NSX-T est conçu pour prendre en charge les architectures et structures d'application émergentes qui possèdent des piles technologiques et des points de terminaison hétérogènes. Outre vSphere, ces environnements peuvent également inclure d'autres hyperviseurs, conteneurs, instances bare metal et cloud publics.

vRealize Network Insight prend en charge les déploiements NSX-T dans lesquels les machines virtuelles sont gérées par vCenter.

Éléments à prendre en compte

  • vRealize Network Insight ne prend en charge que les configurations de NSX-T dans lesquelles l'instance de vCenter gère les hôtes ESXi.
  • vRealize Network Insight prend en charge les groupes NSGroup, les règles de pare-feu NSX-T, les IPSet, les ports logiques NSX-T, les commutateurs logiques NSX-T, les flux IPFIX NSX-T Distributed Firewall ainsi que les VPN basés sur les segments, les groupes et les stratégies.
  • vRealize Network Insight prend en charge les déploiements NSX-V et NSX-T. Lorsque vous utilisez NSX dans vos requêtes, les résultats incluent les entités NSX-V et NSX-T. NSX Manager répertorie NSX-V Manager et NSX-T Manager. Les groupes de sécurité NSX répertorient les groupes de sécurité NSX-T et NSX-V. Si NSX-V ou NSX-T est utilisé à la place de NSX, seules ces entités sont affichées. La même logique s'applique aux entités, telles que les règles de pare-feu, les IPSets et les commutateurs logiques.
  • Avec la version 2.4 de NSX-T, vRealize Network Insight prend en charge la gestion de stratégie déclarative de NSX qui simplifie et automatise les configurations de réseau et de sécurité via des déclarations de stratégie basées sur le résultat.
    Note : La microsegmentation du groupe de sécurité est effectuée en fonction des données de stratégie NSX. Toutefois, si aucun groupe de stratégies NSX ne correspond, le groupe NS autonome est inclus dans l'analyse de la microsegmentation. Pour plus d'informations sur le groupe NS, reportez-vous à la documentation du produit NSX-T.

Conditions préalables

Conditions préalables à l'ajout d'une instance de NSX-T Manager en tant que source de données :
  • Vous devez au moins disposer du privilège de lecture seule.
  • Vous devez ajouter toutes les instances de vCenter associées à NSX-T Manager en tant que sources de données dans vRealize Network Insight.
    Note : Si vous ajoutez NSX-T Manager avant d'ajouter l'instance de vCenter, la stabilisation de vRealize Network Insight prend environ 4 heures.
  • Assurez-vous qu'il n'y a pas de commutateurs logiques dans la liste d'exclusion de Distributed Firewall (DFW). S'il y a des commutateurs logiques dans cette liste, les flux ne sont pas signalés pour les machines virtuelles attachées à ces commutateurs logiques.

Procédure

  1. Accédez à Paramètres > Comptes et sources de données > Ajouter une source.
  2. Sous Gestionnaires VMware, sélectionnez VMware NSX-T Manager.
  3. Fournissez les informations d'identification de l'utilisateur.
    Option Action
    VM de collecteur Sélectionnez une machine virtuelle de collecteur dans le menu déroulant.
    Adresse IP/nom de domaine complet Entrez l'adresse IP ou le nom de domaine complet.
    Nom d'utilisateur Entrez le nom d'utilisateur.
    Mot de passe Entrez le mot de passe.
    Note :
    • Si vous disposez de plusieurs nœuds de gestion dans un seul déploiement de NSX-T, vous devez ajouter un seul nœud en tant que source de données dans vRealize Network Insight ou utiliser l'adresse IP virtuelle (de ces nœuds). Si vous ajoutez plusieurs nœuds de gestion, vRealize Network Insight risque de ne pas fonctionner correctement.
    • Il est recommandé d'utiliser l'adresse IP virtuelle lorsque vous ajoutez NSX-T en tant que source de données. Si vous ajoutez une adresse IP de nœud de gestion au lieu d'une adresse IP virtuelle et que vous souhaitez ajouter ultérieurement une adresse IP virtuelle ou une autre adresse IP de nœud de gestion, vous devez supprimer la source de données existante pour ajouter la nouvelle adresse IP virtuelle ou la nouvelle adresse IP de gestion.
    • Assurez-vous que tous les nœuds de gestion du cluster sont accessibles à partir du collecteur.
    • Si IPFIX n'est pas requis, l'utilisateur doit être un utilisateur local disposant d'autorisations de niveau audit. Toutefois, si IPFIX est requis, l'utilisateur doit disposer de l'une des autorisations suivantes : enterprise_admin, network_engineer ou security_engineer.
    Note : Vous devez ajouter la source de données à l'aide de l'adresse IP ou du nom de domaine complet. N'ajoutez pas la source de données à l'aide de l'adresse IP et du nom de domaine complet.
  4. Cliquez sur Valider.
  5. (Facultatif) Sélectionnez Activer DFW IPFIX pour mettre à jour les paramètres IPFIX sur NSX-T. Lorsque vous sélectionnez cette option, vRealize Network Insight reçoit des flux DFW IPFIX de NSX-T. Pour plus d'informations sur l'activation d'IPFIX, reportez-vous à la section Activation de VMware NSX-T DFW IPFIX.
    Note :
    • DFW IPFIX n'est pas pris en charge dans l'édition standard de NSX-T.
    • vRealize Network Insight ne prend pas en charge les flux IPFIX de commutateur NSX-T.
  6. (Facultatif) Si vous souhaitez collecter des données de mesure de latence, cochez la case Activer la collecte des mesures de latence. Si vous sélectionnez cette option, vRealize Network Insight reçoit des mesures de latence telles que VTEP - VTEP, vNIC - pNIC, pNIC - vNIC et vNIC - vNIC depuis NSX-T. Pour plus d'informations sur la latence du réseau, reportez-vous à Statistiques de latence du réseau.
    Note :
    • Cette option est uniquement disponible pour NSX-T 2.5 et versions ultérieures.
      • VTEP - VTEP est disponible à partir de NSX-T 2.5 et versions ultérieures.
      • vNIC - pNIC, pNIC - vNIC et vNIC - vNIC sont disponibles à partir de NSX-T 3.0.2 et versions ultérieures.
    • Pour activer la collecte des mesures de latence, vous devez disposer de l'autorisation enterprise_admin.
    • Assurez-vous que le port 1991 est ouvert sur le collecteur pour recevoir les données de latence du nœud ESXi.
  7. (Facultatif) Cochez la case Activer NSX intelligence pour activer la collecte de flux depuis NSX Intelligence.

    NSX Intelligence assure une inspection approfondie des paquets avec une visibilité de la couche d'application. Après la réception des flux depuis NSX Intelligence, vous pouvez voir des informations L7 (couche d'application), telles que l'ID d'application.

    Note : Pour activer NSX Intelligence dans vRealize Network Insight, vous devez déployer le dispositif NSX Intelligence. vRealize Network Insight prend en charge NSX Intelligence 1.2 avec NSX-T 3.1 et versions ultérieures.

    NSX Intelligence prend au moins 12 minutes pour traiter et envoyer les informations de flux à vRealize Network Insight.

    Note : Pour activer la collecte de flux depuis NSX Intelligence, vous devez cocher la case Activer DFW IPFIX étant donné que vRealize Network Insight utilise DFW IPFIX comme source principale de flux.

    Les informations L7 ne sont pas disponibles pour les flux abandonnés, car elles ne sont pas prises en charge par NSX Intelligence.

  8. Dans la zone de texte Surnom, entrez un surnom.
  9. Dans la zone de texte Remarques (facultatif), vous pouvez ajouter une remarque, si nécessaire.
  10. Cliquez sur Envoyer.

Exemples de requêtes

Voici quelques exemples de requêtes liées à NSX-T :

Tableau 1. Requêtes pour NSX-T
Requêtes Résultats de recherche
NSX-T Manager where VC Manager=10.197.53.214 NSX-T Manager où cette instance deVC Manager particulière a été ajoutée en tant que gestionnaire de calcul.
NSX-T Logical Switch Répertorie tous les commutateurs logiques NSX-T présents dans l'instance de vRealize Network Insight, y compris les détails indiquant s'il s'agit d'un commutateur créé par le système ou par l'utilisateur.
NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch' Répertorie les ports logiques NSX-T appartenant à ce commutateur logique NSX-T particulier, DB-Switch.
VMs where NSX-T Security Group = 'Application-Group'

Or

VMs where NSGroup = ‘Application-Group' 		Répertorie toutes les machines virtuelles dans ce groupe de sécurité particulier, Application-Group.
NSX-T Firewall Rule where Action='ALLOW' Répertorie toutes les règles de pare-feu NSX-T dont l'action est définie sur ALLOW.
NSX-T Firewall Rule where Destination Security Group = ‘CRM-Group' Répertorie les règles de pare-feu dans lesquelles CRM-Group est le groupe de sécurité de destination. Les résultats comprennent les groupes de sécurité de destination directe et les groupes de sécurité de destination indirecte.
NSX-T Firewall Rule where Direct Destination Security Group = ‘CRM-Group' Répertorie les règles de pare-feu dans lesquelles CRM-Group est le groupe de sécurité de destination. Les résultats incluent uniquement les groupes de sécurité de destination directe.
VMs where NSX-T Logical Port = ‘App_Port-Id-1' Répertorie toutes les machines virtuelles ayant ce port logique NSX-T particulier.
NSX-T Transport Zone Répertorie le VLAN et la zone de transport de superposition, ainsi que les détails correspondants lui étant associés, notamment le type du nœud de transport.
Note : vRealize Network Insight ne prend pas en charge les machines virtuelles KVM en tant que source de données.
NSX-T Router Répertorie les routeurs TIER 1 et TIER 0. Cliquez sur le routeur affiché dans les résultats pour afficher plus de détails lui étant associés, notamment le cluster NSX-T Edge et le mode HA.
Tableau 2. Requêtes pour la stratégie NSX
NSX Policy Segment Répertorie tous les segments de stratégie NSX présents dans l'instance de vRealize Network Insight.
NSX Policy Manager Répertorie tous les NSX Policy Manager présents dans l'instance de vRealize Network Insight.
NSX Policy Group Répertorie tous les groupes de stratégies NSX présents dans l'instance de vRealize Network Insight.
NSX Policy Firewall Répertorie tous les pare-feu de stratégie NSX présents dans l'instance de vRealize Network Insight.
NSX Policy Firewall Rule Répertorie toutes les règles de pare-feu de stratégie NSX présentes dans l'instance de vRealize Network Insight.
NSX Policy Firewall Rule where Action = 'ALLOW' Répertorie toutes les règles de pare-feu de stratégie NSX-T dont l'action est définie sur ALLOW.
NSX Policy Based VPN Répertorie tous les VPN basés sur une stratégie NSX présents dans l'instance de vRealize Network Insight.
Note : Si NSX-T 2.4 et VMware Cloud (VMC) sont ajoutés en tant que sources de données dans votre vRealize Network Insight, pour obtenir les entités NST-T, vous devez ajouter le filtre SDDC type = ONPREM dans votre requête. Par exemple, NSX Policy Based VPN where Tier0 = ‘' and SDDC Type = ‘ONPREM'.

Prise en charge des mesures NSX-T

Le tableau suivant présente les entités vRealize Network Insight qui prennent actuellement en charge les mesures NSX-T, ainsi que les widgets qui affichent ces mesures sur les tableaux de bord d'entités correspondants.
Entités Widgets sur le tableau de bord d'entité Mesures NSX-T prises en charge
Commutateur logique

Mesures de paquets de commutateur logique

Mesures d'octets de commutateur logique

Multicast and Broadcast Rx

Multicast and Broadcast Tx

Unicast Rx

Unicast Tx

Dropped Rx

Dropped Tx

Rx Packets (Total)

Tx Packets (Total)

Port logique

Mesures de paquets de port logique

Mesures d'octets de port logique

Multicast and Broadcast Rx

Multicast and Broadcast Tx

Unicast Rx

Unicast Tx

Rx Packets (Total)

Tx Packets (Total)

Interface de routeur

Mesures d'interface du routeur

Rx Packets

Tx Packets

Dropped Rx Packets

Dropped Tx Packets

Rx Bytes

Tx Bytes

Règle de pare-feu

Mesures de règles de pare-feu

Hit Count

Flow Bytes

Flow Packets

Voici quelques exemples de requêtes pour les mesures NSX-T :
  • nsx-t logical switch where Rx Packet Drops > 0

    Cette requête répertorie tous les commutateurs logiques dans lesquels le nombre de paquets reçus abandonnés est supérieur à 0.

  • nsx-t logical port where Tx Packet Drops > 0

    Cette requête répertorie tous les ports logiques dans lesquels le nombre de paquets transmis abandonnés est supérieur à 0.

  • top 10 nsx-t firewall rules order by Connection count

    Cette requête répertorie les 10 principales règles de pare-feu en fonction du nombre de connexions (Hit Count).

Planification de la sécurité pour NSX-T

Pour planifier la sécurité du réseau NSX-T, vous pouvez sélectionner l'étendue Réseau de niveau 2 NSX-T et utiliser la requête suivante : 
plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’
Pour obtenir le même résultat, procédez comme suit :
  1. Sélectionnez Planifier et évaluer > Planification de la sécurité dans la barre latérale de navigation.
  2. Sélectionnez l'étendue Réseau L2 NSX-T ou Segment de stratégie NSX dans le menu déroulant.
Note : Les entités associées à NSX-T telles que Réseau L2 NSX-T et Segment de stratégie NSX sont disponibles dans l'étendue. Vous pouvez utiliser ces entités associées à NSX-T pour la planification de la sécurité.