VMware NSX-T Manager 추가

NSX-T는 이기종 끝점 및 기술 스택을 사용하는 새로운 애플리케이션 프레임워크 및 아키텍처를 처리할 수 있도록 설계되었습니다. 이러한 환경에는 vSphere 외에도 다른 하이퍼바이저, 컨테이너, 베어메탈 및 공용 클라우드가 포함될 수 있습니다.

VMware Aria Operations for Networks는 VM이 VMware vCenter에 의해 관리되는 NSX-T 배포 환경을 지원합니다.

고려 사항

VMware Aria Operations for Networks는 VMware vCenter가 ESXi 호스트를 관리하는 NSX-T 설정만 지원합니다.
VMware Aria Operations for Networks는 NSGroup, NSX-T 방화벽 규칙, IPSet, NSX-T 논리적 포트, NSX-T 논리적 스위치, NSX-T 분산 방화벽 IPFIX 흐름 및 세그먼트, 그룹 및 정책 기반 VPN을 지원합니다.
VMware Aria Operations for Networks는 NSX-V 및 NSX-T 배포를 모두 지원합니다. 쿼리에서 NSX를 사용하는 경우 결과에 NSX-V 및 NSX-T 엔티티가 모두 포함됩니다. NSX Manager는 NSX-V 및 NSX-T Manager를 모두 나열합니다. NSX 보안 그룹은 NSX-T 및 NSX-V 보안 그룹을 모두 나열합니다. NSX 대신 NSX-V 또는 NSX-T를 사용하는 경우 해당 엔티티만 표시됩니다. 동일한 논리가 방화벽 규칙, IPSet 및 논리적 스위치와 같은 엔티티에 적용됩니다.
NSX-T 2.4 릴리스부터 VMware Aria Operations for Networks는 결과 중심 정책 문을 통해 네트워크 및 보안 구성을 간소화하고 자동화하는 NSX 선언적 정책 관리를 지원합니다.
참고: 보안 그룹에 대한 미세 세분화는 NSX 정책 데이터를 기반으로 수행됩니다. 하지만 해당하는 NSX 정책 그룹이 없으면 독립형 NS 그룹이 미세 세분화 분석에 포함됩니다. NS 그룹에 대한 자세한 내용은 NSX-T 제품 설명서를 참조하십시오.
NSX-T 페더레이션 설정에서 로컬 사용자만 추가해야 합니다.

사전 요구 사항

다음은 NSX-T Manager를 데이터 소스로 추가하기 위한 사전 요구 사항입니다.

읽기 전용 이상의 권한이 있어야 합니다.
NSX-T Manager와 연결된 모든 VMware vCenter를 VMware Aria Operations for Networks에서 데이터 소스로 추가해야 합니다.
참고: VMware vCenter를 추가하기 전에 NSX-T Manager를 추가할 경우 VMware Aria Operations for Networks가 안정화되는 데 4시간 정도 소요됩니다.
DFW(분산 방화벽)의 제외 목록에 논리적 스위치가 없는지 확인합니다. 이 목록에 논리적 스위치가 있는 경우 이러한 논리적 스위치에 연결된 모든 VM에 대해 흐름이 보고되지 않습니다.

절차

설정 > 계정 및 데이터 소스 > 소스 추가로 이동합니다.
VMware 관리자에서 VMware NSX-T Manager를 선택합니다.

사용자 자격 증명을 제공합니다.

옵션

작업

수집기 VM

드롭다운 메뉴에서 수집기 VM을 선택합니다.

IP 주소/FQDN

IPv4 관리 주소 또는 FQDN 세부 정보를 입력합니다.

참고: 현재 VMware Aria Operations for Networks는 IPv6 NSX-T 관리 주소를 지원하지 않습니다.

인증 방법

드롭다운 메뉴에서 인증 방법을 선택합니다.


사용자 이름/암호	사용자 이름과 암호를 입력합니다.
인증서(주체 ID)	인증서: 찾아보기를 클릭하고 주체 ID 인증서를 업로드합니다. 개인 키: 찾아보기를 클릭하고 주체 ID 개인 키를 업로드합니다. 참고: VMware Aria Operations for Networks는 암호화된 주체 ID 개인 키를 지원하지 않습니다.

참고:

단일 NSX-T 배포에 관리 노드가 두 개 이상 있는 경우 노드 하나만 VMware Aria Operations for Networks에 데이터 소스로 추가하거나, 해당 노드의 VIP(가상 IP)를 사용해야 합니다. 관리 노드를 둘 이상 추가하면 VMware Aria Operations for Networks가 제대로 작동하지 않을 수도 있습니다.
NSX-T를 데이터 소스로 추가할 때 VIP를 사용해야 합니다. VIP 대신 관리 노드 IP를 추가하는 경우 나중에 VIP 또는 다른 관리 노드 IP를 추가하려면 기존 데이터 소스를 삭제하고 새 VIP 또는 관리 IP를 추가해야 합니다.
수집기에서 클러스터의 각 관리 노드에 연결할 수 있는지 확인합니다.
IPFIX가 필요하지 않은 경우 사용자는 감사 수준 권한이 있는 로컬 사용자여야 합니다. 하지만 IPFIX가 필요한 경우 사용자에게 enterprise_admin, network_engineer, 또는 security_engineer 사용 권한 중 하나가 있어야 합니다.

참고: IP 주소 또는 FQDN 중 하나를 사용하여 데이터 소스를 추가해야 합니다. IP 주소와 FQDN을 모두 사용하여 데이터 소스를 추가해서는 안 됩니다.

검증을 클릭합니다.
(선택 사항) DFW IPFIX 사용을 선택하여 NSX-T에서 IPFIX 설정을 업데이트합니다. 이 옵션을 선택하면 VMware Aria Operations for Networks가 NSX-T의 DFW IPFIX 흐름을 수신합니다. IPFIX를 사용하도록 설정하는 방법에 대한 자세한 내용은 VMware NSX-T DFW IPFIX 사용 항목 참조하십시오.
참고:
- DFW IPFIX는 NSX-T의 Standard Edition에서 지원되지 않습니다.
- VMware Aria Operations for Networks는 NSX-T 스위치 IPFIX 흐름을 지원하지 않습니다.
(선택 사항) 지연 시간 메트릭 데이터를 수집하려면 지연 시간 메트릭 수집 사용 확인란을 선택합니다. 이 옵션을 선택하면 VMware Aria Operations for Networks는 NSX-T에서 VTEP-VTEP, vNIC-pNIC, pNIC-vNIC, vNIC-vNIC와 같은 지연 시간 메트릭을 수신합니다. 네트워크 지연 시간에 대한 자세한 내용은 네트워크 지연 시간 통계를 참조하십시오.
참고:
- 이 옵션은 NSX-T 2.5 이상에서만 사용할 수 있습니다.
  - VTEP-VTEP는 NSX-T 2.5 이상에서 사용할 수 있습니다.
  - vNIC-pNIC, pNIC-vNIC, vNIC-vNIC는 NSX-T 3.0.2 이상에서 사용할 수 있습니다.
- 지연 시간 메트릭 수집을 사용하도록 설정하려면 enterprise_admin 사용 권한이 있어야 합니다.
- ESXi 노드로부터 지연 데이터를 수신할 수 있도록 수집기에 포트 1991이 열려 있어야 합니다.
(선택 사항) NSX Intelligence에서 흐름 수집을 사용하도록 설정하려면 NSX Intelligence 사용 확인란을 선택합니다.
NSX Intelligence는 애플리케이션 계층 가시성을 사용하여 심층적인 패킷 검사를 제공합니다. NSX Intelligence에서 흐름을 수신한 후에는 App-ID와 같은 L7(애플리케이션 계층) 정보를 볼 수 있습니다.

참고: VMware Aria Operations for Networks에서 NSX Intelligence를 사용하도록 설정하려면 NSX Intelligence 장치를 배포해야 합니다. VMware Aria Operations for Networks는 NSX-T 3.1 이상과 NSX Intelligence 1.2를 지원합니다.
NSX Intelligence에서 흐름 정보를 처리하고 VMware Aria Operations for Networks로 전송하는 데에는 12분 이상 걸립니다.

참고: NSX Intelligence에서 흐름 수집을 사용하도록 설정하려면 VMware Aria Operations for Networks에서 DFW IPFIX를 기본 흐름 소스로 사용하므로 DFW IPFIX 사용 확인란을 선택해야 합니다.
삭제된 흐름에 대한 L7 정보는 NSX Intelligence에서 지원하지 않으므로 사용할 수 없습니다.
태그(선택 사항) 키-값 쌍 텍스트 상자에 키와 값을 입력합니다.
키-값 쌍은 텍스트일 수 있습니다. 예를 들어 Layer Access를 키-값 쌍으로 사용할 수 있습니다. 여기서 layer는 key이고 access는 값입니다.
- 연결된 모든 엔티티에 태그를 적용하려면 연결된 모든 엔티티에 위의 태그 작업 적용 확인란을 클릭합니다. 연결된 엔티티에 대한 자세한 내용은 로컬 태그 사용을 참조하십시오.
  연결된 모든 엔티티에 위의 태그 작업 적용 확인란을 지우면 할당된 태그가 연결된 모든 엔티티에서 제거됩니다.
[별칭] 텍스트 상자에 별칭을 입력합니다.
[메모(선택 사항)] 텍스트 상자에는 필요한 경우 메모를 추가할 수 있습니다.
제출을 클릭합니다.
참고: NSX-T 버전 4.x 이상의 경우 VMware Aria Operations for Networks는 페더레이션 배포 및 VMware Aria Operations for Networks Assurance and Verification에 대해 VM-VM 경로를 지원하지 않습니다.

쿼리의 예

다음은 NSX-T와 관련된 쿼리의 몇 가지 예입니다.

표 1. NSX-T에 대한 쿼리
쿼리	검색 결과
`NSX-T Manager where VC Manager=10.197.53.214`	이 특정 VC Manager가 계산 관리자로 추가된 NSX-T Manager입니다.
`NSX-T Logical Switch`	VMware Aria Operations for Networks 인스턴스에 있는 모든 NSX-T 논리적 스위치를 나열합니다. 시스템 생성 스위치인지 사용자 생성 스위치인지에 대한 세부 정보를 포함합니다.
`NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch'`	특정 NSX-T 논리적 스위치인 DB-Switch에 속하는 NSX-T 논리적 포트를 나열합니다.
`VMs where NSX-T Security Group = 'Application-Group'` 또는 `VMs where NSGroup = ‘Application-Group’`	특정 보안 그룹인 Application-Group의 모든 VM을 나열합니다.
`NSX-T Firewall Rule where Action='ALLOW'`	해당 작업 집합이 ALLOW로 설정된 모든 NSX-T 방화벽 규칙을 나열합니다.
`NSX-T Firewall Rule where Destination Security Group = ‘CRM-Group’`	CRM-Group이 대상 보안 그룹인 방화벽 규칙을 나열합니다. 결과에는 직접 대상 보안 그룹과 간접 대상 보안 그룹이 모두 포함됩니다.
`NSX-T Firewall Rule where Direct Destination Security Group = ‘CRM-Group’`	CRM-Group이 대상 보안 그룹인 방화벽 규칙을 나열합니다. 결과에는 직접 대상 보안 그룹만 포함됩니다.
`VMs where NSX-T Logical Port = ‘App_Port-Id-1’`	특정 NSX-T 논리적 포트가 있는 모든 VM을 나열합니다.
`NSX-T Transport Zone`	VLAN 및 오버레이 전송 영역과 전송 노드 유형을 포함하여 관련 세부 정보를 나열합니다. 참고: VMware Aria Operations for Networks는 KVM을 데이터 소스로 지원하지 않습니다.
`NSX-T Router`	Tier 1 및 Tier 0 라우터를 나열합니다. 결과에 표시된 라우터를 클릭하면 NSX-T Edge 클러스터 및 HA 모드를 비롯한 라우터와 관련된 추가 세부 정보가 표시됩니다.

표 2. NSX 정책에 대한 쿼리
`NSX Policy Segment`	VMware Aria Operations for Networks 인스턴스에 있는 모든 NSX 정책 세그먼트를 나열합니다.
`NSX Policy Manager`	VMware Aria Operations for Networks 인스턴스에 있는 모든NSX Policy Manager를 나열합니다.
`NSX Policy Group`	VMware Aria Operations for Networks 인스턴스에 있는 모든 NSX 정책 그룹을 나열합니다.
`NSX Policy Firewall`	VMware Aria Operations for Networks 인스턴스에 있는 모든 NSX 정책 방화벽을 나열합니다.
`NSX Policy Firewall Rule`	VMware Aria Operations for Networks 인스턴스에 있는 모든 NSX 정책 방화벽 규칙을 나열합니다.
`NSX Policy Firewall Rule where Action = 'ALLOW'`	해당 작업 집합이 ALLOW로 설정된 모든 NSX 정책 방화벽 규칙을 나열합니다.
`NSX Policy Based VPN`	VMware Aria Operations for Networks 인스턴스에 있는 모든 NSX 정책 기반 VPN을 나열합니다.

참고: NSX-T 2.4와 VMware Cloud (VMC)가 VMware Aria Operations for Networks에 데이터 소스로 추가된 경우, NSX-T 엔티티를 가져오려면 쿼리에 SDDC type = ONPREM 필터를 추가해야 합니다. 예: NSX Policy Based VPN where Tier0 = ‘’ and SDDC Type = ‘ONPREM’.

NSX-T 메트릭에 대한 지원

다음 표에는 현재 NSX-T 메트릭을 지원하는 VMware Aria Operations for Networks 엔티티와 해당 엔티티 대시보드에 이러한 메트릭을 표시하는 위젯이 나와 있습니다.


엔티티	엔티티 대시보드의 위젯	지원되는 NSX-T 메트릭
논리적 스위치	논리적 스위치 패킷 메트릭 논리적 스위치 바이트 메트릭	`Multicast and Broadcast Rx` `Multicast and Broadcast Tx` `Unicast Rx` `Unicast Tx` `Dropped Rx` `Dropped Tx` `Rx Packets (Total)` `Tx Packets (Total)`
논리적 포트	논리적 포트 패킷 메트릭 논리적 포트 바이트 메트릭	`Multicast and Broadcast Rx` `Multicast and Broadcast Tx` `Unicast Rx` `Unicast Tx` `Rx Packets (Total)` `Tx Packets (Total)`
라우터 인터페이스	라우터 인터페이스 메트릭	`Rx Packets` `Tx Packets` `Dropped Rx Packets` `Dropped Tx Packets` `Rx Bytes` `Tx Bytes`
방화벽 규칙	방화벽 규칙 메트릭	`Hit Count` `Flow Bytes` `Flow Packets`

다음은 NSX-T 메트릭에 대한 몇 가지 샘플 쿼리입니다.

nsx-t logical switch where Rx Packet Drops > 0
이 쿼리는 손실된 수신 패킷의 수가 0보다 큰 모든 논리적 스위치를 나열합니다.
nsx-t logical port where Tx Packet Drops > 0
이 쿼리는 손실된 전송 패킷의 수가 0보다 큰 모든 논리적 포트를 나열합니다.
top 10 nsx-t firewall rules order by Connection count
이 쿼리는 연결 수(Hit Count)를 기반으로 상위 10개의 방화벽 규칙을 나열합니다.

NSX-T에 대한 보안 계획

NSX-T 네트워크에 대한 보안을 계획하기 위해 NSX-T 계층2 네트워크로 범위를 선택하고 다음 쿼리를 사용할 수 있습니다.

plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’

또한 다음의 단계를 수행하여 동일한 결과를 얻을 수 있습니다.

왼쪽 탐색에서 계획 및 평가 > 보안 계획을 선택합니다.
드롭다운 메뉴에서 범위로 NSX-T L2 네트워크 또는 NSX 정책 세그먼트를 선택합니다.

참고: NSX-T L2 네트워크 및 NSX 정책 세그먼트 같은 NSX-T 관련 엔티티를 범위에서 사용할 수 있습니다. 보안 계획을 위해 이러한 NSX-T 관련 엔티티를 사용할 수 있습니다.