推奨分析を開始するときに選択したトラフィック範囲に基づいて、NSX Intelligence 推奨エンジンは、指定された推奨の境界のコンピュート エンティティ間でマイクロセグメント化されていない入力方向(受信)、出力方向(送信)、またはアプリケーション内トラフィック フローを選択します。
NSX Intelligence 推奨エンジンは、これらのトラフィック フローが発生しているサービス(ポートまたはプロトコル基準)別にフローを集約します。特定のサービスの各フローの送信元と宛先がグループ化されます。グループ化の作成時に、NSX Intelligence 推奨エンジンは、一致率に対するユーザー指定のしきい値を使用して、NSX インベントリに存在するグループ(グループの既存の IP セット範囲内にあるグループを含む)の再利用を試みます。
NSX Intelligence 推奨エンジンが、設定されたグループ化しきい値を満たす既存のグループを検出しなかった場合、推奨する新しいグループが作成されます。
推奨の生成時、NSX Intelligence 推奨エンジンは、[分析するトラフィック] オプションで指定したトラフィック フロー タイプを考慮します。受信トラフィック フロー タイプを選択した場合は、アプリケーション境界の外部から送信されるトラフィック フローのみが考慮されます。すべてのトラフィック、受信/送信トラフィック、または受信/アプリケーション間トラフィックのトラフィック フロー タイプを選択した場合、NSX Intelligence 推奨エンジンは、これらの方向のトラフィック フローを集約して、サービスに基づいて DFW ルールの推奨事項を形成します。
たとえば、次のようなフローについて考えてみましょう。
境界は VM1 と VM2 を使用して設定された
グループ:メンバーとして VM1 と VM2 を含む CG
グループ:メンバーとして VM3 と VM4 を含む G3
想定した一致しきい値:50%
セグメント化されていないトラフィック フローは次のとおりです。
SSH を使用した VM3 から VM1
SSH を使用した VM1 から VM2
作成されるマイクロセグメンテーションの推奨は次のとおりです。これは SSH の単一のルールです。
送信元グループ |
宛先グループ |
サービス |
適用先グループ |
|---|---|---|---|
G3 + CG(既存のグループを再利用) |
VM1、VM2 をメンバーとして含む CG |
SSH |
VM1 と VM2 をメンバーとして含むグループ CG |
トラフィック フローがプライベート IP アドレスの構成されたマスクの外部から送信される場合、プライベート IP プレフィックス リストに含まれていない IP アドレスとの間のフローは「任意」とマークされます。
次のセグメント化されていないフローを考慮します。
SSH を使用した VM1 への任意のフロー
SSH を使用した VM1 から VM3 へのフロー
境界は VM1 と VM2 を使用して設定された
定義されたグループは VM1 と VM2 をメンバーとして含む CG
この場合、入力方向と出力方向のフローが集約されると、SSH を使用して VM1 から VM2 および VM3 への任意のフローになります。
これにより、次のマイクロセグメンテーション ルールが作成されます。
送信元 |
宛先 |
サービス |
適用先 |
|---|---|---|---|
任意 |
CG の [VM1]、G3 の [VM3] |
SSH |
CG [VM1、VM2] |
すべてのルールは常に、推奨を生成する前に指定した推奨境界のメンバーにのみ適用されます。集約が使用される理由は、サービスに基づいて発生する DFW ルールの数を減らすことです。
既存の DFW セクションの推奨事項
推奨の境界範囲で選択したエンティティが既存の分散ファイアウォール セクションに関連付けられている場合、[分散ファイアウォール セクションの選択] ダイアログ ボックスの [既存のセクションを使用] オプションを選択すると、NSX Intelligence 推奨エンジンには、推奨分析を実行するときに既存の分散ファイアウォール セクションが含まれます。DFW の推奨事項には、既存のルールの送信元フィールドと宛先フィールドを更新して、指定された DFW セクションの範囲に一致するコンピューティング ワークロードとの間でリークしたフローを適切にマイクロセグメンテーションすることが含まれます。
以前は、サポートは既存の DFW セクションの既存の L4 ルールの更新のみを提供しました。NSX Intelligence 4.1.1 以降では、指定した推奨の境界範囲のエンティティに関連付けられた、既存の分散ファイアウォール セクションにある既存の L7 ルールを更新することもできます。
この新機能を使用するには、[新しい推奨の開始] ダイアログ ボックスの [推奨サービス タイプ] セクションで、[L7 コンテキスト プロファイル] オプションを選択する必要があります。
- 既存のすべてのルールは、リークされたフローの照合に使用され、NSX Intelligence 推奨エンジンは、これらのフローをルール内の同じ port、protocol、および app_id の値と照合しようとします。ゼロ以外の app_id を持つフローのサンプリングは、リークされたフローの一部として保持されます。0 または空の app_id 値を使用したフローのサンプリングは除外されます。
- ルールは、送信元または宛先が一致する場合に使用されます。この設定では、更新する必要がある一方の側のみのルールを使用します。何も見つからない場合は、送信元と宛先の両方を更新する必要があるルールが選択されます。
- app_id 値を持つフローで、既存のルールが一致して選択されると、L7 ルールが使用されます。
- app_id 値を持たないフローで、既存のルールが一致して選択された場合、ルールにコンテキスト プロファイルを含めることはできません。NSX Intelligence 推奨ジョブは、このルールの送信元と宛先のみを変更します。
- 既存のルールが見つからない場合は、新しいルールが作成されます。
- app_id 値を持つフローでは、フローに関連付けられている app_id 値を使用してコンテキスト プロファイルの詳細を特定できる場合は、コンテキスト プロファイルを含む新しいルールが作成されます。それ以外の場合、NSX Intelligence 推奨エンジンは新しいコンテキスト プロファイルを作成しないため、新しい L4 ルールが作成されます。
- app_id 値を持たないフローの場合、NSX Intelligence 推奨エンジンは、フローに一致する新しい L4 ルールを作成します。
- NSX Intelligence 推奨エンジンが、変更が必要な既存のルールを検出すると(一致する送信元/宛先側が見つかった場合)、一致しない側が、リークしたフローが検出されたコンピュートを含むグループ(新規または再利用)を含むように変更されます。
- ルールの一致しない側が変更され、次の選択基準に基づいてグループが含まれます。
- グループは、リークした仮想マシンの最大一致を検索して選択されます。これは、グループにフローに含まれていない他のコンピューティングが含まれる部分一致である可能性があります。複数のグループが選択される場合があります。グループは、最も高い一致率、最も多い一致数、最新の作成時間(最近作成されたものが優先順位付け)によって選択されます。これ以上グループを選択できないか、すべてのリークがカバーされるまで。
- コンピュート エンティティがどのグループにも関連付けられていない場合は、これらのコンピュート エンティティに対応する新しいグループが作成されます。コンピュート エンティティが既存のグループに存在する場合でも、一致率が指定されたグループ再利用のしきい値を下回っている場合でも、コンピュート エンティティ用に新しいグループが作成されます。
- ルールが変更され、選択したグループが送信元または宛先に含まれます。
- リークしたフローが検出されない場合は、選択した期間内に現在の既存のルールがすべてのトラフィック フローをカバーしていることを意味します。新しい DFW ルールは推奨されません。
- 既存の DFW ルールを変更する必要があり、コンテキスト プロファイルを含む L7 ルールの場合、コンテキスト プロファイルはこの DFW ルールに保持されます。
入力として指定された分散ファイアウォール セクションにはすでに多くのルールがあり、推奨される新しい DFW ルールが、セクションあたり 1,000 個というルール制限を超える可能性がある場合、NSX Intelligence 推奨ジョブの状態は FAILED に設定されます。その結果、DFW ルールの推奨を発行できません。推奨ルールを追加するのに十分なスペースがあるセクションを指定する必要があります。
