La función Recomendaciones de NSX Intelligence proporciona recomendaciones para ayudarle a microsegmentar sus aplicaciones.

Generar una recomendación de NSX Intelligence implica recomendaciones de las directivas de seguridad, los grupos de seguridad de directivas y los servicios de la aplicación. Las recomendaciones se basan en el patrón de tráfico de comunicación entre las máquinas virtuales y los servidores físicos de NSX-T Data Center.

Puede generar una recomendación si selecciona las entidades de entrada de hasta 1 grupo o 100 máquinas virtuales y servidores físicos, o bien una combinación de un grupo, máquinas virtuales y servidores físicos. La cantidad total de máquinas virtuales y servidores físicos que puede seleccionar como entrada no puede ser superior a 100 de esas entidades. El número total de máquinas virtuales y servidores físicos efectivos que se pueden utilizar en una entrada que incluye un grupo, máquinas virtuales o servidores físicos no puede ser superior a 250 entidades de entrada.

Por ejemplo, si selecciona 50 máquinas virtuales y 50 servidores físicos como parte de las entidades de entrada de recomendación, solo podrá seleccionar un grupo que no tenga más de 150 miembros informáticos.

Importante: Solo puede generar una nueva recomendación para grupos de seguridad que se crearon en el modo Directiva. El grupo de seguridad debe tener al menos uno de los tipos de miembros compatibles para que NSX Intelligence inicie un análisis de recomendaciones para ese grupo de seguridad. Entre los tipos de miembros compatibles, se incluyen las máquinas virtuales, los servidores físicos, las interfaces de red virtual (VIF), los puertos lógicos y los conmutadores lógicos. Si hay al menos un tipo de miembro admitido en el grupo de seguridad, el análisis de recomendaciones podrá continuar, pero durante el análisis no se tendrán en cuenta los tipos de miembro no admitidos.

Existen varias formas de generar una recomendación con la interfaz de usuario de NSX Intelligence. A continuación se describen los métodos disponibles que se pueden utilizar.

Requisitos previos

Procedimiento

  1. En un navegador, inicie sesión con los privilegios necesarios en una instancia de NSX Manager desde https://<dirección-ip-nsx-manager>.
  2. Inicie la generación de una nueva recomendación utilizando uno de los siguientes métodos.
    Dónde empezar Próximo paso
    Seleccione Planificar y solucionar problemas > Recomendaciones. Haga clic en Iniciar nueva recomendación.
    Para obtener recomendaciones de un grupo, seleccione Planificar y solucionar problemas > Detectar y realizar acción.
    1. Compruebe que la vista Grupos esté seleccionada en el área de selección de vista Seguridad.
    2. Haga clic con el botón derecho en el nodo del grupo en el que desea generar una recomendación.
    3. En el menú desplegable, seleccione Iniciar recomendación.
    Para obtener recomendaciones para máquinas virtuales o servidores físicos, seleccione Planificar y solucionar problemas > Detectar y realizar acción.
    Seleccione al menos una máquina virtual o un servidor físico, o bien una combinación de ambos.
    1. En el área de selección de vista Seguridad, haga clic en la flecha hacia abajo situada junto a Grupos y seleccione Recursos informáticos.
    2. Haga clic en Mostrar todos los tipos y seleccione Máquinas virtuales o Servidores físicos. Como alternativa, en la lista de elementos disponibles, seleccione máquinas virtuales o servidores físicos específicos.
    3. Haga clic en Aplicar.
    4. Haga clic en el icono de la varita de recomendación icono de la varita de recomendación situado en el lado izquierdo de la barra Flujos.
    5. Seleccione Iniciar recomendaciones para los equipos filtrados.
  3. En el asistente Iniciar nueva recomendación, cambie el valor predeterminado del cuadro de texto Nombre de recomendación
    Asigne un nombre que indique la aplicación para la que se realiza la segmentación. El nombre se utilizará como prefijo para los nombres de todos los grupos y reglas recomendados que se crearon durante el análisis de recomendaciones.
  4. Cambie el valor predeterminado del cuadro de texto Descripción para que sea más fácil recuperar la información sobre la recomendación.
  5. Defina o modifique las máquinas virtuales o los servidores físicos que se utilizarán como límite para la recomendación de la directiva de seguridad.
    1. En Entidades seleccionadas en el alcance, haga clic en Seleccionar entidades. Si ya seleccionó el grupo, las máquinas virtuales o los servidores físicos, haga clic en el vínculo al número de grupos, máquinas virtuales o servidores físicos para modificar la selección actual.
    2. En el cuadro de diálogo Seleccionar entidades, haga clic en Grupos para seleccionar un máximo de un grupo, si desea incluir uno. Para seleccionar las máquinas virtuales o los servidores físicos que desea utilizar como límite para el análisis, haga clic en las pestañas Máquinas virtuales o Servidores físicos y realice la selección.
      Puede seleccionar como máximo un grupo y hasta 100 máquinas virtuales o servidores físicos, pero no más de 250 entidades informáticas efectivas para usar como límite de recomendaciones. Anule la selección de lo que no quiera incluir. También puede hacer clic en Filtro y seleccionar los atributos que desea utilizar para filtrar el grupo, las máquinas virtuales o los servidores físicos que desea seleccionar.
    3. Haga clic en Guardar.
      Se le redirigirá al asistente Iniciar nueva recomendación. El número de grupos, máquinas virtuales, servidores físicos seleccionados, o una combinación de dichas entidades, se indica en Entidades seleccionadas en el alcance.
  6. De nuevo en el asistente Iniciar nueva recomendación, en el menú desplegable Tráfico considerado, seleccione el tipo de flujo de tráfico que se debe tener en cuenta en el análisis de recomendaciones. El valor predeterminado es All Traffic.
    • Todo el tráfico: se tienen en cuenta todos los tipos de flujo de tráfico saliente, entrante y dentro de la aplicación.
    • Entrante y saliente: se consideran todos los tipos de flujo de tráfico que se originan dentro y fuera del límite de la aplicación.
    • Tráfico entrante: solo se tienen en cuenta los flujos de tráfico que se originan fuera del límite de la aplicación.
  7. En el menú desplegable Estrategia de conectividad, seleccione la estrategia de conectividad que se utilizará para crear la regla predeterminada para la directiva de seguridad.
    • Lista de permitidos: crea una regla de descarte predeterminada.
    • Lista de no permitidos: crea una regla de permiso predeterminada.
    • Ninguno: no se crea ninguna regla predeterminada.
  8. Expanda Opciones avanzadas y cambie el valor predeterminado de Salida de recomendación, si es necesario.
    El modo de salida predeterminado utilizado es Basado en objeto, lo que significa que la recomendación de directiva de DFW que se genera contendrá grupos cuyos miembros son máquinas virtuales, servidores físicos o ambos. Si se selecciona el modo de salida de recomendación Basado en IP, la recomendación de directiva de DFW que se genera contendrá grupos cuyos miembros son objetos de tipo IPset. Una recomendación basada en IP no está vinculada estrechamente a una máquina virtual. Si se elimina una máquina virtual y se asigna su dirección IP a una máquina virtual nueva, la nueva máquina virtual se asignará al mismo grupo. Las directivas de DFW para el grupo también se aplicarán a la nueva máquina virtual.
  9. Si es necesario, cambie el valor de Tipo de servicio de recomendación.
    El tipo predeterminado es Servicios L4, que está compuesto por los respectivos protocolo y puerto de capa 4. Si lo prefiere, puede seleccionar Perfiles de contexto de Capa 7.
  10. Si lo desea, cambie el valor actual de Intervalo de tiempo que se utilizará para generar la recomendación.
    El valor del intervalo de tiempo predeterminado es Último mes. Los flujos de tráfico de red que se produjeron entre las máquinas virtuales o los servidores físicos, o bien un grupo de máquinas virtuales o servidores físicos seleccionados durante ese intervalo de tiempo se utilizarán para el análisis de recomendaciones. Otros valores que se pueden seleccionar son Últimas 12 horas, Últimas 24 horas, Última semana o Último mes.
  11. Para iniciar el análisis de recomendaciones, haga clic en Iniciar detección.
    Las recomendaciones se procesan en serie. De media, puede tardar entre 3 y 4 minutos en finalizar cada recomendación, en función de si existen otras recomendaciones en espera de su procesamiento. Si hay un gran número de flujos de tráfico entre las máquinas virtuales o los servidores físicos que se deben analizar, una recomendación puede tardar entre 10 y 15 minutos en generarse.
    Las recomendaciones que se inician se incluyen en la tabla Recomendaciones, similar a la que se muestra en la siguiente captura de pantalla.

    • Se puede realizar un seguimiento de los estados del análisis de recomendaciones en la columna Estado de la tabla Recomendaciones. El estado pasa de Esperando a Detección en curso y a Listo para publicar. Si no se generó ninguna recomendación, el valor de Estado se establecerá en No hay recomendaciones disponibles. Si se produjo un error en el análisis de recomendaciones por algún motivo, se mostrará el estado Error.
    • La columna Entidades de entrada muestra las entidades que se utilizaron para generar la recomendación. Al hacer clic en el texto vinculado de esta columna, se muestra el cuadro de diálogo Entidades seleccionadas en modo de solo lectura.
    • La columna Entidades recomendadas muestra los vínculos a las reglas de la directiva de seguridad, los grupos de seguridad de directivas y los servicios recomendados en función de los flujos de tráfico de red y el límite de entrada.
    • La columna Supervisión indica si se están supervisando los cambios de las entidades de entrada originales que se utilizan para generar la recomendación. Esta función está disponible para las recomendaciones con el estado Listo para publicar, No hay recomendaciones disponibles o Error. Puede activar o desactivar el botón Supervisión. Cuando el botón de alternancia está activado, se comprobarán los cambios en el ámbito de las entidades de entrada cada hora.
    • Si se produjo algún cambio con alguna de las entidades de entrada utilizadas, el icono de cambio detectado  se mostrará junto al estado Listo para publicar, No hay recomendaciones disponibles o Error. Puede revisar los cambios y volver a ejecutar la recomendación. Consulte Volver a ejecutar las recomendaciones de NSX Intelligence para obtener más información.
    • Al hacer clic en el icono de lienzo  situado en el extremo derecho de la fila de la recomendación, se mostrará la visualización de las entidades seleccionadas en el lienzo gráfico debajo de la interfaz de usuario Planificar y solucionar problemas > Detectar y realizar acción.
  12. Cuando el valor de Estado es Listo para publicar, revise la recomendación generada y decida si desea publicarla. Consulte Revisar y publicar recomendaciones generadas de NSX Intelligence.