NSX Intelligence 推奨機能は、アプリケーションのマイクロセグメント化に役立つ推奨事項を提供します。

NSX Intelligence の推奨事項を生成すると、セキュリティ ポリシー、ポリシー セキュリティ グループ、アプリケーションのサービスの推奨事項が生成されます。推奨は、NSX-T Data Center の仮想マシン間で発生している通信トラフィックのパターンに基づいて作成されます。

推奨を生成するには、入力エンティティとして 1 つのグループまたは 100 台の仮想マシン (VM) を選択するか、グループと仮想マシンの組み合わせを選択します。グループと仮想マシンを含む 1 つの入力で使用可能な仮想マシンの合計数は 250 台までです。

重要: 新しい推奨を生成できるのは、ポリシー モードで作成されたセキュリティ グループだけです。 NSX Intelligence がセキュリティ グループの推奨分析を開始できるように、サポートされている 1 つ以上のメンバー タイプがセキュリティ グループに含まれている必要があります。サポートされているメンバー タイプとしては、仮想マシン、仮想ネットワーク インターフェイス (VIF)、論理ポート、論理スイッチなどがあります。セキュリティ グループにサポート対象のメンバー タイプが 1 つ以上存在する場合、推奨分析は続行できますが、サポートされていないメンバー タイプは分析対象になりません。

NSX Intelligence ユーザー インターフェイスでは、いくつかの方法で推奨事項を生成できます。以下では、使用可能な方法について説明します。

前提条件

手順

  1. ブラウザから、必要な権限で NSX Manager (https:<nsx-manager-ip-address>) にログインします。
  2. 次のいずれかの方法で、新しい推奨の生成を開始します。
    開始場所 次の手順
    [プランとトラブルシューティング] > [推奨] の順に選択します。 [新しい推奨の開始] をクリックします。
    グループの推奨事項の場合は、[プランとトラブルシューティング] > [検出とアクションの実行] を選択します。
    1. [セキュリティ] ビューの選択領域で [グループ] ビューが選択されていることを確認します。
    2. 推奨を生成するグループのノードを右クリックします。
    3. [推奨の開始] を選択します。
    仮想マシンの推奨事項の場合は、[プランとトラブルシューティング] > [検出とアクションの実行] を選択します。
    単一の仮想マシン:
    1. [セキュリティ] ビューの選択領域で、[グループ] の横にある下矢印をクリックして [仮想マシン] を選択します。
    2. 仮想マシンのノードを右クリックして、コンテキスト メニューから [推奨の開始] を選択します。
    複数の仮想マシン:
    1. [セキュリティ] ビューの選択領域で、[グループ] の横にある下矢印をクリックして [仮想マシン] を選択します。
    2. 特定の仮想マシンのみを含める場合は、[すべて] の横にある下矢印をクリックして、使用するアプリケーション境界を構成する仮想マシンを選択します。それ以外の場合は、[すべて] を選択したままにして [適用] をクリックします。
    3. [フロー] バーの左側にある杖の形のアイコン(推奨のアイコン)をクリックします。
    4. [推奨の開始] または [フィルタリングされた仮想マシンの推奨を開始] を選択します。
  3. [新しい推奨の開始] ウィザードで、[推奨名] テキスト ボックスのデフォルト値を変更します。
    セグメンテーションが実行されているアプリケーションを表す名前を付けます。この名前は、推奨の分析中に作成されるすべての推奨グループとルール名のプリフィックスとして使用されます。
  4. 推奨の内容がすぐに分かるように、[説明] テキスト ボックスのデフォルト値を変更します。
  5. セキュリティ ポリシーの推奨の境界として使用する仮想マシンを定義または変更します。
    1. [範囲内で選択されたエンティティ] で、[エンティティの選択] をクリックします。また、グループまたは仮想マシンをすでに選択している場合は、グループまたは仮想マシンの数のリンクをクリックします。
    2. [エンティティの選択] ダイアログ ボックスで [グループ] をクリックして、グループを選択します(1 つのグループを使用する場合)。分析の境界として使用する仮想マシンを選択する場合は、[仮想マシン] をクリックします。
      NSX Intelligence 1.1 では、推奨の境界として 1 つのグループと最大 100 台までの仮想マシンを選択できます。含めないものは選択を解除します。また、右側の [フィルタ] をクリックして、選択するグループまたは仮想マシンのフィルタリングに使用する属性を選択することもできます。
    3. [保存] をクリックします。
      選択したグループまたは仮想マシンの数、またはその両方が [範囲内で選択されたエンティティ] に表示されます。
  6. 必要であれば、[新しい推奨の開始] ウィザードに戻り、[その他のオプション] を展開して [推奨出力モード] のデフォルト値を変更します。
    デフォルトの出力モードは [オブジェクト ベース] で、生成される DFW ポリシーの推奨には、仮想マシン オブジェクトをメンバーに持つグループが含まれます。推奨出力モードに [IP ベース] を選択すると、生成される DFW ポリシーの推奨には、IPset オブジェクトをメンバーに持つグループが含まれます。IP ベースの推奨は、特定の仮想マシンに関連するものではありません。仮想マシンが削除され、その IP アドレスが新しい仮想マシンに割り当てられると、新しい仮想マシンは同じグループに自動的に割り当てられます。そのグループの DFW ポリシーも新しい仮想マシンに適用されます。
  7. 必要に応じて、現在の [期間] の値を変更して、推奨の生成に使用する期間を選択します。
    期間のデフォルト値は、 直近 1 か月 です。選択した仮想マシンまたは仮想マシン グループ間で発生したネットワーク トラフィック フローが推奨の分析で使用されます。この他に、 1 時間12 時間24 時間1 週間 を選択できます。
  8. 推奨の分析を開始するには、[検出の開始] をクリックします。
    推奨は順番に処理されます。保留中の推奨があるかどうかによりますが、各推奨が完了するまでに平均で 3 ~ 4 分ほどかかります。分析が必要な仮想マシン間で多くのトラフィック フローが発生している場合、推奨の生成に 10 ~ 15 分ほどかかる場合があります。
    次の図のように、開始した推奨が [推奨事項] テーブルに表示されます。
  9. 開始した推奨の状態を確認します。
    推奨の分析状態は、 [推奨] テーブルの [状態] 列で追跡できます。状態が 待機中 から 検出の進行中 に変わり、 発行の準備完了 になります。推奨が生成されなかった場合、 [状態]使用可能な推奨はありません に設定されます。何らかの理由で推奨の分析に失敗すると、 失敗 状態が表示されます。

    [監視] 列は、推奨の生成に使用された元の入力エンティティの変更が監視されているかどうかを示します。この機能は、状態が 発行の準備完了使用可能な推奨はありません または 失敗 の推奨で使用できます。[監視] ボタンでオン/オフを切り替えることができます。トグルがオンの場合、入力エンティティの範囲内の変更が 1 時間ごとに確認されます。

    使用されている入力エンティティのいずれかで変更が発生した場合、変更の検出アイコン 発行の準備完了使用可能な推奨はありません または 失敗 状態の横に表示されます。変更内容を確認して、推奨を再度実行します。詳細については、推奨の再実行を参照してください。

    この表には、入力エンティティ、生成された推奨エンティティ、推奨の生成に使用した間隔のリンクも表示されます。推奨行の右端にあるキャンバス アイコン クリックすると、選択したエンティティの内容が [プランとトラブルシューティング] > [検出とアクションの実行] UI の下のグラフィック キャンバスに表示されます。

  10. [状態]発行の準備完了 に変わったら、生成された推奨事項を確認して、公開するかどうかを決めます。生成された推奨事項の確認と発行 を参照してください。