Agregar VMware NSX-T Manager

VMware NSX-T se diseñó para abordar los marcos de trabajo y las arquitecturas de aplicaciones emergentes que contienen endpoints heterogéneos y pilas de tecnología. Además de vSphere, estos entornos también pueden incluir otros hipervisores, contenedores, equipos nativos y nubes públicas.

VMware Aria Operations for Networks es compatible con las implementaciones de VMware NSX-T en las que VMware vCenter administra las máquinas virtuales.

Consideraciones

VMware Aria Operations for Networks solo admite las instalaciones de NSX-T en las que VMware vCenter administra los hosts ESXi.
VMware Aria Operations for Networks es compatible con grupos NSGroup, reglas de firewall de NSX-T, conjuntos de IP, puertos lógicos de NSX-T, conmutadores lógicos de NSX-T y flujos de IPFIX de firewall distribuido de NSX-T, así como VPN basadas en directivas, segmentos y grupos.
VMware Aria Operations for Networks es compatible con las implementaciones de NSX-V y NSX-T. Cuando se utiliza NSX en las consultas, los resultados incluyen las entidades NSX-V y NSX-T. NSX Manager enumera tanto NSX-V Manager como NSX-T Manager. Los grupos de seguridad de NSX enumeran los grupos de seguridad de NSX-T y NSX-V. Si se utilizan NSX-V o NSX-T en lugar de NSX, solo se muestran esas entidades. La misma lógica se aplica a las entidades, como las reglas de firewall, los conjuntos de IP y los conmutadores lógicos.
Con NSX-T 2.4, VMware Aria Operations for Networks admite la administración de directivas declarativas de NSX. Esta opción simplifica y automatiza las configuraciones de redes y seguridad a través de instrucciones de directivas basadas en resultados.
Nota: La microsegmentación sobre el grupo de seguridad se realiza en función de los datos de directivas de NSX. Sin embargo, si no existe un grupo de directivas de NSX correspondiente, el grupo NS independiente se incluye en el análisis de microsegmentación. Para obtener más detalles sobre el grupo NS, consulte la documentación del producto de NSX-T.
En la configuración de federación de NSX-T, asegúrese de agregar solo usuarios locales.

Requisitos previos

Estos son los requisitos previos para agregar NSX-T Manager como origen de datos:

Debe tener al menos el privilegio de Solo lectura.
Debe agregar todas las instancias de VMware vCenter asociadas con NSX-T Manager como orígenes de datos a VMware Aria Operations for Networks.
Nota: Si agrega la instancia de NSX-T Manager antes de añadir VMware vCenter, VMware Aria Operations for Networks tarda alrededor de cuatro horas en estabilizarse.
Asegúrese de que la lista de exclusión en el firewall distribuido (Distributed Firewall, DFW) no contenga conmutadores lógicos. Si existe algún conmutador lógico en esta lista, no se informarán los flujos de ninguna máquina virtual conectada a estos conmutadores lógicos.

Procedimiento

Vaya a Configuración > Cuentas y orígenes de datos > Agregar origen.
En VMware Manager, seleccione VMware NSX-T Manager.

Proporcione las credenciales de usuario.

Opción

Acción

Máquina virtual de recopilador

Seleccione una máquina virtual de recopilador del menú desplegable.

Dirección IP/FQDN

Introduzca la dirección de administración IPv4 o los detalles del FQDN.

Nota: Actualmente, VMware Aria Operations for Networks no admite direcciones de administración de NSX-T IPv6.

Método de autenticación

Seleccione el método de autenticación en el menú desplegable.


Nombre de usuario/Contraseña	Introduzca el nombre de usuario y la contraseña.
Certificado (identidad principal)	Certificado: haga clic en Examinar y cargue el certificado de identidad principal. Clave privada: haga clic en Examinar y cargue la clave privada de identidad principal. Nota: VMware Aria Operations for Networks no admite claves privadas de identidad principal cifradas.

Nota:

Si tiene más de un nodo de administración en una sola implementación de NSX-T, debe agregar un solo nodo como origen de datos a VMware Aria Operations for Networks o utilizar la IP virtual (Virtual IP, VIP) de esos nodos. Si agrega más de un nodo de administración, es posible que VMware Aria Operations for Networks no funcione correctamente.
Asegúrese de utilizar la VIP al agregar NSX-T como origen de datos. Si agrega una dirección IP de nodo de administración en lugar de una VIP y, a continuación, desea agregar una VIP u otra dirección IP de nodo de administración, debe eliminar el origen de datos existente para agregar la VIP o la dirección IP de administración nuevas.
Asegúrese de que se pueda acceder a cada nodo de administración del clúster desde el recopilador.
Si no se requiere IPFIX, el usuario debe ser un usuario local con permisos de nivel de auditoría. Sin embargo, si se requiere IPFIX, el usuario debe tener uno de los siguientes permisos: enterprise_admin, network_engineer o security_engineer.

Nota: Debe agregar el origen de datos mediante la dirección IP o el FQDN. No agregue el origen de datos usando tanto la dirección IP como el FQDN.

Haga clic en Validar.
(opcional) Seleccione Habilitar IPFIX de DFW para actualizar la configuración de IPFIX en NSX-T. Al seleccionar esta opción, VMware Aria Operations for Networks recibe flujos IPFIX de DFW desde NSX-T. Para obtener más información sobre cómo habilitar IPFIX, consulte Habilitar IPFIX de DFW de VMware NSX-T.
Nota:
- IPFIX de DFW no es compatible con la edición estándar de NSX-T.
- VMware Aria Operations for Networks no es compatible con flujos de IPFIX de conmutadores de NSX-T.
(opcional) Si desea recopilar datos de métricas de latencia, seleccione la casilla de verificación Habilitar recopilación de métricas de latencia. Si selecciona esta opción, VMware Aria Operations for Networks recibe métricas de latencia, como VTEP-VTEP, vNIC-pNIC, pNIC-vNIC y vNIC-vNIC de NSX-T. Para obtener más información acerca de la latencia de red, consulte Estadísticas de latencia de red.
Nota:
- Esta opción solo se encuentra disponible para NSX-T 2.5 y versiones posteriores.
  - VTEP-VTEP está disponible en NSX-T 2.5 y versiones posteriores.
  - vNIC-pNIC, pNIC-vNIC y vNIC-vNIC están disponibles en NSX-T 3.0.2 y versiones posteriores.
- Para habilitar la recopilación de métricas de latencia, debe tener el permiso enterprise_admin.
- Asegúrese de que el puerto 1991 esté abierto en el recopilador para recibir los datos de latencia del nodo ESXi.
(opcional) Para habilitar la recopilación de flujos desde NSX Intelligence, seleccione la casilla de verificación Habilitar NSX Intelligence.
NSX-Intelligence proporciona una inspección profunda de los paquetes con la visibilidad de la capa de aplicaciones. Después de recibir los flujos de NSX Intelligence, puede ver la información de la capa 7 (capa de aplicaciones), como la ID de aplicación.

Nota: Para habilitar NSX Intelligence en VMware Aria Operations for Networks, debe implementar el dispositivo de NSX Intelligence. VMware Aria Operations for Networks es compatible con NSX Intelligence 1.2 con VMware NSX-T 3.1 y versiones posteriores.
NSX Intelligence tarda al menos 12 minutos en procesar y enviar la información de flujo a VMware Aria Operations for Networks.

Nota: Para habilitar la recopilación de flujos desde NSX Intelligence, debe seleccionar la casilla de verificación Habilitar IPFIX de DFW, ya que VMware Aria Operations for Networks usa IPFIX de DFW como origen principal de los flujos.
La información de capa 7 no está disponible para flujos descartados, ya que no es compatible con NSX Intelligence.
En el cuadro de texto Alias, introduzca un alias.
En el cuadro de texto Notas (opcional), agregue una nota si es necesario.
Haga clic en Enviar.

Ejemplos de consultas

Estos son algunos ejemplos de consultas relacionadas con NSX-T:

Tabla 1. Consultas para NSX-T
Consultas	Resultados de búsqueda
`NSX-T Manager where VC Manager=10.197.53.214`	La instancia de NSX-T Manager donde se agregó este administrador de VC específico como administrador de recursos informáticos.
`NSX-T Logical Switch`	Enumera todos los conmutadores lógicos NSX-T presentes en la instancia de VMware Aria Operations for Networks, incluidos los detalles sobre si es un conmutador creado por el sistema o por el usuario.
`NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch'`	Enumera los puertos lógicos de NSX-T que pertenecen a ese conmutador lógico de NSX-T específico, el conmutador BD.
`VMs where NSX-T Security Group = 'Application-Group'` O `VMs where NSGroup = ‘Application-Group’`	Enumera todas las máquinas virtuales de ese grupo de seguridad específico, el grupo de aplicaciones.
`NSX-T Firewall Rule where Action='ALLOW'`	Enumera todas las reglas de firewall de NSX-T en las que la acción se establece como PERMITIR.
`NSX-T Firewall Rule where Destination Security Group = ‘CRM-Group’`	Enumera las reglas de firewall en las que el grupo de CRM es el grupo de seguridad de destino. Los resultados incluyen tanto grupos de seguridad de destino directos como grupos de seguridad de destino indirectos.
`NSX-T Firewall Rule where Direct Destination Security Group = ‘CRM-Group’`	Enumera las reglas de firewall en las que el grupo de CRM es el grupo de seguridad de destino. Los resultados solo incluyen los grupos de seguridad de destino directos.
`VMs where NSX-T Logical Port = ‘App_Port-Id-1’`	Enumera todas las máquinas virtuales que tienen ese puerto lógico NSX-T específico.
`NSX-T Transport Zone`	Enumera la red VLAN, la zona de transporte superpuesta y los detalles correspondientes asociados a ella, incluido el tipo de nodo de transporte. Nota: VMware Aria Operations for Networks no admite KVM como origen de datos.
`NSX-T Router`	Enumera los enrutadores de NIVEL 1 y NIVEL 0. Haga clic en el enrutador que se muestra en los resultados para ver más detalles asociados a él, incluidos el clúster de NSX-T Edge y el modo HA.

Tabla 2. Consultas de directivas de NSX
`NSX Policy Segment`	Enumera todos los segmentos de directivas de NSX presentes en la instancia de VMware Aria Operations for Networks.
`NSX Policy Manager`	Enumera todos los administradores de directivas de NSX presentes en la instancia de VMware Aria Operations for Networks.
`NSX Policy Group`	Enumera todos los grupos de directivas de NSX presentes en la instancia de VMware Aria Operations for Networks.
`NSX Policy Firewall`	Enumera todos los firewall de directivas de NSX presentes en la instancia de VMware Aria Operations for Networks.
`NSX Policy Firewall Rule`	Enumera todas las reglas de firewall de directivas de NSX presentes en la instancia de VMware Aria Operations for Networks.
`NSX Policy Firewall Rule where Action = 'ALLOW'`	Enumera todas las reglas de firewall de directivas de NSX en las que la acción se establece como PERMITIR.
`NSX Policy Based VPN`	Enumera todas las VPN basadas en directivas de NSX presentes en la instancia de VMware Aria Operations for Networks.

Nota: Si NSX-T 2.4 y VMware Cloud on AWS se agregan como orígenes de datos a la instancia de VMware Aria Operations for Networks, para obtener las entidades de VMware NSX-T, debe agregar el filtro SDDC type = ONPREM a la consulta. Por ejemplo, NSX Policy Based VPN where Tier0 = ‘’ and SDDC Type = ‘ONPREM’.

Compatibilidad con métricas de NSX-T

En la siguiente tabla, se muestran las entidades de VMware Aria Operations for Networks que admiten las métricas de NSX-T actualmente y los widgets que muestran estas métricas en los paneles de control de las entidades correspondientes.


Entidades	Widgets en el panel de control de la entidad	Métricas de NSX-T compatibles
Conmutador lógico	Métricas de paquetes de conmutador lógico Métricas de bytes de conmutador lógico	`Multicast and Broadcast Rx` `Multicast and Broadcast Tx` `Unicast Rx` `Unicast Tx` `Dropped Rx` `Dropped Tx` `Rx Packets (Total)` `Tx Packets (Total)`
Puerto lógico	Métricas de paquetes de puerto lógico Métricas de bytes de puerto lógico	`Multicast and Broadcast Rx` `Multicast and Broadcast Tx` `Unicast Rx` `Unicast Tx` `Rx Packets (Total)` `Tx Packets (Total)`
Interfaz de enrutador	Métricas de interfaz de enrutador	`Rx Packets` `Tx Packets` `Dropped Rx Packets` `Dropped Tx Packets` `Rx Bytes` `Tx Bytes`
Regla de firewall	Métricas de regla de firewall	`Hit Count` `Flow Bytes` `Flow Packets`

Estas son algunas consultas de ejemplo de métricas de VMware NSX-T:

nsx-t logical switch where Rx Packet Drops > 0
Esta consulta enumera todos los conmutadores lógicos en los que el número de paquetes recibidos descartados es mayor que 0.
nsx-t logical port where Tx Packet Drops > 0
Esta consulta enumera todos los puertos lógicos en los que el número de paquetes transmitidos descartados es mayor que 0.
top 10 nsx-t firewall rules order by Connection count
Esta consulta enumera las 10 reglas de firewall principales según el número de conexiones (Hit Count).

Planificación de seguridad para NSX-T

Para planificar la seguridad de la red de NSX-T, puede seleccionar el ámbito como Red de capa 2 de NSXT y utilizar la siguiente consulta:

plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’

También puede conseguir el mismo objetivo siguiendo estos pasos:

Seleccione Planificar y evaluar > Planificación de seguridad en la página de navegación de la izquierda.
Seleccione Red de capa 2 de NSX-T o Segmento de directiva de NSX como ámbito en el menú desplegable.

Nota: Las entidades relacionadas con VMware NSX-T, como Red de capa 2 de NSX-T y Segmento de directiva de NSX están disponibles en el ámbito. Puede utilizar estas entidades relacionadas con VMware NSX-T para la planificación de seguridad.