NSX Intelligence 功能產生的微分割建議包含安全性原則、原則安全群組和應用程式的服務。

功能概觀

NSX Intelligence 建議會以所選原則群組、虛擬機器或實體伺服器的計算成員之間發生的網路流量模式為基礎。建議可以藉由關聯 NSX 環境中所發生通訊的流量模式,協助您強制執行較動態的安全性原則。

  • 安全性原則建議是應用程式類別的東西向分散式防火牆 (DFW) 安全性原則。

  • 安全群組建議包含了虛擬機器或實體伺服器,且已針對您指定的時段和界限分析其流量。

  • 服務建議是服務物件,由您指定的虛擬機器或實體伺服器中的應用程式使用,但服務尚未在 NSX 詳細目錄中定義。

用來產生建議的工作流程

下列以高階角度來說明 NSX Intelligence 如何產生微分割建議。

  1. 使用必要的權限登入 NSX Manager 後,會起始新的建議分析。

    有多種方式可要求 NSX Intelligence 建議,但最簡潔的方式是按一下計劃和疑難排解 > 建議索引標籤,並按一下啟動新的建議

  2. 至少提供產生新的 NSX Intelligence DFW 建議所需的最少資訊。

    • NSX 環境中作為輸入的任何計算實體 (群組、虛擬機器或實體伺服器)。如果您選取的群組與現有的 L4 或 L7 DFW 區段相關聯,您也需指定要使用一或多個現有 DFW 區段來進行建議分析,還是讓系統建立新的 DFW 區段。系統可能會建議更新現有 DFW 區段中的規則,並在易受攻擊的區域為工作負載之間的入口流量、出口流量或應用程式內流量,提供更好的保護。

    • 要在哪個時間範圍內,針對提供的計算實體或現有的安全性原則規則,分析其網路流量。您可以修改預設時間範圍 (過去 1 個月)。

  3. (選擇性)

    修改進階選項區段中使用的預設值。

    如需詳細資料,請參閱產生新的 NSX Intelligence 建議

  4. 按一下開始探索

  5. 一旦建議分析作業狀態變為已可發佈後,檢閱產生的 DFW 建議並進行發佈。

    建議分析完成之後,您可以檢視建議的詳細資料,並在發佈之前視需要進行修改。如需詳細資料,請參閱檢閱並發佈產生的 NSX Intelligence 建議

  6. (選擇性)

    將產生的 NSX Intelligence 建議匯出至 JSON 格式的檔案或 CSV 格式的檔案。

    如有必要,請先使用外部 REST API 工具修改該 JSON 檔案,再將其提交給 NSX Policy Manager 進行處理。如需詳細資訊,請參閱將 NSX Intelligence 建議匯出為 JSON 檔案將 NSX Intelligence 建議匯出為 CSV 檔案

請參閱以下有關 NSX Intelligence 如何產生建議的資訊。