フロー モニタリング セッションの収集後に結果が分析されます。この結果をフィルタリングして、オブジェクトやファイアウォール ルールのグループ化に使用できます。ARM は、フローの分析結果に基づいてファイアウォール ルールとセキュリティ グループを自動的に推奨します。

分析後のフローをフィルタリングして、1 つの作業セット内のフロー数を制限することができます。フィルタ オプション アイコンは、右側の [処理されたビュー] ドロップダウン メニューの横にあります。

前提条件

分析前に、選択した vNIC または仮想マシンからフロー モニタリング セッションを収集する必要があります。

手順

  1. フローの収集後、[分析 (Analyze)] をクリックします。
    定義済みサービスが解決され、IP アドレスから仮想マシンへの変換が開始されて、重複が削除されます。
  2. 分析によって、フロー用に次のデータが提供されます。
    フィールド オプション
    方向

    流入:フローは、入力シードの一部として選択した仮想マシンと vNIC のうちの 1 つに入ります。

    流出:フローは、入力シードの一部として選択した仮想マシンと vNIC のうちの 1 つから生成されます。

    内部:フローは、入力シードの一部として選択した仮想マシンと vNIC の間で発生します。

    送信元

    仮想マシン名:フロー レコードの送信元 IP アドレスが NSX インベントリ内の 1 台の仮想マシンに解決される場合。IP アドレスが仮想マシンに解決できるのは、VMware Tools がこれらの仮想マシンで有効になっている場合のみです。

    Raw IP:この送信元 IP アドレスに対応する仮想マシンが NSX インベントリ内に見つからない場合。マルチキャスト IP アドレスおよびブロードキャスト IP アドレスは、仮想マシンに解決されません。

    仮想マシンの数(例:仮想マシン 2 台):IP アドレスが、異なるネットワークに置かれている複数の仮想マシンにマッピングされた重複する IP アドレスである場合、このフロー レコードを関連する正しい仮想マシンに解決する必要があります。

    宛先 [ソース] フィールドと同じ値です。
    サービス

    プロトコル/ポート用の NSX 定義のサービス。

    Raw プロトコル/ポート:NSX Manager で定義されたサービスがない場合。

    サービスの数:複数のサービスが同じプロトコル/ポートにマッピングされている場合、ユーザーは、そのフロー レコードに該当する 1 つのサービスに解決する必要があります。

  3. [ファイアウォール ルール (Firewall Rules)] タブでは、ARM が自動的に推奨したグループ ワークフローとポリシーの作成や、選択したフローに基づいて作成されたファイアウォール ルールを確認できます。ユーザーは、推奨されたルールを変更できます。たとえば、グループやルールの名前をわかりやすい名前に変更できます。
    フローの分析後、ARM は次のものを自動的に推奨します。
    • フロー パターンとサービスに基づいたワークフローのグループ化と IP セットを推奨します。たとえば、3 層アプリケーションの場合、4 つのセキュリティ グループが推奨されます。各アプリケーション層ごとに 1 つのグループと、このアプリケーションのすべての仮想マシンに 1 つのグループを推奨します。また、ARM は、アプリケーション仮想マシンが使用するサービスに基づいて宛先の IP セットを推奨します。たとえば、宛先 IP アドレスが vCenter Server のドメイン内にない場合、DNS または NTP サーバの IP セットを推奨します。
    • 分析したフロー データに基づいてセキュリティ グループを推奨します。3 層アプリケーションの場合、ロード バランサから Web への https ルール、Web からアプリケーションへの http ルール、アプリケーションからデータベースへの MYSQL ルール、DNS などのインフラ サービスの共通ルールの 4 つのルールを推奨します。
    • アプリケーション層間のフローに対するアプリケーション コンテキスト(レイヤー 7)を識別します。たとえば、使用されている TCP/UDP ポートに関係なく、実行中の L7 アプリケーションを識別します。また、https で使用されている TLS バージョンも識別します。
  4. [発行 (Publish)] をクリックして、ファイアウォール ルール テーブルのセクションとして特定のアプリケーションのポリシーを発行します。または、必要に応じてルールを変更します。推奨されるファイアウォール ルールは、アプリケーションに関連付けられている仮想マシンに適用範囲が制限されています。ファイアウォール ルール セクションの名前を入力し、チェック ボックスをクリックして、次のオプションのパラメータを有効にします。
    オプション 説明
    TCP Strict を有効にする 各ファイアウォール セクションに TCP Strict を設定できます。
    ステートレス ファイアウォールを有効にする 各ファイアウォール セクションでステートレス ファイアウォールを有効にします。