La fonctionnalité Recommandations de NSX Intelligence peut vous fournir des recommandations pour vous aider à micro-segmenter vos applications.

La génération d'une recommandation de NSX Intelligence implique des recommandations de stratégies de sécurité, de groupes de sécurité de stratégie et de services pour l'application. Les recommandations sont établies en fonction du modèle de trafic de communication entre les machines virtuelles de votre NSX-T Data Center.

Vous pouvez générer une recommandation en sélectionnant les entités d'entrée allant jusqu'à 1 groupe ou 100 machines virtuelles (VM) ou une combinaison d'un groupe et de machines virtuelles. Le nombre total de machines virtuelles que vous pouvez utiliser dans une entrée incluant un groupe et des machines virtuelles ne peut pas dépasser 250.

Important : Vous pouvez uniquement générer une nouvelle recommandation pour un groupe de sécurité qui a été créé en mode de stratégie. Le groupe de sécurité doit disposer d'au moins l'un des types de membres pris en charge pour permettre à NSX Intelligence de commencer une analyse de recommandation pour ce groupe de sécurité. Les types de membres pris en charge incluent les machines virtuelles, les interfaces de réseau virtuel (VIF), les ports logiques et les commutateurs logiques. Si au moins un type de membre pris en charge est présent dans le groupe de sécurité, l'analyse des recommandations peut se poursuivre, mais les types de membres non pris en charge ne sont pas pris en compte lors de l'analyse des recommandations.

Il existe plusieurs manières de générer une recommandation à l'aide de l'interface utilisateur de NSX Intelligence. La procédure suivante décrit les méthodes disponibles à utiliser.

Conditions préalables

  • Installez NSX Intelligence. Consultez le document Installation et mise à niveau de VMware NSX Intelligence.
  • Assurez-vous de disposer des privilèges requis pour générer des recommandations. Pour plus d'informations, reportez-vous à la section Contrôle d'accès basé sur les rôles dans NSX Intelligence.

Procédure

  1. Dans le navigateur, connectez-vous avec les privilèges requis à un dispositif NSX Manager sur https:<nsx-manager-ip-address>.
  2. Initiez la génération d'une nouvelle recommandation à l'aide de l'une des méthodes suivantes.
    Où commencer Étape suivante
    Sélectionnez Planifier et dépanner > Recommandations. Cliquez sur Commencer une nouvelle recommandation.
    Pour obtenir une recommandation pour un groupe, sélectionnez Planifier et dépanner > Découvrir et effectuer une action.
    1. Vérifiez que la vue Groupes est sélectionnée dans la zone de sélection de la vue Sécurité.
    2. Cliquez avec le bouton droit sur le nœud du groupe sur lequel vous voulez générer une recommandation.
    3. Sélectionnez Démarrer une recommandation.
    Pour obtenir une recommandation pour des VM, sélectionnez Planifier et dépanner > Découvrir et effectuer une action.
    Pour une VM unique :
    1. Dans la zone de sélection de la vue Sécurité, cliquez sur la flèche vers le bas en regard de Groupes et sélectionnez VM.
    2. Cliquez avec le bouton droit sur le nœud d'une machine virtuelle et sélectionnez Démarrer une recommandation dans le menu contextuel.
    Pour plusieurs machines virtuelles :
    1. Dans la zone de sélection de la vue Sécurité, cliquez sur la flèche vers le bas en regard de Groupes et sélectionnez VM.
    2. Si vous voulez inclure uniquement des VM spécifiques, cliquez sur la flèche vers le bas en regard de TOUS et sélectionnez les VM qui composent la limite d'application que vous voulez utiliser. Sinon, laissez TOUS sélectionné et cliquez sur Appliquer.
    3. Cliquez sur l'icône de la baguette de recommandation icône de baguette de recommandation sur le côté gauche de la barre Flux.
    4. Sélectionnez Démarrer les recommandations ou Démarrer les recommandations pour les VM filtrées.
  3. Dans l'assistant Commencer une nouvelle recommandation, modifiez les valeurs par défaut de Nom de la recommandation.
    Donnez un nom qui reflète l'application pour laquelle la segmentation est en cours. Le nom est utilisé comme préfixe pour les noms de tous les groupes et toutes les règles recommandés créés au cours de l'analyse des recommandations.
  4. Modifiez la valeur par défaut de la zone de texte Description pour faciliter la mémorisation des informations sur la recommandation.
  5. Définissez ou modifiez les machines virtuelles à utiliser comme limite pour la recommandation de stratégie de sécurité.
    1. Dans Entités sélectionnées dans l'étendue, cliquez sur Sélectionner des entités ou si vous avez déjà sélectionné le ou les groupes de machines virtuelles, cliquez sur le lien vers le numéro de groupes ou de machines virtuelles.
    2. Dans la boîte de dialogue Sélectionner des entités, cliquez sur Groupes pour sélectionner un groupe, si vous voulez en utiliser un. Pour sélectionner les VM que vous voulez utiliser comme limite pour l'analyse, cliquez sur VM.
      Dans NSX Intelligence 1.1, vous pouvez sélectionner jusqu'à un groupe et jusqu'à 100 VM à utiliser pour la limite de recommandation. Désélectionnez ceux que vous ne voulez pas inclure. Vous pouvez également cliquer sur Filtrer à droite et sélectionner les attributs à utiliser pour filtrer le groupe ou les VM que vous voulez sélectionner.
    3. Cliquez sur Enregistrer.
      Le nombre de groupes ou de VM sélectionnés est indiqué dans Entités sélectionnées dans l'étendue.
  6. Dans l'assistant Commencer une nouvelle recommandation, développez Plus d'options et modifiez la valeur par défaut de Mode de sortie de recommandation, si nécessaire.
    Le mode de sortie par défaut utilisé est Basé sur l'objet, ce qui signifie que la recommandation de stratégie DFW générée contient des groupes dont les membres sont des objets de VM. Si le mode de sortie de recommandation Basé sur adresse IP est sélectionné, la recommandation de stratégie DFW générée contient des groupes dont les membres sont des objets IPset. Une recommandation basée sur l'adresse IP n'est pas étroitement liée à une VM. Si une VM est supprimée et que son adresse IP est attribuée à une nouvelle VM, la nouvelle VM est attribuée automatiquement au même groupe. Les stratégies DFW du groupe sont également appliquées à la nouvelle VM.
  7. Si vous le souhaitez, modifiez la valeur Intervalle de temps actuelle à utiliser pour générer la recommandation.
    La valeur par défaut de l'intervalle de temps est Dernier mois. Les flux de trafic réseau qui se sont produits entre les machines virtuelles ou le groupe de machines virtuelles sélectionnées sont utilisés pendant l'analyse des recommandations. Les autres valeurs à sélectionner sont 1 heure, 12 heures, 24 heures et 1 semaine.
  8. Pour commencer l'analyse des recommandations, cliquez sur Démarrer la découverte.
    Les recommandations sont traitées en série. En moyenne, la finalisation de chaque recommandation peut prendre entre 3 et 4 minutes, selon que d'autres recommandations sont ou non en attente de traitement. S'il existe un grand nombre de flux de trafic entre les VM qui doivent être analysées, la génération d'une recommandation peut prendre entre 10 et 15 minutes.
    Les recommandations qui ont été initiées sont répertoriées dans le tableau Recommandations, semblable à ce qui est affiché dans l'image suivante.
  9. Vérifiez l'état de la recommandation que vous avez lancée.
    Les états de l'analyse de recommandation peuvent être suivis dans la colonne État du tableau Recommandations. Voici les états successifs : Attente, Détection en cours et Prêt à publier. Si aucune recommandation n'a été générée, la valeur État est définie sur Aucune recommandation disponible. Si l'analyse de recommandation a échoué pour une raison quelconque, l'état Échec s'affiche.

    La colonne Surveillance indique si les modifications sont surveillées pour les entités d'entrée d'origine utilisées pour générer la recommandation. Cette fonctionnalité est disponible pour les recommandations dont l'état est Prêt à publier, Aucune recommandation disponible ou Échec. Vous pouvez activer ou désactiver le bouton Surveillance. Lorsque le bouton bascule est activé, les modifications apportées à l'étendue des entités d'entrée sont vérifiées toutes les heures.

    Si des modifications ont été apportées à l'une des entités d'entrée utilisées, l'icône de détection de modification s'affiche en regard de l'état Prêt à publier, Aucune recommandation disponible ou Échec. Vous pouvez consulter les modifications et relancer la recommandation. Pour plus d'informations, reportez-vous à la section Réexécuter une recommandation.

    Le tableau affiche également les liens vers les entités d'entrée, les entités de recommandations générées et l'intervalle de temps qui ont été utilisés pour générer la recommandation. Lorsque vous cliquez sur l'icône de canevas sur le côté droit de la ligne de recommandation, la visualisation des entités sélectionnées s'affiche dans le canevas graphique sous l'interface utilisateur Planifier et dépanner > Découvrir et prendre une mesure.

  10. Lorsque la valeur État est Prêt à publier, vérifiez la recommandation générée et décidez de la publier ou non. Reportez-vous à la section Vérifier et publier une recommandation générée.