권장 사항 분석을 시작할 때 선택한 트래픽 범위를 기준으로, NSX Intelligence 권장 사항 엔진은 지정된 권장 사항 경계의 계산 엔티티로부터/계산 엔티티 간의 마이크로 세분화되지 않은 수신(인바운드), 송신(아웃바운드) 또는 애플리케이션 내부 트래픽 흐름을 선택합니다.

NSX Intelligence 권장 사항 엔진은 이러한 트래픽 흐름이 발생한 서비스(포트 또는 프로토콜 기준)별로 흐름을 집계합니다. 특정 서비스에 대한 각 흐름의 소스와 대상은 함께 그룹화됩니다. 그룹화 생성 시 NSX Intelligence 권장 사항 엔진은 일치 비율에 대해 사용자 지정 임계값을 사용하고 그룹의 기존 IPSet 범위에 속하는 그룹을 포함하여 NSX 인벤토리에 있는 그룹을 재사용하려고 시도합니다.

NSX Intelligence 권장 사항 엔진이 설정된 그룹화 임계값을 충족할 수 있는 기존 그룹을 찾지 못하면 권장할 새 그룹을 생성합니다.

권장 사항을 생성할 때 NSX Intelligence 권장 사항 엔진은 분석할 트래픽 옵션에 지정한 트래픽 흐름 유형을 고려합니다. 수신 트래픽 흐름 유형을 선택한 경우 애플리케이션 경계 외부에서 시작되는 트래픽 흐름만 고려됩니다. 모든 트래픽, 수신 및 송신 트래픽 또는 수신 및 애플리케이션 내부 트래픽 중에서 트래픽 흐름 유형을 선택한 경우 NSX Intelligence 권장 사항 엔진은 해당 방향의 트래픽 흐름을 모두 집계하여 서비스를 기준으로 DFW 규칙 권장 사항을 형성합니다.

예를 들어, 다음 흐름을 집계합니다.

  • VM1 및 VM2를 사용하여 경계가 설정됨

  • 그룹: 멤버로 VM1 및 VM2가 있는 CG

  • 그룹: 멤버로 VM3 및 VM4가 있는 G3

  • 일치 임계값을 50%로 가정

세분화되지 않은 트래픽 흐름은 다음과 같습니다.

  • SSH를 사용하여 VM3에서 VM1로

  • SSH를 사용하여 VM1에서 VM2로

다음은 SSH에 대한 단일 규칙인 결과 마이크로 세분화 권장 사항입니다.

소스 그룹

대상 그룹

서비스

적용 대상 그룹

G3 + CG(기존 그룹 재사용)

멤버로 VM1 및 VM2가 있는 CG

SSH

멤버로 VM1 및 VM2가 있는 그룹 CG

트래픽 흐름이 개인 IP 주소의 구성된 마스크 외부에서 시작되는 경우 개인 IP 접두사 목록에 포함되지 않은 IP 주소와의 송신 및 수신 흐름은 "임의"로 표시됩니다.

다음과 같은 세분화되지 않은 흐름을 고려합니다.

  • SSH를 사용하여 VM1로의 임의 흐름

  • SSH를 사용하는 VM1에서 VM3로의 흐름

  • VM1 및 VM2를 사용하여 경계가 설정됨

  • 정의된 그룹은 멤버로 VM1 및 VM2가 있는 CG임

이 경우 수신 및 송신 흐름이 집계되면 SSH를 사용하는 VM1에서 VM2 및 VM3으로의 임의 흐름이 됩니다.

이로 인해 다음과 같은 마이크로 세분화 규칙이 생성됩니다.

소스

대상

서비스

적용 대상

임의

CG의 [VM1], G3의 [VM3]

SSH

CG [VM1, VM2]
참고:

모든 규칙은 항상 권장 사항을 생성하기 전에 지정한 권장 사항 경계의 멤버에만 적용됩니다. 집계가 사용되는 이유는 서비스를 기반으로 발생할 DFW 규칙의 수를 줄이기 위한 것입니다.

기존 DFW 섹션에 대한 권장 사항

권장 사항의 경계 범위에서 선택한 엔티티가 기존 분산 방화벽 섹션과 연결되어 있고 분산 FW 섹션 선택 대화상자에서 기존 섹션 사용 옵션을 선택한 경우 권장 사항 분석을 수행할 때 NSX Intelligence 권장 사항 엔진에 기존 DFW 섹션이 포함됩니다. DFW 권장 사항에는 지정된 DFW 섹션의 범위와 일치하는 계산 워크로드에서 유출된 흐름을 적절하게 마이크로 세분화하도록 기존 규칙의 소스 및 대상 필드가 업데이트됩니다.

이전에는 지원에서 기존 DFW 섹션의 기존 L4 규칙에 대한 업데이트만 제공했습니다. NSX Intelligence 4.1.1부터는 지정한 권장 사항 경계 범위의 엔티티와 연결된 기존 DFW 섹션에서 기존 L7 규칙을 업데이트하는 데도 지원을 사용할 수 있습니다.

이 새 기능을 사용하려면 새 권장 사항 시작 대화상자의 권장 사항 서비스 유형 섹션에서 L7 컨텍스트 프로파일 옵션을 선택해야 합니다.

다음 정보는 L7 컨텍스트 프로파일 옵션을 선택할 때 발생하는 상황에 대해 설명합니다. NSX Intelligence 권장 사항 엔진은 규칙 또는 그룹을 생성하거나, 유출된 흐름이 감지될 때 기존 규칙을 수정합니다.
  1. 모든 기존 규칙은 유출된 흐름을 일치시키는 데 사용되며 NSX Intelligence 권장 사항 엔진은 해당 흐름을 규칙의 동일한 port, protocolapp_id 값과 일치시키려고 시도합니다. app_id가 0이 아닌 흐름 샘플링은 누수된 흐름의 일부로 유지됩니다. app_id 값이 0이거나 비어 있는 흐름의 샘플링은 필터링됩니다.
  2. 규칙은 소스 또는 대상이 일치할 때 사용됩니다. 기본 설정은 업데이트해야 하는 한쪽에서만 규칙을 사용하는 것입니다. 아무것도 찾을 수 없으면 소스 및 대상을 모두 업데이트해야 하는 규칙이 선택됩니다.
    1. app_id 값이 있는 흐름의 경우 기존 규칙이 일치된 후 선택되면 L7 규칙이 사용됩니다.
    2. app_id 값이 없는 흐름의 경우 기존 규칙이 일치된 후 선택되면 규칙에 컨텍스트 프로파일이 포함되어서는 안 됩니다. NSX Intelligence 권장 사항 작업은 이 규칙의 소스 및 대상만 변경합니다.
  3. 기존 규칙을 찾을 수 없으면 새 규칙이 생성됩니다.
    1. app_id 값이 있는 흐름에서는, 흐름과 연결된 app_id 값을 사용하여 컨텍스트 프로파일 세부 정보를 식별할 수 있는 경우 컨텍스트 프로파일이 포함된 새 규칙이 생성됩니다. 그렇지 않은 경우에는 NSX Intelligence 권장 사항 엔진이 새 컨텍스트 프로파일을 생성하지 않기 때문에 새 L4 규칙이 생성됩니다.
    2. app_id 값이 없는 흐름의 경우 NSX Intelligence 권장 사항 엔진은 흐름과 일치하는 새 L4 규칙을 생성합니다.
  4. NSX Intelligence 권장 사항 엔진에서 수정이 필요한 기존 규칙을 찾으면(즉, 일치하는 소스/대상 측을 찾음) 누수된 흐름이 감지되는 계산이 포함된 그룹(새 그룹 또는 재사용된 그룹)을 포함하도록 일치하지 않는 측이 수정됩니다.
  5. 규칙의 일치하지 않는 측면은 다음 선택 조건에 따라 그룹을 포함하도록 수정됩니다.
    1. 유출된 VM의 최대 일치를 찾아 그룹이 선택됩니다. 흐름에 포함되지 않은 다른 계산이 그룹에 포함될 수 있는 부분 일치일 수 있습니다. 여러 그룹을 선택할 수 있습니다. 그룹은 더 이상 그룹을 선택할 수 없거나 모든 누수가 적용될 때까지 가장 높은 일치 비율, 대부분의 일치 수, 최신 생성 시간(최근에 생성된 그룹 우선 순위)에 의해 선택됩니다.
    2. 계산 엔티티가 어떤 그룹과도 연결되어 있지 않으면 해당 계산 엔티티를 수용하기 위해 새 그룹이 생성됩니다. 계산 엔티티가 기존 그룹에 있더라도 일치 비율이 지정된 그룹 재사용 임계값보다 작은 경우 계산 엔티티에 대해 새 그룹이 생성됩니다.
  6. 선택한 그룹을 소스 또는 대상에 포함하도록 규칙이 수정되었습니다.
  7. 누수된 흐름이 감지되지 않은 경우( 즉, 현재 기존 규칙이 선택한 기간 동안 모든 트래픽 흐름을 포함함) 새 DFW 규칙이 권장되지 않습니다.
  8. 기존 DFW 규칙을 수정해야 하며 컨텍스트 프로파일이 포함된 L7 규칙인 경우 컨텍스트 프로파일은 이 DFW 규칙에 유지됩니다.
참고:

입력으로 제공된 DFW 섹션에 이미 많은 규칙이 있고 권장되는 새 DFW 규칙이 섹션당 1000개 규칙 제한을 초과할 수 있는 경우 NSX Intelligence 권장 사항 작업 상태가 FAILED로 설정됩니다. 따라서 DFW 규칙 권장 사항을 게시할 수 없습니다. 권장 규칙을 추가할 수 있는 충분한 공간이 있는 섹션을 제공해야 합니다.