Die Funktion für NSX Intelligence-Empfehlungen bietet Empfehlungen zur Unterstützung der Mikro-Segmentierung Ihrer Anwendungen.

Das Generieren einer NSX Intelligence-Empfehlung beinhaltet Empfehlungen für Sicherheitsrichtlinien, Richtlinien-Sicherheitsgruppen und Dienste für die Anwendung. Die Empfehlungen werden basierend auf dem Datenverkehrsmuster bei der Kommunikation zwischen virtuellen Maschinen (VMs) und physischen Servern in Ihrem NSX-T Data Center erstellt.

Sie können eine Empfehlung generieren, indem Sie die Eingabeentitäten mit bis zu 1 Gruppe oder 100 VMs bzw. eine Kombination aus einer Gruppe, VMs und physischen Gruppen auswählen. Die Gesamtanzahl der VMs und physischen Server, die Sie als Eingabe auswählen können, darf 100 dieser Entitäten nicht überschreiten. Die Gesamtanzahl der effektiven VMs und physischen Server, die Sie in einer Eingabe verwenden können, die eine Gruppe, VMs oder physische Server enthält, darf 250 Eingabeentitäten nicht überschreiten.

Wenn Sie z. B. 50 VMs und 50 physische Server als Teil Ihrer Empfehlungseingabeentitäten auswählen, können Sie nur eine Gruppe mit nicht mehr als 150 Rechenmitgliedern auswählen.

Wichtig: Sie können nur eine neue Empfehlung für eine Sicherheitsgruppe generieren, die im Richtlinienmodus erstellt wurde. Die Sicherheitsgruppe muss mindestens einen der unterstützten Mitgliedstypen aufweisen, damit NSX Intelligence eine Empfehlungsanalyse für diese Sicherheitsgruppe starten kann. Zu den unterstützten Mitgliedstypen gehören virtuelle Maschinen, physische Server, virtuelle Netzwerkschnittstellen (VIFs), logische Ports und logische Switches. Wenn mindestens ein unterstützter Mitgliedstyp in der Sicherheitsgruppe enthalten ist, kann die Empfehlungsanalyse fortgesetzt werden, aber nicht unterstützte Mitgliedstypen werden während der Empfehlungsanalyse nicht berücksichtigt.

Es gibt mehrere Möglichkeiten, eine Empfehlung mithilfe der NSX Intelligence-Benutzeroberfläche zu generieren. In der folgenden Vorgehensweise werden die verfügbaren Methoden beschrieben.

Voraussetzungen

  • Installieren Sie NSX Intelligence. Informationen finden Sie im Dokument Installieren und Aktualisieren von VMware NSX Intelligence.
  • Stellen Sie sicher, dass Sie über die erforderlichen Rechte zum Generieren von Empfehlungen verfügen. Weitere Informationen hierzu finden Sie unter Rollenbasierte Zugriffssteuerung in NSX Intelligence.

Prozedur

  1. Melden Sie sich über Ihren Browser unter https://<nsx-manager-ip-address> mit den entsprechenden Rechten bei einem NSX Manager an.
  2. Initiieren Sie die Generierung einer neuen Empfehlung mithilfe einer der folgenden Methoden.
    Startpunkt Nächster Schritt
    Wählen Sie Planen und Fehler beheben > Empfehlungenaus. Klicken Sie auf Neue Empfehlungen starten.
    Wählen Sie als Empfehlungen für eine Gruppe Planen und Fehler beheben > Entdecken und Ergreifen von Aktionen aus.
    1. Stellen Sie sicher, dass die Ansicht Gruppen im Ansichtsauswahlbereich Sicherheit ausgewählt ist.
    2. Klicken Sie mit der rechten Maustaste auf den Knoten für die Gruppe, für die Sie eine Empfehlung generieren möchten.
    3. Wählen Sie Empfehlungen starten im Dropdown-Menü aus.
    Für Empfehlungen für VMs oder physische Server wählen Sie Planen und Fehler beheben > Entdecken und Ergreifen von Aktionen.
    Wählen Sie mindestens eine VM oder einen physischen Server oder eine Kombination aus beidem aus.
    1. Klicken Sie im Ansichtsauswahlbereich Sicherheit auf den Pfeil nach unten neben Gruppen und wählen Sie Berechnungen.
    2. Klicken Sie auf Alle Typen anzeigen und wählen Sie VMs oder Physische Server. Alternativ können Sie in der Liste „Verfügbare Elemente“ bestimmte VMs oder physische Server auswählen.
    3. Klicken Sie auf Übernehmen.
    4. Klicken Sie auf das Stabsymbol für Empfehlungen Stabsymbol für Empfehlungen links im Flows-Balken.
    5. Wählen Sie Empfehlungen für die gefilterten Berechnungen starten.
  3. Ändern Sie im Assistenten Neue Empfehlung starten den Standardwert für das Textfeld Empfehlungsname.
    Benennen Sie die Anwendung, für die die Segmentierung durchgeführt wird. Der Name wird als Präfix für die Namen aller empfohlenen Gruppen und Regeln verwendet, die während der Empfehlungsanalyse erstellt werden.
  4. Ändern Sie den Standardwert für das Textfeld Beschreibung, um die Informationen über die Empfehlung leichter wieder aufzurufen.
  5. Definieren oder ändern Sie die VMs oder physischen Server, die als Begrenzung für die Sicherheitsrichtlinien-Empfehlung verwendet werden sollen.
    1. Klicken Sie in Ausgewählte Elemente im Geltungsbereich auf Entitäten auswählen. Wenn Sie die Gruppe, die VMs oder die physischen Server bereits ausgewählt haben, klicken Sie auf den Link zur Anzahl der Gruppen, VMs oder physischen Server, um Ihre aktuelle Auswahl zu bearbeiten.
    2. Klicken Sie im Dialogfeld Entitäten auswählen auf Gruppen, um bis zu eine Gruppe auszuwählen, wenn Sie eine einschließen möchten. Um die VMs oder physischen Server auszuwählen, die Sie als Begrenzung für die Analyse verwenden möchten, klicken Sie auf die Registerkarte VMs oder auf die Registerkarte Physische Server und treffen Sie Ihre Auswahl.
      Sie können bis zu einer Gruppe und bis zu 100 VMs oder physische Servern auswählen, aber nicht mehr als 250 effektive Berechnungsentitäten, die für die Empfehlungsbegrenzung verwendet werden sollen. Deaktivieren Sie diejenigen, die Sie nicht einschließen möchten. Sie können auch auf Filter klicken und die Attribute auswählen, die zum Filtern der Gruppe, der VMs oder der physischen Server verwendet werden, die ausgewählt werden sollen.
    3. Klicken Sie auf Speichern.
      Sie gelangen zurück zum Assistenten Neue Empfehlung starten. Die Anzahl der ausgewählten Gruppe, VMs, physischen Server oder eine Kombination dieser Entitäten wird in Ausgewählte Elemente im Geltungsbereich angegeben.
  6. Wählen Sie im Assistenten Neue Empfehlung starten im Dropdown-Menü Berücksichtigter Datenverkehr den Typ der Datenverkehrs-Flows aus, die in der Empfehlungsanalyse berücksichtigt werden sollen. Die Standardeinstellung ist All Traffic.
    • Gesamter Datenverkehr – Alle ausgehenden, eingehenden und interne Anwendungsdatenverkehrs-Flow-Typen werden berücksichtigt.
    • Eingehend und ausgehend – alle Datenverkehrs-Flow-Typen, die von inner- und außerhalb Ihrer Anwendungsbegrenzung stammen, werden berücksichtigt.
    • Eingehender Datenverkehr – Nur Datenverkehrsflüsse, die außerhalb ihrer Anwendungsbegrenzung liegen, werden berücksichtigt.
  7. Wählen Sie im Dropdown-Menü Konnektivitätsstrategie die Konnektivitätsstrategie aus, die verwendet werden soll, um die Standardregel für die Sicherheitsrichtlinie zu erstellen.
    • Positivliste – Erstellt eine standardmäßige Ablageregel.
    • Negativliste – Erstellt eine standardmäßige Genehmigungsregel.
    • Keine – Es wird keine Standardregel erstellt.
  8. Erweitern Sie Erweiterte Optionen und ändern Sie gegebenenfalls den Standardwert für die Empfehlungsausgabe.
    Der verwendete Standardausgabemodus ist Objektbasiert. Dies bedeutet, dass die generierte DFW-Richtlinienempfehlung Gruppen enthält, deren Mitglieder VMs, physische Serverentitäten oder beides sind. Wenn der ausgewählte Ausgabemodus für die Empfehlung IP-basiert ist, enthält die generierte DFW-Richtlinienempfehlung Gruppen, deren Mitglieder IPset-Objekte sind. Eine IP-basierte Empfehlung ist nicht fest an eine VM gebunden. Wenn eine VM gelöscht und ihre IP-Adresse einer neuen VM zugewiesen wird, wird die neue VM derselben Gruppe zugewiesen. Die DFW-Richtlinien für die Gruppe werden auch auf die neue VM angewendet.
  9. Ändern Sie bei Bedarf den Wert für Empfehlungsdiensttyp.
    Der Standardtyp ist L4-Dienste, der sich aus dem entsprechenden Layer 4-Port und -Protokoll zusammensetzt. Alternativ können Sie für L7-Kontextprofile auswählen.
  10. Wenn Sie möchten, ändern Sie den aktuellen Wert für Zeitbereich, der zum Generieren der Empfehlung verwendet werden soll.
    Der Standardwert für den Zeitbereich ist Letzten Monat. Netzwerkdatenverkehrs-Flows, die zwischen den ausgewählten VMs oder physischen Servern oder einer Gruppe von VMs oder physischen Servern im Zeitbereich stattfanden, werden während der Empfehlungsanalyse verwendet. Andere Werte zur Auswahl sind Letzte 12 Stunden, Letzte 24 Stunden, Letzte Woche und Letzter Monat.
  11. Um mit der Empfehlungsanalyse zu beginnen, klicken Sie auf Ermittlung starten.
    Die Empfehlungen werden seriell verarbeitet. Im Durchschnitt kann es zwischen 3 und 4 Minuten dauern, bis die Verarbeitung einer Empfehlung abgeschlossen ist, je nachdem, ob noch weitere Empfehlungen verarbeitet werden müssen. Wenn die Anzahl der zu analysierenden Datenverkehr-Flows zwischen den VMs und physischen Servern umfangreich ist, kann das Generieren einer Empfehlung zwischen 10 und 15 Minuten dauern.
    Die Empfehlungen, die initiiert werden, werden in der Tabelle Empfehlungen aufgelistet, ähnlich wie im folgenden Screenshot dargestellt.

    • Die Status der Empfehlungsanalyse können in der Spalte Status der Tabelle Empfehlungen nachverfolgt werden. Es gibt die aufeinanderfolgenden Status-Phasen Warten, Ermittlung wird ausgeführt und schließlich Bereit zum Veröffentlichen. Wenn keine Empfehlung generiert wurde, wird für den Wert Status Keine Empfehlungen verfügbar festgelegt. Wenn die Empfehlungsanalyse aus irgendeinem Grund fehlgeschlagen ist, wird der Status Fehlgeschlagen angezeigt.
    • In der Spalte Eingabeentitäten werden die Elemente aufgelistet, die zum Generieren der Empfehlung verwendet wurden. Wenn Sie auf den verknüpften Text in dieser Spalte klicken, wird das Dialogfeld Ausgewählte Entitäten im schreibgeschützten Modus angezeigt.
    • Die Spalte Empfohlene Entitäten listet die Links zu den empfohlenen Sicherheitsrichtlinienregeln, Richtliniensicherheitsgruppen und Diensten basierend auf den Netzwerkdatenverkehrs-Flows und Eingabebegrenzungen auf.
    • In der Spalte Überwachung wird angegeben, ob Änderungen für die ursprünglichen Eingabeentitäten überwacht werden, die zum Generieren der Empfehlung verwendet werden. Diese Funktion steht für Empfehlungen mit dem Status Bereit zum Veröffentlichen, Keine Empfehlungen verfügbar oder Fehlgeschlagen zur Verfügung. Sie können die Option Überwachung ein- oder ausschalten. Wenn der Umschalter aktiviert ist, werden Änderungen im Geltungsbereich der Eingabeentitäten stündlich überprüft.
    • Wenn bei einer der verwendeten Eingabeentitäten Änderungen vorgenommen wurden, wird das Symbol für eine erkannte Änderung neben dem Status Bereit zum Veröffentlichen, Keine Empfehlungen verfügbar oder Fehlgeschlagen angezeigt. Sie können die Änderungen überprüfen und die Empfehlung erneut ausführen. Weitere Informationen hierzu finden Sie unter NSX Intelligence-Empfehlungen erneut ausführen.
    • Wenn Sie auf das Arbeitsflächensymbol auf der rechten Seite der Empfehlungszeile klicken, wird die Visualisierung der ausgewählten Entitäten auf der grafischen Arbeitsfläche unter der Benutzeroberfläche Planen und Fehler beheben > Entdecken und Ergreifen von Aktionen angezeigt.
  12. Wenn der Wert für Status Bereit zum Veröffentlichen ist, überprüfen Sie die generierte Empfehlung und entscheiden Sie, ob Sie sie veröffentlichen möchten. Siehe Erstellte NSX Intelligence-Empfehlungen überprüfen und veröffentlichen.