La función Recomendaciones de NSX Intelligence proporciona recomendaciones para ayudarle a microsegmentar sus aplicaciones.

Generar una recomendación de NSX Intelligence implica recomendaciones de las directivas de seguridad, los grupos de seguridad de directivas y los servicios de la aplicación. Las recomendaciones se basan en el patrón de tráfico de comunicación entre las máquinas virtuales y los servidores físicos de NSX-T Data Center.

Puede generar una recomendación si selecciona las entidades de entrada de grupos o hasta 100 máquinas virtuales y servidores físicos; una combinación de grupos, máquinas virtuales y servidores físicos; o directivas de seguridad existentes. La cantidad total de máquinas virtuales y servidores físicos que puede seleccionar como entrada no puede ser superior a 100 de esas entidades. El número total de máquinas virtuales y servidores físicos efectivos que se pueden utilizar en una entrada que incluye grupos, máquinas virtuales o servidores físicos no puede ser superior a 250 entidades de entrada.

Por ejemplo, si selecciona 50 máquinas virtuales y 50 servidores físicos como parte de las entidades de entrada de recomendación, solo podrá seleccionar grupos que no tengan más de 150 miembros informáticos.

Importante:

Solo puede generar una nueva recomendación para grupos de seguridad que se crearon en el modo Directiva. Los grupos de seguridad deben tener al menos uno de los tipos de miembros compatibles para que la función NSX Intelligence inicie un análisis de recomendaciones para esos grupos de seguridad. Entre los tipos de miembros compatibles, se incluyen las máquinas virtuales, los servidores físicos, las interfaces de red virtual (VIF), los puertos lógicos y los conmutadores lógicos. Si hay al menos un tipo de miembro admitido en el grupo de seguridad, el análisis de recomendaciones podrá continuar, pero durante el análisis no se tendrán en cuenta los tipos de miembro no admitidos.

Existen varias formas de generar una recomendación con la interfaz de usuario de NSX Intelligence. A continuación se describen los métodos disponibles que se pueden utilizar.

Requisitos previos

  • Active la función NSX Intelligence 3.2 o una versión posterior en NSX Application Platform. Consulte la documentación de Activar y actualizar VMware NSX Intelligence 3.2.

  • Asegúrese de tener los privilegios necesarios para generar recomendaciones. Consulte Control de acceso basado en funciones en NSX Intelligence para obtener más información.

Procedimiento

  1. En un navegador, inicie sesión con los privilegios necesarios en una instancia de NSX Manager desde https://<dirección-ip-nsx-manager>.
  2. Inicie la generación de una nueva recomendación utilizando uno de los siguientes métodos.

    Dónde empezar

    Próximo paso

    Seleccione Planificar y solucionar problemas > Recomendaciones.

    Haga clic en Iniciar nueva recomendación.

    Para obtener recomendaciones de un grupo, seleccione Planificar y solucionar problemas > Detectar y realizar acción.

    1. Compruebe que la vista Grupos esté seleccionada en el área de selección de vista Seguridad.

    2. Haga clic con el botón derecho en el nodo del grupo en el que desea generar una recomendación.

    3. En el menú desplegable, seleccione Iniciar recomendación.

    Para obtener recomendaciones para máquinas virtuales o servidores físicos, seleccione Planificar y solucionar problemas > Detectar y realizar acción.

    Seleccione al menos una máquina virtual o un servidor físico, o bien una combinación de ambos.

    1. En el área de selección de vista Seguridad, haga clic en la flecha hacia abajo situada junto a Grupos y seleccione Recursos informáticos.

    2. Haga clic en Mostrar todos los tipos y seleccione Máquinas virtuales o Servidores físicos. Como alternativa, en la lista de elementos disponibles, seleccione máquinas virtuales o servidores físicos específicos.

    3. Haga clic en Aplicar.

    4. Haga clic en el icono de la varita de recomendación icono de la varita de recomendación situado en el lado izquierdo de la barra Flujos.

    5. Seleccione Iniciar recomendaciones para los equipos filtrados.

  3. En el asistente Iniciar nueva recomendación, cambie el valor predeterminado del cuadro de texto Nombre de recomendación

    Asigne un nombre que indique la aplicación para la que se realiza la segmentación. El nombre se utilizará como prefijo para los nombres de todos los grupos y reglas recomendados que se crearon durante el análisis de recomendaciones.

  4. Cambie el valor predeterminado del cuadro de texto Descripción para que sea más fácil recuperar la información sobre la recomendación.
  5. Defina o modifique las máquinas virtuales o los servidores físicos que se utilizarán como límite para la recomendación de la directiva de seguridad.
    1. En Entidades seleccionadas en el alcance, haga clic en Seleccionar entidades. Si ya seleccionó los grupos, las máquinas virtuales o los servidores físicos, haga clic en el vínculo al número de entidades seleccionadas para modificar la selección actual.
    2. En el cuadro de diálogo Seleccionar entidades, haga clic en Grupos para seleccionar uno o varios grupos. Para seleccionar las máquinas virtuales o los servidores físicos que desea utilizar como límite para el análisis, haga clic en las pestañas Máquinas virtuales o Servidores físicos y realice la selección.

      Puede seleccionar grupos y hasta 100 máquinas virtuales o servidores físicos, pero no más de 250 entidades informáticas efectivas para usar como límite de recomendaciones. Anule la selección de lo que no quiera incluir. También puede hacer clic en Filtro y seleccionar los atributos que desea utilizar para filtrar los grupos, las máquinas virtuales o los servidores físicos que desea seleccionar.

    3. Haga clic en Guardar.
    4. (opcional) Si el sistema detectó que existe una sección de firewall distribuido (DFW) asociada a los grupos seleccionados en el paso anterior, en el cuadro de diálogo Seleccionar la sección de FW distribuido, seleccione si desea utilizar la sección de firewall distribuido (DFW) existente o cree una nueva. Haga clic en Guardar.

      En el asistente Iniciar nueva recomendación, el vínculo de número en el cuadro de texto Entidades seleccionadas en el alcance indica el número de entidades seleccionadas.

      Si seleccionó utilizar una sección de DFW distribuido existente durante el análisis de recomendaciones, el sistema indica que en el cuadro de texto Entidades seleccionadas en el alcance.

  6. En el cuadro de texto Intervalo de tiempo, opcionalmente, cambie el valor predeterminado que se utilizará para generar la recomendación.

    El valor del intervalo de tiempo predeterminado es Último mes. Los flujos de tráfico de red que se produjeron entre las máquinas virtuales o los servidores físicos, o bien los grupos de máquinas virtuales o servidores físicos se utilizarán para el análisis de recomendaciones. Otros valores que se pueden seleccionar son Última hora, Últimas 12 horas, Últimas 24 horas, Última semana, Últimas 2 semanas o Último mes.

  7. Expanda la sección Opciones avanzadas y modifique los valores predeterminados asignados, si es necesario.

    Si no utiliza una sección de DFW existente, puede modificar los valores asignados predeterminados. Si decidió utilizar una sección de DFW existente, los valores que se muestran en esta sección se obtendrán de esa sección de DFW.

    1. En el menú desplegable Crear reglas para, seleccione el tipo de flujos de tráfico que desea tener en cuenta en el análisis de recomendaciones. El valor predeterminado es All Traffic.
      • Tráfico entrante y saliente: se tienen en cuenta todos los tipos de flujo de tráfico que se originan dentro del límite de la aplicación hacia fuera del límite y desde fuera del límite de la aplicación hacia dentro del límite.

      • Tráfico entrante: solo se tienen en cuenta los flujos de tráfico que se originan fuera del límite de la aplicación.

      • Todo el tráfico: se tienen en cuenta todos los tipos de flujo de tráfico saliente, entrante y dentro de la aplicación.

      • Tráfico entrante y dentro de la aplicación: se consideran todos los tipos de flujo de tráfico que se originan dentro y fuera del límite de la aplicación.

    2. En el menú desplegable Regla predeterminada, seleccione la estrategia de conectividad que se utilizará para crear la regla predeterminada para la directiva de seguridad. Se establece una acción adecuada en la regla en función del valor de la estrategia de conectividad. El valor predeterminado es Ninguna.
      • Lista de no permitidos: crea una regla de permiso predeterminada.

      • Lista de permitidos: crea una regla de descarte predeterminada.

      • Ninguno: no se crea ninguna regla predeterminada.

    3. Cambie el valor predeterminado de Salida de recomendación, si es necesario.

      Basado en cómputo es el modo de salida predeterminado utilizado. Este modo significa que la recomendación de directiva de DFW que generó el motor de recomendaciones contiene grupos cuyos miembros son máquinas virtuales, servidores físicos o ambos. Si se selecciona el modo de salida recomendación Basado en IP, la recomendación de directiva de DFW generada contendrá grupos cuyos miembros son objetos IPSet con una lista estática de direcciones IP. Una recomendación basada en IP no está vinculada estrechamente a una máquina virtual. Si se elimina una máquina virtual y se asigna su dirección IP a una máquina virtual nueva, la nueva máquina virtual se asignará al mismo grupo. Las directivas de DFW para el grupo también se aplicarán a la nueva máquina virtual.

    4. Si es necesario, cambie el valor de Tipo de servicio de recomendación.

      El tipo predeterminado es Servicios L4, que está compuesto por los respectivos protocolo y puerto de capa 4. Si lo prefiere, puede seleccionar Perfiles de contexto de Capa 7 para los perfiles de contexto de Capa 7.

    5. Cambie el valor predeterminado de Umbral de reutilización de grupos como considere adecuado al generar la recomendación de regla.

      Puede establecer el valor del porcentaje de umbral de 10 a 100. El valor especifica cómo de estricto es el sistema al reutilizar grupos para cubrir los flujos detectados que no están microsegmentos. Utilice este valor para controlar si se deben reutilizar los grupos existentes o se deben crear nuevos grupos. La función de reutilización de grupos se aplica a cualquier trabajo de recomendación con una directiva de seguridad existente o una nueva directiva de seguridad.

      Si se establece este valor en 100, solo los grupos con exactamente los mismos miembros que las entidades informáticas que el sistema busca agrupar se pueden seleccionar como orígenes o destinos de reglas adicionales. El uso de un valor muy alto puede provocar la creación de más grupos nuevos, ya que es menos probable que los grupos existentes se reutilicen en las reglas que se modifican.

      Si se establece este valor en valores inferiores, como 10 o 20, significa que se pueden elegir como orígenes o destinos de regla adicionales incluso los grupos con miembros extraños, excepto las entidades informáticas que el sistema quiere agrupar. El uso de un valor inferior puede provocar una reutilización agresiva de grupos y, por lo tanto, se recomienda crear menos grupos nuevos.

  8. Para iniciar el análisis de recomendaciones, haga clic en Iniciar detección.

    Las recomendaciones se procesan en serie. De media, puede tardar entre 3 y 4 minutos en finalizar cada recomendación, en función de si existen otras recomendaciones en espera de su procesamiento. Si hay un gran número de flujos de tráfico entre las máquinas virtuales o los servidores físicos que se deben analizar, una recomendación puede tardar entre 10 y 15 minutos en generarse.

    La tabla Recomendaciones muestra las recomendaciones que inició, como se muestra en la siguiente imagen.



    • Puede realizar un seguimiento de los estados del análisis de recomendaciones en la columna Estado de la tabla Recomendaciones. El estado pasa de Esperando a Detección en curso, a Listo para publicar y a Publicado. Si el sistema no genera una recomendación, el valor de Estado se establecerá en No hay recomendaciones disponibles. Si se produjo un error en el análisis de recomendaciones por algún motivo, se mostrará el estado Error.

    • La columna Entidades de entrada muestra las entidades que se utilizaron para generar la recomendación. Al hacer clic en el texto vinculado de esta columna, se muestra el cuadro de diálogo Entidades seleccionadas en modo de solo lectura.

    • La columna Supervisión indica si se están supervisando los cambios de las entidades de entrada originales que se utilizan para generar la recomendación. Esta función está disponible para las recomendaciones con el estado Listo para publicar, No hay recomendaciones disponibles o Error. Puede activar o desactivar el botón Supervisión. Cuando el botón de alternancia está activado, se comprobarán los cambios en el ámbito de las entidades de entrada o la estrategia de conectividad cada hora.

    • Si se produjo algún cambio con alguna de las entidades de entrada utilizadas, el icono de cambio detectado  se mostrará junto al estado Listo para publicar, No hay recomendaciones disponibles o Error. Puede revisar los cambios y volver a ejecutar la recomendación. Consulte Volver a ejecutar las recomendaciones de NSX Intelligence para obtener más información.

    • Al hacer clic en el icono de lienzo  situado en el extremo derecho de la fila de la recomendación, se mostrará la visualización de las entidades seleccionadas en el lienzo gráfico debajo de la interfaz de usuario Planificar y solucionar problemas > Detectar y realizar acción. Si el estado de la recomendación que se muestra es Publicado, al hacer clic en el icono de lienzo, los grupos recomendados se mostrarán en el lienzo gráfico Detectar y realizar acción.

  9. Cuando el valor de Estado es Listo para publicar, revise la recomendación generada y decida si desea publicarla. Consulte Revisar y publicar recomendaciones generadas de NSX Intelligence.