NSX-T Data Center 專為處理新興應用程式架構和具有異質端點和技術堆疊的架構而設計。除 vSphere 以外,這些環境可能還包含其他管理程式、容器、裸機和公有雲。vRealize Network Insight 支援虛擬機器由 vCenter 管理的 NSX-T Data Center 部署。
考量事項
- vRealize Network Insight 僅支援由 vCenter 管理 ESXi 主機的 NSX-T 設定。
- vRealize Network Insight 支援 NSGroup、NSX-T 防火牆規則、IPSet、NSX-T 邏輯連接埠、NSX-T 邏輯交換器、NSX-T Distributed Firewall IPFIX 流量、區段、群組和以原則為基礎的 VPN。
- vRealize Network Insight 同時支援 NSX-V 和 NSX-T 部署。在查詢中使用 NSX 時,結果將包含 NSX-V 和 NSX-T 實體。NSX Manager 會列出 NSX-V Manager 和 NSX-T Manager。NSX 安全群組會列出 NSX-T 和 NSX-V 安全群組。如果您使用 NSX-V 或 NSX-T 而不是 NSX,則僅會顯示這些實體。此邏輯同樣適用於防火牆規則、IPSet 和邏輯交換器等實體。
- 透過 NSX-T 2.4 版本,vRealize Network Insight 支援 NSX 宣告式原則管理,可透過結果導向的原則聲明簡化並自動化網路與安全性組態。
備註: 安全群組的微分割是基於 NSX 原則資料完成的。但是,如果沒有相應的 NSX 原則群組,會將獨立的 NS 群組包含在微分割分析中。如需有關 NS 群組的更多詳細資料,請參閱 NSX-T 產品說明文件。
將 NSX-T Manager 新增為資料來源
以下是將 NSX-T Manager 新增為資料來源的必要條件:
- 您必須至少具有唯讀權限。
- 必須將與 NSX-T Manager 相關聯的所有 vCenter 新增為 vRealize Network Insight 中的資料來源。
備註: 如果在新增 vCenter 前已新增 NSX-T Manager,則 vRealize Network Insight 約需要 4 小時才能穩定。
- 確保在 Distributed Firewall (DFW) 的排除清單中沒有邏輯交換器。如果此清單中有任何邏輯交換器,則不會報告連結至這些邏輯交換器的任何虛擬機器的流程。
新增 NSX-T Manager:
- 在設定下的帳戶和資料來源頁面中,按一下新增來源。
- 在選取帳戶或資料類型頁面的 VMware Manager 下,選取 VMware NSX-T Manager。
- 提供使用者認證。
備註:
- 如果在單一 NSX-T 部署中有多個管理節點,則必須僅新增一個節點做為 vRealize Network Insight 中的資料來源或使用虛擬 IP (VIP) (屬於這些節點)。如果您新增多個管理節點,則 vRealize Network Insight 可能無法正常運作。
- 當您新增 NSX-T 做為資料來源時,建議使用 VIP。如果您新增管理節點 IP 而非 VIP,且在稍後想要新增 VIP 或其他管理節點 IP,則必須刪除現有資料來源,才能新增 VIP 或管理 IP。
- 確保可從收集器連線到叢集中的每個管理節點。
- 如果不需要 IPFIX,則使用者必須是具有稽核層級權限的本機使用者。但是,如果需要 IPFIX,則使用者必須具有下列其中一項權限:enterprise_admin、network_engineer 或 security_engineer。
- (選擇性) 選取啟用 DFW IPFIX 以更新 NSX-T 上的 IPFIX 設定。透過選取此選項,vRealize Network Insight 會接收來自 NSX-T 的 DFW IPFIX 流量。如需有關啟用 IPFIX 的詳細資訊,請參閱啟用 VMware NSX-T DFW IPFIX。
備註:
- DFW IPFIX 在 NSX-T 的標準版本中不受支援。
- vRealize Network Insight 不支援 NSX-T 交換器 IPFIX 流量。
- (選擇性) 如果您想要收集延遲度量資料,則選取啟用延遲度量收集核取方塊。如果選取此選項,vRealize Network Insight 會從 NSX-T 接收延遲度量,例如 VTEP - VTEP、vNIC - pNIC、pNIC - vNIC、vNIC - vNIC。如需有關網路延遲的詳細資訊,請參閱〈網路延遲統計資料〉。
備註:
- 此選項僅適用於 NSX-T 2.5 及更新版本。
- VTEP - VTEP 可從 NSX-T 2.5 及更新版本取得。
- vNIC - pNIC、pNIC - vNIC、vNIC - vNIC 可從 NSX-T 3.0.2 及更新版本取得。
- 若要啟用延遲度量收集,您必須擁有 enterprise_admin 權限。
- 確保在收集器上開啟連接埠 1991,以接收來自 ESXi 節點的延遲資料。
- 此選項僅適用於 NSX-T 2.5 及更新版本。
- (選擇性) 若要啟用從 NSX Intelligence 進行流量收集,請選取啟用 NSX Intelligence 核取方塊。
NSX Intelligence 透過應用層可見度提供深度封包檢查。從 NSX Intelligence 接收流量後,可以查看 L7 (應用程式層) 資訊,例如應用程式識別碼。
備註: 若要在 vRealize Network Insight 中啟用 NSX Intelligence,則必須部署 NSX Intelligence 應用裝置。 vRealize Network Insight 支援 NSX Intelligence 1.2 與 NSX-T Data Center 3.1 及更新版本。NSX Intelligence 至少需要 12 分鐘才能處理流量資訊並將其傳送至 vRealize Network Insight。
備註: 若要啟用從 NSX Intelligence 進行流量收集,您必須選取 啟用 DFW IPFIX 核取方塊,因為 vRealize Network Insight 使用 DFW IPFIX 作為流量的主要來源。L7 資訊無法用於已捨棄的流量,因為 NSX Intelligence 不支援此功能。
查詢範例
以下是一些與 NSX-T 相關的查詢範例:
| 查詢 | 搜尋結果 |
|---|---|
| NSX-T Manager where VC Manager=10.197.53.214 | 此特定 VC Manager 已新增為計算管理程式的 NSX-T Manager。 |
| NSX-T Logical Switch | 列出 vRealize Network Insight 執行個體中存在的所有 NSX-T 邏輯交換器。其中包括它是由系統建立還是使用者建立的交換器的詳細資料。 |
| NSX-T Logical Ports where NSX-T Logical Switch = 'DB-Switch' | 列出屬於該特定 NSX-T 邏輯交換器 DB-Switch 的 NSX-T 邏輯連接埠。 |
| VMs where NSX-T Security Group = 'Application-Group' 或 VMs where NSGroup = ‘Application-Group’ |
列出該特定安全群組 Application-Group 中的所有虛擬機器。 |
| NSX-T Firewall Rule where Action='ALLOW' | 列出其動作設為 ALLOW 的所有 NSX-T 防火牆規則。 |
| NSX-T Firewall Rule where Destination Security Group = ‘CRM-Group’ | 列出 CRM-Group 是目的地安全群組的防火牆規則。結果包含直接目的地安全群組和間接目的地安全群組。 |
| NSX-T Firewall Rule where Direct Destination Security Group = ‘CRM-Group’ | 列出 CRM-Group 是目的地安全群組的防火牆規則。結果僅包含直接目的地安全群組。 |
| VMs where NSX-T Logical Port = ‘App_Port-Id-1’ | 列出具有該特定 NSX-T 邏輯連接埠的所有虛擬機器。 |
| NSX-T Transport Zone | 列出 VLAN 和覆疊傳輸區域以及與其相關聯的對應詳細資料 (包括傳輸節點的類型)。
備註:
vRealize Network Insight 不支援將 KVM 做為資料來源。
|
| NSX-T Router | 列出 TIER 1 和 TIER 0 路由器。按一下結果中顯示的路由器,以檢視其相關聯的更多詳細資料,包括 NSX-T Edge 叢集和 HA 模式。 |
| NSX Policy Segment | 列出 vRealize Network Insight 執行個體中存在的所有 NSX 原則區段。 |
| NSX Policy Manager | 列出 vRealize Network Insight 執行個體中存在的所有 NSX Policy Manager。 |
| NSX Policy Group | 列出 vRealize Network Insight 執行個體中存在的所有 NSX 原則群組。 |
| NSX Policy Firewall | 列出 vRealize Network Insight 執行個體中存在的所有 NSX 原則防火牆。 |
| NSX Policy Firewall Rule | 列出 vRealize Network Insight 執行個體中存在的所有 NSX 原則防火牆規則。 |
| NSX Policy Firewall Rule where Action = 'ALLOW' | 列出其動作設為 ALLOW 的所有 NSX 原則防火牆規則。 |
| NSX Policy Based VPN | 列出 vRealize Network Insight 執行個體中存在的所有以 NSX 原則為基礎的 VPN。 |
備註: 如果將 NSX-T 2.4 和
VMware Cloud on AWS 新增為
vRealize Network Insight 中的資料來源,為了取得 NST-T 實體,您必須在查詢中新增
SDDC type = ONPREM 篩選器。例如,
NSX Policy Based VPN where Tier0 = ‘’ and SDDC Type = ‘ONPREM’。
NSX-T 度量支援
下表顯示了目前支援 NSX-T 度量的
vRealize Network Insight 實體,以及在對應實體儀表板上顯示這些度量的 Widget。
| 實體 | 實體儀表板上的 Widget | 支援的 NSX-T 度量 |
|---|---|---|
| 邏輯交換器 | 邏輯交換器封包度量 邏輯交換器位元組度量 |
|
| 邏輯連接埠 | 邏輯連接埠封包度量 邏輯連接埠位元組度量 |
|
| 路由器介面 | 路由器介面度量 |
|
| 防火牆規則 | 防火牆規則度量 |
|
以下是一些有關 NSX-T 度量的查詢範例:
nsx-t logical switch where Rx Packet Drops > 0此查詢會列出捨棄的已接收封包計數大於 0 的所有邏輯交換器。
nsx-t logical port where Tx Packet Drops > 0此查詢會列出捨棄的已傳輸封包計數大於 0 的所有邏輯連接埠。
top 10 nsx-t firewall rules order by Connection count此查詢根據連線計數 (
Hit Count) 列出前 10 個防火牆規則。
NSX-T 的安全性計劃
若要規劃 NSX-T 網路的安全性,您可以選取
NSX-T Layer2 網路做為範圍,並使用下列查詢:
plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’您也可以執行下列步驟來達成同樣的目的:
- 從導覽側邊欄中選取。
- 從下拉式功能表中選取 NSX-T L2 網路或 NSX 原則區段作為範圍。
備註: 範圍中提供了 NSX-T 相關實體,例如
NSX-T L2 網路和
NSX 原則區段。您可以使用這些與 NSX-T 相關的實體進行安全性計劃。
