Une fois que la recommandation de NSX Intelligence générée atteint l'état Prêt à publier, vous pouvez passer en revue la recommandation, la modifier si nécessaire et décider de la publier ou non.

Conditions préalables

Procédure

  1. Dans le navigateur, connectez-vous avec les privilèges requis à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Cliquez sur Planifier et dépanner > Recommandations.
  3. (Facultatif) Pour affiner la liste des recommandations affichées, cliquez sur Filtre en haut à droite de l'interface utilisateur. Cliquez sur Appliquer le filtre, puis sélectionnez un ou plusieurs filtres dans le menu déroulant.
    Par exemple, après avoir cliqué sur Appliquer le filtre, sélectionnez Détails de base > Surveillance > Activé pour afficher uniquement les recommandations pour lesquelles le paramètre de surveillance est activé.
  4. (Facultatif) Si vous décidez de ne pas utiliser la recommandation générée, cliquez sur l'icône du menu à trois points et sélectionnez Supprimer.
  5. Pour commencer à examiner et à gérer les détails de la recommandation dont l'état est Prêt à publier, cliquez sur le nom de la recommandation.
    L'assistant Recommandations s'affiche, comme illustré dans l'image suivante. Dans le volet Vérifier les recommandations, les détails des recommandations s'affichent dans une vue fractionnée. La moitié supérieure du volet affiche une visualisation des recommandations dans un format graphique. La moitié inférieure du volet répertorie les recommandations dans un format tabulaire.

  6. Utilisez la moitié supérieure du volet pour examiner la visualisation graphique des recommandations.
    Vous pouvez cliquer sur des nœuds et des flèches de flux spécifiques pour afficher les détails des recommandations. Vous pouvez pointer vers la flèche de flux située entre deux nœuds de groupe pour voir quelles règles de stratégie ont été appliquées entre les groupes ou quels services ont été créés. Cliquez avec le bouton droit sur la flèche de flux pour filtrer la recommandation selon les règles de stratégie correspondantes.

    Les nœuds avec l'icône de baguette de recommandation recommendation wand icon sur le dispositif Edge indiquent que le nœud représente un groupe recommandé. Vous pouvez cliquer avec le bouton droit sur le nœud pour une recommandation de groupe, renommer le groupe ou modifier les membres d'entité de calcul qui appartiennent à ce groupe. Vous pouvez également cliquer avec le bouton droit sur un nœud de groupe pour le renommer, voir ou modifier ses membres ou sélectionner Filtrer par pour utiliser le groupe actuel comme filtre utilisé pour afficher des détails sur la recommandation générée.

    Les modifications apportées à l'aide de la vue graphique des recommandations sont reflétées dans le tableau dans la moitié inférieure du volet. De même, les modifications apportées aux informations de recommandations dans le tableau sont reflétées dans la visualisation graphique.

  7. Dans la moitié inférieure du volet Vérifier les recommandations, vous pouvez utiliser la vue tabulaire des recommandations pour afficher les détails sur les règles, les groupes et les services inclus dans la recommandation. Utilisez l'onglet Flux utilisés pour les recommandations pour afficher les flux de trafic utilisés pour générer les recommandations.

    Vous pouvez examiner et modifier les détails de chaque recommandation en cliquant sur l'onglet Règles, Groupes ou Services.

    Dans la section Stratégies recommandées, des chiffres s'affichent dans les onglets Règles, Groupes et Services. Ces chiffres indiquent le nombre de règles, de groupes et de services recommandés. Ils n'existaient pas dans l'inventaire de NSX-T lors de la génération des recommandations. Par exemple, dans la capture d'écran ci-dessus, l'onglet Services de la recommandation n'affiche aucun service recommandé. Les services utilisés par les groupes existaient dans l'inventaire NSX-T lors de la génération de la recommandation. Par conséquent, aucun nouveau service n'est recommandé.

    Toutes les modifications appliquées aux règles dans l'onglet Règles (telles que l'ajout, la suppression ou la modification d'une règle ou d'une section) sont immédiatement reflétées dans le tableau de règles et dans le volet de visualisation graphique.

    1. Pour définir le mode de traitement des paquets si la règle DFW est rencontrée, sélectionnez Autoriser, Annuler ou Refuser dans la colonne Action.
    2. Pour activer ou désactiver la règle DFW, faites basculer le bouton sur le côté droit de la colonne Action. Par défaut, la règle générée est définie sur Enabled lorsque la recommandation a été publiée.
    3. Pour consulter les détails sur les groupes dans la recommandation, cliquez sur Groupes.
      Avant de supprimer un groupe, assurez-vous qu'aucune règle ne l'utilise.
    4. Cliquez sur le lien dans la colonne Membres pour vérifier les détails des machines virtuelles, des adresses IP et des serveurs physiques qui ont été définis pour la recommandation de groupe.
    5. Cliquez sur l'icône du menu à trois points en regard du nom du groupe et sélectionnez Modifier pour modifier la recommandation de groupe.
    6. Cliquez sur Services et examinez les détails.
    7. Cliquez sur l'icône du menu à trois points en regard du nom du service et sélectionnez Modifier pour modifier le nom ou la description.
      Avant de supprimer un service, assurez-vous qu'aucune règle ne l'utilise.
  8. Pour continuer la publication de la recommandation, cliquez sur Continuer.
    Vous pouvez également cliquer sur Continuer plus tard pour enregistrer les modifications que vous avez effectuées et quitter la session de vérification des recommandations.
  9. Dans le volet Séquencer et publier, définissez l'ordre dans lequel les nouvelles stratégies de sécurité recommandées doivent être appliquées par rapport aux règles DFW existantes.
    1. Sélectionnez la ligne correspondant à la nouvelle recommandation de stratégie de sécurité.
    2. Cliquez sur l'icône du menu à trois points du côté gauche de la ligne pour l'une des stratégies de sécurité existantes répertoriées.
    3. Pour déplacer la ligne sélectionnée de la stratégie de sécurité qui vient d'être recommandée vers un emplacement situé au-dessus ou en dessous de la ligne de la stratégie de sécurité existante, sélectionnez Déplacer les stratégies sélectionnées au-dessus de cette stratégie ou Déplacer les stratégies sélectionnées en dessous de cette stratégie dans le menu affiché.
      Vous pouvez également faire glisser la nouvelle ligne de recommandation de stratégie actuellement sélectionnée vers le haut ou vers le bas jusqu'à l'emplacement de commande souhaité.
  10. Cliquez sur Publier.
    Pour interrompre la vérification de la recommandation, cliquez sur Annuler.
  11. Dans la boîte de dialogue Publier des recommandations, cliquez sur Oui.
  12. Dans la boîte de dialogue Stratégies publiées, cliquez sur Ignorer pour fermer la boîte de dialogue ou cliquez sur Afficher dans le tableau Pare-feu distribué pour afficher les stratégies de sécurité qui viennent d'être publiées dans l'onglet Sécurité > Pare-feu distribué > Toutes les règles.
    Dans le volet Planifier et dépanner > Recommandations, la colonne État de la recommandation que vous venez de publier est remplacée par Publié dans le tableau Recommandations.

Résultats

Une fois que les recommandations de stratégie de sécurité ont été publiées correctement, elles sont en mode lecture seule dans l'onglet Planifier et dépanner > Recommandations. Pour afficher et gérer les recommandations de règle publiées, accédez à Sécurité > Pare-feu distribué.
Important : Une fois que vous avez publié les recommandations de règle, la visualisation continue d'afficher les flux concernés entre les entités de calcul sous forme de flèches de teinte orange (flux non protégés) jusqu'à ce que de nouveaux flux soient générés entre les entités de calcul concernées. La visualisation signale uniquement les flux de trafic en fonction de l'heure à laquelle ils sont survenus sur l'hôte et ne reflète pas l'ensemble de règles publié une fois les flux de trafic survenus. Une fois que l'ensemble de règles est publié et que de nouveaux flux de trafic sont générés, les nouveaux flux sont affichés sous forme de flèches de teinte verte (flux autorisés).