NSX Intelligence 推奨機能は、アプリケーションのマイクロセグメント化に役立つ推奨事項を提供します。

NSX Intelligence の推奨事項を生成すると、セキュリティ ポリシー、ポリシー セキュリティ グループ、アプリケーションのサービスの推奨事項が生成されます。推奨事項は、NSX-T Data Center の仮想マシン (VM) と物理サーバ間で発生している通信トラフィックのパターンに基づいて作成されます。

推奨を生成するには、入力エンティティとして 1 つのグループまたは 100 台の仮想マシンと物理サーバを選択するか、グループ、仮想マシン、物理サーバの組み合わせを選択します。入力として選択できる仮想マシンと物理サーバの数は、これらのエンティティを合わせて合計で 100 までです。グループ、仮想マシン、または物理サーバを含む入力で使用できる有効な仮想マシンと物理サーバの合計数は 250 までです。

たとえば、推奨入力エンティティの一部として 50 台数の仮想マシンと 50 台の物理サーバを選択した場合は、コンピュート メンバーの数が 150 以下のグループを選択できます。

重要: 新しい推奨を生成できるのは、ポリシー モードで作成されたセキュリティ グループだけです。 NSX Intelligence がセキュリティ グループの推奨分析を開始できるように、サポートされている 1 つ以上のメンバー タイプがセキュリティ グループに含まれている必要があります。サポートされているメンバー タイプとしては、物理サーバ、仮想マシン、仮想ネットワーク インターフェイス (VIF)、論理ポート、論理スイッチなどがあります。セキュリティ グループにサポート対象のメンバー タイプが 1 つ以上存在する場合、推奨分析は続行できますが、サポートされていないメンバー タイプは分析対象になりません。

NSX Intelligence ユーザー インターフェイスでは、いくつかの方法で推奨事項を生成できます。以下では、使用可能な方法について説明します。

前提条件

手順

  1. ブラウザから、必要な権限で NSX Manager (https://<nsx-manager-ip-address>) にログインします。
  2. 次のいずれかの方法で、新しい推奨の生成を開始します。
    開始場所 次の手順
    [プランとトラブルシューティング] > [推奨] の順に選択します。 [新しい推奨の開始] をクリックします。
    グループの推奨事項の場合は、[プランとトラブルシューティング] > [検出とアクションの実行] を選択します。
    1. [セキュリティ] ビューの選択領域で [グループ] ビューが選択されていることを確認します。
    2. 推奨を生成するグループのノードを右クリックします。
    3. ドロップダウン メニューから [推奨の開始] を選択します。
    仮想マシンまたは物理サーバの推奨事項の場合は、[プランとトラブルシューティング] > [検出とアクションの実行] を選択します。
    1 台以上の仮想マシンまたは物理サーバ、またはその両方の組み合わせを選択します。
    1. [セキュリティ] ビューの選択領域で、[グループ] の横にある下矢印をクリックして [コンピュート] を選択します。
    2. [すべてのタイプを表示] をクリックし、[仮想マシン] または [物理サーバ] を選択します。または、使用可能な項目のリストから、特定の仮想マシンまたは物理サーバを選択します。
    3. [適用] をクリックします。
    4. [フロー] バーの左側にある杖の形のアイコン(推奨のアイコン)をクリックします。
    5. [フィルタリングされたコンピュートの推奨を開始] を選択します。
  3. [新しい推奨の開始] ウィザードで、[推奨名] テキスト ボックスのデフォルト値を変更します。
    セグメンテーションが実行されているアプリケーションを表す名前を付けます。この名前は、推奨の分析中に作成されるすべての推奨グループとルール名のプリフィックスとして使用されます。
  4. 推奨の内容がすぐに分かるように、[説明] テキスト ボックスのデフォルト値を変更します。
  5. セキュリティ ポリシーの推奨の境界として使用する仮想マシンまたは物理サーバを定義または変更します。
    1. [範囲内で選択されたエンティティ] で、[エンティティの選択] をクリックします。グループ、仮想マシン、または物理サーバがすでに選択されている場合は、グループ、仮想マシン、または物理サーバの数のリンクをクリックして、現在の選択内容を変更します。
    2. [エンティティの選択] ダイアログ ボックスで [グループ] をクリックして、グループを選択します(1 つのグループを追加する場合)。分析の境界として使用する仮想マシンまたは物理サーバを選択するには、[仮想マシン] タブまたは [物理サーバ] タブをクリックして、選択を行います。
      1 つのグループと最大 100 台までの仮想マシンまたは物理サーバを選択できますが、推奨の境界に使用できる有効なコンピュート エンティティは 250 までです。含めないものは選択を解除します。 [フィルタ] をクリックして、選択するグループ、仮想マシン、または物理サーバのフィルタリングに使用する属性を選択することもできます。
    3. [保存] をクリックします。
      [新しい推奨の開始] ウィザードに戻ります。選択したグループ、仮想マシン、物理サーバ、またはこれらのエンティティの組み合わせの数が [範囲内で選択されたエンティティ] に表示されます。
  6. [新しい推奨の開始] ウィザードで、[検討対象のトラフィック] ドロップダウン メニューから、推奨事項の分析対象にするトラフィック フローのタイプを選択します。デフォルトは All Traffic です。
    • [すべてのトラフィック]:すべての送信、受信、アプリケーション内のトラフィック フロー タイプが対象になります。
    • [着信および発信]:アプリケーションの境界を越えて送信されるすべてのトラフィック フロー タイプが対象になります。
    • [着信トラフィック ]:アプリケーション境界の外部から送信されるトラフィック フローのみが対象になります。
  7. [接続設定] ドロップダウン メニューから、セキュリティ ポリシーのデフォルト ルールの作成に使用する接続方法を選択します。
    • [許可リスト]:デフォルトのドロップ ルールを作成します。
    • [拒否リスト]:デフォルトの許可ルールを作成します。
    • [なし]:デフォルトのルールは作成されません。
  8. [詳細オプション] を展開し、必要に応じて [推奨出力] のデフォルト値を変更します。
    デフォルトの出力モードは [オブジェクト ベース] で、生成される DFW ポリシーの推奨には、仮想マシン、物理サーバ エンティティ、またはその両方をメンバーに持つグループが含まれます。推奨出力モードに [IP ベース] を選択すると、生成される DFW ポリシーの推奨には、IPset オブジェクトをメンバーに持つグループが含まれます。IP ベースの推奨は、特定の仮想マシンに関連するものではありません。仮想マシンが削除され、その IP アドレスが新しい仮想マシンに割り当てられると、新しい仮想マシンは同じグループに割り当てられます。そのグループの DFW ポリシーも新しい仮想マシンに適用されます。
  9. 必要な場合は、[推奨サービス タイプ] の値を変更します。
    デフォルトのタイプは [L4 サービス] で、レイヤー 4 ポートとプロトコルで構成されています。また、 [L7 コンテキスト プロファイル ] を選択することもできます。
  10. 必要に応じて、現在の [期間] の値を変更して、推奨の生成に使用する期間を選択します。
    期間のデフォルト値は、 直近 1 か月 です。選択した仮想マシン、物理サーバ、仮想マシンまたは物理サーバのグループの間で発生したネットワーク トラフィック フローが推奨の分析で使用されます。この他に、 直近 12 時間直近 24 時間直近 1 週間直近 1 か月 を選択できます。
  11. 推奨の分析を開始するには、[検出の開始] をクリックします。
    推奨は順番に処理されます。保留中の推奨があるかどうかによりますが、各推奨が完了するまでに平均で 3 ~ 4 分ほどかかります。分析が必要な仮想マシンと物理サーバ間で多くのトラフィック フローが発生している場合、推奨の生成に 10 ~ 15 分ほどかかる場合があります。
    次のスクリーンショットのように、開始した推奨が [推奨事項] テーブルに表示されます。

    推奨の分析状態は、[推奨] テーブルの [状態] 列で追跡できます。状態が 待機中 から 検出の進行中 に変わり、発行の準備完了 になります。推奨が生成されなかった場合、[状態]使用可能な推奨はありません に設定されます。何らかの理由で推奨の分析に失敗すると、失敗 状態が表示されます。

    [入力エンティティ] 列には、推奨の生成に使用されたエンティティが一覧表示されます。この列のリンク付きテキストをクリックすると、[選択されたエンティティ] ダイアログ ボックスが読み取り専用モードで表示されます。

    [推奨エンティティ] 列には、ネットワーク トラフィック フローと入力境界に基づいて、推奨されるセキュリティ ポリシー ルール、ポリシー セキュリティ グループ、サービスのリンクが表示されます。

    [監視] 列は、推奨の生成に使用された元の入力エンティティの変更が監視されているかどうかを示します。この機能は、状態が 発行の準備完了使用可能な推奨はありません または 失敗 の推奨で使用できます。[監視] ボタンでオン/オフを切り替えることができます。トグルがオンの場合、入力エンティティの範囲内の変更が 1 時間ごとに確認されます。

    使用されている入力エンティティのいずれかで変更が発生した場合、変更の検出アイコン 発行の準備完了使用可能な推奨はありません または 失敗 状態の横に表示されます。変更内容を確認して、推奨を再度実行します。詳細については、NSX Intelligence の推奨の再実行を参照してください。

    推奨行の右端にあるキャンバス アイコン クリックすると、選択したエンティティの内容が [プランとトラブルシューティング] > [検出とアクションの実行] UI の下のグラフィック キャンバスに表示されます。

  12. [状態]発行の準備完了 に変わったら、生成された推奨事項を確認して、公開するかどうかを決めます。生成された NSX Intelligence の推奨事項の確認と公開 を参照してください。