VMware NSX-T 專為處理新興應用程式架構和具有異質端點和技術堆疊的架構而設計。除 vSphere 以外,這些環境可能還包含其他管理程式、容器、裸機和公有雲。

VMware Aria Operations for Networks 支援虛擬機器由 VMware vCenter 管理的 VMware NSX-T 部署。

考量事項

  • VMware Aria Operations for Networks 僅支援由 VMware vCenter 管理 ESXi 主機的 NSX-T 設定。
  • VMware Aria Operations for Networks 支援 NSGroup、NSX-T 防火牆規則、IPSet、NSX-T 邏輯連接埠、NSX-T 邏輯交換器、NSX-T Distributed Firewall IPFIX 流量、區段、群組和以原則為基礎的 VPN。
  • VMware Aria Operations for Networks 同時支援 NSX-V 和 NSX-T 部署。在查詢中使用 NSX 時,結果將包含 NSX-V 和 NSX-T 實體。NSX Manager 會列出 NSX-V Manager 和 NSX-T Manager。NSX 安全群組會列出 NSX-T 和 NSX-V 安全群組。如果您使用 NSX-V 或 NSX-T 而不是 NSX,則僅會顯示這些實體。此邏輯同樣適用於防火牆規則、IPSet 和邏輯交換器等實體。
  • 透過 NSX-T 2.4 版本,VMware Aria Operations for Networks 支援 NSX 宣告式原則管理,可透過結果導向的原則聲明簡化並自動化網路與安全性組態。
    備註: 安全群組的微分割是基於 NSX 原則資料完成的。但是,如果沒有相應的 NSX 原則群組,會將獨立的 NS 群組包含在微分割分析中。如需有關 NS 群組的更多詳細資料,請參閱 NSX-T 產品說明文件
  • 確保在 NSX-T 聯盟設定中只新增本機使用者。

必要條件

以下是將 NSX-T Manager 新增為資料來源的必要條件:
  • 您必須至少具有唯讀權限。
  • 必須在 VMware Aria Operations for Networks 中將與 NSX-T Manager 相關聯的所有 VMware vCenter 新增為資料來源。
    備註: 如果在新增 VMware vCenter 前新增 NSX-T Manager,則 VMware Aria Operations for Networks 約需要四小時才能穩定。
  • 確保在 Distributed Firewall (DFW) 的排除清單中沒有邏輯交換器。如果此清單中有任何邏輯交換器,則不會報告連結至這些邏輯交換器的任何虛擬機器的流程。

程序

  1. 移至設定 > 帳戶和資料來源 > 新增來源
  2. VMware Manager 下,選取 VMware NSX-T Manager
  3. 提供使用者認證。
    選項 動作
    收集器虛擬機器 從下拉式功能表中選取收集器虛擬機器。
    IP 位址/FQDN 輸入 IPv4 管理位址或 FQDN 詳細資料。
    備註: 目前, VMware Aria Operations for Networks 不支援 IPv6 NSX-T 管理位址。
    驗證方法 從下拉式功能表中選取驗證方法。
    使用者名稱/密碼 輸入使用者名稱和密碼。
    憑證 (主體身分識別)
    • 憑證:按一下瀏覽,然後上傳主體身分識別憑證。
    • 私密金鑰:按一下瀏覽,然後上傳主體身分識別私密金鑰。
      備註: VMware Aria Operations for Networks 不支援加密的主體身分識別私密金鑰。
    備註:
    • 如果在單一 NSX-T 部署中有多個管理節點,則必須僅新增一個節點做為 VMware Aria Operations for Networks 中的資料來源或使用虛擬 IP (VIP) (屬於這些節點)。如果您新增多個管理節點,則 VMware Aria Operations for Networks 可能無法正常運作。
    • 當您新增 NSX-T 做為資料來源時,確保使用的是 VIP。如果您新增管理節點 IP 而非 VIP,且在稍後想要新增 VIP 或其他管理節點 IP,則必須刪除現有資料來源,才能新增 VIP 或管理 IP。
    • 確保可從收集器連線到叢集中的每個管理節點。
    • 如果不需要 IPFIX,則使用者必須是具有稽核層級權限的本機使用者。但是,如果需要 IPFIX,則使用者必須具有下列其中一項權限:enterprise_adminnetwork_engineersecurity_engineer
    備註: 您必須使用 IP 位址或 FQDN 新增資料來源。請勿同時使用 IP 位址和 FQDN 新增資料來源。
  4. 按一下驗證
  5. (選擇性) 選取啟用 DFW IPFIX 以更新 NSX-T 上的 IPFIX 設定。透過選取此選項,VMware Aria Operations for Networks 會接收來自 NSX-T 的 DFW IPFIX 流量。如需有關啟用 IPFIX 的詳細資訊,請參閱啟用 VMware NSX-T DFW IPFIX
    備註:
    • DFW IPFIX 在 NSX-T 的標準版本中不受支援。
    • VMware Aria Operations for Networks 不支援 NSX-T 交換器 IPFIX 流量。
  6. (選擇性) 如果您想要收集延遲度量資料,則選取啟用延遲度量收集核取方塊。如果選取此選項,VMware Aria Operations for Networks 會從 NSX-T 接收延遲度量,例如 VTEP - VTEP、vNIC - pNIC、pNIC - vNIC、vNIC - vNIC。如需有關網路延遲的詳細資訊,請參閱〈網路延遲統計資料〉
    備註:
    • 此選項僅適用於 NSX-T 2.5 及更新版本。
      • VTEP - VTEP 可從 NSX-T 2.5 及更新版本取得。
      • vNIC - pNIC、pNIC - vNIC、vNIC - vNIC 可從 NSX-T 3.0.2 及更新版本取得。
    • 若要啟用延遲度量收集,您必須擁有 enterprise_admin 權限。
    • 確保在收集器上開啟連接埠 1991,以接收來自 ESXi 節點的延遲資料。
  7. (選擇性) 若要啟用從 NSX Intelligence 進行流量收集,請選取啟用 NSX Intelligence 核取方塊。

    NSX Intelligence 透過應用層可見度提供深度封包檢查。從 NSX Intelligence 接收流量後,可以查看 L7 (應用程式層) 資訊,例如應用程式識別碼。

    備註: 若要在 VMware Aria Operations for Networks 中啟用 NSX Intelligence,則必須部署 NSX Intelligence 應用裝置。 VMware Aria Operations for Networks 支援 NSX Intelligence 1.2 與 VMware NSX-T 3.1 及更新版本。

    NSX Intelligence 至少需要 12 分鐘才能處理流量資訊並將其傳送至 VMware Aria Operations for Networks

    備註: 若要啟用從 NSX Intelligence 進行流量收集,您必須選取 啟用 DFW IPFIX 核取方塊,因為 VMware Aria Operations for Networks 使用 DFW IPFIX 作為流量的主要來源。

    L7 資訊無法用於已捨棄的流量,因為 NSX Intelligence 不支援此功能。

  8. 在 [暱稱] 文字方塊中,輸入暱稱。
  9. 在 [附註] (可選) 文字方塊中,視需要新增附註。
  10. 按一下提交

查詢範例

以下是一些與 NSX-T 相關的查詢範例:

表 1. NSX-T 的查詢
查詢 搜尋結果
NSX-T Manager where VC Manager=10.197.53.214 此特定 VC Manager 已新增為計算管理程式的 NSX-T Manager。
NSX-T Logical Switch 列出 VMware Aria Operations for Networks 執行個體中存在的所有 NSX-T 邏輯交換器。其中包括它是由系統建立還是使用者建立的交換器的詳細資料。
NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch' 列出屬於該特定 NSX-T 邏輯交換器 DB-Switch 的 NSX-T 邏輯連接埠。
VMs where NSX-T Security Group = 'Application-Group'

VMs where NSGroup = ‘Application-Group’
列出該特定安全群組 Application-Group 中的所有虛擬機器。
NSX-T Firewall Rule where Action='ALLOW' 列出其動作設為 ALLOW 的所有 NSX-T 防火牆規則。
NSX-T Firewall Rule where Destination Security Group = ‘CRM-Group’ 列出 CRM-Group 是目的地安全群組的防火牆規則。結果包含直接目的地安全群組和間接目的地安全群組。
NSX-T Firewall Rule where Direct Destination Security Group = ‘CRM-Group’ 列出 CRM-Group 是目的地安全群組的防火牆規則。結果僅包含直接目的地安全群組。
VMs where NSX-T Logical Port = ‘App_Port-Id-1’ 列出具有該特定 NSX-T 邏輯連接埠的所有虛擬機器。
NSX-T Transport Zone 列出 VLAN 和覆疊傳輸區域以及與其相關聯的對應詳細資料 (包括傳輸節點的類型)。
備註: VMware Aria Operations for Networks 不支援將 KVM 做為資料來源。
NSX-T Router 列出 TIER 1 和 TIER 0 路由器。按一下結果中顯示的路由器,以檢視其相關聯的更多詳細資料,包括 NSX-T Edge 叢集和 HA 模式。
表 2. NSX 原則的查詢
NSX Policy Segment 列出 VMware Aria Operations for Networks 執行個體中存在的所有 NSX 原則區段。
NSX Policy Manager 列出 VMware Aria Operations for Networks 執行個體中存在的所有 NSX Policy Manager。
NSX Policy Group 列出 VMware Aria Operations for Networks 執行個體中存在的所有 NSX 原則群組。
NSX Policy Firewall 列出 VMware Aria Operations for Networks 執行個體中存在的所有 NSX 原則防火牆。
NSX Policy Firewall Rule 列出 VMware Aria Operations for Networks 執行個體中存在的所有 NSX 原則防火牆規則。
NSX Policy Firewall Rule where Action = 'ALLOW' 列出其動作設為 ALLOW 的所有 NSX 原則防火牆規則。
NSX Policy Based VPN 列出 VMware Aria Operations for Networks 執行個體中存在的所有以 NSX 原則為基礎的 VPN。
備註: 如果將 NSX-T 2.4 和 VMware Cloud on AWS 新增為 VMware Aria Operations for Networks 中的資料來源,為了取得 VMware NSX-T 實體,您必須在查詢中新增 SDDC type = ONPREM 篩選器。例如, NSX Policy Based VPN where Tier0 = ‘’ and SDDC Type = ‘ONPREM’

NSX-T 度量支援

下表顯示了目前支援 NSX-T 度量的 VMware Aria Operations for Networks 實體,以及在對應實體儀表板上顯示這些度量的 Widget。
實體 實體儀表板上的 Widget 支援的 NSX-T 度量
邏輯交換器

邏輯交換器封包度量

邏輯交換器位元組度量

Multicast and Broadcast Rx

Multicast and Broadcast Tx

Unicast Rx

Unicast Tx

Dropped Rx

Dropped Tx

Rx Packets (Total)

Tx Packets (Total)

邏輯連接埠

邏輯連接埠封包度量

邏輯連接埠位元組度量

Multicast and Broadcast Rx

Multicast and Broadcast Tx

Unicast Rx

Unicast Tx

Rx Packets (Total)

Tx Packets (Total)

路由器介面

路由器介面度量

Rx Packets

Tx Packets

Dropped Rx Packets

Dropped Tx Packets

Rx Bytes

Tx Bytes

防火牆規則

防火牆規則度量

Hit Count

Flow Bytes

Flow Packets

以下是一些有關 VMware NSX-T 度量的查詢範例:
  • nsx-t logical switch where Rx Packet Drops > 0

    此查詢會列出捨棄的已接收封包計數大於 0 的所有邏輯交換器。

  • nsx-t logical port where Tx Packet Drops > 0

    此查詢會列出捨棄的已傳輸封包計數大於 0 的所有邏輯連接埠。

  • top 10 nsx-t firewall rules order by Connection count

    此查詢根據連線計數 (Hit Count) 列出前 10 個防火牆規則。

NSX-T 的安全性計劃

若要規劃 NSX-T 網路的安全性,您可以選取 NSX-T Layer2 網路做為範圍,並使用下列查詢:
plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’
您也可以執行下列步驟來達成同樣的目的:
  1. 從左側導覽中選取計劃與評估 > 安全性計劃
  2. 從下拉式功能表中選取 NSX-T L2 網路NSX 原則區段作為範圍。
備註: 範圍中提供了 VMware NSX-T 相關實體,例如 NSX-T L2 網路NSX 原則區段。您可以使用這些與 VMware NSX-T 相關的實體進行安全性計劃。