VMware NSX-T wurde entwickelt, um auf die neuen Anwendungs-Frameworks und -Architekturen einzugehen, die über heterogene Endpoints und Technologie-Stacks verfügen. Zusätzlich zu vSphere können diese Umgebungen auch andere Hypervisoren, Container, Bare Metal und Public Clouds enthalten. vRealize Network Insight unterstützt NSX-T-Bereitstellungen, bei denen die VMs von vCenter verwaltet werden.

Überlegungen

  • vRealize Network Insight unterstützt nur die NSX-T-Einrichtungen, in denen vCenter die ESXi-Hosts verwaltet.
  • vRealize Network Insight unterstützt NSGroups, NSX-T-Firewallregeln, IPSets, logische Ports und logische Switches von NSX-T sowie verteilte NSX-T-Firewall-IPFIX-Flows, Segment, Gruppe und Richtlinie auf der Basis des VPN.
  • vRealize Network Insight unterstützt sowohl NSX-V als auch NSX-T-Bereitstellungen. Wenn Sie NSX in Ihren Abfragen verwenden, enthalten die Ergebnisse sowohl NSX-V- als auch NSX-T-Einheiten. NSX Manager enthält sowohl NSX-V- als auch NSX-T Manager. NSX-Sicherheitsgruppen enthalten sowohl NSX-T- als auch NSX-V-Sicherheitsgruppen. Wenn NSX-V oder NSX-T anstelle von NSX verwendet wird, werden nur diese Einheiten angezeigt. Dieselbe Logik gilt für Einheiten wie z. B. Firewallregeln, IPSets und logische Switches.
  • Mit der Version NSX-T 2.4 unterstützt vRealize Network Insight die deklarative Richtlinienverwaltung von NSX, die Netzwerk- und Sicherheitskonfigurationen über ergebnisgesteuerte Richtlinienanweisungen vereinfacht und automatisiert.
    Hinweis: Die Mikrosegmentierung für die Sicherheitsgruppe erfolgt auf der Grundlage der Daten der NSX-Richtlinie. Wenn jedoch keine entsprechende NSX-Richtliniengruppe vorhanden ist, ist die eigenständige NS-Gruppe in der Mikrosegmentierungsanalyse enthalten. Weitere Informationen zur NS-Gruppe finden Sie in der NSX-T-Produktdokumentation.

Hinzufügen eines NSX-T Managers als Datenquelle

Hier sind die Voraussetzungen für das Hinzufügen eines NSX-T Managers als Datenquelle:
  • Sie benötigen mindestens das Recht Nur Lesen.
  • Sie müssen alle vCenter, die NSX-T Manager zugeordnet sind, als Datenquellen in vRealize Network Insight hinzuzufügen.
    Hinweis: Wenn Sie vor dem Hinzufügen des vCenter NSX-T Manager hinzufügen, benötigt vRealize Network Insight etwa 4 Stunden für die Stabilisierung.
  • Stellen Sie sicher, dass in der Ausschlussliste der verteilten Firewall (Distributed Firewall, DFW) keine logischen Switches vorhanden sind. Wenn in dieser Liste logische Switches vorhanden sind, werden für keine der VMs Flows gemeldet, die mit diesen logischen Switches verknüpft sind.
So fügen Sie einen NSX-T Manager hinzu:
  1. Klicken Sie auf der Seite Konten und Datenquelle unter Einstellungen auf Quelle hinzufügen.
  2. Wählen Sie unter VMware Manager auf der Seite Konto oder Datentyp auswählen VMware NSX-T Manager aus.
  3. Geben Sie die Anmeldedaten an.
    Hinweis:
    • Wenn Sie mehrere Verwaltungsknoten in einer einzelnen NSX-T-Bereitstellung haben, müssen Sie nur einen Knoten als Datenquelle in vRealize Network Insight hinzufügen oder die virtuelle IP (VIP) (dieser Knoten) verwenden. Wenn Sie mehr als einen Verwaltungsknoten hinzufügen, funktioniert vRealize Network Insight möglicherweise nicht ordnungsgemäß.
    • Es wird empfohlen, eine VIP zu verwenden, wenn Sie NSX-T als Datenquelle hinzufügen. Wenn Sie eine Verwaltungsknoten-IP anstelle einer VIP hinzufügen, und später eine VIP- oder eine andere Verwaltungsknoten-IP hinzufügen möchten, müssen Sie die vorhandene Datenquelle löschen, um die neue VIP oder Verwaltungs-IP hinzuzufügen.
    • Stellen Sie sicher, dass jeder Verwaltungsknoten im Cluster über den Collector erreichbar ist.
    • Wenn IPFIX nicht erforderlich ist, muss der Benutzer ein lokaler Benutzer mit den Berechtigungen für die Überwachungsebene sein. Wenn IPFIX erforderlich ist, muss der Benutzer über eine der folgenden Berechtigungen verfügen: enterprise_admin, network_engineer oder security_engineer.
  4. (Optional) Klicken Sie auf DFW-IPFIX aktivieren, um die IPFIX-Einstellungen von NSX-T zu aktualisieren. Wenn Sie diese Option auswählen, empfängt vRealize Network Insight DFW-IPFIX-Flows von NSX-T. Weitere Informationen zum Aktivieren von IPFIX finden Sie unter Aktivieren von VMware NSX-T DFW IPFIX.
    Hinweis:
    • DFW IPFIX wird in der Standard Edition von NSX-T nicht unterstützt.
    • vRealize Network Insight unterstützt keine IPFIX-Flows für NSX-T-Switches.
  5. (Optional) Für die Erfassung von Latenzmetrikdaten aktivieren Sie das Kontrollkästchen Erfassung von Latenzmetrik aktivieren. Wenn Sie diese Option auswählen, empfängt vRealize Network Insight Latenzmetriken, wie z. B. VTEP zu VTEP, vNIC zu pNIC, pNIC zu vNIC, vNIC zu vNIC, von NSX-T. Weitere Informationen zur Netzwerklatenz finden Sie unter Netzwerklatenzstatistiken.
    Hinweis:
    • Diese Option ist nur für NSX-T 2.5 und höher verfügbar.
      • VTEP zu VTEP ist für NSX-T 2.5 und höher verfügbar.
      • vNIC zu pNIC, pNIC zu vNIC und vNIC zu vNIC sind für NSX-T 3.0.2 und höher verfügbar.
    • Zum Aktivieren der Latenzmetrikerfassung müssen Sie über die Berechtigung enterprise_admin verfügen.
    • Stellen Sie sicher, dass Port 1991 auf dem Collector geöffnet ist, um die Latenzdaten vom ESXi-Knoten zu empfangen.

Beispiele für Abfragen

Im Folgenden finden Sie einige Beispiele für Abfragen im Zusammenhang mit NSX-T:

Tabelle 1. Abfragen für NSX-T
Abfragen Suchergebnisse
NSX-T Manager where VC Manager=10.197.53.214 NSX-T Manager, bei dem dieser bestimmte VC Manager als Compute Manager hinzugefügt wurde.
NSX-T Logical Switch Listet alle logischen NSX-T-Switches auf, die in der Instanz von vRealize Network Insight vorhanden sind, einschließlich Details dazu, ob es sich um einen vom System von einem Benutzer erstellten Switch handelt.
NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch' Enthält die logischen NSX-T-Ports, die zu diesem speziellen logischen NSX-T-Switch, DB-Switch, gehören.
VMs where NSX-T Security Group = 'Application-Group'

Or

VMs where NSGroup = 'Application-Group'
Enthält alle VMs in dieser bestimmten Sicherheitsgruppe, Application-Group.
NSX-T Firewall Rule where Action='ALLOW' Enthält alle NSX-T-Firewallregeln, deren Aktion als „ALLOW“ festgelegt ist.
NSX-T Firewall Rule where Destination Security Group = 'CRM-Group' Enthält Firewallregeln, bei denen CRM-Group die Zielsicherheitsgruppe ist. Die Ergebnisse beinhalten sowohl direkte Zielsicherheitsgruppen als auch indirekte Zielsicherheitsgruppen.
NSX-T Firewall Rule where Direct Destination Security Group = 'CRM-Group' Enthält Firewallregeln, bei denen CRM-Group die Zielsicherheitsgruppe ist. Die Ergebnisse beinhalten nur die direkten Zielsicherheitsgruppen.
VMs where NSX-T Logical Port = 'App_Port-Id-1' Enthält alle VMs, die über diesen speziellen logischen NSX-T-Port verfügen.
NSX-T Transport Zone Enthält das VLAN und die Overlay-Transportzone sowie die entsprechenden zugehörigen Details, einschließlich des Typs des Transportknotens.
Hinweis: vRealize Network Insight bietet keine Unterstützung für KVM als Datenquelle.
NSX-T Router Enthält die Router der Tier 1 und Tier 0. Klicken Sie auf den in den Ergebnissen angezeigten Router, um weitere Details dazu anzuzeigen, einschließlich des NSX-T-Edge-Clusters und des HA-Modus.
Tabelle 2. Abfragen für NSX-Richtlinie
NSX-Richtliniensegment Listet alle NSX-Richtliniensegmente auf, die in der Instanz von vRealize Network Insight vorhanden sind.
NSX Policy Manager Listet alle NSX Policy Manager-Instanzen auf, die in der Instanz von vRealize Network Insight vorhanden sind.
NSX Policy Group Listet alle NSX-Richtliniengruppen auf, die in der Instanz von vRealize Network Insight vorhanden sind.
NSX Policy Firewall Listet alle Firewalls der NSX-Richtlinie auf, die in der Instanz von vRealize Network Insight vorhanden sind.
NSX Policy Firewall Rule Listet alle Firewallregeln der NSX-Richtlinie auf, die in der Instanz von vRealize Network Insight vorhanden sind.
NSX Policy Firewall Rule where Action = 'ALLOW' Listet alle NSX-Firewallregeln auf, deren Aktion als „ALLOW“ festgelegt ist.
NSX Policy Based VPN Listet alle auf der NSX-Richtlinie basierenden VPNs auf, die in der Instanz von vRealize Network Insight vorhanden sind.
Hinweis: Wenn NSX-T 2.4 und VMware Cloud on AWS als Datenquellen in Ihrem vRealize Network Insight hinzugefügt werden, müssen Sie zum Abrufen der NST-T-Einheiten den Filter SDDC type = ONPREM in Ihrer Abfrage hinzufügen. Beispiel: NSX Policy Based VPN where Tier0 = '' and SDDC Type = 'ONPREM'.

Unterstützung für NSX-T-Metriken

In der folgenden Tabelle werden die vRealize Network Insight-Einheiten angezeigt, die gegenwärtig die NSX-T-Metriken unterstützen, sowie die Widgets, die diese Metriken auf den entsprechenden Einheiten-Dashboards anzeigen.
Tabelle 3.
Elemente Widgets auf dem Einheiten-Dashboard Unterstützte NSX-T-Metriken
Logischer Switch

Paketmetriken für logische Switches

Byte-Metriken für logische Switches

Multicast and Broadcast Rx

Multicast and Broadcast Tx

Unicast Rx

Unicast Tx

Dropped Rx

Dropped Tx

Rx Packets (Total)

Tx Packets (Total)

Logischer Port

Paketmetriken für logische Ports

Byte-Metriken für logische Ports

Multicast and Broadcast Rx

Multicast and Broadcast Tx

Unicast Rx

Unicast Tx

Rx Packets (Total)

Tx Packets (Total)

Routerschnittstelle

Metriken für Routerschnittstellen

Rx Packets

Tx Packets

Dropped Rx Packets

Dropped Tx Packets

Rx Bytes

Tx Bytes

Firewallregel

Metriken für Firewallregeln

Hit Count

Flow Bytes

Flow Packets

Im Folgenden finden Sie einige Beispielabfragen für NSX-T-Metriken:
  • nsx-t logical switch where Rx Packet Drops > 0

    Diese Abfrage enthält alle logischen Switches, bei denen die Anzahl der verworfenen empfangenen Pakete größer als 0 ist.

  • nsx-t logical port where Tx Packet Drops > 0

    Diese Abfrage enthält alle logischen Ports, bei denen die Anzahl der verworfenen übertragenen Pakete größer als 0 ist.

  • top 10 nsx-t firewall rules order by Connection count

    Diese Abfrage enthält die 10 wichtigsten Firewallregeln, basierend auf der Anzahl der Verbindungen (Hit Count).