作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

各位如果有使用過NSX for vSphere的Enterprise Plus版本可能會記得有一個功能:Application Rule Manager (ARM)。Application Rule Manager是一個在已被NSX納管的環境內,進行各個虛機網路封包抓取與分析的工具,管理者可以

 

  • 訂定一個群組,把一個特定業務系統比如說有二十個虛機都納入這個群組範圍

 

  • 開始進行這個群組的網路封包紀錄,然後持續一段時間如三天或兩個星期

 

  • 停止紀錄後,ARM會就所有這些VM於時間內記錄到的網路流進行分析與正規化,並提出防火牆配置建議

 

  • 管理者可以就防火牆規則進行需要的修改,而且如果覺得規則已經完善,可以直接把這些規則與群組publish到NSX for vSphere內啟用規則

 

這也是一個滿多客戶使用的工具。而當我們由NSX for vSphere逐步改為NSX-T後,之前V版主要有的相關功能也都應該在新方案內能夠支援。因此NSX-T在 2.5 版之後推出了NSX Intelligence,不但具備了原本 ARM 的相關功能,並且希望陸續可成為在NSX環境內的可視化、網路流分析、與安全異常分析的主要方案。

 

先談架構。與之前Application Rule Manager直接在NSX Manager內執行不同,NSX Intelligence運作時需要一個獨立的VM。在NSX-T的管理介面內,可以直接選擇Intelligence的OVA安裝檔,以及目前已經接取的Compute Manager,然後把Intelligence的VM給部署出來。

 

Intelligence VM是個不小的傢伙,需求的資源如下。

NSX Intelligence是個新產品,開始支援的Scale還並沒有很大。目前大致上如果環境是在50台Host / 2000個VM以內,Small Size應該還可以承載;而Large Size大概可以到100 Hosts / 4000~5000個VM。如果要更大就需要後續產品再進行支援,但這樣的量應該對台灣9成5以上的客戶都可適用了。

 

當然以上面的規格來看,這邊就是直接一台硬體伺服器的資源都放在Intelligence的VM上了。這樣的要求不低,但大家請考慮下列這幾點:

 

  • 與 Application Rule Manager是需要開始監測時,再手動選定有哪些範圍的VM在哪些時間進行錄製;NSX Intelligence的設計是24小時不間斷地監看所有NSX-T納管範圍的網路流,因此需求的資源量大是很正常的

 

  • 如果大家有與一些競爭友商的網路分析、可視化方案進行比較,與友商們動輒要搬半櫃的伺服器專門來作為網路分析使用,我們在軟硬體上的資源要求與成本相比其實很低…

 

在NSX Intelligence安裝完之後先放一下子進行初步的資料收集與底層資料庫建立。接著在NSX-T的管理介面內,於Plan & Troubleshoot介面就會看到於Discover & Plan內出現了兩個新的工具:Discover & Take Action,以及Recommendations。在Discover & Take Action內,選擇VM或群組,然後再選擇要指定哪些機器。下圖內,我們想要看到所有CRM開頭的虛機:

按了Apply之後,這些虛機間的相互關係可以顯示出來如下:

在裡面的線條代表是在指定的時間內有發生過的網路流,如果把游標移到網路流上也可以進一步去看Flow的內容:

我們也可以把滑鼠移到指定虛機上面。按右鍵,包含這台虛機本身的資訊,以及與這台虛機所有相關的網路流都可以顯示出來:

虛機的資訊可以直接點擊看到,超簡單的

與這個虛機相關的網路流資訊也會條列如下:

到這邊為止,大家先看到NSX Intelligence的簡單畫面與初步功能。下一篇我們會針對NSX Intelligence可以進行的防火牆功能推薦與配置,和大家做進一步的介紹說明。