Download - docs.vmware.com · 2019-10-11 · Contenido 1 Acerca de la guía de usuario de vRealize Network Insight Cloud 9 2 Introducción 10 Introducción 10 Página de inicio 12 Navegación

Usar VMware vRealize Network Insight Cloud

VMware Network Insight

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

Copyright © 2020 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca comercial.


VMware, Inc. 2

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

1 Acerca de la guía de usuario de vRealize Network Insight Cloud 9

2 Introducción 10Introducción 10

Página de inicio 12

Navegación 13

Configuración 15

3 Agregar un origen de datos en vRealize Network Insight Cloud 16Versiones y productos compatibles 18

Adición de vCenter Server 21

Agregar VMware NSX Manager 22

Agregar VMware NSX-T Manager 24

Eventos de NSX-T 28

Agregar VMware SD-WAN 31

Agregar VMware Cloud on AWS 32

Agregar una instancia de VMware Cloud on AWS - vCenter 32

Agregar una instancia de VMware Cloud on AWS - NSX Policy Manager 33

Modelo de implementación de VMware Cloud on AWS 34

Agregar Amazon Web Services 35

Agregar un origen de datos principal de AWS 35

Agregar un origen de datos estándar de AWS 42

AWS: Compatibilidad con el bloqueo geográfico 44

Agregar una suscripción de Azure 45

Habilitar el registro de flujos de NSG 46

Agregar VMware PKS 46

Agregar Kubernetes 47

Agregar OpenShift 48

Agregar Palo Alto Networks Panorama 49

Agregar servidor de administración de Check Point 50

Agregar Cisco ASA 51

Agregar una instancia de Fortinet FortiManager 52

Agregar conmutadores Dell OS10 52

Habilitar telemetría en los conmutadores Dell OS10 53

Agregar Huawei 6800/7800/8800 Series 55

Agregar Cisco ACI 56

Agregar un recopilador de flujos físico para sFlow y NetFlow 57

Agregar Log Insight 58

VMware, Inc. 3

Agregar Infoblox 60

Agregar F5 BIG-IP 61

Agregar ServiceNow 63

Agregar ServiceNow 65

Agregar nuevos enrutadores o conmutadores genéricos 79

Editar un conmutador o enrutador genérico 80

4 Eliminar un origen de datos de vRealize Network Insight Cloud 82

5 Migrar orígenes de datos 83

6 Configuración de opciones de vRealize Network Insight Cloud 85Ver el estado del sistema 86

Configurar intervalo de conservación de los datos 86

Configurar subredes y propiedades de IP 87

Importar el archivo de asignación de DNS 87

Configurar la asignación entre la subred y una VLAN 87

Configurar IP de este a oeste 88

Configurar direcciones IP de norte a sur 89

Configurar eventos y notificaciones 89

Ver y editar eventos del sistema 89

Editar eventos definidos por el usuario 94

Ver eventos de estado de plataforma 96

Notificaciones 96

Configurar la administración de identidades y acceso 99

Configurar LDAP 99

Configurar VMware Identity Manager (vIDM) 102

Configurar la administración de usuarios 103

Configurar registros 105

Ver y exportar registros de auditoría 105

Establecer la configuración de Syslog 106

Configurar servidor de correo 106

Configurar destino de captura de SNMP 107

Administrar licencias 108

Agregar y cambiar una licencia 109

Configurar intervalo de actualización automática 110

Configurar el tiempo de espera de la sesión de usuario 111

Agregar clave de API de Google Maps 112

Ver los registros de auditoría 112

Unirse al programa de mejora de la experiencia de cliente o abandonarlo 113

Ver el estado de la configuración 114


VMware, Inc. 4

Habilitar el túnel de soporte 114

Administrar el uso de disco 114

Ver detalles de nodos 115

Crear un paquete de soporte 116

Comprensión de la capacidad para la carga de los recopiladores y la plataforma 116

7 Crear y expandir clústeres 118Crear clústeres 118

Expandir los clústeres 119

8 Ver detalles de entidades 120Ver los detalles del sistema de vRealize Network Insight Cloud (Sistema NI) 121

Ver detalles de la máquina virtual de plataforma 122

Ver detalles de la máquina virtual de recopilador 122

Ver detalles de origen de datos de VMware vCenter 122

Ver detalles de cumplimiento de PCI 123

Exportar como archivo PDF 124

Ver detalles de Kubernetes 125

Ver detalles del equilibrador de carga 126

Ver detalles de la máquina virtual 127

Ver detalles de NSX Manager 128

Ver detalles del servidor virtual 129

Ver detalles de miembros del grupo 130

Ver detalles de Microsoft Azure 131

Ver detalles de VeloCloud Enterprise 133

Ver detalles de VeloCloud Edge 135

Ver detalles de las aplicaciones SD-WAN y SD-WAN de Edge 136

Ver detalles de SDDC de VMC 136

Ver detalles de flujos 137

Ver detalles de la microsegmentación 141

Ver detalles de la aplicación 142

Análisis: detección de valores atípicos 143

Cómo detectar máquinas virtuales con valores atípicos 143

Análisis: umbrales estáticos y dinámicos 145

Configurar umbrales y alertas 145

Ver la página de configuración de un umbral 148

9 Visualización de la topología de una entidad 150Topología de máquina virtual 150

Topología de hosts 150

Topología de VXLAN 151


VMware, Inc. 5

Topología de VLAN 152

Topología de NSX Manager 152

Recopilación de datos de Edge 153

Ver información de auditoría de los objetos de NSX en vRealize Network Insight Cloud 154

10 Trabajo con pines 158Pines 158

Tipos de pines 158

Paneles de pines 160

Compartir y colaborar en paneles de pines 164

Para establecer un panel de pines como página de inicio 166

Para duplicar un panel de pines 167

11 F5 como equilibrador de carga 168NSX-V como equilibrador de carga 169

12 Trabajo con redes y seguridad 171Visibilidad de red 171

Topología de ruta 171

Supervisar diversos estados de BGP 183

Ruta de acceso a Internet 183

Seguridad 184

Cross-vCenter NSX 184

Palo Alto Networks 185

Firewall Cisco ASA 188

Firewall de Check Point 189

Grupos de seguridad 193

VPN basada en directivas 194

Reglas inactivas de firewall distribuido de NSX 194

Firewall de Fortinet 195

13 Configuración de flujos en vRealize Network Insight Cloud 197Habilitar la configuración de IPFIX 197

Configuración de IPFIX en VDS y DVPG 197

Configuración de IPFIX de VMware NSX 199

Agregar recopilador de NetFlow 201

Compatibilidad con el flujo para servidores físicos 201

Configurar un recopilador de NetFlow en un dispositivo físico 201

Enriquecer los flujos y los endpoints de IP 206

Buscar flujos físicos a físicos 207

Ver flujos bloqueados y protegidos 208


VMware, Inc. 6

Traducción de direcciones de red (NAT) 209

Compatibilidad con flujos de NAT (ejemplos) 210

VMware Cloud on AWS flujos 211

Crear un registro de flujo de VPC 212

Enviar registros de flujo de F5 a los recopiladores de vRealize Network Insight Cloud 213

Crear un grupo de recopiladores de IPFIX 214

Crear un destino de registro de IPFIX 214

Crear un publicador de registros 215

Crear iRules 215

Agregar iRule a un servidor virtual 220

Crear una entrada de ruta 220

14 Información de flujo y ámbito de VMware PKS y Kubernetes 221

15 Trabajo con la microsegmentación 223Analizar la aplicación 223

Ver datos de flujo y microsegmentación en la vista de anillo 223

Ver datos de flujo y microsegmentación en la vista de cuadrícula 226

Crear manualmente una aplicación 227

Detección de aplicaciones 229

Agregar aplicaciones detectadas 231

VMware Cloud on AWS: planificación y microsegmentación 235

16 Reglas de firewall recomendadas 236Exportar reglas 238

Elementos universales de NSX DFW 239

Guardar la configuración de exportación de CSV como plantilla de propiedades 240

Exportar y aplicar directivas de red de Kubernetes 242

17 Trabajo con las consultas de búsqueda 245Consultas de búsqueda 246

Consultas de búsqueda de Azure 252

Entidades Cisco ACI 253

Consultas de búsqueda de Fortinet 256

Enriquecer lo flujos con los datos de DNS de Infoblox 256

Consultas de búsqueda comunes para entidades de Kubernetes 257

Consultas de búsqueda de ejemplo relacionadas con el equilibrador de carga 258

Consultas de búsqueda para reglas de firewall de NSX 259

Consultas de búsqueda de VMware SD-WAN 259

VMware Cloud on AWS para entidades de AWS 260

Consultas avanzadas 261


VMware, Inc. 7

Control del tiempo 265

Resultados de búsqueda 265

Filtros 266

Etiquetas de vCenter 267

18 Planificación de la recuperación ante desastres para vRealize Network Insight Cloud270

Escenario de recuperación ante desastres de ejemplo 271

19 Solucionar problemas 274Errores comunes de los orígenes de datos 274

No se puede habilitar IPFIX de DFW 276

20 Planificar la migración de aplicaciones a VMware Cloud on AWS con vRealize Network Insight Cloud 279Cómo obtener el token de actualización de CSP para NSX Manager 280

Cómo obtener credenciales de vCenter 283

Regla de firewall de puerta de enlace de cómputo 285


VMware, Inc. 8

Acerca de la guía de usuario de vRealize Network Insight Cloud 1En la guía de usuario de vRealize Network Insight Cloud, se proporciona información sobre el uso de vRealize Network Insight Cloud.

Público objetivoEsta información está destinada a los administradores o los especialistas responsables de utilizar vRealize Network Insight Cloud. La información está redactada para administradores de máquinas virtuales experimentados que están familiarizados con aplicaciones de gestión empresarial y operaciones de centros de datos.

VMware, Inc. 9

Introducción 2Este capítulo incluye los siguientes temas:

n Introducción

n Página de inicio

n Navegación

n Configuración

IntroducciónvRealize Network Insight Cloud ofrece operaciones inteligentes para redes y seguridad definidas por software. Ayuda a los clientes a crear una infraestructura de red optimizada, segura y de alta disponibilidad en entornos de varias nubes. Acelera la planificación y la implementación de la microsegmentación, permite la visibilidad de redes virtuales y físicas, y proporciona vistas operativas para administrar y ampliar las implementaciones de VMware NSX.

Piense en todo el centro de datos como si estuviera compuesto por entidades y sus relaciones. Por ejemplo, una máquina virtual es una entidad y la máquina virtual forma parte de un host que es otra entidad. vRealize Network Insight Cloud proporciona visibilidad y datos sobre numerosas entidades que forman parte de su centro de datos.

Tabla 2-1.

Entidades Descripción

Host

Problema

Firewall de NSX

Máquina virtual

VMware, Inc. 10

Tabla 2-1. (continuación)


vSphere Distributed Switch

Conmutador físico

Grupo de puertos virtuales

Extensor de tejido de Cisco

Conmutador lógico

Almacén de datos

Tarjeta de interfaz de red física

Grupo de seguridad

Blade

Enrutador

VLAN

Grupo de máquinas virtuales

Cambios de configuración

Interfaz de enrutador

Solución de problemas


VMware, Inc. 11



Traducción de direcciones de red (NAT)

Servidor de correo

Página de inicioEn la página de inicio de VMware vRealize Network Insight Cloud, se proporciona un resumen rápido de lo que sucede en todo el centro de datos. Se ofrece acceso rápido a los componentes importantes de vRealize Network Insight Cloud en el centro de datos.

La página de inicio se divide en las siguientes secciones:

Barra de búsquedaLa barra de búsqueda ofrece la posibilidad de buscar en toda la red del centro de datos (y sus entidades correspondientes). Puede utilizar la barra de búsqueda para buscar las entidades disponibles en el centro de datos. La barra de búsqueda se encuentra en la parte superior de la página de inicio.

Según sus necesidades, puede realizar la búsqueda con las siguientes opciones de línea de tiempo:

n Ajustes preestablecidos: con esta opción, puede limitar los resultados de la búsqueda a los ajustes preestablecidos, como last week, last 3 days, last 24 hours, yesterday, today, last 2 hours, last hour y now (hora actual).

n A las: con esta opción, puede limitar los resultados de la búsqueda a una fecha y hora específicas.

n Entre: con esta opción, puede buscar datos entre un intervalo de tiempo determinado.


VMware, Inc. 12

Sección Plann Microsegmentos: puede planificar la microsegmentación de la red en función de los flujos entre

todas las máquinas virtuales.

n Aplicación: puede definir las aplicaciones, analizar sus flujos y planificar su seguridad.

Sección Funcionamiento y solución de problemasLa sección Funcionamiento y de solución de problemas proporciona visibilidad, métricas y análisis de los siguientes componentes:

n Máquina virtual (Virtual Machine, VM)

n Red VLAN

n Centro de datos

n Grupo de seguridad de NSX

n VMware NSX

Problemas abiertosLa sección Problemas abiertos proporciona un breve resumen de los eventos críticos que la plataforma encontró en el centro de datos. Se agrupan todos los eventos similares. Use Mostrar todo para ver

todos los eventos. Para ver más detalles de un evento, haga clic en (Ver detalles). Puede utilizar el icono Configurar eventos para desplazarse a la página Eventos del sistema y configurarlos.

Además, si hace clic en la opción Configurar evento de Más opciones en un evento específico, puede desplazarse directamente a la vista de edición de ese evento para modificar la configuración.

¿Qué ocurre?La sección ¿Qué ocurre? proporciona una vista rápida de las propiedades de valor sumamente alto del centro de datos. Para ver los detalles de una propiedad, haga clic en el recuento de esa propiedad específica. Esta sección también contiene filtros en el lado izquierdo para filtrar los eventos y botones para expandir o contraer todo a fin de ver detalles de los eventos.

NavegaciónvRealize Network Insight Cloud contiene un panel de navegación a la izquierda con el que los usuarios pueden navegar rápidamente a las funciones clave del producto, como Seguridad, Topologías, Entidades, Eventos y Búsquedas guardadas de interés sin tener que escribir ninguna consulta de búsqueda.


VMware, Inc. 13

El panel de navegación contiene las siguientes opciones:

n Seguridad: proporciona las siguientes opciones:

n Planificar seguridad: permite analizar los flujos del entorno y ayuda a planificar los microsegmentos dentro del entorno. Puede seleccionar todas las entidades o seleccionar una entidad determinada y, a continuación, seleccionar la duración para analizar la entidad elegida.

n Aplicaciones: permite crear aplicaciones en vRealize Network Insight Cloud mediante una búsqueda personalizada. Una vez creada una aplicación, es posible planificarla según corresponda.

n Cumplimiento de PCI: este panel de control ayuda a evaluar el cumplimiento según los requisitos de PCI solo en el entorno de NSX.

n Ruta de acceso y topología: permite ver cualquier ruta de máquina virtual a máquina virtual o topología de varias entidades del centro de datos.

n Eventos: permite ver los eventos (cambios y problemas) en el entorno. También se proporciona una lista de tipos de eventos para ver rápidamente un tipo de evento específico.

n Entidades: muestra la lista con los distintos tipos de entidades presentes en el entorno. Haga clic en cualquier tipo de entidad de la lista específica para ver una lista con todas las entidades de ese tipo. El cuadro de texto que se encuentra sobre la lista de entidades se puede utilizar para restringir la lista en función del texto introducido.

n Búsquedas guardadas: muestra las búsquedas que se guardaron previamente.


VMware, Inc. 14

ConfiguraciónEn la página Configuración, se proporcionan controles para administrar los proveedores de datos, los usuarios y las notificaciones.

Para ir a la página Configuración:

1 En la esquina superior derecha de la página de inicio, haga clic en el icono Perfil.

2 Haga clic en Configuración. Se mostrará la página Configuración.


VMware, Inc. 15

Agregar un origen de datos en vRealize Network Insight Cloud 3Los orígenes de datos proporcionan a la aplicación la capacidad para recopilar datos de ciertos aspectos del centro de datos. Estos abarcan desde la instalación de NSX hasta dispositivos físicos, como Cisco™ Chassis 4500 y Cisco™ N5K.

Para agregar un origen de datos, realice lo siguiente:

1 En la página Instalación y soporte en Configuración, haga clic en Cuentas y orígenes de datos.

2 Haga clic en Agregar origen nuevo.

3 Seleccione una cuenta o un tipo de origen.

4 Proporcione la información necesaria en el formulario.

5 Haga clic en Validar.

6 Introduzca Alias y Notas (si las hubiera) para el origen de datos.

7 Haga clic en Enviar para agregar el origen de datos al entorno.

Para cada origen de datos, puede ver los siguientes detalles:

Propiedades Descripción

Tipo (alias) Muestra el nombre del origen de datos.

Dirección IP/FQDN Muestra la dirección IP o los detalles de FQDN del origen de datos.

Última recopilación Muestra la hora de la última recopilación de los datos.

Máquinas virtuales detectadas Muestra el número de máquinas virtuales que se detectaron para ese origen de datos.

Nota La columna Máquinas virtuales detectadas se rellena solo si el origen de datos es vCenter o AWS.

Máquina virtual de recopilador Muestra el nombre del recopilador al que se agregó el origen de datos. Esta columna no está visible si todos los orígenes de datos enumerados se agregaron al mismo recopilador. Puede verla solo si los orígenes de datos están presentes en diferentes recopiladores.

VMware, Inc. 16


Habilitado Indica si el origen de datos está habilitado o no.

Acciones Muestra las opciones para editar y eliminar el origen de datos.

vRealize Network Insight Cloud proporciona las siguientes funciones para facilitar el acceso a la información de los orígenes de datos.

n Puede realizar la búsqueda de un origen de datos por su nombre, su dirección IP o el nombre de la máquina virtual del recopilador mediante la barra de búsqueda situada arriba de los encabezados de columnas.

n Puede filtrar la información por diferentes orígenes de datos en la columna Tipo (alias).

n También puede filtrarla por varias máquinas virtuales de recopiladores en la columna Máquina virtual de recopilador.

n Los orígenes de datos se ordenan por sus tipos y alias en orden alfabético.

Para cada origen de datos agregado, puede ver la siguiente información:

n Todo: muestra todos los orígenes de datos disponibles.

n Con problemas: muestra los orígenes de datos en los que vRealize Network Insight Cloud detectó un problema.

n Con recomendaciones: muestra recomendaciones generadas automáticamente en vRealize Network Insight Cloud para los orígenes de datos que requieren información adicional.

n Deshabilitado: muestra los orígenes de datos que se deshabilitaron.

Este capítulo incluye los siguientes temas:

n Versiones y productos compatibles

n Adición de vCenter Server

n Agregar VMware NSX Manager

n Agregar VMware NSX-T Manager

n Agregar VMware SD-WAN

n Agregar VMware Cloud on AWS

n Agregar Amazon Web Services

n Agregar una suscripción de Azure

n Agregar VMware PKS

n Agregar Kubernetes

n Agregar OpenShift

n Agregar Palo Alto Networks Panorama

n Agregar servidor de administración de Check Point


VMware, Inc. 17

n Agregar Cisco ASA

n Agregar una instancia de Fortinet FortiManager

n Agregar conmutadores Dell OS10

n Agregar Huawei 6800/7800/8800 Series

n Agregar Cisco ACI

n Agregar un recopilador de flujos físico para sFlow y NetFlow

n Agregar Log Insight

n Agregar Infoblox

n Agregar F5 BIG-IP

n Agregar ServiceNow

n Agregar nuevos enrutadores o conmutadores genéricos

Versiones y productos compatiblesvRealize Network Insight Cloud admite varios productos y versiones.

Origen de datos Versión/Modelo Protocolo de conexión Permisos/Privilegios

Amazon Web Services (solo licencia Enterprise)

No corresponde HTTPS

Conmutadores de Arista

7050TX, 7250QX, 7050QX-32S, 7280SE-72

SSH, SNMP

Suscripción de Azure

No corresponde HTTPS

Conmutadores de Brocade

VDX 6740, VDX 6940, MLX, MLXe

SSH, SNMP

Firewall de Check Point

Check Point R80, R80.10 HTTPS, SSH

Cisco ACI 3.2 HTTPS (a controlador APIC)

SNMP (a controlador APIC y conmutadores ACI)

Cisco ASA Serie X con sistema operativo 9.4

SSH, SNMP

Cisco Catalyst 3000, 3750, 4500, 6000, 6500 SSH, SNMP

Cisco Nexus 3000, 5000, 6000, 7000, 9000 SSH, SNMP Usuario de solo lectura

Usuario de SNMP de solo lectura

Cisco UCS (sistema informático unificado)

Servidores blade serie B, servidores en rack serie C, chasis, interconexión de tejido

UCS Manager: HTTPS

Tejido UCS: SSH, SNMP

Usuario de solo lectura



VMware, Inc. 18


Conmutadores de Dell

FORCE10 MXL 10, FORCE10 S6000, S4048, Z9100, S4810, PowerConnect 8024, Dell OS10

SSH, SNMP Usuario de solo lectura


Fortinet FortiManager

6.0.1 HTTPS El usuario debe tener:

n Al menos la función Usuario restringido con acceso a todos los ADOM y los paquetes de directivas.

n Acceso rpc-permit read habilitado desde la interfaz de línea de comandos (Command Line Interface, CLI).

F5 BIG-IP 12.1.2 y posterior HTTPS, SSH, SNMP El usuario debe tener al menos la función de invitado. Además, TMSH debe estar habilitado y debe existir acceso a todas las particiones. F5 BIG-IP admite tanto el enrutamiento como el equilibrio de carga.

HP HP Virtual Connect Manager 4.41, HP OneView 3.0

HP OneView 3.0: HTTPS

HP Virtual Connect Manager 4.41: SSH

Usuario de solo lectura

Motor de nube Huawei

6800, 7800, 8800 SSH, SNMP Usuario de solo lectura


Infoblox Infoblox NIOS 8.0, 8.1, 8.2 HTTPS Usuario de solo lectura con acceso a la interfaz de API

Permisos de solo lectura en los tipos de objeto DNS, del siguiente modo:

n Tipo de permiso: DNS

n Recursos: registros A, zonas DNS, vistas DNS

Conmutadores de Juniper

EX3300, QFX 51xx Series (JunOS 12 y 15, sin QFabric)

Netconf, SSH, SNMP Usuario de solo lectura


Kubernetes n 1.12 en NSX-T 2.3.1

n 1.12 en NSX-T 2.3.2

n 1.13 en NSX-T 2.3.2

HTTPS El usuario debe tener la función de administrador de clústeres con permisos de lectura.

Palo Alto Networks Panorama 7.0.x, 7.1, 8.x, 9.0 HTTPS El usuario debe tener la función de administrador con acceso a la API XML. Consulte la sección sobre Palo Alto Networks en la Guía de usuario de vRealize Network Insight Cloud.

ServiceNow London HTTPS El usuario debe tener la función de administrador.


VMware, Inc. 19


VMware SD-WAN VeloCloud Orchestrator y Edge 3.3.1 y versiones posteriores

HTTPS El usuario debe tener la función Cuenta con cualquiera de los siguientes permisos:

n Superusuarion Administrador estándarn Soporte al cliente

VMC on AWS-vCenter

M5P2 y versiones posteriores.

Nota Solo se admiten SDDC de VMware Cloud on AWS basados en NSX-T.

HTTPS El usuario debe tener el siguiente permiso:

n Administrador de nube: para agregar un origen de datos y habilitar IPFIX.

VMC on AWS-NSX Manager

M5P2 y versiones posteriores.

Nota Solo se admiten SDDC de VMware Cloud on AWS basados en NSX-T.

HTTPS El usuario debe tener cualquiera de los siguientes permisos:

n Miembro de organización.Administrador: para agregar un origen de datos y habilitar IPFIX.

n Miembro de organización.Administrador de nube: para agregar un origen de datos y habilitar IPFIX.

n Miembro de organización.VMware Cloud on AWS (todas las funciones): para agregar un origen de datos y habilitar IPFIX.

n Miembro de organización.Auditor de nube: para agregar un origen de datos.

VMware Identity Manager

3.3 y posterior HTTPS El usuario debe tener la función de administrador.

VMware PKS PKS 1.3.2 en NSX-T 2.3.1

PKS 1.3.2 en NSX-T 2.3.2

El usuario debe tener la función de administrador de clústeres con permisos de lectura.

VMware NSX Manager (VMware NSX-V)

Versiones compatibles SSH, HTTPS Consulte la sección Recopilación de datos perimetrales en la Guía de usuario de vRealize Network Insight Cloud.

VMware NSX-T Manager

2.4.

Para conocer más versiones admitidas, consulte Versiones compatibles.

HTTPS Usuario de solo lectura


VMware, Inc. 20

https://partnerweb.vmware.com/comp_guide2/sim/interop_matrix.php#interop&285=&93=




VMware vRealize Log Insight

Versiones compatibles HTTPS Usuario de API con permisos para instalar, configurar y administrar el paquete de contenido.

VMware vSphere Versiones compatibles

En IPFIX se necesita la versión del ESXi de VMware:

n 5.5 Update 2 (compilación 2068190) y versiones posteriores

n 6.0 Update 1b (compilación 3380124) y versiones posteriores

n VMware VDS 5.5 y versiones posteriores

Nota VMware Tools debe estar instalado en todas las máquinas virtuales del centro de datos para identificar la máquina virtual en la ruta de acceso de la máquina virtual.

HTTPS Usuario de solo lectura

Privilegios necesarios para configurar y utilizar IPFIX

Credenciales de vCenter Server con privilegios:

Distributed Switch: Modify

dvPort group: Modify

Las funciones predefinidas en vCenter Server deben tener los siguientes privilegios asignados en el nivel raíz, y que se deben propagar a las funciones secundarias:

System.Anonymous

System.Read

System.View

global.settings

Adición de vCenter ServerPuede agregar instancias de vCenter Server como orígenes de datos a vRealize Network Insight Cloud.

Se pueden agregar varias instancias de vCenter Server a vRealize Network Insight Cloud para empezar a supervisar datos.

Procedimiento

1 Haga clic en Agregar vCenter.

2 Haga clic en Agregar nuevo origen y personalice las opciones.

Opción Acción

Tipo de origen Seleccione el sistema vCenter Server del menú desplegable.

Dirección IP/FQDN Indique la dirección IP o el nombre de dominio completo de la instancia de vCenter Server.

Nombre de usuario Introduzca el nombre de usuario con los siguientes privilegios:

n Conmutador distribuido: modificar

n Grupo de dvPort: modificar

Para obtener información sobre los privilegios adicionales necesarios, consulte la sección Privilegios de vCenter en la guía de instalación.

Contraseña Introduzca la contraseña del software de vRealize Network Insight Cloud para acceder al sistema vCenter Server.


VMware, Inc. 21


https://partnerweb.vmware.com/comp_guide2/sim/interop_matrix.php#interop&285=&0


Si el número de máquinas virtuales detectadas supera la capacidad de la plataforma o de un nodo de recopiladores (o ambos), se produce un error en la validación. No se le permitirá agregar un origen de datos hasta que aumente el tamaño de brick de la plataforma o cree un clúster.

A continuación se presenta la capacidad especificada para cada tamaño de brick, tanto con flujos como sin ellos:

Tamaño de brick

Máquinas virtuales

Estado de flujos

Grande 6k Habilitado

Grande 10k Deshabilitado

Mediano 3k Habilitado

Mediano 6k Deshabilitado

4 Seleccione Habilitar NetFlow (IPFIX) en esta instancia de vCenter para habilitar IPFIX.

Para obtener más información sobre IPFIX, consulte la sección Habilitar la configuración de IPFIX en VDS y DVPG.

5 Agregue orígenes de recopilación de datos avanzados al sistema vCenter Server.

6 Haga clic en Enviar para agregar el sistema vCenter Server. Los sistemas vCenter Server aparecerán en la página de inicio.

Agregar VMware NSX ManagerPuede agregar NSX-V como un origen de datos en vRealize Network Insight Cloud.

Requisitos previos

Verifique lo siguiente:

n Tiene el permiso correcto. Para obtener información sobre los permisos, consulte la sección Productos y versiones compatibles de Instalación de vRealize Network Insight Cloud.

n Tiene los privilegios necesarios. Para obtener información sobre los privilegios, consulte la sección Privilegios de Instalación de vRealize Network Insight Cloud.

n Ya agregó una instancia de vCenter como origen de datos.

Procedimiento

1 En la página Configuración, haga clic en Cuentas y orígenes de datos.

2 Haga clic en Agregar origen.

3 En Administradores de VMware, haga clic en VMware NSX Manager.


VMware, Inc. 22

4 En la página Agregar una cuenta o un origen de VMware NSX Manager nuevos, proporcione la información requerida.

Opción Acción

Máquina virtual de recopilador (proxy)

Seleccione una máquina virtual de recopilador del menú desplegable.

VMware vCenter principal Seleccione la instancia de vCenter que desea agregar en vRealize Network Insight Cloud.

Nota Asegúrese de que la instancia de vCenter y el origen de datos de NSX Manager asociado no estén conectados al mismo servidor proxy. De lo contrario, no verá los flujos denegados (cuando se habilite IPFIX de NSX) y es posible que la regla de firewall aplicada no esté disponible en algunos flujos.

Dirección IP/FQDN Introduzca la dirección IP o los detalles de FQDN.

Nombre de usuario Introduzca el nombre de usuario.

Contraseña Introduzca la contraseña.


6 (opcional) Si desea recopilar datos de NSX Controller, seleccione la casilla de verificación Habilitar recopilación de datos de NSX Controller.

Si selecciona esta opción, vRealize Network Insight Cloud recopilará datos de la controladora, como la interfaz de enrutador lógico, las rutas, la tabla de Mac de conmutador lógico, los registros de vtep, el estado del clúster de la controladora y la función. La recopilación de datos se realiza mediante la CLI central de NSX o la sesión Controladora-SSH.

7 (opcional) Si desea recopilar datos de NSX Edge, seleccione la casilla de verificación Habilitar recopilación de datos de NSX Edge.

Para obtener información sobre la recopilación de datos de NSX Edge, consulte Recopilación de datos de Edge.

8 (opcional) Si desea recopilar flujos de IPFIX, seleccione la casilla de verificación Habilitar IPFIX.

Si selecciona esta opción, vRealize Network Insight Cloud recibirá flujos de IPFIX de DFW desde NSX-V. Para obtener más información sobre cómo habilitar IPFIX, consulte Habilitar IPFIX de VMware NSX-V.

9 (opcional) Si desea recopilar los datos de métricas de latencia, seleccione la casilla de verificación Habilitar latencia de infraestructura virtual.

Si selecciona esta opción, vRealize Network Insight Cloud recibirá métricas de latencia de los hosts de NSX. Esta opción solo se encuentra disponible para NSX-V 6.4.5 y versiones posteriores. Asegúrese de que el puerto 1991 esté abierto en el recopilador para recibir los datos de latencia del host ESXi.

10 En el cuadro de texto Alias, introduzca un alias.

11 (opcional) En el cuadro de texto Notas, puede agregar una nota si es necesario.


VMware, Inc. 23

12 Haga clic en Enviar.

Agregar VMware NSX-T ManagerVMware NSX-T se diseñó para abordar las arquitecturas y los marcos de trabajo de aplicaciones emergentes que contienen endpoints heterogéneos y pilas de tecnología. Además de vSphere, estos entornos también pueden incluir otros hipervisores, contenedores, equipos nativos y nubes públicas. vRealize Network Insight Cloud es compatible con las implementaciones de NSX-T en las que vCenter administra las máquinas virtuales.

Consideracionesn vRealize Network Insight Cloud solo admite las instalaciones de NSX-T en las que vCenter

administra los hosts ESXi. Asegúrese de agregar vCenter como administrador de recursos informáticos en NSX-T.

Nota Los administradores de recursos informáticos deben agregarse como orígenes de datos en vRealize Network Insight Cloud antes de agregar NSX-T como origen de datos.

n vRealize Network Insight Cloud es compatible con grupos NSGroup, reglas de firewall de NSX-T, conjuntos de IP, puertos lógicos de NSX-T, conmutadores lógicos de NSX-T y flujos de IPFIX de firewall distribuido de NSX-T, así como VPN basadas en directivas, segmentos y grupos.

n vRealize Network Insight Cloud es compatible con las implementaciones de NSX-V y NSX-T. Cuando se utiliza NSX en las consultas, los resultados incluyen las entidades NSX-V y NSX-T. NSX Manager enumera tanto NSX-V Manager como NSX-T Manager. Los grupos de seguridad de NSX enumeran los grupos de seguridad de NSX-T y NSX-V. Si se utilizan NSX-V o NSX-T en lugar de NSX, solo se muestran esas entidades. La misma lógica se aplica a las entidades, como las reglas de firewall, los conjuntos de IP y los conmutadores lógicos.

n Con NSX-T 2.4, vRealize Network Insight Cloud admite la administración de directivas declarativas de NSX. Esta opción simplifica y automatiza las configuraciones de redes y seguridad a través de instrucciones de directivas basadas en resultados.

Nota La microsegmentación sobre el grupo de seguridad se realiza en función de los datos de directivas de NSX. Sin embargo, si no existe un grupo de directivas de NSX correspondiente, el grupo NS independiente se incluye en el análisis de microsegmentación. Para obtener más detalles sobre el grupo NS, consulte la documentación del producto de NSX-T.

Para agregar NSX-T Manager como origen de datosEstos son los requisitos previos para agregar NSX-T Manager como origen de datos:

n Agregue al menos una instancia de vCenter que esté asociada con NSX-T a vRealize Network Insight Cloud.

n Se recomienda agregar todas las instancias de vCenter asociadas con NSX-T como orígenes de datos a vRealize Network Insight Cloud.


VMware, Inc. 24

https://docs.vmware.com/es/VMware-NSX-T-Data-Center/index.html

n Asegúrese de que la lista de exclusión en el firewall distribuido (Distributed Firewall, DFW) no contenga conmutadores lógicos. Si existe algún conmutador lógico en esta lista, no se informarán los flujos de ninguna máquina virtual conectada a estos conmutadores lógicos.

Para agregar NSX-T Manager:

1 En la página Cuentas y orígenes de datos de Configuración, haga clic en Agregar origen.

2 En VMware Manager en la página Seleccionar una cuenta o un tipo de datos, seleccione VMware NSX-T Manager.

3 Proporcione las credenciales de usuario.

Nota n Si tiene más de un nodo de administración en una sola implementación de NSX-T, debe agregar

un solo nodo como origen de datos en vRealize Network Insight Cloud o utilizar la VIP (de esos nodos). Si agrega más de un nodo de administración, es posible que vRealize Network Insight Cloud no funcione correctamente.

n Si no se requiere IPFIX, el usuario debe ser un usuario local con permisos de nivel de auditoría. Sin embargo, si se requiere IPFIX, el usuario debe tener uno de los siguientes permisos de nivel de auditoría: enterprise_admin, network_engineer o security_engineer.

4 Seleccione Habilitar IPFIX para actualizar la configuración de IPFIX en NSX-T. Al seleccionar esta opción, vRealize Network Insight Cloud recibe flujos IPFIX de DFW desde NSX-T. Para obtener más información sobre cómo habilitar IPFIX, consulte Habilitar IPFIX en DFW de VMware NSX-T.

Nota n IPFIX de DFW no es compatible con la edición estándar de NSX-T.

n vRealize Network Insight Cloud no es compatible con flujos de IPFIX de conmutadores de NSX-T.

5 (opcional) Si desea recopilar los datos de métricas de latencia, seleccione la casilla de verificación Habilitar latencia de infraestructura virtual. Si selecciona esta opción, vRealize Network Insight Cloud recibe las métricas de latencia (VTEP-VTEP) de NSX-T. Esta opción solo está disponible para NSX-T 2.5 (versión Firestar) y versiones posteriores. Asegúrese de que el puerto 1991 esté abierto en el recopilador para recibir los datos de latencia del nodo ESXi.

Ejemplos de consultasEstos son algunos ejemplos de consultas relacionadas con NSX-T:


VMware, Inc. 25

Tabla 3-1. Consultas para NSX-T

Consultas Resultados de búsqueda

NSX-T Manager where VC Manager=10.197.53.214 La instancia de NSX-T Manager donde se agregó este administrador de VC específico como administrador de recursos informáticos.

NSX-T Logical Switch Enumera todos los conmutadores lógicos de NSX-T presentes en la instancia de vRealize Network Insight Cloud, incluidos los detalles sobre si es un conmutador creado por el sistema o por el usuario.

NSX-T Logical Ports where NSX-T Logical Switch =

'DB-Switch'

Enumera los puertos lógicos de NSX-T que pertenecen a ese conmutador lógico de NSX-T específico, el conmutador BD.

VMs where NSX-T Security Group = 'Application-

Group'

O

VMs where NSGroup = ‘Application-Group’

Enumera todas las máquinas virtuales de ese grupo de seguridad específico, el grupo de aplicaciones.

NSX-T Firewall Rule where Action='ALLOW' Enumera todas las reglas de firewall de NSX-T en las que la acción se establece como PERMITIR.

NSX-T Firewall Rule where Destination Security

Group = ‘CRM-Group’

Enumera las reglas de firewall en las que el grupo de CRM es el grupo de seguridad de destino. Los resultados incluyen tanto grupos de seguridad de destino directos como grupos de seguridad de destino indirectos.

NSX-T Firewall Rule where Direct Destination

Security Group = ‘CRM-Group’

Enumera las reglas de firewall en las que el grupo de CRM es el grupo de seguridad de destino. Los resultados solo incluyen los grupos de seguridad de destino directos.

VMs where NSX-T Logical Port = ‘App_Port-Id-1’ Enumera todas las máquinas virtuales que tienen ese puerto lógico NSX-T específico.

NSX-T Transport Zone Enumera la red VLAN, la zona de transporte superpuesta y los detalles correspondientes asociados a ella, incluido el tipo de nodo de transporte.

Nota vRealize Network Insight Cloud no admite KVM como origen de datos.

NSX-T Router Enumera los enrutadores de NIVEL 1 y NIVEL 0. Haga clic en el enrutador que se muestra en los resultados para ver más detalles asociados a él, incluidos el clúster de NSX-T Edge y el modo HA.

NSX Policy Segment Enumera todos los segmentos de directivas de NSX presentes en la instancia de vRealize Network Insight Cloud.

NSX Policy Manager Enumera todos los administradores de directivas de NSX presentes en la instancia de vRealize Network Insight Cloud.

NSX Policy Group Enumera todos los grupos de directivas de NSX presentes en la instancia de vRealize Network Insight Cloud.

NSX Policy Firewall Enumera todos los firewall de directivas de NSX presentes en la instancia de vRealize Network Insight Cloud.


VMware, Inc. 26

NSX Policy Firewall Rule Enumera todas las reglas de firewall de directivas de NSX presentes en la instancia de vRealize Network Insight Cloud.

NSX Policy Firewall Rule where Action = 'ALLOW' Enumera todas las reglas de firewall de directivas de NSX en las que la acción se establece como PERMITIR.

NSX Policy Based VPN Enumera todas las VPN basadas en directivas de NSX presentes en la instancia de vRealize Network Insight Cloud.

Nota Si NSX-T 2.4 y VMware Cloud on AWS se agregan como orígenes de datos a la instancia de vRealize Network Insight Cloud, para obtener las entidades NST-T, debe agregar el filtro SDDC type = ONPREM a la consulta. Por ejemplo, NSX Policy Based VPN where Tier0 = ‘’ and SDDC Type = ‘ONPREM’.

Compatibilidad con métricas de NSX-TEn la siguiente tabla, se muestran las entidades de vRealize Network Insight Cloud que admiten las métricas de NSX-T actualmente y los widgets que muestran estas métricas en los paneles de control de las entidades correspondientes.

Tabla 3-3.

EntidadesWidgets en el panel de control de la entidad Métricas de NSX-T compatibles

Conmutador lógico Métricas de paquetes de conmutador lógico

Métricas de bytes de conmutador lógico

Multicast and Broadcast Rx

Multicast and Broadcast Tx

Unicast Rx

Unicast Tx

Dropped Rx

Dropped Tx

Rx Packets (Total)

Tx Packets (Total)

Puerto lógico Métricas de paquetes de puerto lógico

Métricas de bytes de puerto lógico

Multicast and Broadcast Rx

Multicast and Broadcast Tx

Unicast Rx

Unicast Tx

Rx Packets (Total)

Tx Packets (Total)

Interfaz de enrutador Métricas de interfaz de enrutador Rx Packets

Tx Packets

Dropped Rx Packets

Dropped Tx Packets

Rx Bytes

Tx Bytes

Regla de firewall Métricas de regla de firewall Hit Count

Flow Bytes

Flow Packets


VMware, Inc. 27

Estas son algunas consultas de ejemplo de métricas de NSX-T:

n nsx-t logical switch where Rx Packet Drops > 0

Esta consulta enumera todos los conmutadores lógicos en los que el número de paquetes recibidos descartados es mayor que 0.

n nsx-t logical port where Tx Packet Drops > 0

Esta consulta enumera todos los puertos lógicos en los que el número de paquetes transmitidos descartados es mayor que 0.

n top 10 nsx-t firewall rules order by Connection count

Esta consulta enumera las 10 reglas de firewall principales según el número de conexiones (Hit Count).

Eventos de NSX-TvRealize Network Insight Cloud permite ver los eventos de NSX-T para la versión 2.3 y versiones posteriores de NSX-T.

El componente de origen es el origen que emite el evento. Puede ser un administrador, una controladora o un borde.

vRealize Network Insight Cloud genera los siguientes eventos de NSX-T:

Eventos del sisteman NSX-T Edge Node has no manager connectivity

n NSX-T Edge Node has no controller connectivity

n NSX-T Edge Node's controller connectivity degraded

Eventos personalizadosn NSX-T MTU Mismatch

Nota El error de coincidencia se produce entre los enlaces ascendentes de T0 y las interfaces correspondientes del dispositivo de enlace ascendente.

n Routing Advertisement disabled for Tier-1 router


VMware, Inc. 28

n No Uplink Connectivity for Tier-1 router

Nota El enrutador Tier-1 no está conectado a Tier-0.

n NSX-T IPFIX Switch data is not supported in Network Insight

Nota vRealize Network Insight Cloud no es compatible con los flujos de IPFIX. Elimine la dirección IP de la máquina virtual de recopilador de vRealize Network Insight Cloud presente en los perfiles de recopilador del conmutador de NSX-T que se utilizan en los perfiles de IPFIX de dicho conmutador.

n No vtep is available on the transport node

n NSX-T Vlan misconfiguration on Tier 0 router

n NSX-T VMs included in the firewall exclusion list

n No transport zone attached on the transport node

Eventos de NSX-T y PKSLista de eventos de NSX-T y PKS compatibles con vRealize Network Insight Cloud.

Nombre del evento Origen del evento Descripción

vmwNSXPlatformSysCpuUsage Eventos del sistema de NSX-T Uso de CPU en los dispositivos de Edge y Manager (Equinox).

vmwNSXPlatformSysDiskUsage Eventos del sistema de NSX-T Uso de espacio de disco en los dispositivos de Edge y Manager para la partición /var/log (Equinox).

vmwNSXPlatformSysMemUsage Eventos del sistema de NSX-T Uso de memoria en los dispositivos de Edge y Manager (Equinox).

vmwNSXPlatformSysConfigDiskUsage Eventos del sistema de NSX-T Uso de disco en los dispositivos de Edge y Manager para la partición /config (Flash).

vmwNSXPlatformSysVarDumpDiskUsage Eventos del sistema de NSX-T Uso de disco en los dispositivos de Edge y Manager para la partición /var/dump (Firestar).

vmwNSXPlatformSysRepositoryDiskUsage

Eventos del sistema de NSX-T Uso de disco en los dispositivos de Edge y Manager para la partición /repository (Firestar).

vmwNSXPlatformSysRootDiskUsage Eventos del sistema de NSX-T Uso de disco en los dispositivos de Edge y Manager para la partición root (Firestar).

vmwNSXPlatformSysTmpDiskUsage Eventos del sistema de NSX-T Uso de disco en los dispositivos de Edge y Manager para la partición tmp (Firestar).

vmwNSXPlatformSysImageDiskUsage Eventos del sistema de NSX-T Uso de disco en los dispositivos de Edge y Manager para la partición /image (Firestar).

vmwNSXDhcpPoolUsageOverloadedEvent

Eventos del sistema de NSX-T Grupo de DHCP sobrecargado/normal (Firestar).


VMware, Inc. 29


vmwNSXDhcpPoolLeaseAllocationFailedEvent

Eventos del sistema de NSX-T Asignación de concesión de grupo de DHCP con errores/correcta (Firestar).

vmwNSXPlatformPasswordExpiryStatus Eventos del sistema de NSX-T Caducidad de la contraseña de Manager (Flash).

vmwNSXPlatformCertificateExpiryStatus Eventos del sistema de NSX-T Caducidad del certificado de Manager (Flash).

vmwNSXRoutingBgpNeighborStatus Eventos del sistema de NSX-T Estado de vecino de BGP (Equinox).

vmwNSXVpnTunnelState Eventos del sistema de NSX-T Túnel de VPN activo/inactivo (Equinox).

vmwNSXVpnL2TunnelStatus Eventos del sistema de NSX-T Sesión de VPN de capa 2 activa/inactiva (Equinox).

vmwNSXVpnIkeSessionStatus Eventos del sistema de NSX-T Sesión de IKE activa/inactiva (Equinox).

vmwNSXDnsForwarderStatus Eventos del sistema de NSX-T Estado del reenviador de DNS (Flash).

vmwNSXClusterNodeStatus Eventos del sistema de NSX-T Estado del nodo de clúster (Flash).

vmwNSXFabricCryptoStatus Eventos del sistema de NSX-T Controlador MUX criptográfico de Edge con errores/aprobado (Known_Answer_Tests, KAT) (Flash).

El nodo de NSX-T Edge no tiene conectividad de controladora

vRNI calculado vRNI (el nodo de NSX-T Edge no puede comunicarse con ninguna de las controladoras).

El nodo de NSX-T Edge no tiene conectividad de administrador

vRNI calculado El nodo de NSX-T Edge perdió la conectividad de administrador.

Conectividad de controladora del nodo de NSX-T Edge degradada

vRNI calculado El nodo de NSX-T Edge no puede comunicarse con una o varias controladoras.

Error de coincidencia de MTU de NSX-T vRNI calculado La MTU configurada en las interfaces del enrutador lógico de nivel 0 no coincide con las interfaces del conmutador/enrutador de vínculo superior de la misma red de capa 2. Esto puede afectar el rendimiento de la red.

Máquinas virtuales de NSX-T incluidas en la lista de exclusión de firewall

vRNI calculado Una o más máquinas virtuales no están protegidas por el firewall de DFW de NSX-T. vRealize Network Insight Cloud no recibirá flujos de IPFIX para estas máquinas virtuales.

Configuración incorrecta de VLAN de NSX-T en el enrutador de nivel 0

vRNI calculado Se interrumpe la comunicación, ya que la VLAN en el puerto de vínculo superior del enrutador de nivel 0 es diferente de la VLAN en la puerta de enlace externa.

Sin conectividad de vínculo superior vRNI calculado El enrutador lógico de nivel 1 de NSX-T está desconectado del enrutador de nivel 0. No se puede acceder a las redes de este enrutador desde fuera y viceversa.


VMware, Inc. 30


No hay ninguna zona de transporte asociada al nodo de transporte

vRNI calculado No hay ninguna zona de transporte asociada al nodo de transporte. Esto hace que las máquinas virtuales pierdan conectividad.

No hay ningún VTEP disponible en el nodo de transporte

vRNI calculado Todos los VTEP se eliminan del nodo de transporte. Esto hace que las máquinas virtuales pierdan conectividad.

Anuncio de enrutamiento deshabilitado vRNI calculado Se deshabilitó el anuncio de enrutamiento para el enrutador lógico de nivel 1 de NSX-T. No se puede acceder a las redes de este enrutador desde fuera.

El uso de disco de Manager no es correcto

Eventos del sistema de NSX-T (vmwNSXPlatformSysDiskUsage)

Vecino de BGP inactivo Eventos del sistema de NSX-T (vmwNSXRoutingBgpNeighborStatus)

Se necesita una alerta cuando el vecino de BGP queda inactivo.

Vecino de BGP activo Eventos del sistema de NSX-T (vmwNSXRoutingBgpNeighborStatus)

Se debe borrar la alarma cuando se activa un vecino.

Uso de almacenamiento superior a X Eventos del sistema de NSX-T (vmwNSXPlatformSysDiskUsage)

Se activa la alarma del evento de almacenamiento superior a X para todas las máquinas virtuales de dispositivo (MP, CCP) o los nodos de transporte (Edge, host).

Uso de memoria superior a X Eventos del sistema de NSX-T (vmwNSXPlatformSysMemUsage)

Se activa la alarma del evento de memoria superior a X para todas las máquinas virtuales de dispositivo (MP, CCP) o los nodos de transporte (Edge, host).

Uso de CPU superior a X Eventos del sistema de NSX-T (vmwNSXPlatformSysCpuUsage)

Se activa la alarma del evento de CPU superior a X para todas las máquinas virtuales de dispositivo (MP, CCP) o los nodos de transporte (Edge, host).

Agregar VMware SD-WANPuede agregar VMware SD-WAN por VeloCloud como origen de datos en vRealize Network Insight Cloud.

Requisitos previos

Asegúrese de lo siguiente:

n Tiene el permiso correcto para agregar el origen de datos. Para obtener información sobre los permisos, consulte Productos y versiones compatibles.

n Utiliza VeloCloud Orchestrator y Edge versión 3.3.1 o posterior.

n Agregó al menos una licencia de VMware SD-WAN.


VMware, Inc. 31

n No hay ninguna otra instancia de VMware SD-WAN agregada como origen de datos.

Procedimiento



3 En SD-WAN, haga clic en VeloCloud.

4 En la página Agregar una cuenta o un origen de VeloCloud nuevos, proporcione la información requerida.

Opción Acción



URL de VCO Introduzca la URL de VCO que desee agregar como origen de datos.







Pasos siguientes

Debe habilitar NetFlow para todos los perfiles y las instancias de Edge. Para obtener información sobre cómo habilitar la recopilación de NetFlow, en la página Editar origen de datos de VMware SD-WAN, haga clic en Ver instrucción.

Nota Puede ver la opción Ver instrucción en Nota: La recopilación de NetFlow debe estar habilitada para todos los perfiles y las instancias de Edge.

Agregar VMware Cloud on AWSvRealize Network Insight Cloud solo es compatible con VMware Cloud on AWS para usuarios de licencias Enterprise. Puede agregar VMware Cloud on AWS (vCenter) o VMware Cloud on AWS (NSX Policy Manager) como un origen de datos.

Agregar una instancia de VMware Cloud on AWS - vCenterPuede agregar una instancia de VMware Cloud on AWS - vCenter como origen de datos.

Requisitos previos

n Debe tener los privilegios Cloud Administrator.


VMware, Inc. 32

n Obtenga las credenciales para agregar NSX Manager como origen de datos.

a Inicie sesión en la consola de VMware Cloud Services.

b Haga clic en VMware Cloud on AWS en Mis servicios.

c Haga clic en el nombre del SDDC deseado.

d En la pestaña Configuración, copie el FQDN de vCenter en la pestaña FQDN de vCenter. En la pestaña Cuenta de usuario de vCenter predeterminada, copie las credenciales de usuario.

Procedimiento

1 Haga clic en Configuración > Cuentas y orígenes de datos > Agregar origen.

2 En VMware Cloud on AWS, haga clic en VMware Cloud on AWS - vCenter.

3 En la página Agregar una instancia de VMware Cloud on AWS - VMware vCenter:

n Seleccione la máquina virtual del recopilador.

n Proporcione el FQDN de vCenter que recuperó de VMware Cloud Services.

n Proporcione las credenciales de usuario que recuperó de VMware Cloud Services.


5 Introduzca Alias y Notas (si las hubiera) para el origen de datos y haga clic en Enviar.

6 Agregar una instancia de VMware Cloud on AWS - NSX Policy Manager.

Agregar una instancia de VMware Cloud on AWS - NSX Policy ManagerPuede agregar VMware Cloud on AWS - NSX Policy Manager como un origen de datos.

Requisitos previos

n Debe tener los privilegios Cloud Administrator.

n Obtenga las credenciales para agregar NSX Manager como origen de datos.

a Inicie sesión en la consola de VMware Cloud Services.

b Haga clic en VMware Cloud on AWS en Mis servicios.

c Haga clic en el nombre del SDDC deseado.

d En la pestaña Configuración, copie el FQDN de vCenter en la pestaña FQDN de vCenter. En la pestaña Cuenta de usuario de vCenter predeterminada, copie las credenciales de usuario.

Procedimiento

1 Realice una de las siguientes acciones:

n Si no agregó VMware Cloud on AWS - vCenter:

a Agregar una instancia de VMware Cloud on AWS - vCenter.


VMware, Inc. 33

b Haga clic en Agregar NSX Manager.

n Si ya agregó VMware Cloud on AWS - vCenter:

a Haga clic en Configuración > Cuentas y orígenes de datos > Agregar origen.

b En VMware Cloud on AWS, haga clic en VMware Cloud on AWS - NSX Manager.

2 En la página Agregar una cuenta nueva de VMC NSX Manager:

n Seleccione la instancia de vCenter correspondiente.

El recopilador se selecciona automáticamente según la selección de vCenter. VMware Cloud on AWS. Debe agregar NSX Manager a la misma máquina virtual de recopilador que corresponde a la instancia de vCenter.

n Proporcione la dirección IP y el token de actualización de CSP.

n Proporcione las credenciales de usuario.


4 Si desea recopilar flujos de IPFIX para DFW, seleccione Habilitar IPFIX de DFW.

Nota Aparecen mensajes de error si no se cumplen las siguientes condiciones:

n Para habilitar IPFIX de DFW, debe tener privilegios Cloud Administrator.

n VMware Cloud on AWS - NSX Manager solo permite que se agreguen cuatro recopiladores al perfil de recopilador de IPFIX de DFW. Consulte también No se puede habilitar IPFIX de DFW.

5 Introduzca el Alias y las Notas (si las hubiera) del origen de datos y haga clic en Enviar.

Modelo de implementación de VMware Cloud on AWS

vRealize Network Insight Cloud es compatible con el siguiente modelo de implementación:

n Recopilador implementado en VMware Cloud on AWS:

a En este modelo de implementación, el recopilador se implementa como una carga de trabajo en la puerta de enlace de cómputo en VMware Cloud on AWS. La plataforma se implementa en la versión local de SDDC.

b Las reglas de firewall de la puerta de enlace de administración permiten la comunicación con la instancia de vCenter de VMware Cloud on AWS y la instancia de NSX Manager de VMware Cloud on AWS a través de HTTPS.

c El recopilador se comunica con la plataforma mediante los mecanismos de comunicación existentes a través de VPN o Direct Connect.

Los requisitos previos para el modelo de implementación anterior son los siguientes:

n Debe haber una regla de firewall de puerta de enlace de administración para permitir que el recopilador de vRealize Network Insight Cloud invoque las API de vCenter y NSX Manager a través de HTTPS (443).


VMware, Inc. 34

n Debe haber una regla de puerta de enlace de cómputo dentro del firewall de puerta de enlace para permitir que el recopilador se comunique con la plataforma local o la plataforma SaaS.

Nota n En el SDDC de un solo nodo en VMware Cloud on AWS, establezca la reserva de recursos de CPU

para la máquina virtual proxy en 1.251 MHz. Actualmente, los archivos OVA proxy proporcionados como parte de la versión tienen la reserva de recursos establecida en 2.048 MHz. Después de importar el archivo OVA en la instancia de vCenter de SDDC, modifique la configuración de la máquina virtual proxy para utilizar la reserva de CPU máxima permitida de 1.251 MHz.

Agregar Amazon Web ServicesPuede agregar Amazon Web Services (AWS) como origen de datos en vRealize Network Insight Cloud.

Puede agregar los siguientes dos tipos de cuentas de AWS como origen de datos.

n Cuenta principal y cuentas vinculadas de AWS

n Cuenta estándar de AWS

Cuenta principal y cuentas vinculadas de AWSLa cuenta principal de AWS, también conocida como cuenta de organización o cuenta de pagador, tiene acceso de nivel de organización para detectar y enumerar todas las cuentas de AWS vinculadas de la organización a través de llamadas API.

Todas las cuentas de AWS de la organización que se agregan a la cuenta principal se conocen como cuentas vinculadas. Para obtener más información, consulte ListAccount.

La cuenta principal de AWS debe asumir una función a través de las cuentas de AWS vinculadas para acceder y controlar los recursos de la cuenta de AWS vinculada. Todas las cuentas de AWS vinculadas deben confiar en la cuenta principal de AWS a través de un ARN de función. Para obtener más información sobre las funciones, consulte AssumeRole.

Cuando se agrega una cuenta principal de AWS como origen de datos, se agregan automáticamente todas las cuentas de AWS vinculadas como origen de datos.

Cuenta estándar de AWSUna cuenta de AWS estándar no tiene una relación principal-vinculada.

Agregar un origen de datos principal de AWSCon la cuenta principal de AWS, puede agregar automáticamente todas las cuentas de AWS vinculadas de la organización en vRealize Network Insight Cloud. .

Requisitos previos

n Configure el firewall de la organización para acceder a la API de AWS. Consulte Configuración de firewall para acceso a la API de AWS.


VMware, Inc. 35

https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html

n Cree una directiva de cuenta principal para la cuenta principal de AWS y una directiva de cuenta vinculada para todas las cuentas de AWS vinculadas. Consulte Crear una directiva de cuenta principal y de cuenta vinculada. .

n En todas las cuentas de AWS vinculadas, agregue una función para confiar en la cuenta principal de AWS que desea agregar a vRealize Network Insight Cloud y asocie la directiva de cuenta vinculada. Consulte Crear una función en AWS.

n Cree un usuario en la cuenta principal de AWS. Consulte Crear un usuario en una cuenta de AWS.

Procedimiento

1 Inicie sesión en vRealize Network Insight Cloud.

2 Vaya a Configuración > Cuentas y orígenes de datos > Agregar origen.

3 En la sección Nubes públicas, haga clic en Amazon Web Services.

4 Seleccione la máquina virtual de recopilador (proxy).

5 Introduzca el identificador de clave de acceso de Amazon y la clave de acceso secreta correspondiente.

Nota El identificador de clave de acceso de Amazon es una cadena de 20 dígitos con la correspondiente clave de acceso secreta que se crea en la consola de AWS. Para obtener más detalles, consulte http://docs.aws.amazon.com/general/latest/gr/managing-aws-access-keys.html.

Este proceso demora entre 15 y 20 minutos en agregar y mostrar los datos de la cuenta.


Si la cantidad de máquinas virtuales detectadas supera la capacidad de la plataforma, de un nodo de proxy o de ambos, se produce un error en la validación. No se le permitirá agregar un origen de datos hasta que aumente el tamaño de brick de la plataforma o cree un clúster.


Tamaño de brick

Máquinas virtuales

Estado de flujos





7 Una vez validada la cuenta de AWS, seleccione la casilla de verificación Agregar cuentas vinculadas automáticamente (solo para la cuenta principal).


VMware, Inc. 36

http://docs.aws.amazon.com/general/latest/gr/managing-aws-access-keys.html

8 En ARN de función, introduzca el nombre de recurso de Amazon (Amazon Resource Name, ARN) de función de la cuenta de AWS vinculada para que esta confíe en la cuenta principal de AWS.

Para obtener información sobre los ARN de función, consulte Nombres de recursos de Amazon (ARN) y espacios de nombres de servicios de AWS .

9 Introduzca Alias y Notas (si las hubiera) para el origen de datos .


vRealize Network Insight Cloud validará el ARN de función y agregará la cuenta. Si se produce un error en la validación, el sistema solicitará su confirmación.

Crear una directiva de cuenta principal y de cuenta vinculadaDebe crear una directiva de cuenta principal para la cuenta principal del servicio web de Amazon (AWS) y una directiva de cuenta vinculada para todas las cuentas de AWS vinculadas. Puede utilizar estas directivas para administrar el acceso en AWS.

Puede asociar la directiva de AWS a una identidad de IAM, como usuarios o funciones. Para obtener más información, consulte Directivas y permisos.

Procedimiento

1 En la consola de AWS, vaya a IAM > Directivas > Crear directiva.

2 En la página Crear directiva, haga clic en la pestaña JSON.


VMware, Inc. 37

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html?icmpid=docs_iam_console

3 En el cuadro de texto JSON, introduzca una directiva.

Opción Descripción

Agregar una directiva de cuenta principal

Nota Debe agregar la directiva de cuenta principal a la cuenta principal de AWS.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "ec2:Describe*" ], "Resource": "*" }, { "Action": [ "logs:Describe*", "logs:Get*", "logs:TestMetricFilter", "logs:FilterLogEvents" ], "Effect": "Allow", "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "<Role ARNs>" } ]}

Agregar una cuenta vinculada

Nota Debe agregar la directiva de cuenta vinculada a todas las cuentas vinculadas que se agreguen a la cuenta principal de AWS.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [


VMware, Inc. 38


"ec2:Describe*" ], "Resource": "*" }, { "Action": [ "logs:Describe*", "logs:Get*", "logs:TestMetricFilter", "logs:FilterLogEvents" ], "Effect": "Allow", "Resource": "*" } ]}

4 Haga clic en Directiva de revisión.

5 En la sección Directiva de revisión, introduzca un nombre de directiva y haga clic en Crear directiva.

Pasos siguientes

Inicie sesión en todas las cuentas vinculadas, una por una, y agregue una función para confiar en la cuenta principal de AWS que desea agregar a vRealize Network Insight Cloud, y asocie la directiva de cuenta vinculada. Para crear una función y asociar la directiva de cuenta vinculada, consulte Crear una función en AWS.

Nota Si una función creada en todas las cuentas vinculadas ya incluye los permisos de la directiva estándar y confía en la cuenta principal, omita este paso.

Crear una función en AWSCon una función de AWS, puede otorgar permiso a una cuenta de confianza .

Debe agregar una función de IAM a la cuenta vinculada de AWS para confiar en la cuenta principal de AWS . Para obtener más información, consulte Funciones de IAM.

Procedimiento

1 En la consola de AWS, vaya a Servicios > IAM > Funciones > Crear función.

2 En la página Crear función, haga clic en Otra cuenta de AWS.

3 En el cuadro de texto Identificador de cuenta, introduzca el identificador de la cuenta principal en la que desea confiar y haga clic en Next:Permission.

4 Busque y seleccione la directiva de cuenta vinculada y haga clic en Next:Tags.

Debe agregar la directiva de cuenta vinculada que creó en Crear una directiva de cuenta principal y de cuenta vinculada .

5 En la sección Revisar, introduzca un Nombre de función y haga clic en Crear función.


VMware, Inc. 39

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html?icmpid=docs_iam_console

Pasos siguientes

Crear un usuario en una cuenta de AWS.

Crear un usuario en una cuenta de AWSDebe crear un usuario en la cuenta de AWS para obtener el identificador de clave de acceso de Amazon y la clave de acceso secreta correspondiente. Puede utilizar el identificador de la clave de acceso a Amazon y la clave de acceso secreta correspondiente para agregar la cuenta de AWS a vRealize Network Insight Cloud como un origen de datos.

Procedimiento

1 Inicie sesión en la consola de AWS.

2 Vaya a Servicios > IAM > Usuarios > Agregar usuario.

3 En la página Agregar usuario, introduzca un Nombre de usuario, seleccione la casilla de verificación Acceso mediante programación y haga clic en Siguiente permiso.

4 En el grupo Establecer permiso, haga clic en Adjuntar directivas existentes directamente y, a continuación, busque y seleccione una directiva de cuenta que ya haya creado .

n Para una cuenta principal de AWS, seleccione la directiva de cuenta principal.

n Para una cuenta estándar de AWS, seleccione la directiva de cuenta estándar.

5 Haga clic en Siguientes etiquetas > Siguiente: Revisar.

6 Revise y haga clic en Crear usuario .

Anote el Identificador de clave de acceso y la Clave de acceso secreta .

Pasos siguientes

n Para agregar una cuenta principal de AWS, inicie sesión en vRealize Network Insight Cloud y agregue una cuenta principal de AWS. Consulte Agregar un origen de datos principal de AWS.

n Para agregar una cuenta estándar de AWS, inicie sesión en vRealize Network Insight Cloud y agregue una cuenta estándar de AWS. Consulte Agregar un origen de datos estándar de AWS.

Configuración de firewall para acceso a la API de AWSLa máquina virtual de recopilador requiere una lista de direcciones URL para obtener acceso a AWS.

n AWS se puede implementar en varias regiones. Existen URL independientes asociadas a diferentes regiones. Si no conoce la región o el servicio, utilice una entrada comodín para la dirección URL (por ejemplo, *.amazonaws.com).

Nota La entrada comodín no funciona para la región correspondiente a China.

Si desea proporcionar un acceso específico a direcciones URL independientes, existen cuatro servicios según la región:


VMware, Inc. 40

n Regiones excepto GovCloud y China

n ec2.<REGION>.amazonaws.com

n logs.<REGION>.amazonaws.com

n sts.<REGION>.amazonaws.com

n iam.amazonaws.com

Región GovCloud

n ec2.us-gov-west-1.amazonaws.com

n logs.us-gov-west-1.amazonaws.com

n sts.us-gov-west-1.amazonaws.com

n iam.us-gov.amazonaws.com

Región China (Pekín)

n ec2.cn-north-1.amazonaws.con.cn

n logs.cn-north-1.amazonaws.com.cn

n sts.cn-north-1.amazonaws.com.cn

n iam.cn-north-1.amazonaws.com.cn

Puede utilizar cualquiera de los siguientes valores para REGION según la región de AWS:

Nombre de la región Región

Este de EE. UU. (Ohio) us-east-2

Este de EE. UU. (norte de Virginia) us-east-1

Oeste de EE. UU. (norte de California) us-west-1

Oeste de EE. UU. (Oregón) us-west-2

Asia Pacífico (Bombay) ap-south-1

Asia Pacífico (Seúl) ap-northeast-2

Asia Pacífico (Singapur) ap-southeast-1

Asia Pacífico (Sídney) ap-southeast-2

Asia Pacífico (Tokio) ap-northeast-1

Canadá (centro) ca-central-1

UE (Fráncfort) eu-central-1

UE (Irlanda) eu-west-1

UE (Londres) eu-west-2

América del Sur (Sao Paulo) sa-east-1

GovCloud us-gov-west-1

China (Pekín) cn-north-1


VMware, Inc. 41

Agregar un origen de datos estándar de AWSPara agregar un origen de datos de AWS:

Requisitos previos

n Configure el firewall de la organización para acceder a la API de AWS. Consulte Configuración de firewall para acceso a la API de AWS.

n Cree una directiva de cuenta estándar para la cuenta de AWS que desea agregar en vRealize Network Insight Cloud. Para crear una directiva, consulte Crear una directiva de cuenta estándar.

n Cree un usuario en la cuenta estándar de AWS. Para crear un usuario en AWS, consulte Crear un usuario en una cuenta de AWS.

Procedimiento

1 Vaya a Configuración > Cuentas y orígenes de datos > Agregar origen.

2 En Nubes públicas, haga clic en Amazon Web Services.

3 Seleccione la máquina virtual de recopilador (proxy).

4 Introduzca el identificador de clave de acceso de Amazon y la clave de acceso secreta correspondiente.

Nota El identificador de clave de acceso de Amazon es una cadena de 20 dígitos con la correspondiente clave de acceso secreta. Para obtener más detalles, consulte http://docs.aws.amazon.com/general/latest/gr/managing-aws-access-keys.html.

Nota Para agregar la región GovCloud de AWS como origen de datos, cree un usuario de AWS IAM mediante la directiva recomendada en la cuenta de AWS con acceso a la región GovCloud. Utilice la clave de acceso y la clave secreta de la cuenta recién creada para agregar el origen de datos a vRealize Network Insight Cloud.

Este proceso demora entre 15 y 20 minutos en agregar y mostrar los datos de la cuenta.


Si la cantidad de máquinas virtuales detectadas supera la capacidad de la plataforma, de un nodo de proxy o de ambos, se produce un error en la validación. No se le permitirá agregar un origen de datos hasta que aumente el tamaño de brick de la plataforma o cree un clúster.


Tamaño de brick

Máquinas virtuales

Estado de flujos




VMware, Inc. 42



Tamaño de brick

Máquinas virtuales

Estado de flujos



6 Una vez validada la cuenta de AWS, puede seleccionar Habilitar recopilación de datos de flujo para obtener información más detallada.

Crear un usuario en una cuenta de AWSDebe crear un usuario en la cuenta de AWS para obtener el identificador de clave de acceso de Amazon y la clave de acceso secreta correspondiente. Puede utilizar el identificador de la clave de acceso a Amazon y la clave de acceso secreta correspondiente para agregar la cuenta de AWS a vRealize Network Insight Cloud como un origen de datos.

Procedimiento


2 Vaya a Servicios > IAM > Usuarios > Agregar usuario.

3 En la página Agregar usuario, introduzca un Nombre de usuario, seleccione la casilla de verificación Acceso mediante programación y haga clic en Siguiente permiso.

4 En el grupo Establecer permiso, haga clic en Adjuntar directivas existentes directamente y, a continuación, busque y seleccione una directiva de cuenta que ya haya creado .

n Para una cuenta principal de AWS, seleccione la directiva de cuenta principal.

n Para una cuenta estándar de AWS, seleccione la directiva de cuenta estándar.

5 Haga clic en Siguientes etiquetas > Siguiente: Revisar.

6 Revise y haga clic en Crear usuario .

Anote el Identificador de clave de acceso y la Clave de acceso secreta .

Pasos siguientes

n Para agregar una cuenta principal de AWS, inicie sesión en vRealize Network Insight Cloud y agregue una cuenta principal de AWS. Consulte Agregar un origen de datos principal de AWS.

n Para agregar una cuenta estándar de AWS, inicie sesión en vRealize Network Insight Cloud y agregue una cuenta estándar de AWS. Consulte Agregar un origen de datos estándar de AWS.

Crear una directiva de cuenta estándarDebe crear una directiva de cuenta estándar para las cuentas estándar de AWS. Con esta directiva, puede administrar el acceso en AWS.

Puede asociar la directiva de AWS a una identidad de IAM, como usuarios o funciones. Para obtener más información, consulte Directivas y permisos.


VMware, Inc. 43

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html?icmpid=docs_iam_console

Procedimiento

1 En la consola de AWS, vaya a IAM > Directivas > Crear directiva.

2 En la página Crear directiva, haga clic en la pestaña JSON.

3 En el cuadro de texto JSON, introduzca la siguiente directiva de cuenta:


Para agregar una directiva de cuenta estándar

Nota Debe agregar la directiva de cuenta estándar a la cuenta estándar de AWS que desea agregar como origen de datos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "ec2:Describe*" ], "Resource": "*" }, { "Action": [ "logs:Describe*", "logs:Get*", "logs:TestMetricFilter", "logs:FilterLogEvents" ], "Effect": "Allow", "Resource": "*" } ]}

4 Haga clic en Directiva de revisión.

5 En la sección Directiva de revisión, introduzca un nombre de directiva y haga clic en Crear directiva.

Pasos siguientes

n Crear un usuario en una cuenta de AWS.

AWS: Compatibilidad con el bloqueo geográfico

Debido a que la directiva de bloqueo geográfico se implementa estrictamente en el firewall corporativo, las llamadas de la API de AWS se limitan a regiones de AWS específicas. vRealize Network Insight Cloud es compatible con la directiva de bloqueo geográfico para los entornos de AWS.

Para habilitar la directiva de bloqueo geográfico en vRealize Network Insight Cloud:


VMware, Inc. 44

Procedimiento

1 En la página Agregar origen de datos de AWS, introduzca el acceso a AWS y las claves secretas. Haga clic en Validar.

2 Seleccione Permitir acceso solo a regiones de AWS específicas. Seleccione Regiones de AWS de la lista para habilitar la recopilación automática de las regiones. Si no se selecciona esta opción, no se realizará la recopilación automática.


Agregar una suscripción de AzurePuede agregar una suscripción de Microsoft Azure como origen de datos en vRealize Network Insight Cloud.

Requisitos previos

Asegúrese de que dispone del permiso correcto. Para obtener información sobre los permisos, consulte Productos y versiones compatibles.

Procedimiento



3 En el grupo Nubes públicas, haga clic en Microsoft Azure.

4 En la página Agregar una nueva suscripción de Azure, proporcione la información necesaria.

Opción Acción

Máquina virtual de recopilador Seleccione una máquina virtual de recopilador del menú desplegable.

Identificador de inquilino Introduzca el identificador de tenant de Azure Active Directory (AD).

Identificador de aplicación Introduzca el identificador de la aplicación.

Clave secreta de la aplicación Introduzca la clave secreta de la aplicación.

Identificador de suscripción Introduzca el identificador de la suscripción.


Debe tener al menos una máquina virtual, un grupo de seguridad de red (NSG), una NIC y una VNet para una validación correcta.

6 (opcional) Si desea recopilar los registros de flujos de NSG para obtener información detallada sobre los flujos, active la casilla Habilitar recopilación de datos de flujo de NSG.




VMware, Inc. 45


Habilitar el registro de flujos de NSGPara habilitar la recopilación de datos de flujos de un grupo de seguridad de red (NSG) en vRealize Network Insight Cloud, debe habilitar el registro de flujos de NSG en el entorno de Azure.

El procedimiento y la tarea relacionados con Azure se documentan en https://docs.microsoft.com/en-us/azure/network-watcher/.

Requisitos previos

Compruebe que dispone del permiso correcto. Para obtener información sobre los permisos, consulte Versiones y productos compatibles.

Procedimiento

1 Habilite Network Watcher en el entorno de Azure. Para obtener más información, consulte los tutoriales sobre el registro del tráfico de red de máquina virtual en la documentación de Network Watcher de Azure.

2 Registre el proveedor de Insights en el entorno de Azure. Para obtener más información, consulte los tutoriales sobre el registro del tráfico de red de máquina virtual en la documentación de Network Watcher de Azure.

3 Habilite el registro de flujos de NSG en el entorno de Azure. Para obtener más información, consulte los tutoriales sobre el registro del tráfico de red de máquina virtual en la documentación de Network Watcher de Azure.

4 En el portal de Microsoft Azure, haga clic en Cuenta de almacenamiento > Blob.

5 Seleccione el contenedor en el que se almacenarán los registros de flujo y, a continuación, haga clic en Cambiar el nivel de acceso y seleccione Contenedor (acceso de lectura anónimo para contenedor y blobs).

Debe realizar este paso para todos los contenedores donde almacene los registros de flujo.

Agregar VMware PKSPuede agregar VMware PKS como origen de datos y recuperar los detalles del clúster de PKS en vRealize Network Insight Cloud.

Requisitos previos

Debe agregar la instancia de NSX-T Manager correspondiente.

Procedimiento



3 En Contenedores, seleccione VMware PKS.


VMware, Inc. 46

https://docs.microsoft.com/en-us/azure/network-watcher/

https://docs.microsoft.com/en-us/azure/network-watcher/

4 En la página Agregar origen de datos, proporcione los siguientes detalles:

Nombre de campo Descripción

NSX-T Manager Seleccione la instancia de NSX-T Manager que admite las redes subyacentes para la implementación de VMware PKS.


vRealize Network Insight Cloud selecciona automáticamente la máquina virtual de recopilador correspondiente asociada con la instancia de NSX-T Manager seleccionada.

Nota Las máquinas virtuales de recopilador que se agregan como un recopilador de NetFlow no se encuentran disponibles en la lista.

Nombre de host de la API (FQDN)

Introduzca los detalles de FQDN del servidor de API de PKS.

Nombre de usuario Introduzca el nombre de usuario de PKS que tiene acceso a los clústeres.



Se mostrará el mensaje Validación correcta.

6 Introduzca el alias del origen de datos y agregue notas para la descripción, según lo desee.


Agregar KubernetesPuede agregar Kubernetes como origen de datos y recuperar los detalles del clúster de Kubernetes en vRealize Network Insight Cloud.

Nota Es necesario agregar el clúster de Kubernetes y la instancia de NSX-T Manager correspondiente a la misma máquina virtual de recopilador.

Requisitos previos

n Agregue NSX-T Manager en vRealize Network Insight Cloud.

n Asegúrese de que se pueda acceder al servidor de API de Kubernetes desde la máquina virtual de recopilador.

Procedimiento



3 En Contenedores, seleccione Kubernetes.


VMware, Inc. 47



NSX-T Manager Seleccione la instancia de NSX-T Manager que admite las redes subyacentes para Kubernetes.




Kubeconfig Haga clic en Examinar y cargue el archivo de configuración de Kubernetes que contiene los detalles del clúster de Kubernetes. Para obtener más información sobre el formato del archivo de configuración Kubeconfig, consulte la documentación de Kubernetes.

Nota El usuario configurado en el archivo Kubeconfig debe tener los privilegios Lista e Inspección.





Resultados

vRealize Network Insight Cloud ahora puede recuperar los detalles del clúster de Kubernetes.

Pasos siguientes

Vaya al panel de control de Kubernetes y revise los detalles. Consulte Ver detalles de Kubernetes.

Agregar OpenShiftPuede agregar OpenShift como origen de datos y recuperar los detalles de su OpenShift en vRealize Network Insight Cloud.

Nota Es necesario agregar OpenShift y la instancia de NSX-T Manager correspondiente a la misma máquina virtual de recopilador.

Requisitos previos

n Agregue NSX-T Manager en vRealize Network Insight Cloud.

Procedimiento



3 En Contenedores, seleccione OpenShift.


VMware, Inc. 48

https://kubernetes.io/docs/tasks/access-application-cluster/configure-access-multiple-clusters/



NSX-T Manager Seleccione la instancia de NSX-T Manager que admite las redes subyacentes para OpenShift.




Kubeconfig Haga clic en Examinar y cargue el archivo de configuración de Kubernetes que contiene los detalles del clúster de Kubernetes. Para obtener más información sobre el formato del archivo de configuración Kubeconfig, consulte la documentación de Kubernetes.

Nota El usuario configurado en el archivo Kubeconfig debe tener los privilegios Lista e Inspección.





Resultados

vRealize Network Insight Cloud ahora puede recuperar los detalles de OpenShift.

Pasos siguientes

Consulte los detalles en Ver detalles de Kubernetes.

Agregar Palo Alto Networks PanoramaPuede agregar Palo Alto Networks Panorama como un origen de datos en vRealize Network Insight Cloud.

Requisitos previos

Asegúrese de que cuenta con la función de administrador con acceso a la API XML. Para obtener más detalles, consulte Palo Alto Networks.

Procedimiento



3 En Firewalls, haga clic en Palo Alto Networks Panorama.


VMware, Inc. 49

https://kubernetes.io/docs/tasks/access-application-cluster/configure-access-multiple-clusters/

4 En la página Agregar una cuenta o un origen de Palo Alto Networks Panorama nuevos, proporcione la información necesaria.

Opción Acción










Agregar servidor de administración de Check PointPuede agregar un servidor de administración de Check Point como un origen de datos en vRealize Network Insight Cloud.

Requisitos previos

Asegúrese de que dispone del permiso correcto. Para obtener información sobre los permisos, consulte Firewall de Check Point.

Procedimiento



3 En el grupo Firewall, haga clic en Servidor de administración de Check Point.

4 En la página Agregar una cuenta o un origen del servidor de administración de Check Point nuevos, proporcione la información necesaria.

Opción Acción









VMware, Inc. 50



Agregar Cisco ASAPuede agregar Cisco ASA como un origen de datos en vRealize Network Insight Cloud.

Requisitos previos

Debe tener derechos para conmutar en el modo de activación. La contraseña del usuario debe ser la misma que la que se utiliza para el modo de activación de Cisco ASA.

Procedimiento



3 En el grupo Firewall, haga clic en Cisco ASA.

4 En la página Agregar una cuenta o un origen de Cisco ASA nuevos, proporcione la información necesaria.

Opción Acción





Nota El usuario debe tener el privilegio de habilitación de modo para establecer la longitud de terminal en 0 y para cambiar el contexto de seguridad.


Nota Asegúrese de introducir la misma contraseña que utilizó para la habilitación de modo de Cisco ASA.

5 (opcional) Para habilitar una recopilación de datos más completa, active la casilla de verificación

Usar SNMP (recomendado para una recopilación de datos más completa).






VMware, Inc. 51

Agregar una instancia de Fortinet FortiManagerEn vRealize Network Insight Cloud, es posible agregar una instancia de Fortinet FortiManager como origen de datos:

Requisitos previos

Verifique lo siguiente:

n Utiliza FortiManager versión 6.0.1.

n Tiene al menos la función de usuario restringido con acceso a todos los paquetes de directivas y las instancias de ADOM.

n Tiene el acceso rpc-permit read habilitado desde la interfaz de línea de comandos (Command Line Interface, CLI).

Para configurar el permiso rpc, use el siguiente comando en la CLI de FortiManager:

config system admin user

edit "<administrator name>"

set rpc-permit [none | read | read-write ]

end

Procedimiento

1 En la página Configuración, haga clic en Cuentas y orígenes de datos > Agregar origen.

2 En la sección Firewall, haga clic en Fortinet FortiManager.

3 En la página Agregar una cuenta o un origen de Fortinet FortiManager nuevo, introduzca la información requerida:

Opción Acción


Seleccione la máquina virtual de recopilador del menú desplegable.


Nombre de usuario Introduzca el nombre de usuario que desea utilizar para este origen de datos.



5 En el cuadro de texto Alias, introduzca un alias para el origen de datos.

6 (opcional) En el cuadro de texto Nota, puede agregar una nota si es necesario.


Agregar conmutadores Dell OS10Puede agregar conmutadores Dell OS10 como un origen de datos en vRealize Network Insight Cloud.


VMware, Inc. 52

Requisitos previos

Para obtener información sobre los conmutadores Dell admitidos, consulte Productos y versiones compatibles.

Procedimiento



3 En el grupo Enrutadores y conmutadores, haga clic en Dell OS10.

4 En la página Agregar una cuenta o un origen nuevos, proporcione la información requerida.

Opción Acción







6 Para habilitar SNMP o la recopilación de datos, seleccione Usar SNMP.


8 En el cuadro de texto Notas, puede agregar una nota si es necesario.


Pasos siguientes

Habilitar telemetría en los conmutadores Dell OS10

Habilitar telemetría en los conmutadores Dell OS10Puede habilitar la telemetría en los conmutadores Dell OS10 para integrar las estadísticas y el seguimiento del búfer en los conmutadores Dell.

Requisitos previos

Agregar conmutadores Dell OS10

Cuando se reciben solicitudes del conmutador, el recopilador de vRealize Network Insight Cloud guarda o almacena en búfer el paquete en el puerto definido.


VMware, Inc. 53

Cuando se incrementa el tamaño del búfer debido al aumento de la velocidad de entrada en comparación con la velocidad de salida, las solicitudes pueden retrasarse o agotar el tiempo de espera. Los conmutadores Dell OS10 utilizan gRPC para capturar esa información de métricas, que se puede ver en vRealize Network Insight Cloud. Esto permite diagnosticar los problemas de rendimiento de la aplicación que se hayan podido producir por la congestión de la red, y también detalla de forma proactiva el impacto de la congestión en la aplicación y la red.

Procedimiento

u Ejecute los siguientes comandos en el conmutador Dell OS10:

telemetry

enable

!

destination-group dg03

destination IP de recopilador de vRNI 50000

!

subscription-profile sp03

sensor-group bgp

sensor-group buffer

sensor-group device

sensor-group environment

sensor-group interface

sensor-group lag

sensor-group system

destination-group dg03

encoding gpb

transport grpc no-tls

source-interface ethernet1/1/1

Resultados

El recopilador de vRealize Network Insight Cloud recopila la siguiente información de telemetría de los conmutadores Dell OS10.

n per-port egress unicast queues

n per-port egress multicast queues

n per-port egress service pool

n per priority group ingress shared headroom

n per service pool ingress

Pasos siguientes

Ejecute cualquiera de las siguientes consultas:

n show ports where metric > X en el rango de tiempo

n show switches where metric > X en el rango de tiempo

n puerto show metrics en el rango de tiempo


VMware, Inc. 54

n conmutador show metrics en el rango de tiempo

n show switches where at least one port metric > X en el rango de tiempo

Verá el evento correspondiente activado. Por ejemplo, SwitchPort Buffer Threshold Exceeded Event.

También puede buscar la métrica Uso máximo de búfer en la interfaz e identificar el motivo por el que se retrasó la solicitud.

Agregar Huawei 6800/7800/8800 SeriesvRealize Network Insight Cloud es compatible con varias series de motores de nube de Huawei.

Requisitos previos

El usuario debe tener al menos permisos de solo lectura.

Procedimiento



3 En Enrutadores y conmutadores, seleccione Huawei 6800/7800/8800 Series.

4 Introduzca la siguiente información:


Máquina virtual de recopilador (proxy) Seleccione la máquina virtual proxy del menú desplegable.


Username Introduzca el nombre de usuario que desea utilizar para este origen de datos.

Password Introduzca la contraseña.


6 Si habilita SNMP para la recopilación de datos, seleccione Versión SNMP.

a Para 2c, introduzca la cadena de comunidad asociada.

b Para 3, introduzca lo siguiente:

n Username

n Context Name

n Authentication Type

7 Proporcione Alias y Notas según sea necesario.



VMware, Inc. 55

Pasos siguientes

Puede usar las siguientes funciones de vRealize Network Insight Cloud con enrutadores o dispositivos Huawei.

n Ruta de máquina virtual a máquina virtual

n Topología de máquina virtual subyacente

n Panel de control Enrutador o conmutador de Huawei

n Métricas: métricas de puerto de conmutador y de interfaz de enrutador

n Paneles de control

n Enrutador o conmutador de Huawei

n Interfaces de enrutador

n Canales de puertos

n Puertos de conmutador

n Rutas

n Alta disponibilidad: compatible con la agregación de vínculos de varios chasis (Multi-Chassis Link Aggregation, M-LAG) y el protocolo de redundancia de enrutador virtual (Virtual Router Redundancy Protocol, VRRP)

n Búsquedas

n Enrutamiento virtual y reenvío (Virtual Routing and Forwarding, VRF) de Huawei

n Interfaz de enrutador de Huawei

n Puerto de conmutador de Huawei

n Canal de puertos de Huawei

n Rutas en Huawei

n Supervisión de datos de Huawei NetStream

Agregar Cisco ACI

Es posible agregar Cisco ACI como origen de datos. Esta función solo se encuentra disponible para los usuarios de licencias Enterprise.

Para agregar Cisco ACI como origen de datos, el usuario debe tener acceso a todos los arrendatarios y el privilegio de solo lectura. Estos son los pasos para agregar el origen de datos Cisco ACI:

Procedimiento

1 En la página Cuentas y origen de datos en Configuración, haga clic en Agregar origen.

2 En Otros, haga clic en Cisco ACI.


VMware, Inc. 56

3 En Agregar cuenta u origen Cisco ACI nuevos, proporcione la siguiente información:

n Seleccione la máquina virtual del recopilador.

n Proporcione la dirección IP de cualquiera de las controladoras APIC del clúster.

Nota No es necesario agregar conmutadores individuales al tejido ACI.

n Proporcione las credenciales de usuario.

n vRealize Network Insight Cloud recopila los datos de métricas a través de SNMP desde los conmutadores individuales. Para habilitar esta tarea, seleccione Usar SNMP.


5 Introduzca el Alias y las Notas (si las hubiera) del origen de datos y haga clic en Enviar.

Agregar un recopilador de flujos físico para sFlow y NetFlowPuede agregar un recopilador de flujos físico y configurar los conmutadores para que estos inserten registros de sFlow y NetFlow en el recopilador. La máquina virtual de recopilador que se utiliza para NetFlow o sFlow es un recopilador dedicado. No se puede utilizar para ningún otro origen de datos. Si también se agrega otro origen de datos al servidor proxy, no estará disponible como recopilador de flujo físico para sFlow y NetFlow.

Procedimiento



3 En Flujos, haga clic en Recopilador de flujos físico (NetFlow, sFlow).

Los flujos muestreados solo se aceptan en el recopilador físico.

4 Introduzca Alias y Notas según sea necesario.


Resultados

Nota vRealize Network Insight Cloud recopila las muestras de paquetes de sFlow, es por eso que no puede mostrar las métricas completas de los flujos.

Pasos siguientes

Configure los conmutadores para que inserten los flujos en el recopilador de flujos físico.

n Defina el destino (la dirección IP del recopilador que agregó en vRealize Network Insight Cloud).

n Establezca el puerto para el recopilador de flujos.


VMware, Inc. 57

n Asigne el intervalo de sondeo.

Nota El procedimiento para configurar varía según el conmutador que se desee configurar. Para obtener más información, consulte la documentación del conmutador específico.

Agregar Log InsightvRealize Log Insight recopila registros de NSX de forma dinámica cuando se produce un evento de NSX. Sin embargo, vRealize Network Insight Cloud recopila datos de NSX cada 10 minutos. Por lo tanto, si se agrega vRealize Log Insight a vRealize Network Insight Cloud, es posible obtener la información de los eventos más rápido en lugar de esperar.

En la integración de vRealize Network Insight Cloud y vRealize Log Insight, vRealize Network Insight Cloud consume las alertas generadas por vRealize Log Insight. Cada vez que se crea o se modifica un grupo de seguridad, los registros de NSX se envían a vRealize Log Insight, que envía, a su vez, una alerta. Después de recibir la alerta, vRealize Network Insight Cloud sondea la instancia de NSX Manager en la que se creó el grupo de seguridad y recupera los datos correspondientes de los grupos de seguridad modificados. Actualmente, esta integración solo admite las alertas de grupo de seguridad relacionadas con CRUD.

La integración de vRealize Network Insight Cloud y vRealize Log Insight es compatible con las siguientes versiones:

n VMware vRealize Log Insight 4.5 y versiones posteriores

n vRealize Network Insight Cloud 3.8 y versiones posteriores

n VMware NSX Manager 6.2 y versiones posteriores

Procedimiento

1 Cree o reutilice un usuario de vRealize Log Insight con acceso a las API de vRealize Log Insight.

2 En la página Instalación y soporte, haga clic en Cuentas y orígenes de datos.


4 Haga clic en Log Insight en Servidores de registro.


VMware, Inc. 58

5 En la página Agregar una cuenta o un origen nuevos de Log Insight Server, haga clic en Instrucciones junto al título de la página. Aparece una ventana emergente que proporciona los requisitos previos para agregar el origen de datos de Log Insight y las instrucciones para habilitar la URL de Webhook en vRealize Log Insight.

Nota La URL de Webhook, que se genera después de agregar el origen de datos, se utiliza en vRealize Log Insight.

6 Proporcione los detalles requeridos.

Nombre Descripción


Seleccione la dirección IP del recopilador de datos que implementó para el proceso de recopilación de datos.

Dirección IP/FQDN Introduzca la dirección IP o el FQDN del origen de datos.

Nombre de usuario Introduzca el nombre de usuario que desea utilizar para un origen de datos determinado.

Contraseña Introduzca la contraseña del origen de datos.

Proveedor de autenticación Seleccione el proveedor de autenticación correspondiente para las credenciales que proporcionó.


VMware, Inc. 59

7 Una vez creado el origen de datos, se muestra una ventana emergente que proporciona la URL de Webhook y los pasos que se deben seguir para habilitar esta URL en vRealize Log Insight. Copie la URL de Webhook. Inicie sesión con las credenciales utilizadas para agregar este origen de datos. Habilite las alertas en la aplicación de vRealize Log Insight y configure esta URL de Webhook. Envíe una alerta de prueba para asegurarse de que la integración se haya realizado correctamente.

Nota Todas las alertas que se muestran en el origen de datos de vRealize Log Insight en vRealize Network Insight Cloud se resuelven en una hora.

Agregar Infoblox

Infoblox DNS ofrece una solución avanzada para administrar y controlar DNS. Utiliza Infoblox Grid para garantizar que el servidor DNS presente una alta disponibilidad en toda la red. vRealize Network Insight Cloud permite que los usuarios agreguen Infoblox Grid como proveedor de datos de DNS. Los datos de DNS de Infoblox solo se utilizan para enriquecer los flujos en los que las direcciones IP de origen o de destino están asociadas con los dispositivos físicos. Esta función solo está disponible para la licencia Enterprise.

Los datos de DNS de Infoblox coexisten con los datos de DNS que se importan mediante CSV.

Si configura un origen de datos de DNS de Infoblox en un servidor proxy, puede configurar otros orígenes de datos también en el mismo servidor proxy. No es necesario un servidor proxy dedicado para Infoblox.

Consideraciones

n vRealize Network Insight Cloud solo admite el modo de cuadrícula única para Infoblox en la versión actual.


VMware, Inc. 60

n Solo se admiten registros A en la versión actual. Actualmente no se admiten los registros A compartidos.

n El enriquecimiento de DNS solo es compatible con las direcciones IP marcadas como físicas en la versión actual.

n Si existen varios FQDN para una sola dirección IP física, se devuelven todos los FQDN.

Procedimiento


2 Haga clic en Agregar origen nuevo.

3 Haga clic en Infoblox en DNS.

4 Proporcione la siguiente información:

Tabla 3-4.


Collector(Proxy) VM Seleccione la máquina virtual proxy del menú desplegable.

IP Address/FQDN Introduzca la dirección IP o el FQDN de Infoblox Grid Master.

Username Introduzca el nombre de usuario que desea utilizar para un origen de datos determinado.



Nota Asegúrese de tener API Privilege para acceder a las API de Infoblox.

6 Introduzca Alias y Notas (si existe alguna) para el origen de datos y haga clic en Enviar para agregar el origen de datos de DNS de Infoblox al entorno.

Agregar F5 BIG-IPvRealize Network Insight Cloud es compatible con las funcionalidades de equilibrador de carga y enrutador de F5 BIG-IP. Se admiten funciones como ruta de máquina virtual a máquina virtual, alta disponibilidad, VRF, enrutamiento, interfaces de enrutador, puertos de conmutador, canales de puertos, métricas de puertos de conmutador, panel de control de VRF, panel de control de conmutador y panel de control del enrutador. Para buscar en las entidades IP de F5 BIG, utilice la cadena de consulta F5 BIG-IP Data Source. vRealize Network Insight Cloud no es compatible con los vecinos LLDP ni los dispositivos vecinos en la ruta de máquina virtual a máquina virtual.

Para agregar F5 BIG-IP como origen de datos:

Requisitos previos

n El usuario debe tener:

n La función Guest o permisos de solo lectura con acceso a todas las particiones.


VMware, Inc. 61

n Acceso a la API de REST.

n Acceso al terminal TMSH.

n Habilite SSH en el dispositivo.

Habilite password authentication para SSH de la siguiente manera:

Nota n Use root o el privilegio de función de administrador para modificar la configuración de SSHD.

n No utilice el privilegio de usuario root al agregar un origen de datos de F5 BIG-IP en vRealize Network Insight Cloud.

n El usuario raíz no tiene acceso HTTP. El privilegio de usuario root se utiliza con fines administrativos.

[root@bigip:Active] config # tmsh

root@bigip(Active)(/Common)(tmos)# edit sys sshd

## Adding the following configuration ##

modify sshd {

include ”

ChallengeResponseAuthentication no

PasswordAuthentication yes”

}

################################

Save changes? (y/n/e) y

root@bigip(Active)(/Common)(tmos)#

root@bigip(Active)(/Common)(tmos)# save sys config

root@bigip(Active)(/Common)(tmos)# show running-config sys sshd

sys sshd {

include ”

ChallengeResponseAuthentication no

PasswordAuthentication yes”

}

Procedimiento



3 En Enrutadores y conmutadores, seleccione F5 BIG-IP.

4 Proporcione la siguiente información:


Máquina virtual de recopilador (proxy) Seleccione la máquina virtual proxy del menú desplegable.



VMware, Inc. 62


Username Introduzca el nombre de usuario que desea utilizar para este origen de datos.


5 Después de introducir la información en los cuadros de texto, haga clic en Validar.

6 Si habilita SNMP para la recopilación de datos, seleccione Versión SNMP.

a Si selecciona 2c, introduzca la cadena de comunidad asociada.

b Si selecciona 3, introduzca lo siguiente:

n Username

n Context Name

n Authentication Type

Nota Asegúrese de configurar SNMP en la consola de la interfaz de usuario de F5 BIG-IP.

a Inicie sesión en F5.

b Desplácese hasta Sistema > SNMP.

c Vaya a SNMP > Agente > Acceso (v1,v2c).

d Introduzca la cadena de comunidad.

e Introduzca la dirección IP de origen.

f Seleccione el acceso de Solo lectura.

g Haga clic en Finalizado.

7 Proporcione Alias y Notas según sea necesario. Haga clic en Enviar.

Agregar ServiceNowLa base de datos de administración de configuración (Configuration Management Database, CMDB) de ServiceNow proporciona una visibilidad total sobre la infraestructura de hardware y software, así como la relación entre estos elementos en el centro de datos, lo que ayuda a administrar el inventario. Con la integración de ServiceNow, vRealize Network Insight Cloud puede detectar las aplicaciones disponibles en CMDB de ServiceNow para que sea posible agregarlas directamente a vRealize Network Insight Cloud.

Conceptos de CMDBBásicamente, CMDB se compone de lo siguiente:

n Elemento de configuración: una entidad o un componente de un sistema. Por ejemplo, un equipo, un conmutador, un servicio, una aplicación, un servidor o una máquina virtual.


VMware, Inc. 63

n Relación: un vínculo o tipo de comunicación entre elementos de configuración. Por ejemplo, depende de, se ejecuta en, intercambia datos.

Cada elemento de configuración tiene un esquema definido.

n Clase de elemento de configuración: cada elemento de configuración debe estar asociado a una clase, la cual define sus propiedades.

n Clase de relación: define el tipo de relación entre los elementos de configuración.

Puede ampliar las dos clases para agregar propiedades adicionales o personalizar las propiedades.

ServiceNow admite un servicio de aplicaciones, que es un conjunto de aplicaciones y hosts interconectados para proporcionar un servicio. ServiceNow permite crear un servicio de aplicaciones de forma manual mediante una API o detectarlo automáticamente mediante Asignación de servicios. Todas estas aplicaciones se almacenan en CMDB de ServiceNow.

Cuando se agrega un origen de datos de ServiceNow a vRealize Network Insight Cloud, vRealize Network Insight Cloud recupera los elementos de configuración y las relaciones del archivo de configuración de CMDB de ServiceNow.

vRealize Network Insight Cloud recupera datos en intervalos regulares de forma predeterminada.

n La recuperación completa de datos se produce cada 12 horas y, en esta operación, se recopilan todos los registros de las clases definidas en la configuración de CMDB. Además, la recuperación completa se produce al agregar o actualizar el origen de datos.

n La recuperación Delta se produce cada 2 minutos y, en esta operación, se recopilan todos los registros nuevos, modificados y eliminados de las clases definidas en la configuración de CMDB. vRealize Network Insight Cloud demora aproximadamente 12 minutos en reflejar estos detalles en la interfaz de usuario.

Nota vRealize Network Insight Cloud recupera la jerarquía de clases y los tipos de relaciones únicamente durante la recuperación completa.

Valores predeterminados para las limitaciones


VMware, Inc. 64

Nombre de límite Descripción

Valor

predeterminado Impacto por superar el límite

maxAppsPerDataSource Máximo de aplicaciones por origen de datos.

5000 El origen de datos deja de recuperar datos cuando se produce un error en la página de origen de datos y eventos, y no se actualizan las aplicaciones.

maxTiersPerApp Máximo de niveles que se pueden almacenar por aplicación.

150 Las aplicaciones no se actualizan hasta que la cantidad de niveles se reduce para ajustarse al límite.

maxMembersPerApp Máximo de miembros que se pueden almacenar por aplicación.

5000 Las aplicaciones no se actualizan hasta que la cantidad de miembros se reduce para ajustarse al límite.

maxGraphTraversalSta

ckSize

Tamaño máximo de la pila utilizada en el recorrido de grafos.

10.000

La aplicación no se creará y generará el error SizeLimitExceededException.

maxResponseAppCount Máximo de aplicaciones que se pueden devolver en la respuesta de la API.

5000 Solo se devuelve la cantidad de aplicaciones que se ajusta al límite; la interfaz de usuario muestra un error.

Agregar ServiceNowPuede agregar ServiceNow como un origen de datos en vRealize Network Insight Cloud y recuperar detalles de nivel y aplicación.

Requisitos previos

Debe tener el privilegio de administrador para agregar un origen de datos.

Procedimiento



3 En CMDB, seleccione ServiceNow.




La URL de host de ServiceNow.


Nombre de usuario Introduzca el nombre de usuario que desea utilizar para este origen de datos.

Nota El usuario que planea agregar debe ser Administrador o Administrador de solo lectura en ServiceNow.



VMware, Inc. 65



6 Para agregar una configuración de CMDB personalizada:

a Seleccione Personalizar configuración de CMDB.

b Haga clic en Descargar para descargar el archivo de configuración predeterminado.

c Actualice las propiedades del archivo. Consulte Personalizar la configuración de CMDB.

d En la página Agregar origen de datos, busque y seleccione el archivo JSON actualizado.

7 Introduzca el alias del origen de datos y agregue notas para la descripción.


Pasos siguientes

Después de agregar un origen de origen de ServiceNow, vRealize Network Insight Cloud detecta las aplicaciones disponibles en CMDB de ServiceNow, las que se agregan a vRealize Network Insight Cloud. Para obtener más información, consulte Agregar aplicaciones detectadas.

Archivo de configuración de CMDB predeterminadovRealize Network Insight Cloud admite personalizar ServiceNow mediante el archivo de configuración en formato JSON.

{

"fetchOnlyApprovedApplications": false,

"nameBasedSearchForVm": false,

"ignoreWorkloadCheck": false,

"ciGroup": [

{

"name": "applicationClasses",

"value": [

"cmdb_ci_service_discovered"

],

"valueType": "CI_CLASS",

"systemGenerated": true,

"expandCIClass": true

},

{

"name": "relationshipTypeClasses",

"value": [

"*"

],

"valueType": "CI_VALUE",


"expandCIClass": false

},

{

"name": "workloadRelationshipTypeClasses",

"value": [

"Hosted on::Hosts",


VMware, Inc. 66

"Instantiates::Instantiated by",

"Runs on::Runs",

"Virtualized by::Virtualizes"

],




},

{

"name": "workloadCIClasses",

"value": [

"cmdb_ci_computer",

"cmdb_ci_vm_instance",

"cmdb_ci_vmware_instance"

],




},

{

"name": "relationClasses",

"value": [

"cmdb_rel_ci"

],




},

{

"name": "ignoredCIClasses",

"value": [

"cmdb_ci_vcenter_server_obj"

],




},

{

"name": "ignoredTierCIClasses",

"value": [

],




},

{

"name": "trackedCIClasses",

"value": [

"cmdb_ci_appl",

"cmdb_ci_cluster",

"cmdb_ci_cluster_node",

"cmdb_ci_database",

"cmdb_ci_lb_service",

"cmdb_ci_spkg",

"cmdb_ci_qualifier_manual_connection",


VMware, Inc. 67

"cmdb_ci_endpoint",

"cmdb_ci_network_adapter",

"cmdb_ci_translation_rule"

],




}

],

"traversalRule": [

{

"fromNode": [

"applicationClasses"

],

"toNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"relationship": [

"relationshipTypeClasses"

],

"priority": 5

},

{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"relationship": [


],

"priority": 3

}

],

"traversalStopRule": [

{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [


],

"relationship": [


],

"priority": 5

}

],

"associationRule": [

{


VMware, Inc. 68

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [

"workloadCIClasses"

],

"relationship": [

"workloadRelationshipTypeClasses"

],

"priority": 5

}

]

}

Cuando se produce el cambio de configuración, vRealize Network Insight Cloud puede demorar 30 minutos en recuperar todos los datos y volver a calcular todas las aplicaciones.

Ejemplo: Ejemplo de asignación de servicios y aplicaciones detectadas mediante la configuración de CMDB predeterminada

Permite que vRealize Network Insight Cloud detecte las aplicaciones en ServiceNow.


VMware, Inc. 69

Ejemplo: La página actualizada en vRealize Network Insight Cloud para agregar una aplicación

Personalizar la configuración de CMDBPara admitir diversas personalizaciones, la integración de ServiceNow y vRealize Network Insight Cloud es compatible con una configuración genérica. La configuración de CMDB debe tener el formato JSON.

La configuración incluye:

n los elementos de configuración;

n la relación entre los elementos de configuración, y

n las reglas para el recorrido de grafos de dependencia.

Puede personalizar la configuración de CMDB en función de sus implementaciones.

Nota Cuando se cambia la configuración, se realiza una recuperación completa y se vuelven a computar todas las aplicaciones. Por lo tanto, este proceso puede demorar al menos 30 minutos en aparecer en el panel de control Aplicaciones detectadas.


VMware, Inc. 70


fetchOnlyApprovedApplications Permite que el valor booleano recupere solo las aplicaciones aprobadas de ServiceNow. De forma predeterminada, este valor se establece en False.

nameBasedSearchForVm Permite que el valor booleano indique si se debe crear un criterio de búsqueda de máquina virtual personalizado con el nombre de la máquina virtual si la máquina virtual de ServiceNow no se encuentra en vRealize Network Insight Cloud. Si el valor se establece en True, se crea un criterio de nombre de máquina virtual personalizado y el recuento se reflejará al detectar la máquina virtual correspondiente en vRealize Network Insight Cloud sin volver a computar la aplicación.

Esto se puede utilizar al crear los gráficos de dependencia o la asignación de servicios de forma manual sin usar Asignación de servicios. De forma predeterminada, este valor se establece en False.

ignoreWorkloadCheck Permite que un valor booleano indique si se debe agregar una entidad al nivel aunque no exista una entidad de carga de trabajo asociada.

Esto se puede utilizar al crear los gráficos de dependencia o la asignación de servicios de forma manual sin usar Asignación de servicios y cuando las relaciones no se definen hasta la capa de carga de trabajo. De forma predeterminada, este valor se establece en False.

ciGroup Define los elementos de configuración y las relaciones que se deben recuperar de ServiceNow. Este campo permite las siguientes propiedades:

n Name: nombre del grupo de elementos de configuración.

n Value: lista de nombres de clases de ServiceNow que forman parte de este grupo.

n ValueType: permite CI_CLASS (el nombre de clase que se debe recuperar) y CI_VALUE.

n CI_CLASS: para recuperar la clase.

n CI_VALUE

Nota vRealize Network Insight Cloud siempre recupera applicationClasses, workloadCIClasses, trackedCIClasses, workloadCIClasses y relationClasses.

n systemGenerated: permite que el valor booleano indique si la clase es una clase definida por el usuario o una clase predeterminada.

n expandCIClass: permite que el campo booleano indique si se deben recuperar las subclases de la clase de elemento de configuración que aparece en Value.

Rules for graph traversal Es compatible con tres tipos de reglas de recorrido:

n traversalRule: todos los recorridos permitidos o válidos.

n traversalStopRule: los recorridos no permitidos.

Nota Las reglas de traversalStopRule tienen mayor prioridad que las reglas de traversalRule.

n associationRule: los recorridos permitidos para la carga de trabajo asociada con la entidad.

Propiedades de una regla:

n fromNode: lista de ciGroup que son el origen del recorrido.

n toNode: lista de ciGroup que son el destino del recorrido.

n relationship: lista de ciGroup que tienen una relación en un tipo de recorrido.

n priority: si un ciGroup coincide con dos reglas, la regla de ese ciGroup se establece en función del valor de priority. Cuanto mayor es el número de prioridad, mayor es el valor de prioridad.


VMware, Inc. 71


applicationClasses Enumera todas las clases de elementos de configuración de punto de entrada para el recorrido de grafos. Estas clases representan los tipos de elementos de configuración que se utilizan como clases de aplicaciones en CMDB.

La configuración predeterminada usa la clase cmdb_ci_service_discovered. Esta clase representa las aplicaciones creadas por la función Asignación de servicios de ServiceNow.

workloadCIClasses Enumera todos los elementos de configuración que alojan un servicio basado en software o un sistema operativo como Linux o Windows Server. Por ejemplo, máquinas virtuales, instancias de AWS y servidores físicos.

Por lo general, los elementos de configuración de carga de trabajo se colocan al final del gráfico de dependencia. No se crean niveles para las clases de elementos de configuración que se mencionan en este grupo.

La configuración predeterminada contiene las siguientes clases de elementos de configuración:

n cmdb_ci_computer: representa todos los elementos de configuración relacionados con los recursos informáticos. Esta es una superclase para todos los servidores Linux y Windows.

n cmdb_ci_vm_instance: representa entidades informáticas virtuales, como máquinas virtuales e instancias de AWS.

n cmdb_ci_vmware_instance: representa máquinas virtuales de VMware.

trackedCIClasses Enumera todos los elementos de configuración que pueden formar parte de los gráficos de dependencia, pero no son applicationClass ni workloadCIClass. Los elementos de configuración de este grupo son obligatorios para que se complete el gráfico de applicationClasses a workloadCIClasses.

vRealize Network Insight Cloud crea niveles para todas las clases mencionadas en trackedCIClasses, a menos que la clase se mencione en ignoredTierCiClasses.

relationshipTypeClasses Enumera todos los elementos de configuración relacionados representados por tipos de relación o clases de elementos de configuración de relación.

La configuración predeterminada usa * para recuperar todos los tipos de relación.

workloadRelationshipTypeClasses: enumera los tipos de relación que suelen representar las relaciones con entidades de carga de trabajo. A continuación, se muestran las relaciones compatibles de forma predeterminada en ServiceNow:

n Hosted on::Hosts

n Instantiates::Instantiated by

n Runs on::Runs

n Virtualized by::Virtualizes

ignoredCiClasses Enumera todos los elementos de configuración que vRealize Network Insight Cloud debe ignorar y que no debe recuperar de CMDB de ServiceNow.

Esto resulta útil en la recuperación de una superclase para ignorar las subclases innecesarias.

De forma predeterminada, cmdb_ci_vcenter_server_obj aparece en ignoredCiClasses, ya que no se requiere vCenter Server para la detección de aplicaciones.

ignoredTierCiClasses Enumera todos los elementos de configuración para los que no se deben crear niveles.


VMware, Inc. 72

Ejemplo de detección de aplicaciones sin relaciones de carga de trabajo

Este es un archivo de configuración de CMDB personalizado en el que se define nameBasedSearchForVm para detectar las aplicaciones, donde la clase cmdb_ci_service_discovered es el punto de entrada y las relaciones de carga de trabajo no se encuentran definidas.

Topología

Archivo de configuración de CMDB personalizado

{


"nameBasedSearchForVm": true,

"ignoreWorkloadCheck": true,

"ciGroup": [

{


"value": [

"cmdb_ci_service_discovered"

],




},

{


"value": [

"*"

],




VMware, Inc. 73


},

{


"value": [

"Hosted on::Hosts",


"Runs on::Runs",


],




},

{


"value": [

"cmdb_ci_computer",



],




},

{


"value": [

"cmdb_rel_ci"

],




},

{


"value": [


],




},

{


"value": [


"cmdb_ci_endpoint"

],




},

{



VMware, Inc. 74

"value": [

"cmdb_ci_appl",

"cmdb_ci_cluster",


"cmdb_ci_database",


"cmdb_ci_spkg",


"cmdb_ci_endpoint",



],




}

],

"traversalRule": [

{

"fromNode": [


],

"toNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"relationship": [


],

"priority": 5

},

{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"relationship": [


],

"priority": 3

}

],


{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [


],


VMware, Inc. 75

"relationship": [


],

"priority": 5

}

],


{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [

"workloadCIClasses"

],

"relationship": [


],

"priority": 5

}

]

}

Ejemplo de detección de aplicaciones de un solo nivel

Este es un archivo de configuración de CMDB personalizado en el que se define nameBasedSearchForVm para detectar las aplicaciones de un solo nivel, donde la clase cmdb_ci_service_discovered es el punto de entrada y las relaciones de carga de trabajo no se encuentran definidas.

Topología

Archivo de configuración de CMDB personalizado

{


"nameBasedSearchForVm": true,

"ignoreWorkloadCheck": true,

"ciGroup": [

{


"value": [

"cmdb_ci_appl"

],


VMware, Inc. 76




},

{


"value": [

"*"

],




},

{


"value": [

"Hosted on::Hosts",


"Runs on::Runs",


],




},

{


"value": [

"cmdb_ci_computer",



],




},

{


"value": [

"cmdb_rel_ci"

],




},

{


"value": [


],




},

{


VMware, Inc. 77


"value": [


"cmdb_ci_endpoint"

],




},

{


"value": [

"cmdb_ci_appl",

"cmdb_ci_cluster",


"cmdb_ci_database",


"cmdb_ci_spkg",


"cmdb_ci_endpoint",



],




}

],

"traversalRule": [

{

"fromNode": [


],

"toNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"relationship": [


],

"priority": 5

},

{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"relationship": [


],

"priority": 3


VMware, Inc. 78

}

],


{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [


],

"relationship": [


],

"priority": 5

}

],


{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [

"workloadCIClasses"

],

"relationship": [


],

"priority": 5

}

]

}

Agregar nuevos enrutadores o conmutadores genéricosSi el enrutador o el conmutador que desea agregar no son compatibles con vRealize Network Insight Cloud, puede cargar un archivo de configuración de dispositivo para agregar el enrutador o el conmutador no admitidos como enrutador o conmutador genéricos. vRealize Network Insight Cloud utiliza la información del archivo de configuración de dispositivo para proporcionar los detalles del enrutador o el conmutador. Después de cargar un archivo de configuración de dispositivo en vRealize Network Insight Cloud, no se puede modificar la información del archivo de configuración de dispositivo cargado.

Requisitos previos

Cree un archivo de configuración de dispositivo con el formato .zip mediante el SDK proporcionado por vRealize Network Insight Cloud. Un archivo de configuración de dispositivo contiene información sobre las entidades, como interfaces de enrutador, rutas, puertos de conmutador, VRF, datos de dispositivo de conmutador, etc. Para crear un archivo de configuración de dispositivo, consulte https://github.com/vmware/network-insight-sdk-generic-datasources.


VMware, Inc. 79

https://github.com/vmware/network-insight-sdk-generic-datasources


Procedimiento



3 En Enrutadores y conmutadores, haga clic en Enrutadores y conmutadores genéricos.

4 En la página Agregar un nuevo enrutador/conmutador genérico, modifique la información necesaria.

Opción Acción


Archivo de configuración de dispositivo

Seleccione y cargue el archivo de configuración (.zip) creado con el SDK.



6 En el cuadro de texto Alias, introduzca un alias para el conmutador o el enrutador que desea agregar.



Editar un conmutador o enrutador genéricoEn vRealize Network Insight Cloud, puede modificar la configuración de un enrutador o conmutador genérico existente mediante la carga de un nuevo archivo de configuración.

Requisitos previos

Cree un archivo de configuración de dispositivo con el formato .zip mediante el SDK proporcionado por vRealize Network Insight Cloud. Un archivo de configuración de dispositivo contiene información sobre las entidades, como interfaces de enrutador, rutas, puertos de conmutador, VRF, datos de dispositivo de conmutador, etc. Para crear un archivo de configuración de dispositivo, consulte https://github.com/vmware/network-insight-sdk-generic-datasources.

Procedimiento


2 Haga clic en el icono Editar origen de datos junto al origen de datos del enrutador o conmutador genérico que desea editar.

3 Haga clic en Reemplazar archivo y cargue el nuevo archivo de configuración de dispositivo.

4 (opcional) Para ver el archivo de configuración de dispositivo cargado, haga clic en Historial de carga.

Podrá ver, descargar y eliminar los últimos cinco archivos de configuración de dispositivo cargados.


VMware, Inc. 80




6 (opcional) En el cuadro de texto Alias, cambie el alias.



VMware, Inc. 81

Eliminar un origen de datos de vRealize Network Insight Cloud 4Si no desea ver los datos de un origen de datos o si un origen de datos no está en uso, puede eliminarlo de vRealize Network Insight Cloud.

Nota Si un origen de datos ya no está disponible en su entorno, debe eliminarlo de vRealize Network Insight Cloud.

Procedimiento

1 Inicie sesión en la consola web de vRealize Network Insight Cloud.

2 Vaya a Configuración > Cuentas y orígenes de datos.

3 Haga clic en el icono Eliminar origen de datos junto al origen de datos que desea eliminar.

vRealize Network Insight Cloud solicitará su confirmación.

4 Haga clic en Sí.

Nota Después de eliminar un origen de datos del sistema, debe esperar al menos dos horas para volver a agregar el mismo proveedor de datos.

VMware, Inc. 82

Migrar orígenes de datos 5Si se inactiva o se elimina una máquina virtual proxy, es posible agregar una nueva y migrar el origen de datos de la máquina virtual proxy anterior a la nueva máquina.

Para migrar un origen de datos:

Procedimiento

1 En la página Instalación y soporte, en la sección Máquinas virtuales de recopilador (proxy), haga clic en el icono Editar.

Si se inactiva una máquina virtual proxy, puede ver un mensaje de error donde se indica que la máquina virtual proxy no está disponible en la misma sección.

2 En la página Editar máquina virtual de recopilador (proxy), se puede asignar un alias a la máquina virtual proxy.

3 En la página Editar recopilador (proxy), se enumeran todos los orígenes de datos agregados al proxy. Para migrar un origen de datos determinado, haga clic en Migrar en él.

4 Se mostrará la página Editar cuenta u origen. Asegúrese de completar la siguiente información:

Tabla 5-1.

Campos Descripción

Máquina virtual de recopilador (proxy) Nombre de la nueva máquina virtual proxy a la que se debe migrar el origen de datos.

Dirección IP Dirección IP/FQDN del origen de datos completado previamente.

Nombre de usuario Nombre de usuario del origen de datos.

Contraseña Contraseña del origen de datos.

5 Haga clic en Validar. Haga clic en Enviar. A continuación, se elimina el origen de datos de la máquina virtual proxy anterior y se agrega a la máquina virtual proxy nueva.

VMware, Inc. 83

6 Una vez completada correctamente la migración, se muestra la nueva máquina virtual proxy con el origen de datos en la columna Habilitada de la página Cuentas y orígenes de datos.

Nota n Si planea migrar vCenter a otra máquina virtual proxy, asegúrese de migrar también la instancia

de NSX Manager correspondiente a la misma máquina virtual proxy.

n Cuando se migra NSX Manager a otra máquina virtual proxy, los proveedores de datos secundarios, como NSX Controller y NSX Edge, se migran también a la nueva máquina virtual proxy.


VMware, Inc. 84

Configuración de opciones de vRealize Network Insight Cloud 6Puede configurar varios aspectos de vRealize Network Insight Cloud desde la página Configuración. Para acceder a la página Configuración, haga clic en Perfil > Configuración.


n Ver el estado del sistema

n Configurar intervalo de conservación de los datos

n Configurar subredes y propiedades de IP

n Configurar eventos y notificaciones

n Configurar la administración de identidades y acceso

n Configurar registros

n Configurar servidor de correo

n Configurar destino de captura de SNMP

n Administrar licencias

n Configurar intervalo de actualización automática

n Configurar el tiempo de espera de la sesión de usuario

n Agregar clave de API de Google Maps

n Ver los registros de auditoría

n Unirse al programa de mejora de la experiencia de cliente o abandonarlo

n Ver el estado de la configuración

n Habilitar el túnel de soporte

n Administrar el uso de disco

n Ver detalles de nodos

n Crear un paquete de soporte

n Comprensión de la capacidad para la carga de los recopiladores y la plataforma

VMware, Inc. 85

Ver el estado del sistemaEn vRealize Network Insight Cloud, puede ver el estado de mantenimiento de su sistema. El estado del sistema se determina en función del retraso de procesamiento, el retraso de indizador y el uso de la cuadrícula. Si todos estos parámetros se encuentran en estado verde, el estado del sistema es bueno. Si alguno de estos tres parámetros presenta el estado rojo, el estado del sistema es malo.

Procedimiento

u En la página Configuración, haga clic en Instalación y soporte.

En la página Instalación y soporte, puede ver la sección Estado del sistema.

Nota Si el estado del sistema es malo por más de seis horas, debe ponerse en contacto con el soporte técnico de vRealize Network Insight Cloud.

Configurar intervalo de conservación de los datosEn vRealize Network Insight Cloud, puede especificar durante cuánto tiempo desea conservar los datos.

Nota vRealize Network Insight Cloud solo admite la administración de datos configurables en una licencia Enterprise. En la edición de licencia avanzada, el tiempo predeterminado de conservación de los datos es un mes.

Los datos se dividen en las siguientes categorías:

Tabla 6-1.

Categoría Valor mínimo Valor máximo

Eventos 1 mes 13 meses

Entidades y datos de configuración 1 mes 3 meses

Métricas 1 mes 13 meses

Flujos No corresponde 1 mes

Datos varios No corresponde 100 GB de espacio de disco adicional

Nota Para todas las categorías, el valor mínimo es el valor predeterminado.

Se pueden configurar y controlar diferentes directivas para cada categoría. Puede configurar la directiva según sus necesidades.

Para configurar la administración de datos:

1 En la esquina superior derecha de la página de inicio, haga clic en y, a continuación, haga clic en Configuración.

2 En la sección Configuración, haga clic en Administración de datos.

3 Al iniciar sesión por primera vez, esta página muestra los datos predeterminados.


VMware, Inc. 86

4 Haga clic en el icono de información para obtener más información sobre la forma en que los datos ocupan el disco.

5 Haga clic en Cambiar directiva para modificar el período de conservación de los datos de las diversas categorías de datos. Una vez realizados los cambios, la información se registra en la base de datos.


Nota El período de conservación para métricas de baja resolución es mayor que para las métricas de alta resolución.

Configurar subredes y propiedades de IPEn vRealize Network Insight Cloud, puede configurar diferentes propiedades de IP para mejorar la planificación y la identificación de la seguridad.

Importar el archivo de asignación de DNSPara proporcionar la información sobre los flujos entre los dispositivos físicos, puede importar el archivo de asignación de DNS. Los formatos admitidos para el archivo de asignación de DNS son el formato de archivo CSV y Bind. Asegúrese de haber colocado estos archivos en un único archivo ZIP.

Nota vRealize Network Insight Cloud no es compatible con los archivos ZIP protegidos con contraseña.

Procedimiento

1 En la página Configuración, haga clic en Subredes y propiedades de IP.

2 Haga clic en Asignación de DNS y de IP físicas.

3 Haga clic en Cargar y reemplazar para cargar el archivo de asignación de DNS. Después de seleccionar y cargar el archivo, haga clic en Validar. La cantidad de registros de DNS se muestra después de la validación.

La operación Cargar y reemplazar elimina las asignaciones de DNS existentes y las reemplaza por las asignaciones que se importan. El archivo de asignación de DNS contiene los siguientes tres campos:

n Nombre de host

n Dirección IP

n Nombre de dominio

Configurar la asignación entre la subred y una VLANPuede definir una asignación entre la subred y una VLAN.


VMware, Inc. 87

Esta asignación se puede utilizar para lo siguiente:

n Enriquecer la información sobre las entidades IP que se aprenden de flujos físicos a físicos agregando las subredes de origen y destino, y las redes de capa 2 asociadas con el flujo.

n Planificar la topología de la red en función de la subred y VLAN para direcciones físicas.

Procedimiento

1 En la página Configuración, haga clic en Subredes y propiedades de IP.

2 Haga clic en Asignación de DNS y de IP físicas.

3 En la página Configuración, en Subredes y propiedades de IP, haga clic en Subredes físicas y VLAN.

En esta página, se enumeran todas las subredes y los identificadores de VLAN asociados.

4 Haga clic en Agregar para incorporar la información de subred y VLAN.

5 Después de definir la información de asignación, solo puede editar el identificador de VLAN asociado a la subred. No es posible cambiar al CIDR de subred asociado con el identificador de VLAN. Para editar una subred asociada con el identificador de VLAN, elimine la subred que se va a editar y cree una asignación de VLAN de subred con los valores requeridos.

Cuando se actualiza la información de asignación de subred-VLAN, se crea una nueva VLAN para el identificador de VLAN especificado y la información de subred se asocia con esta VLAN.

6 Para eliminar la asignación de identificadores de subred-VLAN, haga clic en el icono Eliminar.

Nota Las operaciones de creación, actualización y eliminación de VLAN no se realizan inmediatamente después de que se crean las asignaciones de subred y VLAN. Transcurre un tiempo hasta que los cambios se propagan y la VLAN correspondiente se crea o se modifica.

Configurar IP de este a oesteLas direcciones IP que están dentro del rango del estándar RFC1918 se consideran direcciones IP privadas. Las direcciones IP que se encuentran fuera del estándar RFC1918 se tratan como direcciones IP de Internet. Sin embargo, los usuarios pueden especificar las direcciones IP de este a oeste (centros de datos públicos) que no desean que se traten como direcciones IP de Internet mientras se etiquetan los flujos y la microsegmentación, incluso si están fuera del rango de direcciones IP privadas según se define en RFC1918.

Para especificar direcciones IP públicas que no se tratarán como direcciones IP de Internet

1 En la esquina superior derecha de la página Inicio, haga clic en el icono Perfil y, a continuación, haga clic en Configuración.

2 En la sección Configuración, haga clic en Direcciones IP de este a oeste.

3 En el cuadro Direcciones IP, introduzca las direcciones IP, los rangos de IP o las subredes específicas que se tratarán como direcciones IP que no son de Internet.


VMware, Inc. 88

4 Haga clic en Guardar. El mensaje de confirmación de las direcciones IP guardadas se muestra al guardar correctamente.

Configurar direcciones IP de norte a surLas direcciones IP que se encuentran en el espacio de RFC1918 se clasifican como direcciones IP de norte a sur. Los usuarios pueden especificar sus direcciones IP de norte a sur durante el etiquetado de flujos y la microsegmentación.

Para especificar direcciones IP de norte a sur:

1 En la esquina superior derecha de la página inicio, haga clic en el icono Perfil y, a continuación, haga clic en Configuración.

2 En la sección Configuración, haga clic en Direcciones IP de norte a sur.

3 En el cuadro Direcciones IP, introduzca las direcciones IP específicas, los rangos de IP o las subredes.

4 Haga clic en Guardar. El mensaje de confirmación de las direcciones IP guardadas se muestra al guardar correctamente.

Configurar eventos y notificacionesEn vRealize Network Insight Cloud, puede configurar diversos tipos de eventos y notificaciones. vRealize Network Insight Cloud crea un evento cada vez que el sistema cumple una regla preestablecida.

En la página Configuración, haga clic en Eventos para ver los diversos tipos de eventos:

n Eventos del sistema

n Eventos definidos por el usuario

n Eventos de estado de la plataforma

Ver y editar eventos del sistemaEl sistema o el usuario definen un evento. Los eventos del sistema son eventos predefinidos.

Los eventos del sistema se enumeran en la página Eventos del sistema de Configuración. Se especifican los siguientes campos para cada evento. Es posible filtrar la información en función de los requisitos en todas las columnas, excepto en la columna Evento.


VMware, Inc. 89

Tabla 6-2.

Columna Descripción

Evento Este campo especifica el nombre del evento.

Gravedad Este campo especifica la gravedad del evento. Puede establecerlo en los siguientes valores:

n Crítica

n Moderada

n Advertencia

n Información

Tipo Este campo especifica si el evento indica un problema o un cambio.

Nota Todos los eventos de tipo Problema se registran en Syslog.

Entidades Este campo especifica que el evento se configuró para incluir o excluir entidades en la generación de eventos. De forma predeterminada, el valor es All.

Notificaciones Este campo especifica los tipos de notificaciones que se envían. Las notificaciones se pueden enviar por correo electrónico o captura de SNMP, o ambos.

Nota Debe habilitar la notificación para todos los eventos críticos definidos por el sistema. Para obtener la lista de todos los eventos críticos del sistema, ordene los eventos del sistema por gravedad.

Habilitado Esta opción se encuentra seleccionada si el evento está habilitado.

Al pasar el cursor sobre cada evento, se puede ver Más información. Al hacer clic en esta opción, se puede ver la descripción, las etiquetas del evento y el tipo de entidad de ese evento.

Es posible realizar las siguientes tareas en los eventos del sistema:

n Editar un evento

n Realizar una edición en masa

n Deshabilitar un evento para una entidad específica

Lista de eventos críticos del sistemaEn esta sección, se proporciona una lista de los eventos críticos del sistema. Para recibir una notificación sobre los eventos críticos del sistema, debe habilitar la notificación para cada evento crítico.

Para obtener más información sobre la edición de eventos, consulte Editar evento del sistema.

Nombre Tipo de entidad

Límite de AWS: reglas entrantes por grupo de seguridad Regla de firewall de AWS

Límite de AWS: reglas salientes por grupo de seguridad Regla de firewall de AWS

Límite de AWS: grupos de seguridad por VPC de AWS Grupo de seguridad de AWS


VMware, Inc. 90


Límite de AWS: grupos de seguridad por interfaz de red Grupo de seguridad de AWS

Límite de AWS: grupos de seguridad por región Grupo de seguridad de AWS

Todas las instancias de NSX Edge del clúster de ECMP se encuentran inactivas

Dispositivo de VMware Edge

Ambas máquinas virtuales de NSX Edge HA en estado activo Dispositivo de VMware Edge

El estado SIC de la puerta de enlace de Check Point no es Comunicando

Administrador de seguridad de Check Point

No se encontró la máquina virtual del servicio de Check Point en el host


Evento del sistema de NSX crítico -

No se puede acceder a las redes de DLR desde NSX Edge o el enrutador externo

VRF

No se estableció la conexión del plano de control del host con la controladora de uno o varios conmutadores lógicos

Host

No se puede acceder al host con máquinas virtuales de infraestructura

Host

El recuento de VTEP del host no coincide con el del clúster Clúster

No se encontró la IP del nodo de servicio -

No se estableció la conexión del bus de mensajería o el plano de control entre NSX Manager y el host

Módulo

Se encontraron varias NIC correspondientes a la IP del nodo de servicio

-

La máquina virtual de NSX Edge no tiene el estado activo/propio Dispositivo de VMware Edge

No se encuentra el agente de tejido de NSX para Check Point en el host

Host

No se encontró el agente de tejido de NSX en el host Host

Error de comunicación de NSX Manager con la máquina virtual de Edge

VRF

No se detectó ningún VIB de NSX o módulo del host en el host Módulo

La máquina virtual de infraestructura de NSX no está encendida VM

El servicio de administración de NSX no se está ejecutando -

El nodo de NSX-T Edge no tiene conectividad de controladora Nodo de transporte de NSX-T

El nodo de NSX-T Edge no tiene conectividad de administrador Nodo de transporte de NSX-T

No se encontró ninguna VTEP en el host preparado Host

Uno o varios vecinos de BGP no están en el estado establecido Dispositivo de VMware Edge

Palo Alto Panorama no se registró en NSX Manager PAN Manager

No se encontró la máquina virtual del servicio de Palo Alto en el host PAN Manager

El miembro del grupo está inactivo Miembros del grupo


VMware, Inc. 91


El grupo está vacío -

El grupo está inactivo -

El estado de la máquina virtual de servicio no coincide en Check Point y NSX Manager


El estado de la máquina virtual de servicio no coincide en Panorama y NSX Manager

PAN Manager

La máquina virtual asociada al miembro del grupo está inactiva -

El servidor virtual del equilibrador de carga está deshabilitado Servidor virtual

QOE transaccional de VeloCloud Edge degradada Edge de VeloCloud

QOE de vídeo de VeloCloud Edge degradada Edge de VeloCloud

VeloCloud Edge no está en buen estado Edge de VeloCloud

QOE transaccional del vínculo de VeloCloud degradada Edge de VeloCloud

QOE de vídeo del vínculo de VeloCloud degrada Edge de VeloCloud

QOE de voz del vínculo de VeloCloud degradada Edge de VeloCloud

El vínculo de VeloCloud no está en buen estado Vínculo de VeloCloud

VeloCloud Edge no está en buen estado Edge de VeloCloud

El vínculo de VeloCloud no está en buen estado Vínculo de VeloCloud

La pérdida de paquetes de la aplicación supera el umbral Aplicación SD-WAN Edge

La pérdida de paquetes ascendentes del vínculo de VeloCloud supera el umbral

Vínculo de VeloCloud

La pérdida de paquetes descendentes del vínculo VeloCloud supera el umbral.

Vínculo de VeloCloud

Editar eventos del sistemaPuede editar los eventos del sistema y definir notificaciones para los eventos preferidos del sistema.

Procedimiento

1 Haga clic en el icono Editar junto a la columna Habilitado para un evento determinado.

2 Agregue o elimine etiquetas de eventos si es necesario.

3 Cambie la gravedad.

4 Seleccione Incluir/excluir entidades si desea habilitar o deshabilitar el evento para las entidades seleccionadas.

n Para crear reglas de inclusión:

a Seleccione Lista de inclusión.

b Especifique las entidades que desea incluir para el evento en Condiciones.


VMware, Inc. 92

n Para crear reglas de exclusión:

a Seleccione Lista de exclusión.

b Especifique las entidades que desea excluir para el evento en Condiciones.

Nota n Puede crear varias reglas en las listas de inclusión y de exclusión.

n Al seleccionar NSX Manager, puede agregar excepciones en ambas listas. Puede definir una excepción si desea que las reglas de inclusión o de exclusión contengan una excepción para una entidad específica.

n También puede especificar Custom Search si escribe su propia consulta para incluir o excluir entidades.

5 Seleccione Habilitar notificaciones par configurar el momento en que se deben enviar notificaciones.

n Para configurar un servidor de correo electrónico, haga clic en Configurar servidor de correo.

n Para configurar un servidor SNMP, haga clic en la captura de Configurar destino de captura de SNMP.

Nota Si ya realizó la configuración, estas opciones no estarán disponibles.

6 Realice lo siguiente:

n Para las notificaciones por correo electrónico, especifique la dirección de correo electrónico y la frecuencia con la que desea recibir los correos electrónicos.

n Para las notificaciones de SNMP, seleccione Enviar captura de SNMP a IP-address.

Puede hacer clic en Cambiar para modificar la configuración de SNMP.


Realizar una edición en masa en un evento

1 En la página Eventos del sistema, al seleccionar varios eventos, se muestran las opciones Habilitar, Deshabilitar y Editar arriba de la lista.

2 Haga clic en Editar.

3 En la página Editar, se ofrecen las siguientes opciones:

n Anular valores existentes: solo se sobrescriben los campos que se editan en esta opción.

n Agregar a existente: es posible agregar elementos a los valores existentes, como las direcciones de correo electrónico y las etiquetas de evento en esta opción.



VMware, Inc. 93

Deshabilitar un evento

1 Es posible seleccionar un evento en el widget Problemas abiertos de la página de inicio. También se puede introducir Problemas en la barra de búsqueda y seleccionar un evento de la lista.

2 Seleccione un evento determinado y haga clic en Archivar.

3 Seleccione Deshabilitar todos los eventos de este tipo en el futuro para y seleccione una entidad o todas las entidades.

4 Haga clic en Guardar.

Nota Los cambios realizados en la gravedad, las etiquetas o las reglas de inclusión/exclusión se reflejarán en los eventos futuros. Los eventos existentes seguirán mostrando la configuración anterior.

Limitaciones de eventosEn esta sección, se proporcionan las limitaciones para los diversos eventos definidos por el sistema.

Limitación de evento de regla de firewall distribuido enmascarada por regla anterior

Este evento presenta las siguientes limitaciones:

n Este evento solo se admite para reglas de firewall distribuido de NSX-V. No se admiten otros proveedores de firewall.

n Actualmente, se admiten las siguientes propiedades de reglas de firewall para el cálculo de enmascaramiento:

n Origen

n Destino

n Se aplica a

n Protocolo de servicio y rangos de puertos

n Tipo de paquete

n Identificadores de aplicaciones de capa 7

n No se admiten las reglas con versión de origen o destino.

n Las reglas deshabilitadas se ignoran.

n No se admiten las reglas con grupos de seguridad que contienen miembros excluidos directa o indirectamente en las propiedades Origen, Destino o Se aplica a.

n El cálculo de enmascaramiento para las propiedades Origen, Destino y Se aplica a se basa en la membresía estática y la superposición de rango de IP de los conjuntos de IP miembro. No se tiene en cuenta la membresía dinámica de un grupo de seguridad para el enmascaramiento.

Editar eventos definidos por el usuarioLos eventos definidos por el usuario se basan en una búsqueda.


VMware, Inc. 94

Todos los eventos definidos por el usuario se enumeran en la página Eventos definidos por el usuario de Configuración. Se especifican los siguientes campos para cada evento.

Tabla 6-3.

Campo Descripción

Nombre (criterios de búsqueda) Este campo especifica el nombre del evento y los criterios de búsqueda para el evento.

Gravedad Este campo especifica la gravedad de la alerta. Puede establecerlo en los siguientes valores:

n Crítica

n Moderada

n Advertencia

n Información


Notificar cuando Este campo especifica cuándo se debe enviar la notificación.

Creado por Este campo especifica quién creó el evento.

Habilitado Esta opción se encuentra seleccionada si el evento está habilitado.

Puede editar o eliminar el evento. Al editarlo, puede especificar la dirección de correo electrónico y la frecuencia de la notificación por correo electrónico.

Configurar evento definido por el usuarioPuede crear un evento definido por el usuario a través de la búsqueda.

Procedimiento

1 Haga clic en el icono Crear notificación en la ventana de resultados de la búsqueda.

Se abrirá la página Configurar evento definido por el usuario.

2 Introduzca un nombre único para el evento.

3 Seleccione la casilla de verificación para marcar el evento como un problema y seleccione la gravedad.

4 Introduzca criterios de búsqueda únicos.

5 Seleccionar la condición a partir de la cual se desean recibir las notificaciones.

6 Seleccione la frecuencia de notificación como Inmediatamente o Resumen diario.

7 Especifique la dirección de correo electrónico.

8 Para configurar el servidor SNMP, haga clic en Configurar captura de SNMP.

Si ya configuró el servidor SNMP, seleccione Enviar captura de SNMP a dirección IP.

Puede hacer clic en Cambiar para modificar la configuración de SNMP.



VMware, Inc. 95

Ver eventos de estado de plataformaLa página Eventos de estado de plataforma es su página integral para ver todos los eventos que proporcionan detalles sobre el estado general del sistema. Es posible que estos eventos se hayan producido en un origen de datos o un nodo de la infraestructura. También puede ver estos eventos a través de una búsqueda.

Tabla 6-4.

Campo Descripción

Evento Este campo especifica el nombre del evento.

Gravedad Este campo especifica la gravedad del evento. No se puede cambiar la gravedad del evento.


Notificaciones Este campo especifica los tipos de notificaciones que se envían. Las notificaciones se pueden enviar por correo electrónico o captura de SNMP, o ambos.

Notificaciones

Notificaciones basadas en búsquedasLas notificaciones basadas en búsquedas se pueden clasificar de la siguiente manera:

n Notificación basada en el sistema

n Notificación definida por el usuario

Los parámetros de notificación basados en el sistema están predefinidos y, al activar la alerta de notificación, se envían las notificaciones como mensajes. Las notificaciones definidas por el usuario son las que establece el usuario, en función de sus requisitos. Puede crear notificaciones por correo electrónico según su consulta de búsqueda. Después de ejecutar una búsqueda, en la página Resultados, se muestra la opción Crear notificación. Para cada búsqueda, es posible:

n Seleccionar la condición a partir de la cual se desean recibir las notificaciones.

n Definir la frecuencia con la que se desean recibir las notificaciones.

n Introducir los destinatarios de correo electrónico de cada notificación (de forma predeterminada, el identificador de correo electrónico está presente en la lista del destinatario; también se pueden agregar varios identificadores de correo electrónico).

Para una búsqueda definida por el usuario:

n Es obligatorio asignar un nombre a la notificación basada en búsquedas.

n Es obligatorio seleccionar la gravedad de un evento basado en búsquedas que esté marcado como problema.


VMware, Inc. 96

n Los eventos definidos por el usuario se identifican de forma exclusiva mediante los criterios de búsqueda.

n Puede especificar la frecuencia de notificación como Inmediatamente o Resumen diario.

Puede administrar las notificaciones desde la página Configuración > Notificaciones basadas en búsquedas. En la página Notificaciones basadas en búsquedas, puede ver las notificaciones existentes, editarlas, activarlas o desactivarlas y también eliminar las notificaciones no deseadas.

Configurar la notificación de eventosLas notificaciones se envían como correos electrónicos.

Para configurar la notificación, primero debe configurar el servidor de correo. Para saber cómo configurar el servidor de correo, consulteConfigurar servidor de correo.

Especificar los eventos de notificación por correo electrónico que se enviarán

Los usuarios pueden especificar eventos para los que se enviarán notificaciones por correo.

Para especificar eventos

1 En la página Configuración, haga clic en Notificaciones basadas en búsquedas o simplemente busque cualquier información con el cuadro de búsqueda.

2 En la página Notificaciones basadas en búsquedas, haga clic en el icono Crear notificación. Se muestra un cuadro de diálogo de notificación.

3 En el cuadro de notificación Recibir notificación cuando, seleccione el evento para el cual se enviarán notificaciones.

4 En el cuadro Notificar, seleccione la frecuencia con la que se enviarán las notificaciones.

5 Si el evento no es deseable, seleccione la casilla de verificación Marcar como problema.

6 Introduzca las direcciones de correo electrónico a las que se enviarán las notificaciones y, a continuación, haga clic en Guardar.

Nota Para comprobar si el correo de notificación está configurado correctamente, haga clic en Enviar correo electrónico de prueba.

Notificaciones de eventosvRealize Network Insight Cloud contiene una lista de eventos del sistema predefinidos (problemas del sistema y cambios del sistema) para los que puede recibir notificaciones automatizadas por correo electrónico cada cuatro horas (es posible modificar este valor).

Puede ver la lista de notificaciones en la página Configuración > Notificaciones del sistema.

Si no configuró ninguna notificación de correo electrónico o de SNMP para un evento, verá un mensaje de alerta en la página de inicio para recordarle esto y permitirle definir las notificaciones. Puede hacer clic en Habilitar notificaciones en el mensaje de alerta para acceder directamente a la página Eventos del sistema y suscribirse a las notificaciones de los eventos preferidos.


VMware, Inc. 97

Para deshabilitar el recordatorio, seleccione la opción No volver a mostrar este mensaje. El mensaje de alerta no aparecerá para ese usuario específico. Para definir las notificaciones más adelante, desplácese hasta Configuración > Eventos.

Archivar problemas

Archivar un problema

1 Haga clic en el vínculo Mostrar todas (si existe más de una instancia de un evento) para mostrar todas las instancias del evento.

2 Pase el cursor sobre la instancia del evento que desea archivar para ver un conjunto de iconos y, a continuación, haga clic en el icono Archivar.

3 En el cuadro de diálogo Evento específico

a Seleccione Este evento en la lista Está a punto de archivar si desea archivar solo este evento.

b Seleccione Todos los eventos de este tipo en la lista Está a punto de archivar si desea archivar todos los eventos del mismo tipo en el sistema.


Ver todos los eventos archivados

1 En la página de inicio, escriba eventos en el cuadro de búsqueda y presione Entrar. Se mostrará una lista de eventos.

2 En el panel de la izquierda, en la faceta Archivados, seleccione la casilla Verdadero (que se resalta en la siguiente captura de pantalla).

Aquí puede ver todos los eventos archivados.

Para restaurar un evento archivado

1 En el evento archivado, haga clic en el icono Archivado. (Consulte la sección anterior Para ver un evento archivado a fin de conocer la forma de ir a la página de eventos archivados).

2 En el cuadro de diálogo Evento específico

a Seleccione Este evento en la lista Está a punto de restaurar del archivo si desea restaurar solo este evento.

b Seleccione Todos los eventos de este tipo en la lista Está a punto de restaurar del archivo si desea restaurar todos los eventos de tipo similar.

c Haga clic en Guardar para completar la restauración.

Deshabilitar eventos

Los usuarios pueden deshabilitar eventos de forma selectiva y evitar que se envíen notificaciones en el futuro.


VMware, Inc. 98

Para deshabilitar la notificación de eventos

Método 1

1 En el evento, haga clic en el vínculo Mostrar todas (si hay más de una instancia de un evento) para ver todas las instancias del evento.

2 Desplace el cursor sobre la instancia del evento cuya notificación desea deshabilitar. Se muestra un conjunto de iconos; haga clic en el icono de archivo.

3 En el cuadro de diálogo Específico del evento, seleccione la casilla de verificación Deshabilitar todos los eventos de este tipo en el futuro y, a continuación, haga clic en Guardar.

Método 2


2 En la sección Configuración, haga clic en Notificaciones de eventos para ver una lista de todos los eventos habilitados y deshabilitados.

3 En el evento habilitado que desea deshabilitar, en la columna Habilitado, haga clic en el espacio del lado izquierdo del control deslizante correspondiente.

4 En el cuadro de diálogo Confirmar acción, haga clic en Sí.

Configurar el servicio de notificación de eventos

Los usuarios pueden habilitar notificaciones personalizadas para diferentes eventos

Para establecer servicios de notificación

1 En Configuración, vaya a Notificación de eventos y haga clic en el icono de edición correspondiente al problema para el que desea habilitar las notificaciones por correo electrónico y SNMP.

2 En el cuadro de diálogo Editar notificación del sistema, introduzca la dirección de correo electrónico a la que desea que se envíe la notificación. En el cuadro Frecuencia de correo electrónico, seleccione la frecuencia de tiempo con la que desea recibir notificaciones.

3 Para establecer notificaciones de SNMP, seleccione la casilla de verificación Habilitar captura SNMP para este evento.


5 Una vez habilitada esta opción, los iconos de correo y SNMP respectivos aparecerán resaltados como en la captura de pantalla que aparece a continuación.

Configurar la administración de identidades y accesoEn vRealize Network Insight Cloud, puede crear un usuario o configurar el acceso de los usuarios de LDAP y de VMware Identity Manager. También puede asignar diferentes funciones a los usuarios.

Configurar LDAPEn vRealize Network Insight Cloud, puede configurar el acceso de los usuarios de LDAP.


VMware, Inc. 99

vRealize Network Insight Cloud admite los siguientes dos tipos de usuarios:

n Usuario creado en la máquina virtual de la plataforma vRealize Network Insight Cloud

n Usuarios de LDAP

Para permitir que los usuarios de LDAP inicien sesión en vRealize Network Insight Cloud, configure el servicio LDAP en la plataforma de vRealize Network Insight Cloud de la siguiente manera:

Para habilitar la autenticación de usuario basada en LDAP1 En la página Configuración, haga clic en Administración de identidades y acceso > LDAP.

2 Haga clic en Configurar.

3 En la página Configurar LDAP, escriba el dominio adecuado, la dirección URL del host LDAP y las credenciales LDAP en los cuadros correspondientes. Consulte la siguiente tabla para obtener descripciones de campos individuales.

Tabla 6-5.

Campo Descripción

Dominio Este suele ser la última parte de la dirección de correo electrónico del usuario después del símbolo "@". Ejemplo: para un usuario que inicia sesión como [email protected], este campo debe ser example.com

URL de host de LDAP Es posible especificar varias direcciones URL de hosts LDAP separadas por comas.

Nombre de usuario Usuario con los derechos necesarios para iniciar sesión con la configuración proporcionada.

Contraseña Contraseña del usuario.

Puede configurar un grupo y proporcionar una función a los miembros de ese grupo. Para habilitar esta funcionalidad, seleccione Control de acceso basado en grupos.

a En DN base, escriba el DN base, el punto desde el cual el servidor comenzará a buscar usuarios.

b En DN de grupo, agregue grupos.

c Para cada grupo, seleccione la función de usuario como miembro o administrador en el menú desplegable. Si selecciona la función de administrador para un grupo determinado, todos los miembros de ese grupo tendrán el privilegio de administrador. De forma similar, si selecciona la función de miembro para un grupo determinado, todos los miembros de ese grupo tendrán el privilegio de miembro. Si no se selecciona esta opción, se utiliza la configuración del grupo para asignar los privilegios. Sin embargo, otros usuarios de LDAP válidos que no pertenezcan a los grupos agregados podrán iniciar sesión en el producto.

d Haga clic en Agregar más para agregar grupos de la lista de inclusión.


VMware, Inc. 100

Para permitir el acceso a los usuarios únicamente desde los grupos de LDAP (membresía directa o heredada) que usted agregó, seleccione la casilla de verificación Restringir el acceso únicamente a los miembros de los grupos anteriores.

4 Haga clic en Enviar para configurar LDAP.

Una vez completada correctamente la configuración de LDAP, la pantalla de inicio de sesión incluirá un nuevo menú desplegable en el que los usuarios podrán seleccionar si desean iniciar sesión de forma local o con sus credenciales de LDAP.

Las credenciales de LDAP no se guardan en ninguna parte.

Consideraciones sobre los grupos y la herencia

n Si los grupos se agregaron a DN de grupo, sus grupos secundarios también pueden iniciar sesión con las credenciales de LDAP.

n No se tiene en cuenta la herencia para la asignación de funciones. Por ejemplo, si un usuario debe ser administrador, se debe asignar la función de administrador al grupo directo al que pertenece el usuario. El usuario que pertenece al grupo secundario no tendrá la función de administrador.

n Si asignó la función de administrador a un grupo y desea excluir a un usuario específico de ese grupo de la función de administrador, realice los siguientes pasos:

a En la página Configuración, haga clic en Administración de usuarios.

b En la pestaña Usuarios de LDAP, puede ver la función asignada de ese usuario específico y también que el usuario heredó la función del grupo.

c Haga clic en el icono Editar. En Función, seleccione Miembro en el menú desplegable de ese usuario. De esta manera, asignará una función directamente al usuario.

d Haga clic en Guardar cambios.

e Introduzca su contraseña para confirmar. Haga clic en Autorizar.

n Si desea que un usuario herede la función del grupo al que pertenece el usuario, realice los siguientes pasos:

a En la página Configuración, haga clic en Administración de usuarios.

b En la pestaña Usuarios de LDAP, puede ver la función asignada de ese usuario específico y también que la función se asignó directamente al usuario.

c Haga clic en el icono Eliminar para eliminar ese usuario de LDAP.

d Cuando ese usuario específico inicie sesión, heredará la función del grupo principal de forma predeterminada.

n Si un usuario ya inició sesión y alguien cambia la función del grupo al que pertenece el usuario, la nueva función entrará en efecto únicamente después de que el usuario cierre sesión.

n Supongamos que existen algunos usuarios LDAP que iniciaron sesión antes de una actualización. Después de una actualización, los usuarios de LDAP reciben funciones directamente y no heredan del grupo.


VMware, Inc. 101

n Supongamos que un usuario pertenece a varios grupos. Por ejemplo, un usuario pertenece a los grupos A, B y C. Si se asigna la función de administrador al grupo A y se asigna la función de miembro al grupo B y al grupo C, el usuario hereda la función de administrador.

Configurar VMware Identity Manager (vIDM)Los administradores pueden autorizar a usuarios de VMware Identity Manager para que estos accedan a características de vRealize Network Insight Cloud sobre la base de sus funciones.

Requisitos previos

Registre vRealize Network Insight Cloud como un cliente de OAuth en el host de VMware Identity Manager. Para obtener más información, consulte la documentación de VMware Identity Manager.

Procedimiento

1 Inicie sesión en vRealize Network Insight Cloud y haga clic en Configuración.

2 En Administración de identidades y acceso, seleccione vIDM.

3 Proporcione la siguiente información.

Parámetro Descripción

Dispositivo de VMware Identity Manager

El nombre de dominio completo (Fully Qualified Domain Name, FQDN) del host de VMware Identity Manager.

Identificador de cliente de OAuth El identificador que se crea al registrar vRealize Network Insight Cloud en el host de VMware Identity Manager.

Secreto de cliente de OAuth El secreto que se crea al registrar vRealize Network Insight Cloud en el host de VMware Identity Manager.

Huella digital SHA-256 Este es un campo opcional. La huella digital de certificado del host de VMware Identity Manager. Para obtener más información, consulte Obtener la huella digital de certificado del host de VMware Identity Manager.


Después de la configuración, verá el dispositivo de VMware Identity Manager y los detalles del cliente que configuró.

5 Haga clic en el botón de alternancia para habilitar o deshabilitar VMware Identity Manager. Si deshabilita la opción, no podrá usar la autenticación de VMware Identity Manager en vRealize Network Insight Cloud.

Obtener la huella digital de certificado del host de VMware Identity ManagerPara la validación del certificado SSL, puede obtener la huella digital SHA-256 del host de VMware Identity Manager.


VMware, Inc. 102

https://docs.vmware.com/es/VMware-Identity-Manager/services/IDM_service_administration_cloud/GUID-AD4B6F91-2D68-48F2-9212-5B69D40A1FAE.html

Procedimiento

1 Para obtener el certificado SSL/TLS, ejecute el siguiente comando:

openssl s_client -connect <FQDN of vIDM host>:443

Copie el certificado de servidor desde -----BEGIN CERTIFICATE----- hasta -----END CERTIFICATE----- en un archivo llamado cert.pem y guarde el archivo.

2 Para obtener la huella digital, ejecute el siguiente comando:

openssl x509 -fingerprint -noout -sha256 -in cert.pem

Resultados

Puede ver la huella digital en el siguiente formato:

SHA256

Fingerprint=3D:E8:4C:CD:19:D6:AD:23:30:86:E4:A1:72:D5:22:08:F9:72:6D:D3:E7:6E:99:32:C8:C7:3D:

F8:E2:91:91:AE

Pasos siguientes

Copie la huella digital y péguela en la página de configuración de VMware Identity Manager.

Configurar la administración de usuariosEl usuario administrador puede agregar nuevos usuarios y configurar membresías y otras opciones de los usuarios existentes. Los usuarios con la función de membresía de administrador solo pueden ver la pestaña Administración de usuarios.

Agregar usuario nuevo

1 En la página Configuración, haga clic en Administración de identidades y acceso > Usuarios locales > Agregar usuario nuevo y proporcione la información necesaria en el formulario.

El formulario contiene los siguientes cuadros de texto:


Nombre Introduzca el nombre del usuario.

Correo electrónico (identificador de inicio de sesión) Introduzca su correo electrónico o su identificador de inicio de sesión (si tiene alguno).

Función Seleccione la función de la lista desplegable.


Volver a introducir la contraseña nueva Vuelva a introducir la contraseña para confirmarla.

2 Haga clic en Agregar usuario para guardar la información del usuario.

Asignar la función de administradorPuede asignar la función de administrador a cualquier usuario de LDAP.


VMware, Inc. 103

Incluso si el usuario específico no ha iniciado sesión, puede asignar la función de administrador a ese usuario. Para asignar la función de administrador:

1 En la página Configuración, haga clic en Administración de identidades y acceso > Usuarios de LDAP > Asignar función de administrador.

2 Proporcione el identificador de inicio de sesión del usuario al que desea asignar la función de administrador.

3 Haga clic en Agregar usuario.

4 Una vez agregado el usuario, podrá ver el identificador de inicio de sesión en la pestaña Usuarios de LDAP.

5 Para cambiar la función, haga clic en el icono Editar junto al identificador de inicio de sesión en la pestaña Usuarios de LDAP.

Importar usuarios de VMware Identity ManagerPuede importar cuentas de usuario de VMware Identity Manager para permitirles que usen vRealize Network Insight Cloud y asignarles funciones.

Procedimiento

1 En la página Configuración de vRealize Network Insight Cloud, expanda Administración de identidades y acceso.

2 Haga clic en Administración de usuarios y seleccione la pestaña vIDM.

3 Proporcione los detalles requeridos.


Nombre de dominio Introduzca el nombre de dominio de VMware Identity Manager para la importación.

Buscar usuarios/grupos

Introduzca una cadena de búsqueda y seleccione la cuenta de usuario de la lista de autocompletar. Puede seleccionar un solo usuario o un grupo de usuarios. Si selecciona un grupo, todos los miembros del grupo podrán acceder a vRealize Network Insight Cloud.

Función Asigne la función Miembro o Administrador a la cuenta de usuario.


VMware, Inc. 104

4 Haga clic en Agregar usuario.

Nota n Si seleccionó un grupo, todos los miembros del grupo obtendrán la misma función. Si desea

asignar una función diferente a un usuario específico del grupo, debe agregarlo de forma individual y asignarle la función requerida.

Por ejemplo, para asignar la función Administrador solo a user1 en Mygroup:

n agregue Mygroup y asigne la función Miembro; y

n agregue user1 y asigne la función Administrador.

La función asignada al usuario sobrescribe directamente la función asignada al usuario como parte del grupo.

n Si un usuario pertenece a varios grupos con diferentes funciones, se le asigna la función con el privilegio más alto.

Por ejemplo, si un usuario pertenece a Grupo A, el cual tiene la función Administrador, pero también pertenece a Grupo B y Grupo C, los cuales tienen la función Miembro, el usuario heredará la función Administrador.

Resultados

Ahora, este usuario o los miembros de este grupo de VMware Identity Manager podrán iniciar sesión en vRealize Network Insight Cloud y utilizar las características según la función asignada.

Configurar registrosEn vRealize Network Insight Cloud, puede ver y configurar diferentes tipos de registros.

Ver y exportar registros de auditoríaLos registros de auditoría capturan las acciones administrativas que se llevan a cabo en el sistema. Se trata de operaciones CRUD normales, así como eventos de inicio y cierre de sesión. Se registran las acciones administrativas realizadas a través de la interfaz de usuario, la CLI o la API.

Los registros de auditoría capturan las acciones de la API, la interfaz de usuario y la CLI.

Funcionesn La función de registro de auditoría siempre está activada.

n vRealize Network Insight Cloud es compatible con el formato UTC en los registros de auditoría.

n El registro de auditoría se integra con syslog. Es posible configurar Syslog Collector para recopilar todos los registros de auditoría.

n Es posible exportar todos los datos del registro de auditoría en un archivo CSV.


VMware, Inc. 105

Establecer la configuración de SyslogPuede configurar servidores Syslog remotos para vRealize Network Insight Cloud mediante la página Configuración de Syslog.

Si bien cada servidor proxy puede tener un servidor Syslog remoto diferente, todos los servidores de la plataforma de un clúster utilizan el mismo servidor Syslog remoto.

En la versión actual, los eventos de problema de vRealize Network Insight Cloud y los servidores Syslog del servidor de plataforma/proxy se envían al servidor Syslog remoto.

Actualmente, vRealize Network Insight Cloud solo admite UDP para la comunicación entre servidores de vRealize Network Insight Cloud y servidores Syslog remotos. Por lo tanto, asegúrese de que los servidores Syslog remotos estén configurados para aceptar el tráfico de Syslog a través de UDP.

Para configurar servidores Syslog:

1 En la página Configuración, haga clic en Configuración de Syslog. La página Configuración de Syslog tiene los servidores Syslog configurados y sus asignaciones a los dispositivos virtuales enumerados. Si accede a esta página por primera vez, el Syslog está deshabilitado de forma predeterminada y la lista de servidores de esta página no aparece.

2 Para agregar un servidor Syslog:

a Haga clic en Agregar servidor Syslog.

b Introduzca la dirección IP, el alias y el número de puerto del servidor. El número de puerto estándar para UDP es 514.

c Para probar la configuración, haga clic en Enviar registro de prueba.

d Haga clic en Enviar.

e Si es el primer servidor que agregó, habilite Syslog en la parte superior de la página.

3 Para asignar el servidor a las plataformas y a los servidores proxy:

a Haga clic en Editar asignación.

b Seleccione el servidor Syslog para todas las plataformas y los servidores proxy.

c Si no desea habilitar Syslog en ningún servidor proxy ni en la plataforma, seleccione la opción Sin servidor.

d Haga clic en Enviar.

Nota Después de realizar los cambios, es posible que deban transcurrir algunos minutos para que se apliquen.

Configurar servidor de correoEn vRealize Network Insight Cloud, puede configurar un servidor de correo para recibir notificaciones de eventos mediante correo electrónico.


VMware, Inc. 106

Para configurar el servidor de correo:


2 Haga clic en Servidor de correo.

3 Active la casilla de verificación Servidor SMTP.

4 Introduzca los valores adecuados en los cuadros.

Tabla 6-6.

Campo Descripción

Correo electrónico de remitente Dirección de correo electrónico del remitente.

Nombre de host/dirección IP de SMTP Nombre de host o dirección IP del servidor SMTP.

Cifrado Se encuentran disponibles las siguientes opciones de cifrado: Ninguno, TLS y SSL.

Número de puerto SMTP Número de puerto del servidor SMTP (el valor predeterminado es 25).

Nota Para elegir Gmail como el servidor de correo electrónico, se requieren opciones de configuración adicionales que se indican en el soporte de Google.

De manera opcional, para mayor seguridad, seleccione la casilla de verificación Autenticación e introduzca el nombre de usuario y la contraseña.

Nota Para comprobar si el correo de notificación está configurado correctamente, haga clic en Enviar correo electrónico de prueba.

5 Haga clic en Enviar para completar la configuración.

Configurar destino de captura de SNMPEn vRealize Network Insight Cloud, puede configurar capturas del protocolo simple de administración de redes (Simple Network Management Protocol, SNMP) para recibir notificaciones por correo. El producto admite las dos versiones v2c y v3 siguientes de SNMP:

1 En la esquina superior derecha de la página de inicio, haga clic en el icono Perfil y, a continuación, haga clic en Configuración.

2 Seleccione Destino de captura de SNMP.

3 En la página Destino de captura de SNMP, en el cuadro Versión, seleccione los protocolos SNMPv2c o SNMPv3.

Nota El protocolo SNMPv2c no requiere autenticación. El protocolo SNMPv3 es compatible con la autenticación.


VMware, Inc. 107

4 En el cuadro Dirección IP de destino/FQDN, escriba la dirección IP del agente SNMP o introduzca el nombre de dominio completo (Fully Qualified Domain Name, FQDN).

5 En el cuadro Puerto de destino, introduzca 162.

6 Si selecciona el protocolo SNMPv2c, en el cuadro Cadena de comunidad, introduzca Pública. Si selecciona el protocolo SNMPv3, en el cuadro Nombre de usuario, escriba el nombre del usuario que creó en el agente SNMP.

Para SNMPv3, haga también lo siguiente:

n Seleccione la casilla de verificación Usar autenticación.

n Seleccione un protocolo de autenticación y, a continuación, escriba la contraseña que estableció para el usuario en particular en el agente SNMP. De manera opcional, en los cuadros Protocolo de privacidad y Frase de privacidad, seleccione un protocolo de privacidad y una frase de privacidad, respectivamente.

Para comprobar si la configuración se realizó correctamente, haga clic en Captura SNMP de prueba y, a continuación, averigüe si la captura se envió al agente SNMP.


Administrar licenciasVMware sigue un sistema de honor para las licencias de vRealize Network Insight Cloud. Esto significa que las infracciones relacionadas con el recuento de licencias generan un mensaje de advertencia en la interfaz de usuario, pero no impide el uso de las funciones disponibles.

Se mostrarán mensajes de advertencia de licencias en todas las páginas de la interfaz de usuario en los siguientes escenarios:

n El uso de licencias supera la licencia de socket (CPU).

Debe agregar una licencia adicional para cumplir con los requisitos.

n Tipo de licencia mixto.

n Cuando se agrega una licencia Advanced y una licencia Enterprise.

Después de actualizar una edición Advanced a la edición Enterprise, debe eliminar manualmente la licencia Advanced (Configuración > Licencia y uso). Asegúrese de tener una cantidad suficiente de licencias Enterprise para utilizar las funciones de esta edición.

n Cuando se agrega una licencia de socket y una licencia de núcleo.

Elimine uno de los tipos de licencia según se requiera.

Cálculo de uso de licenciasEl uso de licencias de vRealize Network Insight Cloud se calcula en función de la siguiente relación.


VMware, Inc. 108

Objeto DescripciónRecuento de objetos permitido por licencia de socket

CPU de VMware vSphere Cantidad total de sockets de CPU de los equipos host locales

1

Hosts de VMware Cloud on AWS Cantidad total de hosts de VMware Cloud on AWS

0,5

vCPU de AWS Cantidad total de vCPU de AWS 16

Endpoints que no son de VMware Cantidad total de endpoints que no son de Internet ni de VMware, y que se muestran en flujos de los que se informa de manera exclusiva mediante funcionalidades de generación de informes de flujo que no son de VMware (por ejemplo, NetFlow procedente de un conmutador físico)

15

Pods de Kubernetes Cantidad total de pods de Kubernetes 12

Nota vRealize Network Insight Cloud también considera los orígenes de datos deshabilitados durante el cálculo del uso de licencias. Si desea que vRealize Network Insight Cloud los ignore durante el recuento, elimine los orígenes de datos.

Licencia de SD-WANPara agregar VMware SD-WAN como origen de datos y ver la implementación de VMware SD-WAN en vRealize Network Insight Cloud, debe agregar una licencia de VMware SD-WAN. Puede agregar la licencia de VMware SD-WAN como licencia independiente o puede utilizarla con una licencia Enterprise. Sin embargo, no puede utilizar una licencia de VMware SD-WAN con una licencia Advance. Puede utilizar varias claves de licencia de VMware SD-WAN para admitir instancias de Edge de anchos de banda diferentes.

Con la licencia de VMware SD-WAN, además del origen de datos de VMware SD-WAN, también puede agregar vCenter sin IPFIX, conmutadores y enrutadores, e Infoblox.

Agregar y cambiar una licenciaEn esta página, es posible ver los detalles del uso de licencias y agregar una licencia. vRealize Network Insight Cloud admite la adición de varias licencias.

Agregar licenciaPara agregar una licencia:

1 En la página Licencia y uso, haga clic en Agregar licencia.

2 Proporcione la clave de licencia para el campo Nueva clave de licencia.



VMware, Inc. 109

Verá el tipo de licencia, el socket, el recuento de núcleos disponibles con la licencia y los detalles de caducidad.

4 Haga clic en Activar.

5 Puede ver la lista de licencias en la página.

6 También puede eliminar la licencia si hace clic en el icono Eliminar junto a la columna Caducidad. Si la licencia pertenece a una edición Enterprise y si es la última edición Enterprise que queda en el sistema, asegúrese de eliminar la cuenta de AWS antes de eliminar la licencia Enterprise.

Cambiar licenciaSi la licencia de evaluación caduca, al iniciar sesión en el producto, se muestra un mensaje que indica que la licencia caducó y que es necesario renovarla. Siga estos pasos para cambiar una licencia.

Para cambiar una licencia:

1 Haga clic en el vínculo incluido en el mensaje Caducidad para ir a la página Cambiar licencia. Como alternativa, en Configuración, haga clic en Licencia y uso; a continuación, haga clic en Cambiar licencia.

2 En la página Cambiar licencia, en Clave de licencia nueva, introduzca la nueva clave de licencia que recibió de VMware.


4 Haga clic en Activar.

Nota Al caducar la licencia de evaluación, se deshabilitan los proveedores de datos y estos dejan de recopilar datos. Después de renovar la licencia, es necesario volver a habilitar los proveedores de datos en la interfaz de usuario para iniciar la recopilación de datos.

Configurar intervalo de actualización automáticaEn vRealize Network Insight Cloud, puede configurar el intervalo de actualización automática para las páginas de entidades y los paneles de pines.

vRealize Network Insight Cloud proporciona la función de actualización automática en los paneles de control de entidades y los paneles de pines. El panel de control se actualiza automáticamente una vez cada n minutos especificados en la barra de encabezado.


VMware, Inc. 110

Puede especificar el intervalo de tiempo en el cual desea que todos los paneles de control realicen una actualización automática. Tras el intervalo de tiempo especificado (n minutos), se volverán a cargar automáticamente todos los widgets abiertos en el panel de control.

Nota n No puede cambiar el intervalo de tiempo de actualización automática de un panel de control

determinado.

n La actualización automática se coloca en pausa si se selecciona un intervalo de tiempo pasado en el control deslizante de tiempo.

Puede pausar la actualización automática si no la necesita para un panel de control determinado. En la barra de encabezado, establezca Pausar en Activado. El contador de actualización automática se restablecerá cuando establezca Pausar en Desactivado.

Si, mientras observa un panel de pines, otro usuario realiza cambios en el panel (por ejemplo, si cambia su diseño), la función de actualización automática no solo actualizará el contenido, sino que también actualizará el panel de pines completo. Esto solo ocurre si existe el uso compartido y la colaboración entre usted y el otro usuario.

Procedimiento

1 En la página Configuración, haga clic en Mis preferencias. O bien, en el panel de control correspondiente, haga clic en Modificar junto a la opción Actualización automática en la barra de encabezado.

2 Haga clic en Editar para cambiar el intervalo de tiempo de la actualización automática. Seleccione el intervalo de tiempo del menú desplegable. Haga clic en Guardar.

3 Para deshabilitar la opción Actualización automática, seleccione Deshabilitado en el menú desplegable. Si selecciona esta opción, se deshabilitará la actualización automática de todos los paneles de control.

Configurar el tiempo de espera de la sesión de usuarioDe forma predeterminada, el tiempo de espera de la sesión de usuario es 15 minutos. Puede modificar este valor según su preferencia.

Procedimiento

1 En la página Configuración, haga clic en Configuración del sistema.

Nota La pestaña Configuración del sistema solo es visible para admin user.

2 Haga clic en el icono Editar para cambiar la preferencia de tiempo de espera de la sesión de usuario.

3 Arrastre la barra deslizante para establecer el valor de tiempo de espera de la sesión. El valor oscila entre 15 minutos y 24 horas.


VMware, Inc. 111

4 También puede ver detalles sobre quién y cuándo modificó el valor de tiempo de espera en el campo Última modificación.

5 Haga clic en Enviar. El mensaje Correcto se muestra para confirmar que la duración de la sesión actualizada entrará en vigor en el próximo inicio de sesión.

Nota El nuevo valor de tiempo de espera de la sesión de usuario solo se aplicará después de cerrar sesión y volver a iniciarla.

Agregar clave de API de Google MapsPara obtener una vista de mapa de la implementación de SD-WAN, debe agregar una clave de API de Google Maps en vRealize Network Insight Cloud.

Requisitos previos

Asegúrese de lo siguiente:

n Es miembro de Google Cloud Platform y se habilitó la facturación en su cuenta.

n Tiene la clave de API de Google Maps. Para obtener la clave de API, consulte el procedimiento correspondiente en la documentación de Google Maps Platform.

n Restringió la clave de API para evitar cualquier uso incorrecto. Para obtener más información, consulte el procedimiento correspondiente en la documentación de Google Maps Platform.

Procedimiento

1 En la página Configuración, haga clic en Configuración del sistema.

2 En Clave de API de Google Maps, introduzca la clave de API y haga clic en Guardar.

Ver los registros de auditoríaLos registros de auditoría capturan las acciones administrativas que se llevan a cabo en el sistema. Se trata de operaciones CRUD normales, así como eventos de inicio y cierre de sesión. Los registros de auditoría capturan las acciones de la API, la interfaz de usuario y la CLI.

n La función de registro de auditoría siempre está activada.

n vRealize Network Insight Cloud es compatible con el formato UTC en los registros de auditoría.

n El registro de auditoría se integra con syslog. Es posible configurar Syslog Collector para recopilar todos los registros de auditoría.

n Es posible exportar todos los datos del registro de auditoría en un archivo CSV.

Procedimiento

1 En la página Configuración, haga clic en Registros de auditoría en Registros.


VMware, Inc. 112

2 Se muestran los siguientes detalles en la página Registros de auditoría:

Información Descripción

Date & Time Marca de tiempo de la acción real que se realiza.

IP Address Dirección IP del cliente desde el que se establece la conexión, como la CLI o el navegador.

User Name Usuario que realiza la acción.

Object Type Objeto en el que se realiza la acción.

Operation Diferentes acciones que realiza el usuario en el objeto.

Object Identifier Identificador único de ese objeto en particular en el que se realiza la acción.

Response Indicador de la ejecución correcta o incorrecta de la operación.

Details Detalles de la configuración que se cambiaron, como el alias o una propiedad.

3 Para permitir la recopilación de información cuando el usuario inicia sesión a través de un navegador o una CLI, habilite Permitir recopilación de información de identificación personal. Esta opción se encuentra deshabilitada de forma predeterminada.

Nota Las columnas IP Address y User Name están en blanco si esta opción está deshabilitada.

4 Haga clic en Exportar como CSV para exportar los datos del registro de auditoría en formato CSV.

Unirse al programa de mejora de la experiencia de cliente o abandonarloEste producto participa en el programa de mejora de la experiencia de cliente (Customer Experience Improvement Program, CEIP) de VMware. CEIP proporciona a VMware información con la que puede mejorar sus productos y servicios, solucionar problemas y ofrecer consejos relacionados con la mejor forma de implementar y utilizar los productos. En el marco de CEIP, VMware recopila de forma periódica información técnica sobre el uso que hace una organización de los productos y los servicios de VMware en combinación con las claves de licencia de VMware de la organización. Dicha información no se puede utilizar para identificar de forma personal a ningún individuo.

La información sobre los datos recopilados mediante CEIP y la intención con la que VMware los usa se establecen en el Centro de seguridad y confianza en https://www.vmware.com/solutions/trustvmware/ceip.html.

Puede unirse al programa de mejora de la experiencia de cliente (Customer Experience Improvement Program, CEIP) de vRealize Network Insight Cloud o abandonarlo.

1 En la página Acerca de, en Programa de mejora de la experiencia de cliente, haga clic en Modificar.

2 Se abrirá la ventana del CEIP. Para unirse al CEIP, seleccione Habilitar. Esta acción activa CEIP y envía datos a https://vmware.com.

3 Para abandonar el CEIP, anule la selección de Habilitar.


VMware, Inc. 113

https://www.vmware.com/solutions/trustvmware/ceip.html

https://www.vmware.com/solutions/trustvmware/ceip.html

https://vmware.com


Ver el estado de la configuraciónEl indicador Estado se encuentra disponible en la sección Descripción general de la página Instalación y soporte.

El indicador Estado se vuelve rojo si se produce alguno de los siguientes eventos de mal funcionamiento:

n Si el proxy deja de recopilar datos de flujo

n Si la plataforma detiene el procesamiento de datos por algún motivo; por ejemplo, un espacio de disco insuficiente

n Si el indexador de búsqueda se retrasa, lo que genera un resultado de búsqueda obsoleto

El indicador de estado general muestra la cantidad de irregularidades, con una luz roja encendida. Las irregularidades individuales se enumeran con sus detalles, cuando se hace clic en la cantidad de problemas relacionados con el estado general. Si el funcionamiento es normal, el indicador de estado muestra una luz verde.

Nota En algunas ocasiones, es posible que vRealize Network Insight Cloud no detecte un reloj del sistema que no está sincronizado. Si el reloj no está sincronizado con NTP, es posible que algunos servicios presenten un estado incorrecto o dejen de funcionar.

Habilitar el túnel de soporteEl túnel de soporte permite que VMware se conecte de forma remota a la plataforma y a las máquinas virtuales de recopilador en la conexión SSL protegida a fin de realizar tareas avanzadas de solución de problemas o depuración.

Para solicitar el soporte avanzado, active y desactive la opción Túnel de soporte en la sección Descripción general de la página Instalación y soporte.

Nota Asegúrese de que se permita el tráfico a support2.ni.vmware.com en el puerto 443.

Administrar el uso de discoSi el uso del disco es alto en una plataforma o un recopilador, se activa un evento para advertir al usuario. Además, se proporciona una recomendación de cuánto más espacio de disco se debe agregar. Puede ver el evento en la plataforma o el panel de control de recopilador. La alerta también se muestra en el recopilador correspondiente o en la sección de plataforma en la página Instalación y soporte.


VMware, Inc. 114

Puede agregar discos a los nodos mediante los siguientes pasos:

Nota No expanda el disco duro existente.

Procedimiento

1 Inicie sesión en vCenter a través del cliente web con privilegios suficientes.

2 Haga clic con el botón secundario en el nodo y seleccione Editar configuración.

3 Agregue el disco duro según la recomendación proporcionada en la alerta.

vRealize Network Insight Cloud tarda unos minutos en detectar el dispositivo y agregarlo a la partición /var.

Ver detalles de nodosPuede ver los detalles de cada nodo en una plataforma o un recopilador.

Procedimiento

1 Para ver los detalles de un nodo de plataforma en particular, haga clic en el nombre que figura en Máquinas virtuales de plataforma en la página Instalación y soporte.

Aparece el panel de control de la plataforma NI.

2 Para ver los detalles de un nodo de recopilador específico, haga clic en el nombre que se muestra en Máquinas virtuales del recopilador (proxy) en la página Instalación y soporte.

Aparece el panel de control del recopilador NI.


VMware, Inc. 115

Crear un paquete de soportePuede crear un paquete de soporte que recopile información de diagnóstico, como registros específicos de un producto o archivos de configuración de la instalación. Cuando se genera una solicitud de soporte, el soporte técnico de VMware utiliza esta información para solucionar los problemas de configuración.

Procedimiento

1 En la página Configuración, haga clic en Instalación y soporte.

2 Haga clic en Crear paquete de soporte.

3 Seleccione las máquinas virtuales de plataforma y las máquinas virtuales de recopilador para las que desea crear el paquete de soporte.

Para seleccionar todas las máquinas virtuales, haga clic en la casilla de verificación en el encabezado de las tablas de máquinas virtuales de plataforma y máquinas virtuales de recopilador.

4 Haga clic en Crear.

5 Haga clic en Sí para confirmar la creación de un nuevo paquete de soporte.

vRealize Network Insight Cloud demorará un tiempo en completar la creación del paquete.

Resultados

Se creará un nuevo paquete de soporte con la fecha y la hora indicadas. Para iniciar la descarga del paquete de soporte, haga clic en el vínculo Descargar junto a la máquina virtual correspondiente.

Nota n La creación de un paquete de soporte en un sistema de tamaño mediano puede tardar más de 15

minutos.

n Solo puede haber dos paquetes de soporte presentes en un momento determinado. Por lo tanto, cuando se crea uno nuevo, si ya existen dos paquetes de soporte, se elimina el anterior.

Pasos siguientes

Asocie el paquete de soporte a la solicitud de servicio de VMware para acceder a los detalles.

Comprensión de la capacidad para la carga de los recopiladores y la plataformavRealize Network Insight Cloud proporciona información de la carga y la capacidad aproximada de un nodo de recopilador y una plataforma. Esta información basada en límites permite evitar problemas de rendimiento y de experiencia más adelante.


VMware, Inc. 116

Comprensión de la capacidadExisten dos tipos de capacidad:

n Capacidad de máquinas virtuales: se define como la cantidad de máquinas virtuales detectadas que un nodo o una configuración pueden procesar.

n Capacidad de flujos: se define como la cantidad de flujos que un nodo o una configuración pueden procesar.

La capacidad se define de la siguiente manera:

n Plataforma única con uno o varios nodos proxy: la capacidad de un nodo proxy o de la plataforma es la cantidad de máquinas virtuales detectadas que se pueden procesar sin perjudicar el rendimiento.

n Configuración de clúster: la capacidad de la plataforma en una configuración de clúster es el agregado de todas las capacidades de todos los nodos de plataforma, mientras que la capacidad de los nodos proxy se considera en el nivel de un nodo individual.

Acceder a la información de capacidadPuede ver los valores de Capacidad de máquina virtual y Capacidad de flujo en la página Instalación y soporte.

Solo se proporciona la información de capacidad de máquina virtual para cada nodo de recopilador enumerado en Máquina virtual de recopilador (proxy).

Nota Cuando la cantidad de máquinas virtuales detectadas de los orígenes de datos en la implementación supera la capacidad del sistema, del recopilador o de ambos, no se permite activar la actualización.

Para ver las máquinas virtuales detectadas para un origen de datos:

1 En la página Cuentas y orígenes de datos, puede ver la cantidad de máquinas virtuales que se detectaron para un origen de datos determinado que ya se agregó y se encuentra activo. Esta columna presenta un valor únicamente si el origen de datos es vCenter o AWS.

Nota El número de máquinas virtuales detectadas incluye las máquinas virtuales de marcador de posición y de plantilla. Por lo tanto, puede ser diferente al número de máquinas virtuales del producto.


VMware, Inc. 117

Crear y expandir clústeres 7Este capítulo incluye los siguientes temas:

n Crear clústeres

n Expandir los clústeres

Crear clústeresPuede crear clústeres desde la página Instalación y soporte.

Requisitos previosSe requieren al menos dos plataformas adicionales. Las máquinas virtuales de plataforma adicionales deben implementarse y encenderse.

Para crear un clúster1 Haga clic en Crear clúster para Máquinas virtuales de plataforma.

2 En la página Crear clúster, introduzca la siguiente información:

n Dirección IP: introduzca la dirección IP de la nueva plataforma que desea agregar.

n Contraseña : introduzca la contraseña de usuario de soporte de la máquina virtual de la plataforma. Si todavía no cambió la contraseña, consulte la sección Credenciales de inicio de sesión predeterminadas en la guía de instalación de vRealize Network Insight Cloud para la contraseña.

3 Para seguir agregando más plataformas, haga clic en Agregar más e introduzca la dirección IP y la contraseña de usuario de soporte.

4 Haga clic en Enviar. Haga clic en Sí.

VMware, Inc. 118

5 Después de crear un clúster, el usuario debe volver a iniciar sesión en el producto.

Nota n La opción Crear clúster solo está habilitada cuando la plataforma tiene un tamaño de brick grande.

Todas las plataformas deben tener un tamaño de brick grande para crear un clúster.

n Al habilitar la telemetría en un solo nodo, se habilita en todos los nodos.

n Para expandir los clústeres, consulte la sección Expandir un clúster en la guía de instalación de vRealize Network Insight Cloud.

Expandir los clústeresUna vez creado el clúster, puede agregar más nodos de plataforma para expandirlo.

Nota Debe realizar la operación de expansión del clúster solo desde el nodo de plataforma 1 (P1).

Procedimiento

1 En la página Instalación y soporte, haga clic en Expandir clúster para Máquinas virtuales de plataforma.

2 Las direcciones IP de las máquinas virtuales que forman parte del clúster ya se enumeran en la página Expandir clúster. Para agregar uno o más nodos al clúster existente, proporcione la dirección IP del nodo y la contraseña del usuario de soporte.

Nota n Actualmente, vRealize Network Insight Cloud admite 10 nodos en un clúster existente. Una vez

que se alcanza el límite, se deshabilita el botón Agregar más.

n Asegúrese de que todos los nodos nuevos no estén aprovisionados y que se pueda acceder a ellos a través de SSH.

n Asegúrese de haber realizado una copia de seguridad de las máquinas virtuales de la plataforma existente antes de continuar con la expansión del clúster.


Se muestra el progreso paso a paso.

4 Una vez completado el vínculo de expansión del clúster, se muestra un mensaje que indica que la operación se realizó correctamente.

Mientras la expansión del clúster está en curso, la aplicación no se puede utilizar para ninguna otra operación.


VMware, Inc. 119

Ver detalles de entidades 8Las páginas de entidades proporcionan una descripción integral de las entidades que se encuentran en el centro de datos. Esta información puede abarcar desde topologías detalladas para mostrar relaciones con otras entidades del centro de datos hasta métricas detalladas de una entidad en particular.

Cada página de entidad es una recopilación de widgets y cada widget muestra información específica relacionada con la entidad. La información que se proporciona incluye datos en tiempo real y datos históricos, así como una lista exhaustiva de métricas y propiedades sobre la entidad.

Si desea ver más información sobre las entidades, haga clic en Perfil > Ayuda en la esquina superior derecha de la página.

Escala de tiempoLa escala de tiempo proporciona la siguiente información:

n El estado del centro de datos en un momento determinado del pasado.

n Una visión general de los eventos detectados en un rango de tiempo seleccionado.

Seleccione el intervalo de la escala de tiempo que desea ver.

Para ver una escala de tiempo concreta, seleccione el intervalo mediante la opción Rango de tiempo.

Widget de propiedadLos widgets de propiedad muestran atributos importantes en un diseño de dos columnas. Algunos pines de propiedad también pueden mostrar solo un valor de atributo singular. Un ejemplo de pin de propiedad es Propiedades de máquina virtual. El pin Propiedad de máquina virtual muestra las propiedades de una máquina virtual, como el sistema operativo, la dirección IP, la puerta de enlace predeterminada, los conmutadores lógicos, la CPU, la memoria, el estado de energía, etc.


n Ver los detalles del sistema de vRealize Network Insight Cloud (Sistema NI)

n Ver detalles de la máquina virtual de plataforma

n Ver detalles de la máquina virtual de recopilador

n Ver detalles de origen de datos de VMware vCenter

VMware, Inc. 120

n Ver detalles de cumplimiento de PCI

n Ver detalles de Kubernetes

n Ver detalles del equilibrador de carga

n Ver detalles de la máquina virtual

n Ver detalles de NSX Manager

n Ver detalles del servidor virtual

n Ver detalles de miembros del grupo

n Ver detalles de Microsoft Azure

n Ver detalles de VeloCloud Enterprise

n Ver detalles de las aplicaciones SD-WAN y SD-WAN de Edge

n Ver detalles de SDDC de VMC

n Ver detalles de flujos

n Ver detalles de la microsegmentación

n Ver detalles de la aplicación

n Análisis: detección de valores atípicos

n Análisis: umbrales estáticos y dinámicos

Ver los detalles del sistema de vRealize Network Insight Cloud (Sistema NI)

En la página Sistema de vRealize Network Insight Cloud (Sistema NI), se proporciona una instantánea de toda la información relacionada con el sistema. Para acceder a la página Sistema de vRealize Network Insight Cloud:

n En la página Instalación y soporte, haga clic en Ver detalles junto a Información general. Se mostrará la página Sistema NI.

n Proporcione NI-System como la consulta de búsqueda para ver la página Sistema de vRealize Network Insight Cloud.

La página Sistema NI se divide en tres secciones:

n Descripción general: esta sección consta de información sobre las propiedades clave, los orígenes de datos, los problemas que están abiertos, y todos los cambios y los problemas relacionados con el sistema. Para ver los detalles de cada origen de datos, haga clic en él.

n Eventos: en esta sección, se enumeran todos los problemas y los cambios en el sistema, los orígenes de datos, las plataformas y los recopiladores.


VMware, Inc. 121

n Plataformas y recopiladores: en esta sección, se enumeran todas las plataformas y los recopiladores asociados al sistema. Para ver más detalles acerca de cualquier plataforma o recopilador, haga clic en ese elemento.

Ver detalles de la máquina virtual de plataformaEn la página Máquina virtual de plataforma, se proporciona una instantánea de las propiedades, los cambios y los problemas de un nodo de plataforma específico.

En la página Máquina virtual de plataforma, puede ver lo siguiente:

n Información importante sobre el nodo de plataforma seleccionado, como el nombre, la dirección IP, los núcleos de CPU, la memoria, la hora de la última actualización y la versión.

n Los problemas abiertos relacionados con las plataformas.

n La lista de eventos relacionados con el nodo de plataforma seleccionado.

n Una representación gráfica de las métricas, como el uso de CPU, el uso de memoria y el uso del disco de datos.

Ver detalles de la máquina virtual de recopiladorEn la página Máquina virtual de recopilador, se proporciona una instantánea de las propiedades, los cambios y los problemas de un nodo de recopilador específico.

En la página Máquina virtual de recopilador, puede ver lo siguiente:

n Información importante sobre el nodo de plataforma seleccionado, como el nombre, la dirección IP, los núcleos de CPU, la memoria, la hora de la última actualización y la versión.

n La cantidad de problemas abiertos relacionados con el recopilador y los detalles de cada problema.

n La cantidad de problemas abiertos relacionados con los orígenes de datos y los detalles de cada problema.

n La lista con los cambios que se produjeron en el origen de datos en los últimos siete días.

n Detalles de los orígenes de datos y los notificadores de NetFlow disponibles en el recopilador. Se muestra la cantidad de flujos para cada informante de NetFlow. Para los orígenes de datos, se muestra la cantidad de flujos y las máquinas virtuales detectadas.

n Una representación gráfica de las métricas, como el uso de CPU, el uso de memoria y el uso del disco de datos.

Ver detalles de origen de datos de VMware vCenterEn la página Origen de datos de VMware vCenter, se proporciona una instantánea de las propiedades, los cambios y los problemas de un origen de datos en particular.


VMware, Inc. 122

En la página Origen de datos de VMware vCenter, se puede ver:

n Información importante sobre el origen de datos de VMware vCenter seleccionado, como dirección IP/FQDN, nombre de recopilador, estado habilitado, cantidad de máquinas virtuales detectadas, estado habilitado de IPFIX, etc.

n Todos los problemas abiertos asociados con el origen de datos.

n Todos los cambios y los problemas encontrados en un determinado origen de datos en los últimos siete días.

Ver detalles de cumplimiento de PCILa página Cumplimiento de PCI solo se encuentra disponible para los usuarios con licencia Enterprise.

Acceder a Cumplimiento de PCI1 En el panel de navegación situado a la izquierda de la página de inicio, seleccione Seguridad >

Cumplimiento de PCI.

2 Se mostrará la ventana Cumplimiento de PCI. Seleccione el ámbito requerido, la entidad correspondiente y la duración para los cuales necesita los datos. Haga clic en Evaluar.

3 Se mostrará la página Cumplimiento de PCI.

Detalles de la página Cumplimiento de PCILa página Cumplimiento de PCI ayuda a evaluar el cumplimiento según los requisitos de PCI solo en el entorno de NSX. Estos requisitos se mencionan en el primer pin del panel de control. Los demás pines del panel de control que proporcionan datos para la evaluación de estos requisitos son los siguientes:

n Diagrama de flujo de red: muestra el flujo de datos, los firewalls, las conexiones y otros detalles asociados con una red.

n Flujos: muestra los flujos que se ven en el diagrama de flujo de red.

n Flujos de protocolo de texto no cifrado basados en el puerto de destino: el tráfico que fluye en ciertos puertos presenta texto no cifrado. Este pin muestra los flujos de protocolo de texto no cifrado en función de un puerto de destino específico.

n Máquinas virtuales en ámbito: muestra las máquinas virtuales en el ámbito que seleccionó en la consulta. Este pin muestra las reglas salientes, las reglas entrantes y los grupos de seguridad de las máquinas virtuales de ese ámbito.

n Grupos de seguridad de máquinas virtuales: muestra los grupos de seguridad de las máquinas virtuales.

n Número de máquinas virtuales por grupos de seguridad: para ver la lista de las máquinas virtuales de un grupo de seguridad, haga clic en Número en este pin.

n Número de máquinas virtuales por etiquetas de seguridad: para ver la lista de máquinas virtuales con etiquetas de seguridad, haga clic en Número en este pin.


VMware, Inc. 123

n Reglas de firewall aplicadas en el tráfico interno: puede ver las reglas de firewall para el tráfico entre las máquinas virtuales dentro del ámbito seleccionado.

n Reglas de firewall aplicadas al tráfico entrante: puede ver las reglas de firewall para el tráfico que proviene de una máquina virtual fuera del ámbito hacia la máquina virtual dentro del ámbito seleccionado.

n Reglas de firewall aplicadas en el tráfico saliente: puede ver las reglas de firewall para el tráfico que va a una máquina virtual fuera del ámbito y que proviene de la máquina virtual dentro del ámbito seleccionado.

n Cambios de membresía de etiquetas de seguridad: en este pin, se muestran los cambios relacionados con la membresía de las etiquetas de seguridad.

n Cambios de membresía de grupos de seguridad: en este pin, se muestran los cambios relacionados con la membresía de un grupo de seguridad.

n Cambios de regla de firewall: los cambios relacionados con cualquier regla de firewall figuran en este pin.

Nota Si NSX tiene grupos de seguridad anidados, el ámbito de cumplimiento de PCI debe ser distinto al grupo de seguridad.

Exportar como archivo PDF

vRealize Network Insight Cloud permite crear y exportar la información del panel de control Cumplimiento de PCI como un informe PDF.

Procedimiento

1 En el panel de control Cumplimiento de PCI, haga clic en Exportar como archivo PDF en el lado derecho superior de la página. Aparecerá la ventana Exportar a PDF.

2 La ventana Exportar a PDF muestra todos los widgets y sus propiedades respectivas disponibles en el panel de control de cumplimiento de PCI. Seleccione los widgets y las propiedades que desea exportar.

Nota n Debe seleccionar al menos una propiedad.

n El número máximo de propiedades que puede seleccionar es 20.

n La cantidad máxima de entradas en la vista de lista que se pueden exportar es 100.

n Algunos widgets no permiten seleccionar las propiedades. En estos casos, especifique solo el número de entradas.


VMware, Inc. 124

3 Proporcione un título para el informe PDF.

Nota n La cantidad máxima de caracteres para el título es 200.

n La cantidad máxima de páginas que se pueden generar en el informe es 50.

4 Haga clic en Vista previa. Puede ver la vista previa del informe completo.

5 Haga clic en Exportar archivo PDF.

Ver detalles de KubernetesPuede usar el panel de control de Kubernetes para obtener una descripción general rápida de las implementaciones de Kubernetes o VMware PKS en vRealize Network Insight Cloud.

Verá detalles sobre lo siguiente:

n Clústeres y espacios de nombres con mayor comunicación según los flujos.

n Descripción general de entidades de clústeres de Kubernetes, como recuento de espacios de nombres, pods, servicios y nodos.

n Clústeres de Kubernetes agregados a vRealize Network Insight Cloud.

n Lista de imágenes de contenedor que se ejecutan en pods y el recuento de pods de cada imagen de contenedor.

n Lista de nuevos pods detectados, su recuento, espacio de nombres y detalles del clúster.

Además, puede hacer clic en el recuento de varias entidades de Kubernetes en el panel de control para consultar la vista de lista y acceder a los detalles de una entidad específica.

Tabla 8-1. Panel de control Entidad de Kubernetes

Panel de control Descripción

Panel de control Clúster Puede obtener detalles de implementación en el nivel de clúster. Esto incluye:

n Descripción general del clúster con el recuento de espacios de nombres, servicios, pods y nodos en la implementación.

n Lista de espacios de nombres principales en función de los flujos.

n Interacción entre los espacios de nombres.

Panel de control Espacio de nombres Puede obtener detalles del espacio de nombres para el clúster. Esto abarca:

n Descripción general del espacio de nombres con el recuento de pods, servicios y nodos que se encuentran en ese espacio de nombres específico.

n Lista de servicios de comunicación principales en función de los flujos.

n Interacciones de servicios en el espacio de nombres.

n Tráfico de red por paquetes y bytes.


VMware, Inc. 125

Tabla 8-1. Panel de control Entidad de Kubernetes (continuación)

Panel de control Descripción

Panel de control Servicio Puede ver detalles de los servicios de Kubernetes, los cuales incluyen:

n Descripción general del servicio con el recuento de pods y el recuento de nodos en los que se implementa el servicio.

n Interacción de servicios en el espacio de nombres.

n Tráfico de red por paquetes y bytes.

n Puertos lógicos de los pods correspondientes.

Panel de control Pods Puede ver detalles como los siguientes:

n Clúster, espacio de nombres y nodo a los que pertenece el pod.

n Tráfico de red entre pods en función de los paquetes y los bytes.

Panel de control Nodos Puede ver detalles como los siguientes:

n Lista de detalles de espacios de nombres.

n Lista de servicios.

n Lista de pods de contenedor.

n Tráfico de red entre nodos en función de los paquetes y los bytes.

Nota n Cada 10 minutos, vRealize Network Insight Cloud recopila detalles sobre el clúster de Kubernetes

desde VMware PKS.

n Cada 4 horas, vRealize Network Insight Cloud recopila detalles sobre la entidad (espacio de nombres, nodo, pod, servicio) del clúster de Kubernetes.

n VMware PKS no proporciona detalles acerca de los nodos principales de Kubernetes.

n vRealize Network Insight Cloud solo proporciona detalles de los clústeres que presentan el estado de creado correctamente.

Eventos comunes o mensajes de errorn Data Source not reachable: haga ping en la IP o el FQDN de VMware PKS desde la máquina virtual

proxy para garantizar que se pueda acceder a VMware PKS.

n Kubernetes Cluster API Servers not reachable: asegúrese de que se pueda acceder a todos los servidores de API del clúster de Kubernetes desde la máquina virtual proxy.

Ver detalles del equilibrador de cargaEn la página Equilibrador de carga, se resume toda la información de los servidores virtuales y los grupos creados en el equilibrador de carga.


VMware, Inc. 126

Verá lo siguiente:

n Lista de servidores virtuales junto con sus problemas en el equilibrador de carga.

n Lista de grupos en el equilibrador de carga y sus problemas asociados.

n Eventos asociados con el equilibrador de carga.

n Lista de flujos, recuento y tráfico de red en diferentes direcciones IP de destino.

Nota No se captura información de flujo para el equilibrador de carga de NSX-V.

n Propiedades del equilibrador de carga con información como el proveedor, el tipo, el número de serie, los servidores virtuales y los grupos.

Ver detalles de la máquina virtualEn la página Máquina virtual, puede obtener una descripción general detallada de las máquinas virtuales disponibles en vRealize Network Insight Cloud.

En la página de la máquina virtual, verá las siguientes secciones:

Sección Detalles

Descripción general Verá lo siguiente:

n Detalles de la máquina virtual

n Información de la topología

n Diversos parámetros de configuración

n Parámetros relacionados con la seguridad

n Ruta de máquina virtual a Internet

Vecinos Verá lo siguiente:

n Vista gráfica de las diversas propiedades de métricas en comparación con las máquinas virtuales vecinas

n Lista de máquinas virtuales pertenecientes al mismo host

Eventos Verá la lista de eventos relacionados con la máquina virtual seleccionada.


VMware, Inc. 127

Sección Detalles

Flujos Verá la lista de los flujos que se originan en la máquina virtual seleccionada, o los flujos que intentan alcanzar dicha máquina virtual, para los cuales la acción del firewall es Permitir/Denegar.

Métricas Verá lo siguiente:

n Información de métricas relacionada con la máquina virtual seleccionada

n Información sobre el uso de red de los puertos en la ruta de acceso a ToR

n Información sobre todas las propiedades de métricas

n Información de métricas de salida y de entrada

n Espacio de disco virtual

n Rendimiento del almacén de datos

Nota No puede ver las métricas del almacén de datos de una máquina virtual si esta se aloja en un almacén de datos de vSAN.

n Detalles de latencia de la infraestructura virtual

Nota Para ver la latencia de la infraestructura virtual, el puerto 1991 debe estar abierto en el recopilador a fin de recibir datos de latencia del host ESXi.

Ver detalles de NSX ManagerPuede utilizar la página NSX Manager para obtener una descripción general detallada de su instancia de NSX Manager disponible en vRealize Network Insight Cloud.

Cómo acceder a la página NSX ManagerPara acceder a esta página, busque NSX Manager where SDDC Type = 'VMC' y, en la lista de resultados de búsqueda, haga clic en la página NSX Manager que desea ver.

Descripción generalEn la página NSX Manager, verá la siguiente sección:


VMware, Inc. 128

Tabla 8-2.

Sección Detalles

Descripción general Allí, verá lo siguiente:

n Detalles de información general de las entidades de la directiva de NSX.

n Entidades modificadas en las últimas 24 horas.

n Flujos principales por regla.

n Lista de enrutadores.

Nota La cantidad de entidades que se muestran en el widget Descripción general de las entidades de la directiva de NSX y en el widget Entidades en las últimas 24 horas puede ser diferente. Si se eliminaron algunas de las entidades detectadas en las últimas 24 horas, la cantidad de entidades que se muestran en el widget Entidades en las últimas 24 horas puede ser mayor que la cantidad de entidades que se muestran en el widget Descripción general de las entidades de la directiva de NSX.

Principales comunicadores Allí, verá lo siguiente:

n Principales entidades de comunicación en el entorno.

Tráfico de red y eventos Allí, verá lo siguiente:

n Detalles de información general sobre el tráfico de red y las alertas.

n Lista de eventos.

Ver detalles del servidor virtualEn la página Servidor virtual, se muestran las métricas del servidor virtual, así como el problema y los eventos de cambio.

Verá lo siguiente:

n Lista de todos los miembros del grupo en el servidor virtual y sus detalles, junto con una alerta si existe un problema

n Lista de máquinas virtuales

n Lista de servidores físicos

n Lista de eventos problemáticos asociados con el servidor virtual

n Lista de métricas relacionadas con el servidor virtual, como:

n Conexiones (recuento, duración)

n Métricas de red (paquetes y bytes recibidos o enviados)

n Uso de CPU

Nota Para obtener la lista con las métricas de equilibrador de carga de NSX-V compatibles, consulte Métricas de NSX-V compatibles.


VMware, Inc. 129

n Flujos principales de los miembros del grupo utilizados por el servidor virtual

Nota No se captura información de flujo para el equilibrador de carga de NSX-V.

n Propiedades del servidor virtual en las que se brinda información sobre la dirección IP del equilibrador de carga, el tráfico de red y el puerto de servicio

Para ver la ruta de la topología asociada con el equilibrador de carga, puede utilizar la siguiente consulta: client VM name to Virtual server IP.. Si existen varios servidores virtuales en puertos de servicio diferentes, verá la lista en la sección Seleccione una máquina virtual de destino. Puede seleccionar un servidor de la lista y hacer clic en Mostrar ruta de acceso para ver la ruta de máquina virtual a servidor virtual.

Puede hacer clic en el servidor virtual en la topología de ruta de máquina virtual para ver un conjunto de máquinas virtuales en la ventana Servidor virtual. Haga clic en Ver ruta de acceso para ver la ruta del servidor virtual a la máquina virtual seleccionada.

Ver detalles de miembros del grupoEn la página Miembros del grupo, se proporciona información sobre los miembros del grupo, las métricas y los eventos asociados con cada miembro del grupo.

Allí, verá lo siguiente:

n Lista de máquinas virtuales y detalles adicionales sobre las máquinas virtuales

n Comparación de las métricas del miembro del grupo con las métricas de la máquina virtual (por ejemplo, el uso de CPU y memoria, y el tráfico de red).

n Lista de métricas relacionadas con el miembro del grupo, como:

n Conexiones (recuento, duración, antigüedad)


VMware, Inc. 130

n Métricas de red (paquetes y bytes recibidos o enviados)

n Uso de CPU

n Propiedades del miembro del grupo que proporcionan información sobre el equilibrador de carga, el nodo, el estado y el puerto de servicio

Ver detalles de Microsoft AzurePuede utilizar la página Microsoft Azure para obtener una descripción general rápida de los detalles del entorno de Azure en vRealize Network Insight Cloud.

Cómo obtener accesoPara acceder a esta página, busque Azure. Como alternativa, en la página de inicio, en la sección FUNCIONAMIENTO Y SOLUCIÓN DE PROBLEMAS, haga clic en el icono de Microsoft Azure.

Descripción generalEn esta página, verá:

n Lista de suscripciones.

n Lista de máquinas virtuales.

n Lista de interfaces de red, redes virtuales, subredes, tablas de rutas y rutas.

n Lista de grupos de seguridad de red, grupos de seguridad de aplicaciones y reglas de NSG.

También puede hacer clic en las entidades de esta página para ver información detallada sobre la entidad en particular.

Además de la página Microsoft Azure, puede ver información sobre las siguientes entidades de Azure:


VMware, Inc. 131

Tabla 8-3. Detalles de la entidad de Azure

Nombre de entidad Descripción

Grupo de seguridad de aplicaciones de Azure Allí, verá lo siguiente:

n Lista de propiedades, eventos, máquinas virtuales asociadas y máquinas virtuales asociadas en las últimas 24 horas.

n Lista de reglas de NSG entrantes y reglas de NSG salientes.

n Lista de flujos permitidos, flujos denegados y flujos en las últimas 24 horas.

Origen de datos de Azure Allí, verá lo siguiente:

n Lista de propiedades, eventos y métricas.

Reglas de NSG de Azure Allí, verá lo siguiente:


Interfaz de red de Azure Allí, verá lo siguiente:


Grupo de seguridad de red de Azure Allí, verá lo siguiente:

n Lista de propiedades, eventos, NIC y subred.

n Lista de reglas de salida y reglas de entrada.


Ruta de Azure Allí, verá lo siguiente:


Tabla de rutas de Azure Allí, verá lo siguiente:


Subred de Azure Allí, verá lo siguiente:

n Lista de propiedades, eventos, máquinas virtuales, NIC y rutas personalizadas.

n Lista de reglas de NSG.

Suscripción de Azure Allí, verá lo siguiente:

n Lista de propiedades y eventos.

n Lista de máquinas virtuales.

n Lista de NIC, redes virtuales y tabla de rutas.

n Lista de grupos de seguridad de red, grupos de seguridad de aplicaciones y reglas de NSG.


VMware, Inc. 132

Tabla 8-3. Detalles de la entidad de Azure (continuación)


Máquina virtual de Azure Allí, verá lo siguiente:

n Lista de propiedades, eventos, NIC y grupos de seguridad de aplicaciones asociados (ASG).

n Lista de reglas de NSG entrantes y reglas de NSG salientes.

n Lista de flujos permitidos y flujos denegados.

Red virtual de Azure Allí, verá lo siguiente:

n Lista de propiedades, eventos, máquinas virtuales, máquinas virtuales creadas en las últimas 24 horas, ASG asociados, ASG asociados en las últimas 24 horas, subredes y tablas de rutas.


Ver detalles de VeloCloud EnterprisePuede ver la página VeloCloud Enterprise para obtener una descripción general de la implementación de VMware SD-WAN en vRealize Network Insight Cloud.

Acceder a la página VeloCloud EnterprisePara acceder a esta página, busque VeloCloud Enterprise. Como alternativa, en la página de inicio, en la sección FUNCIONAMIENTO Y SOLUCIÓN DE PROBLEMAS, haga clic en el icono de VeloCloud Enterprise.

Descripción generalEn esta página, verá las siguientes secciones:


VMware, Inc. 133

Sección Detalles


n Un resumen de la implementación de VMware SD-WAN, incluido el gráfico de eventos, la cantidad de instancias de Edge, los concentradores, las puertas de enlace, los vínculos, los flujos entre instancias de Edge, el flujo de Internet y las aplicaciones. También puede ver el estado de estas entidades.

n Una vista de mapa de la implementación de VMware SD-WAN y una lista de aplicaciones en instancias de Edge.

Nota Para obtener la vista de mapa, debe agregar una clave de API de Google Maps a vRealize Network Insight Cloud. Para obtener más información, consulte Agregar clave de API de Google Maps. Si no agrega una clave de API de Google Maps, solo podrá ver la vista de lista de las instancias de Edge.

Evento Allí, verá lo siguiente:

n Una lista de diversos eventos.

Análisis Allí, verá lo siguiente:

n Diversas listas de distribución de tráfico, como la distribución de tráfico por aplicaciones, Edge, pares de instancias de Edge, rutas de flujo, tipos de tráfico, directivas de vínculos y tipos de ruta.

Disponibilidad Allí, verá lo siguiente:

n Una lista de instancias de Edge/concentradores disponibles y no disponibles.

Métricas Allí, verá lo siguiente:

n Distintas métricas basadas en el tráfico de Edge, el paquete de Edge, la QoE de Edge, el tráfico de aplicaciones, los paquetes de aplicaciones, el paquete de vínculos, la latencia de vínculos, el rendimiento de vínculos y la QoE de vínculos. Puede hacer clic en el icono de signo más (+) para obtener más detalles.


Además de la página VeloCloud Enterprise, puede ver información sobre las siguientes entidades de VMware SD-WAN:

Tabla 8-4. Detalles de la entidad de VMware SD-WAN


Clúster de VeloCloud Allí, verá lo siguiente:

n Una lista de propiedades.

Origen de datos de VeloCloud Allí, verá lo siguiente:

n Una lista de propiedades, problemas abiertos, cambios y problemas ocurridos en los últimos 7 días.


VMware, Inc. 134

Tabla 8-4. Detalles de la entidad de VMware SD-WAN (continuación)


VeloCloud Edge Allí, verá lo siguiente:

n Detalles sobre la instancia de Edge de VMware SD-WAN. Para obtener más detalles, consulte Ver detalles de VeloCloud Edge.

Puerta de enlace de VeloCloud Allí, verá lo siguiente:

n Una lista de propiedades e instancias de Edge.

Red de capa 2 de VeloCloud Allí, verá lo siguiente:

n Una lista de propiedades y eventos.

Vínculo de VeloCloud Allí, verá lo siguiente:

n Una lista de propiedades y eventos.

n Métricas sobre QoE, paquete, tiempo de actividad, latencia y rendimiento.

Perfil de VeloCloud Allí, verá lo siguiente:

n Una lista de propiedades e instancias de Edge.

Segmento de VeloCloud Allí, verá lo siguiente:

n Una lista de propiedades.

Ver detalles de VeloCloud EdgePuede utilizar la página VeloCloud Edge para ver una descripción general rápida de VMware SD-WAN Edge en vRealize Network Insight Cloud.

Cómo obtener accesoPara acceder a esta página, busque VeloCloud Edge y haga clic en cualquier resultado de la búsqueda.


Sección Detalles


n Resumen de la instancia de Edge de VMware SD-WAN, como el gráfico de eventos, los detalles del tiempo de actividad, el número de aplicaciones, los segmentos, los vínculos, las redes de capa 2, las interfaces LAN y las interfaces WAN.

n Topología de VMware SD-WAN Edge.

n Lista de QoE de Edge y QoE de vínculos

Evento Allí, verá lo siguiente:

n Lista de diferentes eventos.

Flujos Allí, verá lo siguiente:

n Lista de flujos.


VMware, Inc. 135

Sección Detalles


n Distintas listas de distribución de tráfico, como la distribución del tráfico por aplicación y prioridad, ruta de acceso de flujo, tipo de tráfico, directiva de vínculos y tipo de ruta.

Métricas Allí, verá lo siguiente:

n Distintas métricas basadas en el tráfico de Edge, el paquete de Edge, el tráfico de aplicaciones, los paquetes de aplicaciones, el paquete de vínculos, la latencia de vínculos y el rendimiento de vínculos. Puede hacer clic en el icono de signo más (+) para obtener más detalles.


Ver detalles de las aplicaciones SD-WAN y SD-WAN de EdgePuede utilizar las páginas Aplicación SD-WAN y Aplicación SD-WAN de Edge para ver una descripción general rápida de la aplicación SD-WAN y la aplicación SD-WAN de Edge en vRealize Network Insight Cloud.


Tabla 8-5. Aplicación SD-WAN

Sección Detalles


n Una lista de instancias de Edge, eventos, tráficos, paquetes y flujos.


n Una lista de tráficos por instancias de Edge y por clientes.


Además de la página Aplicación SD-WAN, puede ver la siguiente información sobre Aplicación SD-WAN de Edge:

n Una lista de propiedades, eventos y métricas.

Ver detalles de SDDC de VMCPuede usar la página SDDC de VMC para obtener una descripción general de las instancias de vCenter y NSX Manager en vRealize Network Insight Cloud.


VMware, Inc. 136

¿Cómo se accede a la página SDDC de VMC?Para acceder a esta página, busque SDDC de VMC y, en la lista de resultados de búsqueda, haga clic en la entidad SDDC de VMC que desea ver.

Descripción generalEn la página SDDC de VMC, se puede ver lo siguiente:

Sección Detalles

Descripción general Verá una descripción general de las entidades de la directiva de NSX, las entidades en las últimas 24 horas, los flujos principales por regla, la lista de enrutadores y los detalles de las propiedades.

Principales comunicadores Verá gráficos de las máquinas virtuales de comunicación principales.

Tráfico de red y eventos Verá una descripción general del tráfico de red y los eventos de la lista.

Ver detalles de flujosLa página Detalles de flujos proporciona información detallada de los centros de datos, los dispositivos y los flujos. Se trata de una página basada en contexto, ya que realiza un análisis según las entidades, los flujos y el rango de tiempo que se seleccionen.

Para acceder a la página Detalles de flujos, realice lo siguiente:

1 En el panel de navegación de la izquierda, haga clic en Análisis > Detalles de flujos.

2 Seleccione opciones de Ámbito y Duración.

3 Haga clic en Analizar.

Como alternativa, puede buscar Flujos y, en la página de resultados de la búsqueda, hacer clic en Detalles de flujos.

Las distintas secciones del panel de control Análisis de flujo son:

n Principales oradores

n Novedades

n Rendimiento de red

n Valores atípicos


VMware, Inc. 137

Principales oradoresEsta sección permite reconocer las entidades que más hablan en el entorno. Puede seleccionar diferentes tipos de entidades, como un par origen-destino, una máquina virtual, un clúster, una red de capa 2 y una subred. Este widget muestra los 10 primeros oradores en la categoría de entidad que se seleccione. Ayuda al cliente a planificar la optimización de la red. Las métricas representadas con barras en este widget son las siguientes:

n Por volumen de flujo: indica el volumen de tráfico.

n Por velocidad de tráfico: indica la tasa de tráfico.

n Por recuento de sesiones: indica el número de sesiones.

n Por recuento de flujos: indica el número de flujos.

Nota n Si una máquina virtual aparece en una o varias métricas, cuando se apunta a esa máquina virtual en

una barra, también se resalta en otras barras.

n Al hacer clic en una máquina virtual en la barra de métricas, se muestra la lista completa de flujos que llegan a esa máquina virtual.

n Al seleccionar una máquina virtual como entidad en la lista de principales oradores, se muestran todos los flujos relacionados con esa máquina virtual, independientemente de que sean origen o destino. Si se selecciona en la lista una máquina virtual de origen, solo se tienen en cuenta los flujos provenientes de esa máquina virtual.

n Si desea considerar los flujos físicos, puede seleccionar Dirección IP de origen o Dirección IP de destino.

n Después de seleccionar el par origen-destino y apuntar en la barra de métricas, si hace clic en el vínculo del cuadro de información sobre la herramienta, se mostrará el panel de control correspondiente. Por ejemplo, para una máquina virtual en el par origen-destino, se muestra el panel de control Ruta de máquina virtual a máquina virtual.

n Para una vista de grupo de flujos, una proyección de entidad de flujo o una consulta de grupo de flujos, no se puede ver el botón Análisis de flujo.


VMware, Inc. 138

NovedadesEsta sección permite realizar un seguimiento de los servicios y las entidades que se detectan en el centro de datos en el rango de tiempo seleccionado. Los widgets de esta sección son los siguientes:

n Nuevas máquinas virtuales que acceden a Internet: enumera las nuevas máquinas virtuales que acceden a Internet.

n Nuevos servicios de Internet a los que se accedió: muestra los nuevos servicios de Internet detectados en el entorno.

n Nuevos servicios internos a los que se accedió: muestra una lista de los nuevos servicios de intranet que se detectaron y a los que se accedió desde el endpoint de Internet.

n Nuevos servicios internos/E-W a los que se accedió: enumera los servicios expuestos a los que accedieron las máquinas dentro de un centro de datos.

n Nuevos servicios con flujos bloqueados: muestra los servicios que tienen flujos bloqueados. Esta sección solo se completa para IPFIX.

n Aciertos de nuevas reglas de firewall: muestra las nuevas reglas de firewall que entraron en vigencia. Esta sección solo se completa para IPFIX.

Rendimiento de redEn esta sección, puede buscar y visualizar los flujos anómalos de los distintos rangos de valores de tiempo de ida y vuelta (Round Trip Time, RTT) de TCP en función de los criterios seleccionados.

Nota vRealize Network Insight Cloud solo muestra las métricas promedio de RTT de TCP con una granularidad de 5 minutos de las últimas 24 horas.

Si el porcentaje de desviación de flujo es 100 % y la desviación absoluta es 20 milisegundos (ms), vRealize Network Insight Cloud considera que el flujo es anómalo.

En la visualización, el lado izquierdo muestra el rango diferente de RTT de TCP, mientras que el lado derecho muestra el rango de desviación normal y anómala. Según los valores de desviación porcentual y desviación absoluta, los flujos se conectan de izquierda (RTT de TCP) a derecha (DESVIACIÓN). Puede analizar los siguientes tipos de flujos:

n Entre hosts

n Dentro de hosts

n Internet

n Todos los flujos

También puede cambiar la desviación porcentual y la desviación absoluta en función de los requisitos.

En el siguiente ejemplo, se muestran dos rangos diferentes de RTT de TCP: uno es menor o igual a 30 ms y el otro es de entre 30 ms y 120 ms. Como se puede ver, un total de 151 flujos se encuentran dentro del rango de RTT de TCP que es menor o igual a 30 ms. De los 151 flujos, 9 flujos se muestran como anómalos.


VMware, Inc. 139

Para obtener más detalles sobre la distribución de RTT de TCP y los recuentos de flujos, haga clic en la línea de color de la visualización. En el siguiente ejemplo, se pueden ver los detalles de la distribución de RTT de TCP y los recuentos de flujos:

Valores atípicosEsta sección permite realizar un seguimiento y analizar datos relacionados. Se compone de las siguientes secciones:

n Flujos de elefante: esta sección permite identificar los flujos con una pequeña cantidad de sesiones y un rendimiento alto en comparación con los flujos de una gran cantidad de sesiones y un rendimiento bajo. Por lo general, los flujos con una gran cantidad de sesiones y un rendimiento bajo también se denominan flujos de ratón. El análisis se basa en la proporción de bytes con respecto a la cantidad de sesiones. Cada punto del gráfico representa varios flujos. Al apuntar a un punto, podrá ver la lista de flujos. Para ver los detalles de un flujo concreto, haga clic en ese flujo en la lista.

n Análisis personalizado: esta sección permite visualizar los datos de flujos en dos dimensiones de su elección. Esto ayuda a analizar los datos para encontrar los valores atípicos de diversas maneras.

Nota Las métricas representadas en esta sección son valores aproximados y no valores exactos.


VMware, Inc. 140

Ver detalles de la microsegmentaciónPara analizar los flujos, seleccione el ámbito y divida los flujos en segmentos en función de entidades como: VLAN/VXLAN, Grupos de seguridad, Aplicación, Nivel, Carpeta, Subred, Clúster, Máquina virtual (Virtual Machine, VM), Puerto, Etiqueta de seguridad, Grupo de seguridad y Conjunto de IP.

En la página Microsegmentación, se proporcionan detalles de análisis con el diagrama de topología. Esta página se compone de las siguientes secciones:

n Microsegmentos: este widget proporciona el diagrama de planificación de topología. Puede seleccionar el tipo de grupo y flujo. Según sus entradas, podrá ver el diagrama de planificación de topología correspondiente.

n Distribución de tráfico: este widget proporciona los detalles de la distribución del tráfico en bytes.

n Puertos principales por bytes: este widget muestra los principales 100 puertos que registran el tráfico más alto. Se proporcionan métricas para el recuento de flujos y el volumen de flujos. Para ver los flujos de un puerto determinado, haga clic en el recuento de flujos correspondiente a ese puerto.

Para acceder a la página Microsegmentación:

Procedimiento

1 En el panel de navegación de la izquierda de la página de inicio, haga clic en Seguridad > Planificar seguridad.

2 Seleccione el ámbito, el subámbito y la duración que desea planificar y analizar. Haga clic en Analizar.

Se mostrará la página Microsegmentación.

Nota La vista de anillo puede mostrar hasta 600 nodos y 6.000 instancias de Edge. Si se supera el límite, se mostrará el error Demasiados segmentos para analizar. Seleccione una entidad o un criterio de microsegmentación diferente.


VMware, Inc. 141

Ver detalles de la aplicaciónUna aplicación es una colección de niveles. Cada nivel de una aplicación es una colección de máquinas virtuales y direcciones IP físicas basadas en los criterios de filtro definidos por el usuario. Las aplicaciones permiten crear un grupo de niveles y visualizar el tráfico o los flujos entre los niveles de la misma aplicación y entre aplicaciones.

Es posible crear o agregar una aplicación en vRealize Network Insight Cloud de tres maneras:

n Crear manualmente una aplicación

n API pública

n Detección de aplicaciones

La página de la aplicación ofrece visibilidad total sobre una sola aplicación en vRealize Network Insight Cloud. Esto permite solucionar problemas y también ver los análisis.

n Una descripción general

n La topología de la aplicación

• Descripción general de los niveles

• Lista de máquinas virtuales en las aplicaciones

• IP físicas que la aplicación necesita o utiliza

• Servicios compartidos

• Aplicaciones con las que se comunica esta aplicación específica

n Eventos relacionados con las aplicaciones

n Administrador de máquinas virtuales de la aplicación

n Novedades de las últimas 24 horas

n Recuento de tráfico entrante y saliente

n Flujos descartados

n Miembros nuevos y sin protección

n Servicios de acceso externo

n Servicios de acceso por Internet

n Puertos de aplicación utilizados

n Flujos de tráfico o análisis de flujo

n Principales oradores

n Flujos de aplicación principales por regla


VMware, Inc. 142

https://code.vmware.com/apis/322#!/Applications/addApplication

n Microsegmentación

n Flujos contextuales entre entidades (esto proporciona datos de diferentes tipos de flujo, como todos los flujos permitidos, los flujos descartados, los flujos con y sin protección mediante DFW de NSX)

n Novedades en una aplicación

n Métricas

n Información de métricas de máquina virtual que representa la velocidad de red, la CPU, la memoria y la información de disco

n Métricas de Kubernetes

Análisis: detección de valores atípicos

vRealize Network Insight Cloud ofrece detección de valores atípicos en función de las métricas asociadas con los flujos definidos en las máquinas virtuales y las direcciones IP físicas. Estas máquinas virtuales/IP deben tener patrones de tráfico similares para que la clasificación de una máquina virtual o IP determinada como valor atípico sea de valor. Por ejemplo, las máquinas virtuales pertenecientes al mismo nivel de una aplicación generalmente cumplen la misma función para la aplicación, tales como las máquinas virtuales de una base de datos SQL que atienden solicitudes de una aplicación web. Para este tipo de máquinas virtuales, el número de solicitudes recibidas, la cantidad de tráfico que se envía, el recuento de sesiones y otros elementos atraviesan una serie de variaciones similares.

A través de la detección de valores atípicos, vRealize Network Insight Cloud permite detectar una máquina virtual específica con posibilidades de experimentar un patrón de tráfico muy diferente en comparación con otras máquinas virtuales/IP del grupo. Por ejemplo, si la máquina virtual envía o recibe un tráfico mucho más alto o más bajo en comparación con el resto del grupo. Esto puede deberse a un equilibrador de carga configurado de forma incorrecta, a un ataque de DDOS, etc. vRealize Network Insight Cloud clasifica dichas máquinas virtuales/IP como valores atípicos. Al consultar estos valores atípicos, el usuario puede conocer fácilmente este comportamiento inesperado y ejecutar las acciones adecuadas.

Cómo detectar máquinas virtuales con valores atípicos

Procedimiento

1 En la barra lateral, haga clic en Análisis. Haga clic en Valores atípicos.

2 Haga clic en Agregar para agregar una configuración.


VMware, Inc. 143

3 En la página Análisis/Configurar, proporcione los siguientes detalles para la configuración:

Tabla 8-6.

Campo Descripción

Nombre Nombre de la configuración.

Ámbito Nombre del grupo que define las máquinas virtuales y las IP para las que se debe realizar el análisis. Puede seleccionar Nivel de aplicación o Grupo de seguridad como ámbito.

Si selecciona Nivel de aplicación, proporcione el nombre de la aplicación y el nivel por separado. La cantidad de máquinas virtuales y de IP físicas definidas para el nivel se muestra junto al nombre del nivel.

Si selecciona Grupo de seguridad, proporcione el nombre del grupo de seguridad.

Nota El límite actual para la cantidad de máquinas virtuales y de IP físicas en un nivel es 200. Seleccione un nivel o un grupo de seguridad con una cantidad de máquinas virtuales y de IP físicas inferior a este límite. El ámbito también debe contener un mínimo de 3 máquinas virtuales/IP físicas.

Para ver la microsegmentación de la configuración seleccionada, haga clic en Ver microsegmentos.

Tipo de detección Actualmente, vRealize Network Insight Cloud permite detectar los valores atípicos en el sistema.

Métrica La detección se basa en esta métrica de flujo. Puede seleccionar las siguientes opciones:

n Bytesn Paquetesn Sesionesn Velocidad de tráfico

Dirección de tráfico Puede seleccionar Saliente, Entrante o Ambas como la dirección de tráfico. Si selecciona Ambas, puede especificar Entrante o Saliente en la vista previa de la configuración.

Tipo de tráfico Puede seleccionar Internet, De este a oeste o Todo según el requisito.

Puertos de destino Puede seleccionar todos los puertos detectados en los flujos encontrados en el ámbito seleccionado o introducir manualmente los puertos de destino que desee. Si selecciona Todos los puertos, se muestra la cantidad de puertos de destino. Si selecciona Introducir manualmente los puertos, introduzca los puertos en el cuadro de texto con autocompletar; el análisis se limitará solo a estos puertos.

Nota El límite actual de la cantidad de puertos es 20.


VMware, Inc. 144


Campo Descripción

Sensibilidad Es una medida de la sensibilidad de la detección y la generación de informes que se necesita. El valor predeterminado es Media.

Vista previa Esta sección proporciona una vista previa de la configuración específica en función de las entradas y los parámetros proporcionados. Especifique los puertos y la dirección de tráfico si seleccionó Ambos para la dirección de tráfico anteriormente. Podrá identificar la máquina virtual con valores atípicos en el gráfico.

Nota n Los valores atípicos se detectan mediante la evaluación de los datos disponibles en las últimas

24 horas.

n Se necesita un flujo continuo de datos de IPFIX para detectar los valores atípicos.

4 Haga clic en Enviar para crear la configuración de análisis.

5 Una vez creada, la aplicación estará disponible en la vista de lista de las aplicaciones en la página Configuraciones de análisis. Haga clic en esa aplicación específica para ver el panel de control asociado a ella.

Análisis: umbrales estáticos y dinámicos

vRealize Network Insight Cloud permite establecer y configurar umbrales, así como recibir alertas en función de las aberraciones en el comportamiento de las entidades. Puede configurar dos tipos de umbrales:

n Umbral estático: si el valor de una métrica determinada es superior o inferior al valor configurado, se genera una alerta basada en umbral estático.

n Umbral dinámico: si el sistema determina el umbral en función de un análisis de los datos históricos, se genera una alerta cuando se infringe este umbral. Se analizan los datos por un período de 7 días antes de que se genere una alerta. Se restringe el proceso de creación de una línea base a 21 días de datos históricos y no se toman en cuenta los valores de métrica anteriores para crear una línea base para los nuevos valores de métrica.

La alerta se genera inmediatamente después de que se infringe un umbral. Los usuarios con licencia Enterprise pueden ver la cantidad de infracciones de umbral en la sección ¿Qué ocurre? de la página de inicio. Para ver los detalles del evento, haga clic en el número de infracciones de umbral. Si no existen configuraciones de umbral en el sistema, la sección ¿Qué ocurre? muestra el vínculo +Configurar. Puede hacer clic en el vínculo +Configurar para configurar el umbral.

Configurar umbrales y alertasPuede agregar una configuración de umbral y obtener alertas para el umbral configurado.


VMware, Inc. 145

Para configurar las alertas y los umbrales asociados con el análisis:

Procedimiento

1 En la página de inicio, en el panel de navegación de la izquierda, haga clic en Análisis > Umbrales > Agregar.

2 En la página Umbral: agregar configuración, en el cuadro de texto Nombre, introduzca un nombre único para la configuración.

3 En el menú desplegable Ámbito, seleccione un ámbito y, en el cuadro de texto Seleccionar criterios, introduzca un criterio.

El menú desplegable Ámbito se compone de las entidades Máquinas virtuales, Flujos y Aplicación. El ámbito se basa en el sistema de consulta de búsqueda. Puede crear una consulta a partir de las sugerencias disponibles en función de sus requisitos.

4 En la sección Condición, establezca una condición para crear una alerta.

Según la condición que se establezca, el sistema decide si se infringe el umbral.


VMware, Inc. 146

5 La métrica predeterminada es network traffic rate. Seleccione la agrupación de la entidad y el valor para el que está comprobando el umbral. Puede establecer un umbral en una métrica acumulativa si agrega los datos por medio de un grupo de entidades.

a Para configurar el umbral estático, seleccione una de las siguientes condiciones de umbral de la lista:

n supera el umbral

n se descarta por debajo

n está fuera del rango

Al introducir Upper Bound o Lower Bound (si hay un rango) para network traffic rate o total traffic o cualquier otra métrica, asegúrese de introducir el valor en las métricas especificadas para ese cuadro de texto en concreto. Los siguientes valores de conversión se proporcionan a modo de referencia:

n 1 Kbps= 1000 bps

n 1 Mbps= 1000 kbps

n 1 Gbps = 1000 mbps

n 1 KB=1024 B

n 1 MB=1024 KB

n 1 GB = 1024 MB

b Para configurar el umbral dinámico, seleccione se desvía del comportamiento anterior. Seleccione la sensibilidad en función de los requisitos de informes.

Al establecer el umbral, puede ver el gráfico asociado en la parte superior de la página. La barra rosa indica las máquinas virtuales o los flujos que infringen el umbral. Puede ver la lista de las entidades que infringieron los umbrales y las entidades que se encuentran dentro de los umbrales del sistema.

6 Configure las notificaciones o las alertas mediante las siguientes propiedades:

n Gravedad

n Frecuencia de correo electrónico

n Enviar correos electrónicos de notificación a:

Nota Seleccione Enviar captura SNMP si configuró capturas SNMP en el sistema.


VMware, Inc. 147

7 Haga clic en Enviar para crear la configuración de umbral.

Ver la página de configuración de un umbral

Una vez que agregó una configuración de umbral, puede ver sus detalles en la página Configuración de umbral.

Procedimiento

1 En el panel de navegación de la izquierda, haga clic en Análisis. Haga clic en Umbrales.

2 Se proporcionan los siguientes detalles para una configuración de umbral:

n Name

n Events

n Scope

Si la configuración está deshabilitada, no se genera la alerta por la infracción de ese umbral en particular. También puede buscar cualquier configuración de umbral específica en esta página.

3 Haga clic en la configuración de umbral deseada de la lista para ver el panel de control de esa configuración en particular.

Puede ver los siguientes widgets en el panel de control:

n Gráfico: el gráfico de umbral ayuda a detectar las entidades que infringieron los umbrales.


VMware, Inc. 148

n Eventos: este widget proporciona la lista de eventos que se generaron para los umbrales infringidos durante los últimos tres días.

n Entidades principales por infracción: este widget permite conocer las entidades principales que provocaron aberraciones en los últimos tres días.


VMware, Inc. 149

Visualización de la topología de una entidad 9La topología proporciona una vista gráfica integral de la entidad.


n Topología de máquina virtual

n Topología de hosts

n Topología de VXLAN

n Topología de VLAN

n Topología de NSX Manager

Topología de máquina virtualLa topología de máquina virtual proporciona una vista integral de una máquina virtual en particular en relación con el resto del centro de datos.

Topología de hostsLa topología de host muestra cómo se conectan las máquinas virtuales de un host determinado a los componentes virtuales y físicos del centro de datos y también cómo el host se conecta al centro de datos.

VMware, Inc. 150

Topología de VXLANLa tecnología de redes de superposición de red de área local virtual extensible (Virtual eXtensible Local Area Network, VXLAN) es un estándar de la industria desarrollado por VMware conjuntamente con los principales proveedores de redes.

La topología de VXLAN es una visualización innovadora que ofrece una descripción general de la VXLAN seleccionada. El siguiente diagrama muestra con claridad los distintos componentes que constituyen la visualización:


VMware, Inc. 151

Nota Tanto los componentes virtuales como los físicos se pueden visualizar de esta manera.

Topología de VLANLas LAN virtuales (Virtual LAN, VLAN) permiten la división adicional de un segmento de LAN física para que los grupos de puertos queden aislados entre sí como si estuvieran en segmentos físicamente diferentes.

La topología de VLAN se construye de manera similar a la topología de VXLAN.

Topología de NSX ManagerLa topología de NSX Manager muestra los componentes que están asociados con NSX Manager.


VMware, Inc. 152

Recopilación de datos de Edge

Siempre que agregue un origen de datos de NSX, puede habilitar la recopilación automática de datos de Edge. En las versiones anteriores, la recopilación de datos de Edge se realizaba mediante la CLI de NSX central o la sesión SSH de Edge. A partir de la versión actual en adelante, la recopilación de datos de Edge se realiza mediante la CLI de NSX central. Por lo tanto, no se crean proveedores de datos de Edge en NSX Manager.

Nota Validación de privilegios de usuario de NSX

Cuando se agrega el origen de datos de NSX y se habilita el relleno de Edge, se validan los privilegios de usuario de NSX.

Supongamos que un usuario tiene privilegios de administrador empresarial en NSX 6.3 y está trabajando en la versión actual de vRealize Network Insight Cloud, y se muestra un error de Insufficient Privileges en la página Cuentas y orígenes de datos de VMware NSX Manager. El error se muestra porque el usuario tiene que ser un superusuario para ejecutar los comandos de la CLI de NSX central en NSX 6.3.


VMware, Inc. 153

Tabla 9-1.

Versión de NSX Usuario

NSX 6.4 y versiones posteriores n Para agregar NSX Manager como origen de datos, debe ser un superusuario, un administrador empresarial, un auditor o un administrador de seguridad de NSX.

n Un administrador empresarial, un superusuario, un administrador de seguridad de NSX o un auditor pueden ejecutar los comandos de la CLI de NSX central requeridos por vRealize Network Insight Cloud.

Nota Un administrador de red de NSX no puede agregar NSX Manager como origen de datos.

NSX 6.2 y las versiones posteriores anteriores a NSX 6.4 n El usuario debe ser un administrador para habilitar el relleno de datos de Edge.

n Un auditor, un superusuario o un administrador de seguridad de NSX pueden ejecutar los comandos de la CLI de NSX central requeridos por vRealize Network Insight Cloud.

n Las credenciales de usuario que se deben proporcionar al agregar NSX Manager como origen de datos deben ser de administrador empresarial o superusuario.

Ver información de auditoría de los objetos de NSX en vRealize Network Insight CloudvRealize Network Insight Cloud puede capturar rápidamente información de auditoría de los objetos de NSX desde NSX-T Manager y NSX-V Manager. La información incluye el nombre del usuario que creó o modificó el objeto de NSX, el momento en que se realizó la operación y los detalles de la operación en el objeto.

Si se habilitaron los registros de auditoría en NSX-T Manager o en NSX-V Manager, vRealize Network Insight Cloud puede recopilar detalles de auditoría de algunos de los objetos de NSX-T y NSX-V.

NSX-VLista de objetos de NSX-V para los que vRealize Network Insight Cloud recopila detalles de auditoría dentro de tres a cinco minutos.

n SecurityGroup

n SecurityGroupTranslation

n FirewallConfiguration

n FirewallStatus

n IPSet

n SecurityTag

n UniversalSecurityGroup


VMware, Inc. 154

n UniversalSecurityGroupTranslation

n UniversalIPSet

Se capturan detalles de auditoría de los objetos de NSX-V para eventos de detección, cambio de propiedad y eliminación:

n Discovery

n Properties Change

n Delete

También puede ver la información de auditoría en la escala de tiempo del objeto.


VMware, Inc. 155

NSX-TLista de objetos de NSX-T para los que vRealize Network Insight Cloud recopila detalles de auditoría.

Nota La información de auditoría no está disponible para las entidades de directivas de VMC.

n NSGroup

n NSService

n NSServiceGroup

n NSFirewallRule

Nota La información de auditoría no está disponible para el evento de eliminación de NSFirewallRule.

n Conjunto de IP

n Grupo de directivas de NSX

n Regla de firewall de la directiva de NSX

Se capturan detalles de auditoría de los objetos de NSX-T para eventos de detección, cambio de propiedad y eliminación:

n Discovery


VMware, Inc. 156

n Properties Change

n Delete

Nota Los eventos de eliminación no están disponibles en el panel de control de las entidades. Sin embargo, puede buscar el evento para ver la información de auditoría.

Consultas de ejemplo para ver información de auditorían events where user = nombre de usuario

n discovery events where user = nombre de usuario

n delete events where user = nombre de usuario

n change events where user = nombre de usuario


VMware, Inc. 157

Trabajo con pines 10Todas las partes de la aplicación se conocen como pines. Son las unidades fundamentales que se pueden guardar y agrupar para asociar datos que se cree pueden resultar útiles y compartirlos con otros miembros del equipo. Es posible fijar una consulta de búsqueda y también los pines disponibles para una entidad.

Para agregar un pin, haga clic en el icono de pin. Todos los pines guardados se muestran en la sección Paneles de pines, que se puede invocar si se hace clic en el icono de panel de pines del encabezado.


n Pines

n Paneles de pines

PinesLa información de cada página de entidades se separa en pines. Todas las páginas de entidades se componen de pines, y cada pin contiene un determinado fragmento de información relacionada con la entidad.

Los pines tienen las siguientes características:

n Es posible maximizar la vista de cualquier pin con el botón Más opciones ( ) y también ver más información sobre el pin mediante la opción Ayuda.

n Los pines también pueden contener filtros para ver datos más detallados.

n Muchos pines también incluyen la opción Exportar como CSV para exportar los datos del pin en formato CSV. Puede seleccionar las propiedades específicas y el número de filas CSV que desea exportar en el cuadro de diálogo que se muestra.

Nota La función Exportar a CSV para los datos de flujo demora más de 30 minutos para 180.000 flujos cuando se seleccionan todos los campos.

Tipos de pines

La mayoría de los pines disponibles en el software se pueden ordenar en las siguientes categorías:

VMware, Inc. 158

Pines de métricasLos pines de métricas muestran métricas importantes relativas a la entidad seleccionada.

El pin de métricas utiliza un gráfico de cubismo para mostrar los datos, divide cada gráfico en dos bandas y transpone los valores más altos uno sobre otro. Por lo tanto, los valores más altos se muestran con un color más oscuro y son más fáciles de distinguir.

Puede seleccionar la métrica específica que desea ver en el menú desplegable del encabezado del pin y cambiar la selección de entidades que desea mostrar.

Puede modificar el rango de tiempo mediante el uso de los ajustes preestablecidos de intervalo o la introducción de una fecha y una hora personalizadas.

Un ejemplo de pin de métricas es el pin Métricas de máquina virtual. Este pin muestra la velocidad de tráfico de red, la velocidad de transmisión de red, la velocidad de recepción de red y las caídas de paquetes de la máquina virtual.

Pines Vista de lista de entidadesLos pines Vista de lista de entidades muestran una lista de entidades agrupadas por un tema común. La lista muestra atributos importantes por entidad.

Para ver más atributos de una entidad determinada, haga clic en el icono Aumentar situado en el extremo derecho. Al hacer clic en el nombre de la entidad, será dirigido a la página de la entidad.

Al igual que otros pines, el icono de filtro aloja varias facetas con las que se puede filtrar la lista. Un ejemplo de pin Vista de lista de entradas es el pin Vecinos de máquina virtual. De forma predeterminada, este pin muestra las máquinas virtuales presentes en el mismo host. También puede filtrar las máquinas virtuales por grupos de seguridad, VXLAN y almacenes de datos.


VMware, Inc. 159

Pines de la vista de lista de eventosLos pines de la vista de lista de eventos proporcionan una lista de eventos en orden cronológico de una entidad o un grupo de entidades en particular (que se pueden seleccionar en la lista desplegable del encabezado del pin).

Si desea definir a partir de cuánto tiempo hacia atrás (desde ahora) el pin debe mostrar eventos, puede utilizar los ajustes preestablecidos disponibles o introducir una fecha y una hora personalizadas. Para seleccionar otras opciones de filtro, como Estado del evento y Tipo de evento, haga clic en el icono de filtro.

En la imagen que aparece a continuación, se muestran los eventos relacionados con la máquina virtual Prod-db-vm21 y sus entidades relacionadas. Puede hacer clic en el nombre de la entidad para ver los eventos de otras entidades relacionadas. Si utiliza el filtro, puede filtrar los eventos en función de su estado y sus tipos. Un evento puede ser un cambio o un problema relacionado con una entidad.

Puede buscar los eventos mediante la consulta de búsqueda de eventos. Puede buscar eventos abiertos o cerrados con consultas, como eventos abiertos o eventos cerrados. También puede buscar problemas con los mismos modificadores.

Paneles de pinesPuede anclar cualquier widget desde cualquier página en un panel de pines para simplificar el acceso a los datos y su uso compartido.


VMware, Inc. 160

Para crear un panel de pines

1 Haga clic en el icono de pin en el widget que desea anclar.

2 Haga clic en Crear nuevo panel de pines en la ventana emergente.

Nota n Si aún no creó ningún panel de pines, puede seleccionar Panel de pines predeterminado en la

lista Modificados recientemente.

Nota El panel de pines predeterminado tiene la apariencia de un panel de pines típico para el usuario nuevo. Ayuda al usuario a familiarizarse con el diseño y las funciones de un panel de pines. No se puede compartir ni eliminar. Puede copiar los pines del panel predeterminado en cualquier panel de pines personalizado.

n El número máximo de entradas que puede ver en la lista Modificados recientemente es 15.

n La cantidad máxima de paneles de pines que puede crear en todos los usuarios es 500.

Nota El número total de paneles de pines incluye los paneles de pines personalizados, compartidos y predeterminados.

n La cantidad máxima de pines por panel es 20.


VMware, Inc. 161

3 En la ventana Crear panel de pines, escriba el nombre y la descripción del panel de pines nuevo. Haga clic en Crear y anclar.

Nota n El nombre del panel de pines debe ser único en todo el sistema.

n La cantidad máxima de caracteres permitida para el nombre del panel de pines es 100. El nombre del panel de pines solo puede tener letras, números y espacios.

4 Aparecerá el mensaje Panel de pines creado. Haga clic en Compartir ahora para compartir el panel de pines inmediatamente.

5 Para anclar el widget a un panel de pines existente, seleccione el panel de pines en Modificados recientemente y haga clic en Anclar. Se muestra el mensaje Se agregó su pin con el vínculo al panel de pines correspondiente.

Para acceder a las opciones del panel de pines

Haga clic en Más opciones en la esquina superior derecha de un panel de pines para acceder a Opciones del panel de pines.

Nota Puede ver todas las opciones del panel de pines solo si creó el panel de pines o si compartió con otro usuario los permisos Ver y editar. Cualquier otro usuario solo puede ver las opciones Exportar a PDF y Cambiar a hora de pin original.

Puede realizar las siguientes acciones en el panel de pines:

n Compartir el panel de pines con cualquier otro usuario existente de vRealize Network Insight Cloud.

n Editar el nombre del panel de pines y el pin en el panel de pines.

n Reorganizar los pines en un panel de pines. Sus posiciones son persistentes.

n Haga clic en Eliminar para eliminar ese panel de pines en particular.

n Haga clic en Exportar a PDF para exportar la información del panel de pines como un informe PDF. Para obtener más información, consulte Exportar como archivo PDF.


VMware, Inc. 162

n Para ver los datos del pin en el momento en que se ancló, haga clic en Cambiar a hora de pin original. Esta función permite ver los datos de cada pin en el momento en que se creó.

Para trabajar con el control deslizante de escala de tiempo en un panel de pinesvRealize Network Insight Cloud es compatible con un control deslizante de escala de tiempo en los paneles de pines. Si desea ver los datos del panel de pines para cualquier hora que elija, puede utilizar el control deslizante de escala de tiempo. Cuando se carga un panel de pines, se cargan todos los pines de la hora actual (Ahora).

Para ver la biblioteca de paneles de pinesSi es un usuario administrador, puede ver la pestaña Mis paneles de pines y Todos los paneles de pines en la biblioteca de paneles de pines como se muestra en la siguiente imagen. Si es un usuario miembro, puede ver una lista de los paneles de pines en la biblioteca de paneles de pines.

1 En la barra de navegación de la izquierda de la página de inicio, haga clic en Paneles de pines.

2 Haga clic en Todos los paneles de pines para ver todos los paneles de pines del sistema.

3 Puede ver la lista de los paneles de pines existentes en la barra de navegación. La lista tiene los mismos elementos que la pestaña Mis paneles de pines en la biblioteca de paneles de pines. Al principio de la lista, se muestra el último panel de pines modificado. Haga clic en el panel de pines que desea ver.

Nota Una vez creado, el panel de pines puede tardar un poco en aparecer en la lista.


VMware, Inc. 163

4 También puede buscar un panel de pines en la biblioteca.

Para copiar un pin1 Haga clic en el icono de pin en el widget.

2 Seleccione el panel de pines donde desea copiar el pin.

3 Haga clic en Agregar.

Compartir y colaborar en paneles de pines

Puede compartir los paneles de pines que creó con otros usuarios. Un usuario administrador puede ver y eliminar cualquier panel de pines. Las siguientes son funciones de uso compartido y colaboración de paneles de pines:

Si creó un panel de pines, puede ver, editar o eliminar ese panel independientemente de que sea un usuario administrador o un usuario miembro.


VMware, Inc. 164

Tabla 10-1.

Propietario de panel de pines Compartido con Privilegio Acción posible

Administrador Administrador Ver y editar Ver, editar y eliminar

Administrador Solo ver Ver y eliminar

Miembro Ver y editar Ver y editar

Miembro Solo ver Ver

Miembro Administrador Ver y editar Ver, editar y eliminar

Administrador Solo ver Ver y eliminar

Miembro Ver y editar Ver y editar

Miembro Solo ver Ver

Nota Si se debe eliminar un panel de pines y el usuario que lo creó no está disponible, el usuario administrador puede eliminarlo.

Para compartir un panel de pines:

Procedimiento

1 Haga clic en Más opciones en el panel de pines que desea compartir.

2 Haga clic en Compartir.

3 También puede compartir un panel de pines desde Biblioteca de paneles de pines haciendo clic en el icono Compartir en Acciones.


VMware, Inc. 165

4 El uso compartido de vínculos está habilitado de forma predeterminada. Puede compartir el vínculo de un panel de pines con cualquier usuario que haya iniciado sesión.

5 Puede agregar los usuarios con los que desea compartir el panel de pines. Puede especificar los privilegios, como view y view and edit, para un usuario en particular.

Nota El usuario que solo tiene el privilegio Ver no puede compartir el panel de pines con ningún otro usuario.

6 Haga clic en Guardar para guardar los cambios de recursos compartidos y de colaboración que haya realizado.

7 Puede ver la información de uso compartido y de colaboración de cualquier panel de pines a través de cualquiera de las siguientes opciones.

n En Biblioteca de paneles de pines, puede ver la información de uso compartido en la columna Uso compartido para un panel de pines específico.

n Haga clic en el icono de pin en el widget. Apunte a cualquiera de los paneles de pines que figuran en Modificados recientemente para ver los detalles relacionados con el propietario y con quién se compartió.

Para establecer un panel de pines como página de inicio

Puede establecer un panel de pines de su elección como la página de inicio predeterminada.

Procedimiento

1 Desplácese hasta el panel de pines que desee establecer como la página de inicio.

2 Haga clic en Opciones de panel de pines. Haga clic en Establecer como página de inicio.

Este panel de pines en particular se establecerá como la página de inicio.

Nota Una vez hecho esto, la opción Establecer como página de inicio queda deshabilitada en ese panel de pines.

3 También puede establecer un panel de pines específico como la página de inicio predeterminada desde la página Mis preferencias en Configuración.


VMware, Inc. 166

4 Si desea ver la página de inicio anterior, haga clic en Inicio de Network Insight en Paneles de pines en el panel de navegación de la izquierda. Se muestra el mensaje ¿Desea establecer Inicio de Network Insight comopágina de inicio? Si desea volver a usar la página de inicio predeterminada, haga clic en Establecer página de inicio. Haga clic en Descartar para cerrar el mensaje.

Nota n Si elimina un panel de pines que estableció como página de inicio, se restablecerá la página de

inicio predeterminada a Inicio de Network Insight. Si es el propietario del panel de pines que va a eliminar, aparecerá un mensaje para confirmar la eliminación.

n Si otro usuario estableció el panel de pines que usted creó como página de inicio, al eliminarlo, la página de inicio se revierte a Inicio de Network Insight automáticamente para ese usuario.

Resultados

Para duplicar un panel de pines

Procedimiento

1 Haga clic en el icono de duplicación en Acciones para el panel de pines en particular en la lista de la biblioteca de paneles de pines.

2 Aparece una ventana emergente donde tiene que introducir el nombre del panel de pines. La descripción es la misma que la del panel de pines original. Haga clic en Duplicar.

Nota El nombre del panel de pines es obligatorio. El botón Duplicar no se habilita hasta que introduce el nombre.

3 Si está intentando duplicar un panel de pines compartido, puede optar por conservar los permisos y los usuarios del panel de pines de origen. Seleccione Conservar permisos y usuarios del panel de pines de origen si desea mantenerlos.

Nota Si el panel de pines que desea duplicar está compartido con usted mediante acceso de solo lectura, no verá la opción Conservar permisos y usuarios del panel de pines de origen.

El usuario que duplica un panel de pines se convierte en el propietario del nuevo panel de pines.


VMware, Inc. 167

F5 como equilibrador de carga 11Para admitir y habilitar la función de equilibrio de carga de F5, se agregó vRealize Network Insight Cloud con los componentes o las entidades requeridos.

Descripción general de un equilibrador de carga de F5 y sus componentes

n Servidores de aplicaciones: las máquinas en las que se alojan las aplicaciones. Por ejemplo, si existe un servidor web, este se ejecuta en servidores de aplicaciones (servidores físicos o virtuales).

n Nodos de servicio: F5 representa los servidores de aplicaciones como nodos de servicio. Por lo tanto, el nodo de servicio tiene la misma dirección IP o el mismo FQDN que el servidor de aplicaciones. Cada nodo de servicio puede tener varias aplicaciones.

n Miembros de grupo: una entidad lógica. Cada aplicación de un nodo de servicio se representa con un miembro de grupo, el cual tiene la misma dirección IP o el mismo FQDN que el nodo de servicio. Para identificar diferentes aplicaciones, los miembros de grupo incrustan el número de puerto con la dirección IP de los nodos de servicio.

n Grupos: todos los miembros de grupo que atienden una aplicación se juntan en un grupo.

VMware, Inc. 168

n Servidores virtuales: una dirección IP de orientación pública de la aplicación. Por lo tanto, los clientes que desean utilizar una aplicación se conectan a la dirección IP del servidor virtual (por ejemplo, 10.100.100.10) y al número de puerto (80 o 21).

n Terminal cliente: la conexión se inicia desde un terminal cliente, que es una máquina virtual.

La solicitud de cliente se conecta con el servidor virtual, que decide los miembros de grupo en función del grupo. A continuación, los miembros de grupo reenvían la solicitud al servidor de aplicaciones (máquina virtual o servidor físico).

Nota Un único servidor de aplicaciones puede atender varias solicitudes de diferentes puertos y nodos de servicio.

vRealize Network Insight Cloud ofrece ventajas adicionales mediante la compatibilidad con la función de equilibrio de carga:

n Permite identificar si los servidores de aplicaciones son servidores físicos o máquinas virtuales.

n Permite depurar o solucionar problemas fácilmente al proporcionar visibilidad sobre la información del servidor de aplicaciones (host o máquina virtual), como la configuración, el rendimiento y los flujos.

n Proporciona visibilidad sobre los componentes de redes virtuales o físicas en una aplicación donde se distribuye la carga.

n Genera alertas para todos los problemas en el entorno y ayuda a detectar la causa de los problemas. Por ejemplo, la aplicación no responde debido a que la máquina virtual del nodo de servicio está inactiva.

n Proporciona una visibilidad de flujo de extremo a extremo.


n NSX-V como equilibrador de carga

NSX-V como equilibrador de cargaA partir de la versión 4.2, vRealize Network Insight Cloud admite y habilita la función de equilibrio de carga de NSX-V.

Esta es la lista de métricas compatibles actualmente:

n Servidor virtual

n Total de bytes de entrada

n Total de bytes de salida

n Sesiones actuales

n Total de sesiones


VMware, Inc. 169

n Grupo

n Total de bytes de entrada

n Total de bytes de salida

n Conexiones actuales

n Conexiones máximas

n Total de conexiones

Actualmente, en vRealize Network Insight Cloud solo las máquinas virtuales se admiten como miembros del grupo.


VMware, Inc. 170

Trabajo con redes y seguridad 12Este capítulo incluye los siguientes temas:

n Visibilidad de red

n Seguridad

Visibilidad de red

Topología de rutaLa topología de ruta dibuja una conexión detallada que existe entre dos máquinas virtuales del entorno.

La topología incluye componentes de capa 3 y capa 2. Esta topología se puede ver con la consulta de búsqueda vm_name_1 en vm_name_2. Si existe una ruta, la visualización de la ruta de máquina virtual a máquina virtual procede a rellenar todos los componentes presentes entre vm_name_1 y vm_name_2, y también dibuja una ruta animada. Si los enrutadores son físicos, se muestran fuera del límite.

En la topología de ruta, puede ver la ruta de máquina virtual a máquina virtual entre el origen y el destino. Si no se configura la ruta predeterminada entre las máquinas virtuales, aparece un mensaje de error para informar que no se definió la ruta o no se encuentra la interfaz de enrutador.

En el caso de Kubernetes, la topología de ruta muestra la ruta para los siguientes escenarios:

n De servicio de Kubernetes a servicio de Kubernetes

n De servicio de Kubernetes a pod de Kubernetes

VMware, Inc. 171

n De pod de Kubernetes a pod de Kubernetes

Nota No se admite la ruta que involucra dispositivos físicos.

La opción Ruta a través de equilibrador de carga enumera todos los equilibradores de carga que se utilizan entre la ruta de la máquina virtual de origen y la máquina virtual de destino seleccionadas. Para ver la ruta entre las máquinas virtuales a través de un equilibrador de carga específico, seleccione en la lista el nombre del equilibrador de carga. Si pasa el cursor sobre el componente de equilibrador de carga en la topología de ruta, verá los siguientes detalles:

n Nombre del servidor virtual

n Dirección IP del equilibrador de carga

n Número de puerto

n Algoritmo del equilibrador de carga

n La puerta de enlace predeterminada que se tomó del equilibrador de carga.

También puede ver los componentes de enrutamiento en la topología de ruta.

Si pasa el cursor sobre cualquiera de los enrutadores, las instancias de Edge o los LDR involucrados en la ruta, se muestra la información completa de enrutamiento o de NAT.

En la sección subyacente de máquina virtual que se encuentra en el lado derecho de la topología de ruta de acceso de máquina virtual, se muestra la información subyacente de las máquinas virtuales involucradas y su conectividad con la parte superior de los conmutadores de rack y los puertos involucrados. Para las entidades de Kubernetes, la sección Máquina virtual subyacente muestra información del nodo de la máquina virtual o de Kubernetes donde reside el pod.

En la sección subyacente de máquina virtual, los componentes se etiquetan si selecciona Mostrar etiquetas en Detalles de ruta de acceso. En esta sección, la lista desplegable en la parte superior muestra las máquinas virtuales de endpoint y las máquinas virtuales activas en las instancias de Edge. Para cada máquina virtual de Edge, la lista desplegable colindante muestra las direcciones IP de la interfaz de entrada y de salida. Según la selección, se muestra la ruta subyacente para esa interfaz en particular.

También puede invertir la dirección de la ruta de acceso mediante las flechas que aparecen en la parte superior del mapa de topología.

El mapa de topología ofrece más visibilidad con respecto a los puertos implicados en la ruta de máquina virtual a máquina virtual. En la sección Detalles de ruta de acceso, se muestra el nombre del canal de puerto real.

Nota No hay visibilidad completa de la capa 2 en el frente físico. Si un paquete se transmite de un conmutador a otro, es posible que haya varios conmutadores involucrados. Sin embargo, la topología no muestra los conmutadores en la red de base.

Ruta de máquina virtual a máquina virtual de AWS


VMware, Inc. 172

La ruta de máquina virtual a máquina virtual de AWS proporciona visibilidad de la ruta de acceso entre las máquinas virtuales locales y las instancias de EC2 de AWS.

Actualmente, vRealize Network Insight Cloud admite los siguientes escenarios:

n Ruta de máquina virtual a máquina virtual de AWS dentro de VPC: este escenario abarca la comunicación entre las máquinas virtuales de la misma subred o de diferentes subredes en una VPC determinada.

n Ruta de máquina virtual a máquina virtual de AWS entre VPC a través de la conexión de emparejamiento: este escenario abarca la comunicación entre la máquina virtual de una VPC y la máquina virtual de otra VPC a través de una conexión de emparejamiento.

n Máquina virtual de AWS a Internet: la máquina virtual de una VPC se comunica con Internet a través de la puerta de enlace de Internet.

n Máquina virtual de AWS a máquina virtual de centro de datos a través de la conexión VPN de AWS: en este escenario, la máquina virtual de una VPC se comunica con la máquina virtual de un centro de datos a través de la conexión VPN de AWS. vRealize Network Insight Cloud es compatible con SDDC y los centros de datos NSX-V y NSX-T para este escenario.

Nota n La topología de rutas híbridas a los centros de datos NSX-T y NSX-V solo funciona cuando los

enrutadores de NSX-T y NSX-V Edge se configuran con una dirección IP pública.

n vRealize Network Insight Cloud no es compatible con la topología de base de máquina virtual para AWS.

Nota

A continuación se muestra un ejemplo de la ruta de máquina virtual a máquina virtual de AWS para la ruta de máquina virtual a máquina virtual de AWS entre VPC a través de la conexión de emparejamiento:


VMware, Inc. 173

Para ver las propiedades de la conexión de emparejamiento, puede apuntar a su icono en la ruta de máquina virtual a máquina virtual.

Es posible buscar las siguientes entidades relacionadas con la ruta de máquina virtual a máquina virtual de AWS:

n AWS Subnet

n AWS Route Table

n AWS Virtual Private Gateway

n AWS Internet Gateway

n AWS VPN Connection

n AWS VPC Peering Connection

NSX-T

Un ejemplo de ruta de máquina virtual a máquina virtual para NSX-T es el siguiente:


VMware, Inc. 174

El color azul representa el nodo de host y el color gris representa el nodo de Edge. Los iconos utilizados en la topología de la ruta de acceso de la máquina virtual se muestran en el lado derecho de la pantalla junto con las etiquetas en Detalles de ruta de acceso. Los enrutadores distribuidos se muestran con el mismo color, independientemente de sus niveles. El color del enrutador de servicio en el diagrama de topología cambia según el nivel asociado. Todos los componentes de nivel 1 se muestran en el mismo nivel y todos los componentes de nivel 0 se muestran en un nivel diferente. En NSX-T, los firewalls de Edge se representan en el diagrama.

Para planificar la seguridad de la red de NSX-T, puede seleccionar el ámbito como Red de capa 2 de NSXT y utilizar la siguiente consulta:

plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’

También puede conseguir el mismo objetivo siguiendo estos pasos:

n Seleccione Seguridad en la barra lateral de navegación.

n Seleccione Red de capa 2 de NSX-T como ámbito en el menú desplegable.

Nota n Las entidades relacionadas con NSX-T, como Red de capa 2 de NSX-T y Etiquetas, están

disponibles en el ámbito. Puede utilizar estas entidades relacionadas con NSX-T en la planificación, la microsegmentación y la definición de aplicaciones.

n En el menú desplegable Agrupar por, Grupo de seguridad de NSX-T es una parte de Etiqueta de seguridad y Segmento lógico es parte de VLAN/VXLAN.


VMware, Inc. 175

Ruta de máquina virtual a máquina virtual en la interfaz troncal de NSX-V EdgeEn vRealize Network Insight Cloud, puede ver la ruta de máquina virtual a máquina virtual y la ruta de máquina virtual a Internet cuando se conecta DVPG a la vNIC troncal de NSX Edge y se conectan las subinterfaces a VLAN o VXLAN.

A continuación, se muestra un ejemplo de ruta de máquina virtual a máquina virtual a través de NSX Edge:

Nota vRealize Network Insight Cloud no admite la información subyacente para las interfaces troncales de la máquina virtual de Edge.

Compatibilidad con NAT en NSX-T

Actualmente, vRealize Network Insight Cloud admite las reglas SNAT, DNAT y reflexivas en los flujos y la ruta de máquina virtual a máquina virtual.

Para obtener todas las reglas de NAT en NSX-T, utilice la consulta NSX-T Edge NAT Rule. Para obtener todas las reglas de NAT en NSX-V y NSX-T, utilice la consulta NAT Rules.

Consideraciones

n vRealize Network Insight Cloud no muestra correctamente las reglas de firewall de Edge de NSX-T para la ruta de máquina virtual a máquina virtual con los enrutadores lógicos de NSX-T donde está habilitado el servicio NAT.


VMware, Inc. 176

n Las reglas NAT que están configuradas en la interfaz de enlace ascendente del enrutador de nivel de VMware NSX-T solo se procesan mediante la ruta de máquina virtual a máquina virtual. Si se configura NAT en cualquier enrutador de nivel de NSX-T, se espera que existan reglas de NAT para todas las máquinas virtuales conectadas al enrutador; de lo contrario, la ruta de máquina virtual a máquina virtual y la ruta a Internet no funcionan. En su lugar, se muestra un mensaje indicando que falta una regla.

n vRealize Network Insight Cloud es compatible con la jerarquía de NAT anidada.

n Solo se admiten instancias de Edge basadas en NSX-V y NSX-T.

n vRealize Network Insight Cloud es compatible con las instancias de Edge y los enrutadores de nivel con enlaces ascendentes definidos por NAT.

n vRealize Network Insight Cloud admite reglas de SNAT con rango. Sin embargo, DNAT debe ser una asignación de uno a uno entre las direcciones IP de destino y traducidas (paridad con NSX-V).

n vRealize Network Insight Cloud no admite los siguientes casos prácticos:

a En NSX-T, las reglas de NAT se pueden aplicar en el nivel del servicio. Por ejemplo, en NSX-T, el conjunto de puertos de capa 4 es un tipo de servicio y los protocolos asociados pueden ser TCP o UDP. Por lo tanto, en la ruta de máquina virtual a máquina virtual, no se admiten los detalles de nivel de servicio.

b No se admite cualquier traducción de nivel de puerto.

c No se admiten las direcciones de destino de coincidencia de SNAT y de origen de coincidencia de DNAT. Use la dirección de destino de coincidencia de SNAT como dirección IP de destino cuando especifique la regla de SNAT. Use la dirección de origen de coincidencia de DNAT como dirección IP de origen cuando especifique la regla de DNAT. Por ejemplo, si se menciona una dirección IP de destino en la regla de SNAT, vRealize Network Insight Cloud aplica la regla de SNAT independientemente de que el paquete tenga la dirección de destino como dirección IP de destino.

d El firewall de Edge de NSX-T tiene implicaciones para la ruta de acceso de datos cuando se habilita con el servicio NAT en el mismo enrutador lógico. Si un flujo coincide con NAT y con el firewall de Edge, el resultado de la búsqueda de NAT tiene prioridad sobre el firewall. Por lo tanto, el firewall no se aplica a ese flujo. Si el flujo coincide solo con una regla de firewall, el resultado de la búsqueda de firewall se respeta para ese flujo.

Ruta de máquina virtual a máquina virtual de VMware SD-WANEn vRealize Network Insight Cloud, puede ver la ruta de máquina virtual a máquina virtual para la implementación de VMware SD-WAN.

vRealize Network Insight Cloud admite los siguientes escenarios:

n Ruta de IP a IP: ambas direcciones IP deben estar directamente en la VLAN detrás de una instancia de VMware SD-WAN Edge.


VMware, Inc. 177

n Ruta de IP a Internet/IP a IP desconocida: la IP de origen debe estar directamente en la VLAN detrás de una instancia de VMware SD-WAN Edge.

Nota Internet o IP desconocida son todas las direcciones IP que no se detectan en vRealize Network Insight Cloud.

n Ruta de máquina virtual a IP, IP a máquina virtual o Máquina virtual a máquina virtual:

n Solo se admiten máquinas virtuales en centros de datos de NSX/NSX-T. No se admiten máquinas virtuales de VMware Cloud on AWS, Amazon Web Services ni Azure.

n La instancia de VMware SD-WAN Edge debe estar conectada a un enrutador físico/virtual en el centro de datos a través de una VLAN.

n Nota Si la puerta de enlace de VMware SD-WAN configurada para la instancia de VMware SD-WAN Edge de origen y la instancia de VMware SD-WAN Edge de destino no coinciden, se muestra la ruta a través de las puertas de enlace de la instancia de VMware SD-WAN Edge de origen.

Si una VPN de rama a rama entre las instancias de VMware SD-WAN Edge utiliza un clúster de VMware SD-WAN, todos los miembros del clúster se muestran en la ruta.

A continuación, se muestran algunos ejemplos de ruta de máquina virtual a máquina virtual de VMware SD-WAN:


VMware, Inc. 178

VMware Cloud on AWS: Ruta de máquina virtual a máquina virtual

vRealize Network Insight Cloud es compatible con las siguientes rutas de acceso híbridas en VMware Cloud on AWS:

n VMware Cloud on AWS y VMware Cloud on AWS

n VMware Cloud on AWS y NSX-T

n VMware Cloud on AWS y NSX-V

n VMware Cloud on AWS y AWS

n Dentro de VMware Cloud on AWS

Para todas las máquinas virtuales presentes en VMware Cloud on AWS, la información subyacente solo se muestra hasta el segmento en el que se encuentra la máquina virtual. Esto se debe a que VMware Cloud on AWS extrae los elementos físicos subyacentes de la red y no hay visibilidad en ese nivel.

A continuación, se muestra un ejemplo de ruta de máquina virtual a máquina virtual de NSX-T y VMware Cloud on AWS:


VMware, Inc. 179

La línea azul oscuro muestra el túnel.

Compatibilidad con el modo BGP-EVPN de Cisco

vRealize Network Insight Cloud es compatible con el tejido de los conmutadores Cisco 9000 con el modo de configuración BGP-EVPN de Cisco solo para la edición Enterprise. vRealize Network Insight Cloud no admite los modelos de conmutadores que no sean Cisco Nexus 9000 con la configuración BGP-EVPN de Cisco.

Cada conmutador Cisco Nexus 9000 que forma parte del tejido se agrega de forma individual como un origen de datos. Para ver todos los conmutadores de espina o de hoja en el tejido, utilice la consulta switches where role is set.

Un ejemplo de ruta de máquina virtual a máquina virtual para el modo BGP-EVPN de Cisco es el siguiente:


VMware, Inc. 180

Compatibilidad con el enrutamiento de múltiples rutas de acceso de igual costo (Equal-Cost Multi-Path, ECMP)vRealize Network Insight Cloud proporciona compatibilidad con ECMP en la ruta de máquina virtual a máquina virtual.

La ruta de máquina virtual a máquina virtual muestra la siguiente información en ECMP:

n Las diversas rutas de acceso ECMP del origen al destino

n Los enrutadores en los que se produce ECMP

n Las rutas de acceso de salida posibles de un enrutador determinado (VRF)

n La ruta de la ruta de acceso posible


VMware, Inc. 181

En la figura anterior, puede ver los enrutadores habilitados para ECMP. Si coloca el puntero en ellos, se mostrarán las rutas de acceso adicionales. Además, si desea crear una ruta de acceso, puede seleccionar y bloquear los enrutadores según sus necesidades. Si desea ver todas las rutas de acceso ECMP entre las dos máquinas virtuales, seleccione la opción Mostrar todas las rutas de acceso ECMP en el diagrama de topología.

Si desea ver la ruta de acceso de un enrutador específico, coloque el puntero en el enrutador y haga clic en Mantener enfoque. Se mostrarán las rutas de acceso específicas del enrutador.

Compatibilidad con los puentes de capa 2


VMware, Inc. 182

Los puentes de capa 2 o de VLAN crean un único dominio de difusión a partir de varias VLAN. En las versiones anteriores, si la ruta de máquina virtual a máquina virtual involucraba un puente de capa 2 entre dos o más VLAN, la ruta de máquina virtual a máquina virtual no funcionaba. A partir de esta versión en adelante, vRealize Network Insight es compatible con el puente de capa 2. Actualmente, esta función solo es compatible con los enrutadores Cisco ASA.

Supervisar diversos estados de BGP

vRealize Network Insight Cloud es compatible con la supervisión de los estados de BGP. Es posible ver los vecinos de BGP correspondientes a una instancia de NSX Edge o un enrutador lógico.

Procedimiento

1 Introduzca Routers en la barra de búsqueda.

2 Para ver los resultados de una instancia determinada de NSX Manager, seleccione NSX Manager en el panel de la izquierda para aplicar un filtro.

3 Expanda el enrutador específico de la lista para ver los detalles.

4 Puede ver la siguiente información en Vecinos de BGP.

n IP Address

n Remote AS

n Weight

n Keep Alive Time

n Hold Down Time

n Status

Nota n Si no se obtiene información relativa a los vecinos, entonces Status se muestra como Unknown.

n Si Status no es Established.up, se genera el evento One or more BGP neighbours are not in established state para esa instancia de Edge. También puede ver este evento al buscar problems.

Ruta de acceso a InternetPara cada máquina virtual que se encuentra en el entorno, vRealize Network Insight Cloud muestra cómo la máquina virtual está conectada a Internet mediante una ruta de acceso animada del pin Ruta de acceso a Internet.

La ruta de acceso rellena todos los componentes (tanto virtuales como físicos) que existen entre la máquina virtual e Internet. Dibuja una ruta de acceso animada que conecta cada componente en secuencia. La dirección de la ruta de acceso también se puede revertir mediante las flechas situadas arriba de la visualización.


VMware, Inc. 183

Deslice el puntero del mouse sobre los iconos de la entidad para obtener sus nombres direccionables. Haga clic en un icono de la ruta de acceso para mostrar una cuenta resumida de sus atributos principales. También puede maximizar el pin para ver detalles de la ruta de acceso.

Seguridad

Cross-vCenter NSXEn un entorno de cross-vCenter NSX, puede haber varias instancias de vCenter Server, cada una emparejada con su propia instancia de NSX Manager.

A una instancia de NSX Manager se le asigna la función de instancia principal de NSX Manager, y a las otras se les asigna la función de instancia secundaria de NSX Manager. La instancia principal de NSX Manager se utiliza con el fin de implementar un clúster de controladora universal que proporciona el plano de control para el entorno de cross-vCenter NSX. Las instancias secundarias de NSX Manager no tienen clústeres de controladora propios. La instancia principal de NSX Manager puede crear objetos universales, como conmutadores lógicos universales. Estos objetos se sincronizan con las instancias secundarias de NSX Manager mediante el servicio de sincronización universal de NSX. Puede ver estos objetos desde las instancias secundarias de NSX Manager, pero no puede editarlos allí. Debe utilizar la instancia principal de NSX Manager para administrar objetos universales. La instancia principal de NSX Manager puede utilizarse para configurar cualquiera de las instancias secundarias de NSX Manager en el entorno.

Se admiten los siguientes objetos universales:

n LDR universal


VMware, Inc. 184

n Zona de transporte universal

n Conmutador lógico universal

n Regla de firewall universal

n Grupo de seguridad universal

n Conjuntos de IP universales

n Servicio universal

n Grupos de servicios universales

n Rango de segmentos universal

Palo Alto NetworksvRealize Network Insight Cloud es compatible con el firewall Palo Alto Panorama.

Nota vRealize Network Insight Cloud no admite la integración de Palo Alto Panorama con varias instancias de NSX Manager.

Para agregar Palo Alto Panorama a vRealize Network Insight Cloud, el usuario de Palo Alto Networks debe tener la función de administrador con acceso a la API XML. En la interfaz de usuario de Palo Alto Networks, realice los siguientes pasos para agregar una función de administrador a la API XML.

1 Seleccione Panorama > Funciones de administrador.

2 Haga clic en Agregar para agregar una nueva función de administrador.

3 Se abrirá la ventana Perfil de función de administrador.

4 Introduzca el nombre de la función y seleccione Panorama.

5 Haga clic en la pestaña Interfaz de usuario web y deshabilite todas las entradas.

6 Haga clic en la pestaña API XML y deshabilite todas las entradas, excepto Configuración y Solicitudes operativas.

7 Haga clic en Aceptar para cerrar la ventana.

Se mostrará la nueva función de administrador en la lista.

8 Haga clic en Confirmar.

9 Asigne esta función a una cuenta de administrador o cree un usuario nuevo y asigne esta función al nuevo usuario.

Las funciones de Palo Alto Networks compatibles con vRealize Network Insight Cloud son las siguientes:

n Interrelación de entidades de Palo Alto y NSX: la membresía de máquina virtual de la dirección y del grupo de direcciones de Palo Alto Networks se calcula en función de la asignación de dirección IP a máquina virtual. Esta información de membresía se puede consultar de la siguiente manera:

n VM where Address = <>

n Palo Alto address where vm = <>


VMware, Inc. 185

n VM where Address Group = <>

n Palo Alto address group where vm = <>

n Consulta: puede realizar una consulta para todas las entidades de Palo Alto que son compatibles con vRealize Network Insight Cloud. Todas las entidades reciben un prefijo de Palo Alto. Algunas de las consultas son las siguientes:

Tabla 12-1.

Entidades Consultas

Dirección de Palo Alto Palo Alto address where vm = <>

VM where Address = <>

Grupo de direcciones de Palo Alto Palo Alto address group where Translated VMs = <>

VM where address group = <>

Dispositivo de Palo Alto Palo Alto Device where Version = <>

Palo Alto Device where connected = true

Palo Alto Device where family = 'PA-5060'

Dispositivo físico de Palo Alto Palo Alto Physical Device where model = 'PA-5060'

Dispositivo de máquina virtual de Palo Alto Palo Alto VM Device where model = 'PA-VM'

Grupo de dispositivos de Palo Alto Palo Alto Device Group where device = <>

Palo Alto Device Group where address = <>

Palo Alto Device Group where address group = <>

Servicio de Palo Alto Palo Alto service where Port = <>

Palo Alto service where Protocol = <>

Grupo de servicios de Palo Alto Palo Alto service group where Member = <>

Directiva de Palo Alto Palo Alto Policy where Source vm = <> and Destination vm

= <>

Palo Alto Policy where Source IP = <> and Destination IP

= <>

Firewall de Palo Alto Palo Alto firewall where Rule = <>

Zona de Palo Alto Palo Alto Zone where device = <>

Sistema virtual de Palo Alto Palo Alto Virtual System where Device = <>

Palo Alto Virtual System where Device Group = <>

Nota Además de las consultas, también puede utilizar facetas para analizar los resultados de la búsqueda.

n Ruta de máquina virtual a máquina virtual: como parte de la topología de máquina virtual a máquina virtual, vRealize Network Insight Cloud muestra el firewall de la serie Palo Alto para máquinas virtuales en el host. Las reglas aplicables se muestran al hacer clic en el icono Firewall. Si un dispositivo de firewall (dispositivo de enrutamiento) de la red de Palo Alto también está presente en la ruta de acceso, también se muestra ese dispositivo. Al hacer clic en el icono Dispositivo, puede ver información básica, como una tabla de enrutamiento, las interfaces y una tabla que contiene las reglas de firewall aplicadas.


VMware, Inc. 186

n Puede ver algunos eventos del sistema relacionados con los siguientes escenarios de Palo Alto Networks:

n El dispositivo de Palo Alto no está conectado a Panorama (Manager).

n NSX Manager no está registrado en Panorama.

n No se encuentra el agente de tejido de NSX en el dispositivo ESX para Palo Alto.

n No se encuentra el dispositivo de Palo Alto en el agente de tejido de Panorama para NSX.

n Los datos de membresía de grupos de seguridad no están sincronizados.

n Puede crear y registrar varias definiciones de servicios en Panorama con una determinada instancia de NSX Manager. Si hay diferentes clústeres de ESXi con cargas de trabajo que requieren que el firewall VM-Series procese el tráfico de forma diferente, se crean varias definiciones de servicio. Cada definición de servicio tiene un grupo de dispositivos asociado desde el que se seleccionan las directivas. Al mostrar la ruta de máquina virtual a máquina virtual en vRealize Network Insight Cloud, se debe tener en cuenta el conjunto correcto de directivas basadas en la información del clúster de la máquina virtual.


VMware, Inc. 187

Ejemplo de panel de control Palo Alto Manager

Firewall Cisco ASAvRealize Network Insight Cloud es compatible con el firewall Cisco ASA.

Las funciones del firewall Cisco ASA son las siguientes:

n vRealize Network Insight Cloud solo admite la serie Cisco ASA-X.

n vRealize Network Insight Cloud no admite los módulos Firepower.

n Actualmente, vRealize Network Insight Cloud es compatible con el sistema operativo Cisco ASA versión 9.4.

n vRealize Network Insight Cloud no es compatible con la implementación de clústeres de Cisco ASA.

n vRealize Network Insight Cloud no es compatible con la alta disponibilidad de Cisco ASA.

n vRealize Network Insight Cloud no es compatible con Cisco ASA cuando se conecta directamente al host. Se admite una topología similar a la siguiente:


VMware, Inc. 188

n Solo se admiten las reglas de acceso de Cisco ASA de tipo Extended. No se admiten otros tipos de reglas de acceso como Standard, WebType, EtherType, etc.

n El firewall Cisco ASA en la ruta de máquina virtual a máquina virtual no muestra las reglas de acceso aplicables cuando el firewall se configura en el modo Transparent.

Ejemplo

Es posible realizar una consulta para todas las entidades de Cisco ASA que son compatibles con vRealize Network Insight Cloud.

Tabla 12-2.

Entidades de Cisco ASA Palabras clave Consultas de ejemplo

Contexto de seguridad Firewall de ASA

Contexto de seguridad de ASA

asa firewall where access group = <>

Regla de acceso Regla de acceso de ASA asa access rule where source ip = <>

asa access rule where destination ip

= '192.168.2.2'

asa access rule where port = <>

asa access rule where interface = <>

Grupo de acceso Grupo de acceso de ASA asa access group where interface = <>

Objeto de red/Grupo de objetos de red Objeto de red de ASA

Grupo de objetos de red de ASA

asa network object where ip address =

<>

asa network object group where ip

address = <>

Objeto de servicio/Grupo de objetos de servicio

Objeto de servicio de ASA

Grupo de objetos de servicio de ASA

asa service object where port = <>

asa service where protocol = <>

asa service object group

Firewall de Check Point

vRealize Network Insight Cloud admite los siguientes servidores de administración de Check Point:

n Check Point Security Manager (SmartCenter)

n Check Point Multi-Domain Manager (MDS/Provider-1)


VMware, Inc. 189

El servidor de administración de Check Point debe aceptar el acceso a la API desde la dirección IP del recopilador. Se puede configurar desde Administración y Configuración > Blades > API de administración > Configuración avanzada.

Si se agrega Check Point MDS como origen de datos, vRealize Network Insight Cloud recupera datos de todos los dominios definidos por el usuario y del dominio global.

vRealize Network Insight Cloud utiliza la API web pública de Check Point para obtener los datos del servidor de administración de Check Point. Si se conecta la puerta de enlace de VSX al servidor de administración, se deben utilizar comandos de CLI basados en SSH para recuperar la tabla de enrutamiento del sistema virtual (Virtual System, VS) administrado por VSX para admitir la visualización de la puerta de enlace de VS en la ruta de máquina virtual a máquina virtual.

vRealize Network Insight Cloud requiere privilegios de solo lectura para acceder a la API web y obtener la mayoría de los datos de Check Point. Existen algunas excepciones como las siguientes:

n Si se asocia una puerta de enlace física que no es de VSX al servidor de administración, el usuario debe tener privilegios de acceso de lectura y escritura en la API web. Esto es necesario para recuperar las rutas de puerta de enlace y usar la API web run script para el cálculo de rutas de máquina virtual a máquina virtual.

n Si se conecta la puerta de enlace de VSX al servidor de administración, el usuario debe tener acceso SSH con la misma contraseña. Además, el usuario debe tener acceso al comando de CLI vsx_util view_vs_conf. Este comando se utiliza para recuperar las rutas de puerta de enlace de VSX para el cálculo de rutas de máquina virtual a máquina virtual.

n Si se utiliza una IP de servidor MDS como origen de datos, el usuario debe tener acceso de la API web a todos los dominios, incluido el dominio de MDS y el dominio global. Es necesario recuperar reglas, paquetes de directivas y otros datos de todos los dominios.

Nota n vRealize Network Insight Cloud es compatible con el firewall de Check Point R80 y sus versiones

posteriores.

n Para la ruta de máquina virtual a máquina virtual, vRealize Network Insight Cloud no admite el clúster de VSX que contiene el conmutador virtual y el enrutador virtual.

Es posible realizar una consulta para todas las entidades de Check Point que son compatibles con vRealize Network Insight Cloud. Todas las entidades llevan el prefijo Check Point. Algunas de las consultas de Check Point son las siguientes:


VMware, Inc. 190

Tabla 12-3.

Entidades en Check Point Palabras clave Consultas

Conjunto de IP Check Point Address Range

Check Point Network

vm where Address Range = <>

vm where Address Range = <>

Check Point Address Range

where Translated VM = <>

Agrupación Check Point Network Group Check Point Network Group

where Translated VM = <>

vm where Network Group = <>

Servicio/Grupo de servicio Check Point Service

Check Point Service Group

Check point service where

Port = <>

Check point service where

protocol = <>

Capa de acceso Check Point Access Layer Check Point Policy where

Access Layer = <>

Dominio Check Point Domain check point domain where ip

address = <>

check point policy where

domain = <>

check point access layer

where domain = <>

Puertas de enlace y clúster de puertas de enlace Check Point Gateway

Check Point Gateway

Cluster

Check Point Gateway Cluster

where Policy Package = <>

Paquete de directivas Check Point Policy package Check Point Policy where

Policy Package = <>

Check Point Policy Package

where Rule = <>

Directiva Check Point Policy Check point policy where

source ip = <> and

Destination IP = <>

Rule where source ip = <>

and Destination IP = <>

(will display other rules-

nsx, redirect along with

check point policies in the

system)

A continuación se muestra un panel de control de Check Point Manager de ejemplo:


VMware, Inc. 191

En un diagrama de topología de máquina virtual a máquina virtual, se pueden ver las máquinas virtuales del servicio de Check Point en un host para indicar las reglas de Check Point que se aplican al tráfico específico. La puerta de enlace del sistema virtual (Virtual System, VS) administrado por VSX se puede ver en la ruta de máquina virtual a máquina virtual como una puerta de enlace física. La lista de directivas aplicables de Check Point se muestra al hacer clic en el icono de puerta de enlace.

Nota Para la ruta de máquina virtual a máquina virtual, vRealize Network Insight Cloud no admite el clúster de VSX que contiene el conmutador virtual y el enrutador virtual.


VMware, Inc. 192

A continuación se muestran algunos escenarios en los que se generan eventos del sistema para Check Point:

n No se encuentra el agente de tejido de NSX en la instancia de ESX para la puerta de enlace de Check Point.

n No se encuentra la máquina virtual de servicio de Check Point.

n El estado de la puerta de enlace de Check Point sic no se está comunicando.

n Las funciones de detección y actualización de eventos para las entidades de Check Point, como el rango de direcciones, las redes, las directivas, los grupos, el paquete de directivas, el servicio, el grupo de servicios, etc.

Grupos de seguridadLos grupos de seguridad son un conjunto de grupos que se administran a través de un conjunto común de permisos.

La topología Grupo de seguridad tiene las dos vistas siguientes:

Vista de firewallLa topología de firewall Grupo de seguridad muestra la relación entre el grupo de seguridad seleccionado y otros grupos de seguridad mediante la exhibición de las reglas de firewall que se pueden aplicar entre los grupos de seguridad.

Vista de contenedorLa topología de contenedor Grupo de seguridad muestra cómo se estructura el grupo de seguridad con respecto a sus grupos de seguridad principales o secundarios (grupos de seguridad u otras entidades).


VMware, Inc. 193

VPN basada en directivas

vRealize Network Insight Cloud es compatible con VPN basada en directivas en VMware Cloud on AWS, NSX-T y NSX-V. Los siguientes escenarios son compatibles con la VPN basada en directivas:

n Túnel VPN entre la dirección IP pública de VMware Cloud on AWS y la dirección IP pública de NSX-V/NSX-T/AWS

n Túnel VPN desde la dirección IP pública de VMware Cloud on AWS y la dirección IP pública del firewall corporativo hasta una NAT de 1:1 entre la dirección IP pública del firewall corporativo y la instancia interna de NSX Edge

Nota vRealize Network Insight Cloud no admite el escenario del túnel VPN desde la instancia de VMware Cloud on AWS que termina en un firewall corporativo y ninguna NAT configurada con la instancia interna de NSX Edge.

Entidades de VPN basada en directivasvRealize Network Insight Cloud recupera datos para la entidad L3 VPN Session, que es la VPN real configurada en el centro de datos.

Estos son los términos de búsqueda de las entidades de VPN basada en directivas:

Tabla 12-4.

Términos de búsqueda Descripción

Policy based VPN Todas las sesiones de VPN basada en directivas de VMware Cloud on AWS, NSX-V y NSX-T

VMC Policy based VPN Sesiones de VPN basada en directivas de VMware Cloud on AWS

NSX-T Policy based VPN Sesiones de VPN basada en directivas de NSX-T

NSX Policy based VPN Sesiones de VPN basada en directivas de NSX

Reglas inactivas de firewall distribuido de NSX


VMware, Inc. 194

vRealize Network Insight Cloud es compatible con la visibilidad de las reglas de firewall distribuido de NSX en las que no hubo flujos durante algún tiempo. Estas reglas se conocen como reglas inactivas. Utilizan la pila de memoria y pueden causar problemas de seguridad. Para supervisar estas reglas inactivas, vRealize Network Insight Cloud proporciona los siguientes dos widgets en el panel de control Seguridad:

Nota Para ver el panel de control Seguridad, introduzca Seguridad en la barra de búsqueda.

n Regla de firewall de NSX no utilizada: este widget muestra todas las reglas de firewall de NSX en las que no se indica ningún flujo en el momento determinado. También puede utilizar la siguiente consulta de búsqueda para recuperar estas reglas:

nsx firewall rule where flow is not set

Nota Asegúrese de haber habilitado IPFIX del firewall distribuido de NSX para el momento determinado.

Firewall de FortinetEn vRealize Network Insight Cloud, puede ver información sobre el firewall de Fortinet.

vRealize Network Insight Cloud es compatible con las siguientes entidades de Fortinet:

n Administrador de Fortinet

n ADOM de Fortinet: detalles del dominio administrativo de Fortinet.

n VDOM de Fortinet: detalles del dominio virtual de Fortinet. vRealize Network Insight Cloud solo es compatible con los filtros basados en flujos. No se admite el modo transparente.

n Dirección de Fortinet: lista de direcciones específicas de ADOM. vRealize Network Insight Cloud es compatible con la máscara de IP, el rango de IP y los conectores de tejido de NSX.

n Grupos de direcciones de Fortinet: lista de grupos de direcciones específicas de ADOM.

n Direcciones dinámicas de Fortinet: lista de direcciones dinámicas específicas de ADOM (direcciones asignadas por VDOM).

n Grupos de direcciones dinámicas de Fortinet: lista de grupos de direcciones dinámicas específicas de ADOM (grupos de direcciones asignadas por VDOM).

n Interfaces dinámicas de Fortinet: lista de interfaces dinámicas específicas de ADOM.

n Zonas de Fortinet: lista de zonas específicas de ADOM.

n Servicios de Fortinet: lista de servicios generados de forma automática y manual para cada ADOM.

n Grupos de servicios de Fortinet: lista de grupos de servicios para cada ADOM.

n Directiva de Fortinet: directivas de Fortinet para cada ADOM. Actualmente, solo se admiten directivas de IPv4, directivas globales de encabezado de Fortinet y directivas globales de pie de página de Fortinet.


VMware, Inc. 195

n Paquetes de directivas de Fortinet: lista de paquetes de directivas. El nombre de los paquetes de directivas también contiene la ruta de acceso al paquete de directivas antes del nombre del paquete.

n Dispositivos de Fortinet: lista de dispositivos de Fortinet asociados con FortiManager.

n Grupos de dispositivos de Fortinet: lista de grupos de dispositivos de Fortinet especificados por el usuario.

No se admiten las siguientes opciones:

n Ruta de máquina virtual a máquina virtual en modo NAT.

n Ruta de máquina virtual a máquina virtual para dispositivos físicos en modo transparente.

n Propiedades de directivas avanzadas (no basadas en IP), como Usuario, Grupo de usuarios, Aplicación y Perfil de seguridad.


VMware, Inc. 196

Configuración de flujos en vRealize Network Insight Cloud 13Este capítulo incluye los siguientes temas:

n Habilitar la configuración de IPFIX

n Compatibilidad con el flujo para servidores físicos

n Ver flujos bloqueados y protegidos

n Traducción de direcciones de red (NAT)

n VMware Cloud on AWS flujos

n Crear un registro de flujo de VPC

n Enviar registros de flujo de F5 a los recopiladores de vRealize Network Insight Cloud

Habilitar la configuración de IPFIXIPFIX es un protocolo IETF para exportar información de flujos.

Un flujo se define como un conjunto de paquetes transmitidos en una franja horaria específica que comparten los mismos valores de 5 tuplas: dirección IP de origen, puerto de origen, dirección IP de destino, puerto de destino y protocolo. La información de flujo puede incluir propiedades como marcas de tiempo, recuento de bytes/paquetes, interfaces de entrada/salida, marcas de TCP, identificador de VXLAN, información de flujo encapsulado, etc.

Configuración de IPFIX en VDS y DVPG

Es posible configurar un VDS en el entorno de vSphere para exportar información de flujo mediante IPFIX. Se debe habilitar la supervisión de flujo en todos los grupos de puertos conectados al VDS. Cuando los paquetes llegan a un puerto X de un VDS y salen de un puerto Y, se emite el registro de flujos correspondiente si la supervisión de flujo está habilitada en el puerto Y.

Para analizar la información completa de una sesión, se requieren datos de IPFIX sobre los paquetes en ambas direcciones. Consulte el siguiente diagrama, donde VM-A se conecta a DVPG-A y se comunica con VM-C. Aquí DVPG-A solo proporcionará datos sobre los paquetes C→A y DVPG con enlace ascendente proporcionará datos sobre los paquetes A→C. Para obtener la información completa del tráfico de A, IPFIX debe estar habilitado en DVPG-A y DVPG con enlace ascendente.

VMware, Inc. 197

La máquina virtual proxy de vRealize Network Insight tiene un recopilador/receptor integrado para la información de flujo de IPFIX. Puede habilitar la recopilación de información de IPFIX en la configuración del origen de datos de vCenter con varios niveles de granularidad.

Habilitar la configuración de IPFIX en VDS y DVPG

Para habilitar la información de IPFIX en el nivel de vCenter:

Procedimiento

1 Seleccione Habilitar NetFlow (IPFIX) al agregar vCenter.

2 Seleccione el VDS para el que desea habilitar IPFIX en la lista de VDS disponibles en vCenter.

3 Se muestra un icono de notificación para el VDS, en el que uno de los hosts tiene una versión no compatible de ESXi. Si vRealize Network Insight Cloud detectó que IPFIX ya está configurado para un VDS con otra dirección IP aparte de la máquina virtual de proxy de vRealize Network Insight Cloud, se muestra el botón Anular. Haga clic en Anular para ver la lista de DVPG de ese VDS.


VMware, Inc. 198

4 Se muestra la lista de DVPG disponibles para el VDS seleccionado. De manera predeterminada, están seleccionados todos los DVPG. Active la opción Selección manual para seleccionar los DVPG específicos para los que desea habilitar IPFIX. Seleccione el DVPG deseado y haga clic en Enviar.

Nota El DVPG con un icono de notificación indica que se trata del DVPG de enlace ascendente y se debe seleccionar.

Configuración de IPFIX de VMware NSXIPFIX de VMware NSX proporciona datos de supervisión de red similares a los provistos por dispositivos físicos y ofrece a los administradores una vista clara de las condiciones de la red virtual.

VMware NSX virtualiza la red al permitir que el administrador de red pueda desacoplar la red del hardware físico. Esta funcionalidad facilita el crecimiento y la reducción de la red según sea necesario y hace que la red sea transparente para las aplicaciones que la atraviesan.

Al usar IPFIX de NSX en una red virtualizada, los administradores de red logran ver la red de superposición virtual. La generación de informes IPFIX de VXLAN mediante NetFlow está habilitada en el enlace ascendente del host. Proporciona visibilidad sobre los VTEP que encapsulan el paquete y los detalles de la máquina virtual que generó el tráfico entre hosts en un conmutador lógico de NSX (VXLAN).

El firewall distribuido implementa el seguimiento con estado de los flujos. Dado que estos flujos pasan por un conjunto de cambios de estado, IPFIX se puede utilizar para exportar datos sobre el estado de ese flujo.

Los eventos de seguimiento incluyen la creación de flujos, la denegación de flujos, la actualización de flujos y el desmontaje de flujos. Los eventos denegados se exportan como syslogs.

Habilitar IPFIX de VMware NSX-V

Para habilitar IPFIX de VMware NSX-V en vRealize Network Insight Cloud:

Requisitos previos

n Asegúrese de tener credenciales de administrador empresarial o administrador de seguridad.

n Se recomienda habilitar IPFIX de VDS en todos los DVPG y DVS desde los que se deben recopilar datos IPFIX de NSX. Puede habilitar IPFIX de VDS en la página de detalles de la instancia de vCenter asociada.

Procedimiento

u Seleccione Habilitar IPFIX al agregar o editar un origen de datos de NSX-V Manager.

Habilitar IPFIX en DFW de VMware NSX-T

Para habilitar IPFIX de VMware NSX-T en vRealize Network Insight Cloud:


VMware, Inc. 199

Requisitos previos

n Asegúrese de tener uno de los siguientes privilegios:

n enterprise_admin

n network_engineer

n security_engineer

n Asegúrese de que el firewall distribuido (DFW) esté habilitado.

n Asegúrese de que la prioridad 0 esté disponible para el perfil de IPFIX de Network Insight. Si hay otro perfil de IPFIX con prioridad 0, debe cambiarlo a algún otro valor.

Procedimiento

u Seleccione Habilitar IPFIX al agregar o editar un origen de datos de NSX-T Manager.

Pasos siguientes

Después de habilitar IPFIX, vRealize Network Insight Cloud crea su propio perfil de recopilador de Network Insight y perfil de IPFIX de Network Insight en NSX-T. Asegúrese de no modificar ninguno de estos perfiles.

Después de habilitar IPFIX en NSX-T, si los flujos no se ven en vRealize Network Insight Cloud, se pueden producir los siguientes eventos:

n El perfil de recopilador de Network Insight no está registrado en NSX-T Manager.

n El perfil de IPFIX de Network Insight no está registrado en NSX-T Manager.

n El número de puerto del perfil de IPFIX de Network Insight cambió.

n El perfil de recopilador de Network Insight no coincide en el perfil de IPFIX de Network Insight en NSX-T Manager.

Nota Para resolver todos los problemas anteriores, vuelva a habilitar IPFIX de NSX-T.

n La prioridad del perfil de IPFIX de Network Insight no es cero en NSX-T Manager.

Para solucionar este problema, inicie sesión en NSX-T Manager y establezca en cero la prioridad del perfil de IPFIX de Network Insight.

n No se puede agregar la IP del recopilador de Network Insight en el perfil de recopilador de Network Insight existente en NSX-T Manager.

Elimine uno de los recopiladores del perfil de recopilador de Network Insight en NSX-T Manager y vuelva a habilitar IPFIX de NSX-T desde la página de origen de datos.

n El firewall distribuido está deshabilitado en NSX-T Manager.

Inicie sesión en NSX-T Manager y habilite el firewall de DFW.


VMware, Inc. 200

Con NSX-T 2.4, después de habilitar IPFIX en NSX-T, si no se ven los flujos en vRealize Network Insight, se pueden producir los siguientes eventos:

n La configuración de recopilador IPFIX de Network Insight no está presente en el perfil de recopilador de NSX-T Manager.

n El perfil de IPFIX de DFW no está presente en NSX-T Manager.

Para resolver estos problemas, vuelva a habilitar IPFIX de DFW.

Nota Todos los conmutadores lógicos presentes en NSX-T se anexan al perfil de IPFIX en 10 a 15 minutos.

Agregar recopilador de NetFlow

Procedimiento



3 En Flujos, haga clic en Recopilador de flujos físico (NetFlow, sFlow). La máquina virtual de recopilador que se utiliza para NetFlow es un recopilador dedicado. No se puede utilizar para ningún otro origen de datos. Si también se agrega otro origen de datos al servidor proxy, no estará disponible como recopilador de NetFlow.

4 Introduzca Alias y Notas según sea necesario. Haga clic en Enviar.

Compatibilidad con el flujo para servidores físicosvRealize Network Insight Cloud es compatible con el dispositivo que envía los datos de NetFlow de las versiones v5, v7 y v9. Si se proporciona la información de asignación de subred-VLAN y asignación de DNS, vRealize Network Insight Cloud puede enriquecer los datos de NetFlow con dominios de DNS, nombres de host DNS, subredes y redes de capa 2. Esta función solo está disponible para los usuarios con licencia Enterprise.

Para configurar NetFlow en vRealize Network Insight Cloud, realice los siguientes pasos:

1 Agregar recopilador de NetFlow

2 Configurar un recopilador de NetFlow en un dispositivo físico

3 Importar el archivo de asignación de DNS

4 Configurar la asignación entre la subred y una VLAN

Configurar un recopilador de NetFlow en un dispositivo físico


VMware, Inc. 201

Para enviar la información de NetFlow al recopilador de NetFlow para vRealize Network Insight Cloud, configure el dispositivo físico de forma manual. Estos son los pasos para la configuración de la mayoría de los dispositivos físicos:

1 Cree un registro de flujos.

Los campos obligatorios para un registro de flujos son los siguientes:

n Marque los siguientes campos como Match.

n ipv4 protocol

n ipv4 source address

n ipv4 destination address

n transport source-port

n transport destination-port

n interface input

n Marque los siguientes campos como Collect.

n direction

n counter bytes

n counter packets

n timestamp sys-uptime first

n timestamp sys-uptime last

n Marque el siguiente campo como Match o Collect. De lo contrario, omítalo.

n transport tcp flags

2 Cree un exportador de flujos.

n Proporcione el puerto 2055 y la dirección IP de proxy de NetFlow para vRealize Network Insight Cloud.

3 Configure la memoria caché de flujo de la siguiente manera:

n Tiempo de espera activo: 30 segundos

n Tiempo de espera inactivo: 60 segundos

4 Cree el monitor de flujo mediante el registro de flujos y el exportador de flujos creados.

5 Configure el monitor en cada interfaz.

Requisitos previos


VMware, Inc. 202

Ejemplo

En las siguientes secciones, se proporcionan los pasos de muestra para configurar los dispositivos físicos:

n Cisco 4500

n Cisco Nexus 1000v

n Cisco Nexus 9000

Nota Los pasos pueden variar entre versiones y dispositivos diferentes.

Cisco 4500

1 Para crear el registro de flujos

configure terminal

flow record netflow-original

match ipv4 protocol

match ipv4 source address

match ipv4 destination address

match transport source-port

match transport destination-port

match interface input

collect transport tcp flags

collect counter bytes

collect counter packets

collect timestamp sys-uptime first

collect timestamp sys-uptime last

End

2 Para crear el exportador de flujos

configure terminal

flow exporter e1

destination <PROXY_IP>

transport udp 2055

end

3 Para crear el monitor de flujo

configure terminal


VMware, Inc. 203

flow monitor m1

record netflow-original

exporter e1

end

4 Para configurar los tiempos de espera

configure terminal

cache timeout inactive 30

cache timeout active 60

end

5 Para configurar el monitor de flujo para cada interfaz en el modo de entrada y el modo de salida, o al menos el modo de entrada

configure terminal

interface <INTERFACE_NAME>

ip flow monitor m1 unicast input

end

Cisco Nexus 1000v


configure terminal

Active timeout 60

Inactive timeout 15

end

2 Para configurar el exportador

configure terminal

flow exporter <EXPORTER_NAME>


transport udp 2055

source <VSM_IP_OR_SUBNET>

end

3 Para configurar el monitor de flujo para cada interfaz:

configure terminal

flow monitor <MONITOR_NAME>


VMware, Inc. 204

record netflow-original

exporter <EXPORTER_NAME>

end


configure terminal

port-profile type vethernet <IF_NAME>

ip flow monitor <MONITOR_NAME> input

ip flow monitor <MONITOR_NAME> output

.

.

end

Cisco Nexus 9000

Estos son algunos de comandos de dispositivo de ejemplo para Cisco Nexus 9000:

1 Para habilitar la función NetFlow

configure terminal

feature netflow

end

2 Para crear un registro de flujos

configure terminal

flow record vrni-record

match ipv4 protocol

match ipv4 source address

match ipv4 destination address

match transport source-port

match transport destination-port

match interface input

collect transport tcp flags

collect counter bytes

collect counter packets

collect timestamp sys-uptime first


VMware, Inc. 205

collect timestamp sys-uptime last

End

3 Para crear un exportador de flujos

configure terminal

flow exporter vrni-exporter


transport udp 2055

version 9

source <INTERFACE_NAME>

end

4 Para crear un monitor de flujo para cada interfaz

configure terminal

flow monitor vrni-monitor

record vrni-record

exporter vrni-exporter

end


configure terminal

cache timeout inactive 30

cache timeout active 60

end


configure terminal

interface <INTERFACE_NAME>

ip flow monitor vrni-monitor input

end

Enriquecer los flujos y los endpoints de IP

Puede importar la información de asignación de DNS y de asignación de subred-VLAN a través de la interfaz de usuario.


VMware, Inc. 206

La información de flujo se enriquece con los siguientes tipos de información en función de la importación de datos de DNS y la especificación de asignaciones de subred-VLAN.

n Dominio DNS de origen

n Nombre de host DNS de origen

n Dominio DNS de destino

n Nombre de host DNS de destino

n Red de capa 2 de origen

n Red de subred de origen

n Red de capa 2 de destino

n Red de subred de destino

La información de endpoints de IP se enriquece con los siguientes tipos de información en función de la importación de datos de DNS y la especificación de asignaciones de subred-VLAN.

n Dominio DNS

n Nombre de host DNS

n FQDN

n Red de capa 2

n Red de subred

Para obtener más información sobre los flujos que se enriquecen a través de la información de DNS, consulte Importar el archivo de asignación de DNS.

Para obtener más información sobre los flujos que se enriquecen a través de la asignación de subred-VLAN, consulte Configurar la asignación entre la subred y una VLAN.

Nota n La información de asignación de DNS y de subred se mejoró solo para las IP físicas. No hay

información de asignación de DNS ni de subred asociada con ninguna NIC virtual.

n La información se enriquece solo para los flujos vistos por vRNI después de que se importó esta información.

Buscar flujos físicos a físicos

Puede buscar los flujos físicos a físicos a partir de los siguientes atributos:

n Host DNS de origen

n Host DNS de destino

n Dominio DNS de origen

n Dominio DNS de destino


VMware, Inc. 207

n Red de subred de origen

n Red de subred de destino

Puede buscar flujos físicos-físicos a partir de los siguientes atributos. A continuación, se muestran algunos ejemplos de consultas de búsqueda de flujos que utilizan la información de asignación de DNS y subred-VLAN enriquecida:

bytes,Dns Domain,Dns Host,l2 network of flows where flow type = 'Physical-Physical'

bytes,Dns Domain,Dns Host,l2 network of flows where flow type = 'Source is VM' and flow type

= 'Destination is Physical'

bytes,Dns Domain,Dns Host,l2 network of flows where flow type = 'Source is Internet' and flow

type = 'Destination is Physical'

Ver flujos bloqueados y protegidosLa integración de NSX-IPFIX permite observar los flujos bloqueados y protegidos en el sistema.

Los filtros básicos de la página Planificación de microsegmentación son los siguientes:

n Todos los flujos permitidos: esta es la opción seleccionada de forma predeterminada. Para ver todos los flujos para los que la acción de las reglas de firewall se estableció en Permitido, seleccione esta opción.

n Flujos descartados: esta opción ayuda a detectar los flujos descartados y planificar la seguridad de una manera mejor.

n Todos los flujos protegidos: esta opción ayuda a detectar todos los flujos que tienen una regla distinta a la del tipo any(source)any(dest)any(service)allow asociada a ellos. Estos flujos se conocen como flujos protegidos.

n Todos los flujos sin protección: esta opción ayuda a detectar todos los flujos que tienen reglas predeterminadas del tipo any(source)any(dest)any(service)allow. Estos flujos se conocen como flujos sin protección.

Solo se pueden ver las reglas de firewall para los flujos permitidos y sin protección.

Por ejemplo, si se encuentra en la fase de planificación y desea ver los flujos permitidos en el sistema, realice los siguientes pasos:

1 En la página Planificación de microsegmentación para un grupo determinado, seleccione Todos los flujos permitidos en el menú desplegable.

2 Haga clic en los flujos descartados en el diagrama de topología para ver las reglas de firewall recomendadas correspondientes.

3 Para implementar esas reglas de firewall, expórtelas a NSX Manager.


VMware, Inc. 208

Traducción de direcciones de red (NAT)

La compatibilidad con flujos de NAT en vRealize Network Insight Cloud es la siguiente:

n Actualmente, vRealize Network Insight Cloud admite las reglas reflexivas, SNAT y DNAT en los flujos y la ruta de máquina virtual a máquina virtual en las instancias de Edge NSX-V y NSX-T solamente.

Nota No se admiten las reglas NAT en la versión 5.5 de NSX Edge ni en las versiones anteriores.

n Para obtener todas las reglas de NAT en NSX-T, utilice la consulta NSX-T Edge NAT Rule. Para obtener todas las reglas de NAT en NSX-V y NSX-T, utilice la consulta NAT Rules.

n Solo las reglas de NAT configuradas en la interfaz de enlace ascendente del enrutador de nivel de VMware NSX-T son procesadas en la ruta de máquina virtual a máquina virtual. Si se configura NAT en cualquier enrutador de nivel de NSX-T, se espera que existan reglas de NAT para todas las máquinas virtuales conectadas al enrutador; de lo contrario, la ruta de máquina virtual a máquina virtual y la ruta a Internet no funcionan. En su lugar, se muestra un mensaje indicando que falta una regla.

n vRealize Network Insight Cloud es compatible con la jerarquía de NAT anidada.

n vRealize Network Insight Cloud es compatible con las instancias de Edge y los enrutadores de nivel con enlaces ascendentes definidos por NAT.


VMware, Inc. 209

n vRealize Network Insight Cloud admite reglas de SNAT con rango. Sin embargo, DNAT debe ser una asignación de uno a uno entre las direcciones IP de destino y traducidas (paridad con NSX-V).

n vRealize Network Insight Cloud no admite los siguientes casos prácticos:

a En NSX-T, las reglas de NAT se pueden aplicar en el nivel del servicio. Por ejemplo, en NSX-T, el conjunto de puertos de capa 4 es un tipo de servicio y los protocolos asociados pueden ser TCP o UDP. Por lo tanto, en la ruta de máquina virtual a máquina virtual, no se admiten los detalles de nivel de servicio.

b No se admite cualquier traducción de nivel de puerto.

c No se admiten las direcciones de destino de coincidencia de SNAT y de origen de coincidencia de DNAT. Use la dirección de destino de coincidencia de SNAT como dirección IP de destino cuando especifique la regla de SNAT. Use la dirección de origen de coincidencia de DNAT como dirección IP de origen cuando especifique la regla de DNAT. Por ejemplo, si se menciona una dirección IP de destino en la regla de SNAT, vRealize Network Insight Cloud aplica la regla de SNAT independientemente de que el paquete tenga la dirección de destino como dirección IP de destino.

Compatibilidad con flujos de NAT (ejemplos)Esta sección consta de algunos ejemplos sobre el flujo de NAT admitido en vRealize Network Insight Cloud.

Ejemplo 1

En la topología que se muestra más arriba, E2, E3, LDR y las máquinas virtuales (VM1, VM2, VM3 y VM4) forman parte del dominio de NAT E1. Todo valor superior a E1, como un enlace ascendente de E1, forma parte del dominio NAT predeterminado. La topología anterior se compone de los siguientes elementos:

El flujo de VM1 a VM2 y viceversa se indica en vRealize Network Insight Cloud. De forma similar, se indica el flujo de VM3 a VM4 y viceversa.


VMware, Inc. 210

Ejemplo 2

La topología anterior se compone de los siguientes elementos:

n VM1 y VM2 forman parte del dominio E2.

n VM3 y VM4 forman parte del dominio E2.

n Los dominios NAT E2 y E3 son dominios secundarios del dominio NAT E1.

n E1 es el único elemento secundario del dominio NAT predeterminado.

n VM5 y VM6 forman parte del dominio NAT E1.

En la topología anterior, se indican los siguientes flujos en vRealize Network Insight Cloud:

n Flujo de VM5 a VM6

n Flujo de (VM1, VM2) a (VM3, VM4)

VMware Cloud on AWS flujos

Si habilitó IPFIX en el origen de datos en la página Configuración, puede ver el número de flujos y la hora de la última recopilación.

Puede buscar un flujo concreto y obtener los detalles asociados con las entidades. Por ejemplo, puede ver el segmento de directivas y la información del grupo de directivas en Source L2 Network y Source Security Group, respectivamente. También puede ver la regla de firewall de directivas asociada al flujo.

vRealize Network Insight Cloud admite los flujos híbridos a través de la VPN. La información de flujo se enriquece con las entidades de origen y de destino.


VMware, Inc. 211

Crear un registro de flujo de VPCCon los registros de flujo de nube privada virtual (Virtual Private Cloud, VPC), puede capturar información sobre el tráfico de IP hacia las interfaces de red de su VPC y desde ellas.

Puede crear registros de flujo mediante el portal de AWS.

Procedimiento


2 En el cuadro de texto Buscar servicio , introduzca y seleccione CloudWatch.

3 Vaya a Registros > Acción > Crear grupo de registros.

Se abrirá la ventana Crear grupo de registros.

4 En el campo Crear nombre de grupo, introduzca un nombre para el grupo y haga clic en Crear grupo de registros.

5 En el panel de navegación superior, haga clic en Servicio y, a continuación, introduzca y seleccione VPC.

6 En la página Panel de control de VPC, haga clic en Sus VPC.

7 Seleccione la instancia de VPC que desea modificar y haga clic en Registros de flujo > Crear registro de flujo.

8 En la ventana Crear registro de flujo, configure el registro de flujo:

Opción Acción

Filtrar Seleccione una de las siguientes opciones: Aceptar, Rechazar o Todo.

Destino Seleccione Enviar a registros de CloudWatch.

Grupo de registros de destino Seleccione el grupo de registros que creó.

9 Haga clic en Establecer permisos.

El sistema abrirá la página Registros de flujo de VPC solicita permiso para utilizar los recursos de la cuenta.


VMware, Inc. 212

10 Cree una función de IAM.

a En la página Registros de flujo de VPC solicita permiso para utilizar los recursos de la cuenta, en la sección Función de IAM, seleccione Crear una nueva función de IAM.

b En el cuadro de texto Nombre de función, introduzca un nombre para la función.

a Haga clic en Permitir.

11 En la página Crear registro de flujo, en el menú desplegable Función de IAM, seleccione la función que creó.

12 Haga clic en Crear.

Resultados

Se comenzará a publicar el registro de flujo en el grupo de registros seleccionado. Para obtener más información sobre el registro de flujo de VPC, consulte la documentación de AWS en https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#create-flow-log.

Enviar registros de flujo de F5 a los recopiladores de vRealize Network Insight Cloud

Para enviar los registros de flujo, debe hacer lo siguiente:

N.º de Sl Tarea Vínculo

1 Cree un grupo de recopiladores de IPFIX para recibir mensajes de registro de IPFIX del sistema BIG-IP.

Crear un grupo de recopiladores de IPFIX

2 Cree un destino de registro para dar formato a los registros en las plantillas de IPFIX.

Crear un destino de registro de IPFIX

3 Cree un publicador de registros para enviar registros a destinos de registro especificados.

Crear un publicador de registros

4 Cree una iRule para enviar información de flujo al recopilador de vRealize Network Insight Cloud configurado.

Crear iRules

5 Agregue la iRule a una configuración de servidor virtual para que la iRule analice todo el tráfico de red del servidor virtual.

Agregar iRule a un servidor virtual

6 Si no se puede acceder a la máquina virtual de recopilador desde F5, debe crear una entrada de ruta para que el recopilador envíe los registros de flujo.

Crear una entrada de ruta


VMware, Inc. 213

https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#create-flow-log

https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#create-flow-log

Crear un grupo de recopiladores de IPFIXCree un grupo de recopiladores de IPFIX. El sistema BIG-IP enviará mensajes de registro de IPFIX a este grupo.

Procedimiento

1 Inicie sesión en una consola de F5.

2 Haga clic en Principal > Tráfico local > Grupos > Listas de grupos > Crear.

Se abrirá la pantalla Grupo nuevo.

3 En el cuadro de texto Nombre, introduzca un nombre único para el grupo.

4 En Monitores de estado, seleccione gateway_icmp y mueva esta opción al cuadro Activos.

5 En la sección Miembro nuevo, configure la dirección IP del recopilador y haga clic en Agregar.

Opción Acción

Nombre de nodo Introduzca la dirección IP del recopilador.

Puerto del servicio 2055

6 Haga clic en Finalizado.

Pasos siguientes

Crear un destino de registro de IPFIXCree un destino de registro para dar formato a los registros en las plantillas de IPFIX. Después de la aplicación de formato, estos registros se envían al recopilador de IPFIX.

Procedimiento

1 En la consola de F5, haga clic en Principal > Sistema > Registros > Configuración > Destinos de registros > Crear.

Se mostrará la pantalla Destinos de registros.

2 En el cuadro de texto Nombre, introduzca un nombre único.

3 En la lista Tipo, haga clic en IPFIX.

4 Defina las opciones de Configuración de IPFIX.

Opción Acción

Protocolo Haga clic en NetFlow V9.

Nombre de grupo Haga clic en el nombre de grupo que creó en el paso anterior.



VMware, Inc. 214

Crear un publicador de registrosPara enviar los registros a un destino de registro especificado, debe crear un publicador de registros.

Procedimiento

1 En la consola de F5, haga clic en Principal > Sistema > Registros > Configuración > Publicadores de registros > Crear.

Se mostrará la pantalla Publicadores de registros.

2 En el campo Nombre, introduzca un nombre único.

3 En el cuadro Destino, seleccione el destino de registro que creó anteriormente en el cuadro Disponibles y mueva esa opción al cuadro Seleccionados.


Crear iRulesPara enviar la información de flujo al recopilador de vRealize Network Insight Cloud configurado, debe crear una iRule. Debe crear dos iRules. Una iRule para el protocolo TCP y otra iRule para el protocolo UDP.

Procedimiento

1 En la consola de F5, haga clic en Principal > iRules > Lista de iRules > Crear.

Se mostrará la pantalla Nueva iRule.

2 En el cuadro de texto Nombre, introduzca un nombre único.

3 En el cuadro de texto Definición, introduzca las reglas TCP para el protocolo TCP y la regla UDP para el protocolo UDP. Para obtener más información sobre las reglas, consulte iRules para los protocolos TCP y UDP.

Asegúrese de que la iRule apunte al publicador creado anteriormente.


iRules para los protocolos TCP y UDPUtilice las siguientes opciones a fin de crear iRules para los protocolos TCP y UDP.

Regla de TCP

Utilice la siguiente regla a fin de crear una iRule para el protocolo TCP:

Nota Asegúrese de que la iRule apunte al publicador de registros creado anteriormente.

when RULE_INIT {

set static::http_rule1_dest ""

set static::http_rule1_tmplt ""

}


VMware, Inc. 215

# CLIENT_ACCEPTED event to initiate IPFIX destination and template

when CLIENT_ACCEPTED {

set start [clock clicks -milliseconds]

if { $static::http_rule1_dest == ""} {

# open the logging destination if it has not been opened yet

set static::http_rule1_dest [IPFIX::destination open -publisher /Common/<Log Publisher>]

}

if { $static::http_rule1_tmplt == ""} {

# if the template has not been created yet, create the template

set static::http_rule1_tmplt [IPFIX::template create "flowStartMilliseconds \

sourceIPv4Address \

sourceIPv6Address \

destinationIPv4Address \


sourceTransportPort \

destinationTransportPort \

protocolIdentifier \

octetTotalCount \

packetTotalCount \

octetDeltaCount \

packetDeltaCount \

postNATSourceIPv4Address \


postNATDestinationIPv4Address \


postNAPTSourceTransportPort \

postNAPTDestinationTransportPort \

postOctetTotalCount \

postPacketTotalCount \

postOctetDeltaCount \

postPacketDeltaCount \

flowEndMilliseconds"]

}

}

# SERVER_CONNECTED event to initiate flow data to vrni and populate 5 tuples

when SERVER_CONNECTED {

set rule1_msg1 [IPFIX::msg create $static::http_rule1_tmplt]

set client_closed_flag 0

set server_closed_flag 0

IPFIX::msg set $rule1_msg1 flowStartMilliseconds $start

IPFIX::msg set $rule1_msg1 protocolIdentifier [IP::protocol]

# Clientside

if { [clientside {IP::version}] equals "4" } {

# Client IPv4 address

IPFIX::msg set $rule1_msg1 sourceIPv4Address [IP::client_addr]

# BIG-IP IPv4 VIP address

IPFIX::msg set $rule1_msg1 destinationIPv4Address [clientside {IP::local_addr}]

} else {





}


VMware, Inc. 216

# Client port

IPFIX::msg set $rule1_msg1 sourceTransportPort [TCP::client_port]

# BIG-IP VIP port

IPFIX::msg set $rule1_msg1 destinationTransportPort [clientside {TCP::local_port}]

# Serverside

if { [serverside {IP::version}] equals "4" } {

# BIG-IP IPv4 self IP address

IPFIX::msg set $rule1_msg1 postNATSourceIPv4Address [IP::local_addr]

# Server IPv4 IP address

IPFIX::msg set $rule1_msg1 postNATDestinationIPv4Address [IP::server_addr]

} else {





}

# BIG-IP self IP port

IPFIX::msg set $rule1_msg1 postNAPTSourceTransportPort [TCP::local_port]

# Server port

IPFIX::msg set $rule1_msg1 postNAPTDestinationTransportPort [TCP::server_port]

}

# SERVER_CLOSED event to collect IP pkts and bytes count on serverside

when SERVER_CLOSED {


# when flow is completed, BIG-IP to server REQUEST pkts and bytes count

IPFIX::msg set $rule1_msg1 octetTotalCount [IP::stats bytes out]

IPFIX::msg set $rule1_msg1 packetTotalCount [IP::stats pkts out]

# when flow is completed, server to BIG-IP RESPONSE pkts and bytes count

IPFIX::msg set $rule1_msg1 octetDeltaCount [IP::stats bytes in]

IPFIX::msg set $rule1_msg1 packetDeltaCount [IP::stats pkts in]

if { $client_closed_flag == 1} {

# send the IPFIX log

IPFIX::destination send $static::http_rule1_dest $rule1_msg1

}

}

# CLIENT_CLOSED event to collect IP pkts and bytes count on clientside

when CLIENT_CLOSED {


# when flow is completed, client to BIG-IP REQUEST pkts and bytes octetDeltaCount

IPFIX::msg set $rule1_msg1 postOctetTotalCount [IP::stats bytes in]

IPFIX::msg set $rule1_msg1 postPacketTotalCount [IP::stats pkts in]

# when flow is completed, BIG-IP to client RESPONSE pkts and bytes count

IPFIX::msg set $rule1_msg1 postOctetDeltaCount [IP::stats bytes out]

IPFIX::msg set $rule1_msg1 postPacketDeltaCount [IP::stats pkts out]

# record the client closed time in ms

IPFIX::msg set $rule1_msg1 flowEndMilliseconds [clock click -milliseconds]

if { $server_closed_flag == 1} {



}

}


VMware, Inc. 217

Regla de UDP

Utilice la siguiente regla a fin de crear una iRule para el protocolo UDP:

Nota Asegúrese de que la iRule apunte al publicador de registros creado anteriormente.

when RULE_INIT {

set static::http_rule1_dest ""

set static::http_rule1_tmplt ""

}

# CLIENT_ACCEPTED event to initiate IPFIX destination and template

when CLIENT_ACCEPTED {

set start [clock clicks -milliseconds]

if { $static::http_rule1_dest == ""} {

# open the logging destination if it has not been opened yet

set static::http_rule1_dest [IPFIX::destination open -publisher /Common/<Log Publisher>]

}

if { $static::http_rule1_tmplt == ""} {

# if the template has not been created yet, create the template

set static::http_rule1_tmplt [IPFIX::template create "flowStartMilliseconds \

sourceIPv4Address \

sourceIPv6Address \



sourceTransportPort \

destinationTransportPort \

protocolIdentifier \

octetTotalCount \

packetTotalCount \

octetDeltaCount \

packetDeltaCount \





postNAPTSourceTransportPort \

postNAPTDestinationTransportPort \

postOctetTotalCount \

postPacketTotalCount \

postOctetDeltaCount \

postPacketDeltaCount \

flowEndMilliseconds"]

}

}

# SERVER_CONNECTED event to initiate flow data to vrni and populate 5 tuples

when SERVER_CONNECTED {

set rule1_msg1 [IPFIX::msg create $static::http_rule1_tmplt]



IPFIX::msg set $rule1_msg1 flowStartMilliseconds $start

IPFIX::msg set $rule1_msg1 protocolIdentifier [IP::protocol]

# Clientside


VMware, Inc. 218

if { [clientside {IP::version}] equals "4" } {





} else {





}

# Client port

IPFIX::msg set $rule1_msg1 sourceTransportPort [UDP::client_port]

# BIG-IP VIP port

IPFIX::msg set $rule1_msg1 destinationTransportPort [clientside {UDP::local_port}]

# Serverside

if { [serverside {IP::version}] equals "4" } {





} else {





}

# BIG-IP self IP port

IPFIX::msg set $rule1_msg1 postNAPTSourceTransportPort [UDP::local_port]

# Server port

IPFIX::msg set $rule1_msg1 postNAPTDestinationTransportPort [UDP::server_port]

}

# SERVER_CLOSED event to collect IP pkts and bytes count on serverside

when SERVER_CLOSED {


# when flow is completed, BIG-IP to server REQUEST pkts and bytes count

IPFIX::msg set $rule1_msg1 octetTotalCount [IP::stats bytes out]

IPFIX::msg set $rule1_msg1 packetTotalCount [IP::stats pkts out]

# when flow is completed, server to BIG-IP RESPONSE pkts and bytes count

IPFIX::msg set $rule1_msg1 octetDeltaCount [IP::stats bytes in]

IPFIX::msg set $rule1_msg1 packetDeltaCount [IP::stats pkts in]

if { $client_closed_flag == 1} {



}

}

# CLIENT_CLOSED event to collect IP pkts and bytes count on clientside

when CLIENT_CLOSED {


# when flow is completed, client to BIG-IP REQUEST pkts and bytes count

IPFIX::msg set $rule1_msg1 postOctetTotalCount [IP::stats bytes in]

IPFIX::msg set $rule1_msg1 postPacketTotalCount [IP::stats pkts in]


VMware, Inc. 219

# when flow is completed, BIG-IP to client RESPONSE pkts and bytes count

IPFIX::msg set $rule1_msg1 postOctetDeltaCount [IP::stats bytes out]

IPFIX::msg set $rule1_msg1 postPacketDeltaCount [IP::stats pkts out]

# record the client closed time in ms

IPFIX::msg set $rule1_msg1 flowEndMilliseconds [clock click -milliseconds]

if { $server_closed_flag == 1} {



}

}

Agregar iRule a un servidor virtual

Procedimiento

1 En la consola de F5, haga clic en Principal > Servidor virtual > Lista de servidores virtuales.

Se mostrará la pantalla Lista de servidores virtuales.

2 Seleccione el servidor al que desea agregar la iRule.

3 Haga clic en la pestaña Recursos y, en la sección iRule, haga clic en Administrar.

4 Seleccione las iRules de TCP y UDP que creó anteriormente, y mueva las iRules del cuadro Disponible al cuadro Habilitar.


Crear una entrada de rutaSe debe poder acceder a la máquina virtual de recopilador desde F5. Si no es posible, puede crearse una entrada de ruta para el recopilador.

Para comprobar si se puede acceder a la máquina virtual de recopilador desde F5, debe ejecutar el siguiente comando: ping <collector-ip> -I <virtual interface> desde la interfaz de línea de comandos (Command Line Interface, CLI). Si no se puede acceder al recopilador desde F5, es necesario crear una entrada de ruta para el recopilador.

Por ejemplo:

admin@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# ping 10.153.191.116 -I VLAN301

PING 10.153.191.116 (10.153.191.116) from 10.115.30.50 VLAN301: 56(84) bytes of data.

From 10.115.30.50 icmp_seq=1 Destination Host Unreachable

From 10.115.30.50 icmp_seq=2 Destination Host Unreachable

Procedimiento

1 En la consola de F5, haga clic en Principal > Red > Rutas > Agregar.

Se mostrará la pantalla Ruta nueva.

2 En la sección Propiedades, configure las entradas de ruta para enviar los registros de flujo desde F5 hacia el recopilador de vRealize Network Insight Cloud a través del servidor virtual.


VMware, Inc. 220

Información de flujo y ámbito de VMware PKS y Kubernetes 14En vRealize Network Insight Cloud, puede buscar el ámbito de las entidades de contenedor y ver la información de flujo.

Información de flujo de VMware PKS y KubernetesvRealize Network Insight Cloud admite los siguientes tipos de flujo para las entidades de Kubernetes.

n Máquina virtual a pod de Kubernetes

n Pod de Kubernetes a pod

n El destino es el pod de Kubernetes

n El origen es el pod de Kubernetes

Puede utilizar estos tipos de flujo para buscar entidades de Kubernetes específicas.

Por ejemplo, flows where flow type = x, donde x es uno de los tipos de flujo.

vRealize Network Insight Cloud puede proporcionar información de flujo, como métricas, series temporales y relaciones para todas las entidades; esto incluye los detalles de origen y destino del contenedor, así como los detalles de sus entidades.

Asimismo, en el panel de control Análisis de flujo, puede ver los principales comunicadores por clúster de Kubernetes, espacio de nombres, servicio y nodo.

Planificación y microsegmentación de entidades de KubernetesPara planificar un tipo específico de entidad de Kubernetes, seleccione Clúster de Kubernetes, Servicio de Kubernetes, Espacio de nombres de Kubernetes o Nodo de Kubernetes como el ámbito y Microsegmentos en la página Planificar seguridad. Además, puede planificar o analizar los datos de la aplicación y definir el agrupamiento en función de las entidades de Kubernetes para ver la información de flujo de las aplicaciones.

VMware, Inc. 221

También puede exportar las reglas de firewall recomendadas en relación con las entidades de Kubernetes en formato YAML desde Microsegmentos a la página Planificar seguridad.

Nota No se puede exportar el ámbito de la aplicación en formato YAML si contiene máquinas virtuales o miembros de máquina virtual. Si la aplicación solo contiene entidades de contenedor, la exportación al formato YAML estará disponible.


VMware, Inc. 222

Trabajo con la microsegmentación 15vRealize Network Insight Cloud proporciona planificación y recomendaciones para implementar la seguridad de microsegmentación. Permite al usuario administrar y ampliar las implementaciones de VMware NSX de forma rápida y segura.


n Analizar la aplicación

n Detección de aplicaciones

n VMware Cloud on AWS: planificación y microsegmentación

Analizar la aplicaciónLa topología de planificación de microsegmentación muestra todos los flujos que se encuentran en el entorno mediante la división de los flujos en segmentos.

En vRealize Network Insight Cloud, un flujo tiene cuatro tuplas. Incluye:

n Dirección IP de origen

n Dirección IP de destino

n Puerto de destino

n Protocolo

Puede ver los datos en dos formatos: la vista de anillo y la vista de cuadrícula.

Ver datos de flujo y microsegmentación en la vista de anilloEn la vista de anillo, las líneas azules indican los flujos salientes, las líneas verdes indican los flujos entrantes y las líneas amarillas indican los flujos bidireccionales. Puede hacer clic en cualquiera de los segmentos para ver sus detalles.

VMware, Inc. 223

Las máquinas virtuales fuera del ámbito seleccionado se agrupan como Otras entidades en la topología de planificación de microsegmentación.

También puede analizar los flujos mediante la creación de subgrupos de acuerdo con las categorías Internet, Físicos y Otros virtuales.


VMware, Inc. 224

Cada grupo se expande como una cuña. En la siguiente topología, se muestra la cuña para el grupo Físicos.

El pin Flujos muestra los flujos de los distintos intervalos de tiempo separados por puertos. Puede ver todos los flujos o los flujos entre dos entidades. Puede filtrar por flujos permitidos y bloqueados. Puede ver los flujos por Bytes totales o por Recuento de sesiones permitidas. En los flujos protegidos por un firewall, se utiliza un símbolo Protegida por firewall para indicar la protección de los flujos de ese puerto.


VMware, Inc. 225

La planificación de un ámbito (como un centro de datos completo o un clúster) selecciona flujos que tienen máquinas virtuales o servidores físicos (identificados por las IP físicas) como origen o destino.

Una topología contiene dos zonas distintas:

n Interna: esta zona incluye las máquinas virtuales o las direcciones IP en el ámbito.

n Externa: esta zona incluye las máquinas virtuales o las direcciones IP que están fuera del ámbito, pero se comunican con máquinas virtuales o direcciones IP de la zona interna. La zona externa consta de las siguientes cuñas:

n Centro de datos virtual: incluye las máquinas virtuales internas del centro de datos de origen o de destino que se comunican con las máquinas virtuales o las direcciones IP de la zona interna, y no alojan servicios compartidos conocidos (como LDAP, NTP, etc).

n Virtual compartido: incluye las máquinas virtuales internas del centro de datos de destino que alojan servicios compartidos conocidos (como LDAP, NTP, etc.) con los que se comunican las máquinas virtuales o las direcciones IP de la zona interna.

n Centro de datos físico: incluye las direcciones IP físicas internas del centro de datos de origen o de destino que se comunican con las máquinas virtuales o las direcciones IP de la zona interna, y no alojan servicios compartidos conocidos (como LDAP, NTP, etc).

n Físico compartido: incluye las direcciones IP físicas internas del centro de datos de destino que alojan servicios compartidos conocidos (como LDAP, NTP, etc.) con los que se comunican las máquinas virtuales o las direcciones IP de la zona interna.

n Internet: incluye las direcciones IP físicas o las máquinas virtuales externas del centro de datos de origen o de destino que se comunican con las máquinas virtuales o las direcciones IP de la zona interna.

Nota n El sector interno del centro de datos abarca de forma predeterminada las direcciones IP designadas

de RFC 1918, además de todos los reemplazos definidos en la configuración este-oeste.

n El sector externo del centro de datos abarca de forma predeterminada las direcciones IP designadas que no son de RFC 1918, además de todos los reemplazos definidos en la configuración norte-sur.

Ver datos de flujo y microsegmentación en la vista de cuadrículavRealize Network Insight Cloud permite ver la comunicación entre los objetos en una vista tabular o de cuadrícula.

Procedimiento

1 Desplácese hasta Seguridad > Planificar seguridad y haga clic en el icono de la vista de cuadrícula

.


VMware, Inc. 226

2 Seleccione un valor para la opción Agrupar por, por ejemplo, Máquinas virtuales, Aplicación o Grupos de seguridad, para ver los detalles correspondientes en el formato tabular.


Objeto de origen Nombre del origen

Objeto de destino Nombre del destino

Flujos relacionados Recuento de comunicaciones o flujos entre el origen y el destino

Haga clic en el valor de recuento para ver los detalles del flujo relacionado.

Suma de bytes Cantidad agregada de bytes entre todos los flujos

Velocidad máxima de tráfico Velocidad máxima de tráfico observada entre todos los flujos relacionados

Recuento de sesiones Cantidad de sesiones activas para el flujo específico

Nota n Puede hacer clic en cada encabezado de columna para ordenar los datos en orden ascendente o

descendente.

n Puede ocultar el campo en la vista de tabla, hacer clic en el icono de signo más situado junto al encabezado de campo y anular la selección del nombre de campo.

3 Además, puede realizar varias acciones en la página de la vista de cuadrícula.

n En el panel de filtros en el lado izquierdo de la pantalla, puede realizar las siguientes acciones:

n Seleccione un origen o un destino individual para filtrar los flujos relacionados con el objeto de origen o destino seleccionado.

n Seleccione una acción de firewall para ver los flujos permitidos o los flujos descartados.

n Seleccione el estado de protección para ver el estado del flujo.

n Haga clic en Agregar más filtros para sumar filtros adicionales.

n Para exportar los datos tabulares en formato CSV, haga clic en la opción de signo más de la parte superior de la tabla y seleccione Exportar como CSV.

Crear manualmente una aplicaciónPuede crear manualmente una aplicación en la interfaz de usuario de vRealize Network Insight Cloud.

Procedimiento

1 En la página de inicio de vRealize Network Insight Cloud, haga clic en Seguridad > Aplicaciones.

2 En la pestaña Aplicaciones guardadas, haga clic en Agregar aplicación.

3 En la página Agregar aplicación, en el cuadro de texto Nombre de la aplicación, introduzca un nombre para la aplicación que desea crear.


VMware, Inc. 227

4 En la sección Nivel/Implementación, introduzca un nombre único.

Puede crear un nivel/departamento para las máquinas virtuales, las máquinas físicas o los servicios según sus requisitos.

5 En el campo Miembros:

a Seleccione una condición en el menú desplegable para crear un nivel.

Puede definir una condición en función de las propiedades de máquina virtual, la ubicación de las máquinas virtuales (aplicación, clúster, carpetas) y los servicios de Kubernetes (nombre de servicio, dirección IP de clúster, espacio de nombres, IP de clúster o etiquetas de servicio).

Para buscar un servicio de Kubernetes específico que tenga el mismo nombre o la misma dirección IP o la misma etiqueta en varios clústeres, utilice la búsqueda personalizada.

b Introduzca o seleccione el valor que desea agregar al nivel.

Para introducir varios valores, use comas después de los valores individuales.

Para agregar un servicio que forme parte del nivel, seleccione Nombre del servicio e introduzca el nombre en el valor.

Según la condición definida, verá el recuento de máquinas virtuales asociadas o relacionadas, el recuento de direcciones IP físicas o el recuento de servicios.

6 Para agregar otras condiciones, haga clic en Agregar otra condición.

7 (opcional) Para crear otro nivel bajo una aplicación, haga clic en Agregar nivel/implementación.

Puede crear varios niveles en una aplicación.

La aplicación creará todos los niveles y mostrará el recuento de máquinas virtuales, IP físicas y servicios que cumplen con todas las condiciones.

8 (opcional) Para crear una configuración de umbral dinámico, seleccione la casilla de verificación Habilitar análisis de umbral.

El sistema creará una configuración de umbral en la página Configuraciones de umbral. El nombre de la configuración de umbral creada por vRealize Network Insight Cloud empieza con el prefijo Sys.

Nota No se puede eliminar una configuración de umbral generada por el sistema. Cuando se elimina la aplicación o se desactiva la casilla Habilitar análisis de umbral y se guarda la aplicación, se elimina automáticamente la configuración de umbral generada por el sistema en relación con esa aplicación.

Nota Si se agrega un miembro en la aplicación y se selecciona la casilla de verificación Habilitar análisis de umbral, la casilla de verificación puede tardar unos 20 minutos en reflejar el miembro en la página de configuración del umbral.

9 Seleccione Analizar flujos para ver los flujos antes de agregar finalmente la aplicación. Puede ver los niveles en función de las máquinas virtuales o las direcciones físicas según corresponda.


VMware, Inc. 228


Nota Si la aplicación no tiene ninguna máquina virtual de VMware y selecciona la casilla de verificación Habilitar análisis de umbral, no podrá guardar la aplicación. Deberá agregar una máquina virtual de VMware o desactivar la casilla Habilitar análisis de umbral para guardar la aplicación.

11 (opcional) Para obtener una vista previa del análisis de flujo, haga clic en Vista previa de flujos.

Se mostrará la vista de microsegmentos de la aplicación.

Pasos siguientes

Puede ver los detalles de la aplicación en Aplicación guardada.

Crear niveles para IP físicas

Al crear una aplicación, puede seleccionar Búsqueda de IP personalizada en la lista desplegable a fin de crear niveles para las IP físicas en función de los campos enriquecidos. Para obtener más información sobre los campos enriquecidos, consulte Enriquecer los flujos y los endpoints de IP.

La información de DNS, subred y VLAN enriquecida se puede utilizar en la especificación de niveles de la siguiente manera:

n Web

Query: IP Endpoint where Subnet Network = '172.16.101.0/24'

n Aplicación

Query: IP Endpoint where Dns Domain = app.example.com

n BD

Query: IP Endpoint where L2 Network = 'vlan-102'

n Servicios comunes

Query: IP Endpoint where Dns Domain = svc.example.com

Detección de aplicacionesCuando existen varias aplicaciones o existen varios niveles en una aplicación, la creación de aplicaciones mediante API públicas o la interfaz de usuario se convierte en un proceso largo. vRealize Network Insight Cloud detecta de forma automática las aplicaciones y habilita automáticamente el acceso a ellas y sus niveles. Esto reduce ampliamente los esfuerzos manuales.

vRealize Network Insight Cloud puede ejecutar la detección de aplicaciones en función de:

n Etiquetas (etiquetas de AWS o vCenter Server)

n Nombres de máquinas virtuales

n Agregar ServiceNow


VMware, Inc. 229

Ejemplo: Ejemplo de construcción de detección de aplicacionesSi se supone que:

n Agregó vCenter Server como origen de datos.

n Dispone de cuatro máquinas virtuales en el centro de datos (VM1, VM2, VM3 y VM4).

n Estableció etiquetas (clave-valor) para definir los nombres de las aplicaciones a las que pertenecen las máquinas virtuales.

n Estableció etiquetas (clave-valor) para definir el nivel al que pertenecen las máquinas virtuales.

Por ejemplo, consulte la tabla:

Nombre de máquina virtual Etiquetas clave-valor

VM1 n Nombre de aplicación: MyApplication1

n Nivel de aplicación: App


n Nivel de aplicación: Web


n Nivel de aplicación: App


n Nivel de aplicación: Web

Para detectar aplicaciones en función de las etiquetasEn vRealize Network Insight Cloud, puede definir criterios de agrupación para la detección de aplicaciones en estas etiquetas.

En este ejemplo, según las etiquetas definidas y los criterios de agrupación, vRealize Network Insight Cloud detecta dos aplicaciones (MyApplication1 y MyApplication2) con dos niveles (App y Web) y sus máquinas virtuales relacionadas.

Aplicación Niveles y sus máquinas virtuales

MyApplication1 n App y VM1

n Web y VM2

MyApplication2 n App y VM3

n Web y VM4


VMware, Inc. 230

Para crear una aplicación y niveles en función de los nombres de las máquinas virtualesSe supone que los nombres de las máquinas virtuales se definen en un formato determinado. ApplicationName : Tier : VMName

MyApplication1 : App : VM1

MyApplication1 : Web : VM2

MyApplication2 : App : VM3

MyApplication2 : Web : VM4

Nota No se pueden agrupar nombres de máquina virtual definidos de forma aleatoria para la detección de aplicaciones.

Cuando se utiliza la siguiente expresión regular, vRealize Network Insight Cloud detecta dos aplicaciones.

n Expresión regular de aplicación: (.*)_(.*)_.*-.*

n Expresión regular de nivel: (.*)_(.*)_(.*)-.*

Aplicación Niveles y sus máquinas virtuales

MyApplication1 n App y MyApplication1: App: VM1

n Web y MyApplication1: Web: VM2

MyApplication2 n App y MyApplication2: App: VM3

n Web y MyApplication2: Web: VM4

Agregar aplicaciones detectadasPuede detectar las aplicaciones existentes y agregarlas a vRealize Network Insight Cloud.

Procedimiento

1 En el cuadro de búsqueda, busque con la cadena aplicaciones.

2 Haga clic en la pestaña Aplicaciones detectadas.

Se mostrarán las siguientes pestañas para agregar una aplicación. Estas son: Etiquetas, ServiceNow, Nombre.


VMware, Inc. 231

3 Seleccione la pestaña preferida y realice los pasos relacionados.

Pestaña Descripción

Etiquetas a Defina el ámbito.

n Seleccione Todas las máquinas virtuales para ver una lista de todas las máquinas virtuales de todos los orígenes de datos que se agregaron en vRealize Network Insight Cloud.

n O bien, elija Selección manual y filtre las máquinas virtuales según su requisito, como cuenta, centro de datos, administrador, etc.

b Defina la clave y el valor de la etiqueta.

n Introduzca una clave para la etiqueta. Por ejemplo, Automation, Category, CreatedBy y Owner.

n Introduzca un valor para la clave correspondiente.

c Haga clic en Máquinas virtuales sin clasificar para ver una lista de las máquinas virtuales que no siguen un patrón de nombre o un patrón de etiqueta determinados. Puede editar las máquinas virtuales para corregir el nombre o los criterios de la etiqueta.

d Haga clic en Guardar cambios en para crear una nueva plantilla o actualizar una plantilla existente.

Nota Si es un usuario administrador, puede actualizar todas las plantillas. Si es un usuario miembro, solo puede editar las plantillas que haya creado.

e Haga clic en Detectar.

ServiceNow Puede ver las aplicaciones disponibles en ServiceNow.

Nombre a Defina el ámbito.

n Seleccione Todas las máquinas virtuales para ver la lista de todas las máquinas virtuales de todos los orígenes de datos que se agregaron en vRealize Network Insight Cloud.

n O bien, elija Selección manual y filtre las máquinas virtuales según su requisito, como cuenta, centro de datos, administrador, etc.

b Haga clic en Generador de patrones.

Según el ámbito definido, vRealize Network Insight Cloud filtrará la lista de máquinas virtuales en el generador de patrones.

1 Seleccione el nombre de la máquina virtual predeterminada o seleccione una máquina virtual de la lista para crear un patrón o la expresión regular (regex) en función del nombre de la máquina virtual.

2 Haga clic en una posición o un grupo para construir un patrón.

Nota Después de seleccionar un grupo, si selecciona un carácter o una posición, vRealize Network Insight Cloud ignorará la selección de grupo para crear el patrón y viceversa.

En función de sus selecciones, verá el patrón en la pantalla. Además, verá la lista de aplicaciones que coinciden con el patrón y el recuento de máquinas virtuales en las respectivas aplicaciones.

3 Haga clic en Enviar.c Haga clic en el vínculo Se encontraron count aplicaciones para ver la lista

de nombres de aplicaciones y la cantidad de máquinas virtuales que coinciden con la expresión regular.

d Haga clic en Máquinas virtuales sin clasificar para ver una lista de las máquinas virtuales que no siguen un patrón de nombre determinado.


VMware, Inc. 232

Pestaña Descripción

e Haga clic en Guardar cambios en para crear una nueva plantilla o actualizar una plantilla existente.

Nota Si es un usuario administrador, puede actualizar todas las plantillas. Si es un usuario miembro, solo puede editar las plantillas que haya creado.

f Haga clic en Detectar. Se mostrará la vista tabular y la vista de asignaciones hexagonal de todas las aplicaciones que coincidan con los criterios.

En la vista de asignaciones, cada hexágono representa una aplicación. Puede pasar el cursor sobre el hexágono para ver información, como el nombre de la aplicación, el recuento de máquinas virtuales detectadas y el recuento de niveles. Las líneas entre Internet y las aplicaciones representan las conexiones. Puede hacer clic en las líneas para ver los detalles de flujo, como el recuento de flujos de origen y de destino, y el recuento de flujos de origen y de destino sin protección. El signo de interrogación en el hexágono significa que vRealize Network Insight Cloud no pudo encontrar ni recuperar ningún detalle de flujo de la aplicación. Esto puede ser debido a que la aplicación ha superado el límite de flujos o contiene flujos sin protección.

En la vista tabular, puede ver los detalles de las aplicaciones, incluidos los nombres de las aplicaciones, el recuento de flujos que no llegan al destino y se descartan porque la acción del firewall es Denegar, y el recuento de niveles y miembros.

Las vistas de mapa y tabla son interactivas. Al hacer clic en una aplicación en la vista tabular, el hexágono se resalta o se centra en la vista de asignaciones, y muestra todas las conexiones de red.

4 (opcional) En la vista de asignaciones, realice cualquiera de las siguientes acciones:

n Acerque y aleje la imagen, o mueva el mapa para ver las aplicaciones.

n Filtre la cantidad de hexágonos que puede ver en la topología (por ejemplo, 10 principales, 20 principales, 50 principales y 100 principales), y filtre en función de niveles, nombres y miembros.

Cuanto mayor el recuento, más oscuro el color del hexágono.

n Vea todas las aplicaciones sin protección.

n Vea las aplicaciones que se comunican con Internet.

n Vea todas las aplicaciones que utilizan los servicios compartidos de hosts.

n Vea las aplicaciones con problemas.

5 (opcional) En la vista de tabla, puede realizar las siguientes acciones:

n Haga clic en el encabezado de columna para ordenar los valores en orden ascendente o descendente.

n Pase el cursor sobre el valor de la columna miembro para ver el recuento individual de máquinas virtuales, IP físicas y servicios.

n Haga clic en el nombre de una aplicación para abrir el panel de control de la aplicación y ver los detalles de esa aplicación específica.


VMware, Inc. 233

n Haga clic en el icono + en la vista tabular para expandir los detalles de la aplicación, como los criterios y el recuento de máquinas virtuales y niveles.

Nota El icono solo se encuentra disponible para las aplicaciones detectadas.

6 Para guardar la aplicación detectada:

n En la vista de asignaciones, pase el cursor sobre el hexágono y haga clic en Guardar aplicación.

n Opcionalmente, en la vista tabular, haga clic en Guardar aplicación.

Nota Para guardar aplicaciones en masa, seleccione varias casillas de verificación de aplicaciones de la tabla y, a continuación, haga clic en Guardar aplicación.

7 Revise los detalles en la página Agregar aplicación y haga clic en Enviar.

Después de guardar, verá application:Saved en la lista de hexágonos de aplicaciones con desplazamiento de cursor y una marca de graduación para la aplicación en la vista tabular. Si la aplicación ya se guardó, puede pasar el cursor sobre la marca de graduación y hacer clic en Guardar como para guardar la aplicación con un nombre diferente.

Nota Si las aplicaciones se modifican en ServiceNow, no se ejecuta la actualización automática en vRealize Network Insight Cloud. Es necesario actualizar manualmente la aplicación en vRealize Network Insight Cloud.

Tabla 15-1. Limitaciones

Objetos Límites máximos

Límites recomendados(basados en una configuración de

clúster de plataforma EXTRA LARGE de 5 nodos)

Lista de aplicaciones en la vista de asignaciones

3.000 aplicaciones No corresponde

Lista de aplicaciones en la vista tabular No corresponde (paginadas) No corresponde

Aplicaciones guardadas 5.000 400

Total de niveles en todas las aplicaciones 20.000 3500

Niveles por aplicación 150 20

Miembros por nivel No corresponde No corresponde

Miembros por aplicación 5.000 1.800

Si una aplicación supera el límite, es posible que no se muestre la información de flujo en el panel de pines Topología de aplicación o que se muestre un mensaje

de error.

Flujos por aplicación 500.000 300.000

Si la configuración supera los límites recomendados de niveles y aplicaciones, es posible seguir agregando objetos hasta el límite máximo; sin embargo, el rendimiento puede verse afectado.


VMware, Inc. 234

Pasos siguientes

Haga clic en Exportar como CSV para exportar los detalles de las aplicaciones en formato .csv. Puede definir el recuento de aplicaciones y los campos que desea exportar. Los campos de nombre de la aplicación y nombre del nivel se repetirán en función del recuento de miembros (una fila por miembro). Solo se rellenan los campos relacionados con la aplicación; los campos restantes quedan vacíos.

VMware Cloud on AWS: planificación y microsegmentación

Para planificar un segmento específico de VMware Cloud on AWS, seleccione Segmento de VMC como ámbito en la página Planificar seguridad.

Para los segmentos de directivas, utilice la cláusula VLAN/VXLAN/Overlay en el grupo.

Para los grupos de directivas, utilice la cláusula Security Group en el grupo.


VMware, Inc. 235

Reglas de firewall recomendadas 16En la página Planificar seguridad, al hacer clic en la cuña o el borde del diagrama de topología, puede ver la lista de los servicios y flujos de ese segmento específico. Haga clic en Reglas de firewall recomendadas para ver las reglas definidas en el segmento. Los miembros del origen o del destino se enumeran en los siguientes tipos de reglas:

n Físicas a físicas: en esta pestaña, se enumeran todas las reglas asociadas con las direcciones IP físicas y de Internet. Las reglas pueden ser entidades físicas-físicas, físicas-Internet, Internet-físicas o Internet-Internet.

n Virtual: en esta pestaña, se enumeran todas las reglas en las que al menos uno de los endpoints es una máquina virtual.

VMware, Inc. 236

Para cada regla de firewall, se encuentran disponibles los siguientes detalles:

n Mostrar miembros del grupo: haga clic en el signo + junto al nombre de la entidad para ver los miembros del grupo.

Nota n No se muestran los miembros para los grupos que pertenecen a la categoría Internet.

n Si un grupo de seguridad tiene direcciones IP virtuales y físicas, las direcciones IP físicas y de Internet no se muestran en la lista de los miembros de ese grupo en particular.

n Los servicios miembro de Kubernetes se muestran en la pestaña Servicios de Kubernetes.

n La pestaña no se muestra si el recuento de miembros o la entrada es cero para Máquina virtual, IP físicas y de Internet o Servicios de Kubernetes.

n Origen

n Destino

n Servicios

n Protocolos

n Acción

n Flujos relacionados: haga clic en el número de flujos relacionados para ver la lista de flujos con la información de flujo correspondiente.

n Ver reglas de firewall aplicadas: haga clic en el signo + junto a la columna Flujos relacionados para ver las reglas de firewall aplicadas que corresponden a los conjuntos de flujos similares.


VMware, Inc. 237

Puede exportar las reglas recomendadas como XML o CSV en función de sus requisitos.

Nota También puede exportar las reglas recomendadas que están relacionadas con los objetos de Kubernetes en el formato YAML.

Consulte Exportar reglas para obtener más información sobre estos elementos.

Regla de firewall recomendada para proteger un sistema operativo vulnerableUtilice el siguiente procedimiento a fin de obtener la regla de firewall recomendada para proteger un sistema operativo vulnerable:

1 Vaya a Seguridad > Aplicación > Crear aplicación.

2 Introduzca un nombre para la aplicación y el nivel o la implementación.

3 En el menú desplegable Miembro, seleccione Búsqueda de máquina virtual personalizada y, en el cuadro de texto, agregue la condición in the qualifier put the matching criteria as: Operating System like 'Microsoft

Windows Server 2003' or Operating System like 'Microsoft Windows Server 2008' or

Operating System like 'Red Hat Enterprise Linux 6' or Operating System like 'Red

Hat Enterprise Linux 5' or Operating System like 'SUSE Linux Enterprise 10'.


5 Vaya a Seguridad > Planificar seguridad.

6 En el menú desplegable Ámbito, seleccione Aplicación y el nombre de la aplicación que creó.

7 En el menú desplegable Duración, seleccione Últimos 7 días.

8 Para obtener las reglas de firewall recomendadas, haga clic en Analizar.


n Exportar reglas

n Exportar y aplicar directivas de red de Kubernetes

Exportar reglas


VMware, Inc. 238

Es posible exportar todas las reglas como XML para toda la topología. Para encontrar este elemento de menú en la página Planificación de microsegmentación, realice lo siguiente:

La opción Exportar como XML solo está disponible para las siguientes entidades:

n Grupo de seguridad

n Nivel de aplicación

Si el ámbito de planificación abarca una sola instancia de NSX Manager, los elementos generados contienen los archivos XML correspondientes a las reglas de firewall y los servicios recomendados. Si el ámbito de planificación abarca varias instancias de NSX Manager, los elementos generados contienen los archivos XML correspondientes a los conjuntos de IP, los grupos de seguridad, las reglas de firewall y los servicios recomendados.

Los siguientes son los elementos de marcador de posición para los grupos de seguridad:

n SG-Others_Internet.xml

n SG-Other.xml

Puede exportar todas las reglas como XML o CSV para una porción o un borde en particular que se muestran en el diagrama de topología.

Nota También puede exportar las reglas recomendadas que están relacionadas con los objetos de Kubernetes en el formato YAML.

Elementos universales de NSX DFW


VMware, Inc. 239

La administración de objetos en grupos de seguridad universales en las diversas implementaciones de vCenter y NSX es una tarea sencilla. vRealize Network Insight Cloud admite la generación y la importación de elementos universales solo para los grupos Capa y Aplicación. Con los grupos de seguridad universales, resulta fácil implementar y administrar las reglas de firewall en los escenarios de cross-vCenter. Asegúrese de importar los elementos universales en la instancia principal de NSX Manager. Puede administrar la membresía del grupo de seguridad universal solo a través de la instancia principal de NSX Manager.

Un grupo de seguridad universal puede constar de lo siguiente:

n Otros grupos universales

n Conjuntos de direcciones IP universales

n Etiqueta de seguridad universal

Cuando las reglas se exportan como XML, además de las carpetas específicas de NSX Manager, se crea una carpeta universal compuesta por los elementos universales de NSX DFW. Los grupos de seguridad universales, los conjuntos de direcciones IP universales, las etiquetas de seguridad universales y las reglas de firewall de DFW universales correspondientes se crean después de importar los elementos universales de NSX DFW.

Nota n La etiqueta de seguridad universal solo se admite en el modo activo-en espera.

n El conjunto de direcciones IP universales se admite en los modos activo-activo y activo-en espera.

Puede crear una etiqueta de seguridad universal o un conjunto de direcciones IP universales según sus requisitos. Si crea la etiqueta de seguridad universal, puede asignar la máquina virtual de la aplicación a la etiqueta de seguridad. En caso contrario, se utiliza el conjunto de direcciones IP universales.

Puede utilizar las siguientes marcas en la herramienta de importación:

Tabla 16-1.

Nombre de marca Descripción

-uni Para importar elementos de la carpeta universal.

-utag Para importar los elementos universales con las etiquetas de seguridad universales en la membresía de los grupos de seguridad universales.

-log Para crear reglas en las que está habilitado el registro.

Nota Esta marca no es específica de la opción universal.

Guardar la configuración de exportación de CSV como plantilla de propiedades


VMware, Inc. 240

Al exportar datos de widgets en archivos CSV, puede guardar la combinación de propiedades (o columnas) que desea exportar en plantillas de propiedades. Estas plantillas de propiedades se habilitan para la exportación de CSV cuando los resultados pertenecen a un solo tipo de entidad. Si busca con una palabra clave que devuelve diversos tipos de entidad, no podrá guardar la combinación de propiedades en las plantillas de propiedades.

Al abrir el modo de exportación de CSV, verá las selecciones de propiedades predeterminadas para los resultados de la búsqueda (en función del tipo de entidad). Puede cambiar esta lista de propiedades seleccionadas y guardar la nueva configuración para referencia futura. Como alternativa, también puede cargar o abrir una plantilla de propiedades previamente guardada desde la sección Plantillas del modo de exportación de CSV. Cuando cambie el valor, verá las propiedades seleccionadas para la plantilla de propiedades seleccionada.

Una vez implementados los cambios en las propiedades seleccionadas para la exportación, puede crear una plantilla de propiedades desde el modo de exportación de CSV o editar una plantilla de propiedades existente. Esta plantilla tiene el mismo tipo de entidad que los resultados de la búsqueda actual.


VMware, Inc. 241

Para ver la lista de plantillas de propiedades existentes en el sistema, vaya a la página Configuración -> Plantillas de propiedades. La lista de la página Plantillas de propiedades muestra las plantillas existentes con detalles, como el tipo de entidad, la última actualización y el número de propiedades. Puede editar o eliminar plantillas de propiedades en la página Plantillas de propiedades. Puede editar la plantilla de propiedades, pero no cambiar su nombre.

Exportar y aplicar directivas de red de KubernetesPuede exportar las reglas de directivas de red recomendadas que están relacionadas con los objetos de Kubernetes en el formato YAML. vRealize Network Insight Cloud admite la exportación al formato YAML solo para las topologías de agrupación por Espacio de nombres y por Servicio.

Requisitos previos

n Agregar Kubernetes

n Agregar VMware PKS

Procedimiento

1 Para exportar las reglas recomendadas al formato YAML, en el modelo Planificar seguridad, seleccione el clúster de Kubernetes para el que desea planificar la seguridad y realice uno de los pasos.

n Expanda más opciones en el widget Microsegmentos y seleccione Exportar reglas como YAML.

n O bien, seleccione un nodo en la vista de anillo Microsegmentos, haga clic en el recuento de reglas de firewall recomendadas, expanda más opciones y seleccione Exportar reglas como YAML.

vRealize Network Insight Cloud descargará un archivo ZIP llamado con las directivas de red de Kubernetes y una marca de tiempo asociada. Cuando descomprima el archivo, verá los siguientes cinco archivos CSV, además de varias carpetas, según la cantidad de clústeres. Cada carpeta contendrá varios archivos YAML para el clúster.

Nombre de archivo Descripción

network-policy-others-ipaddress.csv Contiene las direcciones IP de los servidores físicos y la máquina virtual con la que se comunican los servicios o los espacios de nombres.

recommended-namespace-labels-to-add.csv Contiene las etiquetas que se adjuntarán a los pods asociados con el espacio de nombres.

Ejemplo

n Clúster: pdk8s

n Espacio de nombres: sock-shop

n Etiqueta: sock-shop-pdk8s


VMware, Inc. 242

Nombre de archivo Descripción

recommended-service-labels-to-add.csv Contiene las etiquetas que se adjuntarán a los pods asociados con el servicio.

Ejemplo

n Clúster: pdk8s


n Servicio: front-end

n Etiqueta: Service:front-sock-shop-pdk8s

n Clúster: pdk8s


n Servicio: user

n Etiqueta: Service:user-sock-shop

recommended-network-policy.csv Contiene todas las reglas recomendadas por vRealize Network Insight Cloud.

exported-network-policy-rule-names.csv Enumera todas las directivas de red exportadas en función de las reglas recomendadas.

2 Para aplicar las etiquetas de servicio, realice los siguientes pasos:

a Ejecute el siguiente comando de la CLI de Kubernetes.

kubectl edit deployment service-name -n namespace-name

kubectl edit deployment redis-master -n guestbook

Se abrirá el archivo de implementación del servicio.

b En la lista de etiquetas de servicio, anexe la etiqueta que se sugiere en el archivo CSV a las etiquetas mencionadas en la sección de especificaciones de la implementación del servicio.

3 Para aplicar las etiquetas de espacio de nombres, realice los siguientes pasos:

a Ejecute el siguiente comando de la CLI de Kubernetes.

kubectl edit namespace namespace-name

kubectl edit namespace guestbook

Se abrirá el archivo de implementación del espacio de nombres.

b En los metadatos, anexe la etiqueta que se sugiere en el archivo CSV a las etiquetas mencionadas en la sección spec de la implementación del espacio de nombres.

4 Ejecute el siguiente comando para comprobar si se aplicaron las etiquetas a los pods.

kubectl get pods -n namespace-name--show-labels

kubectl get pods guestbook--show-labels

Revise las etiquetas en la vista de resultados.

Nota Las etiquetas no se reflejan en los pods cuando se aplica el espacio de nombres.


VMware, Inc. 243

5 Para crear las directivas de red, copie los archivos YAML de la carpeta del clúster correspondiente y ejecute el siguiente comando:

kubectl apply -f *.yaml o kubectl apply -f YAML fileyaml

Resultados

Ejemplo:

Pasos siguientes


VMware, Inc. 244

Trabajo con las consultas de búsqueda 17vRealize Network Insight Cloud proporciona una búsqueda sólida para todas las entidades del entorno.

Estos son algunos de los términos que pueden ser útiles para la función de búsqueda en vRealize Network Insight Cloud:

n Entidades: un centro de datos consta de bloques de creación físicos y lógicos, como host, máquina virtual, conmutador, enrutador, NSX Manager, etc. Las instancias de estos bloques son entidades.

n Propiedad: una entidad consta de varias propiedades. Puede ser una propiedad de configuración o una propiedad de métrica.

a Propiedad de configuración: una entidad puede describirse mediante sus propiedades de configuración. Una propiedad de configuración puede ser un valor entero o real, o bien una cadena o un valor booleano.

n Nombre, núcleos de CPU y sistema operativo de las máquinas virtuales

n Nombre y número de máquinas virtuales para hosts

b Propiedad de métrica: cualquier propiedad que mide una característica concreta de una entidad es una propiedad de métrica. Los valores de las propiedades de métricas se capturan en intervalos regulares. El uso de CPU, el uso de memoria y el uso de la red para máquinas virtuales son algunos ejemplos de propiedades de métricas.

n Funciones agregadas: se pueden utilizar en las consultas de búsqueda para calcular el número total de instancias de un tipo de entidad específica o de una propiedad máxima de una entidad. vRealize Network Insight Cloud admite las siguientes funciones de agregado.

a sum

b max

c min

d avg

Al buscar entidades, el software muestra las entidades que coinciden con la consulta de búsqueda en la página Resultados.

VMware, Inc. 245

En cada consulta de búsqueda, la barra de búsqueda sugiere el siguiente término que se puede usar para delimitar los resultados de la búsqueda. Por ejemplo, al introducir el término máquina virtual, la barra de búsqueda muestra una lista de términos que se pueden agregar al término existente para limitar los resultados de la búsqueda. La barra de búsqueda también valida cada consulta de búsqueda. Una marca de verificación indica que la consulta de búsqueda es válida y una marca cruzada indica que la consulta de búsqueda no es válida. La página Ayuda proporciona ejemplos de consultas admitidas actualmente.


n Consultas de búsqueda

n Consultas avanzadas

n Control del tiempo

n Resultados de búsqueda

n Filtros

n Etiquetas de vCenter

Consultas de búsqueda

Las consultas de búsqueda pueden dividirse en las siguientes categorías:

1 Consultas estructuradas

Una consulta estructurada consta de los siguientes componentes:

n Tipo de entidad: un tipo de entidad representa el tipo de objeto que se desea buscar. Su formato puede ser singular o plural. El tipo de entidad es obligatorio en una consulta estructurada.


VMware, Inc. 246

Estos son algunos ejemplos:

1 Virtual machines

2 Hosts

3 Flows

4 MTU Mismatch Events

5 Problems

n Filtros: la sintaxis para el filtro es la siguiente:

La sintaxis para la condición es la siguiente:

Se puede utilizar una cláusula de filtro para filtrar los resultados de búsqueda. La condición en una cláusula de filtro está compuesta por la propiedad, el operador de comparación y el valor. Las condiciones se pueden combinar con operadores lógicos para crear condiciones complejas. Esta es una lista de los operadores que se pueden utilizar:

Operador Ejemplos

= flows where source ip address = '10.16.240.0/24'

flows where flow type = 'Source is VM'

!= vms where ip address != '10.17.0.0/16'

> vms where memory > 4096 mb

< vms where cpu usage rate < 70%

>= vms where memory >= 4096 mb


VMware, Inc. 247

Operador Ejemplos

<= vms where cpu usage rate <= 70%

like vms where name like 'app'

not like vms where name not like 'app'

in flows where port in (22, 23, 80, 443)

vm where ip address in (192.168.91.11, 192.168.91.10)

not in flows where port not in (22, 23, 80, 443)

vm where ip address not in (192.168.91.11, 192.168.91.10)

is set vms where firewall rule is set

is not set vms where firewall rule is not set

() flows where (src tier = ‘App’ and destination tier =

‘DB’) OR (destination tier = ‘App’ and source tier =

‘DB’)

and flows where src tier = 'App' and destinationtier = 'DB'

or flows where flow type = 'Source is VMKNIC' or flow type =

'Destination is VMKNIC'

matches vm where name matches '.*'

vm where name matches 'a.*'

vm where name matches '[a-z]vm-delta[0-9]'

not matches vm where name not matches '.*'

vm where name not matches 'a.*'

vm where name not matches '[a-z]vm-delta[0-9]'

operador 'in' anidado vm where in (vm where name = 'x')

vm where in (vm of host where name = 'x')

vm where host in (host of vm where name = 'x')

vm where name in (name of vm where name = 'x')

n Proyecciones: una cláusula de proyección en una consulta decide qué campos se deben mostrar de las entidades filtradas. Esta cláusula es opcional. Si no se especifica la cláusula de proyección, se muestra el conjunto predeterminado de campos en los resultados de búsqueda. Una cláusula de proyección puede contener los siguientes elementos:

1 Propiedad

2 Número

3 Lista

4 Agregado

5 Serie


VMware, Inc. 248

1 Propiedad: cuando las entidades se buscan por tipo de entidad, se muestra el conjunto de propiedades predeterminado en los resultados de búsqueda. Si se utilizan proyecciones, es posible seleccionar los campos que se deben mostrar en los resultados de búsqueda. Por ejemplo, os of vms muestra todas las máquinas virtuales con OS property en los resultados de búsqueda.

Estos son algunos ejemplos adicionales:

n cpu cores of vms

n source ip address of flows

Si se utiliza una propiedad de métrica, se muestra un gráfico para cada entidad con la propiedad de métrica como y-axis y la hora como x-axis.

2 Número: la consulta de número se puede utilizar para calcular la cantidad de objetos de un tipo de entidad. Estos son algunos ejemplos:

n count of vms

n count of hosts

n count of flows

3 Lista: un operador de lista es útil si no se puede aplicar la condición de filtro a la entidad que se recupera.

Por ejemplo:

List(host) of vms where memory <= 2gb

Esta consulta recupera la lista de hosts, mientras que la condición de filtro se aplica a las máquinas virtuales. Estos son algunos ejemplos adicionales:

n List(ip address)of vms where cpu cores = 1

4 Funciones agregadas: una función agregada permite calcular un solo valor a partir de una propiedad numérica config o metric. El lenguaje de consulta de búsqueda es compatible con las siguientes funciones agregadas:

n max

n sum

n min


VMware, Inc. 249

n avg


n sum(memory) of hosts

n sum(memory), sum(cpu cores) of vms

n sum(bytes) of flows

5 Serie: se utiliza un operador de serie para realizar el agregado en las propiedades de métricas. Por ejemplo:

series(avg(cpu usage)) of vms where cpu cores = 4

Esta consulta muestra un gráfico que contiene el uso de CPU promedio de todas las máquinas virtuales con 4 núcleos de CPU. Estos son algunos ejemplos:

n series(sum(network usage)) of vms where name like 'app'

n series(sum(memory usage)) of vms where name like 'db'

n series(avg(cpu usage)), series(avg(memory usage)) of vms

n Orden: los resultados de búsqueda se pueden ordenar con la cláusula order by. Solo se permite un campo en la cláusula order by. Los resultados se disponen en orden descendente de forma predeterminada.


1 vms order by cpu cores

2 vms order by cpu cores asc

3 flows order by bytes

La cláusula limit se puede utilizar para limitar la cantidad de resultados. Esta debe ir precedida de la cláusula order by. Por ejemplo:

vms order by memory limit 5

n Agrupación: las entidades se pueden agrupar por propiedad. Cuando las entidades se agrupan por propiedad, se muestra la cantidad de resultados de cada grupo de forma predeterminada. Al agregar una proyección, se puede calcular la suma, los valores máximo y mínimo de cualquier propiedad. Al agregar la cláusula order by, se ordenan los resultados. Si la cláusula order by o projection forma parte de una consulta, la función agregada debe estar presente.

sum(bytes) of flows group by dest vm


VMware, Inc. 250

Esta consulta es válida ya que contiene la función agregada en la cláusula de proyección. Una consulta como bytes of flows group by dest vm no es válida, ya que no contiene una función agregada en la cláusula de proyección.


1 vms group by host

2 sum (bytes) of flows group by dest vm order by sum(bytes)

2 Consultas de entidades

a Buscar por tipo de entidad: todas las entidades de un tipo de entidad se pueden enumerar mediante una búsqueda de tipo de entidad.

Ejemplos: vms, hosts, flows, nsx managers

b Buscar por nombre de entidadn Buscar por nombre completo: si se conoce el nombre completo de una entidad, se puede

encerrar el nombre entre comillas simples para buscarlo.

Ejemplos: 'prod-68-1', 'app1-72-1'

n Buscar por nombre parcial: la búsqueda de una sola palabra o varias palabras recupera todas las entidades que coinciden con las palabras introducidas.

Ejemplos: prod, app1

Nota Si la entrada contiene palabras clave o tipos de entidad, es posible que se procese como una consulta de búsqueda.

n Buscar por tipo y nombre de entidad: si se conocen tanto el nombre como el tipo de una entidad, se puede buscar mediante la consulta conjunta de tipo de entidad y nombre de entidad.

Ejemplo: la consulta de búsqueda 'vm app1' devuelve todas las máquinas virtuales que contienen app1.

3 Consultas de planificación

Estas consultas se pueden utilizar para analizar los flujos y planificar la seguridad del centro de datos.

Ejemplos:

a plan securitygroup1

b plan host1

c plan security


VMware, Inc. 251

4 Consultas de ruta de acceso

Estas consultas se pueden utilizar para mostrar la ruta de acceso entre dos máquinas virtuales o la ruta de acceso de la máquina virtual a Internet.

Ejemplos:

a Vm 'vm1' to Vm 'vm2'

b VM 'vm1' to Internet

Nota n Las consultas de búsqueda no distinguen entre mayúsculas y minúsculas.

n Los tipos de entidad o las propiedades de configuración pueden tener sinónimos. Por ejemplo, el tipo de entidad 'virtual machine' tiene el sinónimo 'vm'.

Consultas de búsqueda de AzurePuede buscar detalles de la entidad de Azure en vRealize Network Insight Cloud.

Estas son algunas consultas de búsqueda de ejemplo:

Entidades de Azure Consultas de ejemplo

Microsoft Azure Azure

Grupo de seguridad de aplicaciones de Azure Azure Application Security Group where Azure Virtual

Network = 'Test-vnet2'

Origen de datos de Azure Azure Data Source

Regla de Azure NSG Azure NSG Rule where Action = 'ALLOW'

Interfaz de red de Azure Azure Network Interface where Azure Virtual Network =

'Test-vnet2'

Grupo de seguridad de red de Azure Azure Network Security Group where Subscription = 'vRNI-

dev'

Ruta de Azure Azure Route where Route Table = 'TestRouteTable'

Tabla de rutas de Azure Azure Route Table where Azure Virtual Network = 'aks-

vnet-28255566'

Subred de Azure Azure Subnet where Azure Virtual Network = 'vrni-01-vnet'

Suscripción de Azure Azure Subscription

Máquina virtual de Azure Azure Virtual Machine where Azure Application Security

Group = 'TestASG'

Red virtual de Azure Azure Virtual Network where Azure Peer Virtual Network =

'vrni-01-vnet'


VMware, Inc. 252

Entidades Cisco ACI

A continuación se muestra una lista de algunas de las entidades Cisco ACI en las que puede realizar una búsqueda:

Nota Las entidades llevan el prefijo aci.

n aci application profile

n aci bridge domain

n aci endpoint group

n aci fabric

n aci switch

n aci tenant


n aci fabric 'ACI-Demo-Fabric': esta consulta recupera información sobre los arrendatarios, los conmutadores y las controladoras en el tejido ACI.

n aci switches by role: esta consulta recupera información sobre los distintos conmutadores de hoja o de espina en el tejido ACI.

En la lista de conmutadores, haga clic en el nombre de un conmutador para obtener más detalles sobre él.


VMware, Inc. 253

n aci endpoint group: esta consulta recupera una lista de los grupos de endpoints con las máquinas virtuales, los dominios de puente y VRF asociados.

n aci application profile 'Production': esta consulta recupera el perfil de aplicación de producción con las máquinas virtuales y los grupos de endpoints contenidos.

n VMware VM 'ACIVM-160' to VMware VM 'ACIVM-161': esta consulta muestra la ruta de máquina virtual a máquina virtual entre las dos máquinas virtuales.

n Puede buscar con la dirección IP para obtener los detalles de puerto, grupo de endpoints y dominio de puente.


VMware, Inc. 254

n Puede buscar con la dirección Mac para obtener los detalles de puerto, grupo de endpoints y dominio de puente.

n Puede buscar un grupo de endpoints y obtener la lista de endpoints asociados.

n Puede buscar un endpoint.


VMware, Inc. 255

Consultas de búsqueda de FortinetPuede buscar detalles de la entidad de Fortinet en vRealize Network Insight Cloud.


Entidades de Fortinet Consultas de ejemplo

Paquete de directivas de Fortinet Fortinet Policy Package where Domain Manager =

‘ADOM_NAME’

Directiva de Fortinet Fortinet Policy where Source IP = ‘10.0.0.15’

Dirección de Fortinet Fortinet Address where Address Type = ‘ipmask’

Dirección dinámica de Fortinet Fortinet Dynamic Address where Domain Manager =

‘ADOM_NAME’

Grupo de direcciones dinámicas de Fortinet Fortinet Dynamic Address Group where Domain Manager =

‘ADOM_NAME’

Servicio de Fortinet Fortinet Service where port = 5900

Grupo de servicios de Fortinet Fortinet Service Group where Manger = ‘10.0.15.101’

ADOM de Fortinet Fortinet ADOM where Manager ID = ‘10.0.15.101’

VDOM de Fortinet Fortinet VDOM where Domain Manager = ‘ADOM_NAME’

Interfaz dinámica de Fortinet Fortinet Dynamic Interface where Domain Manager =

‘ADOM_NAME’

Enriquecer lo flujos con los datos de DNS de Infoblox

vRealize Network Insight Cloud admite dos orígenes de información de DNS:

n Archivo CSV importado

n Infoblox DNS

Nota Si se produce un conflicto entre Infoblox DNS y el archivo CSV, la información de Infoblox DNS tiene prioridad.


VMware, Inc. 256

Puede usar diversas consultas de búsqueda para obtener más información sobre el origen de las entradas de DNS en un flujo.

Tabla 17-1.

Palabra clave Consulta de búsqueda de ejemplo Descripción

Proveedor de DNSFlows where DNS Provider='Infoblox'

Proporciona la lista de flujos en los que los datos de DNS se obtienen de Infoblox.

Proveedor de DNSFlows where DNS Provider='CSV'

Proporciona la lista de flujos en los que los datos de DNS se obtienen de CSV.

Proveedor de DNS de origen

Flows where Source DNS Provider='Infoblox'Proporciona la lista de flujos en los que el proveedor de DNS para la dirección IP de origen es Infoblox.

Proveedor de DNS de destino

Flows where Destination DNS provider='Infoblox'

Proporciona la lista de flujos en los que el proveedor de DNS para la dirección IP de destino es Infoblox.

Consultas de búsqueda comunes para entidades de KubernetesPuede buscar detalles de entidades de Kubernetes en vRealize Network Insight Cloud.

Consultas comunesn Flujos de búsqueda: flows where Kubernetes Object = Object name

Ejemplo: flujos donde Kubernetes Cluster = 'Production'

n Ver la escala del servicio: kubernetes pods group by Kubernetes Services

n Ver la carga del nodo: kubernetes Pods group by Kubernetes Node

n Ver el estado del nodo: MemoryPressure and PIDPressure and DiskPressure and Ready of Kubernetes Node

n Ver el cumplimiento del flujo: flows from Kubernetes Object name of the object to Kubernetes Object name of the object

Ejemplo: flows from Kubernetes Namespace'PCI' to Kubernetes Namespace'Non-PCI'

n Ver la topología de ruta:

n De servicio de Kubernetes nombre de servicio a servicio de Kubernetes nombre de servicio

n De servicio de Kubernetes nombre de servicio a pod de Kubernetes nombre de pod

n De pod de Kubernetes nombre de pod a pod de Kubernetes nombre de pod


VMware, Inc. 257

Tabla 17-2. Consultas sobre un objeto de Kubernetes

Objeto de Kubernetes Consulta Descripción

Espacio de nombres n kubernetes namespace where L2 Networks = 'a'

n list(Kubernetes Node) of Kubernetes Pod where Kubernetes Namespace = 'a'

n El espacio de nombres de Kubernetes en el que se establece la conexión con la red de capa 2 'a'

n La lista de nodos de Kubernetes donde el espacio de nombres de Kubernetes es 'a'

Pod n NSX-T Logical port where connectedto.modelKey in (modelKey of kubernetes nodes) order by Tx Packets desc

n NSX-T Logical port where connectedto.modelKey in (modelKey of kubernetes pods) and Rx Packet Drops > 0

n new kubernetes pod in last 1 hour

n La lista de puertos lógicos conectados a un nodo en función de los paquetes transferidos en orden descendente

n La lista de puertos lógicos conectados a pods de Kubernetes y paquetes descartados de Rx > 0

n Nuevos pods de Kubernetes detectados en la última hora

Servicios n kubernetes pods where kubernetes services is not set

n kubernetes pods group by Kubernetes Services, Kubernetes Cluster

n Lista de pods de Kubernetes que no tienen un servicio

n Cantidad de pods que se ejecutan en cada servicio

Nodos n kubernetes nodes where Ready != 'True'

n kubernetes node where Virtual Machine = 'vm-a'

n Lista de nodos de Kubernetes en mal estado

n Nodo de Kubernetes que forma parte de la máquina virtual 'vm-a'

Flujos n flows where kubernetes service is set

n flows where source kubernetes node = 'a'

n Lista de flujos en los que existe un servicio de Kubernetes de origen o de destino

n Lista de flujos en los que el nodo de Kubernetes de origen = 'a' o el nodo de Kubernetes de destino = 'a'

Consultas de búsqueda de ejemplo relacionadas con el equilibrador de cargaPuede utilizar las siguientes consultas de ejemplo para filtrar o buscar datos relacionados con el equilibrador de carga.

n vm where lbServiceNodes is set: enumera todas las máquinas virtuales en las que se aloja una aplicación donde se distribuye la carga.

n vm where lbServiceNodes is set and PowerState !='POWEREDON': enumera todas las máquinas virtuales en las que se aloja una aplicación con equilibrio de carga que actualmente no funciona.

n pool member where state = 'DISABLED': enumera todos los miembros del grupo deshabilitados.


VMware, Inc. 258

n Count of Pool Members where Service Port = '80': proporciona el recuento de todos los miembros del grupo de un tipo de servicio específico que se ejecutan en el puerto 80.

n service node where virtual machine is not set: enumera todos los nodos de servicio que utilizan el servidor físico como servidor de aplicaciones o la instancia de vCenter Server en la que se alojan las máquinas virtuales no agregadas a vRealize Network Insight Cloud.

Consultas de búsqueda para reglas de firewall de NSXPuede buscar reglas de firewall de NSX en vRealize Network Insight Cloud.

Tabla 17-3. Consultas de reglas de firewall

Consulta de búsqueda Descripción

VM where incoming rules.Source Any Vea las reglas con cualquier origen (se puede combinar con un puerto específico).

Firewall rule where action = allow and service any = true Vea las reglas de firewall que permiten cualquier puerto.

Firewall Rule Masked Event Vea la lista de reglas de firewall sin utilizar.

New firewall rules in last 24 hours Vea las reglas de firewall creadas en las últimas 24 horas.

New firewall rules in last 7 days Vea las reglas de firewall creadas en los últimos 7 días.

New firewall rules in last 30 days Vea las reglas de firewall creadas en los últimos 30 días.

Firewall rule where flow is not set Vea la lista de todas las reglas de firewall inactivas.

Flow group by firewall rule Vea el recuento de flujos que alcanzan cada regla de firewall.

Security group where Indirect Incoming Rules is not set

and Indirect Outgoing Rules is not set and Direct

Incoming Rules is not set and Direct Outgoing Rules is

not set

Vea el grupo de seguridad que no se utiliza.

Ipset where Indirect Incoming Rules is not set and

Indirect Outgoing Rules is not set and Direct Incoming

Rules is not set and Direct Outgoing Rules is not set

Vea el conjunto de IP que no se utiliza.

Flow where rule id in (1011, 1012, 1013) Los flujos que alcanzan un identificador de regla específico.

Flow where application = app1 Los flujos que alcanzan la aplicación.

n Reglas de firewall sin utilizar

n Evento de regla de enmascaramiento de reglas de firewall

Consultas de búsqueda de VMware SD-WANPuede buscar detalles de entidades de VMware SD-WAN en vRealize Network Insight.


Entidades de VMware SD-WAN Consultas de ejemplo

Clúster de VeloCloud VeloCloud Cluster where Description = 'cluster one'

Origen de datos de VeloCloud VeloCloud Data Source where Enabled = true


VMware, Inc. 259

Entidades de VMware SD-WAN Consultas de ejemplo

Edge de VeloCloud VeloCloud Edge where Activation State = 'Activated'

Empresa de VeloCloud VeloCloud Enterprise where Name = 'VMWare - vRNI'

Puerta de enlace de VeloCloud VeloCloud Gateway where City = 'Ashburn'

Red de capa 2 de VeloCloud VeloCloud Layer2 Network where Network = '172.16.40.2/24'

Vínculo de VeloCloud VeloCloud Link where Link Uptime = 100%

Perfil de VeloCloud VeloCloud Profile where Name = 'APProfile'

Segmento de VeloCloud VeloCloud Segment where Vendor ID = '1'

VMware Cloud on AWS para entidades de AWS

Estas son las entidades relacionadas con NSX Policy Manager de VMware Cloud on AWS:

n NSX Policy Manager Data Source

n NSX Policy Manager

n NSX Policy Firewall

n NSX Policy Firewall Rule

n NSX Policy Segment

n NSX Policy Based VPN

n NSX Policy Group

Nota Si NSX-T 2.4 y VMware Cloud on AWS se agregan como orígenes de datos a la instancia de vRealize Network Insight Cloud, para obtener las entidades de VMware Cloud on AWS, debe agregar el filtro SDDC type = VMC a la consulta. Por ejemplo, si desea enumerar las VPN basadas en directivas para VMware Cloud on AWS, introduzca NSX Policy Based VPN where Tier0 = ‘’ and SDDC Type = ‘VMC’.

Algunas consultas de búsqueda de ejemplo relacionadas con las entidades de VMware Cloud on AWS son las siguientes:

n VMs where L2 Network = '' (L2 Network -> NSX Policy Segment)

n NSX Policy Based VPN where Tier0 = ''

n NSX Policy Based VPN where Local Network = '' (Local Network of Policy Based VPN Rule)

n NSX Policy Based VPN where Remote Network = '' (Remote Network of Policy Based VPN Rule)

n NSX Policy Group where Translated VM = ''


VMware, Inc. 260

n VM where NSX Policy Group = ''

Nota n NSX Policy Manager no es compatible con grupos o conjuntos de IP secundarios. Por lo tanto, todas

las búsquedas como NSX Policy firewall rule where Indirect __________ = '' o NSX Policy group where Indirect _____= '' se encuentran deshabilitadas.

Consultas avanzadas

A continuación se muestran algunos ejemplos de consultas avanzadas:

Consultas de flujo para patrones de comunicaciónn Tráfico total entre centros de datos o sitios (uso del vínculo de DCI)

sum(bytes) of flows where ( Dst Manager = 'abc' AND src manager = 'cba') OR ( Dst Manager

= 'cba' AND src manager = 'abc')

n Tráfico total de VTEP

n sum(bytes) of flows where Flow Type = 'Src is VTEP' or flow type = 'Dst is VTEP' VTEP

traffic grouped by VMKNIC

n sum(bytes) of flows where Flow Type = 'Src is VTEP' or Flow Type = 'Dst is VTEP' group

by ip

n Otro tráfico de administración

flows where Flow Type = 'Source is VMKNIC' or Flow Type = 'Destination is VMKNIC'

Consultas de flujo para agregado y agrupaciónn Tráfico total de Internet por máquina virtual de origen

sum(bytes) of flows where Flow Type = 'Internet' group by src vm

n Puertos principales por bytes totales

sum(bytes) of flow group by port order by sum(bytes)

n Pares de subredes principales por volumen de tráfico enrutado

sum(bytes) of flow where Flow Type = 'Routed' group by Source Subnet Network, destination

subnet network order by sum(bytes)

n Total de máquinas virtuales por total de bytes de pares

sum(bytes) of flows group by src vm , dest vm order by sum(bytes)

n Puerto/máquina virtual de servidor principales por total de bytes

sum(bytes) of flows group by dest vm , port order by sum(bytes)


VMware, Inc. 261

Consultas de flujo para estimación y dimensionamiento de capacidadn Total de bytes de todo el tráfico de vm-internet/internet-vm agrupado por ESX (dimensionamiento

de máquina virtual del servicio de Palo Alto)

sum(bytes) of flows where flow type = 'internet' and (flow type = ' src is vm ' OR flow

type = 'destination is vm ') group by host order by sum(bytes)

n Series de tráfico agregado para flujos coincidentes (dimensionamiento de máquina virtual del servicio de Palo Alto)

series( sum(byte rate)) of flows where host = 'ddc1-pod2esx012.dm.democompany.net' and

(Flow Type = 'Source is VM' OR flow type = 'Destination is VM')

Consultas útiles para la aplicaciónn Máquinas virtuales en una aplicación determinada

VM where application = 'CRM'

n Flujos enrutados de una aplicación determinada

Flows where source application = CRM and Flow Type = 'Routed'

n Flujos entre dos niveles (unidireccional)

Flows where src tier = 'App' and Destination Tier = 'DB'

n Flujos entre dos niveles (unidireccional)

Flows where ( src tier = 'App' and destination Tier = 'DB') OR (destination tier = 'App'

and source tier = 'DB')

Consultas útiles para máquina virtual y ESXn Propiedades de máquina virtual Prod -Midtier-1 (MAC, IP, host, etc.)

CPU Usage Rate, Network Rate, Memory Usage Rate, mac address, ip , vxlan , host of vm

'Quality control-VM26'

n Segmentos de red con el recuento de máquinas virtuales más alto

vm group by l2 network

n Almacenes de datos con el recuento de máquinas virtuales más alto

vm group by datastore

n Hosts por versión de vSphere

host group by version

n Hosts por compilaciones de vSphere

host group by OS


VMware, Inc. 262

n Todas las máquinas virtuales en todos los hosts o las hojas colocados en un chasis de UCS específico (consulta anidada)

vm where host in (host where Blade like 'sys/chassis-1')

Consultas útiles: capacidad generaln Cantidad de centros de datos

count of datacenter

n Cantidad de clústeres

count of cluster

n Número de hosts

count of host

n Número de máquinas virtuales

count of vm

n Cantidad de redes

count of vlan

Consultas útiles: rutasn VNI por controladora principal

vxlan group by Primary Controller

n Rutas para la instancia de Edge 3 de proveedor

routes where vrf = 'Provider Edge 3'

n Rutas de DLR de DMZ

NextHop Router of routes where VRF = 'LDR-DMZ'

n Rutas que tienen el enrutador especificado como próximo salto

routes where NextHop Router = 'California-Edge'

Consultas útiles: reglas de firewalln Reglas de firewall entre dos máquinas virtuales

firewall rules from 'Prod-Midtier-1' to 'Prod-Db-1'

n Reglas con origen ANY

firewall rules where Service Any = true

n Máquinas virtuales para una regla específica

vm where Firewall Rule = 'Prod MidTier to Prod DB - DBService '

n Reglas de firewall en las que se permite cualquier puerto


VMware, Inc. 263

firewall rule where action = allow and service any = true

n Flujos que alcanzan una regla de firewall determinada

flows where firewall rule = 'Admin to Prod and Lab - SSH'

n Flujos denegados en el sistema

flows where firewall action = deny

Consultas útiles: patrones de tráfico generalesn Recuento de tráfico de este a oeste y de norte a sur, recuento de tráfico conmutado, recuento de

tráfico enrutado y recuento de tráfico de máquina virtual a máquina virtual

plan security in last 7 days

Consultas útiles: tráfico procedente de un lente de seguridadn Detalles de máquinas virtuales de principales comunicadores

top 7 vm group by name, Vlan order by sum(Total Network Traffic) in last 7 days

n Redes que transmiten la mayor parte del tráfico

top 7 vlan group by Vlan id, vm count order by sum(Total Network Traffic) in last 7 days

n Redes en las que la mayor parte de la comunicación ocurre dentro de la VLAN (no se cruza con un firewall físico o un límite de capa 3)

top 7 flow where Flow Type = 'Switched' group by Subnet Network order by sum(Bytes) in

last 7 days

n Redes en las que la mayor parte de la comunicación ocurre a través de la VLAN (esto puede estar causando problemas de cuello de botella en el firewall físico)

top 7 flow where Flow Type = 'Routed' group by Source Subnet Network, Destination Subnet

Network order by sum(Bytes) in last 7 days

n Máquinas virtuales que se comunican fuera del país

top 7 flow where Destination Country != 'United States' group by Source VM, Destination

Country order by sum(Bytes) in last 7 days

n Almacenes de datos que presentan la mayor parte de la latencia de almacenamiento

avg(Read Latency), avg(Write Latency) of top 7 vm group by Datastore, vlan order by

avg(Write Latency) in last 7 days

Consultas útiles: cumplimiento/vulnerabilidadesn Detalles de sistemas operativos vulnerables


VMware, Inc. 264

vm where Operating System like 'Microsoft Windows Server 2003' or Operating System like

'Microsoft Windows Server 2008' or Operating System like 'Red Hat Enterprise Linux 6' or

Operating System like 'Red Hat Enterprise Linux 5' or Operating System like 'SUSE Linux

Enterprise 10' group by vlan, Operating System

n Recuento de sistemas operativos vulnerables

count of vm where Operating System like 'Microsoft Windows Server 2003' or Operating

System like 'Microsoft Windows Server 2008' or Operating System like 'Red Hat Enterprise

Linux 6' or Operating System like 'Red Hat Enterprise Linux 5' or Operating System like

'SUSE Linux Enterprise 10'

n Superficie de ataque total debido a sistemas operativos antiguos

vm where vlan in (vlan of vm where os in ('Microsoft Windows Server 2003', 'Microsoft

Windows Server 2008', 'Red Hat Enterprise Linux 6', 'Red Hat Enterprise Linux 5', 'SUSE

Linux Enterprise 10')) group by Vlan

count of vm where vlan in (vlan of vm where os in ('Microsoft Windows Server 2003',

'Microsoft Windows Server 2008', 'Red Hat Enterprise Linux 6', 'Red Hat Enterprise Linux

5', 'SUSE Linux Enterprise 10'))

Nota Para obtener la regla de firewall recomendada para el sistema operativo vulnerable, consulte Regla de firewall recomendada para proteger un sistema operativo vulnerable.

Control del tiempo

El control del tiempo permite ejecutar una consulta de búsqueda dentro del contexto de una hora o un rango de tiempo seleccionados. Puede seleccionar a partir de una lista de valores predeterminados, como las últimas 24 horas, los últimos 3 días, etc. También puede especificar una fecha y una hora concretas con la opción A las o incluso un rango mediante la opción Entre.

Resultados de búsquedaLa página Resultados de búsqueda proporciona una lista detallada de las entidades afectadas que coinciden con una búsqueda específica. La página en sí proporciona información abundante. Esta abarca la lista de entidades, las propiedades correspondientes y las facetas para filtrar los resultados y afinar la búsqueda.

También se puede expandir o contraer cada entrada de los resultados de búsqueda para ver más información sobre una entrada específica. También se puede crear una notificación para cada búsqueda.

Nota Es posible apuntar a una propiedad determinada en los resultados de búsqueda y en las páginas de entidades para ver un cuadro de información sobre la herramienta con más información sobre la propiedad.

El siguiente gráfico muestra los resultados de búsqueda de VXLAN donde la búsqueda num vms > 0 consulta una hora del pasado.


VMware, Inc. 265

Filtros

Una vez que obtenga los resultados de búsqueda, haga clic en Agregar más filtros en el panel izquierdo según sus requisitos. Se mostrará una serie de categorías de filtros que puede utilizar para delimitar los resultados de búsqueda. La cantidad de filtros disponibles para cada categoría se menciona en un pequeño cuadro junto a la categoría. Vea los filtros disponibles para esa categoría (junto con una breve


VMware, Inc. 266

explicación de cada filtro) y haga clic para aplicar ese filtro. También puede usar el cuadro de búsqueda de filtros para buscar un filtro determinado; vRealize Network Insight Cloud mostrará automáticamente los filtros que coinciden con su consulta de búsqueda. Puede hacer clic para aplicar ese filtro. Cada filtro tiene varias propiedades para refinar los resultados de búsqueda. Al seleccionar una propiedad de filtro de uno de los filtros, se resaltará la propiedad seleccionada en los resultados de búsqueda.

Etiquetas de vCentervRealize Network Insight Cloud proporciona etiquetas de vCenter para búsqueda y planificación.

Puede realizar una búsqueda de máquinas virtuales en función de las etiquetas de vCenter y los atributos personalizados. Por ejemplo, puede utilizar la siguiente consulta para buscar con etiquetas:

vm where tag = ‘{keyname}:{value}’

Cada etiqueta pertenece a una categoría. En el ejemplo anterior, keyname es la categoría a la que pertenece la etiqueta y value es el nombre de la etiqueta.

También puede proporcionar un nombre alternativo para una máquina virtual mediante las etiquetas de vCenter o los atributos personalizados con la clave name. Este nombre alternativo se muestra como la propiedad other names. También es posible buscar y realizar consultas de ruta mediante el nombre alternativo.

Por ejemplo, se admiten las siguientes consultas:

vm “other-name-1”

vm “other-name-1" to vm “other-name-2”

En este ejemplo, other-name-1 y other-name-2 son atributos personalizados con las etiquetas o la clave name que pertenecen a la categoría name.

También puede analizar los flujos de la red con las etiquetas de vCenter como se muestra en la figura.


VMware, Inc. 267

Para usar las etiquetas de vCenter, seleccione la opción Etiqueta de la lista desplegable Analizar flujos.

También puede seleccionar hasta tres etiquetas en este nivel. Después de seleccionar la etiqueta, haga clic en Analizar.

En Criterios de agrupación, se seleccionó Etiqueta.


VMware, Inc. 268


VMware, Inc. 269

Planificación de la recuperación ante desastres para vRealize Network Insight Cloud 18VMware Site Recovery Manager (SRM) es un software de automatización de recuperación ante desastres que proporciona administración basada en directivas, pruebas no disruptivas y orquestación automatizada. vRealize Network Insight Cloud es compatible con SRM 8.1 y versiones posteriores. Para proteger vRealize Network Insight Cloud, SRM automatiza cada aspecto de la ejecución de un plan de recuperación ante desastres con el fin de acelerar la recuperación y eliminar los riesgos implicados en el uso de un proceso manual.

Para obtener información sobre la instalación, la actualización y la configuración de SRM, consulte la documentación de VMware Site Recovery Manager.

Los requisitos previos para la operación de recuperación ante desastres de vRealize Network Insight Cloud son los siguientes:

n Asegúrese de haber instalado y configurado vSphere Replication.

n SRM debe estar implementado y configurado en los sitios protegidos y de recuperación.

n En la interfaz de usuario de SRM, asegúrese de que la configuración de emparejamiento de sitios sea correcta antes de continuar con la creación del plan de recuperación y de otros componentes.

n VMware vSphere Replication debe estar habilitado para cada uno de los nodos protegidos de la configuración de vRNI en contexto. Al habilitar VMware vSphere Replication, proporcione un RPO suficiente. Para ello, tenga en cuenta el uso y el tamaño de nodo de vRealize Network Insight Cloud, de modo que la pérdida de datos esperada durante un desastre sea mínima. Para obtener más información sobre la replicación, consulte la documentación de VMware vSphere Replication.

n Asegúrese de crear un grupo de protección independiente para vRealize Network Insight Cloud. Para implementaciones pequeñas no distribuidas, asegúrese de que todas las máquinas virtuales se encuentren en el mismo grupo de protección. Para las implementaciones distribuidas, se recomienda colocar todas las plataformas en un solo grupo de protección para facilitar la recuperación. Puede colocar los recopiladores en grupos de protección diferentes.

n Cree un plan de recuperación y agregue los grupos de protección que contienen máquinas virtuales de vRealize Network Insight Cloud a este plan. Asegúrese de que el grupo de protección que contiene los nodos de la plataforma obtenga la mayor prioridad. En el plan de recuperación, asegúrese de que el nodo de la plataforma principal se coloque en un grupo de mayor prioridad que los demás nodos de la plataforma.

n Actualmente, no se admite ningún tipo de personalización de IPv4 con SRM.

VMware, Inc. 270

https://docs.vmware.com/es/Site-Recovery-Manager/index.html

https://docs.vmware.com/es/vSphere-Replication/index.html

Se recomienda migrar o recuperar las máquinas virtuales de vRealize Network Insight Cloud a una configuración de red idéntica. Además, por una recomendación de SRM, se pueden ejecutar pruebas de forma periódica para garantizar que el plan existente funcione con la infraestructura subyacente y el límite de RPO configurado.

n Migre o recupere las máquinas virtuales de vRealize Network Insight Cloud a una configuración de red idéntica.

Si el sitio de recuperación se configuró para tener la misma configuración de red que el sitio protegido y se creó una asignación entre redes idénticas, configure todas las máquinas virtuales de vRealize Network Insight Cloud replicadas para que se inicien con las mismas direcciones IP. Estas máquinas virtuales serán los nodos protegidos. El sistema recuperado se pondrá en funcionamiento después de que se hayan completado correctamente la migración o la recuperación ante desastres planificadas.

n No especifique ninguna personalización de IP para un plan de recuperación si el sitio de recuperación no tiene la misma red que el sitio protegido. En este escenario, SRM se utiliza para la recuperación de las máquinas virtuales de dispositivo. Para configurar la red después de la recuperación, asigne manualmente la configuración de red de la siguiente manera:

1 Ejecute el comando change-network-settings simultáneamente en todos los nodos de plataforma.

2 Ejecute el comando update-IP-change de forma consecutiva en los nodos de Platform1, Platform2 y Platform3.

3 Ejecute vrni-proxy set-platform --ip-or-fqdn <with-updated-ip-of-Platform1> en el nodo de recopilador.

4 Compruebe el estado de los servicios. Si algunos de los servicios de los nodos de plataforma no están en ejecución, reinicie los nodos en el orden recomendado.

Nota Para obtener más información sobre los comandos mencionados anteriormente, consulte Guía de referencia de línea de comandos de vRealize Network Insight.


n Escenario de recuperación ante desastres de ejemplo

Escenario de recuperación ante desastres de ejemplo

Estos son los pasos para un escenario de recuperación ante desastres (Disaster Recovery, DR) de vRealize Network Insight Cloud de ejemplo:

Procedimiento

1 Asegúrese de que SRM se encuentre configurado y en funcionamiento en los sitios con protección y de recuperación.


VMware, Inc. 271

2 Configure la replicación de cada uno de los nodos de vRealize Network Insight Cloud que desea proteger. Durante la configuración de la replicación, proporcione un tiempo adecuado de objetivos de punto de recuperación (Recovery Point Objectives, RPO) para la instancia de vRealize Network Insight Cloud. Por ejemplo, si se trata de una implementación de vRealize Network Insight Cloud con una sola plataforma y nodos de recopilador (tamaño mediano), un RPO de 45 minutos es suficiente. Sin embargo, si se trata de un clúster con nodos que contienen ladrillos de gran tamaño, se debe proporcionar un RPO adecuado. La configuración del intervalo de instantáneas es específica del requisito y del entorno del usuario.

3 Cree un grupo de protección. Incluya las máquinas virtuales que desea proteger en un grupo de protección específico.

4 Cree un plan de recuperación que incluya los grupos de protección correspondientes.

5 Realice una recuperación de prueba. Esto sirve para garantizar que el plan de recuperación funcione según lo esperado.

6 SRM recomienda que los usuarios realicen una migración planificada en intervalos regulares para validar la integridad del plan de recuperación ante desastres existente.


VMware, Inc. 272

7 Supongamos que el sitio de recuperación tiene una configuración de red que fuerza a las máquinas virtuales de vRealize Network Insight Cloud a presentar las nuevas direcciones IP. Recupere las máquinas virtuales de vRealize Network Insight Cloud con un plan de recuperación que no asuma ningún cambio de red para las máquinas virtuales recuperadas. Una vez que vRealize Network Insight Cloud informe que la operación de recuperación de las máquinas virtuales se realizó correctamente, asigne nuevas direcciones IP de forma manual a los nodos de vRealize Network Insight Cloud, aplique nuevos certificados y vuelva a inicializar el clúster.

8 Por el momento no se admite la personalización de IPv4 con SRM; como solución alternativa, puede realizar una recuperación ante desastres con vRealize Network Insight Cloud, como si no existiera ningún cambio de red.

Para asignar manualmente la configuración de red:

a Ejecute el comando change-network-settings simultáneamente en todos los nodos de plataforma.

b Ejecute el comando update-IP-change de forma consecutiva en los nodos de Platform1, Platform2 y Platform3.

c Ejecute vrni-proxy set-platform --ip-or-fqdn <with-updated-ip-of-Platform1> en el nodo de recopilador.

d Compruebe el estado de los servicios. Si algunos de los servicios de los nodos de plataforma no están en ejecución, reinicie los nodos en el orden recomendado.


VMware, Inc. 273

Solucionar problemas 19Este capítulo incluye los siguientes temas:

n Errores comunes de los orígenes de datos

n No se puede habilitar IPFIX de DFW

Errores comunes de los orígenes de datosCuando se agrega un origen de datos, se pueden encontrar varios errores. Esta tabla contiene la lista de errores comunes con la causa y la resolución de cada uno.

Tabla 19-1.

Texto del error Causa Resolución

Respuesta no válida del origen de datos El proxy de vRealize Network Insight no pudo procesar la información recibida del origen de datos debido a que la información no estaba en el formato esperado.

En algunos proveedores de datos, este problema se observa de forma intermitente y puede desaparecer en el siguiente ciclo de sondeo. Si esto sucede constantemente, póngase en contacto con el soporte técnico.

No se puede acceder al origen de datos desde la máquina virtual proxy

No se puede acceder a la dirección IP del origen de datos en SSH/REST (puertos 22 o 443) desde la máquina virtual proxy de vRealize Network Insight, o bien el origen de datos no responde. Este error se produce al agregar el origen de datos.

Compruebe la conectividad con el origen de datos desde la máquina virtual de proxy de vRealize Network Insight en los puertos 22 o 443. Asegúrese de que el origen de datos funcione y que el firewall no bloquee la conexión desde la máquina virtual proxy de vRealize Network Insight hacia el origen de datos.

No se encontró NSX Controller Se seleccionó una instancia de NSX Controller en la página de orígenes de datos de NSX Manager, pero no existe ninguna instancia de NSX Controller instalada.

Instale una instancia de NSX Controller en NSX Manager y, a continuación, seleccione la casilla de NSX Controller en la página de orígenes de datos de NSX Manager.

El tipo de origen de datos o la versión no coinciden

La dirección IP o el FQDN del origen de datos proporcionados no pertenecen al tipo de origen de datos seleccionado.

Compruebe que la dirección IP o el FQDN del origen de datos proporcionados pertenezcan al tipo de origen de datos seleccionado y que la versión sea compatible con vRealize Network Insight.

VMware, Inc. 274



Error en la conexión con el origen de datos

La máquina virtual proxy de vRealize Network Insight no puede conectarse al origen de datos. Este error se produce después de agregar el origen de datos.

Compruebe la conectividad con el origen de datos desde la máquina virtual de proxy de vRealize Network Insight en los puertos 22 o 443. Asegúrese de que el origen de datos funcione y que el firewall no bloquee la conexión desde la máquina virtual proxy de vRealize Network Insight hacia el origen de datos.

No se encuentra No se encuentra la máquina virtual proxy de vRealize Network Insight.

Compruebe si se ejecuta el emparejamiento la máquina virtual proxy de vRealize Network Insight y la máquina virtual de plataforma de vRealize Network Insight.

Privilegios insuficientes para habilitar IPFix

El usuario que intenta habilitar IPFIX en vCenter no tiene los siguientes privilegios: DVSwitch.Modify; DVPortgroup.Modify.

Proporcione los privilegios adecuados al usuario.

IP/FQDN no válidos La dirección IP o el FQDN proporcionados en la página del origen de datos no son válidos o no existen.

Proporcione una dirección IP o un FQDN válidos.

No se reciben datos La máquina virtual de plataforma de vRealize Network Insight no recibe datos de la máquina virtual proxy de vRealize Network Insight para ese origen de datos.

Póngase en contacto con el soporte técnico.

Credenciales no válidas Las credenciales proporcionadas no son válidas.

Proporcione las credenciales correctas.

Cadena de conexión no válida La dirección IP o el FQDN proporcionados en la página del origen de datos no tiene el formato correcto.

Proporcione una dirección IP o un FQDN válidos.

Es posible que los datos recientes no estén disponibles debido a un retraso de procesamiento

La máquina virtual de plataforma de vRealize Network Insight está sobrecargada y retrasada en el procesamiento de datos.

Póngase en contacto con el soporte técnico.

Se agotó el tiempo de espera de la solicitud; vuelva a intentarlo

No se pudo completar la solicitud en el tiempo especificado.

Vuelva a intentarlo. Si el problema no se soluciona, póngase en contacto con el soporte técnico.

Error por motivos desconocidos; vuelva a intentarlo o póngase en contacto con el soporte técnico

Se produjo un error en la solicitud por algún motivo desconocido.

Vuelva a intentarlo. Si el problema no se soluciona, póngase en contacto con el soporte técnico.


VMware, Inc. 275



Es necesario habilitar la autenticación con contraseña para SSH en el dispositivo

El inicio de sesión en SSH mediante contraseña está deshabilitado en el dispositivo agregado.

Habilite la autenticación con contraseña para SSH en el dispositivo que planea agregar para la supervisión.

Se produjo un error de conexión SNMP Se produjo un error en la conexión con el puerto SNMP.

Compruebe si SNMP se configuró correctamente en el dispositivo de destino.

No se puede habilitar IPFIX de DFWvRealize Network Insight Cloud no permite habilitar IPFIX de DFW.

Problema

Al agregar un administrador de directivas o un origen de VMware Cloud on AWS, cuando se intenta habilitar IPFIX de DFW, es posible que se muestren los siguientes mensajes de error:

n No se pueden agregar nuevos recopiladores.

n El usuario proporcionado no tiene la función necesaria. Solo los usuarios con la siguiente

función pueden habilitar IPFIX: Administrador de nube.

Causa

n VMware Cloud on AWS solo admite cuatro recopiladores en el perfil de recopilador de IPFIX de DFW. Por tanto, se mostrará el mensaje

No se pueden agregar nuevos recopiladores

cuando el perfil existente ya tenga cuatro recopiladores.


VMware, Inc. 276

n El usuario no tiene permiso de escritura. Solo los usuarios con la función Administrador de nube pueden realizar la operación de escritura en el administrador de directivas de VMware Cloud on AWS.

Solución

u Para agregar un nuevo recopilador, debe realizar lo siguiente:

n Eliminar un recopilador existente, o bien

n Crear un nuevo perfil


VMware, Inc. 277

u Para evitar o solucionar el problema con la función de usuario, realice uno de los siguientes pasos:

n Asigne al usuario la función Administrador de nube.

n O bien, inicie sesión como usuario con la función Administrador de nube.


VMware, Inc. 278

Planificar la migración de aplicaciones a VMware Cloud on AWS con vRealize Network Insight Cloud

20Con vRealize Network Insight Cloud, puede evaluar el entorno local para la migración de aplicaciones a AWS o a VMware Cloud on AWS.

Pasos Procedimiento Referencias

Paso 1 Inclusión de origen de datos

1 Inicie sesión en VMware Cloud con su identificador de VMware.

2 Asegúrese de cumplir con los requisitos del sistema.

a Requisitos y recomendaciones del sistema

b Productos y versiones compatibles

3 Adición de vCenter Server.

4 Agregue conmutadores subyacentes y una instancia local de NSX Manager. Para obtener detalles sobre los procedimientos, consulte Capítulo 3 Agregar un origen de datos en vRealize Network Insight Cloud.

5 Agregar una instancia de VMware Cloud on AWS - vCenter.

6 Agregar una instancia de VMware Cloud on AWS - NSX Policy Manager.

Paso 2 Aplicación de modelos

n Analizar dependencias de aplicaciones

a Crear manualmente una aplicación

b Crear niveles para IP físicas

c Analizar la aplicación

d VMware Cloud on AWS: planificación y microsegmentación

n Capítulo 16 Reglas de firewall recomendadas

n Capítulo 17 Trabajo con las consultas de búsqueda

n Paneles de pines


n Cómo obtener el token de actualización de CSP para NSX Manager

n Cómo obtener credenciales de vCenter

n Regla de firewall de puerta de enlace de cómputo

VMware, Inc. 279

https://docs.vmware.com/es/VMware-Network-Insight/services/Getting-Started-with-VMware-Network-Insight/GUID-4EEF1333-6F49-4CD5-B8C2-E960CEEFD05D.html

https://docs.vmware.com/es/VMware-Network-Insight/services/Getting-Started-with-VMware-Network-Insight/GUID-4BA21C7A-18FD-4411-BFAC-CADEF0050D76.html

Cómo obtener el token de actualización de CSP para NSX ManagerPara agregar una instancia de NSX Manager de VMware Cloud on AWS como origen de datos en vRealize Network Insight Cloud, se requiere un token de actualización.

Procedimiento

1 Inicie sesión en la consola de servicios de VMware Cloud.

2 En Mis servicios, haga clic en VMware Cloud on AWS.


VMware, Inc. 280

3 Seleccione el centro de datos definido por software (Software-Defined Data Center, SDDC) que desee.

4 Haga clic en la pestaña Soporte.

5 Anote la dirección IP de NSX Manager.

6 Haga clic en el nombre de la organización en el banner superior.

Nota Asegúrese de que la organización se encuentre en el SDDC seleccionado.


VMware, Inc. 281

7 En la pestaña Tokens de API, copie el token de actualización.

El token de actualización es válido por seis meses. vRealize Network Insight Cloud no realiza un seguimiento del ciclo de vida del token.

Resultados

Puede utilizar este token para autenticar todos los SDDC de VMware Cloud on AWS en la organización.


VMware, Inc. 282

Cómo obtener credenciales de vCenterPara agregar un origen de datos de vCenter a vRealize Network Insight Cloud, se requieren credenciales de vCenter.

Procedimiento

1 Inicie sesión en la consola de servicios de VMware Cloud.

2 En Mis servicios, haga clic en VMware Cloud on AWS.


VMware, Inc. 283

3 Seleccione el centro de datos definido por software (Software-Defined Data Center, SDDC) que desee.

4 Haga clic en la pestaña Configuración.

5 Expanda el FQDN de vCenter.

Anote los detalles del FQDN de vCenter.


VMware, Inc. 284

6 Expanda la cuenta de usuario de vCenter predeterminada para obtener el nombre de usuario y la contraseña.

Copie la contraseña y anote el nombre de usuario.

Regla de firewall de puerta de enlace de cómputoCuando se comunica con la plataforma de vRealize Network Insight Cloud, el recopilador requiere que el puerto HTTPS 443 se encuentre abierto para el tráfico saliente.

El recopilador accede mediante el firewall a las siguientes URL alojadas de VMware:

n *.vmwareidentity.com

n gaz.csp-vidm-prod.com

n *.vmware.com

n *.ni-onsaas.com

Además, se debe permitir el tráfico de NTP y DNS para el correcto funcionamiento de vRealize Network Insight Cloud o el recopilador de vRealize Network Insight Cloud.

Cree una regla de firewall con los siguientes detalles:

n Nombre: un nombre descriptivo adecuado

n Origen: el nombre del grupo de VMware Cloud on AWS que contiene la dirección IP del recopilador.

n Destino: seleccione CUALQUIERA

n Servicios: seleccione HTTPS, DNS, DNS-UDP, NTP, ICMP

n Acción: Permitir

n Se aplica a: Interfaz de Internet


VMware, Inc. 285

n Registro: habilite el registro (si es necesario)


VMware, Inc. 286

Download - docs.vmware.com · 2019-10-11 · Contenido 1 Acerca de la guía de usuario de vRealize Network Insight Cloud 9 2 Introducción 10 Introducción 10 Página de inicio 12 Navegación

Top Related