VMware NSX-T wurde entwickelt, um auf die neuen Anwendungs-Frameworks und -Architekturen einzugehen, die über heterogene Endpoints und Technologie-Stacks verfügen. Zusätzlich zu vSphere können diese Umgebungen auch andere Hypervisor, Container, Bare Metal und Public Clouds enthalten.

VMware Aria Operations for Networks unterstützt VMware NSX-T-Bereitstellungen, bei denen die VMs von VMware vCenter verwaltet werden.

Überlegungen

  • VMware Aria Operations for Networks unterstützt nur die NSX-T-Einrichtungen, in denen VMware vCenter die ESXi-Hosts verwaltet.
  • VMware Aria Operations for Networks unterstützt NSGroups, NSX-T-Firewallregeln, IPSets, logische Ports und logische Switches von NSX-T sowie verteilte NSX-T-Firewall-IPFIX-Flows, Segment, Gruppe und Richtlinie auf der Basis des VPN.
  • VMware Aria Operations for Networks unterstützt sowohl NSX-V als auch NSX-T-Bereitstellungen. Wenn Sie NSX in Ihren Abfragen verwenden, enthalten die Ergebnisse sowohl NSX-V- als auch NSX-T-Einheiten. NSX Manager enthält sowohl NSX-V- als auch NSX-T Manager. NSX-Sicherheitsgruppen enthalten sowohl NSX-T- als auch NSX-V-Sicherheitsgruppen. Wenn NSX-V oder NSX-T anstelle von NSX verwendet wird, werden nur diese Einheiten angezeigt. Dieselbe Logik gilt für Einheiten wie z. B. Firewallregeln, IPSets und logische Switches.
  • Mit der Version NSX-T 2.4 unterstützt VMware Aria Operations for Networks die deklarative Richtlinienverwaltung von NSX, die Netzwerk- und Sicherheitskonfigurationen über ergebnisgesteuerte Richtlinienanweisungen vereinfacht und automatisiert.
    Hinweis: Die Mikrosegmentierung für die Sicherheitsgruppe erfolgt auf der Grundlage der Daten der NSX-Richtlinie. Wenn jedoch keine entsprechende NSX-Richtliniengruppe vorhanden ist, ist die eigenständige NS-Gruppe in der Mikrosegmentierungsanalyse enthalten. Weitere Informationen zur NS-Gruppe finden Sie in der NSX-T-Produktdokumentation.
  • Stellen Sie sicher, dass Sie in einer NSX-T Federation-Einrichtung nur lokale Benutzer hinzufügen.

Voraussetzungen

Hier sind die Voraussetzungen für das Hinzufügen eines NSX-T Managers als Datenquelle:
  • Sie benötigen mindestens das Recht Nur Lesen.
  • Sie müssen alle VMware vCenter, die NSX-T Manager zugeordnet sind, als Datenquellen in VMware Aria Operations for Networks hinzufügen.
    Hinweis: Wenn Sie vor dem Hinzufügen des VMware vCenter NSX-T Manager hinzufügen, benötigt VMware Aria Operations for Networks etwa vier Stunden für die Stabilisierung.
  • Stellen Sie sicher, dass in der Ausschlussliste der verteilten Firewall (Distributed Firewall, DFW) keine logischen Switches vorhanden sind. Wenn in dieser Liste logische Switches vorhanden sind, werden für keine der VMs Flows gemeldet, die mit diesen logischen Switches verknüpft sind.

Verfahren

  1. Navigieren Sie zu Einstellungen > Konten und Datenquellen > Quelle hinzufügen.
  2. Wählen Sie unter VMware-Manager die Option VMware NSX-T Manager aus.
  3. Geben Sie die Anmeldedaten an.
    Option Aktion
    Collector-VM Wählen Sie eine Collector-VM aus dem Dropdown-Menü aus.
    IP-Adresse/FQDN Geben Sie die IPv4-Verwaltungsadresse oder die FQDN-Details ein.
    Hinweis: Derzeit unterstützt VMware Aria Operations for Networks keine IPv6-NSX-T-Verwaltungsadressen.
    Authentifizierungsmethode Wählen Sie die Authentifizierungsmethode im Dropdown-Menü aus.
    Benutzername/Kennwort Geben Sie den Benutzernamen und das Kennwort ein.
    Zertifikat (Prinzipalidentität)
    • Zertifikat: Klicken Sie auf Durchsuchen und laden Sie das Prinzipalidentitätszertifikat hoch.
    • Privater Schlüssel: Klicken Sie auf Durchsuchen und laden Sie den privaten Schlüssel der Prinzipalidentität hoch.
      Hinweis: VMware Aria Operations for Networks unterstützt keinen verschlüsselten privaten Prinzipalidentitätsschlüssel.
    Hinweis:
    • Wenn Sie mehrere Verwaltungsknoten in einer einzelnen NSX-T-Bereitstellung haben, müssen Sie nur einen Knoten als Datenquelle in VMware Aria Operations for Networks hinzufügen oder die virtuelle IP (VIP) (dieser Knoten) verwenden. Wenn Sie mehr als einen Verwaltungsknoten hinzufügen, funktioniert VMware Aria Operations for Networks möglicherweise nicht ordnungsgemäß.
    • Stellen Sie sicher, dass Sie eine VIP verwenden, wenn Sie NSX-T als Datenquelle hinzufügen. Wenn Sie eine Verwaltungsknoten-IP anstelle einer VIP hinzufügen, und später eine VIP- oder eine andere Verwaltungsknoten-IP hinzufügen möchten, müssen Sie die vorhandene Datenquelle löschen, um die neue VIP oder Verwaltungs-IP hinzuzufügen.
    • Stellen Sie sicher, dass jeder Verwaltungsknoten im Cluster über den Collector erreichbar ist.
    • Wenn IPFIX nicht erforderlich ist, muss der Benutzer ein lokaler Benutzer mit Berechtigungen für die Überwachungsebene sein. Wenn IPFIX erforderlich ist, muss der Benutzer über eine der folgenden Berechtigungen verfügen: enterprise_admin, network_engineer oder security_engineer.
    Hinweis: Sie müssen die Datenquelle entweder mithilfe der IP-Adresse oder des FQDN hinzufügen. Fügen Sie die Datenquelle nicht unter Verwendung der IP-Adresse und des FQDN hinzu.
  4. Klicken Sie auf Validieren.
  5. (Optional) Klicken Sie auf DFW-IPFIX aktivieren, um die IPFIX-Einstellungen von NSX-T zu aktualisieren. Wenn Sie diese Option auswählen, empfängt VMware Aria Operations for Networks DFW-IPFIX-Flows von NSX-T. Weitere Informationen zum Aktivieren von IPFIX finden Sie unter Aktivieren von VMware NSX-T DFW IPFIX.
    Hinweis:
    • DFW IPFIX wird in der Standard Edition von NSX-T nicht unterstützt.
    • VMware Aria Operations for Networks unterstützt keine IPFIX-Flows für NSX-T-Switches.
  6. (Optional) Für die Erfassung von Latenzmetrikdaten aktivieren Sie das Kontrollkästchen Erfassung von Latenzmetrik aktivieren. Wenn Sie diese Option auswählen, empfängt VMware Aria Operations for Networks Latenzmetriken, wie z. B. VTEP zu VTEP, vNIC zu pNIC, pNIC zu vNIC, vNIC zu vNIC, von NSX-T. Weitere Informationen zur Netzwerklatenz finden Sie unter Netzwerklatenzstatistiken.
    Hinweis:
    • Diese Option ist nur für NSX-T 2.5 und höher verfügbar.
      • VTEP zu VTEP ist für NSX-T 2.5 und höher verfügbar.
      • vNIC zu pNIC, pNIC zu vNIC und vNIC zu vNIC sind für NSX-T 3.0.2 und höher verfügbar.
    • Zum Aktivieren der Latenzmetrikerfassung müssen Sie über die Berechtigung enterprise_admin verfügen.
    • Stellen Sie sicher, dass Port 1991 auf dem Collector geöffnet ist, um die Latenzdaten vom ESXi-Knoten zu empfangen.
  7. (Optional) Um die Flow-Erfassung von NSX Intelligence zu aktivieren, aktivieren Sie das Kontrollkästchen NSX Intelligence aktivieren.

    NSX Intelligence bietet Deep Packet Inspection mit Sichtbarkeit auf der Anwendungsebene. Nach dem Empfang von NSX Intelligence-Flows können Sie L7-Informationen (Anwendungsebene) wie z. B. die App-ID sehen.

    Hinweis: Um NSX Intelligence in VMware Aria Operations for Networks zu aktivieren, müssen Sie die NSX Intelligence-Appliance bereitstellen. VMware Aria Operations for Networks unterstützt NSX Intelligence 1.2 mit VMware NSX-T 3.1 und höher.

    NSX Intelligence benötigt mindestens 12 Minuten, um die Flow-Informationen zu verarbeiten und an VMware Aria Operations for Networks zu senden.

    Hinweis: Um die Flow-Erfassung über NSX Intelligence zu aktivieren, müssen Sie das Kontrollkästchen DFW IPFIX aktivieren auswählen, da DFW IPFIX von VMware Aria Operations for Networks als primäre Quelle für Flows verwendet wird.

    L7-Informationen stehen für verworfene Flows nicht zur Verfügung, da sie von NSX Intelligence nicht unterstützt werden.

  8. Geben Sie im Textfeld „Spitzname“ einen Spitznamen ein.
  9. Fügen Sie im Textfeld „Hinweise“ (optional) bei Bedarf einen Hinweis hinzu.
  10. Klicken Sie auf Absenden.

Beispiele für Abfragen

Im Folgenden finden Sie einige Beispiele für Abfragen im Zusammenhang mit NSX-T:

Tabelle 1. Abfragen für NSX-T
Abfragen Suchergebnisse
NSX-T Manager where VC Manager=10.197.53.214 NSX-T Manager, bei dem dieser bestimmte VC Manager als Compute Manager hinzugefügt wurde.
NSX-T Logical Switch Listet alle logischen NSX-T-Switches auf, die in der Instanz von VMware Aria Operations for Networks vorhanden sind, einschließlich Details dazu, ob es sich um einen vom System von einem Benutzer erstellten Switch handelt.
NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch' Enthält die logischen NSX-T-Ports, die zu diesem speziellen logischen NSX-T-Switch, DB-Switch, gehören.
VMs where NSX-T Security Group = 'Application-Group'

Or

VMs where NSGroup = 'Application-Group'
Enthält alle VMs in dieser bestimmten Sicherheitsgruppe, Application-Group.
NSX-T Firewall Rule where Action='ALLOW' Enthält alle NSX-T-Firewallregeln, deren Aktion als „ALLOW“ festgelegt ist.
NSX-T Firewall Rule where Destination Security Group = 'CRM-Group' Enthält Firewallregeln, bei denen CRM-Group die Zielsicherheitsgruppe ist. Die Ergebnisse beinhalten sowohl direkte Zielsicherheitsgruppen als auch indirekte Zielsicherheitsgruppen.
NSX-T Firewall Rule where Direct Destination Security Group = 'CRM-Group' Enthält Firewallregeln, bei denen CRM-Group die Zielsicherheitsgruppe ist. Die Ergebnisse beinhalten nur die direkten Zielsicherheitsgruppen.
VMs where NSX-T Logical Port = 'App_Port-Id-1' Enthält alle VMs, die über diesen speziellen logischen NSX-T-Port verfügen.
NSX-T Transport Zone Enthält das VLAN und die Overlay-Transportzone sowie die entsprechenden zugehörigen Details, einschließlich des Typs des Transportknotens.
Hinweis: VMware Aria Operations for Networks bietet keine Unterstützung für KVM als Datenquelle.
NSX-T Router Enthält die Router der Tier 1 und Tier 0. Klicken Sie auf den in den Ergebnissen angezeigten Router, um weitere Details dazu anzuzeigen, einschließlich des NSX-T-Edge-Clusters und des HA-Modus.
Tabelle 2. Abfragen für NSX-Richtlinie
NSX-Richtliniensegment Listet alle NSX-Richtliniensegmente auf, die in der Instanz von VMware Aria Operations for Networks vorhanden sind.
NSX Policy Manager Listet alle NSX Policy Manager-Instanzen auf, die in der Instanz von VMware Aria Operations for Networks vorhanden sind.
NSX Policy Group Listet alle NSX-Richtliniengruppen auf, die in der Instanz von VMware Aria Operations for Networks vorhanden sind.
NSX Policy Firewall Listet alle Firewalls der NSX-Richtlinie auf, die in der Instanz von VMware Aria Operations for Networks vorhanden sind.
NSX Policy Firewall Rule Listet alle Firewallregeln der NSX-Richtlinie auf, die in der Instanz von VMware Aria Operations for Networks vorhanden sind.
NSX Policy Firewall Rule where Action = 'ALLOW' Listet alle NSX-Firewallregeln auf, deren Aktion als „ALLOW“ festgelegt ist.
NSX Policy Based VPN Listet alle auf der NSX-Richtlinie basierenden VPNs auf, die in der Instanz von VMware Aria Operations for Networks vorhanden sind.
Hinweis: Wenn NSX-T 2.4 und VMware Cloud on AWS als Datenquellen in Ihrer VMware Aria Operations for Networks-Instanz hinzugefügt werden, müssen Sie zum Abrufen der VMware NSX-T-Einheiten den Filter SDDC type = ONPREM in Ihrer Abfrage hinzufügen. Beispiel: NSX Policy Based VPN where Tier0 = '' and SDDC Type = 'ONPREM'.

Unterstützung für NSX-T-Metriken

In der folgenden Tabelle werden die VMware Aria Operations for Networks-Einheiten angezeigt, die gegenwärtig die NSX-T-Metriken unterstützen, sowie die Widgets, die diese Metriken auf den entsprechenden Einheiten-Dashboards anzeigen.
Elemente Widgets auf dem Einheiten-Dashboard Unterstützte NSX-T-Metriken
Logischer Switch

Paketmetriken für logische Switches

Byte-Metriken für logische Switches

Multicast and Broadcast Rx

Multicast and Broadcast Tx

Unicast Rx

Unicast Tx

Dropped Rx

Dropped Tx

Rx Packets (Total)

Tx Packets (Total)

Logischer Port

Paketmetriken für logische Ports

Byte-Metriken für logische Ports

Multicast and Broadcast Rx

Multicast and Broadcast Tx

Unicast Rx

Unicast Tx

Rx Packets (Total)

Tx Packets (Total)

Routerschnittstelle

Metriken für Routerschnittstellen

Rx Packets

Tx Packets

Dropped Rx Packets

Dropped Tx Packets

Rx Bytes

Tx Bytes

Firewallregel

Metriken für Firewallregeln

Hit Count

Flow Bytes

Flow Packets

Im Folgenden finden Sie einige Beispielabfragen für VMware NSX-T-Metriken:
  • nsx-t logical switch where Rx Packet Drops > 0

    Diese Abfrage enthält alle logischen Switches, bei denen die Anzahl der verworfenen empfangenen Pakete größer als 0 ist.

  • nsx-t logical port where Tx Packet Drops > 0

    Diese Abfrage enthält alle logischen Ports, bei denen die Anzahl der verworfenen übertragenen Pakete größer als 0 ist.

  • top 10 nsx-t firewall rules order by Connection count

    Diese Abfrage enthält die 10 wichtigsten Firewallregeln, basierend auf der Anzahl der Verbindungen (Hit Count).

Sicherheitsplanung für NSX-T

Um die Sicherheit für das NSX-T-Netzwerk zu planen, können Sie den Geltungsbereich als NSX-T Layer2-Network auswählen und die folgende Abfrage verwenden:
plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’
Sie können das gleiche Ergebnis erzielen, indem Sie die folgenden Schritte ausführen:
  1. Wählen Sie Planen und bewerten > Sicherheitsplanung im linken Navigationsbereich aus.
  2. Wählen Sie im Dropdown-Menü entweder NSX-T-L2-Netzwerk oder NSX-Richtliniensegment als Geltungsbereich aus.
Hinweis: VMware NSX-T-bezogene Einheiten wie NSX-T-L2-Netzwerk und NSX-Richtliniensegment sind im Geltungsbereich verfügbar. Sie können diese VMware NSX-T-bezogenen Einheiten für die Sicherheitsplanung verwenden.