En fonction de l'étendue du trafic que vous avez sélectionnée au démarrage de la génération d'une analyse des recommandations, le moteur de recommandation de NSX Intelligence sélectionne les flux de trafic d'entrée (entrant), de sortie (sortant) ou intra-application à partir des entités de calcul de votre limite de recommandation spécifiée et entre celles-ci.

Le moteur de recommandation de NSX Intelligence agrège les flux par le service (critères de ports ou de protocole) sur lequel ces flux de trafic se sont produits. Les sources et les destinations de chacun des flux d'un service particulier sont regroupées. Lors de la création du regroupement, le moteur de recommandation de NSX Intelligence utilise le seuil spécifié par l'utilisateur pour le taux de correspondance et tente de réutiliser les groupes qui existent dans l'inventaire de NSX, y compris ceux qui se trouvent dans une plage IPSet existante d'un groupe.

Si le moteur de recommandation de NSX Intelligence ne trouve pas de groupe existant pouvant satisfaire le seuil de regroupement défini, il crée un groupe à recommander.

Lors de la génération d'une recommandation, le moteur de recommandation de NSX Intelligence prend en compte les types de flux de trafic que vous avez spécifiés dans l'option Trafic à analyser. Si vous avez sélectionné le type de flux de trafic entrant. seuls les flux de trafic provenant de l'extérieur de la limite de votre application sont pris en compte. Si vous avez sélectionné les types de flux de l'ensemble du trafic, trafic entrant et sortant, ou trafic entrant et intra-application, le moteur de recommandation de NSX Intelligence agrège les flux de trafic dans ces sens conjointement pour former la recommandation de règle DFW, selon le service.

Prenez les flux suivants, par exemple.

  • La limite est définie à l'aide de VM1 et de VM2

  • Groupes : CG avec VM1 et VM2 en tant que membres

  • Groupes : G3 avec VM3 et VM4 en tant que membres

  • En supposant le seuil de correspondance : 50 %

Les flux de trafic non agrégés sont les suivants.

  • VM3 vers VM1 à l'aide de SSH

  • VM1 vers VM2 à l'aide de SSH

Voici la recommandation de microsegmentation résultante, qui est une règle unique pour SSH.

Groupe source

Groupe de destination

Service

Appliqué au groupe

G3 + CG (groupes existants réutilisés)

CG avec VM1, VM2 en tant que membres

SSH

Groupe CG avec VM1 et VM2 en tant que membres

Si les flux de trafic proviennent de l'extérieur du masque configuré d'adresses IP privées, les flux depuis et vers ces adresses IP qui ne sont pas incluses dans la liste de préfixes IP privées seront marqués comme « ANY ».

Tenez compte des flux non agrégés suivants.

  • TOUS les flux vers VM1 à l'aide de SSH

  • Flux de VM1 vers VM3 à l'aide de SSH

  • La limite est définie à l'aide de VM1 et de VM2

  • Le groupe défini est CG avec VM1 et VM2 en tant que membres

Dans ce cas, lorsque les flux d'entrée et de sortie sont agrégés, ils deviennent des flux ANY de VM1 vers VM2 et VM3, à l'aide de SSH.

Cela entraîne ensuite la règle de microsegmentation suivante.

Source

Destination

Service

Appliqué à

ANY

[VM1] dans CG, [VM3] dans G3

SSH

CG [VM1, VM2]

Note :

Toutes les règles sont toujours appliquées uniquement aux membres de la limite de recommandation que vous avez spécifié avant de générer la recommandation. La raison pour laquelle l'agrégation est utilisée est de réduire le nombre de règles DFW qui en résultent en fonction du service.

Recommandation pour les sections DFW existantes

Si les entités que vous avez sélectionnées dans l'étendue de la limite de la recommandation sont associées à des sections de pare-feu distribué existantes et que vous avez sélectionné l'option Utiliser la section existante dans la boîte de dialogue Sélectionner une section de pare-feu distribué, le moteur de recommandation de NSX Intelligence inclut ces sections DFW existantes lors de l'exécution de l'analyse des recommandations. Les recommandations DFW impliquent la mise à jour des champs source et de destination des règles existantes pour effectuer la microsegmentation correcte de tous les flux divulgués vers les charges de travail de calcul qui correspondaient à l'étendue de la section DFW spécifiée et à partir de celles-ci.

Auparavant, la prise en charge fournissait uniquement une mise à jour des règles L4 existantes dans les sections DFW existantes. À partir de NSX Intelligence 4.1.1, la prise en charge est également disponible pour mettre à jour les règles L7 existantes dans les sections DFW existantes associées aux entités de l'étendue de la limite de recommandation que vous avez spécifiée.

Pour utiliser cette nouvelle fonctionnalité, vous devez sélectionner l'option Profils de contexte de couche 7 dans la section Type de service de recommandation de la boîte de dialogue Commencer une nouvelle recommandation.

Les informations suivantes décrivent ce qui se produit lorsque vous sélectionnez l'option Profils de contexte de couche 7 ou modifiez les règles existantes lorsque les flux divulgués sont détectés : le moteur de recommandation de NSX Intelligence crée des règles ou des groupes.
  1. Toutes les règles existantes sont utilisées pour faire correspondre les flux divulgués et le moteur de recommandation de NSX Intelligence tente de faire correspondre ces flux avec les mêmes valeurs port protocol et app_id dans les règles. L'échantillonnage des flux avec une valeur app_id non nulle est conservé avec les flux divulgués. Les échantillonnages de flux dont la valeur app_id est égale à 0 ou vide sont exclus.
  2. Les règles sont utilisées lorsque leurs sources ou destinations correspondent. Il est préférable d'utiliser des règles avec un seul côté qui doit être mis à jour. Si aucune règle n'est trouvée, celles pour lesquelles la source et la destination doivent être mises à jour sont sélectionnées.
    1. Pour ces flux ayant une valeur app_id, la règle L7 est utilisée si une règle existante est mise en correspondance et choisie.
    2. Pour les flux qui ne disposent pas d'une valeur app_id, si une règle existante est mise en correspondance et choisie, elle ne doit contenir aucun profil de contexte. La tâche de recommandation de NSX Intelligence modifie uniquement les sources et les destinations de cette règle.
  3. Si aucune règle existante n'a été trouvée, une règle est créée.
    1. Pour les flux ayant une valeur app_id, une règle contenant les profils de contexte est créée, si les détails du profil de contexte peuvent être identifiés à l'aide de la valeur app_id associée au flux. Sinon, une règle L4 est créée, car le moteur de recommandation de NSX Intelligence ne crée pas de profils de contexte.
    2. Pour les flux qui ne disposent pas d'une valeur app_id, le moteur de recommandation de NSX Intelligence crée une règle L4 qui correspond aux flux.
  4. Si le moteur de recommandation de NSX Intelligence trouve une règle existante qui doit être modifiée (c'est-à-dire qu'un côté source/destination correspondant est trouvé), le côté non correspondant est modifié pour inclure les groupes (nouveaux ou réutilisés) contenant les calculs pour lesquels les flux divulgués sont détectés.
  5. Le côté non correspondant d'une règle est modifié pour inclure les groupes en fonction des critères de sélection suivants :
    1. Un groupe est sélectionné en recherchant la correspondance maximale des VM divulguées. Il peut s'agir d'une correspondance partielle dans laquelle le groupe peut inclure d'autres calculs non impliqués dans les flux. Plusieurs groupes peuvent être choisis. Le choix des groupes s'effectue en fonction du taux de correspondance le plus élevé, du nombre de correspondances le plus élevé, puis de l'heure de la dernière création (les plus récents sont prioritaires), jusqu'à ce qu'aucun autre groupe ne puisse être choisi ou que toutes les fuites soient traitées.
    2. Si les entités de calcul ne sont associées à aucun groupe, un groupe est créé pour prendre en charge ces entités de calcul. Des groupes sont créés pour les entités de calcul, même si ces dernières sont présentes dans des groupes existants, si le taux de correspondance est inférieur au seuil de réutilisation des groupes spécifié.
  6. Une règle est modifiée pour inclure les groupes sélectionnés dans les sources ou les destinations.
  7. Si aucun flux divulgué n'est détecté, ce qui signifie que les règles existantes actuelles couvrent tous les flux de trafic pendant la période sélectionnée, aucune nouvelle règle DFW n'est recommandée.
  8. Si une règle DFW existante doit être modifiée et s'il s'agit d'une règle L7 qui contient des profils de contexte, ceux-ci sont conservés dans cette règle DFW.
Note :

Si la section DFW fournie en entrée contient déjà de nombreuses règles et que de nouvelles règles DFW recommandées peuvent dépasser la limite de 1 000 règles par section, l'état du travail de recommandation de NSX Intelligence est défini sur FAILED. Par conséquent, la recommandation de la règle DFW ne peut pas être publiée. Vous devez fournir une section qui dispose de suffisamment de place pour y ajouter les règles recommandées.