NSX-T 旨在处理具有异构端点和技术堆栈的新兴应用程序框架和架构。除了 vSphere 外,这些环境还可能包括其他 Hypervisor、容器、裸机和公有云。vRealize Network Insight 支持虚拟机由 vCenter 管理的 NSX-T 部署。
注意事项
- vRealize Network Insight 仅支持 vCenter 管理 ESXi 主机的 NSX-T 设置。
- vRealize Network Insight 支持 NS 组、NSX-T 防火墙规则、IPSet、NSX-T 逻辑端口、NSX-T 逻辑交换机和 NSX-T 分布式防火墙 IPFIX 流、分段、组以及基于策略的 VPN。
- vRealize Network Insight 支持 NSX-V 和 NSX-T 部署。在查询中使用 NSX 时,结果将包括 NSX-V 和 NSX-T 实体。NSX Manager 会列出 NSX-V Manager 和 NSX-T Manager。NSX 安全组会列出 NSX-T 和 NSX-V 安全组。如果使用 NSX-V 或 NSX-T 而不是 NSX,则仅显示这些实体。此逻辑同样适用于防火墙规则、IPSet 和逻辑交换机等实体。
- 通过使用 NSX-T 2.4 版本,vRealize Network Insight 支持 NSX 声明性策略管理,从而通过结果驱动的策略声明简化并自动化网络和安全配置。
注: 安全组的微分段基于 NSX 策略数据完成。但是,如果没有相应的 NSX 策略组,独立 NS 组将包含在微分段分析中。有关 NS 组的更多详细信息,请参见 NSX-T 产品文档。
将 NSX-T Manager 添加为数据源
- 必须至少具有只读特权。
- 必须在 vRealize Network Insight 中将与 NSX-T Manager 关联的所有 vCenter 都添加为数据源。
注: 如果在添加 vCenter 之前先添加 NSX-T Manager,则 vRealize Network Insight 大约需要 4 小时才能稳定下来。
- 确保在分布式防火墙 (DFW) 的排除列表中没有逻辑交换机。如果此列表中有任何逻辑交换机,则不会报告连接到这些逻辑交换机的任何虚拟机的流。
- 在帐户和数据源页面的设置下,单击添加源。
- 在选择帐户或数据类型页面的 VMware Manager 下,选择 VMware NSX-T Manager。
- 提供用户凭据。
注:
- 如果在一个 NSX-T 部署中有多个管理节点,则只能在 vRealize Network Insight 中将一个节点添加为数据源,或者使用这些节点的虚拟 IP (VIP)。如果添加多个管理节点,则 vRealize Network Insight 可能无法正常运行。
- 建议在将 NSX-T 作为数据源时使用 VIP。如果您添加管理节点 IP 而不是 VIP,并且稍后您要添加 VIP 或其他管理节点 IP,则必须删除现有数据源才能添加新的 VIP 或管理 IP。
- 确保可从收集器访问集群中的每个管理节点。
- 如果不需要 IPFIX,则用户必须是具有审核级别权限的本地用户。但是,如果需要 IPFIX,则用户必须具有以下权限之一:企业管理员、网络工程师或安全工程师。
注: 您必须使用 IP 地址或 FQDN 添加数据源。请勿同时使用 IP 地址和 FQDN 添加数据源。 - (可选) 选择启用 DFW IPFIX 以更新 NSX-T 上的 IPFIX 设置。选择此选项后,vRealize Network Insight 会接收来自 NSX-T 的 DFW IPFIX 流。有关启用 IPFIX 的详细信息,请参见启用 VMware NSX-T DFW IPFIX。
注:
- DFW IPFIX 在 NSX-T 的标准版本中不受支持。
- vRealize Network Insight 不支持 NSX-T 交换机 IPFIX 流。
- (可选) 如果要收集延迟衡量指标数据,则选中启用延迟衡量指标收集复选框。如果选中此选项,vRealize Network Insight 将接收来自 NSX-T 的延迟衡量指标,如 VTEP - VTEP、vNIC - pNIC、pNIC - vNIC、vNIC - vNIC。有关网络延迟的详细信息,请参见网络延迟统计信息。
注:
- 此选项仅适用于 NSX-T 2.5 及更高版本。
- VTEP - VTEP 可从 NSX-T 2.5 及更高版本中获得。
- vNIC - pNIC、pNIC - vNIC、vNIC - vNIC 可从 NSX-T 3.0.2 及更高版本中获得。
- 要启用延迟衡量指标收集,您必须具有企业管理员权限。
- 确保在收集器上打开端口 1991,以接收来自 ESXi 节点的延迟数据。
- 此选项仅适用于 NSX-T 2.5 及更高版本。
- (可选) 要启用从 NSX Intelligence 收集流,请选中启用 NSX Intelligence 复选框。
NSX Intelligence 提供应用程序层可见性,从而可深入检查数据包。接收来自 NSX Intelligence 的流后,可以查看 L7(应用程序层)信息,如应用程序 ID。
注: 要在 vRealize Network Insight 中启用 NSX Intelligence,必须部署 NSX Intelligence 设备。 vRealize Network Insight 支持 NSX Intelligence 1.2 与 NSX-T 3.1 及更高版本配合使用。NSX Intelligence 需要至少 12 分钟才能完成处理流信息并将其发送到 vRealize Network Insight。
注: 要启用从 NSX Intelligence 收集流,必须选中 启用 DFW IPFIX 复选框,因为 vRealize Network Insight 使用 DFW IPFIX 作为流的主要源。L7 信息不可用于丢弃的流,因为不受 NSX Intelligence 支持。
查询示例
以下是一些与 NSX-T 相关的查询示例:
查询 | 搜索结果 |
---|---|
NSX-T Manager where VC Manager=10.197.53.214 | 此特定 VC Manager 已添加为计算管理器的 NSX-T Manager。 |
NSX-T Logical Switch | 列出 vRealize Network Insight 实例中存在的所有 NSX-T 逻辑交换机。包括交换机是系统创建还是用户创建的相关详细信息。 |
NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch' | 列出属于该特定 NSX-T 逻辑交换机 DB-Switch 的 NSX-T 逻辑端口。 |
VMs where NSX-T Security Group = 'Application-Group' 或 VMs where NSGroup = ‘Application-Group’ |
列出该特定安全组 Application-Group 中的所有虚拟机。 |
NSX-T Firewall Rule where Action='ALLOW' | 列出其操作设置为 ALLOW 的所有 NSX-T 防火墙规则。 |
NSX-T Firewall Rule where Destination Security Group = ‘CRM-Group’ | 列出 CRM-Group 是目标安全组的防火墙规则。结果包括直接目标安全组和间接目标安全组。 |
NSX-T Firewall Rule where Direct Destination Security Group = ‘CRM-Group’ | 列出 CRM-Group 是目标安全组的防火墙规则。结果仅包括直接目标安全组。 |
VMs where NSX-T Logical Port = ‘App_Port-Id-1’ | 列出具有该特定 NSX-T 逻辑端口的所有虚拟机。 |
NSX-T Transport Zone | 列出 VLAN 和覆盖网络传输区域以及与其关联的相应详细信息(包括传输节点的类型)。
注:
vRealize Network Insight 不支持将 KVM 作为数据源。
|
NSX-T Router | 列出 TIER 1 和 TIER 0 路由器。单击结果中显示的路由器可查看与其关联的更多详细信息,包括 NSX-T Edge 集群和 HA 模式。 |
NSX Policy Segment | 列出 vRealize Network Insight 实例中存在的所有 NSX 策略分段。 |
NSX Policy Manager | 列出 vRealize Network Insight 实例中存在的所有 NSX Policy Manager。 |
NSX Policy Group | 列出 vRealize Network Insight 实例中存在的所有 NSX 策略组。 |
NSX Policy Firewall | 列出 vRealize Network Insight 实例中存在的所有 NSX 策略防火墙。 |
NSX Policy Firewall Rule | 列出 vRealize Network Insight 实例中存在的所有 NSX 策略防火墙规则。 |
NSX Policy Firewall Rule where Action = 'ALLOW' | 列出操作设置为 ALLOW 的所有 NSX 策略防火墙规则。 |
NSX Policy Based VPN | 列出 vRealize Network Insight 实例中存在的所有基于 NSX 策略的 VPN。 |
支持 NSX-T 衡量指标
实体 | 实体仪表板上的小组件 | 支持的 NSX-T 衡量指标 |
---|---|---|
逻辑交换机 | 逻辑交换机数据包衡量指标 逻辑交换机字节衡量指标 |
|
逻辑端口 | 逻辑端口数据包衡量指标 逻辑端口字节衡量指标 |
|
路由器接口 | 路由器接口衡量指标 |
|
防火墙规则 | 防火墙规则衡量指标 |
|
nsx-t logical switch where Rx Packet Drops > 0
此查询列出丢弃的已接收数据包计数大于 0 的所有逻辑交换机。
nsx-t logical port where Tx Packet Drops > 0
此查询列出丢弃的已传输数据包计数大于 0 的所有逻辑端口。
top 10 nsx-t firewall rules order by Connection count
此查询基于连接计数 (
Hit Count
) 列出前 10 个防火墙规则。
NSX-T 的安全规划
plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’通过执行以下步骤也可以获取相同的结果:
- 从导航侧边栏中选择 。
- 从下拉菜单中选择NSX-T L2 网络或 NSX 策略分段作为范围。