Die Funktion für NSX Intelligence-Empfehlungen bietet Empfehlungen zur Unterstützung der Mikro-Segmentierung Ihrer Anwendungen.

Das Generieren einer NSX Intelligence-Empfehlung beinhaltet Empfehlungen für Sicherheitsrichtlinien, Richtlinien-Sicherheitsgruppen und Dienste für die Anwendung. Die Empfehlungen werden basierend auf dem Datenverkehrsmuster bei der Kommunikation zwischen virtuellen Maschinen (VMs) und physischen Servern in Ihrem NSX-T Data Center erstellt.

Sie können eine Empfehlung generieren, indem Sie die Eingabeentitäten von Gruppen oder 100 VMs und physischen Servern oder eine Kombination aus Gruppen, VMs und physischen Servern oder vorhandenen Sicherheitsrichtlinien auswählen. Die Gesamtanzahl der VMs und physischen Server, die Sie als Eingabe auswählen können, darf 100 dieser Entitäten nicht überschreiten. Die Gesamtanzahl der effektiven VMs und physischen Server, die Sie in einer Eingabe verwenden können, die Gruppen, VMs oder physische Server enthält, darf 250 Eingabeentitäten nicht überschreiten.

Wenn Sie z. B. 50 VMs und 50 physische Server als Teil Ihrer Empfehlungseingabeentitäten auswählen, können Sie nur Gruppen in Kombination mit nicht mehr als 150 Computing-Mitgliedern auswählen.

Wichtig:

Sie können nur eine neue Empfehlung für Sicherheitsgruppen generieren, die im Richtlinienmodus erstellt wurden. Die Sicherheitsgruppen müssen mindestens einen der unterstützten Mitgliedstypen aufweisen, damit die Funktion NSX Intelligence eine Empfehlungsanalyse für diese Sicherheitsgruppen starten kann. Zu den unterstützten Mitgliedstypen gehören virtuelle Maschinen, physische Server, virtuelle Netzwerkschnittstellen (VIFs), logische Ports und logische Switches. Wenn mindestens ein unterstützter Mitgliedstyp in der Sicherheitsgruppe enthalten ist, kann die Empfehlungsanalyse fortgesetzt werden, aber nicht unterstützte Mitgliedstypen werden während der Empfehlungsanalyse nicht berücksichtigt.

Es gibt mehrere Möglichkeiten, eine Empfehlung mithilfe der NSX Intelligence-Benutzeroberfläche zu generieren. In der folgenden Vorgehensweise werden die verfügbaren Methoden beschrieben.

Voraussetzungen

  • Aktivieren Sie die Funktion NSX Intelligence 3.2 oder höher auf der NSX Application Platform. Weitere Informationen finden Sie im Aktivieren und Aktualisieren von VMware NSX Intelligence 3.2-Dokument.

  • Stellen Sie sicher, dass Sie über die erforderlichen Rechte zum Generieren von Empfehlungen verfügen. Weitere Informationen hierzu finden Sie unter Rollenbasierte Zugriffssteuerung in NSX Intelligence.

Prozedur

  1. Melden Sie sich über Ihren Browser unter https://<nsx-manager-ip-address> mit den entsprechenden Rechten bei einem NSX Manager an.
  2. Initiieren Sie die Generierung einer neuen Empfehlung mithilfe einer der folgenden Methoden.

    Startpunkt

    Nächster Schritt

    Wählen Sie Planen und Fehler beheben > Empfehlungen aus.

    Klicken Sie auf Neue Empfehlungen starten.

    Wählen Sie als Empfehlungen für eine Gruppe Planen und Fehler beheben > Entdecken und Ergreifen von Aktionen aus.

    1. Stellen Sie sicher, dass die Ansicht Gruppen im Ansichtsauswahlbereich Sicherheit ausgewählt ist.

    2. Klicken Sie mit der rechten Maustaste auf den Knoten für die Gruppe, für die Sie eine Empfehlung generieren möchten.

    3. Wählen Sie Empfehlungen starten im Dropdown-Menü aus.

    Für Empfehlungen für VMs oder physische Server wählen Sie Planen und Fehler beheben > Entdecken und Ergreifen von Aktionen.

    Wählen Sie mindestens eine VM oder einen physischen Server oder eine Kombination aus beidem aus.

    1. Klicken Sie im Ansichtsauswahlbereich Sicherheit auf den Pfeil nach unten neben Gruppen und wählen Sie Berechnungen.

    2. Klicken Sie auf Alle Typen anzeigen und wählen Sie VMs oder Physische Server. Alternativ können Sie in der Liste „Verfügbare Elemente“ bestimmte VMs oder physische Server auswählen.

    3. Klicken Sie auf Übernehmen.

    4. Klicken Sie auf das Stabsymbol für Empfehlungen Stabsymbol für Empfehlungen links im Flows-Balken.

    5. Wählen Sie Empfehlungen für die gefilterten Berechnungen starten.

  3. Ändern Sie im Assistenten Neue Empfehlung starten den Standardwert für das Textfeld Empfehlungsname.

    Benennen Sie die Anwendung, für die die Segmentierung durchgeführt wird. Der Name wird als Präfix für die Namen aller empfohlenen Gruppen und Regeln verwendet, die während der Empfehlungsanalyse erstellt werden.

  4. Ändern Sie den Standardwert für das Textfeld Beschreibung, um die Informationen über die Empfehlung leichter wieder aufzurufen.
  5. Definieren oder ändern Sie die VMs oder physischen Server, die als Begrenzung für die Sicherheitsrichtlinien-Empfehlung verwendet werden sollen.
    1. Klicken Sie in Ausgewählte Elemente im Geltungsbereich auf Entitäten auswählen. Wenn Sie die Gruppen, die VMs oder die physischen Server bereits ausgewählt haben, klicken Sie auf den Link zur Anzahl der ausgewählten Entitäten, um Ihre aktuelle Auswahl zu bearbeiten.
    2. Klicken Sie im Dialogfeld Entitäten auswählen auf Gruppen, um eine oder mehrere Gruppen auszuwählen. Um die VMs oder physischen Server auszuwählen, die Sie als Begrenzung für die Analyse verwenden möchten, klicken Sie auf die Registerkarte VMs oder auf die Registerkarte Physische Server und treffen Sie Ihre Auswahl.

      Sie können Gruppen und bis zu 100 VMs oder physische Server auswählen, aber nicht mehr als 250 effektive Berechnungseinheiten, die für den Empfehlungsgrenzwert verwendet werden sollen. Deaktivieren Sie diejenigen, die Sie nicht einschließen möchten. Sie können auch auf Filter klicken und die Attribute auswählen, die zum Filtern der Gruppen, der VMs oder der physischen Server verwendet werden, die ausgewählt werden sollen.

    3. Klicken Sie auf Speichern.
    4. (Optional) Wenn das System festgestellt hat, dass mit den Gruppen, die Sie im vorherigen Schritt ausgewählt haben, ein vorhandener Abschnitt für verteilte Firewall (DFW) verknüpft ist, wählen Sie im Dialogfeld Abschnitt „Verteilte FW“ auswählen aus, ob Sie den vorhandenen Abschnitt für verteilte Firewall (DFW) verwenden oder einen neue erstellen möchten. Klicken Sie auf Speichern.

      Im Assistenten Neue Empfehlung starten gibt der Zahlenlink im Textfeld Ausgewählte Elemente im Geltungsbereich die Anzahl der ausgewählten Entitäten an.

      Wenn Sie während der Empfehlungsanalyse die Verwendung eines vorhandenen Abschnitts für verteilte Firewall (DFW) ausgewählt haben, gibt das System den Abschnitt an, der unter dem Textfeld Ausgewählte Elemente im Geltungsbereich angezeigt wird.

  6. Ändern Sie im Textfeld Zeitbereich optional den Standardwert, der zum Generieren der Empfehlung verwendet werden soll.

    Der Standardwert für den Zeitbereich ist Letzten 1 Monat. Netzwerkdatenverkehrs-Flows, die zwischen den ausgewählten VMs oder physischen Servern oder einer Gruppe von VMs oder physischen Servern im Zeitbereich aufgetreten sind, werden während der Empfehlungsanalyse verwendet. Weitere Werte zur Auswahl sind Letzte 1 Stunde, Letzte 12 Stunden, Letzte 24 Stunden, Letzte 1 Woche, Letzte 2 Wochen oder Letzter 1 Monat.

  7. Erweitern Sie den Abschnitt Erweiterte Optionen und ändern Sie bei Bedarf die zugewiesenen Standardwerte.

    Wenn Sie keinen vorhandenen DFW-Abschnitt verwenden, können Sie die standardmäßig zugewiesenen Werte ändern. Wenn Sie einen vorhandenen DFW-Abschnitt verwenden möchten, werden die in diesem Abschnitt angezeigten Werte aus diesem vorhandenen DFW-Abschnitt bezogen.

    1. Wählen Sie im Dropdown-Menü Regeln erstellen für den Typ der Datenverkehrsflows aus, der in der Empfehlungsanalyse berücksichtigt werden soll. Die Standardeinstellung ist All Traffic.
      • Eingehender und ausgehender Datenverkehr – Alle Datenverkehrsflow-Typen, die von innerhalb der Anwendungsgrenze nach außerhalb der Grenze und von außerhalb der Anwendungsgrenze nach innerhalb der Grenze fließen.

      • Eingehender Datenverkehr – Nur Datenverkehrsflows, die außerhalb ihrer Anwendungsbegrenzung liegen, werden berücksichtigt.

      • Gesamter Datenverkehr – Alle ausgehenden, eingehenden und interne Anwendungsdatenverkehrs-Flow-Typen werden berücksichtigt.

      • Eingehender und in der Anwendung abgewickelter Datenverkehr – Alle Datenverkehrsflow-Typen, die von inner- und außerhalb Ihrer Anwendungsbegrenzung stammen, werden berücksichtigt.

    2. Wählen Sie im Dropdown-Menü Standardregel die Konnektivitätsstrategie aus, die verwendet werden soll, um die Standardregel für die Sicherheitsrichtlinie zu erstellen. Eine geeignete Aktion wird basierend auf dem Wert der Konnektivitätsstrategie auf der Regel festgelegt. Der Standardwert lautet Keine.
      • Negativliste – Erstellt eine standardmäßige Genehmigungsregel.

      • Positivliste – Erstellt eine standardmäßige Ablageregel.

      • Keine – Es wird keine Standardregel erstellt.

    3. Ändern Sie bei Bedarf den Standardwert für die Empfehlungsausgabe.

      Computergestützt ist der verwendete Standardausgabemodus. Dieser Modus bedeutet, dass die von der Empfehlungs-Engine generierte DFW-Richtlinienempfehlung Gruppen enthält, deren Mitglieder VMs, physische Server oder beides sind. Wenn der IP-basierte-Empfehlungsausgabemodus ausgewählt ist, enthält die generierte DFW-Richtlinienempfehlung Gruppen, deren Mitglieder IPSet-Objekte mit einer statischen Liste von IP-Adressen sind. Eine IP-basierte Empfehlung ist nicht fest an eine VM gebunden. Wenn eine VM gelöscht und ihre IP-Adresse einer neuen VM zugewiesen wird, wird die neue VM derselben Gruppe zugewiesen. Die DFW-Richtlinien für die Gruppe werden auch auf die neue VM angewendet.

    4. Ändern Sie bei Bedarf den Wert für Empfehlungsdiensttyp.

      Der Standardtyp ist L4-Dienste, der sich aus dem entsprechenden Layer 4-Port und -Protokoll zusammensetzt. Alternativ können Sie L7-Kontextprofile für Layer-7-Kontextprofile auswählen.

    5. Ändern Sie den Standardwert für den Schwellenwert für Gruppenwiederverwendung so, wie Sie es für die Erstellung der Regelempfehlung für angemessen halten.

      Sie können den prozentualen Schwellenwert zwischen 10 und 100 festlegen. Der Wert gibt an, wie streng das System Gruppen wiederverwendet, um die erkannten Flows abzudecken, die nicht mikrosegmentiert sind. Verwenden Sie diesen Wert, um zu steuern, ob vorhandene Gruppen wiederverwendet oder neue Gruppen erstellt werden sollen. Die Gruppenwiederverwendungsfunktion ist für jeden Empfehlungsauftrag mit vorhandener Sicherheitsrichtlinie oder neuer Sicherheitsrichtlinie anwendbar.

      Wenn dieser Wert auf 100 gesetzt wird, können nur Gruppen als zusätzliche Regelquellen oder -ziele ausgewählt werden, die genau dieselben Mitglieder haben wie die Berechnungsentitäten, die das System gruppieren möchte. Die Verwendung eines sehr hohen Werts kann jedoch dazu führen, dass mehr neue Gruppen erstellt werden, da vorhandene Gruppen weniger wahrscheinlich in geänderten Regeln wiederverwendet werden.

      Wenn Sie diesen Wert auf niedrigere Werte wie 10 oder 20 festlegen, können auch Gruppen mit anderen Mitgliedern als den Berechnungsentitäten, die das System gruppieren möchte, als zusätzliche Regelquellen oder -ziele ausgewählt werden. Die Verwendung eines niedrigeren Werts kann zu einer Wiederverwendung aggressiver Gruppen führen, weshalb weniger neue Gruppen empfohlen werden.

    6. Ändern Sie bei Bedarf die im Textfeld Flows ausschließen ausgewählten Standardwerte, um die Flow-Typen des Datenverkehrs anzugeben, die Sie bei der Empfehlungsanalyse ausschließen möchten.

      Diese Funktion ist ab NSX Intelligence 3.2.1 verfügbar. Die Standardwerte lauten Broadcast-Flows und Multicast-Flows. Diese Flow-Typen sind nicht relevant für Regeln für Anwendungskategorien. Durch den Ausschluss von Broadcast-Flows, Multicast-Flows oder beider Flow-Typen kann die Analyse der DFW-Regelempfehlung optimiert werden.

  8. Um mit der Empfehlungsanalyse zu beginnen, klicken Sie auf Ermittlung starten.

    Die Empfehlungen werden seriell verarbeitet. Im Durchschnitt kann es zwischen 3 und 4 Minuten dauern, bis die Verarbeitung einer Empfehlung abgeschlossen ist, je nachdem, ob noch weitere Empfehlungen verarbeitet werden müssen. Wenn die Anzahl der zu analysierenden Datenverkehr-Flows zwischen den VMs und physischen Servern umfangreich ist, kann das Generieren einer Empfehlung zwischen 10 und 15 Minuten dauern.

    In der Tabelle Empfehlungen werden die Empfehlungen angezeigt, die Sie initiiert haben (siehe folgende Abbildung).



    • Sie können die Status der Empfehlungsanalyse in der Spalte Status der Tabelle Empfehlungen verfolgen. Es gibt folgende Status-Phasen: Warten, Ermittlung wird ausgeführt, Bereit zum Veröffentlichen und Veröffentlicht. Wenn das System keine Empfehlung generiert, wird der Wert Status auf Keine Empfehlungen verfügbar festgelegt. Wenn die Empfehlungsanalyse aus irgendeinem Grund fehlgeschlagen ist, wird der Status Fehlgeschlagen angezeigt.

    • In der Spalte Eingabeentitäten werden die Elemente aufgelistet, die zum Generieren der Empfehlung verwendet wurden. Wenn Sie auf den verknüpften Text in dieser Spalte klicken, wird das Dialogfeld Ausgewählte Entitäten im schreibgeschützten Modus angezeigt.

    • In der Spalte Überwachung wird angegeben, ob Änderungen für die ursprünglichen Eingabeentitäten überwacht werden, die zum Generieren der Empfehlung verwendet werden. Diese Funktion steht für Empfehlungen mit dem Status Bereit zum Veröffentlichen, Keine Empfehlungen verfügbar oder Fehlgeschlagen zur Verfügung. Sie können die Option Überwachung ein- oder ausschalten. Wenn der Umschalter aktiviert ist, werden Änderungen im Geltungsbereich der Eingabeentitäten oder an der Konnektivitätsstrategie stündlich überprüft.

    • Wenn bei einer der verwendeten Eingabeentitäten Änderungen vorgenommen wurden, wird das Symbol für eine erkannte Änderung neben dem Status Bereit zum Veröffentlichen, Keine Empfehlungen verfügbar oder Fehlgeschlagen angezeigt. Sie können die Änderungen überprüfen und die Empfehlung erneut ausführen. Weitere Informationen hierzu finden Sie unter NSX Intelligence-Empfehlungen erneut ausführen.

    • Wenn Sie auf das Arbeitsflächensymbol auf der rechten Seite der Empfehlungszeile klicken, wird die Visualisierung der ausgewählten Entitäten auf der grafischen Arbeitsfläche unter der Benutzeroberfläche Planen und Fehler beheben > Entdecken und Ergreifen von Aktionen angezeigt. Wenn der angezeigte Empfehlungsstatus Veröffentlicht lautet, werden empfohlene Gruppen auf der grafischen Arbeitsfläche Entdecken und Ergreifen von Aktionen angezeigt, wenn Sie auf das Arbeitsflächensymbol klicken.

  9. Wenn der Wert für Status Bereit zum Veröffentlichen ist, überprüfen Sie die generierte Empfehlung und entscheiden Sie, ob Sie sie veröffentlichen möchten. Siehe Erstellte NSX Intelligence-Empfehlungen überprüfen und veröffentlichen.