NSX-T est conçu pour prendre en charge les architectures et structures d'application émergentes qui possèdent des piles technologiques et des points de terminaison hétérogènes. Outre vSphere, ces environnements peuvent également inclure d'autres hyperviseurs, conteneurs, instances bare metal et cloud publics.
vRealize Network Insight prend en charge les déploiements NSX-T dans lesquels les machines virtuelles sont gérées par VMware vCenter.
Éléments à prendre en compte
- vRealize Network Insight ne prend en charge que les configurations de NSX-T dans lesquelles l'instance de VMware vCenter gère les hôtes ESXi.
- vRealize Network Insight prend en charge les groupes NSGroup, les règles de pare-feu NSX-T, les IPSet, les ports logiques NSX-T, les commutateurs logiques NSX-T, les flux IPFIX NSX-T Distributed Firewall ainsi que les VPN basés sur les segments, les groupes et les stratégies.
- vRealize Network Insight prend en charge les déploiements NSX-V et NSX-T. Lorsque vous utilisez NSX dans vos requêtes, les résultats incluent les entités NSX-V et NSX-T. NSX Manager répertorie NSX-V Manager et NSX-T Manager. Les groupes de sécurité NSX répertorient les groupes de sécurité NSX-T et NSX-V. Si NSX-V ou NSX-T est utilisé à la place de NSX, seules ces entités sont affichées. La même logique s'applique aux entités, telles que les règles de pare-feu, les IPSets et les commutateurs logiques.
- Avec la version 2.4 de NSX-T, vRealize Network Insight prend en charge la gestion de stratégie déclarative de NSX qui simplifie et automatise les configurations de réseau et de sécurité via des déclarations de stratégie basées sur le résultat.
Note : La microsegmentation du groupe de sécurité est effectuée en fonction des données de stratégie NSX. Toutefois, si aucun groupe de stratégies NSX ne correspond, le groupe NS autonome est inclus dans l'analyse de la microsegmentation. Pour plus d'informations sur le groupe NS, reportez-vous à la documentation du produit NSX-T.
- Veillez à ajouter uniquement des utilisateurs locaux dans une configuration de fédération NSX-T.
Conditions préalables
- Vous devez au moins disposer du privilège de lecture seule.
- Vous devez ajouter toutes les instances de VMware vCenter associées à NSX-T Manager en tant que sources de données dans vRealize Network Insight.
Note : Si vous ajoutez NSX-T Manager avant d'ajouter l'instance de VMware vCenter, la stabilisation de vRealize Network Insight prend environ quatre heures.
- Assurez-vous qu'il n'y a pas de commutateurs logiques dans la liste d'exclusion de Distributed Firewall (DFW). S'il y a des commutateurs logiques dans cette liste, les flux ne sont pas signalés pour les machines virtuelles attachées à ces commutateurs logiques.
Procédure
- Accédez à .
- Sous Gestionnaires VMware, sélectionnez VMware NSX-T Manager.
- Fournissez les informations d'identification de l'utilisateur.
Option Action VM de collecteur Sélectionnez une machine virtuelle de collecteur dans le menu déroulant. Adresse IP/nom de domaine complet Entrez l'adresse de gestion IPv4 ou les détails du nom de domaine complet. Note : Actuellement, vRealize Network Insight ne prend pas en charge les adresses de gestion NSX-T IPv6.Méthode d'authentification Sélectionnez la méthode d'authentification dans le menu déroulant. Nom d'utilisateur/Mot de passe Entrez le nom d'utilisateur et le mot de passe. Certificat (identité principale) - Certificat : cliquez sur Parcourir et chargez le certificat d'identité de principal.
- Clé privée : cliquez sur Parcourir et chargez la clé privée d'identité de principal.
Note : vRealize Network Insight ne prend pas en charge le chiffrement de la clé privée d'identité de principal.
Note :- Si vous disposez de plusieurs nœuds de gestion dans un seul déploiement de NSX-T, vous devez ajouter un seul nœud en tant que source de données dans vRealize Network Insight ou utiliser l'adresse IP virtuelle (de ces nœuds). Si vous ajoutez plusieurs nœuds de gestion, vRealize Network Insight risque de ne pas fonctionner correctement.
- Assurez-vous d'utiliser l'adresse IP virtuelle lorsque vous ajoutez NSX-T en tant que source de données. Si vous ajoutez une adresse IP de nœud de gestion au lieu d'une adresse IP virtuelle et que vous souhaitez ajouter ultérieurement une adresse IP virtuelle ou une autre adresse IP de nœud de gestion, vous devez supprimer la source de données existante pour ajouter la nouvelle adresse IP virtuelle ou l'adresse IP de gestion.
- Assurez-vous que tous les nœuds de gestion du cluster sont accessibles à partir du collecteur.
- L'adresse IPFIX n'est pas requise. L'utilisateur doit être un utilisateur local disposant d'autorisations de niveau audit. Toutefois, si IPFIX est requis, l'utilisateur doit disposer de l'une des autorisations suivantes : enterprise_admin, network_engineer ou security_engineer.
Note : Vous devez ajouter la source de données à l'aide de l'adresse IP ou du nom de domaine complet. N'ajoutez pas la source de données à l'aide de l'adresse IP et du nom de domaine complet. - Cliquez sur Valider.
- (Facultatif) Sélectionnez Activer DFW IPFIX pour mettre à jour les paramètres IPFIX sur NSX-T. Lorsque vous sélectionnez cette option, vRealize Network Insight reçoit des flux DFW IPFIX de NSX-T. Pour plus d'informations sur l'activation d'IPFIX, reportez-vous à la section Activer VMware NSX-T DFW IPFIX.
Note :
- DFW IPFIX n'est pas pris en charge dans l'édition standard de NSX-T.
- vRealize Network Insight ne prend pas en charge les flux IPFIX de commutateur NSX-T.
- (Facultatif) Si vous souhaitez collecter des données de mesure de latence, cochez la case Activer la collecte des mesures de latence. Si vous sélectionnez cette option, vRealize Network Insight reçoit des mesures de latence telles que VTEP - VTEP, vNIC - pNIC, pNIC - vNIC et vNIC - vNIC depuis NSX-T. Pour plus d'informations sur la latence du réseau, reportez-vous à Statistiques de latence du réseau.
Note :
- Cette option est uniquement disponible pour NSX-T 2.5 et versions ultérieures.
- VTEP - VTEP est disponible à partir de NSX-T 2.5 et versions ultérieures.
- vNIC - pNIC, pNIC - vNIC et vNIC - vNIC sont disponibles à partir de NSX-T 3.0.2 et versions ultérieures.
- Pour activer la collecte des mesures de latence, vous devez disposer de l'autorisation enterprise_admin.
- Assurez-vous que le port 1991 est ouvert sur le collecteur pour recevoir les données de latence du nœud ESXi.
- Cette option est uniquement disponible pour NSX-T 2.5 et versions ultérieures.
- (Facultatif) Cochez la case Activer NSX intelligence pour activer la collecte de flux depuis NSX Intelligence.
NSX Intelligence assure une inspection approfondie des paquets avec une visibilité de la couche d'application. Après la réception des flux depuis NSX Intelligence, vous pouvez voir des informations L7 (couche d'application), telles que l'ID d'application.
Note : Pour activer NSX Intelligence dans vRealize Network Insight, vous devez déployer le dispositif NSX Intelligence. vRealize Network Insight prend en charge NSX Intelligence 1.2 avec NSX-T 3.1 et versions ultérieures.NSX Intelligence prend au moins 12 minutes pour traiter et envoyer les informations de flux à vRealize Network Insight.
Note : Pour activer la collecte de flux depuis NSX Intelligence, vous devez cocher la case Activer DFW IPFIX étant donné que vRealize Network Insight utilise DFW IPFIX comme source principale de flux.Les informations L7 ne sont pas disponibles pour les flux abandonnés, car elles ne sont pas prises en charge par NSX Intelligence.
- Dans la zone de texte Surnom, entrez un surnom.
- Dans la zone de texte Remarques (facultatif), vous pouvez ajouter une remarque, si nécessaire.
- Cliquez sur Envoyer.
Exemples de requêtes
Voici quelques exemples de requêtes liées à NSX-T :
Requêtes | Résultats de recherche |
---|---|
NSX-T Manager where VC Manager=10.197.53.214 | NSX-T Manager où cette instance deVC Manager particulière a été ajoutée en tant que gestionnaire de calcul. |
NSX-T Logical Switch | Répertorie tous les commutateurs logiques NSX-T présents dans l'instance de vRealize Network Insight, y compris les détails indiquant s'il s'agit d'un commutateur créé par le système ou par l'utilisateur. |
NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch' | Répertorie les ports logiques NSX-T appartenant à ce commutateur logique NSX-T particulier, DB-Switch. |
VMs where NSX-T Security Group = 'Application-Group' Or VMs where NSGroup = ‘Application-Group' |
Répertorie toutes les machines virtuelles dans ce groupe de sécurité particulier, Application-Group. |
NSX-T Firewall Rule where Action='ALLOW' | Répertorie toutes les règles de pare-feu NSX-T dont l'action est définie sur ALLOW. |
NSX-T Firewall Rule where Destination Security Group = ‘CRM-Group' | Répertorie les règles de pare-feu dans lesquelles CRM-Group est le groupe de sécurité de destination. Les résultats comprennent les groupes de sécurité de destination directe et les groupes de sécurité de destination indirecte. |
NSX-T Firewall Rule where Direct Destination Security Group = ‘CRM-Group' | Répertorie les règles de pare-feu dans lesquelles CRM-Group est le groupe de sécurité de destination. Les résultats incluent uniquement les groupes de sécurité de destination directe. |
VMs where NSX-T Logical Port = ‘App_Port-Id-1' | Répertorie toutes les machines virtuelles ayant ce port logique NSX-T particulier. |
NSX-T Transport Zone | Répertorie le VLAN et la zone de transport de superposition, ainsi que les détails correspondants lui étant associés, notamment le type du nœud de transport.
Note :
vRealize Network Insight ne prend pas en charge les machines virtuelles KVM en tant que source de données.
|
NSX-T Router | Répertorie les routeurs TIER 1 et TIER 0. Cliquez sur le routeur affiché dans les résultats pour afficher plus de détails lui étant associés, notamment le cluster NSX-T Edge et le mode HA. |
NSX Policy Segment | Répertorie tous les segments de stratégie NSX présents dans l'instance de vRealize Network Insight. |
NSX Policy Manager | Répertorie tous les NSX Policy Manager présents dans l'instance de vRealize Network Insight. |
NSX Policy Group | Répertorie tous les groupes de stratégies NSX présents dans l'instance de vRealize Network Insight. |
NSX Policy Firewall | Répertorie tous les pare-feu de stratégie NSX présents dans l'instance de vRealize Network Insight. |
NSX Policy Firewall Rule | Répertorie toutes les règles de pare-feu de stratégie NSX présentes dans l'instance de vRealize Network Insight. |
NSX Policy Firewall Rule where Action = 'ALLOW' | Répertorie toutes les règles de pare-feu de stratégie NSX-T dont l'action est définie sur ALLOW. |
NSX Policy Based VPN | Répertorie tous les VPN basés sur une stratégie NSX présents dans l'instance de vRealize Network Insight. |
Prise en charge des mesures NSX-T
Entités | Widgets sur le tableau de bord d'entité | Mesures NSX-T prises en charge |
---|---|---|
Commutateur logique | Mesures de paquets de commutateur logique Mesures d'octets de commutateur logique |
|
Port logique | Mesures de paquets de port logique Mesures d'octets de port logique |
|
Interface de routeur | Mesures d'interface du routeur |
|
Règle de pare-feu | Mesures de règles de pare-feu |
|
nsx-t logical switch where Rx Packet Drops > 0
Cette requête répertorie tous les commutateurs logiques dans lesquels le nombre de paquets reçus abandonnés est supérieur à 0.
nsx-t logical port where Tx Packet Drops > 0
Cette requête répertorie tous les ports logiques dans lesquels le nombre de paquets transmis abandonnés est supérieur à 0.
top 10 nsx-t firewall rules order by Connection count
Cette requête répertorie les 10 principales règles de pare-feu en fonction du nombre de connexions (
Hit Count
).
Planification de la sécurité pour NSX-T
plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’Pour obtenir le même résultat, procédez comme suit :
- Sélectionnez dans le volet de navigation de gauche.
- Sélectionnez l'étendue Réseau L2 NSX-T ou Segment de stratégie NSX dans le menu déroulant.