NSX Intelligence 建議功能可以提供建議,協助您微分割您的應用程式。

產生 NSX Intelligence 建議包括安全性原則、原則安全群組和應用程式服務的建議。系統會根據 NSX-T Data Center 中虛擬機器 (VM) 和實體伺服器之間的通訊流量模式來提出建議。

您可以透過選取最多 1 個群組或 100 部虛擬機器與實體伺服器的輸入實體,或群組、虛擬機器與實體伺服器的組合以產生建議。您可以選取作為輸入的虛擬機器和實體伺服器的總數,不能超過這些實體的 100 個。您可以在包含群組、虛擬機器或實體伺服器的輸入中使用的有效虛擬機器和實體伺服器的總數,不能超過 250 個輸入實體。

例如,如果您選取 50 部虛擬機器和 50 部實體伺服器作為建議輸入實體的一部分,則只能選取具有不超過 150 個計算成員的群組。

重要: 您只能針對在原則模式下建立的安全群組產生新的建議。安全群組必須至少有一個支援的成員類型,才能讓 NSX Intelligence 開始針對該安全群組的建議分析。支援的成員類型包括虛擬機器、實體伺服器、虛擬網路介面 (VIF)、邏輯連接埠和邏輯交換器。如果安全群組中至少存在一個支援的成員類型,則建議分析可以繼續進行,但在建議分析期間,不會考慮不支援的成員類型。

有多種方式可以使用 NSX Intelligence 使用者介面來產生建議。下列程序會說明可用的方法。

必要條件

程序

  1. 從瀏覽器以必要的權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>
  2. 使用下列其中一種方法來起始產生新建議的程序。
    從何處開始 下一步
    選取計劃和疑難排解 > 建議 按一下啟動新的建議
    若要取得群組的建議,請選取計劃和疑難排解 > 探索和採取動作
    1. 確認已在安全性視圖選取區域中選取群組視圖。
    2. 在想要為其產生建議的群組節點上按一下滑鼠右鍵。
    3. 從下拉式功能表中選取啟動建議
    如需虛擬機器或實體伺服器的建議,請選取計劃和疑難排解 > 探索和採取動作
    選取至少一部虛擬機器或實體伺服器,或兩者的組合。
    1. 安全性視圖選取區域中,按一下群組旁的向下箭頭,然後選取計算
    2. 按一下顯示所有類型,然後選取虛擬機器實體伺服器。或者,從 [可用的項目] 清單中,選取特定的虛擬機器或實體伺服器。
    3. 按一下套用
    4. 按一下流量列左側的 [建議棒] 圖示 建議棒圖示
    5. 選取已篩選計算的啟動建議
  3. 啟動新的建議精靈中,變更建議名稱文字方塊的預設值。
    提供可反映要進行分割之應用程式的名稱。此名稱會用作建議分析期間所建立所有建議群組和規則的名稱前置詞。
  4. 變更說明文字方塊的預設值,以便更輕鬆地重新叫用建議的相關資訊。
  5. 定義或修改用作安全性原則建議之界限的虛擬機器或實體伺服器。
    1. 在範圍內選取的實體中,按一下選取實體。如果您已選取群組、虛擬機器或實體伺服器,請按一下群組、虛擬機器或實體伺服器數目的連結,以修改您目前的選取項目。
    2. 如果您想要包含一個群組,在選取實體對話方塊中,按一下群組以選取最多一個群組。若要選取虛擬機器或實體伺服器作為分析的界限,請按一下虛擬機器索引標籤或實體伺服器索引標籤,然後進行選取。
      您可以選取最多一個群組,以及最多 100 部虛擬機器或實體伺服器,但不得超過 250 個有效的計算實體,以用於建議界限。取消選取您不想要納入的項目。您也可以按一下 篩選器,然後選取要用來篩選您想要選取之群組、虛擬機器或實體伺服器的屬性。
    3. 按一下儲存
      您會回到 啟動新的建議精靈。於 在範圍內選取的實體中會指出所選群組、虛擬機器、實體伺服器或這些實體的組合。
  6. 回到啟動新的建議精靈中,從考慮的流量下拉式功能表,選取要在建議分析中考慮的流量類型。預設值為 All Traffic
    • 所有流量 - 考慮所有輸出、輸入和應用程式內流量類型。
    • 傳入和傳出 - 考慮源自應用程式和應用程式界限外的所有流量。
    • 傳入流量 - 僅考慮源自您應用程式界限外的流量。
  7. 連線策略下拉式功能表,選取要用來建立安全性原則之預設規則的連線策略。
    • 允許清單 - 建立預設的捨棄規則。
    • 封鎖清單 - 建立預設的允許規則。
    • - 不建立任何預設規則。
  8. 展開進階選項,並變更建議輸出的預設值 (如有必要)。
    使用的預設輸出模式是 物件基礎,這表示所產生的 DFW 原則建議包含其成員為虛擬機器、實體伺服器實體 (或兩者) 的群組。如果選取了 以 IP 為基礎建議輸出模式,則所產生的 DFW 原則建議會包含其成員為 IPset 物件的群組。以 IP 為基礎的建議不會與虛擬機器緊密繫結。如果刪除虛擬機器,並將其 IP 位址指派給新的虛擬機器,則會將新的虛擬機器指派給相同的群組。群組的 DFW 原則也會套用至新的虛擬機器。
  9. 變更建議服務類型的值 (如有必要)。
    預設類型為 L4 服務,由其個別的第 4 層連接埠和通訊協定組成。或者,您也可以選取 L7 內容設定檔
  10. 如有需要,請變更目前的時間範圍值,以用於產生建議。
    預設的時間範圍值是 過去 1 個月。所選虛擬機器或實體伺服器,或虛擬機器或實體伺服器群組之間發生的網路流量會在建議分析期間使用的時間範圍內使用。可供選取的其他值包含 過去 12 小時過去 24 小時過去 1 週過去 1 個月
  11. 若要開始建議分析,請按一下開始探索
    建議會以連續方式處理。平均而言,可能需要 3 到 4 分鐘的時間來完成每個建議,取決於是否有等待處理的其他建議。如果虛擬機器與實體伺服器之間所必須分析的流量非常多,則產生建議可能會花費 10–15 分鐘的時間。
    已起始的建議會在 建議資料表中列出,類似於下列螢幕擷取畫面顯示的內容。

    • 建議分析的狀態可在建議資料表的狀態資料行中進行追蹤。狀態會依序從等待中探索進行中再進展到已可發佈。如果未產生任何建議,則狀態值會設定為沒有可用的建議。如果建議分析因某些原因而失敗,則會顯示失敗狀態。
    • 輸入實體資料行會列出用來產生建議的實體。按一下此資料行中連結的文字,會以唯讀模式顯示選取的實體對話方塊。
    • 建議的實體資料行會根據網路流量和輸入界限列出建議的安全性原則規則、原則安全群組和服務的連結。
    • 監控資料行指出是否正在針對用於產生建議的原始輸入實體監控變更。此功能適用於狀態為已可發佈沒有可用的建議失敗的建議。您可以將監控按鈕切換為開啟或關閉。切換開啟時,系統會每小時檢查一次輸入實體範圍中的變更。
    • 如果所使用的任何輸入實體發生任何變更,則會在已可發佈沒有可用的建議,或失敗狀態旁顯示偵測到變更圖示 。您可以檢閱變更並重新執行建議。如需詳細資訊,請參閱重新執行 NSX Intelligence 建議
    • 當您按一下建議資料列最右側的畫布圖示 時,所選實體的視覺效果會顯示在計劃和疑難排解 > 探索和採取動作使用者介面下方的圖形畫布中。
  12. 狀態值為已可發佈時,請檢閱所產生的建議,並決定是否進行發佈。請參閱檢閱並發佈產生的 NSX Intelligence 建議