NSX Intelligence 권장 사항 기능은 애플리케이션을 마이크로 크기만큼 세그먼트화하는 데 도움이 되는 권장 사항을 제공합니다.

NSX Intelligence 권장 사항을 생성하면 애플리케이션에 대한 보안 정책, 정책 보안 그룹 및 서비스 권장 사항이 포함됩니다. NSX Intelligence에서는 NSX 환경의 VM(가상 시스템)과 물리적 서버 간에 발생하는 통신 트래픽 패턴을 기준으로 정책 권장 사항을 생성합니다.

그룹이나 100개의 VM과 물리적 서버 또는 그룹, VM 및 물리적 서버 조합 또는 기존 보안 정책으로 이루어진 입력 엔티티를 선택하여 NSX Intelligence 권장 사항을 생성할 수 있습니다. 입력으로 선택할 수 있는 VM 및 물리적 서버의 총 수는 해당 엔티티 중 100개를 초과할 수 없습니다. 그룹, VM 또는 물리적 서버를 포함하는 입력에서 사용할 수 있는 유효한 VM 및 물리적 서버의 총 수는 250개 입력 엔티티를 초과할 수 없습니다.

예를 들어 권장 사항 입력 엔티티의 일부로 50개의 VM 및 50개의 물리적 서버를 선택하는 경우에는 150개 이하의 계산 멤버가 조합된 그룹만 선택할 수 있습니다.

중요:

정책 모드에서 생성된 보안 그룹에 관해서만 새 권장 사항을 생성할 수 있습니다. NSX Intelligence 기능에서 보안 그룹에 대한 권장 사항 분석을 시작하려면 보안 그룹에 지원되는 멤버 유형 중 하나 이상이 있어야 합니다. 지원되는 멤버 유형에는 가상 시스템, 물리적 서버, VIF(가상 네트워크 인터페이스), 논리적 포트 및 논리적 스위치가 포함됩니다. 보안 그룹에 지원되는 멤버 유형이 하나 이상 있는 경우 권장 사항 분석을 계속할 수 있지만 권장 사항 분석 중에는 지원되지 않는 멤버 유형이 고려되지 않습니다.

NSX Intelligence 사용자 인터페이스를 사용하여 여러 가지 방법으로 권장 사항을 생성할 수 있습니다. 다음 절차에서는 사용할 수 있는 방법에 대해 설명합니다.

사전 요구 사항

  • NSX Application Platform 3.2 이상에서 NSX Intelligence 3.2 이상을 활성화합니다. "VMware NSX Intelligence 활성화 및 업그레이드" 3.2 이상 문서를 참조하십시오.

  • 권장 사항을 생성하는 데 필요한 권한이 있는지 확인합니다. 자세한 내용은 NSX Intelligence의 역할 기반 액세스 제어 항목을 참조하십시오.

프로시저

  1. 웹 브라우저에서 필요한 권한으로 https://<nsx-manager-ip-address>에서 NSX Manager에 로그인합니다.
  2. 다음 방법의 하나를 사용하여 새 권장 사항을 생성합니다.

    시작할 위치

    다음 단계

    계획 및 문제 해결 > 권장 사항을 선택합니다.

    새 권장 사항 시작을 클릭합니다.

    계획 및 문제 해결 > 검색 및 작업 수행을 선택합니다.
    1. 흐름 표시줄 왼쪽에 있는 권장 사항 아이콘 권장 사항 아이콘을 클릭합니다.

    2. 권장 사항 시작을 선택합니다.

    단일 그룹 또는 여러 그룹에 대한 권장 사항을 보려면 계획 및 문제 해결 > 검색 및 작업 실행을 선택합니다.

    1. 보안 선택 항목 보기 영역에서 그룹 보기가 선택되어 있는지 확인합니다.

    2. 권장 사항을 생성하려는 그룹의 노드를 마우스 오른쪽 버튼으로 클릭합니다. 또는 선택 아이콘 선택 아이콘을 사용하여 그룹 노드를 하나 이상 선택합니다.

    3. 선택한 노드 중 하나를 마우스 오른쪽 버튼으로 클릭하고 드롭다운 메뉴에서 권장 사항 시작을 선택합니다.

      또는 선택 아이콘 선택 아이콘을 사용하여 항목을 선택한 경우에는 선택됨 패널에서 권장 사항 아이콘 권장 사항 아이콘을 클릭합니다.

    VM 또는 물리적 서버에 대한 권장 사항을 보려면 계획 및 문제 해결 > 검색 및 작업 수행을 선택합니다.

    하나 이상의 VM 또는 물리적 서버를 선택하거나 두 가지를 조합하여 선택하십시오.

    1. 보안 보기 선택 영역에서 그룹 옆의 아래쪽 화살표를 클릭하고 계산을 선택합니다.

    2. 모두를 클릭하고 [사용 가능한 항목] 목록에서 특정 VM이나 물리적 서버 또는 둘 다의 조합을 선택합니다. 또는 모두 > 모든 유형 표시를 클릭하고 드롭다운 메뉴에서 VM 또는 물리적 서버를 선택합니다.

    3. 적용을 클릭합니다.

    4. 흐름 표시줄 왼쪽에 있는 권장 사항 아이콘 권장 사항 아이콘을 클릭합니다.

    5. 필터링된 컴퓨터에 대한 권장 사항 시작을 선택합니다.

      또는 선택 아이콘 선택 아이콘을 사용하여 계산 엔티티 노드를 선택한 경우 선택됨 패널에서 권장 사항 아이콘 권장 사항 아이콘을 클릭합니다.
    다음 이미지는 새 권장 사항을 시작할 때 사용되는 기본값을 보여줍니다.
    [고급 옵션] 섹션이 확장된 [새 권장 사항 시작] 대화상자 이미지

  3. 새 권장 사항 시작 대화상자에서 권장 사항 이름 텍스트 상자의 기본값을 변경합니다.

    마이크로 세분화가 수행되는 애플리케이션을 반영하는 이름을 지정합니다. 이 이름은 권장 사항 분석 중에 생성된 권장 그룹 및 규칙 이름을 생성할 때 사용됩니다.

  4. 권장 사항에 대한 정보를 보다 쉽게 떠올릴 수 있도록 설명 텍스트 상자의 기본값을 변경합니다.
  5. 보안 정책 권장 사항에 대한 경계로 사용할 VM 또는 물리적 서버를 정의하거나 수정합니다.
    1. 범위 내 선택된 엔티티 섹션에서 엔티티 선택을 클릭합니다. 새 권장 사항을 시작하기 전에 그룹, VM 또는 물리적 서버를 이미 선택한 경우 선택한 엔티티 수에 대한 링크를 클릭하여 현재 선택을 수정할 수 있습니다.
    2. 엔티티 선택 대화상자에서 포함하려는 하나 이상의 그룹을 선택하려면 그룹을 클릭합니다. 분석의 경계로 사용할 VM 또는 물리적 서버를 선택하려면 VM 탭 또는 물리적 서버 탭을 클릭하고 원하는 항목을 선택합니다.

      그룹 및 최대 100개의 VM 또는 물리적 서버를 선택할 수 있지만 권장 사항 경계에 사용할 총 250개 이상의 유효 계산 엔티티가 없습니다. 포함하지 않을 엔티티를 선택 취소합니다. 필터를 클릭하고 선택하려는 그룹, VM 또는 물리적 서버를 필터링하는 데 사용할 특성을 선택할 수도 있습니다. 현재 선택된 엔티티를 선택 취소하려면 지우기를 클릭합니다.

    3. 저장을 클릭합니다.
    4. (선택 사항) 시스템에서 이전 단계에서 선택한 그룹과 연결된 기존 DFW(분산 방화벽) 섹션이 있는 경우 분산 FW 섹션 선택 대화상자가 표시됩니다. 기존 L4 또는 L7 DFW(분산 방화벽) 섹션을 사용하려면 목록에서 하나를 선택합니다. 시스템에서 새 섹션을 생성하려면 새 섹션 생성을 선택합니다.
    5. (선택 사항) 저장을 클릭합니다.

      선택한 엔티티 수를 나타내는 링크가 포함된 범위 내 선택된 엔티티 텍스트 상자가 업데이트됩니다. 선택 항목을 수정하려면 숫자 링크를 클릭합니다.

      권장 사항을 분석하는 동안 기존 분산 DFW 섹션을 사용하도록 선택한 경우 범위 내 선택된 엔티티 텍스트 상자 아래에 표시됩니다.

  6. (선택 사항) 시간 범위 텍스트 상자에 표시되는 기본값을 변경합니다.

    기본값은 최근 1개월입니다. 선택한 VM 또는 물리적 서버 또는 선택한 시간 범위 동안 VM 또는 물리적 서버 그룹 간에 발생한 트래픽 흐름은 권장 사항 분석 중에 사용됩니다. 선택할 수 있는 다른 시간 범위 값은 지난 1시간, 지난 12시간, 지난 24시간, 지난 1주일 또는 지난 2주일입니다.

  7. 고급 옵션 섹션을 확장합니다.
  8. 고급 옵션 하위 섹션에서 필요에 따라 할당된 기본값을 수정합니다.

    기존 DFW 섹션을 사용하지 않는 경우 할당된 기본값을 수정할 수 있습니다. 기존 DFW 섹션을 사용하도록 선택한 경우 이 섹션에 표시된 값은 기존 DFW 섹션에서 가져옵니다.

    1. 분석할 트래픽 드롭다운 메뉴에서, 권장 사항 분석에서 고려할 트래픽 흐름 유형을 선택합니다. 기본값은 All Traffic입니다.

      • 수신 및 송신 트래픽 - 애플리케이션 경계 내에서 경계 외부로, 애플리케이션 경계 외부에서 경계 내부로 진행되는 모든 트래픽 흐름 유형이 고려됩니다.

      • 수신 트래픽 - 애플리케이션 경계 외부에서 시작된 트래픽 흐름이 고려됩니다.

      • 모든 트래픽 - 모든 아웃바운드, 인바운드 및 애플리케이션 내 트래픽 흐름 유형이 고려됩니다.

      • 수신 및 애플리케이션 내 트래픽 - 애플리케이션 경계 외부에서 시작되는 모든 트래픽 흐름 유형 및 애플리케이션 내 트래픽이 고려됩니다.

    2. 프로토콜 및 포트 기준 섹션에서 제외 또는 임의 항목 일치를 선택하여 텍스트 상자에 입력한 포트, 포트 범위 또는 프로토콜을 제외할지 아니면 일치시킬지를 지정합니다.

      기본적으로 지정된 시간 범위 동안 환경의 알려진 모든 포트 및 프로토콜에서 발생한 트래픽 흐름은 권장 사항 분석 중에 사용됩니다. 권장 사항 분석 중에 사용할 트래픽 흐름을 필터링하려면 단일 포트, 포트 범위 또는 트래픽 흐름이 포함된 프로토콜을 최대 15개 항목으로 혼합하여 입력합니다. 예: 88, 90-98, TCP:100-111, UDP.

    3. 흐름 제외 섹션에서 권장 사항 분석 중에 제외할 트래픽 흐름 유형을 지정합니다.
      기본적으로 멀티캐스트 흐름 및 브로드캐스트 흐름은 제외됩니다. 흐름 유형 이름 옆에 있는 X를 클릭하여 흐름 유형을 하나 또는 둘 다 선택 취소할 수 있습니다.
    4. 인프라 계산 엔티티가 새 권장 사항 분석에 포함되지 않도록 제외하려면 인프라 워크로드 제외 토글을 활성화합니다.

      이 토글을 활성화하면 권장 사항 엔진이 모든 인프라 계산 엔티티 및 함께 발생한 트래픽 흐름을 권장 사항 분석에서 제외합니다. 권장 사항 엔진은 인프라 엔티티가 포함된 그룹을 재사용하지 않습니다. 인프라 계산 엔티티가 포함된 경우에도 컨텍스트 입력은 변경되지 않습니다. 그러나 권장 사항 엔진은 규칙 소스 또는 대상에 인프라 계산 엔티티가 있는 방화벽 규칙을 권장하지 않습니다.

      자세한 내용은 NSX Intelligence에서 계산 엔티티 분류 관리 항목을 참조하십시오.

    5. 경우에 따라 고려할 추가 규칙 섹션에서 세분화되지 않은 것으로 간주되는 트래픽 흐름을 결정하는 데 사용할 규칙을 지정합니다.
      기본적으로 권장 사항 엔진은 SourceDestination의 값이 Any인 규칙을 사용합니다.

      권장 사항 분석 중에 더 많은 규칙을 고려하려는 경우 고려할 규칙 유형 드롭다운 메뉴에서 최대 3개의 규칙 유형을 선택하거나 고려할 추가 규칙 드롭다운 메뉴에서 최대 5개의 특정 규칙을 선택할 수 있습니다.

      규칙 유형 또는 특정 규칙 설명
      SourceANY가 있는 규칙

      이 옵션을 선택하면 Source 값이 ANY인 비기본 규칙이 기본 규칙으로 간주됩니다. 이러한 규칙이 발생하는 트래픽 흐름은 미적용으로 간주됩니다. 기존 섹션을 재사용하기 위해 이러한 추가 기본 규칙은 수정에 고려되지 않습니다.
      DestinationANY가 있는 규칙

      이 옵션을 선택하면 Destination 값이 ANY인 비기본 규칙이 기본 규칙으로 간주됩니다. 이러한 규칙이 발생하는 트래픽 흐름은 미적용으로 간주됩니다. 기존 섹션을 재사용하기 위해 이러한 추가 기본 규칙은 수정에 고려되지 않습니다.
      ServiceANY가 있는 규칙

      이 옵션을 선택하면 Service 값이 ANY인 비기본 규칙이 기본 규칙으로 간주됩니다. 이러한 규칙이 발생하는 트래픽 흐름은 미적용으로 간주됩니다. 기존 섹션을 재사용하기 위해 이러한 추가 기본 규칙은 수정에 고려되지 않습니다.
      특정 규칙 ID 또는 규칙 이름 목록

      이 목록에는 추가 기본 규칙으로 간주되는 최대 5개의 규칙 ID 또는 규칙 이름이 포함될 수 있습니다. 기본 규칙과 이러한 규칙이 발생하는 트래픽 흐름은 미적용으로 간주됩니다. 기존 섹션을 재사용하기 위해 이러한 추가 기본 규칙은 수정에 고려되지 않습니다.
  9. 새 권장 사항 시작 섹션 대화상자의 출력 옵션 하위 섹션에서 필요에 따라 기본 설정을 수정합니다.
    1. 기본 규칙 드롭다운 메뉴에서 보안 정책에 대한 기본 규칙을 생성하는 데 사용할 연결 전략을 선택합니다. 선택한 연결 전략 값에 따라 규칙에 적절한 작업이 설정됩니다. 기본값은 없음입니다.

      • 거부 목록 - 기본 허용 규칙을 생성합니다.

      • 허용 목록 - 기본 삭제 규칙을 생성합니다.

      • 없음 - 기본 규칙이 생성되지 않았습니다.

    2. 권장 사항 엔진이 마이크로 세분화되지 않은 트래픽 흐름의 방향을 기준으로 하는 더욱 세분화된 규칙을 생성하고 권장하도록 하려면 흐름 방향 인식 규칙 생성 토글을 활성화합니다.
      권장 사항 분석 중에 다른 방향의 세분화되지 않은 트래픽 흐름은 새 규칙을 권장하기 위해 함께 집계되지 않습니다. 권장 규칙의 소스 그룹 및 대상 그룹은 컨텍스트 프로파일의 멤버 또는 컨텍스트 프로파일의 비 멤버로 구성됩니다. 권장 사항 경계는 새 권장 사항 시작 대화상자의 범위 내 선택된 엔티티에서 선택한 항목에 따라 정의됩니다. 분석 결과 DFW 권장 사항은 외부 엔티티에서 지정된 권장 사항 경계가 있는 엔티티로의 명시적 흐름이 없는 한 외부 엔티티가 권장 사항 경계 내에서 이동하도록 허용 규칙을 갖지 않도록 하는 데 도움이 됩니다.
    3. 필요한 경우 권장 사항 출력의 기본값을 변경합니다.

      • 계산 기반이 사용되는 기본 출력 모드입니다. 이 모드는 권장 사항 엔진이 생성한 DFW 정책 권장 사항에 멤버가 VM, 물리적 서버 또는 둘 다인 그룹이 포함되어 있음을 의미합니다.

      • IP 기반 권장 사항 출력 모드가 선택되면 생성된 DFW 정책 권장 사항에는 해당 멤버가 고정 IP 주소 목록을 포함하는 IPSet 개체의 그룹이 포함됩니다. IP 기반 권장 사항은 VM에 엄격하게 바인딩되지 않습니다. VM이 삭제되고 해당 IP 주소가 새 VM에 할당되면 새 VM이 동일한 그룹에 할당됩니다. 또한 NSX Intelligence는 그룹의 기존 DFW 정책을 새 VM에 적용합니다.

    4. 규칙 권장 사항을 생성할 때 사용할 항목이 표시되면 계산 그룹 재사용 임계 값의 기본값을 변경합니다.

      임계값 백분율 값을 10에서 100까지 설정할 수 있습니다. 이 값은 마이크로 세분화되지 않은 감지된 흐름을 포함하기 위해 시스템이 기존 계산 기반 그룹(비 IP 집합 그룹)을 얼마나 엄격하게 재사용하는지를 지정합니다. 이 값을 사용하여 기존 그룹을 재사용할지 또는 새 그룹을 생성할지를 제어합니다. 그룹 재사용 기능은 기존 보안 정책 또는 새 보안 정책의 권장 사항 작업에 적용할 수 있습니다.

      이 값을 100으로 설정하면 권장 사항에 대해 선택된 그룹에 관련 없는 계산 엔티티가 없어야 합니다. 그룹의 계산 멤버는 유출된 계산 엔티티와 같을 필요가 없습니다. 예를 들어 유출된 계산 엔티티가 [VM1, VM2]이고 그룹 G1에 [VM1] 멤버가 있고 그룹 G2에 [VM2] 멤버가 있는 경우 G1 및 G2의 계산 멤버는 누수된 계산 엔티티와 동일하지 않지만 유출된 [VM1, VM2] 계산 엔티티를 포함하기 위해 함께 선택할 수 있습니다.

      매우 높은 값을 사용하면 수정되는 규칙에서 기존 그룹이 재사용될 가능성이 적기 때문에 더 많은 새 그룹이 생성될 수 있습니다.

      이 값을 더 낮은 값(예: 10 또는 20)으로 설정하면 시스템에서 그룹화하려는 계산 엔티티 이외의 관련 없는 멤버가 있는 계산 기반 그룹도 추가 규칙 소스 또는 대상으로 선택할 수 있습니다. 더 낮은 값을 사용하면 적극적 그룹 재사용이 진행될 수 있으므로 더 적은 수의 새 그룹이 권장됩니다.

    5. 권장 사항 분석 중에 부분 IP 집합 그룹 재사용 토글을 비활성화하면, 권장 사항 엔진에서 기존 IP 그룹(IP 세트가 유출 IP의 IP 세트와 같음)만 재사용하도록 할 수 있습니다.
      기본적으로 이 토글은 활성화됩니다.
    6. 필요한 경우 권장 서비스 유형에 대한 값을 변경합니다.

      기본 유형은 해당하는 전송 계층 포트 및 프로토콜로 구성된 L4 서비스입니다. 또는 L7 컨텍스트 프로파일을 선택하여 애플리케이션 계층 프로토콜 규칙 권장 사항을 원한다는 사실을 나타낼 수 있습니다.

      NSX Intelligence 4.1.1 릴리스부터 대화상자의 범위 내 선택된 엔티티 영역에서 기존 L7 DFW 섹션을 선택한 경우 기존 섹션에 대해 L7 규칙 권장 사항이 포함됩니다. 자세한 내용은 기존 DFW 섹션에 대한 권장 사항 항목을 참조하십시오.

  10. 권장 사항 분석을 시작하려면 검색 시작을 클릭합니다.

    NSX Intelligence는 제출된 권장 사항 작업을 직렬로 처리합니다. 평균적으로 처리되기를 기다리는 권장 사항 작업이 있는지 여부에 따라 각 권장 사항 분석을 완료하는 데 3~4분 정도 걸릴 수 있습니다. NSX Intelligence에서 많은 트래픽 흐름을 분석해야 하는 경우 권장 사항을 생성하는 데 10~15분이 소요될 수 있습니다.

    권장 사항 테이블에는 권장 사항 작업의 상태가 표시됩니다. 다음 스크린샷은 처리 대기 중인 권장 사항 작업과 게시할 준비가 된 다른 권장 사항을 표시하는 샘플 권장 사항 페이지를 보여줍니다. 게시할 준비가 된 권장 사항에 대한 확장된 행에는 해당 DFW 권장 사항을 생성하는 데 사용되는 세부 정보가 표시됩니다.
    새로 생성된 권장 사항 중 하나가 확장되어 세부 정보를 표시하는 권장 사항 창의 스크린샷.

    • 권장 사항 테이블의 상태 열에서 권장 사항 분석의 상태를 추적할 수 있습니다. 상태는 대기 중에서 검색 진행 중, 게시 준비 완료, 게시됨이 됩니다.

      시스템에서 권장 사항을 생성하지 않으면 Status 값이 사용 가능한 권장 사항 없음으로 설정됩니다. 어떤 이유로 권장 사항 분석이 실패한 경우 실패 상태가 표시됩니다.

      대기 중 상태이거나 검색 진행 중 상태인 권장 사항 작업은 취소할 수 있습니다. 작업 메뉴 아이콘 작업 메뉴를 클릭하고 검색 취소를 선택합니다.

      권장 사항 작업을 취소하면 권장 사항 대기열에서 작업이 제거되고 상태가 검색이 취소됨으로 변경됩니다. 권장 사항 검색이 취소되면 작업 메뉴에서 검토 및 다시 실행을 선택하고 이전 입력 선택 항목을 수정한 후 권장 사항 분석 작업을 다시 제출합니다.

      권장 작업이 대기 중, 검색 진행 중 또는 검색이 취소됨 상태인 경우 작업 메뉴에서 삭제를 선택할 수도 있습니다. 권장 사항 작업을 삭제하면 권장 사항 분석을 시작하기 전에 선택한 항목에 대한 모든 정보가 삭제됩니다.

    • 입력 엔티티 열에는 권장 사항을 생성하는 데 사용된 엔티티가 나열됩니다. 이 열에서 연결된 텍스트를 클릭하면 선택한 엔티티 대화상자가 읽기 전용 모드로 표시됩니다. 그룹과 해당 멤버 및 권장 사항 분석에 포함된 모든 VM을 검토합니다.

    • 모니터링 열은 권장 사항을 생성하는 데 사용되는 원래 입력 엔티티에 대해 변경 사항이 모니터링되고 있는지 여부를 나타냅니다. 이 기능은 게시 준비 완료, 사용 가능한 권장 사항 없음 또는 실패 상태의 권장 사항에 사용할 수 있습니다. 모니터링 토글을 켜짐 또는 꺼짐으로 설정할 수 있습니다. 토글이 켜져 있으면 입력 엔티티의 범위 또는 연결 전략의 변경 내용이 매시간 확인됩니다.

    • 사용된 입력 엔티티에서 변경이 발생한 경우, 게시 준비 완료, 사용 가능한 권장 사항 없음 또는 실패 상태 옆에 변경 감지 아이콘 권장 사항 분석에 사용된 입력 엔티티에서 변경이 감지될 경우 나타나는 아이콘이 나타납니다. 변경 내용을 검토하고 권장 사항을 다시 실행할 수 있습니다. 자세한 내용은 NSX Intelligence 권장 사항 다시 실행 항목을 참조하십시오.

    • 권장 사항 행의 오른쪽에 있는 캔버스 아이콘 캔버스 아이콘을 클릭하면 선택한 엔티티의 시각화가 그래픽 캔버스의 계획 및 문제 해결 > 검색 및 작업 수행 사용자 인터페이스에 표시됩니다. 권장 사항 상태가 게시됨일 때 캔버스 아이콘을 클릭하면 권장 그룹이 검색 및 작업 수행 그래픽 캔버스에 표시됩니다.

  11. Status 값이 Ready to Publish인 경우 생성된 권장 사항을 검토한 다음, 게시할지 결정합니다. 자세한 내용은 생성된 NSX Intelligence 권장 사항 검토 및 게시 항목을 참조하십시오.