NSX-T는 이기종 끝점 및 기술 스택을 사용하는 새로운 애플리케이션 프레임워크 및 아키텍처를 처리할 수 있도록 설계되었습니다. 이러한 환경에는 vSphere 외에도 다른 하이퍼바이저, 컨테이너, 베어메탈 및 공용 클라우드가 포함될 수 있습니다.
vRealize Network Insight는 VM이 VMware vCenter에 의해 관리되는 NSX-T 배포 환경을 지원합니다.
고려 사항
- vRealize Network Insight는 VMware vCenter가 ESXi 호스트를 관리하는 NSX-T 설정만 지원합니다.
- vRealize Network Insight는 NSGroup, NSX-T 방화벽 규칙, IPSet, NSX-T 논리적 포트, NSX-T 논리적 스위치, NSX-T 분산 방화벽 IPFIX 흐름 및 세그먼트, 그룹 및 정책 기반 VPN을 지원합니다.
- vRealize Network Insight는 NSX-V 및 NSX-T 배포를 모두 지원합니다. 쿼리에서 NSX를 사용하는 경우 결과에 NSX-V 및 NSX-T 엔티티가 모두 포함됩니다. NSX Manager는 NSX-V 및 NSX-T Manager를 모두 나열합니다. NSX 보안 그룹은 NSX-T 및 NSX-V 보안 그룹을 모두 나열합니다. NSX 대신 NSX-V 또는 NSX-T를 사용하는 경우 해당 엔티티만 표시됩니다. 동일한 논리가 방화벽 규칙, IPSet 및 논리적 스위치와 같은 엔티티에 적용됩니다.
- NSX-T 2.4 릴리스부터 vRealize Network Insight는 결과 중심 정책 문을 통해 네트워크 및 보안 구성을 간소화하고 자동화하는 NSX 선언적 정책 관리를 지원합니다.
참고: 보안 그룹에 대한 미세 세분화는 NSX 정책 데이터를 기반으로 수행됩니다. 하지만 해당하는 NSX 정책 그룹이 없으면 독립형 NS 그룹이 미세 세분화 분석에 포함됩니다. NS 그룹에 대한 자세한 내용은 NSX-T 제품 설명서를 참조하십시오.
- NSX-T 페더레이션 설정에서 로컬 사용자만 추가해야 합니다.
사전 요구 사항
- 읽기 전용 이상의 권한이 있어야 합니다.
- NSX-T Manager와 연결된 모든 VMware vCenter를 vRealize Network Insight에서 데이터 소스로 추가해야 합니다.
참고: VMware vCenter를 추가하기 전에 NSX-T Manager를 추가할 경우 vRealize Network Insight가 안정화되는 데 4시간 정도 소요됩니다.
- DFW(분산 방화벽)의 제외 목록에 논리적 스위치가 없는지 확인합니다. 이 목록에 논리적 스위치가 있는 경우 이러한 논리적 스위치에 연결된 모든 VM에 대해 흐름이 보고되지 않습니다.
절차
- 로 이동합니다.
- VMware 관리자에서 VMware NSX-T Manager를 선택합니다.
- 사용자 자격 증명을 제공합니다.
옵션 작업 수집기 VM 드롭다운 메뉴에서 수집기 VM을 선택합니다. IP 주소/FQDN IP 주소(IPv4 또는 IPv6 주소) 또는 FQDN 세부 정보를 입력합니다. 인증 방법 드롭다운 메뉴에서 인증 방법을 선택합니다. 사용자 이름/암호 사용자 이름과 암호를 입력합니다. 인증서(주체 ID) - 인증서: 찾아보기를 클릭하고 주체 ID 인증서를 업로드합니다.
- 개인 키: 찾아보기를 클릭하고 주체 ID 개인 키를 업로드합니다.
참고: vRealize Network Insight는 암호화된 주체 ID 개인 키를 지원하지 않습니다.
참고:- 단일 NSX-T 배포에 관리 노드가 두 개 이상 있는 경우 노드 하나만 vRealize Network Insight에 데이터 소스로 추가하거나, 해당 노드의 VIP(가상 IP)를 사용해야 합니다. 관리 노드를 둘 이상 추가하면 vRealize Network Insight가 제대로 작동하지 않을 수 있습니다.
- NSX-T를 데이터 소스로 추가할 때 VIP를 사용해야 합니다. VIP 대신 관리 노드 IP를 추가하는 경우 나중에 VIP 또는 다른 관리 노드 IP를 추가하려면 기존 데이터 소스를 삭제하고 새 VIP 또는 관리 IP를 추가해야 합니다.
- 수집기에서 클러스터의 각 관리 노드에 연결할 수 있는지 확인합니다.
- IPFIX가 필요하지 않은 경우 사용자는 감사 수준 권한이 있는 로컬 사용자여야 합니다. 하지만 IPFIX가 필요한 경우 사용자에게 enterprise_admin, network_engineer, 또는 security_engineer 사용 권한 중 하나가 있어야 합니다.
참고: IP 주소 또는 FQDN 중 하나를 사용하여 데이터 소스를 추가해야 합니다. IP 주소와 FQDN을 모두 사용하여 데이터 소스를 추가해서는 안 됩니다. - 검증을 클릭합니다.
- (선택 사항) DFW IPFIX 사용을 선택하여 NSX-T에서 IPFIX 설정을 업데이트합니다. 이 옵션을 선택하면 vRealize Network Insight가 NSX-T의 DFW IPFIX 흐름을 수신합니다. IPFIX를 사용하도록 설정하는 방법에 대한 자세한 내용은 VMware NSX-T DFW IPFIX 사용 항목 참조하십시오.
참고:
- DFW IPFIX는 NSX-T의 Standard Edition에서 지원되지 않습니다.
- vRealize Network Insight는 NSX-T 스위치 IPFIX 흐름을 지원하지 않습니다.
- (선택 사항) 지연 시간 메트릭 데이터를 수집하려면 지연 시간 메트릭 수집 사용 확인란을 선택합니다. 이 옵션을 선택하면 vRealize Network Insight는 NSX-T에서 VTEP-VTEP, vNIC-pNIC, pNIC-vNIC, vNIC-vNIC와 같은 지연 시간 메트릭을 수신합니다. 네트워크 지연 시간에 대한 자세한 내용은 네트워크 지연 시간 통계를 참조하십시오.
참고:
- 이 옵션은 NSX-T 2.5 이상에서만 사용할 수 있습니다.
- VTEP-VTEP는 NSX-T 2.5 이상에서 사용할 수 있습니다.
- vNIC-pNIC, pNIC-vNIC, vNIC-vNIC는 NSX-T 3.0.2 이상에서 사용할 수 있습니다.
- 지연 시간 메트릭 수집을 사용하도록 설정하려면 enterprise_admin 사용 권한이 있어야 합니다.
- ESXi 노드로부터 지연 데이터를 수신할 수 있도록 수집기에 포트 1991이 열려 있어야 합니다.
- 이 옵션은 NSX-T 2.5 이상에서만 사용할 수 있습니다.
- (선택 사항) NSX Intelligence에서 흐름 수집을 사용하도록 설정하려면 NSX Intelligence 사용 확인란을 선택합니다.
NSX Intelligence는 애플리케이션 계층 가시성을 사용하여 심층적인 패킷 검사를 제공합니다. NSX Intelligence에서 흐름을 수신한 후에는 App-ID와 같은 L7(애플리케이션 계층) 정보를 볼 수 있습니다.
참고: vRealize Network Insight에서 NSX Intelligence를 사용하도록 설정하려면 NSX Intelligence 장치를 배포해야 합니다. vRealize Network Insight는 NSX-T 3.1 이상과 NSX Intelligence 1.2를 지원합니다.NSX Intelligence에서 흐름 정보를 처리하고 vRealize Network Insight로 전송하는 데에는 12분 이상 걸립니다.
참고: NSX Intelligence에서 흐름 수집을 사용하도록 설정하려면 vRealize Network Insight에서 DFW IPFIX를 기본 흐름 소스로 사용하므로 DFW IPFIX 사용 확인란을 선택해야 합니다.삭제된 흐름에 대한 L7 정보는 NSX Intelligence에서 지원하지 않으므로 사용할 수 없습니다.
- [별칭] 텍스트 상자에 별칭을 입력합니다.
- [메모(선택 사항)] 텍스트 상자에는 필요한 경우 메모를 추가할 수 있습니다.
- 제출을 클릭합니다.
쿼리의 예
다음은 NSX-T와 관련된 쿼리의 몇 가지 예입니다.
쿼리 | 검색 결과 |
---|---|
NSX-T Manager where VC Manager=10.197.53.214 | 이 특정 VC Manager가 계산 관리자로 추가된 NSX-T Manager입니다. |
NSX-T Logical Switch | vRealize Network Insight 인스턴스에 있는 모든 NSX-T 논리적 스위치를 나열합니다. 시스템 생성 스위치인지 사용자 생성 스위치인지에 대한 세부 정보를 포함합니다. |
NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch' | 특정 NSX-T 논리적 스위치인 DB-Switch에 속하는 NSX-T 논리적 포트를 나열합니다. |
VMs where NSX-T Security Group = 'Application-Group' 또는 VMs where NSGroup = ‘Application-Group’ |
특정 보안 그룹인 Application-Group의 모든 VM을 나열합니다. |
NSX-T Firewall Rule where Action='ALLOW' | 해당 작업 집합이 ALLOW로 설정된 모든 NSX-T 방화벽 규칙을 나열합니다. |
NSX-T Firewall Rule where Destination Security Group = ‘CRM-Group’ | CRM-Group이 대상 보안 그룹인 방화벽 규칙을 나열합니다. 결과에는 직접 대상 보안 그룹과 간접 대상 보안 그룹이 모두 포함됩니다. |
NSX-T Firewall Rule where Direct Destination Security Group = ‘CRM-Group’ | CRM-Group이 대상 보안 그룹인 방화벽 규칙을 나열합니다. 결과에는 직접 대상 보안 그룹만 포함됩니다. |
VMs where NSX-T Logical Port = ‘App_Port-Id-1’ | 특정 NSX-T 논리적 포트가 있는 모든 VM을 나열합니다. |
NSX-T Transport Zone | VLAN 및 오버레이 전송 영역과 전송 노드 유형을 포함하여 관련 세부 정보를 나열합니다.
참고:
vRealize Network Insight는 KVM을 데이터 소스로 지원하지 않습니다.
|
NSX-T Router | Tier 1 및 Tier 0 라우터를 나열합니다. 결과에 표시된 라우터를 클릭하면 NSX-T Edge 클러스터 및 HA 모드를 비롯한 라우터와 관련된 추가 세부 정보가 표시됩니다. |
NSX Policy Segment | vRealize Network Insight 인스턴스에 있는 모든 NSX 정책 세그먼트를 나열합니다. |
NSX Policy Manager | vRealize Network Insight 인스턴스에 있는 모든NSX Policy Manager를 나열합니다. |
NSX Policy Group | vRealize Network Insight 인스턴스에 있는 모든 NSX 정책 그룹을 나열합니다. |
NSX Policy Firewall | vRealize Network Insight 인스턴스에 있는 모든 NSX 정책 방화벽을 나열합니다. |
NSX Policy Firewall Rule | vRealize Network Insight 인스턴스에 있는 모든 NSX 정책 방화벽 규칙을 나열합니다. |
NSX Policy Firewall Rule where Action = 'ALLOW' | 해당 작업 집합이 ALLOW로 설정된 모든 NSX 정책 방화벽 규칙을 나열합니다. |
NSX Policy Based VPN | vRealize Network Insight 인스턴스에 있는 모든 NSX 정책 기반 VPN을 나열합니다. |
NSX-T 메트릭에 대한 지원
엔티티 | 엔티티 대시보드의 위젯 | 지원되는 NSX-T 메트릭 |
---|---|---|
논리적 스위치 | 논리적 스위치 패킷 메트릭 논리적 스위치 바이트 메트릭 |
|
논리적 포트 | 논리적 포트 패킷 메트릭 논리적 포트 바이트 메트릭 |
|
라우터 인터페이스 | 라우터 인터페이스 메트릭 |
|
방화벽 규칙 | 방화벽 규칙 메트릭 |
|
nsx-t logical switch where Rx Packet Drops > 0
이 쿼리는 손실된 수신 패킷의 수가 0보다 큰 모든 논리적 스위치를 나열합니다.
nsx-t logical port where Tx Packet Drops > 0
이 쿼리는 손실된 전송 패킷의 수가 0보다 큰 모든 논리적 포트를 나열합니다.
top 10 nsx-t firewall rules order by Connection count
이 쿼리는 연결 수(
Hit Count
)를 기반으로 상위 10개의 방화벽 규칙을 나열합니다.
NSX-T에 대한 보안 계획
plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’또한 다음의 단계를 수행하여 동일한 결과를 얻을 수 있습니다.
- 왼쪽 탐색에서 을 선택합니다.
- 드롭다운 메뉴에서 범위로 NSX-T L2 네트워크 또는 NSX 정책 세그먼트를 선택합니다.