Basierend auf dem Datenverkehrsumfang, den Sie zum Zeitpunkt des Starts der Generierung einer Empfehlung ausgewählt haben, wählt die NSX+ Intelligence-Empfehlungs-Engine nicht mikrosegmentierte Ingress- (eingehende), Egress- (ausgehende) oder anwendungsinterne Datenverkehrsflüsse von und zwischen den Berechnungseinheiten Ihres angegebenen Empfehlungsgrenzwerts aus.

Die NSX+ Intelligence-Empfehlungs-Engine aggregiert die Flows nach dem Dienst (Ports oder Protokollkriterien), bei dem diese Flows aufgetreten sind. Die Quellen und Ziele für jeden der Flows für einen bestimmten Dienst werden gruppiert. Beim Erstellen der Gruppierung verwendet die NSX+ Intelligence-Empfehlungs-Engine den benutzerdefinierten Schwellenwert für das Übereinstimmungsverhältnis und versucht, Gruppen wiederzuverwenden, die in der NSX-Bestandsliste vorhanden sind, einschließlich der Gruppen, die innerhalb eines vorhandenen IPSet-Bereichs einer Gruppe liegen.

Wenn die NSX+ Intelligence-Empfehlungs-Engine keine vorhandene Gruppe findet, die den festgelegten Gruppierungsgrenzwert erfüllt, wird eine neue zu empfehlende Gruppe erstellt.

Wenn Sie eine Empfehlung generieren, berücksichtigt die NSX+ Intelligence-Empfehlungs-Engine die Datenverkehrsflusstypen, die Sie in der Option Zu analysierender Datenverkehr angegeben haben. Wenn Sie den Typ des eingehenden Datenverkehrsflusses ausgewählt haben, werden nur Datenverkehrsflüsse berücksichtigt, die von außerhalb Ihrer Anwendungsgrenze stammen. Wenn Sie als Verkehrsflussarten den gesamten Verkehr, den eingehenden und ausgehenden Verkehr oder den eingehenden und anwendungsinternen Verkehr ausgewählt haben, dann aggregiert die NSX+ Intelligence-Empfehlungs-Engine die Datenverkehrsflüsse in diese Richtungen, um die auf dem Dienst basierende DFW-Regelempfehlung zu bilden.

Sehen Sie sich z. B. die folgenden Flows an.

• Begrenzung wird mithilfe von VM1 und VM2 festgelegt

• Gruppen: CG mit VM1 und VM2 als Mitglieder

• Gruppen: G3 mit VM3 und VM4 als Mitglieder

• Angenommener Übereinstimmungsschwellenwert: 50%

Die nicht segmentierten Datenverkehrsflüsse lauten wie folgt.

• VM3 zu VM1 über SSH

• VM1 zu VM2 über SSH

Im Folgenden ist die resultierende Mikrosegmentierungsempfehlung aufgeführt, bei der es sich um eine einzelne Regel für SSH handelt.

Quellgruppe	Zielgruppe	Dienst	Angewendet-auf Gruppe
G3 + CG (vorhandene Gruppen erneut verwendet)	CG mit VM1, VM2 als Mitglieder	SSH	Gruppen-CG mit VM1 und VM2 als Mitglieder

Wenn die Datenverkehrsflüsse von außerhalb der konfigurierten Maske privater IP-Adressen stammen, werden die Flows von und zu solchen IP-Adressen, die nicht in der privaten IP-Präfixliste enthalten sind, als „ANY“ markiert.

Beachten Sie die folgenden nicht segmentierten Flows.

• ANY-Flows zu VM1 über SSH

• Flows von VM1 zu VM3 über SSH

• Begrenzung wird mithilfe von VM1 und VM2 festgelegt

• Die definierte Gruppe ist CG mit VM1 und VM2 als Mitglieder

In diesem Fall werden die eingehenden und ausgehenden Flows bei der Aggregation zu ANY-Flows von VM1 zu VM2 und VM3 über SSH.

Dies führt wiederum zu der folgenden Mikrosegmentierungsregel.

Quelle	Ziel	Dienst	Angewendet auf
ANY	[VM1] in CG, [VM3] in G3	SSH	CG [VM1, VM2]

Empfehlung für vorhandene DFW-Abschnitte

Wenn die Entitäten, die Sie im Grenzwertbereich der Empfehlung ausgewählt haben, mit vorhandenen Abschnitten einer verteilten Firewall verknüpft sind und Sie die Option Vorhandenen Abschnitt verwenden im Dialogfeld Abschnitt „Verteilte FW“ auswählen ausgewählt haben, bezieht die NSX+ Intelligence-Empfehlungs-Engine diese vorhandenen DFW-Abschnitte bei der Durchführung der Empfehlungsanalyse mit ein. Die DFW-Empfehlungen umfassen die Aktualisierung der Quell- und Zielfelder bestehender Regeln, um alle geleakten Datenflüsse zu und von den Rechenarbeitslasten, die dem Umfang des angegebenen DFW-Abschnitts entsprechen, ordnungsgemäß zu mikrosegmentieren.

Diese Option aktualisiert vorhandene L4-Regeln in den vorhandenen DFW-Abschnitten, die den Einheiten im von Ihnen angegebenen Grenzbereich der Empfehlung zugeordnet sind.