NSX-T wurde entwickelt, um auf die neuen Anwendungs-Frameworks und -Architekturen einzugehen, die über heterogene Endpoints und Technologie-Stacks verfügen. Zusätzlich zu vSphere können diese Umgebungen auch andere Hypervisor, Container, Bare Metal und Public Clouds enthalten.
VMware Aria Operations for Networks unterstützt NSX-T-Bereitstellungen, bei denen die VMs von VMware vCenter verwaltet werden.
Überlegungen
- VMware Aria Operations for Networks unterstützt nur die NSX-T-Einrichtungen, in denen VMware vCenter die ESXi-Hosts verwaltet.
- VMware Aria Operations for Networks unterstützt NSGroups, NSX-T-Firewallregeln, IPSets, logische Ports und logische Switches von NSX-T sowie verteilte NSX-T-Firewall-IPFIX-Flows, Segment, Gruppe und Richtlinie auf der Basis des VPN.
- VMware Aria Operations for Networks unterstützt sowohl NSX-V als auch NSX-T-Bereitstellungen. Wenn Sie NSX in Ihren Abfragen verwenden, enthalten die Ergebnisse sowohl NSX-V- als auch NSX-T-Einheiten. NSX Manager enthält sowohl NSX-V- als auch NSX-T Manager. NSX-Sicherheitsgruppen enthalten sowohl NSX-T- als auch NSX-V-Sicherheitsgruppen. Wenn NSX-V oder NSX-T anstelle von NSX verwendet wird, werden nur diese Einheiten angezeigt. Dieselbe Logik gilt für Einheiten wie z. B. Firewallregeln, IPSets und logische Switches.
- Mit der Version NSX-T 2.4 unterstützt VMware Aria Operations for Networks die deklarative Richtlinienverwaltung von NSX, die Netzwerk- und Sicherheitskonfigurationen über ergebnisgesteuerte Richtlinienanweisungen vereinfacht und automatisiert.
Hinweis: Die Mikrosegmentierung für die Sicherheitsgruppe erfolgt auf der Grundlage der Daten der NSX-Richtlinie. Wenn jedoch keine entsprechende NSX-Richtliniengruppe vorhanden ist, ist die eigenständige NS-Gruppe in der Mikrosegmentierungsanalyse enthalten. Weitere Informationen zur NS-Gruppe finden Sie in der NSX-T-Produktdokumentation.
- Stellen Sie sicher, dass Sie in einer NSX-T Federation-Einrichtung nur lokale Benutzer hinzufügen.
Voraussetzungen
- Sie benötigen mindestens das Recht Nur Lesen.
- Sie müssen alle VMware vCenter, die NSX-T Manager zugeordnet sind, als Datenquellen in VMware Aria Operations for Networks hinzufügen.
Hinweis: Wenn Sie vor dem Hinzufügen des VMware vCenter NSX-T Manager hinzufügen, benötigt VMware Aria Operations for Networks etwa vier Stunden für die Stabilisierung.
- Stellen Sie sicher, dass in der Ausschlussliste der verteilten Firewall (Distributed Firewall, DFW) keine logischen Switches vorhanden sind. Wenn in dieser Liste logische Switches vorhanden sind, werden für keine der VMs Flows gemeldet, die mit diesen logischen Switches verknüpft sind.
Verfahren
- Navigieren Sie zu .
- Wählen Sie unter VMware-Manager die Option VMware NSX-T Manager aus.
- Geben Sie die Anmeldedaten an.
Option Aktion Collector-VM Wählen Sie eine Collector-VM aus dem Dropdown-Menü aus. IP-Adresse/FQDN Geben Sie die IPv4-Verwaltungsadresse oder die FQDN-Details ein. Hinweis: Derzeit unterstützt VMware Aria Operations for Networks keine IPv6-NSX-T-Verwaltungsadressen.Authentifizierungsmethode Wählen Sie die Authentifizierungsmethode im Dropdown-Menü aus. Benutzername/Kennwort Geben Sie den Benutzernamen und das Kennwort ein. Zertifikat (Prinzipalidentität) - Zertifikat: Klicken Sie auf Durchsuchen und laden Sie das Prinzipalidentitätszertifikat hoch.
- Privater Schlüssel: Klicken Sie auf Durchsuchen und laden Sie den privaten Schlüssel der Prinzipalidentität hoch.
Hinweis: VMware Aria Operations for Networks unterstützt keinen verschlüsselten privaten Prinzipalidentitätsschlüssel.
Hinweis:- Wenn Sie mehrere Verwaltungsknoten in einer einzelnen NSX-T-Bereitstellung haben, müssen Sie nur einen Knoten als Datenquelle in VMware Aria Operations for Networks hinzufügen oder die virtuelle IP (VIP) (dieser Knoten) verwenden. Wenn Sie mehr als einen Verwaltungsknoten hinzufügen, funktioniert VMware Aria Operations for Networks möglicherweise nicht ordnungsgemäß.
- Stellen Sie sicher, dass Sie eine VIP verwenden, wenn Sie NSX-T als Datenquelle hinzufügen. Wenn Sie eine Verwaltungsknoten-IP anstelle einer VIP hinzufügen, und später eine VIP- oder eine andere Verwaltungsknoten-IP hinzufügen möchten, müssen Sie die vorhandene Datenquelle löschen, um die neue VIP oder Verwaltungs-IP hinzuzufügen.
- Stellen Sie sicher, dass jeder Verwaltungsknoten im Cluster über den Collector erreichbar ist.
- Wenn IPFIX nicht erforderlich ist, muss der Benutzer ein lokaler Benutzer mit Berechtigungen für die Überwachungsebene sein. Wenn IPFIX erforderlich ist, muss der Benutzer über eine der folgenden Berechtigungen verfügen: enterprise_admin, network_engineer oder security_engineer.
Hinweis: Sie müssen die Datenquelle entweder mithilfe der IP-Adresse oder des FQDN hinzufügen. Fügen Sie die Datenquelle nicht unter Verwendung der IP-Adresse und des FQDN hinzu. - Klicken Sie auf Validieren.
- (Optional) Klicken Sie auf DFW-IPFIX aktivieren, um die IPFIX-Einstellungen von NSX-T zu aktualisieren. Wenn Sie diese Option auswählen, empfängt VMware Aria Operations for Networks DFW-IPFIX-Flows von NSX-T. Weitere Informationen zum Aktivieren von IPFIX finden Sie unter Aktivieren von VMware NSX-T DFW IPFIX.
Hinweis:
- DFW IPFIX wird in der Standard Edition von NSX-T nicht unterstützt.
- VMware Aria Operations for Networks unterstützt keine IPFIX-Flows für NSX-T-Switches.
- (Optional) Für die Erfassung von Latenzmetrikdaten aktivieren Sie das Kontrollkästchen Erfassung von Latenzmetrik aktivieren. Wenn Sie diese Option auswählen, empfängt VMware Aria Operations for Networks Latenzmetriken, wie z. B. VTEP zu VTEP, vNIC zu pNIC, pNIC zu vNIC, vNIC zu vNIC, von NSX-T. Weitere Informationen zur Netzwerklatenz finden Sie unter Netzwerklatenzstatistiken.
Hinweis:
- Diese Option ist nur für NSX-T 2.5 und höher verfügbar.
- VTEP zu VTEP ist für NSX-T 2.5 und höher verfügbar.
- vNIC zu pNIC, pNIC zu vNIC und vNIC zu vNIC sind für NSX-T 3.0.2 und höher verfügbar.
- Zum Aktivieren der Latenzmetrikerfassung müssen Sie über die Berechtigung enterprise_admin verfügen.
- Stellen Sie sicher, dass Port 1991 auf dem Collector geöffnet ist, um die Latenzdaten vom ESXi-Knoten zu empfangen.
- Diese Option ist nur für NSX-T 2.5 und höher verfügbar.
- (Optional) Um die Flow-Erfassung von NSX Intelligence zu aktivieren, aktivieren Sie das Kontrollkästchen NSX Intelligence aktivieren.
NSX Intelligence bietet Deep Packet Inspection mit Sichtbarkeit auf der Anwendungsebene. Nach dem Empfang von NSX Intelligence-Flows können Sie L7-Informationen (Anwendungsebene) wie z. B. die App-ID sehen.
Hinweis: Um NSX Intelligence in VMware Aria Operations for Networks zu aktivieren, müssen Sie die NSX Intelligence-Appliance bereitstellen. VMware Aria Operations for Networks unterstützt NSX Intelligence 1.2 mit NSX-T 3.1 und höher.NSX Intelligence benötigt mindestens 12 Minuten, um die Flow-Informationen zu verarbeiten und an VMware Aria Operations for Networks zu senden.
Hinweis: Um die Flow-Erfassung über NSX Intelligence zu aktivieren, müssen Sie das Kontrollkästchen DFW IPFIX aktivieren auswählen, da DFW IPFIX von VMware Aria Operations for Networks als primäre Quelle für Flows verwendet wird.L7-Informationen stehen für verworfene Flows nicht zur Verfügung, da sie von NSX Intelligence nicht unterstützt werden.
- Geben Sie im Textfeld Tags (Optional) für das Schlüssel-Wert-Paar einen Schlüssel und einen Wert ein.
Das Schlüssel-Wert-Paar kann ein beliebiger Text sein. Sie können beispielsweise layer access als Schlüssel-Wert-Paar verwenden, wobei layer der Schlüssel und access der Wert ist.
- Um das Tag in allen verknüpften Einheiten anzuwenden, aktivieren Sie das Kontrollkästchen Obige Tag-Vorgänge auf alle verknüpften Einheiten anwenden. Weitere Informationen zu verknüpften Einheiten finden Sie unter Arbeiten mit lokalen Tags.
Wenn Sie das Kontrollkästchen Obige Tag-Vorgänge auf alle verknüpften Einheiten anwenden deaktivieren, werden die zugewiesenen Tags aus allen verknüpften Einheiten entfernt.
- Um das Tag in allen verknüpften Einheiten anzuwenden, aktivieren Sie das Kontrollkästchen Obige Tag-Vorgänge auf alle verknüpften Einheiten anwenden. Weitere Informationen zu verknüpften Einheiten finden Sie unter Arbeiten mit lokalen Tags.
- Geben Sie im Textfeld „Spitzname“ einen Spitznamen ein.
- Fügen Sie im Textfeld „Hinweise“ (optional) bei Bedarf einen Hinweis hinzu.
- Klicken Sie auf Absenden.
Hinweis: Für NSX-T Version 4.x bietet VMware Aria Operations for Networks keine Unterstützung für einen VM-VM-Pfad für die Verbundbereitstellung und keine Unterstützung für VMware Aria Operations for Networks Assurance and Verification.
Beispiele für Abfragen
Im Folgenden finden Sie einige Beispiele für Abfragen im Zusammenhang mit NSX-T:
Abfragen | Suchergebnisse |
---|---|
NSX-T Manager where VC Manager=10.197.53.214 | NSX-T Manager, bei dem dieser bestimmte VC Manager als Compute Manager hinzugefügt wurde. |
NSX-T Logical Switch | Listet alle logischen NSX-T-Switches auf, die in der Instanz von VMware Aria Operations for Networks vorhanden sind, einschließlich Details dazu, ob es sich um einen vom System von einem Benutzer erstellten Switch handelt. |
NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch' | Enthält die logischen NSX-T-Ports, die zu diesem speziellen logischen NSX-T-Switch, DB-Switch, gehören. |
VMs where NSX-T Security Group = 'Application-Group' Or VMs where NSGroup = 'Application-Group' |
Enthält alle VMs in dieser bestimmten Sicherheitsgruppe, Application-Group. |
NSX-T Firewall Rule where Action='ALLOW' | Enthält alle NSX-T-Firewallregeln, deren Aktion als „ALLOW“ festgelegt ist. |
NSX-T Firewall Rule where Destination Security Group = 'CRM-Group' | Enthält Firewallregeln, bei denen CRM-Group die Zielsicherheitsgruppe ist. Die Ergebnisse beinhalten sowohl direkte Zielsicherheitsgruppen als auch indirekte Zielsicherheitsgruppen. |
NSX-T Firewall Rule where Direct Destination Security Group = 'CRM-Group' | Enthält Firewallregeln, bei denen CRM-Group die Zielsicherheitsgruppe ist. Die Ergebnisse beinhalten nur die direkten Zielsicherheitsgruppen. |
VMs where NSX-T Logical Port = 'App_Port-Id-1' | Enthält alle VMs, die über diesen speziellen logischen NSX-T-Port verfügen. |
NSX-T Transport Zone | Enthält das VLAN und die Overlay-Transportzone sowie die entsprechenden zugehörigen Details, einschließlich des Typs des Transportknotens.
Hinweis:
VMware Aria Operations for Networks bietet keine Unterstützung für KVM als Datenquelle.
|
NSX-T Router | Enthält die Router der Tier 1 und Tier 0. Klicken Sie auf den in den Ergebnissen angezeigten Router, um weitere Details dazu anzuzeigen, einschließlich des NSX-T-Edge-Clusters und des HA-Modus. |
NSX-Richtliniensegment | Listet alle NSX-Richtliniensegmente auf, die in der Instanz von VMware Aria Operations for Networks vorhanden sind. |
NSX Policy Manager | Listet alle NSX Policy Manager-Instanzen auf, die in der Instanz von VMware Aria Operations for Networks vorhanden sind. |
NSX Policy Group | Listet alle NSX-Richtliniengruppen auf, die in der Instanz von VMware Aria Operations for Networks vorhanden sind. |
NSX Policy Firewall | Listet alle Firewalls der NSX-Richtlinie auf, die in der Instanz von VMware Aria Operations for Networks vorhanden sind. |
NSX Policy Firewall Rule | Listet alle Firewallregeln der NSX-Richtlinie auf, die in der Instanz von VMware Aria Operations for Networks vorhanden sind. |
NSX Policy Firewall Rule where Action = 'ALLOW' | Listet alle NSX-Firewallregeln auf, deren Aktion als „ALLOW“ festgelegt ist. |
NSX Policy Based VPN | Listet alle auf der NSX-Richtlinie basierenden VPNs auf, die in der Instanz von VMware Aria Operations for Networks vorhanden sind. |
Unterstützung für NSX-T-Metriken
Elemente | Widgets auf dem Einheiten-Dashboard | Unterstützte NSX-T-Metriken |
---|---|---|
Logischer Switch | Paketmetriken für logische Switches Byte-Metriken für logische Switches |
|
Logischer Port | Paketmetriken für logische Ports Byte-Metriken für logische Ports |
|
Routerschnittstelle | Metriken für Routerschnittstellen |
|
Firewallregel | Metriken für Firewallregeln |
|
nsx-t logical switch where Rx Packet Drops > 0
Diese Abfrage enthält alle logischen Switches, bei denen die Anzahl der verworfenen empfangenen Pakete größer als 0 ist.
nsx-t logical port where Tx Packet Drops > 0
Diese Abfrage enthält alle logischen Ports, bei denen die Anzahl der verworfenen übertragenen Pakete größer als 0 ist.
top 10 nsx-t firewall rules order by Connection count
Diese Abfrage enthält die 10 wichtigsten Firewallregeln, basierend auf der Anzahl der Verbindungen (
Hit Count
).
Sicherheitsplanung für NSX-T
plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’Sie können das gleiche Ergebnis erzielen, indem Sie die folgenden Schritte ausführen:
- Wählen Sie im linken Navigationsbereich aus.
- Wählen Sie im Dropdown-Menü entweder NSX-T-L2-Netzwerk oder NSX-Richtliniensegment als Geltungsbereich aus.