NSX-T wurde entwickelt, um auf die neuen Anwendungs-Frameworks und -Architekturen einzugehen, die über heterogene Endpoints und Technologie-Stacks verfügen. Zusätzlich zu vSphere können diese Umgebungen auch andere Hypervisor, Container, Bare Metal und Public Clouds enthalten.
vRealize Network Insight unterstützt NSX-T-Bereitstellungen, bei denen die VMs von VMware vCenter verwaltet werden.
Überlegungen
- vRealize Network Insight unterstützt nur die NSX-T-Einrichtungen, in denen VMware vCenter die ESXi-Hosts verwaltet.
- vRealize Network Insight unterstützt NSGroups, NSX-T-Firewallregeln, IPSets, logische Ports und logische Switches von NSX-T sowie verteilte NSX-T-Firewall-IPFIX-Flows, Segment, Gruppe und Richtlinie auf der Basis des VPN.
- vRealize Network Insight unterstützt sowohl NSX-V als auch NSX-T-Bereitstellungen. Wenn Sie NSX in Ihren Abfragen verwenden, enthalten die Ergebnisse sowohl NSX-V- als auch NSX-T-Einheiten. NSX Manager enthält sowohl NSX-V- als auch NSX-T Manager. NSX-Sicherheitsgruppen enthalten sowohl NSX-T- als auch NSX-V-Sicherheitsgruppen. Wenn NSX-V oder NSX-T anstelle von NSX verwendet wird, werden nur diese Einheiten angezeigt. Dieselbe Logik gilt für Einheiten wie z. B. Firewallregeln, IPSets und logische Switches.
- Mit der Version NSX-T 2.4 unterstützt vRealize Network Insight die deklarative Richtlinienverwaltung von NSX, die Netzwerk- und Sicherheitskonfigurationen über ergebnisgesteuerte Richtlinienanweisungen vereinfacht und automatisiert.
Hinweis: Die Mikrosegmentierung für die Sicherheitsgruppe erfolgt auf der Grundlage der Daten der NSX-Richtlinie. Wenn jedoch keine entsprechende NSX-Richtliniengruppe vorhanden ist, ist die eigenständige NS-Gruppe in der Mikrosegmentierungsanalyse enthalten. Weitere Informationen zur NS-Gruppe finden Sie in der NSX-T-Produktdokumentation.
- Stellen Sie sicher, dass Sie in einer NSX-T Federation-Einrichtung nur lokale Benutzer hinzufügen.
Voraussetzungen
- Sie benötigen mindestens das Recht Nur Lesen.
- Sie müssen alle VMware vCenter, die NSX-T Manager zugeordnet sind, als Datenquellen in vRealize Network Insight hinzufügen.
Hinweis: Wenn Sie vor dem Hinzufügen des VMware vCenter NSX-T Manager hinzufügen, benötigt vRealize Network Insight etwa vier Stunden für die Stabilisierung.
- Stellen Sie sicher, dass in der Ausschlussliste der verteilten Firewall (Distributed Firewall, DFW) keine logischen Switches vorhanden sind. Wenn in dieser Liste logische Switches vorhanden sind, werden für keine der VMs Flows gemeldet, die mit diesen logischen Switches verknüpft sind.
Verfahren
- Navigieren Sie zu .
- Wählen Sie unter VMware-Manager die Option VMware NSX-T Manager aus.
- Geben Sie die Anmeldedaten an.
Option Aktion Collector-VM Wählen Sie eine Collector-VM aus dem Dropdown-Menü aus. IP-Adresse/FQDN Geben Sie die IPv4-Verwaltungsadresse oder die FQDN-Details ein. Hinweis: Derzeit unterstützt vRealize Network Insight keine IPv6-NSX-T-Verwaltungsadressen.Authentifizierungsmethode Wählen Sie die Authentifizierungsmethode im Dropdown-Menü aus. Benutzername/Kennwort Geben Sie den Benutzernamen und das Kennwort ein. Zertifikat (Prinzipalidentität) - Zertifikat: Klicken Sie auf Durchsuchen und laden Sie das Prinzipalidentitätszertifikat hoch.
- Privater Schlüssel: Klicken Sie auf Durchsuchen und laden Sie den privaten Schlüssel der Prinzipalidentität hoch.
Hinweis: vRealize Network Insight unterstützt keinen verschlüsselten privaten Prinzipalidentitätsschlüssel.
Hinweis:- Wenn Sie mehrere Verwaltungsknoten in einer einzelnen NSX-T-Bereitstellung haben, müssen Sie nur einen Knoten als Datenquelle in vRealize Network Insight hinzufügen oder die virtuelle IP (VIP) (dieser Knoten) verwenden. Wenn Sie mehr als einen Verwaltungsknoten hinzufügen, funktioniert vRealize Network Insight möglicherweise nicht ordnungsgemäß.
- Stellen Sie sicher, dass Sie eine VIP verwenden, wenn Sie NSX-T als Datenquelle hinzufügen. Wenn Sie eine Verwaltungsknoten-IP anstelle einer VIP hinzufügen, und später eine VIP- oder eine andere Verwaltungsknoten-IP hinzufügen möchten, müssen Sie die vorhandene Datenquelle löschen, um die neue VIP oder Verwaltungs-IP hinzuzufügen.
- Stellen Sie sicher, dass jeder Verwaltungsknoten im Cluster über den Collector erreichbar ist.
- Wenn IPFIX nicht erforderlich ist, muss der Benutzer ein lokaler Benutzer mit Berechtigungen für die Überwachungsebene sein. Wenn IPFIX erforderlich ist, muss der Benutzer über eine der folgenden Berechtigungen verfügen: enterprise_admin, network_engineer oder security_engineer.
Hinweis: Sie müssen die Datenquelle entweder mithilfe der IP-Adresse oder des FQDN hinzufügen. Fügen Sie die Datenquelle nicht unter Verwendung der IP-Adresse und des FQDN hinzu. - Klicken Sie auf Validieren.
- (Optional) Klicken Sie auf DFW-IPFIX aktivieren, um die IPFIX-Einstellungen von NSX-T zu aktualisieren. Wenn Sie diese Option auswählen, empfängt vRealize Network Insight DFW-IPFIX-Flows von NSX-T. Weitere Informationen zum Aktivieren von IPFIX finden Sie unter Aktivieren von VMware NSX-T DFW IPFIX.
Hinweis:
- DFW IPFIX wird in der Standard Edition von NSX-T nicht unterstützt.
- vRealize Network Insight unterstützt keine IPFIX-Flows für NSX-T-Switches.
- (Optional) Für die Erfassung von Latenzmetrikdaten aktivieren Sie das Kontrollkästchen Erfassung von Latenzmetrik aktivieren. Wenn Sie diese Option auswählen, empfängt vRealize Network Insight Latenzmetriken, wie z. B. VTEP zu VTEP, vNIC zu pNIC, pNIC zu vNIC, vNIC zu vNIC, von NSX-T. Weitere Informationen zur Netzwerklatenz finden Sie unter Netzwerklatenzstatistiken.
Hinweis:
- Diese Option ist nur für NSX-T 2.5 und höher verfügbar.
- VTEP zu VTEP ist für NSX-T 2.5 und höher verfügbar.
- vNIC zu pNIC, pNIC zu vNIC und vNIC zu vNIC sind für NSX-T 3.0.2 und höher verfügbar.
- Zum Aktivieren der Latenzmetrikerfassung müssen Sie über die Berechtigung enterprise_admin verfügen.
- Stellen Sie sicher, dass Port 1991 auf dem Collector geöffnet ist, um die Latenzdaten vom ESXi-Knoten zu empfangen.
- Diese Option ist nur für NSX-T 2.5 und höher verfügbar.
- (Optional) Um die Flow-Erfassung von NSX Intelligence zu aktivieren, aktivieren Sie das Kontrollkästchen NSX Intelligence aktivieren.
NSX Intelligence bietet Deep Packet Inspection mit Sichtbarkeit auf der Anwendungsebene. Nach dem Empfang von NSX Intelligence-Flows können Sie L7-Informationen (Anwendungsebene) wie z. B. die App-ID sehen.
Hinweis: Um NSX Intelligence in vRealize Network Insight zu aktivieren, müssen Sie die NSX Intelligence-Appliance bereitstellen. vRealize Network Insight unterstützt NSX Intelligence 1.2 mit NSX-T 3.1 und höher.NSX Intelligence benötigt mindestens 12 Minuten, um die Flow-Informationen zu verarbeiten und an vRealize Network Insight zu senden.
Hinweis: Um die Flow-Erfassung über NSX Intelligence zu aktivieren, müssen Sie das Kontrollkästchen DFW IPFIX aktivieren auswählen, da DFW IPFIX von vRealize Network Insight als primäre Quelle für Flows verwendet wird.L7-Informationen stehen für verworfene Flows nicht zur Verfügung, da sie von NSX Intelligence nicht unterstützt werden.
- Geben Sie im Textfeld „Spitzname“ einen Spitznamen ein.
- Fügen Sie im Textfeld „Hinweise“ (optional) bei Bedarf einen Hinweis hinzu.
- Klicken Sie auf Absenden.
Beispiele für Abfragen
Im Folgenden finden Sie einige Beispiele für Abfragen im Zusammenhang mit NSX-T:
Abfragen | Suchergebnisse |
---|---|
NSX-T Manager where VC Manager=10.197.53.214 | NSX-T Manager, bei dem dieser bestimmte VC Manager als Compute Manager hinzugefügt wurde. |
NSX-T Logical Switch | Listet alle logischen NSX-T-Switches auf, die in der Instanz von vRealize Network Insight vorhanden sind, einschließlich Details dazu, ob es sich um einen vom System von einem Benutzer erstellten Switch handelt. |
NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch' | Enthält die logischen NSX-T-Ports, die zu diesem speziellen logischen NSX-T-Switch, DB-Switch, gehören. |
VMs where NSX-T Security Group = 'Application-Group' Or VMs where NSGroup = 'Application-Group' |
Enthält alle VMs in dieser bestimmten Sicherheitsgruppe, Application-Group. |
NSX-T Firewall Rule where Action='ALLOW' | Enthält alle NSX-T-Firewallregeln, deren Aktion als „ALLOW“ festgelegt ist. |
NSX-T Firewall Rule where Destination Security Group = 'CRM-Group' | Enthält Firewallregeln, bei denen CRM-Group die Zielsicherheitsgruppe ist. Die Ergebnisse beinhalten sowohl direkte Zielsicherheitsgruppen als auch indirekte Zielsicherheitsgruppen. |
NSX-T Firewall Rule where Direct Destination Security Group = 'CRM-Group' | Enthält Firewallregeln, bei denen CRM-Group die Zielsicherheitsgruppe ist. Die Ergebnisse beinhalten nur die direkten Zielsicherheitsgruppen. |
VMs where NSX-T Logical Port = 'App_Port-Id-1' | Enthält alle VMs, die über diesen speziellen logischen NSX-T-Port verfügen. |
NSX-T Transport Zone | Enthält das VLAN und die Overlay-Transportzone sowie die entsprechenden zugehörigen Details, einschließlich des Typs des Transportknotens.
Hinweis:
vRealize Network Insight bietet keine Unterstützung für KVM als Datenquelle.
|
NSX-T Router | Enthält die Router der Tier 1 und Tier 0. Klicken Sie auf den in den Ergebnissen angezeigten Router, um weitere Details dazu anzuzeigen, einschließlich des NSX-T-Edge-Clusters und des HA-Modus. |
NSX-Richtliniensegment | Listet alle NSX-Richtliniensegmente auf, die in der Instanz von vRealize Network Insight vorhanden sind. |
NSX Policy Manager | Listet alle NSX Policy Manager-Instanzen auf, die in der Instanz von vRealize Network Insight vorhanden sind. |
NSX Policy Group | Listet alle NSX-Richtliniengruppen auf, die in der Instanz von vRealize Network Insight vorhanden sind. |
NSX Policy Firewall | Listet alle Firewalls der NSX-Richtlinie auf, die in der Instanz von vRealize Network Insight vorhanden sind. |
NSX Policy Firewall Rule | Listet alle Firewallregeln der NSX-Richtlinie auf, die in der Instanz von vRealize Network Insight vorhanden sind. |
NSX Policy Firewall Rule where Action = 'ALLOW' | Listet alle NSX-Firewallregeln auf, deren Aktion als „ALLOW“ festgelegt ist. |
NSX Policy Based VPN | Listet alle auf der NSX-Richtlinie basierenden VPNs auf, die in der Instanz von vRealize Network Insight vorhanden sind. |
Unterstützung für NSX-T-Metriken
Elemente | Widgets auf dem Einheiten-Dashboard | Unterstützte NSX-T-Metriken |
---|---|---|
Logischer Switch | Paketmetriken für logische Switches Byte-Metriken für logische Switches |
|
Logischer Port | Paketmetriken für logische Ports Byte-Metriken für logische Ports |
|
Routerschnittstelle | Metriken für Routerschnittstellen |
|
Firewallregel | Metriken für Firewallregeln |
|
nsx-t logical switch where Rx Packet Drops > 0
Diese Abfrage enthält alle logischen Switches, bei denen die Anzahl der verworfenen empfangenen Pakete größer als 0 ist.
nsx-t logical port where Tx Packet Drops > 0
Diese Abfrage enthält alle logischen Ports, bei denen die Anzahl der verworfenen übertragenen Pakete größer als 0 ist.
top 10 nsx-t firewall rules order by Connection count
Diese Abfrage enthält die 10 wichtigsten Firewallregeln, basierend auf der Anzahl der Verbindungen (
Hit Count
).
Sicherheitsplanung für NSX-T
plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’Sie können das gleiche Ergebnis erzielen, indem Sie die folgenden Schritte ausführen:
- Wählen Sie im linken Navigationsbereich aus.
- Wählen Sie im Dropdown-Menü entweder NSX-T-L2-Netzwerk oder NSX-Richtliniensegment als Geltungsbereich aus.