NSX Intelligence 建議功能可以提供建議給您,協助您微分割您的應用程式。

產生 NSX Intelligence 建議包括安全性原則、原則安全群組和應用程式服務的建議。NSX Intelligence 會根據您的 NSX 環境中虛擬機器 (VM) 與實體伺服器之間的通訊流量模式,來提出原則建議。

您可以透過選取群組或 100 部虛擬機器與實體伺服器的輸入實體,或群組、虛擬機器與實體伺服器或現有安全性原則的組合,以產生 NSX Intelligence 建議。您可以選取作為輸入的虛擬機器和實體伺服器的總數,不能超過這些實體的 100 個。您可以在包含群組、虛擬機器或實體伺服器的輸入中使用的有效虛擬機器和實體伺服器的總數,不能超過 250 個輸入實體。

例如,如果您選取 50 部虛擬機器和 50 部實體伺服器作為建議輸入實體的一部分,則只能選取具有不超過合計 150 個計算成員的群組。

重要:

您只能針對在原則模式下建立的安全性群組產生新的建議。安全性群組必須至少有一個支援的成員類型,才能讓 NSX Intelligence 功能開始針對這些安全性群組的建議分析。支援的成員類型包括虛擬機器、實體伺服器、虛擬網路介面 (VIF)、邏輯連接埠和邏輯交換器。如果安全群組中至少存在一個支援的成員類型,則建議分析可以繼續進行,但在建議分析期間,不會考慮不支援的成員類型。

有多種方式可以使用 NSX Intelligence 使用者介面來產生建議。下列程序會說明可用的方法。

必要條件

  • NSX Application Platform 3.2 或更新版本上啟用 NSX Intelligence 3.2 或更新版本。請參閱《啟用和升級 VMware NSX Intelligence》 3.2 或更新版本文件。

  • 請確定您擁有產生建議所需的權限。如需詳細資訊,請參閱NSX Intelligence 中的角色型存取控制

程序

  1. 從網頁瀏覽器以必要的權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>
  2. 使用下列其中一種方法來起始產生新建議的程序。

    從何處開始

    下一步

    選取計劃和疑難排解 > 建議

    按一下啟動新的建議

    選取計劃和疑難排解 > 探索和採取動作
    1. 按一下位於流量列左側的建議圖示 建議圖示

    2. 選取啟動建議

    若要取得一或多個群組的建議,請選取計劃和疑難排解 > 探索和採取動作

    1. 確認已在安全性視圖選取區域中選取群組視圖。

    2. 在想要為其產生建議的群組節點上按一下滑鼠右鍵。或者,使用 [選取] 圖示 [選取] 圖示,選取一或多個群組節點。

    3. 以滑鼠右鍵按一下您所選的其中一個節點,然後從下拉式功能表中,選取啟動建議

      或者,如果您使用 [選取] 圖示 [選取] 圖示 來做出選擇,請按一下已選取面板中的 [建議] 圖示 [建議] 圖示

    如需虛擬機器或實體伺服器的建議,請選取計劃和疑難排解 > 探索和採取動作

    選取至少一部虛擬機器或實體伺服器,或兩者的組合。

    1. 安全性視圖選取區域中,按一下群組旁的向下箭頭,然後選取計算

    2. 按一下全部,然後從 [可用的項目] 清單中,選取特定虛擬機器及/或實體伺服器。或者,按一下全部 > 顯示全部類型,然後從下拉式功能表中,選取虛擬機器實體伺服器

    3. 按一下套用

    4. 按一下位於流量列左側的建議圖示 建議圖示

    5. 選取已篩選計算的啟動建議

      或者,如果您使用 [選取] 圖示 [選取] 圖示 來選取計算實體節點,請按一下已選取面板中的 [建議] 圖示 [建議] 圖示
    下圖顯示起始新建議時所使用的預設值。
    [啟動新的建議] 對話方塊圖,其中展開了 [進階選項] 區段

  3. 啟動新的建議對話方塊中,變更建議名稱文字方塊的預設值。

    提供可反映要進行微分割之應用程式的名稱。當您在建議分析期間,為所建立的建議群組和規則建立名稱時,會使用此名稱。

  4. 變更說明文字方塊的預設值,以便更輕鬆地重新叫用建議的相關資訊。
  5. 定義或修改用作安全性原則建議之界限的虛擬機器或實體伺服器。
    1. 在範圍內選取的實體區段中,按一下選取實體。在您啟動新的建議之前,如果您已選擇群組、虛擬機器或實體伺服器,您可以按一下所選實體數目的連結,以修改您目前的選取項目。
    2. 選取實體對話方塊中,若要選取一或多個您想要包含的群組,請按一下群組。若要選取虛擬機器或實體伺服器作為分析的界限,請按一下虛擬機器索引標籤或實體伺服器索引標籤,然後進行選取。

      您可以選取群組以及最多 100 部虛擬機器或實體伺服器,但不得超過用於建議界限的有效計算實體總數 (250 個)。取消選取您不想包含的實體。您也可以按一下篩選器,然後選取您要用來篩選您想要選取的群組、虛擬機器或實體伺服器的屬性。若要取消選擇目前選取的任何實體,請按一下清除

    3. 按一下儲存
    4. (選擇性) 如果系統發現現有的分散式防火牆 (DFW) 區段與您在上一步中選取的群組相關聯,則會顯示選取分散式防火牆區段對話方塊。如果您想使用現有的 L4 或 L7 分散式防火牆 (DFW) 區段,請從清單中選取一個區段。如果您希望系統建立新的區段,請選取建立新區段
    5. (選擇性) 按一下儲存

      系統會利用指出您所選實體數量的連結,來更新在範圍內選取的實體文字方塊。若要修改您的選擇,請按一下數字連結。

      如果您在建議分析期間選取使用現有的分散式 DFW 區段,系統會在在範圍內選取的實體文字方塊中指出該區段。

  6. (選擇性) 時間範圍文字方塊中,您可以變更顯示的預設值。

    預設值為過去 1 個月。在建議分析期間,會使用所選虛擬機器或實體伺服器之間 (或一組虛擬機器或實體伺服器之間) 在所選時間範圍內所發生的流量。可從中選取的其他時間範圍值包括:過去 1 小時過去 12 小時過去 24 小時過去 1 週過去 2 週

  7. 展開進階選項區段。
  8. 輸入選項子區段中,視需要修改指派的預設值。

    如果您未使用現有的 DFW 區段,則可以修改預設指派的值。如果您選擇使用現有的 DFW 區段,則此區段中顯示的值是從該現有 DFW 區段中取得。

    1. 要分析的流量下拉式功能表中,選取要在建議分析中考慮的流量類型。預設值為 All Traffic

      • 傳入和傳出流量 - 考慮源自應用程式界限內到界限外,以及源自應用程式界限外到界限內的所有流量類型。

      • 傳入流量 - 僅考慮源自您應用程式界限外的流量。

      • 所有流量 - 考慮所有輸出、輸入和應用程式內流量類型。

      • 傳入和應用程式內流量 - 考慮源自應用程式界限外和應用程式內流量的所有流量類型。

    2. 通訊協定和連接埠準則區段中,選取排除比對任何,以指定要排除還是比對您在文字方塊中所輸入的任何連接埠、連接埠範圍或通訊協定。

      依預設,在指定時間範圍內,來自環境中所有已知連接埠和通訊協定的流量,都會在建議分析期間使用。若要篩選要在建議分析期間使用的流量,請輸入最多 15 個項目的任意組合 (包括單一連接埠、連接埠範圍或通訊協定),以便排除其流量或用來比對任何項目。例如,「88, 90-98, TCP:100-111, UDP」。

    3. 排除流量區段中,指定您要在建議分析期間排除的流量類型。
      依預設會排除多點傳播流量和廣播流量。您可以按一下流量類型名稱旁邊的 X,以取消選取一或兩種流量類型。
    4. 若要從新建議分析中排除基礎結構計算實體,請啟用排除基礎結構工作負載切換。

      啟用此切換後,建議引擎會從建議分析中排除所有基礎結構計算實體及其發生的流量。建議引擎不會重複使用含有基礎結構實體的群組。內容輸入不會有所變更,即使其中含有任何基礎結構計算實體也是如此。但是,建議引擎不會建議在規則來源或目的地中具有任何基礎結構計算實體的任何防火牆規則。

      如需詳細資訊,請參閱在 NSX Intelligence 中管理計算實體分類

    5. 要考量的其他規則區段中,您可以選擇性地指定還應使用的規則,以決定要將哪些流量視為未分割。
      依預設,建議引擎會使用其 SourceDestination 具有 Any 值的規則。

      如果您希望在建議分析期間考慮更多的規則,您可以從要考量的規則類型下拉式功能表中,選取最多三種規則類型,或者從要考量的其他規則下拉式功能表中,選取最多 5 個特定規則。

      規則類型或特定規則 說明
      Source 中具有 ANY 的規則

      當選取此項時,會將其 Source 值為 ANY 的非預設規則視為預設規則。遇到這些規則的流量會被視為未分割。為了重複使用現有區段,不會考慮修改這些額外的預設規則。
      Destination 中具有 ANY 的規則

      當選取此項時,會將其 Destination 值為 ANY 的非預設規則視為預設規則。遇到這些規則的流量會被視為未分割。為了重複使用現有區段,不會考慮修改這些額外的預設規則。
      Service 中具有 ANY 的規則

      當選取此項時,會將其 Service 值為 ANY 的非預設規則視為預設規則。遇到這些規則的流量會被視為未分割。為了重複使用現有區段,不會考慮修改這些額外的預設規則。
      特定規則識別碼或規則名稱的清單

      此清單最多可包含 5 個被視為額外預設規則的規則識別碼或規則名稱。遇到預設規則和這些規則的流量會被視為不受分割。為了重複使用現有區段,不會考慮修改這些額外的預設規則。
  9. 啟動新的建議區段對話方塊的輸出選項子區段中,您可以選擇性地修改預設設定。
    1. 預設規則下拉式功能表,選取要用來建立安全性原則之預設規則的連線策略。系統會根據您選取的連線策略值,在規則上設定適當的動作。預設值為

      • 封鎖清單 - 建立預設的允許規則。

      • 允許清單 - 建立預設的捨棄規則。

      • - 不建立任何預設規則。

    2. 如果您希望建議引擎建立並建議更細微的規則,且這些規則是以未微分割流量的方向為基礎,請啟用產生流量方向感知規則切換。
      在建議分析期間,不同方向的未分割流量不會匯總在一起,以建議新規則。建議規則的來源群組和目的地群組由內容設定檔的成員或內容設定檔的非成員組成。建議界限的定義取決於您在 啟動新的建議對話方塊的 在範圍內選取的實體區段中所做的選擇。分析產生的 DFW 建議有助於確保沒有任何外部實體具有允許規則進入建議界限內,除非有從外部實體明確流量流向具有指定建議界限的實體。
    3. 如有必要,請變更建議輸出的預設值。

      • 以運算為基礎是使用的預設輸出模式。此模式表示建議引擎產生的 DFW 原則建議包含成員為虛擬機器、實體伺服器 (或兩者) 的群組。

      • 如果選取 IP 型建議輸出模式,則產生的 DFW 原則建議會包含其成員為具有靜態 IP 位址清單的 IP 集合物件的群組。以 IP 為基礎的建議不會與虛擬機器緊密繫結。如果刪除了虛擬機器,並將其 IP 位址指派給新的虛擬機器,則會將新的虛擬機器指派給相同的群組。NSX Intelligence 還會將群組的現有 DFW 原則,套用至該新虛擬機器。

    4. 計算群組重複使用臨界值的預設值變更為您認為在產生規則建議時適合使用的值。

      您可以將臨界值百分比值設定為 10 到 100。該值指定系統在重複使用現有以運算為基礎的群組 (非 IP 集合群組),以涵蓋未進行微分割的偵測流量時的嚴格程度。使用此值可控制重複使用現有群組還是要建立新群組。群組重複使用功能適用於任何具有現有安全性原則或新安全性原則的建議工作。

      如果將此值設定為 100,為建議挑選的群組不得有任何無關的計算實體。群組的計算成員不必與洩漏的計算實體相同。例如,如果洩漏的計算實體是 [VM1、VM2],G1 群組以 [VM1] 作為成員,G2 群組以 [VM2] 作為成員,則 G1 和 G2 的計算成員與洩漏的計算實體不相同,但可以同時挑選這兩個群組以涵蓋洩漏的 [VM1、VM2] 計算實體。

      不過,使用非常高的值可能會導致建立更多新的群組,因為較不可能在修改的規則中重複使用現有的群組。

      將此值設定為較低的值 (例如 10 或 20) 表示,甚至可以挑選具有無關成員 (非系統嘗試分組的計算實體) 的以運算為基礎的群組,來作為額外的規則來源或目的地。使用較低的值可能會導致重複使用大量的群組,因而將建議較少的新群組。

    5. 在建議分析期間,如果您希望建議引擎僅重複使用其 IP 集合與洩漏 IP 的 IP 集合相同的現有 IP 群組,請停用部分 IP 集合群組重複使用切換。
      依預設,會啟用此切換。
    6. 變更建議服務類型的值 (如有必要)。

      預設類型為 L4 服務,由其個別的傳輸層連接埠和通訊協定組成。或者,您可以選取 L7 內容設定檔,指出您希望產生應用程式層通訊協定規則建議。

      NSX Intelligence 4.1.1 版起,如果您在對話方塊的在範圍內選取的實體區域中選取了現有的 L7 DFW 區段,則會包含現有區段的 L7 規則建議。如需詳細資訊,請參閱現有 DFW 區段的建議

  10. 若要開始建議分析,請按一下開始探索

    NSX Intelligence 會依序處理提交的建議工作。平均而言,完成每個建議分析可能需要 3 到 4 分鐘的時間,具體取決於是否有仍在等待處理的建議工作。如果 NSX Intelligence 必須分析大量流量,則產生建議時,可能需要 10 到 15 分鐘。

    建議資料表會顯示建議工作的狀態。下列螢幕擷取畫面顯示一個範例 [建議] 頁面,其中顯示了一個正在等待處理的建議工作,以及另一個已準備好發佈的建議。已準備好發佈的建議展開的資料列會顯示用於產生該 DFW 建議的詳細資料。
    此螢幕擷取畫面顯示 [建議] 窗格,其中展開一個新產生的建議,並顯示了其詳細資料。

    • 您可以在建議資料表的狀態資料行中,追蹤建議分析工作的狀態。狀態會依序從等待中探索進行中已可發佈已發佈

      如果系統未產生建議,則會將 Status 值設定為沒有可用的建議。如果建議分析因某些原因而失敗,則顯示的狀態會是失敗

      可以取消處於等待中狀態或探索進行中狀態的建議工作。按一下動作功能表圖示 [動作] 功能表,並選取取消探索

      取消建議工作會將該工作從建議佇列中移除,且其狀態會變更為探索已取消。取消建議探索後,您可以在動作功能表中選取檢閱並重新執行,對您先前的輸入選擇進行任何修改,然後重新提交建議分析工作。

      如果建議工作處於等待中探索進行中探索已取消狀態,您也可以從動作功能表中選取刪除。刪除建議工作時,將會移除您在起始建議分析之前,與所做選擇有關的所有資訊。

    • 輸入實體資料行會列出用來產生建議的實體。按一下此資料行中連結的文字,會以唯讀模式顯示選取的實體對話方塊。您可以檢閱建議分析中所包含的群組及其成員,以及所有虛擬機器。

    • 監控資料行指出是否正在針對用於產生建議的原始輸入實體監控變更。此功能適用於狀態為已可發佈沒有可用的建議失敗的建議。您可以將監控切換設定為 [開啟] 或 [關閉]。切換開啟時,系統會每小時檢查一次輸入實體範圍或連線策略中的變更。

    • 只要所用的任何輸入實體有所變更,[偵測到變更] 圖示 當在用於建議分析的輸入實體中偵測到變更時所顯示的圖示 就會顯示在已可發佈沒有可用的建議失敗狀態旁。您可以檢閱變更並重新執行建議。如需詳細資訊,請參閱重新執行 NSX Intelligence 建議

    • 當您按一下建議資料列最右側的 [畫布] 圖示 [畫布] 圖示 時,所選實體的視覺效果會顯示在計劃和疑難排解 > 探索和採取動作使用者介面下方的圖形畫布中。如果顯示的建議狀態為已發佈,在按一下畫布圖示時,將在探索和採取動作圖形畫布中顯示建議的群組。

  11. Status 值為 Ready to Publish 時,檢閱產生的建議,並決定是否發佈該建議。如需詳細資訊,請參閱檢閱並發佈產生的 NSX Intelligence 建議