NSX-T se diseñó para abordar los marcos de trabajo y las arquitecturas de aplicaciones emergentes que contienen endpoints heterogéneos y pilas de tecnología. Además de vSphere, estos entornos también pueden incluir otros hipervisores, contenedores, equipos nativos y nubes públicas.
vRealize Network Insight es compatible con las implementaciones de NSX-T en las que VMware vCenter administra las máquinas virtuales.
Consideraciones
- vRealize Network Insight solo admite las instalaciones de NSX-T en las que VMware vCenter administra los hosts ESXi.
- vRealize Network Insight es compatible con grupos NSGroup, reglas de firewall de NSX-T, conjuntos de IP, puertos lógicos de NSX-T, conmutadores lógicos de NSX-T y flujos de IPFIX de firewall distribuido de NSX-T, así como VPN basadas en directivas, segmentos y grupos.
- vRealize Network Insight es compatible con las implementaciones de NSX-V y NSX-T. Cuando se utiliza NSX en las consultas, los resultados incluyen las entidades NSX-V y NSX-T. NSX Manager enumera tanto NSX-V Manager como NSX-T Manager. Los grupos de seguridad de NSX enumeran los grupos de seguridad de NSX-T y NSX-V. Si se utilizan NSX-V o NSX-T en lugar de NSX, solo se muestran esas entidades. La misma lógica se aplica a las entidades, como las reglas de firewall, los conjuntos de IP y los conmutadores lógicos.
- Con NSX-T 2.4, vRealize Network Insight admite la administración de directivas declarativas de NSX. Esta opción simplifica y automatiza las configuraciones de redes y seguridad a través de instrucciones de directivas basadas en resultados.
Nota: La microsegmentación sobre el grupo de seguridad se realiza en función de los datos de directivas de NSX. Sin embargo, si no existe un grupo de directivas de NSX correspondiente, el grupo NS independiente se incluye en el análisis de microsegmentación. Para obtener más detalles sobre el grupo NS, consulte la documentación del producto de NSX-T.
- En la configuración de federación de NSX-T, asegúrese de agregar solo usuarios locales.
Requisitos previos
- Debe tener al menos el privilegio de Solo lectura.
- Debe agregar todas las instancias de VMware vCenter asociadas con NSX-T Manager como orígenes de datos a vRealize Network Insight.
Nota: Si agrega la instancia de NSX-T Manager antes de añadir VMware vCenter, vRealize Network Insight tarda alrededor de cuatro horas en estabilizarse.
- Asegúrese de que la lista de exclusión en el firewall distribuido (Distributed Firewall, DFW) no contenga conmutadores lógicos. Si existe algún conmutador lógico en esta lista, no se informarán los flujos de ninguna máquina virtual conectada a estos conmutadores lógicos.
Procedimiento
- Vaya a .
- En VMware Manager, seleccione VMware NSX-T Manager.
- Proporcione las credenciales de usuario.
Opción Acción Máquina virtual de recopilador Seleccione una máquina virtual de recopilador del menú desplegable. Dirección IP/FQDN Introduzca la dirección de administración IPv4 o los detalles del FQDN. Nota: Actualmente, vRealize Network Insight no admite direcciones de administración de NSX-T IPv6.Método de autenticación Seleccione el método de autenticación en el menú desplegable. Nombre de usuario/Contraseña Introduzca el nombre de usuario y la contraseña. Certificado (identidad principal) - Certificado: haga clic en Examinar y cargue el certificado de identidad principal.
- Clave privada: haga clic en Examinar y cargue la clave privada de identidad principal.
Nota: vRealize Network Insight no admite claves privadas de identidad principal cifradas.
Nota:- Si tiene más de un nodo de administración en una sola implementación de NSX-T, debe agregar un solo nodo como origen de datos a vRealize Network Insight o utilizar la IP virtual (Virtual IP, VIP) de esos nodos. Si agrega más de un nodo de administración, es posible que vRealize Network Insight no funcione correctamente.
- Asegúrese de utilizar la VIP al agregar NSX-T como origen de datos. Si agrega una dirección IP de nodo de administración en lugar de una VIP y, a continuación, desea agregar una VIP u otra dirección IP de nodo de administración, debe eliminar el origen de datos existente para agregar la VIP o la dirección IP de administración nuevas.
- Asegúrese de que se pueda acceder a cada nodo de administración del clúster desde el recopilador.
- Si no se requiere IPFIX, el usuario debe ser un usuario local con permisos de nivel de auditoría. Sin embargo, si se requiere IPFIX, el usuario debe tener uno de los siguientes permisos: enterprise_admin, network_engineer o security_engineer.
Nota: Debe agregar el origen de datos mediante la dirección IP o el FQDN. No agregue el origen de datos usando tanto la dirección IP como el FQDN. - Haga clic en Validar.
- (opcional) Seleccione Habilitar IPFIX de DFW para actualizar la configuración de IPFIX en NSX-T. Al seleccionar esta opción, vRealize Network Insight recibe flujos IPFIX de DFW desde NSX-T. Para obtener más información sobre cómo habilitar IPFIX, consulte Habilitar IPFIX de DFW de VMware NSX-T.
Nota:
- IPFIX de DFW no es compatible con la edición estándar de NSX-T.
- vRealize Network Insight no es compatible con flujos de IPFIX de conmutadores de NSX-T.
- (opcional) Si desea recopilar datos de métricas de latencia, seleccione la casilla de verificación Habilitar recopilación de métricas de latencia. Si selecciona esta opción, vRealize Network Insight recibe métricas de latencia, como VTEP-VTEP, vNIC-pNIC, pNIC-vNIC y vNIC-vNIC de NSX-T. Para obtener más información acerca de la latencia de red, consulte Estadísticas de latencia de red.
Nota:
- Esta opción solo se encuentra disponible para NSX-T 2.5 y versiones posteriores.
- VTEP-VTEP está disponible en NSX-T 2.5 y versiones posteriores.
- vNIC-pNIC, pNIC-vNIC y vNIC-vNIC están disponibles en NSX-T 3.0.2 y versiones posteriores.
- Para habilitar la recopilación de métricas de latencia, debe tener el permiso enterprise_admin.
- Asegúrese de que el puerto 1991 esté abierto en el recopilador para recibir los datos de latencia del nodo ESXi.
- Esta opción solo se encuentra disponible para NSX-T 2.5 y versiones posteriores.
- (opcional) Para habilitar la recopilación de flujos desde NSX Intelligence, seleccione la casilla de verificación Habilitar NSX Intelligence.
NSX-Intelligence proporciona una inspección profunda de los paquetes con la visibilidad de la capa de aplicaciones. Después de recibir los flujos de NSX Intelligence, puede ver la información de la capa 7 (capa de aplicaciones), como la ID de aplicación.
Nota: Para habilitar NSX Intelligence en vRealize Network Insight, debe implementar el dispositivo de NSX Intelligence. vRealize Network Insight es compatible con NSX Intelligence 1.2 con NSX-T 3.1 y versiones posteriores.NSX Intelligence tarda al menos 12 minutos en procesar y enviar la información de flujo a vRealize Network Insight.
Nota: Para habilitar la recopilación de flujos desde NSX Intelligence, debe seleccionar la casilla de verificación Habilitar IPFIX de DFW, ya que vRealize Network Insight usa IPFIX de DFW como origen principal de los flujos.La información de capa 7 no está disponible para flujos descartados, ya que no es compatible con NSX Intelligence.
- En el cuadro de texto Alias, introduzca un alias.
- En el cuadro de texto Notas (opcional), agregue una nota si es necesario.
- Haga clic en Enviar.
Ejemplos de consultas
Estos son algunos ejemplos de consultas relacionadas con NSX-T:
Consultas | Resultados de búsqueda |
---|---|
NSX-T Manager where VC Manager=10.197.53.214 | La instancia de NSX-T Manager donde se agregó este administrador de VC específico como administrador de recursos informáticos. |
NSX-T Logical Switch | Enumera todos los conmutadores lógicos NSX-T presentes en la instancia de vRealize Network Insight, incluidos los detalles sobre si es un conmutador creado por el sistema o por el usuario. |
NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch' | Enumera los puertos lógicos de NSX-T que pertenecen a ese conmutador lógico de NSX-T específico, el conmutador BD. |
VMs where NSX-T Security Group = 'Application-Group' O VMs where NSGroup = ‘Application-Group’ |
Enumera todas las máquinas virtuales de ese grupo de seguridad específico, el grupo de aplicaciones. |
NSX-T Firewall Rule where Action='ALLOW' | Enumera todas las reglas de firewall de NSX-T en las que la acción se establece como PERMITIR. |
NSX-T Firewall Rule where Destination Security Group = ‘CRM-Group’ | Enumera las reglas de firewall en las que el grupo de CRM es el grupo de seguridad de destino. Los resultados incluyen tanto grupos de seguridad de destino directos como grupos de seguridad de destino indirectos. |
NSX-T Firewall Rule where Direct Destination Security Group = ‘CRM-Group’ | Enumera las reglas de firewall en las que el grupo de CRM es el grupo de seguridad de destino. Los resultados solo incluyen los grupos de seguridad de destino directos. |
VMs where NSX-T Logical Port = ‘App_Port-Id-1’ | Enumera todas las máquinas virtuales que tienen ese puerto lógico NSX-T específico. |
NSX-T Transport Zone | Enumera la red VLAN, la zona de transporte superpuesta y los detalles correspondientes asociados a ella, incluido el tipo de nodo de transporte.
Nota:
vRealize Network Insight no admite KVM como origen de datos.
|
NSX-T Router | Enumera los enrutadores de NIVEL 1 y NIVEL 0. Haga clic en el enrutador que se muestra en los resultados para ver más detalles asociados a él, incluidos el clúster de NSX-T Edge y el modo HA. |
NSX Policy Segment | Enumera todos los segmentos de directivas de NSX presentes en la instancia de vRealize Network Insight. |
NSX Policy Manager | Enumera todos los administradores de directivas de NSX presentes en la instancia de vRealize Network Insight. |
NSX Policy Group | Enumera todos los grupos de directivas de NSX presentes en la instancia de vRealize Network Insight. |
NSX Policy Firewall | Enumera todos los firewall de directivas de NSX presentes en la instancia de vRealize Network Insight. |
NSX Policy Firewall Rule | Enumera todas las reglas de firewall de directivas de NSX presentes en la instancia de vRealize Network Insight. |
NSX Policy Firewall Rule where Action = 'ALLOW' | Enumera todas las reglas de firewall de directivas de NSX en las que la acción se establece como PERMITIR. |
NSX Policy Based VPN | Enumera todas las VPN basadas en directivas de NSX presentes en la instancia de vRealize Network Insight. |
Compatibilidad con métricas de NSX-T
Entidades | Widgets en el panel de control de la entidad | Métricas de NSX-T compatibles |
---|---|---|
Conmutador lógico | Métricas de paquetes de conmutador lógico Métricas de bytes de conmutador lógico |
|
Puerto lógico | Métricas de paquetes de puerto lógico Métricas de bytes de puerto lógico |
|
Interfaz de enrutador | Métricas de interfaz de enrutador |
|
Regla de firewall | Métricas de regla de firewall |
|
nsx-t logical switch where Rx Packet Drops > 0
Esta consulta enumera todos los conmutadores lógicos en los que el número de paquetes recibidos descartados es mayor que 0.
nsx-t logical port where Tx Packet Drops > 0
Esta consulta enumera todos los puertos lógicos en los que el número de paquetes transmitidos descartados es mayor que 0.
top 10 nsx-t firewall rules order by Connection count
Esta consulta enumera las 10 reglas de firewall principales según el número de conexiones (
Hit Count
).
Planificación de seguridad para NSX-T
plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’También puede conseguir el mismo objetivo siguiendo estos pasos:
- Seleccione en la página de navegación de la izquierda.
- Seleccione Red de capa 2 de NSX-T o Segmento de directiva de NSX como ámbito en el menú desplegable.