Basierend auf dem Datenverkehrsumfang, den Sie zum Zeitpunkt des Starts der Generierung einer Empfehlung ausgewählt haben, wählt die NSX Intelligence-Empfehlungs-Engine nicht mikrosegmentierte Ingress- (eingehende), Egress- (ausgehende) oder anwendungsinterne Datenverkehrsflüsse von und zwischen den Berechnungseinheiten Ihres angegebenen Empfehlungsgrenzwerts aus.

Die NSX Intelligence-Empfehlungs-Engine aggregiert die Flows nach dem Dienst (Ports oder Protokollkriterien), bei dem diese Flows aufgetreten sind. Die Quellen und Ziele für jeden der Flows für einen bestimmten Dienst werden gruppiert. Beim Erstellen der Gruppierung verwendet die NSX Intelligence-Empfehlungs-Engine den benutzerdefinierten Schwellenwert für das Übereinstimmungsverhältnis und versucht, Gruppen wiederzuverwenden, die in der NSX-Bestandsliste vorhanden sind, einschließlich der Gruppen, die innerhalb eines vorhandenen IPSet-Bereichs einer Gruppe liegen.

Wenn die NSX Intelligence-Empfehlungs-Engine keine vorhandene Gruppe findet, die den festgelegten Gruppierungsgrenzwert erfüllt, wird eine neue zu empfehlende Gruppe erstellt.

Wenn Sie eine Empfehlung generieren, berücksichtigt die NSX Intelligence-Empfehlungs-Engine die Datenverkehrsflusstypen, die Sie in der Option Zu analysierender Datenverkehr angegeben haben. Wenn Sie den Typ des eingehenden Datenverkehrsflusses ausgewählt haben, werden nur Datenverkehrsflüsse berücksichtigt, die von außerhalb Ihrer Anwendungsgrenze stammen. Wenn Sie als Verkehrsflussarten den gesamten Verkehr, den eingehenden und ausgehenden Verkehr oder den eingehenden und anwendungsinternen Verkehr ausgewählt haben, dann aggregiert die NSX Intelligence-Empfehlungs-Engine die Datenverkehrsflüsse in diese Richtungen, um die auf dem Dienst basierende DFW-Regelempfehlung zu bilden.

Sehen Sie sich z. B. die folgenden Flows an.

  • Begrenzung wird mithilfe von VM1 und VM2 festgelegt

  • Gruppen: CG mit VM1 und VM2 als Mitglieder

  • Gruppen: G3 mit VM3 und VM4 als Mitglieder

  • Angenommener Übereinstimmungsschwellenwert: 50%

Die nicht segmentierten Datenverkehrsflüsse lauten wie folgt.

  • VM3 zu VM1 über SSH

  • VM1 zu VM2 über SSH

Im Folgenden ist die resultierende Mikrosegmentierungsempfehlung aufgeführt, bei der es sich um eine einzelne Regel für SSH handelt.

Quellgruppe

Zielgruppe

Dienst

Angewendet-auf Gruppe

G3 + CG (vorhandene Gruppen erneut verwendet)

CG mit VM1, VM2 als Mitglieder

SSH

Gruppen-CG mit VM1 und VM2 als Mitglieder

Wenn die Datenverkehrsflüsse von außerhalb der konfigurierten Maske privater IP-Adressen stammen, werden die Flows von und zu solchen IP-Adressen, die nicht in der privaten IP-Präfixliste enthalten sind, als „ANY“ markiert.

Beachten Sie die folgenden nicht segmentierten Flows.

  • ANY-Flows zu VM1 über SSH

  • Flows von VM1 zu VM3 über SSH

  • Begrenzung wird mithilfe von VM1 und VM2 festgelegt

  • Die definierte Gruppe ist CG mit VM1 und VM2 als Mitglieder

In diesem Fall werden die eingehenden und ausgehenden Flows bei der Aggregation zu ANY-Flows von VM1 zu VM2 und VM3 über SSH.

Dies führt wiederum zu der folgenden Mikrosegmentierungsregel.

Quelle

Ziel

Dienst

Angewendet auf

ANY

[VM1] in CG, [VM3] in G3

SSH

CG [VM1, VM2]
Hinweis:

Alle Regeln werden immer nur auf die Mitglieder der Empfehlungsgrenze angewendet, die Sie vor dem Generieren der Empfehlung angegeben haben. Die Grundzusammenfassung dient dazu, die Anzahl der DFW-Regeln zu reduzieren, die basierend auf dem Dienst entstehen würden.

Empfehlung für vorhandene DFW-Abschnitte

Wenn die Entitäten, die Sie im Grenzwertbereich der Empfehlung ausgewählt haben, mit vorhandenen Abschnitten einer verteilten Firewall verknüpft sind und Sie die Option Vorhandenen Abschnitt verwenden im Dialogfeld Abschnitt „Verteilte FW“ auswählen ausgewählt haben, bezieht die NSX Intelligence-Empfehlungs-Engine diese vorhandenen DFW-Abschnitte bei der Durchführung der Empfehlungsanalyse mit ein. Die DFW-Empfehlungen umfassen die Aktualisierung der Quell- und Zielfelder bestehender Regeln, um alle geleakten Datenflüsse zu und von den Rechenarbeitslasten, die dem Umfang des angegebenen DFW-Abschnitts entsprechen, ordnungsgemäß zu mikrosegmentieren.

Bisher hat der Support nur eine Aktualisierung vorhandener L4-Regeln in den vorhandenen DFW-Abschnitten bereitgestellt. Ab NSX Intelligence 4.1.1 können Sie auch bestehende L7-Regeln in den bestehenden DFW-Abschnitten aktualisieren, die mit den Entitäten in dem von Ihnen angegebenen Grenzwertbereich der Empfehlung verbunden sind.

Mit dieser neuen Funktion müssen Sie die Option L7-Kontextprofile im Abschnitt Empfehlungsdiensttyp im Dialogfeld Neue Empfehlung starten auswählen.

Die folgenden Informationen beschreiben, was passiert, wenn Sie die Option L7-Kontextprofile auswählen: Die NSX Intelligence-Empfehlungs-Engine erstellt Regeln bzw. Gruppen oder ändert vorhandene Regeln, wenn geleakte Flows entdeckt werden.
  1. Alle vorhandenen Regeln werden verwendet, um die geleakten Flows abzugleichen, und die NSX Intelligence-Empfehlungs-Engine versucht, die Flows mit denselben port-, protocol- und app_id-Werten in den Regeln abzugleichen. Die Probenahme der Flows mit einem app_id-Wert ungleich Null wird als Teil der geleakten Flows beibehalten. Die Probenahmen von Flows mit einem app_id-Wert, der gleich 0 oder leer ist, werden herausgefiltert.
  2. "Die Regeln werden verwendet, wenn ihre Quellen oder Ziele übereinstimmen." Bevorzugt werden Regeln mit nur einer Seite, die aktualisiert werden muss. Wenn keine gefunden wird, werden die Regeln ausgewählt, bei denen sowohl die Quelle als auch das Ziel aktualisiert werden müssen.
    1. Bei Flows mit einem app_id-Wert wird die L7-Regel verwendet, wenn eine vorhandene Regel gefunden und ausgewählt wurde.
    2. Bei Flows ohne app_id-Wert darf die Regel, wenn sie mit einer vorhandenen Regel übereinstimmt und ausgewählt wird, keine Kontextprofile enthalten. Der NSX Intelligence-Empfehlungsauftrag ändert nur die Quellen und Ziele in dieser Regel.
  3. "Wenn keine vorhandenen Regeln gefunden werden, wird eine neue Regel erstellt."
    1. Bei Flows mit einem app_id-Wert wird eine neue Regel erstellt, die die Kontextprofile enthält, wenn das Detail des Kontextprofils anhand des mit der Flow verbundenen app_id-Wertes identifiziert werden kann. Andernfalls wird eine neue L4-Regel erstellt, da die NSX Intelligence-Empfehlungs-Engine keine neuen Kontextprofile erstellt.
    2. Bei Flows ohne app_id-Wert erstellt die NSX Intelligence-Empfehlungs-Engine eine neue L4-Regel, die den Flows entspricht.
  4. Wenn die NSX Intelligence-Empfehlungs-Engine eine bestehende Regel findet, die geändert werden muss (d. h. eine übereinstimmende Quell-/Zielseite), wird die nicht übereinstimmende Seite geändert, um die (neuen oder wiederverwendeten) Gruppen einzuschließen, die die Berechnungen enthalten, für die die geleakten Flows entdeckt wurden.
  5. Die nicht übereinstimmende Seite einer Regel wird so geändert, dass die Gruppen basierend auf den folgenden Auswahlkriterien einbezogen werden:
    1. Eine Gruppe wird ausgewählt, indem nach der maximalen Übereinstimmung der geleakten VMs gesucht wird. Es kann sich um eine teilweise Übereinstimmung handeln, bei der die Gruppe auch andere, nicht an den Datenflüssen beteiligte Berechnungen umfassen kann. Es können mehrere Gruppen ausgewählt werden. Die Gruppen werden nach dem höchsten Übereinstimmungsverhältnis, dann nach der Anzahl der Übereinstimmungen und dann nach der letzten Erstellungszeit ausgewählt (neuere Erstellungen werden priorisiert), bis keine weiteren Gruppen ausgewählt werden können oder alle Leaks erfasst sind.
    2. Wenn die Berechnungseinheiten keiner Gruppe zugeordnet sind, wird eine neue Gruppe für diese Berechnungseinheiten erstellt. Die Gruppen werden für Berechnungseinheiten erstellt, selbst wenn die Berechnungseinheiten in bestehenden Gruppen vorhanden sind, wenn das Übereinstimmungsverhältnis kleiner als der angegebene Schwellenwert für die Gruppenwiederverwendung ist.
  6. Eine Regel wird geändert, um die ausgewählten Gruppen in Quellen oder Ziele aufzunehmen.
  7. Wenn keine geleakten Flows erkannt werden, was bedeutet, dass die aktuell vorhandenen Regeln alle Datenverkehrsflüsse während des ausgewählten Zeitraums abdecken, wird keine neue DFW-Regel empfohlen.
  8. Wenn eine vorhandene DFW-Regel geändert werden muss und es sich um eine L7-Regel mit Kontextprofilen handelt, werden die Kontextprofile in dieser DFW-Regel beibehalten.
Hinweis:

Wenn der als Eingabe bereitgestellte DFW-Abschnitt bereits viele Regeln enthält und die empfohlenen neuen DFW-Regeln die Grenze von 1000 Regeln pro Abschnitt überschreiten können, wird der Status des NSX Intelligence-Empfehlungsauftrags auf FEHLGESCHLAGEN gesetzt. Dies führt dazu, dass die DFW-Regelempfehlung nicht veröffentlicht werden kann. Sie müssen einen Abschnitt bereitstellen, der ausreichend Platz hat, um die empfohlenen Regeln hinzuzufügen.