生成された NSX Intelligence の推奨事項が「発行の準備完了」状態になったら、推奨事項を確認し、必要に応じて変更を行い、発行するかどうかを決めます。

前提条件

手順

  1. ブラウザから、必要な権限で NSX Manager (https://<nsx-manager-ip-address>) にログインします。
  2. [プランとトラブルシューティング] > [推奨] の順にクリックします。
  3. (オプション) リストに表示される推奨事項を絞り込むには、UI の右上にある [フィルタ] をクリックします。[フィルタの適用 ] をクリックし、ドロップダウン メニューから 1 つ以上のフィルタを選択します。
    たとえば、 [フィルタの適用] をクリックした後、 [基本情報] > [監視] > [有効] の順に選択すると、監視パラメータが有効に設定されている推奨のみが表示されます。
  4. (オプション) 生成された推奨を使用しない場合は、3 つのドットで示されるメニュー アイコン をクリックして、[削除] を選択します。
  5. 発行の準備完了」という状態の推奨事項の詳細を確認して管理するには、推奨名をクリックします。
    次の図のように、 [推奨] ウィザードが表示されます。 [推奨事項の確認] ペインで、推奨事項の詳細が分割ビューで表示されます。ペインの上半分には、推奨事項が視覚的に表示されます。ペインの下半分には、推奨事項が表形式で表示されます。

  6. ペインの上半分で、視覚的に表示された推奨事項を確認します。
    特定のノードとフロー矢印をクリックすると、推奨事項の詳細が表示されます。2 つのグループ ノード間のフロー矢印をポイントすると、グループ間で適用されているポリシー ルールを確認できます。また、作成されているサービスも確認できます。フロー矢印を右クリックして、対応するポリシー ルールで推奨事項をフィルタリングします。

    杖の形の推奨アイコン 杖の形の推奨アイコン が端に表示されているノードは、ノードが推奨グループであることを示しています。グループの推奨事項でノードを右クリックすると、グループ名の変更、グループに属するコンピュート エンティティ メンバーの編集などを行うことができます。グループ ノードを右クリックして、名前の変更、メンバーの表示または編集、[フィルタ基準] の選択を行うと、現在のグループをフィルタとして使用し、生成された推奨事項の詳細を表示できます。

    推奨事項の視覚的な表示で行った変更は、ペインの下半分のテーブルに反映されます。同様に、表形式の推奨事項に加えた変更も視覚的な表示に反映されます。

  7. [推奨事項の確認] ペインの下半分に表示される表形式の推奨事項を使用すると、推奨に含まれているルール、グループ、サービスの詳細を確認できます。推奨事項の生成に使用されたトラフィック フローを確認するには、[推奨に使用されるフロー] タブを使用します。

    推奨の詳細を確認して変更するには、[ルール][グループ][サービス] の各タブをクリックします。

    [推奨ポリシー] セクションでは、[ルール][グループ][サービス] の各タブに数字が表示されます。これらの数字は、推奨されるルール、グループ、サービスの数を表します。これらは、推奨の生成時点で NSX-T インベントリに存在していません。たとえば、上のスクリーンショットの [サービス] タブは、推奨されるサービスが 0 になっています。グループによって使用されるサービスは、推奨の生成時点で NSX-T インベントリに存在しています。したがって、推奨される新しいサービスはありません。

    [ルール] タブのルールに適用されたすべての変更(ルールまたはセクションの追加、削除、編集など)は、[ルール] テーブルとグラフィカル表示ペインの両方にすぐに反映されます。

    1. DFW ルールに該当した場合のパケットの処理方法を定義するには、[アクション] 列で [許可][ドロップ] または [却下] を選択します。
    2. DFW ルールを有効または無効にするには、[アクション] 列の右側にあるボタンを切り替えます。デフォルトでは、生成されたルールは推奨の発行時に Enabled に設定されます。
    3. 推奨事項でグループの詳細を確認するには、[グループ] をクリックします。
      グループを削除する前に、グループを使用しているルールがないことを確認してください。
    4. [メンバー] 列のリンクをクリックして、グループ推奨に設定された仮想マシン、IP、物理サーバの詳細情報を確認します。
    5. グループ名の横にある 3 つのドットのメニュー アイコン をクリックし、[編集] を選択してグループの推奨を変更します。
    6. [サービス] をクリックして、詳細を確認します。
    7. サービス名の横にある 3 つのドットのメニュー アイコン をクリックし、[編集] を選択して説明または名前を変更します。
      サービスを削除する前に、サービスを使用しているルールがないことを確認してください。
  8. 推奨事項の発行を続行するには、[続行] をクリックします。
    または、 [後で続行] をクリックして変更を保存し、推奨の確認セッションを終了します。
  9. [優先順位と発行] ペインで、新しく推奨されるセキュリティ ポリシーが既存の DFW ルールに適用される順序を定義します。
    1. 新しいセキュリティ ポリシーの推奨行を選択します。
    2. 表示されているセキュリティ ポリシーのいずれかの行の左端にある 3 つのドットのメニュー アイコン をクリックします。
    3. 新しく推奨されたセキュリティ ポリシーの行を既存のセキュリティ ポリシーの行の上または下に移動するには、表示されたメニューから、[選択したポリシーをこのポリシーの上に移動] または [選択したポリシーをこのポリシーの下に移動] を選択します。
      または、現在選択されているポリシーの新しい推奨行を上または下にドラッグして、目的の順序に移動することもできます。
  10. [発行] をクリックします。
    推奨の確認を中止するには、 [キャンセル] をクリックします。
  11. [推奨の公開] ダイアログ ボックスで、[はい] をクリックします。
  12. [ポリシーが公開されました] ダイアログ ボックスで、[破棄] をクリックしてダイアログ ボックスを閉じます。または、[分散ファイアウォール テーブルを表示] をクリックして、ここで公開したセキュリティ ポリシーを[セキュリティ] > [分散ファイアウォール] > [すべてのルール] タブに表示します。
    [プランとトラブルシューティング] > [推奨] ペインに戻ります。 [推奨] テーブルで、発行した推奨の [状態] 列が 発行済み に変わります。

結果

セキュリティ ポリシーの推奨が正常に発行されると、これらの推奨は [プランとトラブルシューティング] > [推奨] タブで読み取り専用モードになります。発行済みのルールの推奨を表示または管理するには、 [セキュリティ] > [分散ファイアウォール] の順に移動します。
重要: 推奨ルールを発行した後も、関連するコンピュート エンティティ間で新しいフローが生成されるまで、影響するコンピュート エンティティ間のフローがオレンジ色の矢印(保護解除のフロー)で表示されます。この表示では、ホスト上で発生した時間に基づいてトラフィック フローが報告されるだけで、これらのトラフィック フローが発生した後に発行されたルール セットは反映されていません。ルール セットが発行され、新しいトラフィック フローが生成されると、新しいフローは緑色の矢印(許可されたフロー)で表示されます。