NSX Intelligence 推奨機能は、アプリケーションのマイクロセグメント化に役立つ推奨を提供します。
NSX Intelligence の推奨事項を生成すると、セキュリティ ポリシー、ポリシー セキュリティ グループ、アプリケーションのサービスの推奨事項が生成されます。NSX Intelligence は、NSX 環境の仮想マシン (VM) と物理サーバ間で発生している通信トラフィックのパターンに基づいてポリシーの推奨を作成します。
NSX Intelligence の推奨を生成するには、入力エンティティとしてグループまたは 100 台の仮想マシンと物理サーバを選択するか、グループ、仮想マシン、物理サーバ、または既存のセキュリティ ポリシーの組み合わせを選択します。入力として選択できる仮想マシンと物理サーバの数は、これらのエンティティを合わせて合計で 100 までです。グループ、仮想マシン、または物理サーバを含む入力で使用できる有効な仮想マシンと物理サーバの合計数は 250 までです。
たとえば、推奨入力エンティティの一部として 50 台の仮想マシンと 50 台の物理サーバを選択した場合は、組み合わせたコンピュート メンバーの数が 150 以下のグループのみを選択できます。
新しい推奨を生成できるのは、ポリシー モードで作成されたセキュリティ グループだけです。NSX Intelligence 機能がセキュリティ グループの推奨分析を開始できるように、サポートされている 1 つ以上のメンバー タイプがセキュリティ グループに含まれている必要があります。サポートされているメンバー タイプとしては、物理サーバ、仮想マシン、仮想ネットワーク インターフェイス (VIF)、論理ポート、論理スイッチなどがあります。セキュリティ グループにサポート対象のメンバー タイプが 1 つ以上存在する場合、推奨分析は続行できますが、サポートされていないメンバー タイプは分析対象になりません。
NSX Intelligence ユーザー インターフェイスでは、いくつかの方法で推奨事項を生成できます。以下では、使用可能な方法について説明します。
前提条件
NSX Application Platform 3.2 以降で NSX Intelligence 3.2 以降を有効にします。バージョン 3.2 以降の『VMware NSX Intelligence の有効化とアップグレード』を参照してください。
推奨の生成に必要な権限があることを確認します。詳細についてはNSX Intelligence でのロールベースのアクセス コントロールを参照してください。
手順
- Web ブラウザで、必要な権限を使用して NSX Manager (https://<nsx-manager-ip-address>) にログインします。
- 次のいずれかの方法で、新しい推奨の生成を開始します。
開始場所
次の手順
[プランとトラブルシューティング] > [推奨] の順に選択します。
[新しい推奨の開始] をクリックします。
[プランとトラブルシューティング] > [検出とアクションの実行] の順に選択します。
- [フロー] バーの左側にある推奨アイコン をクリックします。
[推奨の開始] を選択します。
グループまたは複数のグループの推奨の場合は、[プランとトラブルシューティング] > [検出とアクションの実行] を選択します。
[セキュリティ] ビューの選択領域で [グループ] ビューが選択されていることを確認します。
推奨を生成するグループのノードを右クリックします。または、選択アイコン を使用して、1 つ以上のグループ ノードを選択します。
選択したノードの 1 つを右クリックして、ドロップダウン メニューから [推奨の開始] を選択します。
または、選択アイコン を使用して選択を行った場合は、[選択済み] パネルで推奨アイコン をクリックします。
仮想マシンまたは物理サーバの推奨事項の場合は、[プランとトラブルシューティング] > [検出とアクションの実行] を選択します。
1 台以上の仮想マシンまたは物理サーバ、またはその両方の組み合わせを選択します。
[セキュリティ] ビューの選択領域で、[グループ] の横にある下矢印をクリックして [コンピュート] を選択します。
[すべて] をクリックして、使用可能なアイテム リストから特定の仮想マシンまたは物理サーバ、あるいはその両方の組み合わせを選択します。または、[すべて] > [すべてのタイプを表示] の順にクリックして、ドロップダウン メニューから [仮想マシン] または [物理サーバ] を選択します。
[適用] をクリックします。
[フロー] バーの左側にある推奨アイコン をクリックします。
[フィルタリングされたコンピュートの推奨を開始] を選択します。
または、選択アイコン を使用してコンピュート エンティティ ノードを選択した場合は、[選択済み] パネルで推奨アイコン をクリックします。
次の図は、新しい推奨を開始するときに使用されるデフォルト値を示しています。
- [新しい推奨の開始] ダイアログ ボックスで、[推奨名] テキスト ボックスのデフォルト値を変更します。
マイクロセグメンテーションが実行されているアプリケーションを表す名前を付けます。この名前は、推奨の分析中に作成された推奨グループとルールの名前を作成するときに使用されます。
- 推奨の内容がすぐに分かるように、[説明] テキスト ボックスのデフォルト値を変更します。
- セキュリティ ポリシーの推奨の境界として使用する仮想マシンまたは物理サーバを定義または変更します。
- [範囲内で選択されたエンティティ] セクションで、[エンティティの選択] をクリックします。グループ、仮想マシン、または物理サーバがすでに選択されている場合は、新しい推奨を開始する前に、選択したエンティティの数のリンクをクリックして、現在の選択内容を変更できます。
- [エンティティの選択] ダイアログ ボックスで [グループ] をクリックして、エンティティに含める 1 つ以上のグループを選択します。分析の境界として使用する仮想マシンまたは物理サーバを選択するには、[仮想マシン] タブまたは [物理サーバ] タブをクリックして、選択を行います。
複数のグループと最大 100 台までの仮想マシンまたは物理サーバを選択できますが、推奨の境界に使用できる有効なコンピュート エンティティは合計 250 までです。含めないエンティティの選択を解除します。[フィルタ] をクリックして、選択するグループ、仮想マシン、または物理サーバのフィルタリングに使用する属性を選択することもできます。現在選択されているエンティティの選択を解除するには、[クリア] をクリックします。
- [保存] をクリックします。
- (オプション) 前の手順で選択したグループに関連付けられた既存の分散ファイアウォール (DFW) セクションが検出された場合は、[分散ファイアウォール セクションの選択] ダイアログ ボックスが表示されます。既存の L4 または L7 分散ファイアウォール (DFW) セクションを使用する場合は、リストから 1 つ選択します。システムによって新しいセクションが作成されるようにするには、[セクションの作成] を選択します。
- (オプション) [保存] をクリックします。
[範囲内で選択されたエンティティ] テキスト ボックスが更新され、選択したエンティティの数を示すリンクが表示されます。選択内容を変更するには、数字のリンクをクリックします。
推奨の分析中に既存の分散ファイアウォール セクションの使用を選択した場合は、[範囲内で選択されたエンティティ] テキスト ボックスにその旨が表示されます。
- (オプション) [期間] テキスト ボックスで、表示されたデフォルト値を変更します。
デフォルト値は、過去 1 か月 です。選択した仮想マシン、物理サーバ、仮想マシン グループ、または物理サーバ グループの間で、選択した期間に発生したトラフィック フローが推奨の分析で使用されます。選択できるその他の期間の値は、過去 1 時間、過去 12 時間、過去 24 時間、過去 1 週間、過去 2 週間 です。
- [詳細オプション] セクションを展開します。
- [入力オプション] サブセクションで、割り当てられたデフォルト値を必要に応じて変更します。
既存の DFW セクションを使用していない場合は、デフォルトの割り当て値を変更できます。既存の DFW セクションを使用することを選択した場合、このセクションに表示される値は既存の DFW セクションから取得されます。
- [分析するトラフィック] ドロップダウン メニューで、推奨分析で考慮するトラフィック フローのタイプを選択します。デフォルトは All Traffic です。
[受信トラフィックと送信トラフィック]:アプリケーション境界の内部から境界の外部まで、およびアプリケーション境界の外部から境界の内部までのすべてのトラフィック フロー タイプが対象になります。
[受信トラフィック ]:アプリケーション境界の外部から送信されるトラフィック フローのみが対象になります。
[すべてのトラフィック]:すべての送信、受信、アプリケーション内のトラフィック フロー タイプが対象になります。
[受信トラフィックとアプリケーション間トラフィック]:アプリケーション境界の外部およびアプリケーション間トラフィックから送信されるすべてのトラフィック フロー タイプが対象になります。
- [プロトコルとポートの基準] セクションで [除外] または [いずれかに一致] を選択して、テキスト ボックスに入力するポート、ポートの範囲、またはプロトコルを除外するか、一致するものを使用するかを指定します。
デフォルトでは、指定された時間範囲内に環境内のすべての既知のポートとプロトコルから発生したトラフィック フローは、推奨分析中に使用されます。推奨分析中に使用されるトラフィック フローをフィルタリングするには、1 つのポート、ポートの範囲、またはいずれかのエントリに一致するようにトラフィック フローを除外または使用するプロトコルのエントリを最大 15 個まで入力します。たとえば、88, 90-98, TCP:100-111, UDP です。
- [フローの除外] セクションで、推奨の分析中に除外するトラフィック フローのタイプを指定します。
デフォルトでは、マルチキャスト フローとブロードキャスト フローは除外されます。フロー タイプ名の横にある [X] をクリックすると、1 つまたは両方のフロー タイプを選択解除できます。
- 新しい推奨分析からインフラストラクチャ コンピュート エンティティを除外するには、[インフラストラクチャ ワークロードの除外] トグルを有効にします。
このトグルを有効にすると、推奨エンジンによって、そのエンティティで発生したすべてのインフラストラクチャ コンピュート エンティティとトラフィック フローが推奨分析から除外されます。推奨エンジンは、インフラストラクチャ エンティティを含むグループを再利用しません。インフラストラクチャ コンピュート エンティティが含まれていても、コンテキスト入力は変更されません。ただし、推奨エンジンは、ルールの送信元または宛先にインフラストラクチャ コンピュート エンティティを含むファイアウォール ルールを推奨しません。
詳細についてはNSX Intelligence でのコンピュート エンティティ分類の管理を参照してください。
- [考慮する追加ルール] セクションで、必要に応じて、どのトラフィック フローをセグメント化されていないと見なすかを決定するために使用するルールも指定します。
デフォルトでは、推奨エンジンは、 Source と Destination の値が
Any
であるルールを使用します。推奨の分析中にさらに別のルールを考慮するには、[考慮するルール タイプ] ドロップダウン メニューから最大 3 つを選択できます。または [考慮する追加ルール] ドロップダウン メニューから最大 5 つの特定のルールを選択できます。
ルール タイプまたは特定のルール 説明 Source が「 ANY
」のルール選択すると、Source の値が
ANY
の、非デフォルト ルールがデフォルト ルールと見なされます。これらのルールに遭遇するトラフィック フローはマイクロセグメンテーションされていないと見なされます。既存のセクションを再利用する場合、これらの追加のデフォルト ルールは変更対象とは見なされません。Destination が「 ANY
」のルール選択すると、Destination の値が
ANY
の、非デフォルト ルールがデフォルト ルールと見なされます。これらのルールに遭遇するトラフィック フローはマイクロセグメンテーションされていないと見なされます。既存のセクションを再利用する場合、これらの追加のデフォルト ルールは変更対象とは見なされません。Service が「 ANY
」のルール選択すると、Service の値が
ANY
の、非デフォルト ルールがデフォルト ルールと見なされます。これらのルールに遭遇するトラフィック フローはマイクロセグメンテーションされていないと見なされます。既存のセクションを再利用する場合、これらの追加のデフォルト ルールは変更対象とは見なされません。特定のルール ID またはルール名のリスト このリストには、追加のデフォルト ルールと見なされる最大 5 つのルール ID またはルール名を含めることができます。デフォルトのルールとこれらのルールを検出するトラフィック フローは、マイクロセグメンテーションされていないと見なされます。既存のセクションを再利用する場合、これらの追加のデフォルト ルールは変更対象とは見なされません。
- [分析するトラフィック] ドロップダウン メニューで、推奨分析で考慮するトラフィック フローのタイプを選択します。デフォルトは All Traffic です。
- [新しい推奨の開始] セクション ダイアログ ボックスの [出力オプション] サブセクションで、必要に応じてデフォルト設定を変更します。
- [デフォルト ルール] ドロップダウン メニューから、セキュリティ ポリシーのデフォルト ルールの作成に使用する接続方法を選択します。選択した接続方法の値に基づいて、ルールに適切なアクションが設定されます。デフォルトは、[なし] です。
[拒否リスト]:デフォルトの許可ルールを作成します。
[許可リスト]:デフォルトのドロップ ルールを作成します。
[なし]:デフォルトのルールは作成されません。
- 推奨エンジンによって、マイクロセグメンテーションされていないトラフィック フローの方向に基づき、よりきめ細かいルールが作成され、推奨されるようにするには、[フローの方向に対応するルールを生成] トグルを有効にします。
推奨の分析中に、異なる方向のセグメント化されていないトラフィック フローが集約されず、新しいルールが推奨されません。推奨ルールの送信元グループと宛先グループは、コンテキスト プロファイルのメンバーまたはコンテキスト プロファイルの非メンバーで構成されます。推奨の境界は、 [新しい推奨の開始] ダイアログ ボックスの [範囲内で選択されたエンティティ] セクションで行った選択によって定義されます。分析結果の DFW 推奨は、外部エンティティから指定された推奨境界を持つエンティティへの明示的なフローがない限り、外部エンティティに推奨境界内に許可ルールが含まれないようにするのに役立ちます。
- 必要に応じて、[推奨出力] のデフォルト値を変更します。
[コンピューティング ベース] は、デフォルトで使用される出力モードです。このモードは、推奨エンジンが生成する DFW ポリシー推奨に、仮想マシン、物理サーバ、またはその両方のメンバーを持つグループが含まれていることを意味します。
[IP ベース] 推奨出力モードが選択されている場合、生成された DFW ポリシー推奨には、IP アドレスの静的リストを持つ IP セット オブジェクトのメンバーを持つグループが含まれます。IP ベースの推奨は、特定の仮想マシンに関連するものではありません。仮想マシンが削除され、その IP アドレスが新しい仮想マシンに割り当てられると、新しい仮想マシンは同じグループに割り当てられます。NSX Intelligence は、グループの既存の DFW ポリシーを新しい仮想マシンに適用します。
- [コンピューティング グループ再利用しきい値] のデフォルト値を、ルールの推奨事項の生成時に使用するサイズに合わせて変更します。
しきい値の割合は、10 ~ 100 の間で設定できます。この値は、マイクロセグメント化されていない検出されたフローをカバーするために、システムが既存のコンピュートベースのグループ(IP セット以外のグループ)をどの程度厳密に再利用するかを指定します。この値を使用して、既存のグループを再利用するか、新しいグループを作成するかを制御します。グループ再利用機能は、既存のセキュリティ ポリシーまたは新しいセキュリティ ポリシーを含む推奨ジョブに適用されます。
この値を 100 に設定した場合、推奨に対して選択されたグループには無関係なコンピュート エンティティを含めないようにする必要があります。グループのコンピュート メンバーは、リークしたコンピュート エンティティと同じである必要はありません。たとえば、リークしたコンピュート エンティティが [VM1,VM2] で、グループ G1 がメンバーとして [VM1] を持ち、グループ G2 がメンバーとして [VM2] を持っている場合、G1 と G2 のコンピュート メンバーはリークしたコンピュート エンティティと同一ではありませんが、リークした [VM1,VM2] コンピュート エンティティをカバーするために一緒に選択できます。
非常に高い値を使用すると、より多くの新しいグループが作成される可能性がありますが、既存のグループが変更されるルールで再利用される可能性は低くなります。
この値を小さい値(10 や 20 など)に設定すると、システムがグループ化しようとしているコンピュート エンティティ以外の無関係なメンバーを持つコンピュート ベースのグループであっても、追加のルールの送信元または宛先として選択できます。低い値を使用すると、積極的なグループ再利用が発生する可能性があるため、推奨される新しいグループは少なくなります。
- 推奨の分析中に、推奨エンジンが、リークした IP アドレスの IP セットと同じ IP セットを持つ既存の IP グループのみを再利用するようにするには、[一部の IPset グループの再利用] トグルを無効にします。
デフォルトでは、このトグルは有効になっています。
- 必要な場合は、[推奨サービス タイプ] の値を変更します。
デフォルトのタイプは [L4 サービス] です。これは、対応するトランスポート レイヤー ポートとプロトコルで構成されています。または、[L7 コンテキスト プロファイル] を選択して、アプリケーション レイヤー プロトコル ルールの推奨を指定することもできます。
NSX Intelligence 4.1.1 リリース以降では、ダイアログ ボックスの [範囲内で選択されたエンティティ] 領域で既存の L7 分散ファイアウォール セクションを選択した場合、既存のセクションに L7 ルールの推奨事項が含まれます。詳細については、既存の DFW セクションの推奨事項を参照してください。
- [デフォルト ルール] ドロップダウン メニューから、セキュリティ ポリシーのデフォルト ルールの作成に使用する接続方法を選択します。選択した接続方法の値に基づいて、ルールに適切なアクションが設定されます。デフォルトは、[なし] です。
- 推奨の分析を開始するには、[検出の開始] をクリックします。
NSX Intelligence は、送信された推奨ジョブを順番に処理します。平均すると、処理を待機している推奨ジョブがあるかどうかに応じて、各推奨分析が完了するまでに 3 ~ 4 分かかることがあります。NSX Intelligence が多くのトラフィック フローを分析する必要がある場合、推奨の生成に 10 ~ 15 分かかることがあります。
[推奨] テーブルには、推奨ジョブの状態が表示されます。次のスクリーンショットは、処理を待機している推奨ジョブと、公開の準備ができている別の推奨を表示する推奨ページの例を示しています。発行の準備ができている推奨の展開行には、その DFW 推奨の生成に使用される詳細が表示されます。
推奨分析ジョブの状態は、[推奨] テーブルの [状態] 列で追跡できます。状態は、待機中 から 検出の進行中、公開の準備完了、公開済み の順に変わります。
推奨が生成されない場合、
Status
値は 使用可能な推奨はありません に設定されます。何らかの理由で推奨の分析に失敗すると、失敗 状態が表示されます。状態が 待機中 または 検出の進行中 の推奨ジョブはキャンセルできます。[アクション] メニュー アイコン をクリックして、[検出をキャンセル] を選択します。
推奨ジョブをキャンセルすると、ジョブが推奨キューから削除され、その状態が 検出がキャンセルされました に変わります。推奨の検出がキャンセルされたら、[アクション] メニューで [確認して再実行] を選択し、以前の入力選択を変更して、推奨分析ジョブを再送信できます。
また、推奨ジョブの状態が 待機中、検出の進行中、または 検出がキャンセルされました の場合、[アクション] メニューから [削除] を選択できます。推奨ジョブを削除すると、推奨分析を開始する前に行った選択内容に関するすべての情報が削除されます。
[入力エンティティ] 列には、推奨の生成に使用されたエンティティが一覧表示されます。この列のリンク付きテキストをクリックすると、[選択されたエンティティ] ダイアログ ボックスが読み取り専用モードで表示されます。グループとそのメンバー、推奨分析に含まれていた仮想マシンを確認します。
[モニタリング] 列は、推奨の生成に使用された元の入力エンティティの変更が監視されているかどうかを示します。この機能は、状態が 公開の準備完了、使用可能な推奨はありません または 失敗 の推奨で使用できます。[モニタリング] トグルでオン/オフを設定できます。トグルがオンの場合、入力エンティティの範囲または接続方法の変更が 1 時間ごとに確認されます。
使用されている入力エンティティのいずれかで変更が発生した場合、公開の準備完了、使用可能な推奨はありません、または 失敗 状態の横に変更検出アイコン が表示されます。変更内容を確認して、推奨を再度実行します。詳細についてはNSX Intelligence の推奨の再実行を参照してください。
推奨行の右端にあるキャンバス アイコン をクリックすると、選択したエンティティを可視化した内容が [プランとトラブルシューティング] > [検出とアクションの実行] ユーザー インターフェイスの下のグラフィック キャンバスに表示されます。表示される推奨状態が 公開済み の場合、キャンバス アイコンをクリックすると、推奨グループが [検出とアクションの実行] グラフィック キャンバスに表示されます。
- Status 値が
Ready to Publish
に変わったら、生成された推奨事項を確認して、公開するかどうかを決めます。詳細については、生成された NSX Intelligence の推奨事項の確認と公開を参照してください。