La fonctionnalité Recommandations de NSX Intelligence peut vous fournir des recommandations pour vous aider à micro-segmenter vos applications.

La génération d'une recommandation de NSX Intelligence implique des recommandations de stratégies de sécurité, de groupes de sécurité de stratégie et de services pour l'application. Les recommandations sont établies en fonction du modèle de trafic de communication entre les machines virtuelles (VM) et les serveurs physiques de votre NSX-T Data Center.

Vous pouvez générer une recommandation en sélectionnant les entités d'entrée allant jusqu'à 1 groupe ou 100 VM et serveurs physiques ou une combinaison d'un groupe, de VM et de serveurs physiques. Le nombre total de VM et de serveurs physiques que vous pouvez sélectionner comme entrée ne peut pas dépasser 100 de ces entités. Le nombre total de VM et de serveurs physiques effectifs que vous pouvez utiliser dans une entrée qui inclut un groupe, des VM ou des serveurs physiques ne peut pas dépasser 250 entités d'entrée.

Par exemple, si vous sélectionnez 50 VM et 50 serveurs physiques dans le cadre de vos entités d'entrée de recommandation, vous ne pouvez sélectionner qu'un groupe ne comportant pas plus de 150 membres de calcul.

Important : Vous pouvez uniquement générer une nouvelle recommandation pour un groupe de sécurité qui a été créé en mode de stratégie. Le groupe de sécurité doit disposer d'au moins l'un des types de membres pris en charge pour permettre à NSX Intelligence de commencer une analyse de recommandation pour ce groupe de sécurité. Les types de membres pris en charge incluent les machines virtuelles, les serveurs physiques, les interfaces de réseau virtuel (VIF), les ports logiques et les commutateurs logiques. Si au moins un type de membre pris en charge est présent dans le groupe de sécurité, l'analyse des recommandations peut se poursuivre, mais les types de membres non pris en charge ne sont pas pris en compte lors de l'analyse des recommandations.

Il existe plusieurs manières de générer une recommandation à l'aide de l'interface utilisateur de NSX Intelligence. La procédure suivante décrit les méthodes disponibles à utiliser.

Conditions préalables

  • Installez NSX Intelligence. Consultez le document Installation et mise à niveau de VMware NSX Intelligence.
  • Assurez-vous de disposer des privilèges requis pour générer des recommandations. Pour plus d'informations, reportez-vous à la section Contrôle d'accès basé sur les rôles dans NSX Intelligence.

Procédure

  1. Dans le navigateur, connectez-vous avec les privilèges requis à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Initiez la génération d'une nouvelle recommandation à l'aide de l'une des méthodes suivantes.
    Où commencer Étape suivante
    Sélectionnez Planifier et dépanner > Recommandations. Cliquez sur Commencer une nouvelle recommandation.
    Pour obtenir des recommandations pour un groupe, sélectionnez Planifier et dépanner > Découvrir et effectuer une action.
    1. Vérifiez que la vue Groupes est sélectionnée dans la zone de sélection de la vue Sécurité.
    2. Cliquez avec le bouton droit sur le nœud du groupe sur lequel vous voulez générer une recommandation.
    3. Sélectionnez Démarrer une recommandation dans le menu déroulant.
    Pour obtenir des recommandations pour des VM ou des serveurs physiques, sélectionnez Planifier et dépanner > Découvrir et effectuer une action.
    Sélectionnez au moins une VM ou un serveur physique, ou une combinaison des deux.
    1. Dans la zone de sélection de la vue Sécurité, cliquez sur la flèche vers le bas en regard de Groupes et sélectionnez Calculs.
    2. Cliquez sur Afficher tous les types et sélectionnez VM ou Serveurs physiques. Dans la liste Éléments disponibles, vous pouvez également sélectionner des VM ou des serveurs physiques spécifiques.
    3. Cliquez sur Appliquer.
    4. Cliquez sur l'icône de la baguette de recommandation icône de baguette de recommandation sur le côté gauche de la barre Flux.
    5. Sélectionnez Démarrer les recommandations pour les calculs filtrés.
  3. Dans l'assistant Commencer une nouvelle recommandation, modifiez les valeurs par défaut de Nom de la recommandation.
    Donnez un nom qui reflète l'application pour laquelle la segmentation est en cours. Le nom est utilisé comme préfixe pour les noms de tous les groupes et toutes les règles recommandés créés au cours de l'analyse des recommandations.
  4. Modifiez la valeur par défaut de la zone de texte Description pour faciliter la mémorisation des informations sur la recommandation.
  5. Définissez ou modifiez les VM ou les serveurs physiques à utiliser comme limite pour la recommandation de stratégie de sécurité.
    1. Dans Entités sélectionnées dans l'étendue, cliquez sur Sélectionner des entités. Si vous avez déjà sélectionné le groupe, les VM ou les serveurs physiques, cliquez sur le lien vers le nombre de groupes, de VM ou de serveurs physiques pour modifier votre sélection actuelle.
    2. Dans la boîte de dialogue Sélectionner des entités, cliquez sur Groupes pour sélectionner un groupe, si vous voulez en inclure un. Pour sélectionner les VM ou les serveurs physiques que vous souhaitez utiliser comme limite pour l'analyse, cliquez sur l'onglet VM ou Serveurs physiques et effectuez votre sélection.
      Vous pouvez sélectionner jusqu'à un groupe et jusqu'à 100 VM ou serveurs physiques, mais pas plus de 250 entités de calcul effectives à utiliser pour la limite de recommandation. Désélectionnez ceux que vous ne voulez pas inclure. Vous pouvez également cliquer sur Filtrer et sélectionner les attributs à utiliser pour filtrer le groupe, les VM ou les serveurs physiques que vous voulez sélectionner.
    3. Cliquez sur Enregistrer.
      Vous revenez à l'assistant Commencer une nouvelle recommandation. Le nombre de groupes, de VM, de serveurs physiques sélectionnés ou d'une combinaison de ces entités est indiqué dans Entités sélectionnées dans l'étendue.
  6. Dans l'assistant Commencer une nouvelle recommandation, dans le menu déroulant Trafic pris en compte, sélectionnez le type de flux de trafic à prendre en compte dans l'analyse des recommandations. La valeur par défaut est All Traffic.
    • Tout le trafic : tous les types de flux de trafic sortant, entrant et intra-application sont pris en compte.
    • Entrant et sortant : tous les types de flux de trafic provenant de et en dehors de la limite de votre application sont pris en compte.
    • Trafic entrant : uniquement les flux de trafic qui proviennent d'en dehors de la limite de votre application sont pris en compte.
  7. Dans le menu déroulant Stratégie de connectivité, sélectionnez la stratégie de connectivité à utiliser pour créer la règle par défaut pour la stratégie de sécurité.
    • Liste autorisée : crée une règle d'abandon par défaut.
    • Liste bloquée : crée une règle d'autorisation par défaut.
    • Aucune : aucune règle par défaut n'est créée.
  8. Développez Options avancées et modifiez la valeur par défaut de Sortie de recommandation, si nécessaire.
    Le mode de sortie par défaut utilisé est Basé sur l'objet, ce qui signifie que la recommandation de stratégie DFW générée contient des groupes dont les membres sont des VM, des entités de serveur physique, ou les deux. Si le mode de sortie de recommandation Basé sur adresse IP est sélectionné, la recommandation de stratégie DFW générée contient des groupes dont les membres sont des objets IPset. Une recommandation basée sur l'adresse IP n'est pas étroitement liée à une VM. Si une VM est supprimée et que son adresse IP est attribuée à une nouvelle VM, la nouvelle VM est attribuée au même groupe. Les stratégies DFW du groupe sont également appliquées à la nouvelle VM.
  9. Si nécessaire, modifiez la valeur de Type de service de recommandation.
    Le type par défaut est Services L4, qui est composé du port et du protocole de couche 4 respectifs. Vous pouvez également sélectionner Profils de contexte de couche 7.
  10. Si vous le souhaitez, modifiez la valeur Intervalle de temps actuelle à utiliser pour générer la recommandation.
    La valeur par défaut de l'intervalle de temps est Dernier mois. Les flux de trafic réseau qui se sont produits entre les VM ou les serveurs physiques sélectionnés, ou un groupe de VM ou de serveurs physiques, sont utilisés pendant l'analyse des recommandations. Les autres valeurs à sélectionner sont 12 dernières heures, 24 dernières heures, Dernière semaine ou Dernier mois.
  11. Pour commencer l'analyse des recommandations, cliquez sur Démarrer la découverte.
    Les recommandations sont traitées en série. En moyenne, la finalisation de chaque recommandation peut prendre entre 3 et 4 minutes, selon que d'autres recommandations sont ou non en attente de traitement. S'il existe un grand nombre de flux de trafic entre les VM et les serveurs physiques qui doivent être analysés, la génération d'une recommandation peut prendre entre 10 et 15 minutes.
    Les recommandations qui sont initiées sont répertoriées dans le tableau Recommandations, semblable à ce qui est affiché dans la capture d'écran suivante.

    • Les états de l'analyse de recommandation peuvent être suivis dans la colonne État du tableau Recommandations. Voici les états successifs : Attente, Détection en cours et Prêt à publier. Si aucune recommandation n'a été générée, la valeur État est définie sur Aucune recommandation disponible. Si l'analyse de recommandation a échoué pour une raison quelconque, l'état Échec s'affiche.
    • La colonne Entités d'entrée répertorie les entités qui ont été utilisées pour générer la recommandation. Un clic sur le texte lié dans cette colonne affiche la boîte de dialogue Entités sélectionnées en mode lecture seule.
    • La colonne Entités recommandées répertorie les liens vers les règles de stratégie de sécurité, les groupes de sécurité de stratégie et les services recommandés en fonction des flux de trafic réseau et de la limite d'entrée.
    • La colonne Surveillance indique si les modifications sont surveillées pour les entités d'entrée d'origine utilisées pour générer la recommandation. Cette fonctionnalité est disponible pour les recommandations dont l'état est Prêt à publier, Aucune recommandation disponible ou Échec. Vous pouvez activer ou désactiver le bouton Surveillance. Lorsque le bouton bascule est activé, les modifications apportées à l'étendue des entités d'entrée sont vérifiées toutes les heures.
    • Si des modifications ont été apportées à l'une des entités d'entrée utilisées, l'icône de détection de modification s'affiche en regard de l'état Prêt à publier, Aucune recommandation disponible ou Échec. Vous pouvez consulter les modifications et relancer la recommandation. Pour plus d'informations, reportez-vous à la section Réexécuter les recommandations de NSX Intelligence.
    • Lorsque vous cliquez sur l'icône de canevas sur le côté droit de la ligne de recommandation, la visualisation des entités sélectionnées s'affiche dans le canevas graphique sous l'interface utilisateur Planifier et dépanner > Découvrir et prendre une mesure.
  12. Lorsque la valeur État est Prêt à publier, vérifiez la recommandation générée et décidez de la publier ou non. Reportez-vous à la section Vérifier et publier les recommandations de NSX Intelligence générées.