Wenn die generierte NSX Intelligence-Empfehlung den Status Bereit zum Veröffentlichen erreicht, können Sie die Empfehlung überprüfen, sie bei Bedarf ändern und entscheiden, ob sie veröffentlicht werden soll.

Voraussetzungen

Prozedur

  1. Melden Sie sich über Ihren Browser unter https://<nsx-manager-ip-address> mit den entsprechenden Rechten bei einem NSX Manager an.
  2. Klicken Sie auf Planen und Fehler beheben > Empfehlungen.
  3. (Optional) Um die Liste der anzuzeigenden Empfehlungen einzugrenzen, klicken Sie in der oberen rechten Ecke der Benutzeroberfläche auf Filtern. Klicken Sie auf Filter anwenden und wählen Sie mindestens einen Filter aus dem Dropdown-Menü aus.

    Wählen Sie nach dem Klicken auf Filter anwenden beispielsweise Grundlegende Details > Überwachung > Ein aus, um nur die Empfehlungen anzuzeigen, für die der Überwachungsparameter auf „Ein“ festgelegt ist.

  4. (Optional) Wenn Sie die generierter Empfehlung nicht verwenden möchten, klicken Sie auf das Aktionsmenü und wählen Sie Löschen aus.
  5. Um mit der Überprüfung und Verwaltung der Details einer Empfehlung mit dem Status Bereit zum Veröffentlichen zu beginnen, klicken Sie auf den Link des Empfehlungsnamens oder klicken Sie auf das Aktionsmenü und wählen Sie Überprüfen und veröffentlichen aus.

    Der Assistent Empfehlungen wird ähnlich der folgenden Abbildung angezeigt. Im Bereich Empfehlungen überprüfen werden die Details zu den Empfehlungen in einer geteilten Ansicht angezeigt. In der oberen Hälfte des Bereichs wird eine Visualisierung der Empfehlungen im grafischen Format angezeigt. In der unteren Hälfte des Bereichs werden die Empfehlungen im tabellarischen Format aufgelistet.


    Der Bereich „Empfehlungen“ wird durch den umgebenden Inhalt beschrieben.

  6. Verwenden Sie die obere Hälfte des Bereichs, um die grafische Visualisierung der Empfehlungen zu untersuchen.

    Sie können auf bestimmte Knoten und Flow-Pfeile klicken, um die Details für die Empfehlungen anzuzeigen. Sie können auf den Flow-Pfeil zwischen zwei Gruppenknoten verweisen, um zu sehen, welche Richtlinienregeln zwischen Gruppen angewendet oder welche Dienste erstellt wurden. Klicken Sie mit der rechten Maustaste auf den Flow-Pfeil, um die Empfehlung nach den entsprechenden Richtlinienregeln zu filtern.

    Knoten mit dem Symbol Symbol für empfohlene Gruppen am Rand weisen darauf hin, dass der Knoten eine empfohlene Gruppe darstellt. Sie können mit der rechten Maustaste auf den Knoten einer empfohlenen Gruppe klicken, die Gruppe umbenennen oder die dieser Gruppe angehörenden Berechnungsentitätsmitglieder bearbeiten. Sie können auch mit der rechten Maustaste auf einen Gruppenknoten klicken und Filtern nach auswählen, um die aktuelle Gruppe als Filter zu verwenden, mit dem Details zur generierten Empfehlung angezeigt werden.

    Änderungen, die mithilfe der grafischen Ansicht der Empfehlungen vorgenommen wurden, werden in der Tabelle in der unteren Hälfte des Fensterspeichers angezeigt. Ebenso werden Änderungen an den Empfehlungsinformationen der Tabelle in der grafischen Visualisierung widergespiegelt.

  7. In der unteren Hälfte des Bereichs Empfehlungen überprüfen können Sie die tabellarische Ansicht der Empfehlungen verwenden, um die Details zu den Regeln, Gruppen und Diensten zu sehen, die in der Empfehlung enthalten sind. Verwenden Sie die Registerkarte Für Empfehlungen verwendete Flows, um die ungeschützten Datenverkehrsflüsse anzuzeigen, die zum Generieren der Empfehlungen verwendet wurden.

    Sie können alle Empfehlungsdetails prüfen und ändern, indem Sie auf die Registerkarte Regeln, Gruppen oder Dienste klicken.

    Im Abschnitt Empfohlene Richtlinien werden Zahlen auf den Registerkarten Regeln, Gruppen und Dienste angezeigt. Diese Zahlen geben die Anzahl der neu empfohlenen Regeln, Gruppen und Dienste an. Sie waren nicht in der NSX-Bestandsliste vorhanden, als die Empfehlungen generiert wurden. Beispielsweise werden im Screenshot oben auf der Registerkarte Dienste null empfohlene Dienste angezeigt. Die Dienste, die von den Gruppen verwendet werden, waren zum Zeitpunkt der Empfehlungsgenerierung in der NSX-Bestandsliste vorhanden. Aus diesem Grund werden keine neuen Dienste empfohlen.

    Alle Änderungen, die an den Regeln auf der Registerkarte Regeln vorgenommen werden (z. B. das Hinzufügen, Löschen oder Bearbeiten einer Regel oder eines Abschnitts), werden sofort in der Regeltabelle und im grafischen Visualisierungsbereich angezeigt. In der Tabelle „Regeln“ zeigen Regeln, die links von ihrem Namen das Badge Neu aufweisen, dass es sich um eine neu erstellte Regel handelt und nicht um eine bereits vorhandene DFW-Regel, die ausgewählten Entitäten zugeordnet ist. Wenn eine bestehende Regel verwendet wird, die nicht geändert wurde, wird die Zeile für die Regel abgeblendet dargestellt. Wenn die Empfehlungs-Engine eine vorhandene Regel geändert hat, wird die Zeile für diese Regel nicht abgeblendet angezeigt und weist nicht das Badge „Neu“ daneben auf.

    1. Um die Details in den Spalten Quellen, Ziele oder Angewendet auf zu bearbeiten, zeigen Sie auf die entsprechende Spalte und klicken Sie auf das Bearbeitungssymbol Bearbeitungssymbol.

      Überprüfen Sie im resultierenden Dialogfeld (z. B. Quellgruppen festlegen) die neu empfohlenen Gruppen oder vorhandenen Gruppen, die die Empfehlungs-Engine generiert hat. Wenn Sie Gruppen hinzufügen oder entfernen, klicken Sie auf Speichern.

    2. Wenn Sie eine empfohlene Gruppe umbenennen möchten, klicken Sie auf der Registerkarte Regeln oder auf der Registerkarte Gruppen auf den Link für den Gruppennamen. Klicken Sie im Dialogfeld Gruppendetail auf Gruppendefinition und geben Sie im Textfeld Name einen neuen Namen für die empfohlene Gruppe ein. Klicken Sie auf Speichern.
    3. Um zu definieren, wie die Pakete beim Zutreffen der DFW-Regel verarbeitet werden sollen, wählen Sie Zulassen, Verwerfen oder Ablehnen in der Spalte Aktion aus.
    4. Um die DFW-Regel zu aktivieren oder zu deaktivieren, schalten Sie die Schaltschaltfläche auf der rechten Seite der Spalte Aktion entsprechend ein oder aus. Standardmäßig ist die generierte Regel zum Veröffentlichungszeitpunkt der Empfehlung auf Activated festgelegt.
    5. Um die Details zu den Gruppen in der Empfehlung zu überprüfen, klicken Sie auf die Registerkarte Gruppen.

      Bevor Sie eine Gruppe löschen, stellen Sie sicher, dass die Gruppe von keinen Regeln verwendet wird.

    6. Klicken Sie auf den Link in der Spalte Mitglieder, um die Details zu den VMs, IPs und physischen Servern zu überprüfen, die für die Gruppenempfehlung festgelegt wurden.
    7. Klicken Sie auf das Aktionsmenü neben dem Namen der Gruppe und wählen Sie Bearbeiten aus, um Änderungen an der Gruppenempfehlung vorzunehmen.
    8. Klicken Sie auf die Registerkarte Dienste und überprüfen Sie die Details.
    9. Klicken Sie auf das Aktionsmenü neben dem Namen des Dienstes und wählen Sie Bearbeiten aus, um Änderungen am Namen oder an der Beschreibung vorzunehmen.

      Bevor Sie einen Dienst löschen, stellen Sie sicher, dass der Dienst von keinen Regeln verwendet wird.

    10. Klicken Sie auf das Zahnradsymbol Zahnradsymbol ganz rechts in der Zeile, um die Einstellungen zu überprüfen und zu verwalten, die zur Erstellung der Empfehlung verwendet wurden.
  8. Um mit der Veröffentlichung der Empfehlung fortzufahren, klicken Sie auf Fortfahren.

    Alternativ können Sie auf Später fortfahren klicken, um alle von Ihnen vorgenommenen Änderungen zu speichern und die Sitzung der Empfehlungsbewertung zu beenden.

  9. Definieren Sie im Bereich Sequenzieren und Veröffentlichen die Reihenfolge, in der die neu empfohlenen Sicherheitsrichtlinien in Bezug auf die bestehenden Regeln der DFW angewendet werden sollen.
    Hinweis:

    Wenn Sie einen Firewallabschnitt wiederverwenden möchten, können Sie die empfohlene Richtlinie weder verschieben noch neu anordnen. Sie können nur neue empfohlene Richtlinien neu anordnen.

    1. Wählen Sie die Zeile für die neue Sicherheitsrichtlinienempfehlung aus.
    2. Klicken Sie auf das Symbol für das Menü „Aktionen“ Aktionsmenü ganz links in der Zeile der neu empfohlenen Sicherheitsrichtlinien.
    3. Um die ausgewählte Zeile für die neu empfohlene Sicherheitsrichtlinie über oder unter die Zeile der vorhandenen Sicherheitsrichtlinie zu verschieben, wählen Sie Ausgewählte Richtlinien über diese Richtlinie verschieben oder Ausgewählte Richtlinien unter diese Richtlinie verschieben aus dem angezeigten Menü.

      Alternativ können Sie die Zeile für die aktuell ausgewählte neue Richtlinienempfehlung nach oben oder unten in die gewünschte Reihenfolge ziehen.

  10. Klicken Sie auf Veröffentlichen.

    Um die Überprüfung der Empfehlung abzubrechen, klicken Sie auf Abbrechen.

  11. Klicken Sie im Dialogfeld Empfehlungen veröffentlichen auf Ja.
  12. Klicken Sie im Dialogfeld Veröffentlichte Richtlinien auf Abbrechen, um das Dialogfeld zu schließen, oder auf In Tabelle „Verteilte Firewall“ anzeigen, um die Sicherheitsrichtlinien anzuzeigen, die gerade auf der Registerkarte Sicherheit > Verteilte Firewall > Alle Regeln veröffentlicht wurden.

    Im Bereich Planen und Fehler beheben > Empfehlungen wurde die Spalte Status der gerade von Ihnen veröffentlichten Empfehlung nun in Veröffentlicht in der Tabelle Empfehlungen geändert.

Ergebnisse

Nachdem die Empfehlungen für die Sicherheitsrichtlinie erfolgreich veröffentlicht wurden, befinden Sie sich im schreibgeschützten Modus auf der Registerkarte Planen und Fehler beheben > Empfehlungen. Um die veröffentlichten Regel-Empfehlungen anzuzeigen und zu verwalten, wechseln Sie zu Sicherheit > Verteilte Firewall.

Wichtig:

Nachdem Sie die Regel-Empfehlungen veröffentlicht haben, zeigt die Visualisierung weiterhin die betroffenen Flows zwischen den Berechnungsentitäten als orangefarbene Pfeile (ungeschützte Flows) an, bis neue Flows zwischen den betroffenen Berechnungsentitäten generiert werden. Die Visualisierung meldet nur Datenverkehrsflüsse basierend auf der Zeit, in der sie auf dem Host aufgetreten sind, und spiegelt nicht den Regelsatz wider, der nach dem Auftreten der Datenverkehr-Flows veröffentlicht wurde. Nachdem der Regelsatz veröffentlicht und neue Datenverkehrsflüsse generiert wurden, werden die neuen Flows als grüne Pfeile (zulässige Flows) angezeigt.