整合NSX分散式防火牆　規則設定檢視發布一氣呵成

前篇文章「有別vRNI網管監控支援廣‧NSX Intelligence透視深」一文與大家簡介了NSX Intelligence並抓取一些簡單畫面，可以隨時查看指定業務系統機器的網路流與相關資訊（參見網管人雜誌第184期）。如果企業花很多錢安裝了這麼大傢伙只能做這麼一點點功能，當然是不划算的，所以在本篇文章要強調一下NSX Intelligence與NSX Distributed Firewall的整合與政策推薦功能。

配置NSX Distributed Firewall

首先，請大家比較一下圖1和圖2，有什麼不一樣？

在圖1的業務系統內，所有的虛機間連接線都是「綠線」（實線），而圖2內，虛機間的連接線除了綠線外，還有紅色的虛線。NSX Intelligence不僅單純收集虛機間的網路流，在呈現給管理者的同時，也會分析這些網路流「是不是已經定義在現有的防火牆規則內」。依據不同的顏色，可能包括：

‧綠色：這裡的網路流已經很明確地在防火牆內有規則定義出來，而且允許放行。

‧藍色：這裡的網路流已經很明確地在防火牆內有規則定義出來，且被阻擋。

‧紅色：這裡的網路流在防火牆之中並沒有明確定義，在Default Rule內將被放行或阻擋。

在圖3和圖4裡，圖3是點開一條綠色線，這裡可以直接查詢到這個Flow是因為哪條規則通過。圖4則是點開一條紅色線，同樣地，也可以查詢到這個Flow是對應到哪條規則（放行或阻擋），但此時的規則通常是一條Default Rule（來源與目的地都是Any）。

因此，只要業務系統放到NSX納管的範圍內，虛機的網路流不僅會被NSX Intelligence記錄，還會直接確認這些網路流目前防火牆是否已經有被明確定義。這時候，無論是進行防火牆規則的規劃或是後續的檢視，都非常地方便。

再進一步，當要進行這個業務系統的防火牆規劃，可以直接選擇Recommendation功能。此時，僅須輸入要選擇哪些虛機，以及分析的範圍時間，如圖5所示。

與之前V版Application Rule Manager（ARM）的最大差異是，ARM是要「從頭開始錄」，但是Intelligence則是每天24小時原本就在記錄，因此相關的資料本來就已經在資料庫內。此時，NSX Intelligence僅須由資料庫內撈出相關的資訊，而且進行分析包含網路流的分類，以及哪些虛機可以放到同一個群組等等。幾分鐘後分析完成，就會出現一個初步的防火牆規則建議版本，如圖6所示。

此時先檢視各條規則，並且與應用原本文件內定義的相關規則進行比對，是否有缺漏或是有哪些規則不正常。此外，通常會到Groups檢視虛機的群組分類是否正確（圖7），並且在需要時加上識別度高的名稱（而不是Group-1/Group-2）。

相關的檢視完成後，如果管理者按下〔PUBLISH〕按鈕，這裡的規則就會直接在NSX-T的分散式防火牆內進行發布並且生效，如圖8所示。

NSX Intelligence防火牆規則與Application Rule Manager

這功能很不錯吧！先暫停總結一下，NSX Intelligence的防火牆規則推薦功能，與在NSX for vSphere內的Application Rule Manager有哪些不一樣：

‧Application Rule Manager僅能在NSX for vSphere內使用，NSX Intelligence則是僅在NSX-T版內使用。

‧如前所述，Application Rule Manager是在管理者要求時，才「開始」進行網路流錄製，但是NSX Intelligence是直接抓取原本已經記錄的歷史資料，直接開始分析，因此不用額外花費幾天、數週的時間，一般來說3～5分鐘內，NSX Intelligence就可產出資料，提供管理者進行防火牆配置建議。

‧因為Application Rule Manager並沒有獨立的資源，是使用V版的NSX Manager進行錄製，因此通常範圍（虛機的數量）以及錄製時間都有限制，一般大約20個虛機以內，錄製不要超過兩週。但NSX Intelligence因為有自己獨立的資源，隨時進行資料收集，因此可以進行的應用配置建議以及觀察的時間與Application Rule Manager相比自然更長。

‧Application Rule Manager僅有防火牆規則建議的功能，NSX Intelligence則還有前面說明的Day-2網路流觀察，以及在後續Roadmap內會搭配到IDPS等功能告警的功能，適用範圍遠比Application Rule Manager還要高。

筆者在與客戶進行NSX Intelligence展示說明的時候，一定會被問到的問題是，那這與vRealize Network Insight的差異在哪裡呢？Network Insight可以持續地利用Netflow機制檢視各虛機的網路流資訊，也能夠進行Firewall Rule Recommendation，只是沒有按一下就把規則推送到NSX上面的功能。客戶環境內也已經在使用Network Insight了，那為什麼需要更換到NSX Intelligence呢？

所以，接下來就直面回答這個問題，但兩個重點需要聲明在先：

‧在VMware中，NSX Intelligence與vRNI之間並不是前後代產品，沒有誰會取代誰的關係。兩個方案可以擇一使用，或在一個環境內兩個都用，是沒有問題的。

‧當客戶購買了NSX Data Center Enterprise Plus的授權，裡面會包含NSX Intelligence，也會包含vRealize Network Insight的Advance版。

所以，與其說這究竟為比較或者代換，應該是就大家的現有環境與需要達到的效益，部署這兩個產品哪個對各位的效益較大？而如果需要做的事情單一產品不足夠，想要兩個都用也行，並沒有非黑即白的要求。

根據情境來挑選最適方案

接下來，就要用不同的面向與大家討論這兩個方案各自更適合哪種情境。

方案監控範圍僅在純NSX環境還是包含實體設備∕公有雲環境？

NSX Intelligence僅僅針對新部署的NSX-T Data Center環境內的網路進行監控、分析與提供可視化介面。vRealize Network Insight設計上雖然最重要在vCenter/NSX環境，但同時也可透過SSH、SNMP等機制抓取實體設備資料，透過標準Netflow連結實體交換器的網路流，或透過如FlowLog等機制監控AWS上的應用網路資訊。

也就是說，vRealize Network Insight是VMware對應到泛用環境網路維運的工具。當然是以vCenter/NSX為中心，但也可以支援多種其他廠商設備與不同環境。NSX Intelligence則是NSX-T Data Center內的專屬網路監控分析工具。

若只考慮VMware NSX-T/NSX for vSphere或是僅有vCenter的環境，應該選哪種呢？

NSX Intelligence僅支援NSX-T。vRealize Network Insight可在NSX-T或是NSX for vSphere環境運行，若客戶還沒有安裝NSX僅有vCenter，只要其環境內有採用vDS（vSphere Distributed Switch），vRNI同樣可以抓取vDS的Netflow資料進行分析。

但當然，大概從2019年下半年起，在台灣客戶新的NSX部署已經大概都開始使用NSX-T方案。因此，新環境應該不會由於採用NSX for vSphere，而限制到監控方案的選用。而這會導到下一題。

如果只是需要一個方案能就現有環境中核心業務的網路流先進行收集與評估，應該選那種？

應該選vRNI。主要的原因很簡單，只要這個核心業務已經在vCenter環境中運作，且底層虛擬交換器已經是採用vDS，此時在不需要做任何的業務機器移轉狀況下，只要把vRNI裝起來，與vCenter接起來，馬上可以開始收集資料，核心業務運作不受影響。而NSX Intelligence運作的前提，是需要先安裝NSX-T，邏輯網路（VLAN or Overlay）設定好，將核心業務的機器由原本的環境轉移至NSX-T的邏輯交換器上，NSX Intelligence裝起來，此時才能開始進行資料的收集與分析。通常應該不會只為了「評估」的作業，把生產環境這樣天翻地覆地轉一遍吧！

很明確地，如果只是要快速地進行業務網路流收集，在客戶環境已經有vDS的狀況下，用vRNI是簡易且對業務沒有影響的。甚至在沒有vDS僅有vSS，但底層實體交換器可以開Netflow的狀況下，vRNI也可以由實體交換器來收集資訊。這裡的彈性遠大於使用NSX Intelligence。

而如果全新的虛擬化環境已經建好，NSX-T部署完成，要逐步把應用移進來，那此時要使用vRNI還是NSX Intelligence呢？

兩種都很好，但以筆者個人意見來說，如果只選一種，在應用網路流監控這方面，更建議NSX Intelligence。

因為單純以一個應用住進來，要進行應用網路流的收集、觀測、防火牆政策推薦與發布，NSX Intelligence即使在目前的初始版本，功能都比較多。包括：

‧NSX Intelligence對於網路流的分析比較深。如同前篇介紹，Intelligence不僅收集網路流，還會與現有的安全機制（防火牆規則）進行比對，管理者不僅能夠看到有哪些網路流，還可以看到哪些已被防護（防火牆規則有了），哪些規則仍未建立。

‧NSX Intelligence在防火牆規則推薦的部分比較完整，推薦完畢後可以直接進行規則修正、群組定義的介面也較直覺。同時，雖然不一定要這麼做，但Intelligence就是可以直接發布規則到NSX-T內，而vRNI只提出建議。

但反過來說，vRealize Network Insight除了網路流監控，還有很多不同的特異功能，像是簡易的自然語法搜尋介面，多樣式的Dashboard與可視化介面，也都是非常吸引人。

但如果單就網路流監控這一塊，vRNI基本上限制於Netflow的資訊，不會做更深。而NSX Intelligence因為是用系統內部的格式把所有看得到的資訊都餵進來，可做的事情就更多了。

所謂NSX Intelligence後續可以做更多事情，大概包括哪些呢？

現在的時間點（NSX-T 3.0版、NSX Intelligence 1.1版），已經看到的功能包括了網路流的收集、現有防火牆規則的比對、防火牆規則的推薦與發布。

而隨著NSX-T微分段功能由標準L4防火牆到L7防火牆再到IDPS，這些微分段內的新功能都會逐步地在NSX Intelligence的分析內呈現。

也就是說，後續在NSX Intelligence中，不僅選擇一批虛機之後可以看到彼此間的網路流，還包含了：

‧這些網路流有被哪些防火牆規則防護（現在就有）。

‧透過L7 Context引擎，確認網路流的真實應用種類。

‧確認這些網路流是不是有安全告警與異常問題（由NSX IDPS的資訊），以及進階的安全防護機制推薦。

‧目前的版本只能夠支援虛機之間的網路流分析，後續當然也會將容器網路流納入。

結語

前後兩篇投稿，從vRealize Network Insight的功能回顧，到NSX Intelligence的介紹，再做統整的方案比較。以一句話作為總結：「vRealize Network Insight做得廣，可以支援多種類的環境；NSX Intelligence做得深，對應NSX-T Data Center管理環境內的網路可視化與安全防護更完整。」

＜本文作者：饒康立，VMware資深技術顧問，主要負責VMware NSX產品線，持有VCIX-NV、VCAP-DTD、CCIE、CISSP等證照，目前致力於網路虛擬化、軟體定義網路暨分散式安全防護技術方案的介紹與推廣。＞