分散ファイアウォール ルールは、ユーザー インターフェイスと API のどちらでも作成、更新、削除できます。

セキュリティ管理者は、セキュリティ ポリシー操作の認識時間を確認する必要があります。認識時間は、トランスポート ノードでセキュリティ ポリシー/ルールが認識されるのにかかった時間です。セキュリティ ポリシー/ルールに対する作成/更新/削除操作は、ルールがどこに適用されているかに基づいてトランスポート ノードで認識されます。

ユーザー インターフェイスのルール認識の状態

分散ファイアウォール ポリシーおよびゲートウェイ ファイアウォール ポリシーのルール認識の状態を表示するには、[セキュリティ] > [分散ファイアウォール] または [セキュリティ][ ゲートウェイ ファイアウォール] の順に移動し、トランスポート ノードによって報告されたルール認識の状態を確認します。

ルール認識の状態は、次の 4 つの値で示されます。
  • 成功
  • エラー
  • 進行中
  • 不明

API でのルール認識の状態

ルールを作成し、関連するノードで適用されている場合、次のポリシー マネージャ API を使用して、認識の状態を確認できます。

NSX 4.1.1 には、次の 2 つの新しいフィールドがあります。
  • publish_time:公開状態がいつ更新されたかを追跡します。インテントが更新されるたびに、トランスポート ノードにプッシュされた公開状態が状態トラッカーによって変更されます。これはポーリング メカニズムに基づいているため、インテントがデータ パスで公開された正確な時間ではありません。-1 の値は、公開がまだ進行中であるか、ランタイム状態が「不明」で使用できない状態であることを示します。1 台以上のホストがダウンしていて、それらのホストにルールを送信できなかった場合、ランタイム状態は「不明」になることがあります。ホストが起動すると、ランタイム状態は「成功」に変わりますが、publish_time には前回の認識時間の値が表示されます。この後の新しい構成の変更では、publish_time の適切な値の反映が開始されます。
  • time_taken_for_realization:データ パスへのインテントの認識にかかったおおよその時間。実際の所要時間は、ここで報告された時間よりも短い場合があります。-1 の値は、公開がまだ進行中であるか、ランタイム ステータスが「不明」であるため使用できない状態であることを示します。1 台以上のホストがダウンしていて、それらのホストにルールを送信できなかった場合、ランタイム状態は「不明」になることがあります。ホストが起動すると、ランタイム状態は「成功」に変わりますが、time_taken_for_realization には前回の認識時間の値が表示されます。この後の新しい構成の変更では、time_taken_for_realization の適切な値の反映が開始されます。
次はその例です。
"publish_status": "REALIZED",
    "publish_time":  1668599137109, <====================== Newly added
    "time_taken_for_realization": 1563 <============ in milliseconds 
    "intent_version": "1"

ポリシー マネージャで作成されたすべてのエンティティの認識状態を確認するには、GET: https://<Policy Appliance IP>/policy/api/v1/infra/realized-state/realized-entities コマンドを実行します。オブジェクトの認識状態は「認識済み」、「runtime_status」は「成功」になっている必要があります

たとえば、ポリシー マネージャ レベルでセキュリティ ポリシーの <e2d4c010-96c8-11e9-8c0a-f7581ab92530> の認識状態を確認するクエリは次のとおりです。GET https://10.172.121.219/policy/api/v1/infra/realized-state/realized-entities?intent_path=/infra/domains/default/security-policies/f96f27c0-92b8-11e9-96af-b5e746a259e7/rules/e2d4c010-96c8-11e9-8c0a-f7581ab92530

{
"results": [
{
"extended_attributes": [],
"entity_type": "RealizedFirewallRule",
"intent_paths": [
"/infra/domains/default/security-policies/1-communication-560"
],
"resource_type": "GenericPolicyRealizedResource",
"id": "default.1-communication-560.3-communication-110",
"display_name": "default.1-communication-560.3-communication-110",
"description": "default.1-communication-560.3-communication-110",
"path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560/firewall-rules/default.1-communication-560.3-communication-110",
"relative_path": "default.1-communication-560.3-communication-110",
"parent_path": "/infra/realized-state/enforcement-points/default/firewalls/firewall-sections/default.1-communication-560",
"intent_reference": [],
"realization_specific_identifier": "1028",
"state": "REALIZED",  
"alarms": [],
"runtime_status": "IN_PROGRESS",
"_create_user": "system",
"_create_time": 1561673625030,
"_last_modified_user": "system",
"_last_modified_time": 1561674044534,
"_system_owned": false,
"_protection": "NOT_PROTECTED",
"_revision": 6
}
],
"result_count": 1
}

ハイパーバイザーのセクションにあるすべてのルールのセクションの全体的な認識状態を確認するには、次のコマンドを実行します。GET https://<policy-mgr>/policy/api/v1/infra/realized-state/status?include_enforced_status=true&intent_path=<Security_policy_path>

統合の状態は、次の 4 つの値で示されます。
  • 成功
  • エラー
  • 進行中
  • 不明
表 1. 統合の状態
トランスポート ノード 1 の全体的な状態 トランスポート ノード 2 の全体的な状態 統合の状態
エラー エラー エラー
エラー IN_PROGRESS エラー
エラー 不明 エラー
IN_PROGRESS IN_PROGRESS IN_PROGRESS
IN_PROGRESS 不明 IN_PROGRESS
成功 成功 成功
成功 エラー エラー
成功 IN_PROGRESS IN_PROGRESS
成功 不明 不明
不明 不明 不明