生成された NSX Intelligence の推奨事項の確認と公開

生成された NSX Intelligence の推奨事項が「公開の準備完了」状態になったら、推奨事項を確認し、必要に応じて変更を行い、公開するかどうかを決めます。

前提条件

新しい推奨事項を生成します。新しい NSX Intelligence の推奨事項の生成を参照してください。
推奨事項を公開する前に、必要な権限があることを確認します。詳細についてはNSX Intelligence でのロールベースのアクセスコントロールを参照してください。

手順

ブラウザから、必要な権限で NSX Manager (https://<nsx-manager-ip-address>) にログインします。
[プランとトラブルシューティング] > [推奨] の順にクリックします。
（オプション） リストに表示される推奨事項を絞り込むには、ユーザーインターフェイスの右上にある [フィルタ] をクリックします。[フィルタの適用 ] をクリックし、ドロップダウンメニューから 1 つ以上のフィルタを選択します。

たとえば、[フィルタの適用] をクリックした後、[基本情報] > [モニタリング] > [有効] の順に選択すると、モニタリングパラメータが有効に設定されている推奨のみが表示されます。
（オプション） 生成された推奨を使用しない場合は、をクリックして、[削除] を選択します。
状態が 公開の準備完了 になっている推奨の詳細の確認と管理を開始するには、推奨名のリンクをクリックするか、をクリックして [確認と公開] を選択します。

次の図のように、[推奨] ウィザードが表示されます。[推奨事項の確認] ペインで、推奨事項の詳細が分割ビューで表示されます。ペインの上半分には、推奨事項が視覚的に表示されます。ペインの下半分には、推奨事項が表形式で表示されます。
ペインの上半分で、視覚的に表示された推奨事項を確認します。

特定のノードとフロー矢印をクリックすると、推奨事項の詳細が表示されます。2 つのグループノード間のフロー矢印をポイントすると、グループ間で適用されているポリシールールを確認できます。また、作成されているサービスも確認できます。フロー矢印を右クリックして、対応するポリシールールで推奨事項をフィルタリングします。

アイコンが端に表示されているノードは、ノードが推奨グループであることを示しています。推奨グループのノードを右クリックすると、グループ名の変更、グループに属するコンピュートエンティティメンバーの編集などを行うことができます。グループノードを右クリックして [フィルタ基準] を選択すると、現在のグループをフィルタとして使用し、生成された推奨の詳細を表示できます。

推奨事項の視覚的な表示で行った変更は、ペインの下半分のテーブルに反映されます。同様に、表形式の推奨事項に加えた変更も視覚的な表示に反映されます。
[推奨事項の確認] ペインの下半分に表示される表形式の推奨事項を使用すると、推奨に含まれているルール、グループ、サービスの詳細を確認できます。推奨事項の生成に使用された未保護のトラフィックフローを確認するには、[推奨に使用されるフロー] タブを使用します。

推奨の詳細を確認して変更するには、[ルール]、[グループ]、[サービス] の各タブをクリックします。

[推奨ポリシー] セクションでは、[ルール]、[グループ]、[サービス] の各タブに数字が表示されます。これらの数字は、推奨される新しいルール、グループ、サービスの数を表します。これらは、推奨の生成時点で NSX インベントリに存在していません。たとえば、上のスクリーンショットの [サービス] タブは、推奨されるサービスが 0 になっています。グループによって使用されるサービスは、推奨の生成時点で NSX インベントリに存在しています。したがって、推奨される新しいサービスはありません。

[ルール] タブのルールに適用されたすべての変更（ルールまたはセクションの追加、削除、編集など）は、[ルール] テーブルとグラフィカル表示ペインの両方にすぐに反映されます。[ルール] テーブルで、ルール名の左側に付いている [新規] バッジは、選択されたエンティティに関連付けられている既存の DFW ルールではなく、新しく生成されたルールであることを示します。既存のルールが使用されていても、変更が加えられていない場合、そのルールの行は淡色表示になります。推奨エンジンで既存のルールを変更した場合、そのルールの行は淡色表示にならず、[新規] バッジがその横に表示されることもありません。
1. [送信元] 列、[宛先] 列、または [適用先] 列の詳細を編集するには、対応する列をポイントし、編集アイコンをクリックします。
  
  表示されるダイアログボックス（[送信元グループの設定] など）で、新たに推奨されているグループ、または推奨エンジンで生成された既存のグループを確認します。グループを追加または削除する場合は、[保存] をクリックします。
2. 推奨グループの名前を変更する場合は、[ルール] タブまたは [グループ] タブでグループ名のリンクをクリックします。[グループの詳細] ダイアログボックスで [グループ定義] をクリックし、[名前] テキストボックスに推奨グループの新しい名前を入力します。[保存] をクリックします。
3. DFW ルールに該当した場合のパケットの処理方法を定義するには、[アクション] 列で [許可]、[ドロップ] または [却下] を選択します。
4. DFW ルールを有効または無効にするには、[アクション] 列の右側にあるボタンを切り替えます。デフォルトでは、生成されたルールは推奨の公開時に Activated に設定されます。
5. 推奨事項でグループの詳細を確認するには、[グループ] タブをクリックします。
  
  グループを削除する前に、グループを使用しているルールがないことを確認してください。
6. [メンバー] 列のリンクをクリックして、グループ推奨に設定された仮想マシン、IP、物理サーバの詳細情報を確認します。
7. グループ名の横にあるをクリックし、[編集] を選択してグループの推奨を変更します。
8. [サービス] タブをクリックして、詳細を確認します。
9. サービス名の横にあるをクリックし、[編集] を選択して名前または説明を変更します。
  
  サービスを削除する前に、サービスを使用しているルールがないことを確認してください。
10. 行の右端にある歯車アイコンをクリックして、推奨事項の生成に使用される設定を確認および管理します。
推奨事項の公開を続行するには、[続行] をクリックします。

または、[後で続行] をクリックして変更を保存し、推奨の確認セッションを終了します。
[優先順位と公開] ペインで、新しく推奨されるセキュリティポリシーが既存の DFW ルールに適用される順序を定義します。

注：
ファイアウォールセクションの再利用を選択した場合は、推奨ポリシーを移動したり、順序を変更したりすることはできません。新しい推奨ポリシーのみを並べ替えることができます。
1. 新しいセキュリティポリシーの推奨行を選択します。
2. 新しく推奨されるセキュリティポリシーの行の左端にある [アクション] メニューアイコンをクリックします。
3. 新しく推奨されたセキュリティポリシーの行を既存のセキュリティポリシーの行の上または下に移動するには、表示されたメニューから、[選択したポリシーをこのポリシーの上に移動] または [選択したポリシーをこのポリシーの下に移動] を選択します。
  
  または、現在選択されているポリシーの新しい推奨行を上または下にドラッグして、目的の順序に移動することもできます。
[公開] をクリックします。

推奨の確認を中止するには、[キャンセル] をクリックします。
[推奨の公開] ダイアログボックスで、[はい] をクリックします。
[ポリシーが公開されました] ダイアログボックスで、[破棄] をクリックしてダイアログボックスを閉じます。または、[分散ファイアウォールテーブルを表示] をクリックして、今公開したセキュリティポリシーを [セキュリティ] > [分散ファイアウォール] > [すべてのルール] タブに表示します。

[プランとトラブルシューティング] > [推奨] ペインに戻ります。[推奨] テーブルで、今公開した推奨の [状態] 列が 公開済み に変わります。

結果

セキュリティポリシーの推奨は、正常に公開されると、[プランとトラブルシューティング] > [推奨] タブで読み取り専用モードになります。公開した推奨ルールを表示または管理するには、[セキュリティ] > [分散ファイアウォール] の順に移動します。

重要：

推奨ルールを公開した後も、関連するコンピュートエンティティ間で新しいフローが生成されるまで、影響するコンピュートエンティティ間のフローがオレンジ色の矢印（保護解除のフロー）で表示されます。この表示では、ホスト上で発生した時間に基づいてトラフィックフローが報告されるだけで、これらのトラフィックフローが発生した後に公開されたルールセットは反映されていません。ルールセットが公開され、新しいトラフィックフローが生成されると、新しいフローは緑色の矢印（許可されたフロー）で表示されます。