生成された NSX Intelligence の推奨事項が「公開の準備完了」状態になったら、推奨事項を確認し、必要に応じて変更を行い、公開するかどうかを決めます。
手順
- ブラウザから、必要な権限で NSX Manager (https://<nsx-manager-ip-address>) にログインします。
- の順にクリックします。
- (オプション) リストに表示される推奨事項を絞り込むには、ユーザー インターフェイスの右上にある [フィルタ] をクリックします。[フィルタの適用 ] をクリックし、ドロップダウン メニューから 1 つ以上のフィルタを選択します。
たとえば、[フィルタの適用] をクリックした後、 の順に選択すると、モニタリング パラメータが有効に設定されている推奨のみが表示されます。
- (オプション) 生成された推奨を使用しない場合は、 をクリックして、[削除] を選択します。
- 状態が 公開の準備完了 になっている推奨の詳細の確認と管理を開始するには、推奨名のリンクをクリックするか、 をクリックして [確認と公開] を選択します。
次の図のように、[推奨] ウィザードが表示されます。[推奨事項の確認] ペインで、推奨事項の詳細が分割ビューで表示されます。ペインの上半分には、推奨事項が視覚的に表示されます。ペインの下半分には、推奨事項が表形式で表示されます。
- ペインの上半分で、視覚的に表示された推奨事項を確認します。
特定のノードとフロー矢印をクリックすると、推奨事項の詳細が表示されます。2 つのグループ ノード間のフロー矢印をポイントすると、グループ間で適用されているポリシー ルールを確認できます。また、作成されているサービスも確認できます。フロー矢印を右クリックして、対応するポリシー ルールで推奨事項をフィルタリングします。
アイコンが端に表示されているノードは、ノードが推奨グループであることを示しています。推奨グループのノードを右クリックすると、グループ名の変更、グループに属するコンピュート エンティティ メンバーの編集などを行うことができます。グループ ノードを右クリックして [フィルタ基準] を選択すると、現在のグループをフィルタとして使用し、生成された推奨の詳細を表示できます。
推奨事項の視覚的な表示で行った変更は、ペインの下半分のテーブルに反映されます。同様に、表形式の推奨事項に加えた変更も視覚的な表示に反映されます。
- [推奨事項の確認] ペインの下半分に表示される表形式の推奨事項を使用すると、推奨に含まれているルール、グループ、サービスの詳細を確認できます。推奨事項の生成に使用された未保護のトラフィック フローを確認するには、[推奨に使用されるフロー] タブを使用します。
推奨の詳細を確認して変更するには、[ルール]、[グループ]、[サービス] の各タブをクリックします。
[推奨ポリシー] セクションでは、[ルール]、[グループ]、[サービス] の各タブに数字が表示されます。これらの数字は、推奨される新しいルール、グループ、サービスの数を表します。これらは、推奨の生成時点で NSX インベントリに存在していません。たとえば、上のスクリーンショットの [サービス] タブは、推奨されるサービスが 0 になっています。グループによって使用されるサービスは、推奨の生成時点で NSX インベントリに存在しています。したがって、推奨される新しいサービスはありません。
[ルール] タブのルールに適用されたすべての変更(ルールまたはセクションの追加、削除、編集など)は、[ルール] テーブルとグラフィカル表示ペインの両方にすぐに反映されます。[ルール] テーブルで、ルール名の左側に付いている [新規] バッジは、選択されたエンティティに関連付けられている既存の DFW ルールではなく、新しく生成されたルールであることを示します。既存のルールが使用されていても、変更が加えられていない場合、そのルールの行は淡色表示になります。推奨エンジンで既存のルールを変更した場合、そのルールの行は淡色表示にならず、[新規] バッジがその横に表示されることもありません。
- [送信元] 列、[宛先] 列、または [適用先] 列の詳細を編集するには、対応する列をポイントし、編集アイコン をクリックします。
表示されるダイアログ ボックス([送信元グループの設定] など)で、新たに推奨されているグループ、または推奨エンジンで生成された既存のグループを確認します。グループを追加または削除する場合は、[保存] をクリックします。
- 推奨グループの名前を変更する場合は、[ルール] タブまたは [グループ] タブでグループ名のリンクをクリックします。[グループの詳細] ダイアログ ボックスで [グループ定義] をクリックし、[名前] テキスト ボックスに推奨グループの新しい名前を入力します。[保存] をクリックします。
- DFW ルールに該当した場合のパケットの処理方法を定義するには、[アクション] 列で [許可]、[ドロップ] または [却下] を選択します。
- DFW ルールを有効または無効にするには、[アクション] 列の右側にあるボタンを切り替えます。デフォルトでは、生成されたルールは推奨の公開時に Activated に設定されます。
- 推奨事項でグループの詳細を確認するには、[グループ] タブをクリックします。
グループを削除する前に、グループを使用しているルールがないことを確認してください。
- [メンバー] 列のリンクをクリックして、グループ推奨に設定された仮想マシン、IP、物理サーバの詳細情報を確認します。
- グループ名の横にある をクリックし、[編集] を選択してグループの推奨を変更します。
- [サービス] タブをクリックして、詳細を確認します。
- サービス名の横にある をクリックし、[編集] を選択して名前または説明を変更します。
サービスを削除する前に、サービスを使用しているルールがないことを確認してください。
- 行の右端にある歯車アイコン をクリックして、推奨事項の生成に使用される設定を確認および管理します。
- 推奨事項の公開を続行するには、[続行] をクリックします。
または、[後で続行] をクリックして変更を保存し、推奨の確認セッションを終了します。
- [優先順位と公開] ペインで、新しく推奨されるセキュリティ ポリシーが既存の DFW ルールに適用される順序を定義します。
注:
ファイアウォール セクションの再利用を選択した場合は、推奨ポリシーを移動したり、順序を変更したりすることはできません。新しい推奨ポリシーのみを並べ替えることができます。
- 新しいセキュリティ ポリシーの推奨行を選択します。
- 新しく推奨されるセキュリティ ポリシーの行の左端にある [アクション] メニュー アイコン をクリックします。
- 新しく推奨されたセキュリティ ポリシーの行を既存のセキュリティ ポリシーの行の上または下に移動するには、表示されたメニューから、[選択したポリシーをこのポリシーの上に移動] または [選択したポリシーをこのポリシーの下に移動] を選択します。
または、現在選択されているポリシーの新しい推奨行を上または下にドラッグして、目的の順序に移動することもできます。
- [公開] をクリックします。
推奨の確認を中止するには、[キャンセル] をクリックします。
- [推奨の公開] ダイアログ ボックスで、[はい] をクリックします。
- [ポリシーが公開されました] ダイアログ ボックスで、[破棄] をクリックしてダイアログ ボックスを閉じます。または、[分散ファイアウォール テーブルを表示] をクリックして、今公開したセキュリティ ポリシーを タブに表示します。
ペインに戻ります。[推奨] テーブルで、今公開した推奨の [状態] 列が 公開済み に変わります。
結果
セキュリティ ポリシーの推奨は、正常に公開されると、 タブで読み取り専用モードになります。公開した推奨ルールを表示または管理するには、 の順に移動します。
重要:
推奨ルールを公開した後も、関連するコンピュート エンティティ間で新しいフローが生成されるまで、影響するコンピュート エンティティ間のフローがオレンジ色の矢印(保護解除のフロー)で表示されます。この表示では、ホスト上で発生した時間に基づいてトラフィック フローが報告されるだけで、これらのトラフィック フローが発生した後に公開されたルール セットは反映されていません。ルール セットが公開され、新しいトラフィック フローが生成されると、新しいフローは緑色の矢印(許可されたフロー)で表示されます。