La funzione Consigli di NSX Intelligence può fornire consigli per microsegmentare le applicazioni.

La generazione di un consiglio di NSX Intelligence comporta indicazioni su criteri di protezione, gruppi di sicurezza dei criteri e servizi per l'applicazione. NSX Intelligence crea i consigli sui criteri in base al modello di traffico della comunicazione tra macchine virtuali e server fisici nell'ambiente NSX.

È possibile generare un consiglio di NSX Intelligence selezionando le entità di input di gruppi di 100 macchine virtuali e server fisici oppure una combinazione di gruppi, macchine virtuali e server fisici o criteri di sicurezza esistenti. Il numero totale di macchine virtuali e server fisici che è possibile selezionare come input non può superare 100 entità di questo tipo. Il numero totale di macchine virtuali efficaci e server fisici che è possibile utilizzare in un input che include gruppi, macchine virtuali o server fisici non può superare 250 entità di input.

Ad esempio, se si selezionano 50 macchine virtuali e 50 server fisici come parte delle entità di input del consiglio, è possibile selezionare solo gruppi che non includa più di 150 membri di elaborazione combinati.

Importante:

È possibile generare un nuovo consiglio solo per gruppi di sicurezza creati in modalità Criterio. Per consentire a NSX Intelligence di avviare un'analisi dei consigli per questi gruppi di sicurezza, tali gruppi devono disporre di almeno uno dei tipi di membri supportati. I tipi di membro supportati includono macchine virtuali, server fisici, VIF (Virtual Network Interface), porte logiche e commutatori logici. Se nel gruppo di sicurezza è presente almeno un tipo di membro supportato, l'analisi del consiglio può continuare, ma durante l'analisi i tipi di membro non supportati non vengono considerati.

Esistono diversi modi per generare un suggerimento utilizzando l'interfaccia utente di NSX Intelligence. La procedura seguente descrive i metodi disponibili da utilizzare.

Prerequisiti

  • Attivare NSX Intelligence 3.2 o versione successiva in NSX Application Platform 3.2 o versione successiva. Vedere il documento Attivazione e aggiornamento di VMware NSX Intelligence 3.2 o versione successiva.

  • Assicurarsi di disporre dei privilegi necessari per generare consigli. Per ulteriori informazioni, consultare Controllo degli accessi in base al ruolo in NSX Intelligence.

Procedura

  1. Dal browser Web accedere con i privilegi necessari a un'istanza di NSX Manager all'indirizzo https://<nsx-manager-ip-address>.
  2. Avviare la generazione di un nuovo consiglio utilizzando uno dei metodi seguenti.

    Da dove iniziare

    Passaggio successivo

    Selezionare Pianificazione e risoluzione dei problemi > Consigli.

    Fare clic su Avvia nuovo consiglio.

    Selezionare Pianificazione e risoluzione dei problemi > Individuazione e intervento.
    1. Fare clic sull'icona del consiglio Icona del consiglio sul lato sinistro della barra Flussi.

    2. Selezionare Avvia consigli.

    Per un consiglio per un gruppo o più gruppi, selezionare Pianificazione e risoluzione dei problemi > Individuazione e intervento.

    1. Verificare che sia selezionata la vista Gruppi nell'area di selezione della vista Sicurezza.

    2. Fare clic con il pulsante destro del mouse sul nodo del gruppo per cui si desidera generare un consiglio. In alternativa, selezionare uno o più nodi del gruppo utilizzando l'icona di selezione Icona di selezione.

    3. Fare clic con il pulsante destro del mouse su uno dei nodi nella selezione e scegliere Avvia consiglio dal menu a discesa.

      In alternativa, se è stata utilizzata l'icona di selezione Icona di selezione per effettuare la selezione, fare clic sull'icona del consiglio Icona del consiglio nel pannello Selezionati.

    Per i consigli per le macchine virtuali, i server fisici, selezionare Pianificazione e risoluzione dei problemi > Individuazione e intervento.

    Selezionare almeno una macchina virtuale o un server fisico oppure una combinazione di entrambi.

    1. Nell'area di selezione della vista Sicurezza fare clic sulla freccia in giù accanto a Gruppi, quindi selezionare Calcola.

    2. Fare clic su Tutti e selezionare macchine virtuali o server fisici specifici, oppure una combinazione di entrambi nell'elenco Elementi disponibili. In alternativa, fare clic su Tutti > Mostra tutti i tipi e selezionare Macchine virtuali o Server fisici dal menu a discesa.

    3. Fare clic su Applica.

    4. Fare clic sull'icona del consiglio Icona del consiglio sul lato sinistro della barra Flussi.

    5. Selezionare Avvia consigli per le elaborazioni filtrate.

      In alternativa, se i nodi dell'entità di elaborazione sono stati selezionati mediante l'icona di selezione Icona di selezione, fare clic sull'icona del consiglio Icona del consiglionel pannello Selezionati.
    L'immagine seguente illustra i valori predefiniti utilizzati quando si avvia un nuovo consiglio.
    Immagine della finestra di dialogo Avvia nuovo consiglio con la sezione Opzioni avanzate espansa

  3. Nella finestra di dialogo Avvia nuovo consiglio, modificare il valore predefinito per la casella di testo Nome consiglio.

    Specificare un nome che rifletta l'applicazione per cui viene eseguita la microsegmentazione. Questo nome viene utilizzato quando si creano i nomi delle regole e dei gruppi consigliati creati durante l'analisi del consiglio.

  4. Modificare il valore predefinito per la casella di testo Descrizione per semplificare il richiamo delle informazioni relative al consiglio.
  5. Definire o modificare le macchine virtuali o i server fisici da utilizzare come limite per il consiglio del criterio di sicurezza.
    1. Nella sezione Entità selezionate nell'ambito, fare clic su Seleziona entità. Se è già stata effettuata la selezione dei gruppi, delle macchine virtuali o dei server fisici prima di avviare il nuovo consiglio, fare clic sul collegamento al numero delle entità selezionate per modificare la selezione corrente.
    2. Nella finestra di dialogo Seleziona entità, fare clic su Gruppi per selezionare uno o più gruppi che si desidera includere. Per selezionare le macchine virtuali o i server fisici che si desidera utilizzare come limite per l'analisi, fare clic sulla scheda Macchine virtuali oppure sulla scheda Server fisici, quindi effettuare la selezione.

      È possibile selezionare i gruppi e un massimo di 100 macchine virtuali o server fisici, ma non più di 250 entità di elaborazione effettive da utilizzare come limite del consiglio. Deselezionare le entità che non si desidera includere. È inoltre possibile fare clic su Filtro e selezionare gli attributi da utilizzare per filtrare i gruppi, le macchine virtuali o i server fisici che si desidera selezionare. Per deselezionare le entità attualmente selezionate, fare clic su Cancella.

    3. Fare clic su Salva.
    4. (Facoltativo) Se il sistema rileva che sono presenti sezioni di firewall distribuito (DFW) associate ai gruppi selezionati nel passaggio precedente, viene visualizzata la finestra di dialogo Seleziona sezione FW distribuito. Se si desidera utilizzare una sezione di firewall distribuito (DFW) L4 o L7 esistente, selezionarne una dall'elenco. Se si desidera che il sistema crei una nuova sezione, selezionare Crea nuova sezione.
    5. (Facoltativo) Fare clic su Salva.

      Il sistema aggiorna la casella di testo Entità selezionate nell'ambito con link che indicano il numero di entità selezionate. Per modificare le selezioni effettuate, fare clic sui link numerici.

      Se si è scelto di utilizzare una sezione DFW distribuita esistente durante l'analisi del consiglio, il sistema indica che nella casella di testo Entità selezionate nell'ambito.

  6. (Facoltativo) Nella casella di testo Intervallo di tempo, modificare il valore predefinito visualizzato.

    Il valore dell'intervallo predefinito è Ultimo mese. Durante l'analisi del consiglio vengono utilizzati i flussi di traffico che si sono verificati tra le macchine virtuali o i server fisici selezionati, oppure tra un gruppo di macchine virtuali o di server fisici selezionati durante l'intervello di tempo selezionato. Gli altri valori di intervallo disponibili per la selezione sono Ultima ora, Ultime 12 ore, Ultime 24 ore, Ultima settimana o Ultime 2 settimane.

  7. Espandere la sezione Opzioni avanzate.
  8. Nella sottosezione Opzioni input, modificare i valori predefiniti assegnati in base alle necessità.

    Se non si utilizza una sezione DFW esistente, è possibile modificare i valori assegnati predefiniti. Se si sceglie di utilizzare una sezione DFW esistente, i valori mostrati in questa sezione vengono ottenuti da tale sezione DFW esistente.

    1. Nel menu a discesa Traffico da analizzare , selezionare il tipo di flussi di traffico da considerare nell'analisi del consiglio. Il valore predefinito è All Traffic.

      • Traffico in entrata e in uscita : vengono considerati tutti i tipi di flussi di traffico che hanno origine dall'interno del limite dell'applicazione all'esterno del limite e dall'esterno del limite dell'applicazione all'interno del limite.

      • Traffico in entrata: vengono considerati solo i flussi di traffico che hanno origine dall'esterno del limite dell'applicazione.

      • Tutto il traffico: vengono considerati tutti i tipi di flussi di traffico in uscita, in entrata e tra applicazioni.

      • Traffico in entrata e intra-applicazione : vengono considerati tutti i tipi di flussi di traffico provenienti dall'esterno del limite e intra-applicazione.

    2. Nella sezione Criteri di porte e protocolli selezionare Escludi o Corrisponde a qualsiasi per specificare se si desidera escludere o applicare una corrispondenza alle porte, agli intervalli di porta o ai protocolli immessi nella casella di testo.

      Per impostazione predefinita, durante l'analisi del consiglio vengono utilizzati i flussi di traffico verificatisi da tutte le porte e i protocolli noti nell'ambiente durante l'intervallo di tempo specificato. Per filtrare i flussi di traffico utilizzati durante l'analisi del consiglio, immettere una combinazione qualsiasi che contenga al massimo 15 voci di porte singole, intervalli di porte o protocolli di cui si desidera escludere o utilizzare i flussi di traffico in modo che corrispondano a una delle voci. Ad esempio 88, 90-98, TCP:100-111, UDP.

    3. Nella sezione Escludi flussi, specificare i tipi di flussi di traffico che si desidera escludere durante l'analisi del consiglio.
      Per impostazione predefinita, sono esclusi i flussi multicast e i flussi di broadcast sono esclusi. È possibile deselezionare uno o entrambi i tipi di flusso facendo clic su X accanto al nome del tipo di flusso.
    4. Per fare in modo che le entità di elaborazione dell'infrastruttura non vengano incluse nell'analisi del nuovo consiglio, attivare l'interruttore Escludi carichi di lavoro infrastruttura.

      Quando si attiva questo interruttore, il motore dei consigli esclude dall'analisi del consiglio tutte le entità di elaborazione dell'infrastruttura e i flussi di traffico che si sono verificati con tali entità. Il motore dei consigli non riutilizza i gruppi che contengono entità dell'infrastruttura. L'input del contesto non cambia anche se contiene entità di elaborazione dell'infrastruttura. Tuttavia, il motore dei consigli non consiglia alcuna regola del firewall con entità di elaborazione dell'infrastruttura nell'origine o nella destinazione della regola.

      Per ulteriori informazioni, consultare Gestione delle classificazioni delle entità di elaborazione in NSX Intelligence.

    5. Nella sezione Regole aggiuntive da prendere in considerazione, è possibile specificare facoltativamente anche le regole da utilizzare per determinare quali flussi di traffico sono considerati non segmentati.
      Per impostazione predefinita, il motore dei consigli utilizza la regola in cui Source e Destination sono associate al valore Any.

      Se si desidera che durante l'analisi del consiglio vengano considerate più regole, è possibile selezionare fino a tre tipi di regola dal menu a discesa Tipi di regole da considerare, oppure dal menu a discesa Regole aggiuntive da prendere in considerazione è possibile selezionare fino a cinque regole specifiche.

      Tipi di regole o regole specifiche Descrizione
      Regole con ANY in Source

      Quando questa opzione è selezionata, le regole non predefinite il cui valore Source è ANY vengono considerate regole predefinite. I flussi di traffico che rilevano queste regole sono considerati non microsegmentati. Affinché le sezioni esistenti vengano riutilizzate, queste regole predefinite aggiuntive non vengono prese in considerazione per la modifica.
      Regole con ANY in Destination

      Se questa opzione è selezionata, le regole non predefinite il cui valore Destination è ANY vengono considerate regole predefinite. I flussi di traffico che rilevano queste regole sono considerati non microsegmentati. Affinché le sezioni esistenti vengano riutilizzate, queste regole predefinite aggiuntive non vengono prese in considerazione per la modifica.
      Regole con ANY in Service

      Se questa opzione è selezionata, le regole non predefinite il cui valore Service è ANY vengono considerate regole predefinite. I flussi di traffico che rilevano queste regole sono considerati non microsegmentati. Affinché le sezioni esistenti vengano riutilizzate, queste regole predefinite aggiuntive non vengono prese in considerazione per la modifica.
      Elenco di ID o di nomi di regole specifici

      Questo elenco può includere fino a cinque ID regola o nomi di regola considerati come regole predefinite aggiuntive. Per i flussi di traffico che rilevano le regole predefinite, queste regole sono considerate non microsegmentate. Affinché le sezioni esistenti vengano riutilizzate, queste regole predefinite aggiuntive non vengono prese in considerazione per la modifica.
  9. Nella sottosezione Opzioni output della finestra di dialogo della sezione Avvia nuovo consiglio, è possibile apportare modifiche facoltative alle impostazioni predefinite.
    1. Dal menu a discesa Regola predefinita selezionare la strategia di connettività da utilizzare per creare la regola predefinita per il criterio di sicurezza. Viene impostata l'azione appropriata per la regola in base al valore della strategia di connettività selezionato. La predefinita è Nessuna.

      • Lista vietata: crea una regola di autorizzazione predefinita.

      • Lista consentita: crea una regola di rilascio predefinita.

      • Nessuna: non viene creata alcuna regola predefinita.

    2. Attivare il pulsante Genera regole sensibili alla direzione del flusso se si desidera che il motore dei consigli crei e consigli ulteriori regole granulari basate sulla direzione dei traffici di flusso non microsegmentati.
      Durante l'analisi del consiglio, i flussi di traffico non segmentati con direzioni diverse non vengono aggregati insieme per consigliare una nuova regola. I gruppi di origine e i gruppi di destinazione di una regola consigliata sono costituiti dai membri dei profili di contesto o dai non membri dei profili di contesto. Il limite del consiglio viene definito dalla selezione effettuata nella sezione Entità selezionate nell'ambito della finestra di dialogo Avvia nuovo consiglio. Il consiglio DFW risultante dall'analisi garantisce che nessuna entità esterna abbia una regola che consente di rientrare nel limite del consiglio, a meno che non sia presente un flusso esplicito proveniente da un'entità esterna a un'entità con il limite del consiglio specificato.
    3. Modificare il valore predefinito per Output consiglio, se necessario.

      • Basato su elaborazione è la modalità di output predefinita utilizzata. Questa modalità significa che il consiglio per il criterio DFW generato dal motore dei consigli contiene gruppi i cui membri sono macchine virtuali, server fisici o entrambi.

      • Se è selezionata la modalità di output del consiglio Basato su IP, il consiglio del criterio DFW generato contiene gruppi i cui membri sono oggetti Set di IP con un elenco statico di indirizzi IP. Un consiglio basato su IP non è strettamente associato a una macchina virtuale. Se una macchina virtuale viene eliminata e il suo indirizzo IP viene assegnato a una nuova macchina virtuale, la nuova macchina virtuale viene assegnata allo stesso gruppo. NSX Intelligence applica anche i criteri DFW esistenti per il gruppo alla nuova macchina virtuale.

    4. Modificare nel modo desiderato il valore predefinito per Soglia di riutilizzo del gruppo di risorse di elaborazione da utilizzare quando viene generato il consiglio della regola.

      È possibile impostare il valore percentuale di soglia da 10 a 100. Il valore specifica la rigidità con cui il sistema riutilizza i gruppi basati sulle risorse di elaborazione esistenti (gruppi non impostati da IP) per gestire i flussi rilevati che non sono microsegmentati. Utilizzare questo valore per controllare se i gruppi esistenti devono essere riutilizzati o se devono essere creati nuovi gruppi. La funzionalità di riutilizzo dei gruppi è applicabile per qualsiasi processo di un consiglio con un criterio di sicurezza esistente o con un nuovo criterio di sicurezza.

      Se si imposta questo valore su 100, i gruppi selezionati per il consiglio non devono essere associati ad alcuna entità di elaborazione estranea. I membri di elaborazione di un gruppo non devono essere uguali alle entità di elaborazione perse. Ad esempio, se le entità di elaborazione perse sono [VM1, VM2] e i gruppi G1 e G2 hanno rispettivamente [VM1] e [VM2] come membri, i membri di elaborazione di G1 e G2 non corrisponderanno alle entità di elaborazione perse. Tuttavia, possono essere selezionati insieme per coprire le entità di elaborazione [VM1, VM2] perse.

      L'utilizzo di un valore molto alto può causare la creazione di più gruppi nuovi, tuttavia, poiché è meno probabile che i gruppi esistenti vengano riutilizzati nelle regole modificate.

      Se si imposta questo valore su numeri inferiori, come 10 o 20, anche i gruppi basati sulle risorse di elaborazione con membri estranei, diversi da quelli delle entità di elaborazione che il sistema sta cercando di raggruppare, possono essere selezionati come origini o destinazioni aggiuntive della regola. L'uso di un valore inferiore può comportare un riutilizzo aggressivo dei gruppi, quindi è consigliabile utilizzare un minor numero di gruppi nuovi.

    5. Disattivare il pulsante Riutilizzo del gruppo di set di IP parziale se, durante l'analisi del consiglio, si desidera che il motore dei consigli riutilizzi solo i gruppi di IP esistenti il cui set di IP corrisponde a quello degli IP persi.
      Per impostazione predefinita, il pulsante è attivato.
    6. Se necessario, modificare il valore di Tipo di servizio consiglio.

      Il tipo predefinito è Servizi L4, composto dalla porta e dal protocollo rispettivi del livello di trasporto. In alternativa, è possibile selezionare Profili di contesto L7 per richiedere un consiglio per la regola del protocollo al livello dell'applicazione.

      A partire da NSX Intelligence 4.1.1, se si seleziona una sezione DFW L7 esistente nell'area Entità selezionate nell'ambito della finestra di dialogo, i consigli della regola L7 verranno inclusi nelle sezioni esistenti. Per ulteriori informazioni, vedere Consigli per le sezioni DFW esistenti.

  10. Per iniziare l'analisi dei consigli, fare clic su Avvia esplorazione.

    NSX Intelligence elabora i processi dei consigli inviati in serie. In media, possono essere necessari da 3 a 4 minuti per completare ogni analisi di consiglio, in base al fatto che siano presenti altri processi del consiglio in attesa di elaborazione. Se NSX Intelligence deve analizzare molti flussi di traffico, la generazione di un consiglio può richiedere da 10 a 15 minuti.

    La tabella Consigli indica lo stato del processo di consiglio. La schermata seguente mostra un esempio di pagina Consigli indicante un processo di consiglio in attesa di elaborazione e un altro consiglio pronto per la pubblicazione. Nella riga espansa per il consiglio pronto per la pubblicazione vengono visualizzati i dettagli utilizzati per generare il consiglio DFW.
    Schermata del riquadro Consigli con uno dei consigli appena generati espanso per visualizzare i dettagli.

    • È possibile monitorare lo stato del processo di analisi del consiglio nella colonna Stato della tabella Consigli. Lo stato passa da In attesa, a Esplorazione in corso, a Pronto per la pubblicazione a Pubblicato.

      Se il sistema non genera alcun consiglio, il valore Status viene impostato su Nessun consiglio disponibile. Se l'analisi del consiglio non riesce per un motivo qualsiasi, viene visualizzato lo stato Non riuscita.

      I processi dei consigli con stato In attesa o Esplorazione in corso possono essere annullati. Fare clic sull'icona del menu Azioni Menu Azioni e selezionare Annulla rilevamento.

      Se si annulla il processo di un consiglio, il processo viene rimosso dalla coda dei consigli e il relativo stato viene impostato su Rilevamento annullato. Dopo l'annullamento del rilevamento di un consiglio, è possibile selezionare Rivedi ed esegui di nuovo nel menu Azioni, apportare le modifiche desiderate alle selezioni di input precedenti e inviare nuovamente il processo di analisi del consiglio.

      È inoltre possibile selezionare Elimina dal menu Azioni se lo stato del processo del consiglio è In attesa, Esplorazione in corso o Rilevamento annullato. L'eliminazione del processo di un consiglio comporta la rimozione di tutte le informazioni sulle selezioni effettuate prima di avviare l'analisi del consiglio.

    • La colonna Entità di input include le entità utilizzate per generare il consiglio. Se si fa clic sul testo collegato in questa colonna, viene visualizzata la finestra di dialogo Entità selezionate in modalità di sola lettura. È possibile rivedere i gruppi e i relativi membri, nonché tutte le macchine virtuali incluse nell'analisi del consiglio.

    • La colonna Monitoraggio indica se le modifiche vengono monitorate per le entità di input originali utilizzate per generare il consiglio. Questa funzionalità è disponibile per i consigli con stato Pronto per la pubblicazione, Nessun consiglio disponibile o Non riuscita. È possibile impostare il pulsante Monitoraggio su Attivato o Disattivato. Quando il pulsante è attivato, le modifiche nell'ambito delle entità di input o strategia di connettività vengono controllate ogni ora.

    • Se le entità di input utilizzate vengono modificate, l'icona di rilevamento delle modifiche Icona che indica che sono state rilevate modifiche nelle entità di input utilizzate per il consiglio viene visualizzata accanto allo stato Pronto per la pubblicazione, Nessun consiglio disponibile o Non riuscito. È possibile esaminare le modifiche ed eseguire nuovamente il consiglio. Per ulteriori informazioni, consultare Nuova esecuzione dei consigli di NSX Intelligence.

    • Quando si fa clic sull'icona dell'area Icona dell'area a destra della riga del consiglio, la visualizzazione delle entità selezionate viene mostrata nell'area grafica sotto l'interfaccia utente Pianificazione e risoluzione dei problemi > Scopri e intervieni. Se lo stato del consiglio visualizzato è Pubblicato, quando si fa clic sull'icona dell'area, i gruppi consigliati vengono visualizzati nell'area grafica Esplorazione e azione.

  11. Quando il valore Status è Ready to Publish, esaminare il consiglio generato e stabilire se pubblicarlo. Per ulteriori informazioni, vedere Esaminare e pubblicare i consigli NSX Intelligence generati.