Wenn die generierte NSX Intelligence-Empfehlung den Status Bereit zum Veröffentlichen erreicht, können Sie die Empfehlung überprüfen, sie bei Bedarf ändern und entscheiden, ob sie veröffentlicht werden soll.

Voraussetzungen

Prozedur

  1. Melden Sie sich über Ihren Browser unter https://<nsx-manager-ip-address> mit den entsprechenden Rechten bei einem NSX Manager an.
  2. Klicken Sie auf Planen und Fehler beheben > Empfehlungen.
  3. (Optional) Um die Liste der anzuzeigenden Empfehlungen einzugrenzen, klicken Sie in der oberen rechten Ecke der Benutzeroberfläche auf Filtern. Klicken Sie auf Filter anwenden und wählen Sie mindestens einen Filter aus dem Dropdown-Menü aus.
    Wählen Sie nach dem Klicken auf Filter anwenden beispielsweise Grundlegende Details > Überwachung > Ein aus, um nur die Empfehlungen anzuzeigen, für die der Überwachungsparameter auf „Ein“ festgelegt ist.
  4. (Optional) Wenn Sie die generierter Empfehlung nicht verwenden möchten, klicken Sie auf das Dreipunkt-Menüsymbol und wählen Sie Löschen aus.
  5. Um damit zu beginnen, die Details der Empfehlung zu überprüfen und zu verwalten, die den Status Bereit zum Veröffentlichen aufweist, klicken Sie auf den Empfehlungsnamen.
    Der Assistent Empfehlungen wird ähnlich der folgenden Abbildung angezeigt. Im Bereich Empfehlungen überprüfen werden die Details zu den Empfehlungen in einer geteilten Ansicht angezeigt. In der oberen Hälfte des Bereichs wird eine Visualisierung der Empfehlungen im grafischen Format angezeigt. In der unteren Hälfte des Bereichs werden die Empfehlungen im tabellarischen Format aufgelistet.

  6. Verwenden Sie die obere Hälfte des Bereichs, um die grafische Visualisierung der Empfehlungen zu untersuchen.
    Sie können auf bestimmte Knoten und Flow-Pfeile klicken, um die Details für die Empfehlungen anzuzeigen. Sie können auf den Flow-Pfeil zwischen zwei Gruppenknoten verweisen, um zu sehen, welche Richtlinienregeln zwischen Gruppen angewendet oder welche Dienste erstellt wurden. Klicken Sie mit der rechten Maustaste auf den Flow-Pfeil, um die Empfehlung nach den entsprechenden Richtlinienregeln zu filtern.

    Knoten mit dem Empfehlungszeichen Empfehlungszeichen am Rand weisen darauf hin, dass der Knoten eine empfohlene Gruppe darstellt. Sie können mit der rechten Maustaste auf den Knoten einer Gruppenempfehlung klicken, die Gruppe umbenennen oder die dieser Gruppe angehörenden Berechnungsentitätsmitglieder bearbeiten. Sie können auch mit der rechten Maustaste auf einen Gruppenknoten klicken, um ihn umzubenennen, anzuzeigen oder seine Mitglieder zu bearbeiten, und Filtern nach auswählen, um die aktuelle Gruppe als Filter zu verwenden, mit dem Details zur generierten Empfehlung angezeigt werden.

    Änderungen, die mithilfe der grafischen Ansicht der Empfehlungen vorgenommen wurden, werden in der Tabelle in der unteren Hälfte des Fensterspeichers angezeigt. Ebenso werden Änderungen an den Empfehlungsinformationen der Tabelle in der grafischen Visualisierung widergespiegelt.

  7. In der unteren Hälfte des Bereichs Empfehlungen überprüfen können Sie die tabellarische Ansicht der Empfehlungen verwenden, um die Details zu den Regeln, Gruppen und Diensten zu sehen, die in der Empfehlung enthalten sind. Verwenden Sie die Registerkarte Für Empfehlungen verwendete Datenströme, um die Datenverkehrsflüsse anzuzeigen, die zum Generieren der Empfehlungen verwendet wurden.

    Sie können alle Empfehlungsdetails prüfen und ändern, indem Sie auf die Registerkarte Regeln, Gruppen oder Dienste klicken.

    Im Abschnitt Empfohlene Richtlinien werden Zahlen auf den Registerkarten Regeln, Gruppen und Dienste angezeigt. Diese Zahlen geben die Anzahl der empfohlenen Regeln, Gruppen und Dienste an. Sie waren nicht in der NSX-T-Bestandsliste vorhanden, als die Empfehlungen generiert wurden. Beispielsweise werden im Screenshot oben auf der Registerkarte Dienste null empfohlene Dienste angezeigt. Die Dienste, die von den Gruppen verwendet werden, waren zum Zeitpunkt der Empfehlungsgenerierung in der NSX-T-Bestandsliste vorhanden. Aus diesem Grund werden keine neuen Dienste empfohlen.

    Alle Änderungen, die an den Regeln auf der Registerkarte Regeln vorgenommen werden (z. B. das Hinzufügen, Löschen oder Bearbeiten einer Regel oder eines Abschnitts), werden sofort in der Regeltabelle und im grafischen Visualisierungsbereich angezeigt.

    1. Um zu definieren, wie die Pakete beim Zutreffen der DFW-Regel verarbeitet werden sollen, wählen Sie Zulassen, Verwerfen oder Ablehnen in der Spalte Aktion aus.
    2. Um die DFW-Regel zu aktivieren oder zu deaktivieren, schalten Sie die Schaltschaltfläche auf der rechten Seite der Spalte Aktion entsprechend ein oder aus. Standardmäßig ist die generierte Regel zum Veröffentlichungszeitpunkt der Empfehlung auf Enabled festgelegt.
    3. Um die Details zu den Gruppen in der Empfehlung zu überprüfen, klicken Sie auf Gruppen.
      Bevor Sie eine Gruppe löschen, stellen Sie sicher, dass die Gruppe von keinen Regeln verwendet wird.
    4. Klicken Sie auf den Link in der Spalte Mitglieder, um die Details zu den VMs, IPs und physischen Servern zu überprüfen, die für die Gruppen-Empfehlung festgelegt wurden.
    5. Klicken Sie auf das Dreipunkt-Menüsymbol neben dem Namen der Gruppe und wählen Sie Bearbeiten aus, um Änderungen an der Gruppenempfehlung vorzunehmen.
    6. Klicken Sie auf Dienste und überprüfen Sie die Details.
    7. Klicken Sie auf das Dreipunkt-Menüsymbol neben dem Namen des Dienstes und wählen Sie Bearbeiten aus, um Änderungen am Namen oder an der Beschreibung vorzunehmen.
      Bevor Sie einen Dienst löschen, stellen Sie sicher, dass der Dienst von keinen Regeln verwendet wird.
  8. Um mit der Veröffentlichung der Empfehlung fortzufahren, klicken Sie auf Fortfahren.
    Alternativ können Sie auf Später fortfahren klicken, um alle von Ihnen vorgenommenen Änderungen zu speichern und die Sitzung der Empfehlungsbewertung zu beenden.
  9. Definieren Sie im Bereich Sequenzieren und Veröffentlichen die Reihenfolge, in der die neu empfohlenen Sicherheitsrichtlinien in Bezug auf die bestehenden Regeln der DFW angewendet werden sollen.
    1. Wählen Sie die Zeile für die neue Sicherheitsrichtlinienempfehlung aus.
    2. Klicken Sie bei einer der aufgelisteten Sicherheitsrichtlinien auf das Dreipunkt-Menüsymbol auf der linken Seite der Zeile.
    3. Um die ausgewählte Zeile für die neu empfohlene Sicherheitsrichtlinie über oder unter die Zeile der vorhandenen Sicherheitsrichtlinie zu verschieben, wählen Sie Ausgewählte Richtlinien über diese Richtlinie verschieben oder Ausgewählte Richtlinien unter diese Richtlinie verschieben aus dem angezeigten Menü.
      Alternativ können Sie die Zeile für die aktuell ausgewählte neue Richtlinienempfehlung nach oben oder unten in die gewünschte Reihenfolge ziehen.
  10. Klicken Sie auf Veröffentlichen.
    Um die Überprüfung der Empfehlung abzubrechen, klicken Sie auf Abbrechen.
  11. Klicken Sie im Dialogfeld Empfehlungen veröffentlichen auf Ja.
  12. Klicken Sie im Dialogfeld Veröffentlichte Richtlinien auf Abbrechen, um das Dialogfeld zu schließen, oder auf In Tabelle „Verteilte Firewall“ anzeigen, um die Sicherheitsrichtlinien anzuzeigen, die gerade auf der Registerkarte Sicherheit > Verteilte Firewall > Alle Regeln veröffentlicht wurden.
    Im Bereich Planen und Fehler beheben > Empfehlungen wurde die Spalte Status der gerade von Ihnen veröffentlichten Empfehlung nun in Veröffentlicht in der Tabelle Empfehlungen geändert.

Ergebnisse

Nachdem die Empfehlungen für die Sicherheitsrichtlinie erfolgreich veröffentlicht wurden, befinden Sie sich im schreibgeschützten Modus auf der Registerkarte Planen und Fehler beheben > Empfehlungen. Um die veröffentlichten Regel-Empfehlungen anzuzeigen und zu verwalten, wechseln Sie zu Sicherheit > Verteilte Firewall.
Wichtig: Nachdem Sie die Regel-Empfehlungen veröffentlicht haben, zeigt die Visualisierung weiterhin die betroffenen Flows zwischen den Berechnungsentitäten als orangefarbene Pfeile (ungeschützte Flows) an, bis neue Flows zwischen den betroffenen Berechnungsentitäten generiert werden. Die Visualisierung meldet nur Datenverkehr-Flows basierend auf der Zeit, in der sie auf dem Host aufgetreten sind, und spiegelt nicht den Regelsatz wider, der nach dem Auftreten der Datenverkehr-Flows veröffentlicht wurde. Nachdem der Regelsatz veröffentlicht und neue Datenverkehr-Flows generiert wurden, werden die neuen Flows als grüne Pfeile (zulässige Flows) angezeigt.