La función Recomendaciones de NSX Intelligence proporciona recomendaciones para ayudarle a microsegmentar sus aplicaciones.

Generar una recomendación de NSX Intelligence implica recomendaciones de las directivas de seguridad, los grupos de seguridad de directivas y los servicios de la aplicación. NSX Intelligence hace las recomendaciones de directiva en función del patrón de tráfico de comunicación entre las máquinas virtuales y los servidores físicos en el entorno de NSX.

Puede generar una recomendación de NSX Intelligence si selecciona las entidades de entrada de grupos o hasta 100 máquinas virtuales y servidores físicos; una combinación de grupos, máquinas virtuales y servidores físicos; o directivas de seguridad existentes. La cantidad total de máquinas virtuales y servidores físicos que puede seleccionar como entrada no puede ser superior a 100 de esas entidades. El número total de máquinas virtuales y servidores físicos efectivos que se pueden utilizar en una entrada que incluye grupos, máquinas virtuales o servidores físicos no puede ser superior a 250 entidades de entrada.

Por ejemplo, si selecciona 50 máquinas virtuales y 50 servidores físicos como parte de las entidades de entrada de recomendación, solo podrá seleccionar grupos que no tengan más de 150 miembros informáticos.

Importante:

Solo puede generar una nueva recomendación para grupos de seguridad que se crearon en el modo Directiva. Los grupos de seguridad deben tener al menos uno de los tipos de miembros compatibles para que la función NSX Intelligence inicie un análisis de recomendaciones para esos grupos de seguridad. Entre los tipos de miembros compatibles, se incluyen las máquinas virtuales, los servidores físicos, las interfaces de red virtual (VIF), los puertos lógicos y los conmutadores lógicos. Si hay al menos un tipo de miembro admitido en el grupo de seguridad, el análisis de recomendaciones podrá continuar, pero durante el análisis no se tendrán en cuenta los tipos de miembro no admitidos.

Existen varias formas de generar una recomendación con la interfaz de usuario de NSX Intelligence. A continuación se describen los métodos disponibles que se pueden utilizar.

Requisitos previos

  • Active NSX Intelligence 3.2 o versiones posteriores en NSX Application Platform 3.2 o versiones posteriores. Consulte el documento Activar y actualizar VMware NSX Intelligence 3.2 o versiones posteriores.

  • Asegúrese de tener los privilegios necesarios para generar recomendaciones. Consulte Control de acceso basado en funciones en NSX Intelligence para obtener más información.

Procedimiento

  1. En un navegador web, inicie sesión con los privilegios necesarios en un NSX Manager desde https://<dirección-ip-nsx-manager>.
  2. Inicie la generación de una nueva recomendación utilizando uno de los siguientes métodos.

    Dónde empezar

    Próximo paso

    Seleccione Planificar y solucionar problemas > Recomendaciones.

    Haga clic en Iniciar nueva recomendación.

    Seleccione Planificar y solucionar problemas > Detectar y realizar acción.
    1. Haga clic en el icono de recomendación icono de recomendación situado en el lado izquierdo de la barra Flujos.

    2. Seleccione Iniciar recomendaciones.

    Para obtener una recomendación para uno varios grupos, seleccione Planificar y solucionar problemas > Detectar y realizar acción.

    1. Compruebe que la vista Grupos esté seleccionada en el área de selección de vista Seguridad.

    2. Haga clic con el botón secundario en el nodo del grupo en el que desea generar una recomendación. También puede seleccionar uno o varios nodos de grupo mediante el icono de selección icono de selección.

    3. Haga clic con el botón secundario en uno de los nodos de su selección y seleccione Iniciar recomendación en el menú desplegable.

      Si utilizó el icono de selección icono de selección para realizar la selección, también puede hacer clic en el icono de recomendación icono de recomendación del panel Seleccionado.

    Para obtener recomendaciones para máquinas virtuales o servidores físicos, seleccione Planificar y solucionar problemas > Detectar y realizar acción.

    Seleccione al menos una máquina virtual o un servidor físico, o bien una combinación de ambos.

    1. En el área de selección de vista Seguridad, haga clic en la flecha hacia abajo situada junto a Grupos y seleccione Recursos informáticos.

    2. Haga clic en Todo y seleccione máquinas virtuales o servidores físicos específicos o una combinación de ambos en la lista de elementos disponibles. También puede hacer clic en Todos > Mostrar todos los tipos y seleccionar Máquinas virtuales o Servidores físicos en el menú desplegable.

    3. Haga clic en Aplicar.

    4. Haga clic en el icono de recomendación icono de recomendación situado en el lado izquierdo de la barra Flujos.

    5. Seleccione Iniciar recomendaciones para los equipos filtrados.

      Si seleccionó los nodos de entidad informática mediante el icono de selección icono de selección, también puede hacer clic en el icono de recomendación icono de recomendación del panel Seleccionado.
    La siguiente imagen muestra los valores predeterminados utilizados al iniciar una nueva recomendación.
    Imagen del cuadro de diálogo Iniciar nueva recomendación con la sección Opciones avanzadas expandida

  3. En el cuadro de diálogo Iniciar nueva recomendación, cambie el valor predeterminado del cuadro de texto Nombre de recomendación

    Asigne un nombre que indique la aplicación para la que se realiza la microsegmentación. El nombre se utilizará al crear los nombres de los grupos y reglas recomendados que se crearon durante el análisis de recomendaciones.

  4. Cambie el valor predeterminado del cuadro de texto Descripción para que sea más fácil recuperar la información sobre la recomendación.
  5. Defina o modifique las máquinas virtuales o los servidores físicos que se utilizarán como límite para la recomendación de la directiva de seguridad.
    1. En la sección Entidades seleccionadas en el ámbito, haga clic en Seleccionar entidades. Si ya seleccionó los grupos, las máquinas virtuales o los servidores físicos antes de iniciar la nueva recomendación, haga clic en el vínculo al número de entidades seleccionadas para modificar la selección actual.
    2. En el cuadro de diálogo Seleccionar entidades, para seleccionar uno o varios grupos que desee incluir, haga clic en Grupos. Para seleccionar las máquinas virtuales o los servidores físicos que desea utilizar como límite para el análisis, haga clic en las pestañas Máquinas virtuales o Servidores físicos y realice la selección.

      Puede seleccionar grupos y hasta 100 máquinas virtuales o servidores físicos, pero no más de un total de 250 entidades informáticas efectivas para usar como límite de recomendaciones. Anule la selección de las entidades que no desea incluir. También puede hacer clic en Filtro y seleccionar los atributos que desea utilizar para filtrar los grupos, las máquinas virtuales o los servidores físicos que desea seleccionar. Para anular la selección de las entidades seleccionadas actualmente, haga clic en Borrar.

    3. Haga clic en Guardar.
    4. (opcional) Si el sistema detecta que hay secciones de firewall distribuido (DFW) asociadas a los grupos que seleccionó en el paso anterior, se mostrará el cuadro de diálogo Seleccionar la sección de FW distribuido. Si desea utilizar una sección de firewall distribuido (DFW) de capa 4 o capa 7 existente, seleccione una de la lista. Si desea que el sistema cree una sección nueva, seleccione Crear nueva sección.
    5. (opcional) Haga clic en Guardar.

      El sistema actualiza el cuadro de texto Entidades seleccionadas en el ámbito con vínculos que indican el número de entidades que seleccionó. Para modificar sus selecciones, haga clic en los vínculos de números.

      Si seleccionó utilizar una sección de DFW distribuido existente durante el análisis de recomendaciones, el sistema indica que en el cuadro de texto Entidades seleccionadas en el ámbito.

  6. (opcional) En el cuadro de texto Intervalo de tiempo, cambie el valor predeterminado que se muestra.

    El valor predeterminado es Último mes. Los flujos de tráfico que se produjeron entre las máquinas virtuales o los servidores físicos, o bien grupos de máquinas virtuales o servidores físicos seleccionados durante ese intervalo de tiempo seleccionado se utilizarán para el análisis de recomendaciones. Otros valores de intervalo de tiempo que se pueden seleccionar son Última hora, Últimas 12 horas, Últimas 24 horas, Última semana o Últimas 2 semanas.

  7. Expanda la sección Opciones avanzadas.
  8. En la subsección Opciones de entrada, modifique los valores predeterminados asignados según sea necesario.

    Si no utiliza una sección de DFW existente, puede modificar los valores asignados predeterminados. Si decidió utilizar una sección de DFW existente, los valores que se muestran en esta sección se obtendrán de esa sección de DFW.

    1. En el menú desplegable Tráfico para analizar, seleccione el tipo de flujos de tráfico que desea tener en cuenta en el análisis de recomendaciones. El valor predeterminado es All Traffic.

      • Tráfico entrante y saliente: se tienen en cuenta todos los tipos de flujo de tráfico que se originan dentro del límite de la aplicación hacia fuera del límite y desde fuera del límite de la aplicación hacia dentro del límite.

      • Tráfico entrante: solo se tienen en cuenta los flujos de tráfico que se originan fuera del límite de la aplicación.

      • Todo el tráfico: se tienen en cuenta todos los tipos de flujo de tráfico saliente, entrante y dentro de la aplicación.

      • Tráfico entrante y dentro de la aplicación: se consideran todos los tipos de flujo de tráfico que se originan dentro y fuera del límite de la aplicación.

    2. En la sección Criterios de protocolo y puertos, seleccione Excluir o Hacer coincidir con cualquiera para especificar si desea excluir o hacer coincidir cualquiera de los puertos, rangos de puertos o protocolos que introduzca en el cuadro de texto.

      De forma predeterminada, los flujos de tráfico que se produjeron desde todos los puertos y protocolos conocidos del entorno durante el intervalo de tiempo especificado se usan durante el análisis de recomendaciones. Para filtrar los flujos de tráfico que se usarán durante el análisis de recomendaciones, introduzca cualquier combinación de hasta 15 entradas de puertos únicos, rango de puertos o protocolos cuyos flujos de tráfico desee excluir o usar para que coincidan con cualquiera de las entradas. Por ejemplo, 88, 90-98, TCP:100-111, UDP.

    3. En la sección Excluir flujos, especifique los tipos de flujos de tráfico que desea que se excluyan durante el análisis de recomendaciones.
      De forma predeterminada, se excluyen los flujos de multidifusión y los flujos de difusión. Para anular la selección de uno o ambos tipos de flujo, haga clic en la X junto al nombre del tipo de flujo.
    4. Para evitar que las entidades informáticas de infraestructura se incluyan en el nuevo análisis de recomendaciones, active la opción Excluir cargas de trabajo de infraestructura.

      Si activa esta opción, el motor de recomendaciones excluirá todas las entidades informáticas de infraestructura y los flujos de tráfico que se produjeron con ellas del análisis de recomendaciones. El motor de recomendaciones no reutiliza los grupos que contienen entidades de infraestructura. La entrada de contexto no cambia aunque contenga entidades informáticas de infraestructura. Sin embargo, el motor de recomendaciones no recomienda ninguna regla de firewall que tenga entidades informáticas de infraestructura en el origen o el destino de la regla.

      Consulte Administrar clasificaciones de entidades informáticas en NSX Intelligence para obtener más información.

    5. En la sección Reglas adicionales que se deben tener en cuenta, puede especificar las reglas que se deberán usar también para determinar qué flujos de tráfico se consideran no segmentados.
      De forma predeterminada, el motor de recomendaciones utiliza la regla en la que Source y Destination tienen el valor Any.

      Si desea tener en cuenta más reglas durante el análisis de recomendaciones, puede seleccionar hasta tres tipos de reglas en el menú desplegable Tipos de regla que se deben tener en cuenta o hasta cinco reglas específicas en el menú desplegable Reglas adicionales que se deben tener en cuenta.

      Tipos de reglas o reglas específicas Descripción
      Reglas con ANY en Source

      Cuando se seleccionan, las reglas no predeterminadas cuyo valor de Source es ANY se consideran reglas predeterminadas. Los flujos de tráfico que encuentran estas reglas se consideran no microsegmentados. Para la reutilización de secciones existentes, estas reglas predeterminadas adicionales no se tienen en cuenta para su modificación.
      Reglas con ANY en Destination

      Si se seleccionan, las reglas no predeterminadas cuyo valor de Destination es ANY se consideran reglas predeterminadas. Los flujos de tráfico que encuentran estas reglas se consideran no microsegmentados. Para la reutilización de secciones existentes, estas reglas predeterminadas adicionales no se tienen en cuenta para su modificación.
      Reglas con ANY en Service

      Si se seleccionan, las reglas no predeterminadas cuyo valor de Service es ANY se consideran reglas predeterminadas. Los flujos de tráfico que encuentran estas reglas se consideran no microsegmentados. Para la reutilización de secciones existentes, estas reglas predeterminadas adicionales no se tienen en cuenta para su modificación.
      Lista de identificadores o nombres de reglas específicos

      Esta lista puede incluir hasta cinco identificadores de regla o nombres de regla que se consideran reglas predeterminadas adicionales. Los flujos de tráfico que encuentran las reglas predeterminadas y estas reglas se consideran no microsegmentados. Para la reutilización de secciones existentes, estas reglas predeterminadas adicionales no se tienen en cuenta para su modificación.
  9. Si lo desea, en la subsección Opciones de salida del cuadro de diálogo Iniciar nueva recomendación, puede realizar modificaciones en la configuración predeterminada.
    1. En el menú desplegable Regla predeterminada, seleccione la estrategia de conectividad que se utilizará para crear la regla predeterminada para la directiva de seguridad. Se establece la acción adecuada en la regla en función del valor de estrategia de conectividad seleccionado. El valor predeterminado es Ninguna.

      • Lista de no permitidos: crea una regla de permiso predeterminada.

      • Lista de permitidos: crea una regla de descarte predeterminada.

      • Ninguno: no se crea ninguna regla predeterminada.

    2. Active la opción Generar reglas con reconocimiento de dirección de flujo si desea que el motor de recomendaciones cree y recomiende reglas más detalladas basadas en la dirección de los flujos de tráfico no microsegmentados.
      Durante el análisis de recomendaciones, los flujos de tráfico no segmentados con diferentes direcciones no se agregarán juntos para recomendar una nueva regla. Los grupos de origen y de destino de una regla recomendada constan de miembros de perfiles de contexto o no miembros de perfiles de contexto. El límite de recomendaciones se define mediante la selección realizada en la sección Entidades seleccionadas en el ámbito del cuadro de diálogo Iniciar nueva recomendación. La recomendación de DFW que se obtiene del análisis ayuda a garantizar que ninguna entidad externa tenga una regla Permitir dentro del límite de recomendaciones a menos que haya un flujo explícito de una entidad externa a una entidad con el límite de recomendaciones especificado.
    3. Cambie el valor predeterminado de Salida de recomendación, si es necesario.

      • Basado en cómputo es el modo de salida predeterminado utilizado. Este modo significa que la recomendación de directiva de DFW que generó el motor de recomendaciones contiene grupos cuyos miembros son máquinas virtuales, servidores físicos o ambos.

      • Si se selecciona el modo de salida de recomendación Basado en IP, la recomendación de directiva de DFW generada contendrá grupos cuyos miembros son objetos de conjunto de direcciones IP con una lista estática de direcciones IP. Una recomendación basada en IP no está vinculada estrechamente a una máquina virtual. Si se elimina una máquina virtual y se asigna su dirección IP a una máquina virtual nueva, la nueva máquina virtual se asignará al mismo grupo. NSX Intelligence también aplica las directivas de DFW existentes para el grupo a la nueva máquina virtual.

    4. Cambie el valor predeterminado de Umbral de reutilización de grupo informático como considere adecuado al generar la recomendación de regla.

      Puede establecer el valor del porcentaje de umbral de 10 a 100. El valor especifica cómo de estricto es el sistema al reutilizar grupos basados en recursos informáticos existentes (grupos que no son conjuntos de direcciones IP) para cubrir los flujos detectados que no están microsegmentos. Utilice este valor para controlar si se deben reutilizar los grupos existentes o se deben crear nuevos grupos. La función Reutilización de grupos se aplica a cualquier trabajo de recomendación con una directiva de seguridad existente o una nueva directiva de seguridad.

      Si establece este valor en 100, los grupos elegidos para la recomendación no deberán tener entidades informáticas extrañas. Las entidades informáticas que sean miembros de un grupo no tienen que ser iguales a las entidades informáticas filtradas. Por ejemplo, si las entidades informáticas filtradas son [VM1, VM2] y el grupo G1 tiene [VM1] como miembro y el grupo G2 tiene [VM2] como miembro, las entidades informáticas que sean miembros de G1 y G2 no serán las mismas que las entidades informáticas filtradas, pero se pueden seleccionar juntas para cubrir las entidades informáticas filtradas [VM1, VM2].

      El uso de un valor muy alto puede provocar la creación de más grupos nuevos, ya que es menos probable que los grupos existentes se reutilicen en las reglas que se modifican.

      Si se establece este valor en valores inferiores, como 10 o 20, significa que se pueden elegir como orígenes o destinos de regla adicionales incluso los grupos basados en recursos informáticos con miembros extraños, excepto las entidades informáticas que el sistema quiere agrupar. El uso de un valor inferior puede provocar una reutilización agresiva de grupos y, por lo tanto, se recomienda crear menos grupos nuevos.

    5. Desactive la opción Reutilización de grupo de IPSet parcial si, durante el análisis de recomendaciones, desea que el motor de recomendaciones solo reutilice los grupos de direcciones IP existentes cuyo conjunto de direcciones IP sea el mismo que el conjunto de direcciones IP filtradas.
      De forma predeterminada, esta opción está activada.
    6. Si es necesario, cambie el valor de Tipo de servicio de recomendación.

      El tipo predeterminado es Servicios L4, que está compuesto por los respectivos protocolo y puerto de capa de transporte. Como alternativa, puede seleccionar Perfiles de contexto de capa 7 para indicar que desea una recomendación de regla de protocolo de capa de aplicación.

      A partir de NSX Intelligence 4.1.1, si seleccionó una sección de DFW de capa 7 existente en el área Entidades seleccionadas en el ámbito del cuadro de diálogo, se incluirán recomendaciones de reglas de capa 7 para las secciones existentes. Para obtener más información, consulte Recomendación para secciones de DFW existentes.

  10. Para iniciar el análisis de recomendaciones, haga clic en Iniciar detección.

    NSX Intelligence procesa los trabajos de recomendaciones enviados en serie. De media, puede tardar entre tres y cuatro minutos en finalizar cada análisis de recomendación, en función de si existen trabajos de recomendación en espera de su procesamiento. Si NSX Intelligence tiene que analizar muchos flujos de tráfico, la generación de una recomendación puede tardar entre 10 y 15 minutos.

    La tabla Recomendaciones muestra el estado del trabajo de recomendación. En la siguiente captura de pantalla, se muestra una página Recomendaciones de ejemplo que muestra un trabajo de recomendación que está a la espera de su procesamiento y otra recomendación que está lista para publicarse. La fila expandida de la recomendación que está lista para publicarse muestra los detalles utilizados para generar esa recomendación de DFW.
    Captura de pantalla del panel Recomendaciones con una de las recomendaciones recién generadas expandida para mostrar los detalles.

    • Puede realizar un seguimiento del estado del trabajo de análisis de recomendaciones en la columna Estado de la tabla Recomendaciones. El estado pasa de Esperando a Detección en curso, a Listo para publicar y a Publicado.

      Si el sistema no genera una recomendación, el valor de Status se establecerá en No hay recomendaciones disponibles. Si se produjo algún error en el análisis de recomendaciones, se mostrará el estado Error.

      Se pueden cancelar los trabajos de recomendación que tengan el estado Esperando o Detección en curso. Haga clic en el icono del menú Acciones menú Acciones y seleccione Cancelar detección.

      Al cancelar un trabajo de recomendación, se eliminará el trabajo de la cola de recomendaciones y su estado cambiará a Detección cancelada. Después de cancelar una detección de recomendaciones, puede seleccionar Revisar y volver a ejecutar en el menú Acciones, realizar modificaciones en las selecciones de entrada anteriores y volver a enviar el trabajo de análisis de recomendaciones.

      También puede seleccionar Eliminar en el menú Acciones si hay un trabajo de recomendación con el estado Esperando, Detección en curso o Detección cancelada. Al eliminar un trabajo de recomendación, se elimina toda la información sobre las selecciones realizadas antes de iniciar el análisis de recomendaciones.

    • La columna Entidades de entrada muestra las entidades que se utilizaron para generar la recomendación. Al hacer clic en el texto vinculado de esta columna, se muestra el cuadro de diálogo Entidades seleccionadas en un modo de solo lectura. Puede revisar los grupos y sus miembros, así como cualquier máquina virtual incluida en el análisis de recomendaciones.

    • La columna Supervisión indica si se están supervisando los cambios de las entidades de entrada originales que se utilizan para generar la recomendación. Esta función está disponible para las recomendaciones con el estado Listo para publicar, No hay recomendaciones disponibles o Error. Puede activar o desactivar la opción Supervisión. Cuando el botón de alternancia está activado, se comprobarán los cambios en el ámbito de las entidades de entrada o la estrategia de conectividad cada hora.

    • Si se produjo algún cambio con alguna de las entidades de entrada utilizadas, el icono icono de cambio detectado en las entidades de entrada usadas para el análisis de recomendación se mostrará junto al estado Listo para publicar, No hay recomendaciones disponibles o Error. Puede revisar los cambios y volver a ejecutar la recomendación. Consulte Volver a ejecutar las recomendaciones de NSX Intelligence para obtener más información.

    • Al hacer clic en el icono de lienzo icono de lienzo situado en el extremo derecho de la fila de la recomendación, se mostrará la visualización de las entidades seleccionadas en el lienzo gráfico debajo de la interfaz de usuario Planificar y solucionar problemas > Detectar y realizar acción. Si el estado de la recomendación que se muestra es Publicado, al hacer clic en el icono de lienzo, los grupos recomendados se mostrarán en el lienzo gráfico Detectar y realizar acción.

  11. Cuando el valor de Status es Ready to Publish, revise la recomendación generada y decida si desea publicarla. Para obtener más información, consulte Revisar y publicar recomendaciones generadas de NSX Intelligence.