In base all'ambito del traffico selezionato al momento dell'avvio dell'analisi di un consiglio, il motore Consiglio di NSX Intelligence seleziona flussi di traffico non microsegmentati in entrata, in uscita o intra-applicazione da e tra le entità di elaborazione del limite del consiglio specificato.

Il motore Consiglio di NSX Intelligence aggrega i flussi in base al servizio (criteri di porta o protocollo) in cui avvengono questi flussi di traffico. Le origini e le destinazioni di ciascuno dei flussi per un determinato servizio vengono raggruppate. Durante la creazione del raggruppamento, il motore Consiglio di NSX Intelligence utilizza la soglia specificata dall'utente per il rapporto corrispondente e tenta di riutilizzare i gruppi presenti nell'inventario di NSX, inclusi i gruppi che rientrano in un intervallo di set di IP esistente per un gruppo.

Se il motore Consiglio di NSX Intelligence non trova un gruppo esistente in grado di soddisfare la soglia di raggruppamento impostata, crea un nuovo gruppo da consigliare.

Quando si genera un consiglio, il motore Consiglio di NSX Intelligence prende in considerazione i tipi di flusso di traffico specificati nell'opzione Traffico da analizzare. Se è stato selezionato il tipo di flusso di traffico in entrata, vengono considerati solo i flussi di traffico che hanno origine all'esterno del limite dell'applicazione. Se i tipi di flusso di traffico selezionati sono tutto il traffico, il traffico in entrata e in uscita oppure il traffico in entrata e intra-applicazione, il motore Consiglio di NSX Intelligence aggrega i flussi di traffico in queste direzioni per formare il consiglio della regola DFW in base al servizio.

Si consideri l'esempio seguente.

  • Il limite è impostato utilizzando Macchina virtuale1 e Macchina virtuale2

  • Gruppi: CG con Macchina virtuale1 e Macchina virtuale2 come membri

  • Gruppi: G3 con VM3 e VM4 come membri

  • Presupponendo la soglia della corrispondenza: 50%

I flussi di traffico non contrassegnati sono i seguenti.

  • Da Macchina virtuale3 a Macchina virtuale1 utilizzando SSH

  • Da Macchina virtuale1 a Macchina virtuale2 utilizzando SSH

Quello seguente è il consiglio sulla microsegmentazione risultante, che è una singola regola per SSH.

Gruppo di origine

Gruppo di destinazione

Servizio

Applicato al gruppo

G3 + CG (gruppi esistenti riutilizzati)

CG con Macchina virtuale1 e Macchina virtuale2 come membri

SSH

Gruppi CG con Macchina virtuale1 e Macchina virtuale2 come membri

Se i flussi di traffico provengono dall'esterno della maschera configurata di indirizzi IP privati, i flussi da e verso tali indirizzi IP che non sono inclusi nell'elenco di prefissi IP privati verranno contrassegnati come "QUALSIASI".

Si consideri i seguenti flussi non contrassegnati.

  • QUALSIASI flusso verso Macchina virtuale1 utilizzando SSH

  • Flussi da Macchina virtuale1 a Macchina virtuale3 utilizzando SSH

  • Il limite è impostato utilizzando Macchina virtuale1 e Macchina virtuale2

  • Il gruppo definito è CG con Macchina virtuale1 e Macchina virtuale2 come membri

In questo caso, quando i flussi in entrata e in uscita sono aggregati, diventano QUALSIASI flusso dalla Macchina virtuale1 alla Macchina virtuale2 e alla Macchina virtuale3, utilizzando SSH.

Ciò a sua volta comporta la regola di microsegmentazione seguente.

Origine

Destinazione

Servizio

Si applica a

Qualsiasi

[VM1] in CG, [VM3] in G3

SSH

CG [VM1, VM2]
Nota:

Tutte le regole vengono sempre applicate solo ai membri del limite del consiglio specifico prima di generare il consiglio. L'aggregazione del motivo viene utilizzata per ridurre il numero di regole DFW che potrebbero risultare in base al servizio.

Consigli per le sezioni DFW esistenti

Se le entità selezionate nell'ambito del limite del consiglio sono associate a qualsiasi sezione del firewall distribuito esistente ed è stata selezionata l'opzione Utilizza sezione esistente nella finestra di dialogo Seleziona sezione FW distribuito, il motore Consiglio di NSX Intelligence include le sezioni DFW esistenti quando si esegue l'analisi del consiglio. I consigli DFW implicano l'aggiornamento dei campi di origine e di destinazione delle regole esistenti in modo che tutti i flussi persi da e verso i carichi di lavoro di elaborazione corrispondenti all'ambito della sezione DFW specificata vengano microsegmentati correttamente.

In precedenza, il supporto forniva solo un aggiornamento alle regole L4 esistenti nelle sezioni DFW esistenti. A partire da NSX Intelligence 4.1.1, il supporto è disponibile anche per l'aggiornamento delle regole L7 esistenti nelle sezioni DFW esistenti associate alle entità nell'ambito del limite del consiglio specificato.

Per utilizzare questa nuova funzionalità, è necessario selezionare l'opzione Profili di contesto L7 nella sezione Tipo di servizio consiglio della finestra di dialogo Avvia nuovo consiglio.

Le informazioni seguenti descrivono cosa si verifica quando si seleziona l'opzione Profili di contesto L7: il motore dei consigli di NSX Intelligence crea regole o gruppi, oppure modifica le regole esistenti quando vengono individuati flussi persi.
  1. Tutte le regole esistenti vengono per la corrispondenza con i flussi persi e il motore dei consigli di NSX Intelligence tenta di far corrispondere tali flussi agli stessi valori di port, protocol e app_id nelle regole. Il campionamento dei flussi con app_id diverso da zero viene mantenuto come parte dei flussi persi. Il campionamento dei flussi con valore app_id uguale a 0 o vuoto vengono filtrati.
  2. Le regole vengono utilizzate in caso di corrispondenza delle origini o delle destinazioni. Si tende a preferire l'utilizzo delle regole con un solo lato da aggiornare. Se non viene trovato alcun valore di corrispondenza, vengono selezionate le regole di cui è necessario aggiornare sia l'origine sia la destinazione.
    1. Per i flussi con un valore app_id, viene utilizzata la regola L7 se viene eseguita una corrispondenza e una selezione di una regola esistente.
    2. Per i flussi che non dispongono di un valore app_id, se viene eseguita una corrispondenza e una selezione di una regola esistente, la regola non deve contenere nessun profilo di contesto. Il processo Consiglio di NSX Intelligence modifica solo le origini e le destinazioni in questa regola.
  3. Se non vengono trovate regole esistenti, viene creata una nuova regola.
    1. Per i flussi con un valore app_id, viene creata una nuova regola contenente i profili di contesto nel caso in cui sia possibile identificare i dettagli del profilo di contesto utilizzando il valore app_id associato al flusso. In caso contrario, viene creata una nuova regola L4 perché il motore dei consigli di NSX Intelligence non crea nuovi profili di contesto.
    2. Per i flussi che non dispongono di un valore app_id, il motore dei consigli di NSX Intelligence crea una nuova regola L4 corrispondente ai flussi.
  4. Se il motore dei consigli di NSX Intelligence trova una regola esistente che richiede modifiche (ovvero viene trovato un lato di origine o di destinazione corrispondente), il lato non corrispondente viene modificato in modo da includere i gruppi (nuovi o riutilizzati) contenenti le risorse di elaborazione per cui vengono rilevati i flussi persi.
  5. Il lato non corrispondente di una regola viene modificato per includere i gruppi in base ai seguenti criteri di selezione:
    1. Viene selezionato un gruppo cercando la corrispondenza massima delle macchine virtuali perse. Potrebbe trattarsi di una corrispondenza parziale in cui il gruppo potrebbe includere altre risorse di elaborazione non coinvolte nei flussi. È possibile che vengano selezionati più gruppi. I gruppi vengono selezionati in base al rapporto di corrispondenza più alto e all'ora di creazione più recente (viene assegnata una priorità ai gruppi creati più recentemente) fino a quando non è più possibile selezionare i gruppi o vengono coperte tutte le perdite.
    2. Se le entità di elaborazione non sono associate ad alcun gruppo, viene creato un nuovo gruppo per la gestione di tali entità di elaborazione. I nuovi gruppi vengono creati per le entità di elaborazione anche se queste sono presenti nei gruppi esistenti se il rapporto di corrispondenza è inferiore alla soglia di riutilizzo del gruppo specificata.
  6. Viene modificata una regola per includere i gruppi selezionati nelle origini o nelle destinazioni.
  7. Se non vengono rilevati flussi persi perché le regole correnti esistenti coprono tutti i flussi di traffico durante il periodo di tempo selezionato, non viene consigliata nessuna nuova regola DFW.
  8. Se è necessario modificare una regola DFW esistente e tale regola è una regola L7 contenente profili di contesto, i profili di contesto vengono conservati in questa regola DFW.
Nota:

Se la sezione DFW specificata come input include già molte regole e le nuove regole DFW consigliate possono superare il limite di 1000 regole per sezione, lo stato del processo Consiglio di NSX Intelligence viene impostato su Non riuscito. Di conseguenza, il consiglio della regola DFW non può essere pubblicato. È necessario specificare una sezione che disponga di spazio sufficiente per aggiungervi le regole consigliate.