分散ファイアウォール ルールは、ユーザー インターフェイスと API のどちらでも作成、更新、削除できます。
セキュリティ管理者は、セキュリティ ポリシー操作の認識時間を確認する必要があります。認識時間は、トランスポート ノードでセキュリティ ポリシー/ルールが認識されるのにかかった時間です。セキュリティ ポリシー/ルールに対する作成/更新/削除操作は、ルールがどこに適用されているかに基づいてトランスポート ノードで認識されます。
ユーザー インターフェイスのルール認識の状態
分散ファイアウォール ポリシーおよびゲートウェイ ファイアウォール ポリシーのルール認識の状態を表示するには、[セキュリティ][ ゲートウェイ ファイアウォール] の順に移動し、トランスポート ノードによって報告されたルール認識の状態を確認します。
または- 成功
- エラー
- 進行中
- 不明
API でのルール認識の状態
ルールを作成し、関連するノードで適用されている場合、次のポリシー マネージャ API を使用して、認識の状態を確認できます。
- publish_time:公開状態がいつ更新されたかを追跡します。インテントが更新されるたびに、トランスポート ノードにプッシュされた公開状態が状態トラッカーによって変更されます。これはポーリング メカニズムに基づいているため、インテントがデータ パスで公開された正確な時間ではありません。-1 の値は、公開がまだ進行中であるか、ランタイム状態が「不明」で使用できない状態であることを示します。1 台以上のホストがダウンしていて、それらのホストにルールを送信できなかった場合、ランタイム状態は「不明」になることがあります。ホストが起動すると、ランタイム状態は「成功」に変わりますが、publish_time には前回の認識時間の値が表示されます。この後の新しい構成の変更では、publish_time の適切な値の反映が開始されます。
- time_taken_for_realization:データ パスへのインテントの認識にかかったおおよその時間。実際の所要時間は、ここで報告された時間よりも短い場合があります。-1 の値は、公開がまだ進行中であるか、ランタイム ステータスが「不明」であるため使用できない状態であることを示します。1 台以上のホストがダウンしていて、それらのホストにルールを送信できなかった場合、ランタイム状態は「不明」になることがあります。ホストが起動すると、ランタイム状態は「成功」に変わりますが、time_taken_for_realization には前回の認識時間の値が表示されます。この後の新しい構成の変更では、time_taken_for_realization の適切な値の反映が開始されます。
"publish_status": "REALIZED", "publish_time": 1668599137109, <====================== Newly added "time_taken_for_realization": 1563 <============ in milliseconds "intent_version": "1"
ポリシー マネージャで作成されたすべてのエンティティの認識状態を確認するには、GET: https://<Policy Appliance IP>/policy/api/v1/infra/realized-state/realized-entities
コマンドを実行します。オブジェクトの認識状態は「認識済み」、「runtime_status」は「成功」になっている必要があります
たとえば、ポリシー マネージャ レベルでセキュリティ ポリシーの <e2d4c010-96c8-11e9-8c0a-f7581ab92530>
の認識状態を確認するクエリは次のとおりです。GET https://10.172.121.219/policy/api/v1/infra/realized-state/realized-entities?intent_path=/infra/domains/default/security-policies/f96f27c0-92b8-11e9-96af-b5e746a259e7/rules/e2d4c010-96c8-11e9-8c0a-f7581ab92530
{ "results": [ { "extended_attributes": [], "entity_type": "RealizedFirewallRule", "intent_paths": [ "/infra/domains/default/security-policies/1-communication-560" ], "resource_type": "GenericPolicyRealizedResource", "id": "default.1-communication-560.3-communication-110", "display_name": "default.1-communication-560.3-communication-110", "description": "default.1-communication-560.3-communication-110", "path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560/firewall-rules/default.1-communication-560.3-communication-110", "relative_path": "default.1-communication-560.3-communication-110", "parent_path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560", "intent_reference": [], "realization_specific_identifier": "1028", "state": "REALIZED", "alarms": [], "runtime_status": "IN_PROGRESS", "_create_user": "system", "_create_time": 1561673625030, "_last_modified_user": "system", "_last_modified_time": 1561674044534, "_system_owned": false, "_protection": "NOT_PROTECTED", "_revision": 6 } ], "result_count": 1 }
ハイパーバイザーのセクションにあるすべてのルールのセクションの全体的な認識状態を確認するには、次のコマンドを実行します。GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?include_enforced_status=true&intent_path=<Security_policy_path>
- 成功
- エラー
- 進行中
- 不明
トランスポート ノード 1 の全体的な状態 | トランスポート ノード 2 の全体的な状態 | 統合の状態 |
---|---|---|
エラー | エラー | エラー |
エラー | IN_PROGRESS | エラー |
エラー | 不明 | エラー |
IN_PROGRESS | IN_PROGRESS | IN_PROGRESS |
IN_PROGRESS | 不明 | IN_PROGRESS |
成功 | 成功 | 成功 |
成功 | エラー | エラー |
成功 | IN_PROGRESS | IN_PROGRESS |
成功 | 不明 | 不明 |
不明 | 不明 | 不明 |