根據您在開始進行建議分析時所選取的流量範圍,NSX Intelligence 建議引擎會選取來自指定建議界限的計算實體,以及它們之間未經微分割的入口 (輸入)、出口 (輸出) 或應用程式內流量。
NSX Intelligence 建議引擎會依這些流量進行時使用的服務 (連接埠或通訊協定準則),來彙總這些流量。特定服務的每個流量的來源和目的地會分組在一起。在建立分組時,NSX Intelligence 建議引擎會使用使用者指定的比對率臨界值,並嘗試重複使用 NSX 詳細目錄中的現有群組,包括位於某個群組現有 IPSet 範圍內的那些群組。
如果 NSX Intelligence 建議引擎找不到任何現有群組可滿足所設定的分組臨界值,則會建立一個新群組作為建議。
在產生建議時,NSX Intelligence 建議引擎會考慮您在要分析的流量選項中指定的流量類型。如果您選取了傳入流量類型,則只會考慮源自應用程式界限外的所有流量。如果您選取了 [所有流量]、[傳入和傳出流量] 或 [傳入和應用程式內流量] 流量類型,則 NSX Intelligence 建議引擎會根據服務,將這些方向的流量彙總在一起,以形成 DFW 規則建議。
以下列流量為例。
界限是使用 VM1 和 VM2 設定
群組:CG,成員為 VM1 和 VM2
群組:G3,成員為 VM3 和 VM4
假設比對臨界值:50%
未分割的流量如下所示。
VM3 到 VM1 使用 SSH
VM1 到 VM2 使用 SSH
下列是產生的微分割建議,這是 SSH 的單一規則。
來源群組 |
目的地群組 |
服務 |
套用至群組 |
---|---|---|---|
G3 + CG (重複使用現有群組) |
CG,成員為 VM1 和 VM2 |
SSH |
群組 CG,VM1 和 VM2 為成員 |
如果流量來自設定的專用 IP 位址遮罩外部,則與未包含在專用 IP 前置詞清單中的這類 IP 位址之間的流量將標記為「任何」。
考慮下列未分割的流量。
任何流量到 VM1 使用 SSH
流量從 VM1 到 VM3 使用 SSH
界限是使用 VM1 和 VM2 設定
定義的群組為 CG,VM1 和 VM2 為成員
在此情況下,在彙總入口和出口流量時,它們會變為使用 SSH 從 VM1 到 VM2 和 VM3 的任何流量。
結果,這會產生下列微分割規則。
來源 |
目的地 |
服務 |
套用至 |
---|---|---|---|
任何 |
CG 中的 [VM1],G3 中的 [VM3] |
SSH |
CG [VM1、VM2] |
所有規則一律會僅套用至您在產生建議之前指定的建議界限的成員。使用彙總的原因是要減少根據服務產生的 DFW 規則數目。
現有 DFW 區段的建議
如果您在建議的界限範圍中選取的實體,與任何現有的分散式防火牆區段相關聯,並且您在選取分散式防火牆區段對話方塊中選取了使用現有區段選項,則 NSX Intelligence 建議引擎在執行建議分析時,會包含這些現有的 DFW 區段。在 DFW 建議過程中,會更新現有規則的來源和目的地欄位,以針對符合指定 DFW 區段範圍的計算工作負載,將流入和流出這些計算工作負載的任何洩漏流量,正確地進行微分割。
以前,僅支援對現有 DFW 區段中現有 L4 規則的更新。從 NSX Intelligence 4.1.1 開始,還支援更新與您指定的建議界限範圍內的實體相關聯的現有 DFW 區段中的現有 L7 規則。
若要使用這項新功能,您必須在啟動新的建議對話方塊的建議服務類型區段中,選取 L7 內容設定檔選項。
- 會使用所有現有的規則來比對洩漏的流量,且 NSX Intelligence 建議引擎會嘗試將這些流量,與規則中相同的 port、protocol 和 app_id 值進行比對。具有非零 app_id 的流量的取樣仍會保留,以作為洩漏流量的一部分。其 app_id 值等於 0 或空白的流量的取樣則會被篩選掉。
- 會使用其來源或目的地相符的那些規則。偏好的作法是使用只有其中一端需要更新的規則。如果找不到這種規則,則會選取其來源和目的地都需要更新的規則。
- 對於那些具有 app_id 值的流量,若有現有的規則相符,並挑選該規則,則會使用 L7 規則。
- 對於那些沒有 app_id 值的流量,若有現有的規則相符,並挑選該規則,則該規則不得包含任何內容設定檔。NSX Intelligence 建議工作只會變更此規則中的來源和目的地。
- 如果找不到現有的規則,則會建立新規則。
- 對於具有 app_id 值的流量,如果可以使用與該流量相關聯的 app_id 值來識別內容設定檔詳細資料,則會建立包含內容設定檔的新規則。否則,會建立新的 L4 規則,因為 NSX Intelligence 建議引擎不會建立新的內容設定檔。
- 對於沒有 app_id 值的流量,NSX Intelligence 建議引擎會建立符合這些流量的新 L4 規則。
- 如果 NSX Intelligence 建議引擎發現某個現有規則需要修改 (亦即,找到相符的來源/目的地端),則會修改不相符端,以包含具有偵測到洩漏流量的計算實體的群組 (新群組或重複使用的群組)。
- 會變更規則的不相符端,以根據下列選取準則來包含群組:
- 尋找洩漏的虛擬機器的最大相符項,以選取一個群組。這可能是部分相符,其中群組可能包含流量中未涉及的其他計算資源。可能會挑選多個群組。在挑選群組時,會先依最高比對率,再來是最多相符數,然後是最近建立時間 (會優先選取最近建立的群組),直到已無其他群組可挑選,或已涵蓋所有洩漏為止。
- 如果計算實體未與任何群組相關聯,則會建立新群組,以納入這些計算實體。如果比對率小於指定的群組重複使用臨界值,則即使現有群組中存在計算實體,也會為計算實體建立新群組。
- 會修改規則,以將選取的群組包含在來源或目的地中。
- 如果未偵測到洩漏的流量,這表示目前現有的規則涵蓋了所選時段內的所有流量,因而不會建議任何新的 DFW 規則。
- 如果需要修改現有 DFW 規則,且它是包含內容設定檔的 L7 規則,則內容設定檔會保留在此 DFW 規則中。
如果提供作為輸入的 DFW 區段已具有一些規則,且建議的新 DFW 規則可能超過每個區段 1000 個規則的限制,則會將 NSX Intelligence 建議工作狀態設定為失敗。因此,無法發佈 DFW 規則建議。您必須提供一個區段,且其具有足夠空間來新增建議的規則。