Según el ámbito de tráfico que seleccionó en el momento de comenzar un análisis de recomendación, el motor Recomendación de NSX Intelligence selecciona flujos de tráfico de entrada, de salida o dentro de la aplicación desde y entre las entidades informáticas del límite de recomendaciones que especificó.

A continuación, el motor Recomendación de NSX Intelligence agrega los flujos por el servicio (criterios de protocolos o puertos) en el que ocurrieron estos flujos de tráfico. Se agrupan juntos los orígenes y destinos de cada uno de los flujos de un servicio concreto. Al crear la agrupación, el motor Recomendación de NSX Intelligence utilizará el umbral especificado por el usuario para el índice de coincidencia e intentará reutilizar los grupos que hay en el inventario de NSX, incluidos los grupos que se encuentran dentro de un rango de IPSet existente de un grupo.

Si el motor Recomendación de NSX Intelligence no encuentra ningún grupo dentro del umbral de agrupamiento establecido, creará un nuevo grupo para recomendarlo.

Al generar una recomendación, el motor Recomendación de NSX Intelligence tiene en cuenta los tipos de flujo de tráfico que especificó en la opción Tráfico para analizar. Si seleccionó el tipo de flujo de tráfico entrante, solo se tendrán en cuenta los flujos de tráfico que se originaron fuera del límite de la aplicación. Si seleccionó los tipos de flujo de tráfico de todo el tráfico (el tráfico entrante y saliente, o el tráfico entrante y dentro de la aplicación), el motor Recomendación de NSX Intelligence agrega los flujos de tráfico en estas direcciones para formar la recomendación de regla de DFW, en función del servicio.

Pongamos como ejemplo los siguientes flujos.

  • El límite se establece mediante VM1 y VM2

  • Grupos: CG con VM1 y VM2 como miembros

  • Grupos: G3 con VM3 y VM4 como miembros

  • Umbral de coincidencia supuesto: 50 %

Los flujos de tráfico no segmentados son los siguientes.

  • De VM3 a VM1 mediante SSH

  • De VM1 a VM2 mediante SSH

A continuación se muestra la recomendación de microsegmentación resultante, que es una regla única para SSH.

Grupo de origen

Grupo de destino

Servicio

Grupo aplicado a

G3 + CG (grupos existentes reutilizados)

CG con VM1 y VM2 como miembros

SSH

Grupo: CG con VM1 y VM2 como miembros

Si los flujos de tráfico se originan fuera de la máscara configurada de direcciones IP privadas, los flujos desde y hacia dichas direcciones IP que no se incluyan en la lista de prefijos de IP privada se marcarán como "CUALQUIER".

Tenga en cuenta los siguientes flujos no segmentados.

  • CUALQUIER flujo a VM1 mediante SSH

  • Flujos de VM1 a VM3 mediante SSH

  • El límite se establece mediante VM1 y VM2

  • El grupo definido es CG con VM1 y VM2 como miembros

En este caso, cuando se agregan los flujos de entrada y salida, se convierten en cualquier flujo de VM1 a VM2 y VM3 mediante SSH.

A su vez, esto da como resultado la siguiente regla de microsegmentación.

Origen

Destino

Servicio

Se aplica a

ANY

[VM1] en CG, [VM3] en G3

SSH

CG [VM1, VM2]
Nota:

Todas las reglas solo se aplican a los miembros del límite de recomendación que especificó antes de generar la recomendación. La agregación de motivos se utiliza para reducir el número de reglas de DFW que resultan en función del servicio.

Recomendación para secciones de DFW existentes

Si las entidades que seleccionó en el ámbito de límite de la recomendación están asociadas con cualquier sección de firewall distribuido existente y seleccionó la opción Utilizar sección existente en el cuadro de diálogo Seleccionar la sección de FW distribuido, el motor Recomendación de NSX Intelligence incluirá esas secciones de DFW existentes al realizar el análisis de la recomendación. Las recomendaciones de DFW implican actualizar los campos de origen y destino de las reglas existentes para microsegmentar correctamente cualquier flujo filtrado hacia y desde las cargas de trabajo informáticas que coincidan con el ámbito de la sección DFW especificada.

Antes, solo se proporcionaba una actualización de las reglas de capa 4 existentes en las secciones de DFW existentes. A partir de NSX Intelligence 4.1.1, también es posible actualizar las reglas de capa 7 existentes en las secciones de DFW existentes asociadas con las entidades del ámbito del límite de la recomendación que especificó.

Para utilizar esta nueva función, deberá seleccionar la opción Perfiles de contexto de capa 7 en la sección Tipo de servicio de recomendación del cuadro de diálogo Iniciar nueva recomendación.

En la siguiente información se describe lo que ocurre cuando se selecciona la opción Perfiles de contexto de capa 7: el motor Recomendación de NSX Intelligence crea reglas o grupos, o modifica las reglas existentes cuando se detectan flujos filtrados.
  1. Todas las reglas existentes se usan para hacer coincidir los flujos filtrados, y el motor Recomendación de NSX Intelligence intenta hacer coincidir esos flujos con los mismos valores de port, protocol y app_id. El muestreo de los flujos cuando app_id es distinto de cero se conserva como parte de la fuga de flujos. Se excluirán los muestreos de flujos cuando el valor de app_id sea 0 o esté vacío.
  2. Las reglas se utilizan cuando su origen o su destino coinciden. La preferencia es usar reglas en las que solo haya que actualizar un lado. Si no se encuentra ninguna, se seleccionarán reglas en las que hay que actualizar tanto el origen como el destino.
    1. Para los flujos que tengan un valor para app_id, si una regla existente coincide y se selecciona, se utilizará la regla de capa 7.
    2. Para los flujos que no tengan un valor para app_id, si una regla existente coincide y se selecciona, dicha regla no deberá contener ningún perfil de contexto. El trabajo de recomendación de NSX Intelligence solo cambiará los orígenes y los destinos de esta regla.
  3. Si no se encuentra ninguna regla, se crea una nueva.
    1. Para los flujos que tengan un valor para app_id, se creará una nueva regla que contenga los perfiles de contexto, si se pueden identificar los detalles del perfil de contexto mediante el valor de app_id asociado con el flujo. De lo contrario, se creará una nueva regla de capa 4 porque el motor Recomendación de NSX Intelligence no crea nuevos perfiles de contexto.
    2. Para los flujos que no tengan un valor para app_id, el motor Recomendación de NSX Intelligence creará una nueva regla de capa 4 que coincida con los flujos.
  4. Si el motor Recomendación de NSX Intelligence encuentra una regla existente que debe modificarse (es decir, si dicha regla tiene un lado de origen/destino coincidente), se modifica el lado no coincidente para incluir los grupos (nuevos o reutilizados) que contengan los recursos informáticos en los que se detecten los flujos filtrados.
  5. El lado no coincidente de las reglas se modifica para incluir los grupos en función de los siguientes criterios de selección:
    1. Un grupo se selecciona buscando la máxima coincidencia de las máquinas virtuales filtradas. Puede ser una coincidencia parcial en la que el grupo puede incluir otros recursos informáticos que no participan en los flujos. Es posible que se seleccionen varios grupos. Los grupos se seleccionan según el índice de coincidencia más alto, la mayor cantidad de coincidencias y la hora de creación más reciente, hasta que no se puedan seleccionar más grupos o todas las fugas estén cubiertas.
    2. Si las entidades informáticas no están asociadas con ningún grupo, se creará un nuevo grupo para alojarlas. Se crearán nuevos grupos para las entidades informáticas, aunque las entidades informáticas estén en grupos existentes, si el índice de coincidencia es menor que el umbral de reutilización de grupos especificado.
  6. Una regla se modifica para incluir los grupos seleccionados en los orígenes o destinos.
  7. Si no se detecta ninguna fuga de flujos, lo que significa que las reglas existentes actuales cubren todos los flujos de tráfico durante el período de tiempo seleccionado, no se recomienda ninguna regla de DFW nueva.
  8. Si es necesario modificar una regla de DFW existente y se trata de una regla de capa 7 que contiene perfiles de contexto, los perfiles de contexto se conservan en esta regla de DFW.
Nota:

Si la sección de DFW proporcionada como entrada ya tiene muchas reglas, y las nuevas reglas de DFW pueden superar el límite de 1000 reglas por sección, el estado del trabajo de recomendación de NSX Intelligence se establece en FAILED. Como resultado, no se podrá publicar la recomendación de regla de DFW. Deberá proporcionar una sección que tenga espacio suficiente para que se le agreguen las reglas recomendadas.