在產生的 NSX Intelligence 建議達到已可發佈狀態之後,您便可以檢閱建議、視需要修改,並決定是否將其發佈。

必要條件

程序

  1. 從瀏覽器以必要的權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>
  2. 按一下計劃和疑難排解 > 建議
  3. (選擇性) 若要協助縮小所顯示的建議清單範圍,請按一下 UI 右上角的篩選器。按一下套用篩選器,然後從下拉式功能表中選取一或多個篩選器。

    例如,在按一下套用篩選器後,請選取基本詳細資料 > 監控 > 開啟,以便僅顯示已將監控參數設為開啟的建議。

  4. (選擇性) 如果您決定不使用所產生的建議,請按一下 [動作] 功能表,然後選取刪除
  5. 若要開始檢閱和管理狀態為已可發佈的建議的詳細資料,請按一下建議名稱的連結,或按一下 [動作] 功能表並選取檢閱和發佈

    建議精靈隨即顯示,類似於下列影像。在檢閱建議窗格中,建議的詳細資料會顯示在分割視圖中。窗格上半部會顯示圖形格式的視覺化建議。窗格下半部會列出表格式的建議。


    透過周圍的內容來說明的 [檢閱建議] 窗格。

  6. 使用窗格上半部來檢查建議的圖形視覺化。

    您可以按一下特定節點和流量箭頭,以查看建議的詳細資料。您可以指向兩個群組節點之間的流量箭頭,以查看群組之間已套用的原則規則或已建立的服務內容。在流量箭頭上按一下滑鼠右鍵,以根據對應的原則規則篩選建議。

    節點邊緣若具有 [建議的群組] 圖示 圖示,則表示該節點代表一個建議群組。您可以對節點按一下滑鼠右鍵以取得建議的群組、重新命名群組,或編輯屬於該群組的計算實體成員。您也可以對群組節點按一下滑鼠右鍵,然後選取篩選依據,以使用目前群組作為用來顯示所產生建議詳細資料的篩選器。

    使用建議的圖形視圖進行的變更會反映在窗格下半部的資料表中。同樣地,對資料表中的建議資訊進行的變更也會反映在圖形視覺化中。

  7. 檢閱建議窗格的下半部,您可以使用建議的表格式視圖來查看有關建議中所包含規則、群組和服務的詳細資料。使用用於建議的流量索引標籤,以查看用於產生建議的不受保護流量。

    您可以透過按一下規則群組服務索引標籤,來檢查和修改任何建議的詳細資料。

    建議的原則區段中,規則群組服務索引標籤上會顯示數字。這些數字指出所建議的新規則、群組和服務的數目。在產生建議時,這些資訊不存在於 NSX 詳細目錄中。例如,在上方的螢幕擷取畫面中,建議的服務索引標籤會顯示所建議的服務為零個。產生建議時,群組所使用的服務存在於 NSX 詳細目錄中。因此,系統不會建議任何新服務。

    規則索引標籤中套用至規則的任何變更 (例如新增、刪除或編輯規則或區段),都會在 [規則] 資料表和圖形視覺化窗格中立即反映。在 [規則] 資料表中,名稱左側帶有新增徽章的規則表示這是新產生的規則,而不是與所選實體關聯的既有 DFW 規則。如果使用現有規則,但未對其進行任何變更,則該規則所在的資料列會變暗。如果建議引擎修改了現有規則,該規則所在的資料列不會變暗,且旁邊不會有 [新增] 徽章。

    1. 若要編輯來源目的地套用至資料行中的詳細資料,請指向對應的資料行,並按一下 [編輯] 圖示 [編輯] 圖示

      在產生的對話方塊 (例如,設定來源群組) 中,檢閱新建議的群組或建議引擎所產生的現有群組。如果您新增或移除群組,請按一下儲存

    2. 如果您要重新命名建議的群組,請在規則索引標籤或群組索引標籤中,按一下該群組名稱的連結。在群組詳細資料對話方塊中,按一下群組定義,然後在名稱文字方塊中,輸入所建議群組的新名稱。按一下儲存
    3. 若要定義符合 DFW 規則時封包的處理方式,請選取動作資料行中的允許捨棄拒絕
    4. 若要啟用或停用 DFW 規則,請切換動作資料行右側的按鈕。發佈建議時,依預設會將產生的規則設為 Activated
    5. 若要在建議中檢閱有關群組的詳細資料,請按一下群組索引標籤。

      刪除群組之前,請確保沒有使用該群組的規則。

    6. 按一下成員資料行中的連結,檢閱針對群組建議所設定之虛擬機器、IP 和實體伺服器的詳細資料。
    7. 按一下群組名稱旁邊的 [動作] 功能表,然後選取編輯來修改群組建議。
    8. 按一下服務索引標籤,並檢閱詳細資料。
    9. 按一下服務名稱旁的 [動作] 功能表,然後選取編輯,來修改名稱或說明。

      刪除服務之前,請確定沒有規則正在使用該服務。

    10. 按一下行最右側的齒輪圖示 齒輪圖示,以檢閱及管理用來產生建議的設定。
  8. 若要繼續發佈建議,請按一下繼續

    或者,按一下稍後再繼續以儲存您所做的任何變更,並結束建議檢閱工作階段。

  9. 序列與發佈窗格中,定義在針對現有 DFW 規則套用相關新建議的安全性原則的順序。
    備註:

    如果您選取重複使用防火牆區段,則無法移動及重新排序所建議的原則。唯有新建議的原則,才能重新排序。

    1. 選取新安全性原則建議的資料列。
    2. 按一下 [動作] 功能表圖示 [動作] 功能表,它位於列有新建議的安全性原則的資料列最左側。
    3. 若要將新建議安全性原則的已選取資料列移至現有安全性原則所在資料列上方或下方的位置,請從顯示的功能表中選取將選取的原則移至此原則上方將選取的原則移至此原則下方

      或者,您也可以將目前所選的新原則建議資料列向上或向下拖曳至您想要的順序位置。

  10. 按一下發佈

    若要停止檢閱建議,請按一下取消

  11. 發佈建議對話方塊中,按一下
  12. 已發佈原則對話方塊中,按一下關閉以關閉對話方塊,或按一下在分散式防火牆表格中檢視以檢視剛剛在安全性 > 分散式防火牆 > 所有規則索引標籤中發佈的安全性原則。

    回到計劃和疑難排解 > 建議窗格中,在建議資料表中,您剛剛發佈建議的狀態資料行會變更為已發佈

結果

安全性原則建議成功發佈之後,在計劃和疑難排解 > 建議索引標籤中會處於唯讀模式。若要檢視並管理已發佈的規則建議,請前往安全性 > 分散式防火牆

重要:

發佈規則建議後,視覺化會繼續在計算實體之間將受影響的流量顯示為橙色箭頭 (不受保護流量),直到在受影響的計算實體之間產生新流量為止。此視覺化僅會根據流量在主機上發生的時間來報告流量,而不會反映在發生該流量後發佈的規則集。在發佈規則集並產生新的流量後,新的流量會顯示為綠色箭頭 (已允許流量)。