生成された NSX Intelligence の推奨事項が「発行の準備完了」状態になったら、推奨事項を確認し、必要に応じて変更を行い、発行するかどうかを決めます。
手順
- ブラウザから、必要な権限で NSX Manager (https://<nsx-manager-ip-address>) にログインします。
- の順にクリックします。
- (オプション) リストに表示される推奨事項を絞り込むには、UI の右上にある [フィルタ] をクリックします。[フィルタの適用 ] をクリックし、ドロップダウン メニューから 1 つ以上のフィルタを選択します。
たとえば、
[フィルタの適用] をクリックした後、
の順に選択すると、監視パラメータが有効に設定されている推奨のみが表示されます。
- (オプション) 生成された推奨を使用しない場合は、3 つのドットで示されるメニュー アイコン をクリックして、[削除] を選択します。
- 「発行の準備完了」という状態の推奨事項の詳細を確認して管理するには、推奨名をクリックします。
次の図のように、
[推奨] ウィザードが表示されます。
[推奨事項の確認] ペインで、推奨事項の詳細が分割ビューで表示されます。ペインの上半分には、推奨事項が視覚的に表示されます。ペインの下半分には、推奨事項が表形式で表示されます。
- ペインの上半分で、視覚的に表示された推奨事項を確認します。
特定のノードとフロー矢印をクリックすると、推奨事項の詳細が表示されます。2 つのグループ ノード間のフロー矢印をポイントすると、グループ間で適用されているポリシー ルールを確認できます。また、作成されているサービスも確認できます。フロー矢印を右クリックして、対応するポリシー ルールで推奨事項をフィルタリングします。
杖の形の推奨アイコン が端に表示されているノードは、ノードが推奨グループであることを示しています。グループの推奨事項でノードを右クリックすると、グループ名の変更、グループに属するコンピュート エンティティ メンバーの編集などを行うことができます。グループ ノードを右クリックして、名前の変更、メンバーの表示または編集、[フィルタ基準] の選択を行うと、現在のグループをフィルタとして使用し、生成された推奨事項の詳細を表示できます。
推奨事項の視覚的な表示で行った変更は、ペインの下半分のテーブルに反映されます。同様に、表形式の推奨事項に加えた変更も視覚的な表示に反映されます。
- [推奨事項の確認] ペインの下半分に表示される表形式の推奨事項を使用すると、推奨に含まれているルール、グループ、サービスの詳細を確認できます。推奨事項の生成に使用されたトラフィック フローを確認するには、[推奨に使用されるフロー] タブを使用します。
推奨の詳細を確認して変更するには、[ルール]、[グループ]、[サービス] の各タブをクリックします。
[推奨ポリシー] セクションでは、[ルール]、[グループ]、[サービス] の各タブに数字が表示されます。これらの数字は、推奨されるルール、グループ、サービスの数を表します。これらは、推奨の生成時点で NSX-T インベントリに存在していません。たとえば、上のスクリーンショットの [サービス] タブは、推奨されるサービスが 0 になっています。グループによって使用されるサービスは、推奨の生成時点で NSX-T インベントリに存在しています。したがって、推奨される新しいサービスはありません。
[ルール] タブのルールに適用されたすべての変更(ルールまたはセクションの追加、削除、編集など)は、[ルール] テーブルとグラフィカル表示ペインの両方にすぐに反映されます。
- DFW ルールに該当した場合のパケットの処理方法を定義するには、[アクション] 列で [許可]、[ドロップ] または [却下] を選択します。
- DFW ルールを有効または無効にするには、[アクション] 列の右側にあるボタンを切り替えます。デフォルトでは、生成されたルールは推奨の発行時に Enabled に設定されます。
- 推奨事項でグループの詳細を確認するには、[グループ] をクリックします。
グループを削除する前に、グループを使用しているルールがないことを確認してください。
- [メンバー] 列のリンクをクリックして、グループ推奨に設定された仮想マシン、IP、物理サーバの詳細情報を確認します。
- グループ名の横にある 3 つのドットのメニュー アイコン をクリックし、[編集] を選択してグループの推奨を変更します。
- [サービス] をクリックして、詳細を確認します。
- サービス名の横にある 3 つのドットのメニュー アイコン をクリックし、[編集] を選択して説明または名前を変更します。
サービスを削除する前に、サービスを使用しているルールがないことを確認してください。
- 推奨事項の発行を続行するには、[続行] をクリックします。
または、
[後で続行] をクリックして変更を保存し、推奨の確認セッションを終了します。
- [優先順位と発行] ペインで、新しく推奨されるセキュリティ ポリシーが既存の DFW ルールに適用される順序を定義します。
- 新しいセキュリティ ポリシーの推奨行を選択します。
- 表示されているセキュリティ ポリシーのいずれかの行の左端にある 3 つのドットのメニュー アイコン をクリックします。
- 新しく推奨されたセキュリティ ポリシーの行を既存のセキュリティ ポリシーの行の上または下に移動するには、表示されたメニューから、[選択したポリシーをこのポリシーの上に移動] または [選択したポリシーをこのポリシーの下に移動] を選択します。
または、現在選択されているポリシーの新しい推奨行を上または下にドラッグして、目的の順序に移動することもできます。
- [発行] をクリックします。
推奨の確認を中止するには、
[キャンセル] をクリックします。
- [推奨の公開] ダイアログ ボックスで、[はい] をクリックします。
- [ポリシーが公開されました] ダイアログ ボックスで、[破棄] をクリックしてダイアログ ボックスを閉じます。または、[分散ファイアウォール テーブルを表示] をクリックして、ここで公開したセキュリティ ポリシーを タブに表示します。
ペインに戻ります。
[推奨] テーブルで、発行した推奨の
[状態] 列が
発行済み に変わります。
結果
セキュリティ ポリシーの推奨が正常に発行されると、これらの推奨は
タブで読み取り専用モードになります。発行済みのルールの推奨を表示または管理するには、
の順に移動します。
重要: 推奨ルールを発行した後も、関連するコンピュート エンティティ間で新しいフローが生成されるまで、影響するコンピュート エンティティ間のフローがオレンジ色の矢印(保護解除のフロー)で表示されます。この表示では、ホスト上で発生した時間に基づいてトラフィック フローが報告されるだけで、これらのトラフィック フローが発生した後に発行されたルール セットは反映されていません。ルール セットが発行され、新しいトラフィック フローが生成されると、新しいフローは緑色の矢印(許可されたフロー)で表示されます。