组的新名称。单击保存
    3. 要定义命中 DFW 规则时数据包的处理方式,请在操作列中选择允许丢弃拒绝
    4. 要激活或停用 DFW 规则,请切换操作列右侧的按钮。默认情况下,在发布建议时,生成的规则将被设置为 Activated
    5. 要查看有关建议中的组的详细信息,请单击选项卡。

      在删除某个组之前,请确保没有使用该组的规则。

    6. 单击成员列中的链接,以查看有关为组建议设置的虚拟机、IP 和物理服务器的详细信息。
    7. 单击组名称旁边的 “操作”菜单,然后选择编辑以修改组建议。
    8. 单击服务选项卡并查看详细信息。
    9. 单击服务名称旁边的 “操作”菜单,然后选择编辑以修改名称或描述。

      在删除服务之前,请确保没有使用该服务的规则。

    10. 单击行最右侧的齿轮图标 齿轮图标 以检查和管理用于生成建议的设置。
  8. 要继续发布建议,请单击继续

    或者,单击稍后继续以保存您所做的所有更改,并退出建议审查会话。

  9. 序列与发布窗格中,定义针对现有 DFW 规则应用新建议的安全策略的顺序。
    注:

    如果选择重用防火墙区域,则无法移动建议的策略并对其进行重新排序。只能重新排序建议的新策略。

    1. 选择新安全策略建议所在的行。
    2. 单击列出的新建议的安全策略行最左侧的“操作”菜单图标 “操作”菜单
    3. 要将新建议的安全策略的选定行移动到现有安全策略所在行的上方或下方,请选择将所选策略移至此策略上方将所选策略移至此策略下方

      或者,您也可以将当前选定的新策略建议行向上或向下拖动到所需的位置。

  10. 单击发布

    要停止查看建议,请单击取消

  11. 发布建议对话框中,单击
  12. 策略已发布对话框中,单击关闭以关闭该对话框,或者单击在分布式防火墙表中查看以在安全 > 分布式防火墙 > 所有规则选项卡中查看刚发布的安全策略。

    返回到安全规划和故障排除 > 建议窗格,刚发布的建议的状态列在建议表中已更改为已发布

结果

在成功发布安全策略建议后,它们在安全规划和故障排除 > 建议选项卡中处于只读模式。要查看和管理发布的规则建议,请转到安全 > 分布式防火墙

重要说明:

在发布规则建议后,可视化继续将计算实体之间的受影响流量显示为橙色箭头(不受保护的流量),直到在受影响的计算实体之间生成新的流量。可视化仅根据在主机上发生的时间报告流量,而不反映在这些流量发生后发布的规则集。在发布规则集并生成新的流量后,新流量将显示为绿色箭头(允许的流量)。