Le regole DFW possono essere create, aggiornate ed eliminate utilizzando sia l'interfaccia utente sia l'API.

Gli amministratori della sicurezza devono individuare il tempo di realizzazione di qualsiasi operazione del criterio di sicurezza. Il tempo di realizzazione è il tempo necessario per la realizzazione del criterio o della regola di sicurezza nei nodi di trasporto. Qualsiasi operazione di creazione/aggiornamento/eliminazione relativa al criterio o alla regola di sicurezza verrà realizzata nei nodi di trasporto in base a dove vengono applicate le regole.

Stato di realizzazione delle regole nell'interfaccia utente

È possibile visualizzare lo stato di realizzazione della regole per i criteri del firewall di DFW e del gateway passando a Sicurezza > Firewall distribuito o Sicurezza Firewall gateway e controllando lo stato di realizzazione delle regole segnalato dai nodi di trasporto.

Sono possibili quattro valori per lo stato di realizzazione delle regole:
  • Operazione eseguita
  • Errore
  • In corso
  • Sconosciuto

Stato di realizzazione delle regole tramite API

Se la regola è stata creata e applicata nei nodi pertinenti, lo stato di realizzazione può essere controllato dalle seguenti API di Policy Manager.

In NSX 4.1.1 sono disponibili due nuovi campi:
  • publish_time: indica quando lo stato della pubblicazione è stato aggiornato. Ogni volta che un intento viene aggiornato, il monitoraggio dello stato modifica lo stato della pubblicazione dopo che è stato inviato ai nodi di trasporto. Poiché si basa su un meccanismo di polling, non indica l'ora esatta in cui l'intento viene pubblicato nel percorso dati. Il valore -1 indica che la pubblicazione è ancora in corso o lo stato di runtime è SCONOSCIUTO e non disponibile. Lo stato di runtime può essere SCONOSCIUTO se uno o più host sono inattivi e le regole non possono essere inviate a tali host. Quando l'host diventa attivo, lo stato di runtime passa a OPERAZIONE ESEGUITA ma publish_time indica il valore relativo all'ultima realizzazione. Qualsiasi nuova modifica della configurazione successiva inizierà a indicare il valore corretto per publish_time.
  • time_taken_for_realization: tempo approssimativo per la realizzazione dell'intento nel percorso dati. Il tempo effettivo impiegato potrebbe essere inferiore a quello indicato qui. Il valore -1 indica che la pubblicazione è ancora in corso o lo stato di runtime è SCONOSCIUTO e quindi non disponibile. Lo stato di runtime può essere SCONOSCIUTO se uno o più host sono inattivi e le regole non possono essere inviate a tali host. Quando l'host diventa attivo, lo stato di runtime passa a OPERAZIONE ESEGUITA ma il tempo impiegato per la realizzazione indica il valore relativo all'ultima realizzazione. Qualsiasi nuova modifica della configurazione successiva a questa operazione inizierà ad indicare il valore corretto per time_taken_for_ realization.
Ad esempio: 
"publish_status": "REALIZED",
    "publish_time":  1668599137109, <====================== Newly added
    "time_taken_for_realization": 1563 <============ in milliseconds 
    "intent_version": "1"

Per controllare lo stato di realizzazione per tutte le entità create in Policy Manager, eseguire il comando: GET: https://<Policy Appliance IP>/policy/api/v1/infra/realized-state/realized-entitiesLo stato realizzato dell'oggetto deve essere "REALIZZATO" e "runtime_status" deve essere "OPERAZIONE ESEGUITA"

Ad esempio, la query per verificare lo stato realizzato di <e2d4c010-96c8-11e9-8c0a-f7581ab92530> del criterio di sicurezza a livello di Policy Manager è GET https://10.172.121.219/policy/api/v1/infra/realized-state/realized-entities?intent_path=/infra/domains/default/security-policies/f96f27c0-92b8-11e9-96af-b5e746a259e7/rules/e2d4c010-96c8-11e9-8c0a-f7581ab92530. 

{
"results": [
{
"extended_attributes": [],
"entity_type": "RealizedFirewallRule",
"intent_paths": [
"/infra/domains/default/security-policies/1-communication-560"
],
"resource_type": "GenericPolicyRealizedResource",
"id": "default.1-communication-560.3-communication-110",
"display_name": "default.1-communication-560.3-communication-110",
"description": "default.1-communication-560.3-communication-110",
"path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560/firewall-rules/default.1-communication-560.3-communication-110",
"relative_path": "default.1-communication-560.3-communication-110",
"parent_path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560",
"intent_reference": [],
"realization_specific_identifier": "1028",
"state": "REALIZED",  
"alarms": [],
"runtime_status": "IN_PROGRESS",
"_create_user": "system",
"_create_time": 1561673625030,
"_last_modified_user": "system",
"_last_modified_time": 1561674044534,
"_system_owned": false,
"_protection": "NOT_PROTECTED",
"_revision": 6
}
],
"result_count": 1
}

Per controllare lo stato realizzato complessivo di ogni regola in una sezione nell'hypervisor, eseguire il comando:GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?include_enforced_status=true&intent_path=<Security_policy_path>.

Per lo stato consolidato sono possibili quattro valori:
  • Operazione eseguita
  • Errore
  • In corso
  • Sconosciuto
Tabella 1. Stato consolidato
Stato complessivo nodo di trasporto 1 Stato complessivo nodo di trasporto 2 Stato consolidato
ERRORE ERRORE ERRORE
ERRORE IN CORSO ERRORE
ERRORE SCONOSCIUTO ERRORE
IN CORSO IN CORSO IN CORSO
IN CORSO SCONOSCIUTO IN CORSO
OPERAZIONE ESEGUITA OPERAZIONE ESEGUITA OPERAZIONE ESEGUITA
OPERAZIONE ESEGUITA ERRORE ERRORE
OPERAZIONE ESEGUITA IN CORSO IN CORSO
OPERAZIONE ESEGUITA SCONOSCIUTO SCONOSCIUTO
SCONOSCIUTO SCONOSCIUTO SCONOSCIUTO