NSX-T 旨在处理具有异构端点和技术堆栈的新兴应用程序框架和架构。除了 vSphere 外,这些环境还可能包括其他 Hypervisor、容器、裸机和公有云。vRealize Network Insight 支持虚拟机由 vCenter 管理的 NSX-T 部署。

注意事项

  • vRealize Network Insight 仅支持 vCenter 管理 ESXi 主机的 NSX-T 设置。
  • vRealize Network Insight 支持 NS 组、NSX-T 防火墙规则、IPSet、NSX-T 逻辑端口、NSX-T 逻辑交换机和 NSX-T 分布式防火墙 IPFIX 流、分段、组以及基于策略的 VPN。
  • vRealize Network Insight 支持 NSX-V 和 NSX-T 部署。在查询中使用 NSX 时,结果将包括 NSX-V 和 NSX-T 实体。NSX Manager 会列出 NSX-V Manager 和 NSX-T Manager。NSX 安全组会列出 NSX-T 和 NSX-V 安全组。如果使用 NSX-V 或 NSX-T 而不是 NSX,则仅显示这些实体。此逻辑同样适用于防火墙规则、IPSet 和逻辑交换机等实体。
  • 通过使用 NSX-T 2.4 版本,vRealize Network Insight 支持 NSX 声明性策略管理,从而通过结果驱动的策略声明简化并自动化网络和安全配置。
    注: 安全组的微分段基于 NSX 策略数据完成。但是,如果没有相应的 NSX 策略组,独立 NS 组将包含在微分段分析中。有关 NS 组的更多详细信息,请参见 NSX-T 产品文档

将 NSX-T Manager 添加为数据源

以下是将 NSX-T Manager 添加为数据源的必备条件:
  • 必须至少具有只读特权。
  • 必须在 vRealize Network Insight 中将与 NSX-T Manager 关联的所有 vCenter 都添加为数据源。
    注: 如果在添加 vCenter 之前先添加 NSX-T Manager,则 vRealize Network Insight 大约需要 4 小时才能稳定下来。
  • 确保在分布式防火墙 (DFW) 的排除列表中没有逻辑交换机。如果此列表中有任何逻辑交换机,则不会报告连接到这些逻辑交换机的任何虚拟机的流。
要添加 NSX-T Manager,请执行以下操作:
  1. 帐户和数据源页面的设置下,单击添加源
  2. 选择帐户或数据类型页面的 VMware Manager 下,选择 VMware NSX-T Manager
  3. 提供用户凭据。
    注:
    • 如果在一个 NSX-T 部署中有多个管理节点,则只能在 vRealize Network Insight 中将一个节点添加为数据源,或者使用这些节点的虚拟 IP (VIP)。如果添加多个管理节点,则 vRealize Network Insight 可能无法正常运行。
    • 建议在将 NSX-T 作为数据源时使用 VIP。如果您添加管理节点 IP 而不是 VIP,并且稍后您要添加 VIP 或其他管理节点 IP,则必须删除现有数据源才能添加新的 VIP 或管理 IP。
    • 确保可从收集器访问集群中的每个管理节点。
    • 如果不需要 IPFIX,则用户必须是具有审核级别权限的本地用户。但是,如果需要 IPFIX,则用户必须具有以下权限之一:企业管理员网络工程师安全工程师
    注: 您必须使用 IP 地址或 FQDN 添加数据源。请勿同时使用 IP 地址和 FQDN 添加数据源。
  4. (可选) 选择启用 DFW IPFIX 以更新 NSX-T 上的 IPFIX 设置。选择此选项后,vRealize Network Insight 会接收来自 NSX-T 的 DFW IPFIX 流。有关启用 IPFIX 的详细信息,请参见启用 VMware NSX-T DFW IPFIX
    注:
    • DFW IPFIX 在 NSX-T 的标准版本中不受支持。
    • vRealize Network Insight 不支持 NSX-T 交换机 IPFIX 流。
  5. (可选) 如果要收集延迟衡量指标数据,则选中启用延迟衡量指标收集复选框。如果选中此选项,vRealize Network Insight 将接收来自 NSX-T 的延迟衡量指标,如 VTEP - VTEP、vNIC - pNIC、pNIC - vNIC、vNIC - vNIC。有关网络延迟的详细信息,请参见网络延迟统计信息
    注:
    • 此选项仅适用于 NSX-T 2.5 及更高版本。
      • VTEP - VTEP 可从 NSX-T 2.5 及更高版本中获得。
      • vNIC - pNIC、pNIC - vNIC、vNIC - vNIC 可从 NSX-T 3.0.2 及更高版本中获得。
    • 要启用延迟衡量指标收集,您必须具有企业管理员权限。
    • 确保在收集器上打开端口 1991,以接收来自 ESXi 节点的延迟数据。
  6. (可选) 要启用从 NSX Intelligence 收集流,请选中启用 NSX Intelligence 复选框。

    NSX Intelligence 提供应用程序层可见性,从而可深入检查数据包。接收来自 NSX Intelligence 的流后,可以查看 L7(应用程序层)信息,如应用程序 ID。

    注: 要在 vRealize Network Insight 中启用 NSX Intelligence,必须部署 NSX Intelligence 设备。 vRealize Network Insight 支持 NSX Intelligence 1.2 与 NSX-T 3.1 及更高版本配合使用。

    NSX Intelligence 需要至少 12 分钟才能完成处理流信息并将其发送到 vRealize Network Insight

    注: 要启用从 NSX Intelligence 收集流,必须选中 启用 DFW IPFIX 复选框,因为 vRealize Network Insight 使用 DFW IPFIX 作为流的主要源。

    L7 信息不可用于丢弃的流,因为不受 NSX Intelligence 支持。

查询示例

以下是一些与 NSX-T 相关的查询示例:

表 1. NSX-T 查询
查询 搜索结果
NSX-T Manager where VC Manager=10.197.53.214 此特定 VC Manager 已添加为计算管理器的 NSX-T Manager。
NSX-T Logical Switch 列出 vRealize Network Insight 实例中存在的所有 NSX-T 逻辑交换机。包括交换机是系统创建还是用户创建的相关详细信息。
NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch' 列出属于该特定 NSX-T 逻辑交换机 DB-Switch 的 NSX-T 逻辑端口。
VMs where NSX-T Security Group = 'Application-Group'

VMs where NSGroup = ‘Application-Group’
列出该特定安全组 Application-Group 中的所有虚拟机。
NSX-T Firewall Rule where Action='ALLOW' 列出其操作设置为 ALLOW 的所有 NSX-T 防火墙规则。
NSX-T Firewall Rule where Destination Security Group = ‘CRM-Group’ 列出 CRM-Group 是目标安全组的防火墙规则。结果包括直接目标安全组和间接目标安全组。
NSX-T Firewall Rule where Direct Destination Security Group = ‘CRM-Group’ 列出 CRM-Group 是目标安全组的防火墙规则。结果仅包括直接目标安全组。
VMs where NSX-T Logical Port = ‘App_Port-Id-1’ 列出具有该特定 NSX-T 逻辑端口的所有虚拟机。
NSX-T Transport Zone 列出 VLAN 和覆盖网络传输区域以及与其关联的相应详细信息(包括传输节点的类型)。
注: vRealize Network Insight 不支持将 KVM 作为数据源。
NSX-T Router 列出 TIER 1 和 TIER 0 路由器。单击结果中显示的路由器可查看与其关联的更多详细信息,包括 NSX-T Edge 集群和 HA 模式。
表 2. NSX 策略查询
NSX Policy Segment 列出 vRealize Network Insight 实例中存在的所有 NSX 策略分段。
NSX Policy Manager 列出 vRealize Network Insight 实例中存在的所有 NSX Policy Manager。
NSX Policy Group 列出 vRealize Network Insight 实例中存在的所有 NSX 策略组。
NSX Policy Firewall 列出 vRealize Network Insight 实例中存在的所有 NSX 策略防火墙。
NSX Policy Firewall Rule 列出 vRealize Network Insight 实例中存在的所有 NSX 策略防火墙规则。
NSX Policy Firewall Rule where Action = 'ALLOW' 列出操作设置为 ALLOW 的所有 NSX 策略防火墙规则。
NSX Policy Based VPN 列出 vRealize Network Insight 实例中存在的所有基于 NSX 策略的 VPN。
注: 如果将 NSX-T 2.4 和 VMware Cloud (VMC) 添加为 vRealize Network Insight 中的数据源,那么要获取 NSX-T 实体,您必须在查询中添加 SDDC type = ONPREM 筛选器。例如, NSX Policy Based VPN where Tier0 = ‘’ and SDDC Type = ‘ONPREM’

支持 NSX-T 衡量指标

下表显示了当前支持 NSX-T 衡量指标的 vRealize Network Insight 实体,以及在相应实体仪表板上显示这些衡量指标的小组件。
实体 实体仪表板上的小组件 支持的 NSX-T 衡量指标
逻辑交换机

逻辑交换机数据包衡量指标

逻辑交换机字节衡量指标

Multicast and Broadcast Rx

Multicast and Broadcast Tx

Unicast Rx

Unicast Tx

Dropped Rx

Dropped Tx

Rx Packets (Total)

Tx Packets (Total)

逻辑端口

逻辑端口数据包衡量指标

逻辑端口字节衡量指标

Multicast and Broadcast Rx

Multicast and Broadcast Tx

Unicast Rx

Unicast Tx

Rx Packets (Total)

Tx Packets (Total)

路由器接口

路由器接口衡量指标

Rx Packets

Tx Packets

Dropped Rx Packets

Dropped Tx Packets

Rx Bytes

Tx Bytes

防火墙规则

防火墙规则衡量指标

Hit Count

Flow Bytes

Flow Packets

以下是一些有关 NSX-T 衡量指标的查询示例:
  • nsx-t logical switch where Rx Packet Drops > 0

    此查询列出丢弃的已接收数据包计数大于 0 的所有逻辑交换机。

  • nsx-t logical port where Tx Packet Drops > 0

    此查询列出丢弃的已传输数据包计数大于 0 的所有逻辑端口。

  • top 10 nsx-t firewall rules order by Connection count

    此查询基于连接计数 (Hit Count) 列出前 10 个防火墙规则。

NSX-T 的安全规划

要规划 NSX-T 网络的安全性,可以选择 NSX-T Layer2 网络作为范围,并使用以下查询:
plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’
通过执行以下步骤也可以获取相同的结果:
  1. 从导航侧边栏中选择规划和评估 > 安全规划
  2. 从下拉菜单中选择NSX-T L2 网络NSX 策略分段作为范围。
注: 范围中提供了 NSX-T 相关实体,如 NSX-T L2 网络NSX 策略分段。您可以使用这些与 NSX-T 相关的实体进行安全规划。