VMware · Contenido 1 Acerca de la guía de usuario de vRealize Network Insight 9 2 Introducción...

Uso de vRealize NetworkInsight

VMware vRealize Network Insight 5.0

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

Copyright © 2019 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca comercial.

Uso de vRealize Network Insight

VMware, Inc. 2

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

1 Acerca de la guía de usuario de vRealize Network Insight 9

2 Introducción 10Introducción 10

Página de inicio 12

Navegación 13

Configuración 14

3 Agregar un origen de datos en vRealize Network Insight 16Versiones y productos compatibles 18

Adición de vCenter Server 22

Agregar VMware NSX Manager 23

Agregar VMware NSX-T Manager 25

Eventos de NSX-T 29

Agregar VMware SD-WAN 32

Agregar VMware Cloud on AWS 33

Agregar una instancia de VMware Cloud on AWS - vCenter 33

Agregar una instancia de VMware Cloud on AWS - NSX Policy Manager 34

Modelo de implementación de VMware Cloud on AWS 35

Agregar Amazon Web Services 36

Agregar un origen de datos principal de AWS 36

Agregar un origen de datos estándar de AWS 43

AWS: Compatibilidad con el bloqueo geográfico 45

Agregar una suscripción de Azure 46

Habilitar el registro de flujos de NSG 47

Agregar VMware PKS 47

Agregar Kubernetes 48

Agregar OpenShift 49

Agregar una instancia de Fortinet FortiManager 50

Agregar conmutadores Dell OS10 51

Habilitar telemetría en los conmutadores Dell OS10 52

Agregar Huawei 6800/7800/8800 Series 53

Agregar Cisco ACI 55

Agregar un recopilador de flujos físico para sFlow y NetFlow 55

Agregar Log Insight 56

Agregar Infoblox 58

Agregar F5 BIG-IP 59

Agregar ServiceNow 61

VMware, Inc. 3

Agregar ServiceNow 63

Agregar nuevos enrutadores o conmutadores genéricos 77

Editar un conmutador o enrutador genérico 78

4 Eliminar un origen de datos de vRealize Network Insight 80

5 Migrar orígenes de datos 81

6 Configuración de opciones de vRealize Network Insight 83Ver el estado del sistema 84

Configurar intervalo de conservación de los datos 84

Configurar subredes y propiedades de IP 85

Importar el archivo de asignación de DNS 85

Configurar la asignación entre la subred y una VLAN 85

Configurar IP de este a oeste 86

Configurar direcciones IP de norte a sur 87

Configurar eventos y notificaciones 87

Ver y editar eventos del sistema 87

Editar eventos definidos por el usuario 92

Ver eventos de estado de plataforma 94

Notificaciones 94

Configurar la administración de identidades y acceso 97

Configurar LDAP 97

Configurar VMware Identity Manager (vIDM) 100

Configurar la administración de usuarios 101

Configurar registros 103

Ver y exportar registros de auditoría 103

Establecer la configuración de Syslog 104

Configurar servidor de correo 104

Configurar destino de captura de SNMP 105

Administrar licencias 106

Agregar y cambiar una licencia 107

Configurar intervalo de actualización automática 108

Configurar el tiempo de espera de la sesión de usuario 109

Agregar clave de API de Google Maps 110

Ver los registros de auditoría 110

Unirse al programa de mejora de la experiencia de cliente o abandonarlo 111

Ver el estado de la configuración 112

Habilitar el túnel de soporte 112

Administrar el uso de disco 112

Ver detalles de nodos 113


VMware, Inc. 4

Crear un paquete de soporte 114

Comprensión de la capacidad para la carga de los recopiladores y la plataforma 114

7 Crear y expandir clústeres 116Crear clústeres 116

Expandir los clústeres 117

8 Ver detalles de entidades 118Ver los detalles del sistema de vRealize Network Insight (Sistema NI) 119

Ver detalles de la máquina virtual de plataforma 120

Ver detalles de la máquina virtual de recopilador 120

Ver detalles de origen de datos de VMware vCenter 120

Ver detalles de cumplimiento de PCI 121

Exportar como archivo PDF 122

Ver detalles de Kubernetes 123

Ver detalles del equilibrador de carga 124

Ver detalles de la máquina virtual 125

Ver detalles de NSX Manager 126

Ver detalles del servidor virtual 126

Ver detalles de miembros del grupo 128

Ver detalles de Microsoft Azure 128

Ver detalles de VeloCloud Enterprise 130

Ver detalles de VeloCloud Edge 132

Ver detalles de las aplicaciones SD-WAN y SD-WAN de Edge 133

Ver detalles de flujos 134

Ver detalles de la microsegmentación 138

Ver detalles de la aplicación 138

Análisis: detección de valores atípicos 139

Cómo detectar máquinas virtuales con valores atípicos 140

Análisis: umbrales estáticos y dinámicos 141

Configurar umbrales y alertas 142

Ver la página de configuración de un umbral 144

9 Visualización de la topología de una entidad 146Topología de máquina virtual 146

Topología de hosts 146

Topología de VXLAN 147

Topología de VLAN 148

Topología de NSX Manager 148

Recopilación de datos de Edge 149

Ver información de auditoría de los objetos de NSX en vRealize Network Insight 150


VMware, Inc. 5

10 Trabajo con pines 154Pines 154

Tipos de pines 154

Paneles de pines 156

Compartir y colaborar en paneles de pines 160

Para establecer un panel de pines como página de inicio 162

Para duplicar un panel de pines 163

11 F5 como equilibrador de carga 164NSX-V como equilibrador de carga 165

12 Trabajo con redes y seguridad 167Visibilidad de red 167

Topología de ruta 167

Supervisar diversos estados de BGP 179

Ruta de acceso a Internet 179

Seguridad 180

Cross-vCenter NSX 180

Palo Alto Networks 181

Firewall Cisco ASA 184

Firewall de Check Point 186

Grupos de seguridad 189

VPN basada en directivas 190

Reglas inactivas de firewall distribuido de NSX 191

Firewall de Fortinet 191

13 Configuración de flujos en vRealize Network Insight 193Habilitar la configuración de IPFIX 193

Configuración de IPFIX en VDS y DVPG 193

Configuración de IPFIX de VMware NSX 195

Agregar recopilador de NetFlow 197

Compatibilidad con el flujo para servidores físicos 197

Configurar un recopilador de NetFlow en un dispositivo físico 197

Enriquecer los flujos y los endpoints de IP 202

Buscar flujos físicos a físicos 203

Ver flujos bloqueados y protegidos 204

Traducción de direcciones de red (NAT) 205

Compatibilidad con flujos de NAT (ejemplos) 206

VMware Cloud on AWS flujos 207

Crear un registro de flujo de VPC 208

Enviar registros de flujo de F5 a los recopiladores de vRealize Network Insight 209


VMware, Inc. 6

Crear un grupo de recopiladores de IPFIX 209

Crear un destino de registro de IPFIX 210

Crear un publicador de registros 210

Crear iRules 211

Agregar iRule a un servidor virtual 216

Crear una entrada de ruta 216

14 Información de flujo y ámbito de VMware PKS y Kubernetes 217

15 Trabajo con la microsegmentación 219Analizar la aplicación 219

Ver datos de flujo y microsegmentación en la vista de anillo 219

Ver datos de flujo y microsegmentación en la vista de cuadrícula 222

Crear manualmente una aplicación 223

Detección de aplicaciones 225

Agregar aplicaciones detectadas 227

VMware Cloud on AWS: planificación y microsegmentación 231

16 Reglas de firewall recomendadas 232Exportar reglas 234

Elementos universales de NSX DFW 235

Guardar la configuración de exportación de CSV como plantilla de propiedades 236

Exportar y aplicar directivas de red de Kubernetes 238

17 Trabajo con las consultas de búsqueda 241Consultas de búsqueda 242

Consultas de búsqueda de Azure 248

Entidades Cisco ACI 249

Consultas de búsqueda de Fortinet 252

Enriquecer lo flujos con los datos de DNS de Infoblox 252

Consultas de búsqueda comunes para entidades de Kubernetes 253

Consultas de búsqueda de ejemplo relacionadas con el equilibrador de carga 254

Consultas de búsqueda para reglas de firewall de NSX 255

Consultas de búsqueda de VMware SD-WAN 255

VMware Cloud on AWS para entidades de AWS 256

Consultas avanzadas 257

Control del tiempo 261

Resultados de búsqueda 261

Filtros 262

Etiquetas de vCenter 263


VMware, Inc. 7

18 Planificación de la recuperación ante desastres para vRealize Network Insight 266Escenario de recuperación ante desastres de ejemplo 267

19 Solucionar problemas 270Errores comunes de los orígenes de datos 270

No se puede habilitar IPFIX de DFW 272

20 Planificación de la migración de aplicaciones a VMware Cloud on AWS con vRealizeNetwork Insight 275Cómo obtener el token de actualización de CSP para NSX Manager 276

Cómo obtener credenciales de vCenter 279

Regla de firewall de puerta de enlace de cómputo 282


VMware, Inc. 8

Acerca de la guía de usuario devRealize Network Insight 1En la guía de usuario de vRealize Network Insight, se proporciona información sobre el uso de vRealizeNetwork Insight.

Público objetivoEsta información está destinada a los administradores o los especialistas responsables de utilizarvRealize Network Insight. La información está redactada para administradores de máquinas virtualesexperimentados que están familiarizados con aplicaciones de gestión empresarial y operaciones decentros de datos.

VMware, Inc. 9

Introducción 2Este capítulo incluye los siguientes temas:

n Introducción

n Página de inicio

n Navegación

n Configuración

IntroducciónvRealize Network Insight ofrece operaciones inteligentes para redes y seguridad definidas por software.Ayuda a los clientes a crear una infraestructura de red optimizada, segura y de alta disponibilidad enentornos de varias nubes. Acelera la planificación y la implementación de la microsegmentación, permitela visibilidad de redes virtuales y físicas, y proporciona vistas operativas para administrar y ampliar lasimplementaciones de VMware NSX.

Piense en todo el centro de datos como si estuviera compuesto por entidades y sus relaciones. Porejemplo, una máquina virtual es una entidad y la máquina virtual forma parte de un host que es otraentidad. vRealize Network Insight proporciona visibilidad y datos sobre numerosas entidades que formanparte de su centro de datos.

Tabla 2-1.

Entidades Descripción

Host

Problema

Firewall de NSX

Máquina virtual

vSphere Distributed Switch

VMware, Inc. 10

Tabla 2-1. (continuación)

Entidades Descripción

Conmutador físico

Grupo de puertos virtuales

Extensor de tejido de Cisco

Conmutador lógico

Almacén de datos

Tarjeta de interfaz de red física

Grupo de seguridad

Blade

Enrutador

VLAN

Grupo de máquinas virtuales

Cambios de configuración

Interfaz de enrutador

Solución de problemas

Traducción de direcciones de red (NAT)

Servidor de correo


VMware, Inc. 11

Página de inicioEn la página de inicio de VMware vRealize Network Insight, se proporciona un resumen rápido de lo quesucede en todo el centro de datos. Se ofrece acceso rápido a los componentes importantes de vRealizeNetwork Insight en el centro de datos.

La página de inicio se divide en las siguientes secciones:

Barra de búsquedaLa barra de búsqueda ofrece la posibilidad de buscar en toda la red del centro de datos (y sus entidadescorrespondientes). Puede utilizar la barra de búsqueda para buscar las entidades disponibles en elcentro de datos. La barra de búsqueda se encuentra en la parte superior de la página de inicio.

Según sus necesidades, puede realizar la búsqueda con las siguientes opciones de línea de tiempo:

n Ajustes preestablecidos: con esta opción, puede limitar los resultados de la búsqueda a los ajustespreestablecidos, como last week, last 3 days, last 24 hours, yesterday, today, last 2 hours,last hour y now (hora actual).

n A las: con esta opción, puede limitar los resultados de la búsqueda a una fecha y hora específicas.

n Entre: con esta opción, puede buscar datos entre un intervalo de tiempo determinado.

Sección Plann Microsegmentos: puede planificar la microsegmentación de la red en función de los flujos entre

todas las máquinas virtuales.

n Aplicación: puede definir las aplicaciones, analizar sus flujos y planificar su seguridad.


VMware, Inc. 12

Sección Funcionamiento y solución de problemasLa sección Funcionamiento y de solución de problemas proporciona visibilidad, métricas y análisis delos siguientes componentes:

n Máquina virtual (Virtual Machine, VM)

n Red VLAN

n Centro de datos

n Grupo de seguridad de NSX

n VMware NSX

Problemas abiertosLa sección Problemas abiertos proporciona un breve resumen de los eventos críticos que la plataformaencontró en el centro de datos. Se agrupan todos los eventos similares. Use Mostrar todo para ver

todos los eventos. Para ver más detalles de un evento, haga clic en (Ver detalles). Puede utilizar elicono Configurar eventos para desplazarse a la página Eventos del sistema y configurarlos.

Además, si hace clic en la opción Configurar evento de Más opciones en un evento específico, puededesplazarse directamente a la vista de edición de ese evento para modificar la configuración.

¿Qué ocurre?La sección ¿Qué ocurre? proporciona una vista rápida de las propiedades de valor sumamente alto delcentro de datos. Para ver los detalles de una propiedad, haga clic en el recuento de esa propiedadespecífica. Esta sección también contiene filtros en el lado izquierdo para filtrar los eventos y botonespara expandir o contraer todo a fin de ver detalles de los eventos.

NavegaciónvRealize Network Insight contiene un panel de navegación a la izquierda con el que los usuarios puedennavegar rápidamente a las funciones clave del producto, como Seguridad, Topologías, Entidades,Eventos y Búsquedas guardadas de interés sin tener que escribir ninguna consulta de búsqueda.

El panel de navegación contiene las siguientes opciones:

n Seguridad: proporciona las siguientes opciones:

n Planificar seguridad: permite analizar los flujos del entorno y ayuda a planificar losmicrosegmentos dentro del entorno. Puede seleccionar todas las entidades o seleccionar unaentidad determinada y, a continuación, seleccionar la duración para analizar la entidad elegida.

n Aplicaciones: permite crear aplicaciones en vRealize Network Insight mediante una búsquedapersonalizada. Una vez creada una aplicación, es posible planificarla según corresponda.

n Cumplimiento de PCI: este panel de control ayuda a evaluar el cumplimiento según los requisitosde PCI solo en el entorno de NSX.


VMware, Inc. 13

n Ruta de acceso y topología: permite ver cualquier ruta de máquina virtual a máquina virtual otopología de varias entidades del centro de datos.

n Eventos: permite ver los eventos (cambios y problemas) en el entorno. También se proporciona unalista de tipos de eventos para ver rápidamente un tipo de evento específico.

n Entidades: muestra la lista con los distintos tipos de entidades presentes en el entorno. Haga clic encualquier tipo de entidad de la lista específica para ver una lista con todas las entidades de ese tipo.El cuadro de texto que se encuentra sobre la lista de entidades se puede utilizar para restringir lalista en función del texto introducido.

n Búsquedas guardadas: muestra las búsquedas que se guardaron previamente.

ConfiguraciónEn la página Configuración, se proporcionan controles para administrar los proveedores de datos, losusuarios y las notificaciones.

Para ir a la página Configuración:

1 En la esquina superior derecha de la página de inicio, haga clic en el icono Perfil.


VMware, Inc. 14

2 Haga clic en Configuración. Se mostrará la página Configuración.


VMware, Inc. 15

Agregar un origen de datos envRealize Network Insight 3Los orígenes de datos proporcionan a la aplicación la capacidad para recopilar datos de ciertos aspectosdel centro de datos. Estos abarcan desde la instalación de NSX hasta dispositivos físicos, como Cisco™Chassis 4500 y Cisco™ N5K.

Para agregar un origen de datos, realice lo siguiente:

1 En la página Instalación y soporte en Configuración, haga clic en Cuentas y orígenes de datos.

2 Haga clic en Agregar origen nuevo.

3 Seleccione una cuenta o un tipo de origen.

4 Proporcione la información necesaria en el formulario.

5 Haga clic en Validar.

6 Introduzca Alias y Notas (si las hubiera) para el origen de datos.

7 Haga clic en Enviar para agregar el origen de datos al entorno.

Para cada origen de datos, puede ver los siguientes detalles:

Propiedades Descripción

Tipo (alias) Muestra el nombre del origen de datos.

Dirección IP/FQDN Muestra la dirección IP o los detalles de FQDN del origen dedatos.

Última recopilación Muestra la hora de la última recopilación de los datos.

Máquinas virtuales detectadas Muestra el número de máquinas virtuales que se detectaronpara ese origen de datos.

Nota La columna Máquinas virtuales detectadas se rellenasolo si el origen de datos es vCenter o AWS.

Máquina virtual de recopilador Muestra el nombre del recopilador al que se agregó el origen dedatos. Esta columna no está visible si todos los orígenes dedatos enumerados se agregaron al mismo recopilador. Puedeverla solo si los orígenes de datos están presentes en diferentesrecopiladores.

Habilitado Indica si el origen de datos está habilitado o no.

Acciones Muestra las opciones para editar y eliminar el origen de datos.

VMware, Inc. 16

vRealize Network Insight proporciona las siguientes funciones para facilitar el acceso a la información delos orígenes de datos.

n Puede realizar la búsqueda de un origen de datos por su nombre, su dirección IP o el nombre de lamáquina virtual del recopilador mediante la barra de búsqueda situada arriba de los encabezados decolumnas.

n Puede filtrar la información por diferentes orígenes de datos en la columna Tipo (alias).

n También puede filtrarla por varias máquinas virtuales de recopiladores en la columna Máquinavirtual de recopilador.

n Los orígenes de datos se ordenan por sus tipos y alias en orden alfabético.

Para cada origen de datos agregado, puede ver la siguiente información:

n Todo: muestra todos los orígenes de datos disponibles.

n Con problemas: muestra los orígenes de datos en los que vRealize Network Insight detectó unproblema.

n Con recomendaciones: muestra recomendaciones generadas automáticamente en vRealize NetworkInsight para los orígenes de datos que requieren información adicional.

n Deshabilitado: muestra los orígenes de datos que se deshabilitaron.

Este capítulo incluye los siguientes temas:

n Versiones y productos compatibles

n Adición de vCenter Server

n Agregar VMware NSX Manager

n Agregar VMware NSX-T Manager

n Agregar VMware SD-WAN

n Agregar VMware Cloud on AWS

n Agregar Amazon Web Services

n Agregar una suscripción de Azure

n Agregar VMware PKS

n Agregar Kubernetes

n Agregar OpenShift

n Agregar una instancia de Fortinet FortiManager

n Agregar conmutadores Dell OS10

n Agregar Huawei 6800/7800/8800 Series

n Agregar Cisco ACI

n Agregar un recopilador de flujos físico para sFlow y NetFlow


VMware, Inc. 17

n Agregar Log Insight

n Agregar Infoblox

n Agregar F5 BIG-IP

n Agregar ServiceNow

n Agregar nuevos enrutadores o conmutadores genéricos

Versiones y productos compatiblesvRealize Network Insight admite varios productos y versiones.

Origen de datos Versión/Modelo Protocolo de conexión Permisos/Privilegios

Amazon WebServices (sololicencia Enterprise)

No corresponde HTTPS Consulte la sección Agregar unorigen de datos de AWS estándar enla Guía de usuario de vRealizeNetwork Insight.

Conmutadores deArista

7050TX, 7250QX,7050QX-32S, 7280SE-72

SSH, SNMP Usuario de solo lectura

Usuario de SNMP de solo lectura

Suscripción deAzure

No corresponde HTTPS Debe tener el siguiente permiso:

Microsoft.Resources/

subscriptions/read

Microsoft.Compute/

virtualMachines/read

Microsoft.Network/

virtualNetworks/read

Microsoft.Network/

networkSecurityGroups/read

Microsoft.Network/

networkInterfaces/read

Microsoft.Network/

applicationSecurityGroups/

read

Microsoft.Storage/

storageAccounts/read

Microsoft.Storage/

storageAccounts/listkeys/

action

Microsoft.Network/

networkWatchers/

queryFlowLogStatus/action

Como alternativa, para facilitar eluso, puede agregar el StorageAccount Key Operator Service

Role, Network Contributor y elpermiso Reader.

Conmutadores deBrocade

VDX 6740, VDX 6940, MLX,MLXe




VMware, Inc. 18


Firewall de CheckPoint

Check Point R80, R80.10 HTTPS, SSH Consulte la sección Firewall deCheck Point en la Guía de usuariode vRealize Network Insight.

Cisco ACI 3.2 HTTPS (a controlador APIC)

SNMP (a controlador APIC yconmutadores ACI)

Para conectarse a la API de RESTdel controlador APIC a través deHTTPS, se requiere un usuario conel permiso de solo lectura que tengaacceso a todos los tenants.

En SNMP, el usuario necesita elpermiso de solo lectura.

Cisco ASA Serie X con sistemaoperativo 9.4

SSH, SNMP El usuario debe tener derechos paracambiar al modo de activación. Lacontraseña del usuario debe ser lamisma que la utilizada para el modode activación de Cisco ASA.

Cisco Catalyst 3000, 3750, 4500, 6000, 6500 SSH, SNMP Usuario de SNMP de solo lecturacon nivel de privilegiopredeterminado 15

Cisco Nexus 3000, 5000, 6000, 7000, 9000 SSH, SNMP Usuario de solo lectura


Cisco UCS (sistemainformáticounificado)

Servidores blade serie B,servidores en rack serie C,chasis, interconexión detejido

UCS Manager: HTTPS

Tejido UCS: SSH, SNMP

Usuario de solo lectura


Conmutadores deDell

FORCE10 MXL 10,FORCE10 S6000, S4048,Z9100, S4810,PowerConnect 8024, DellOS10



FortinetFortiManager

6.0.1 HTTPS El usuario debe tener:

n Al menos la función Usuariorestringido con acceso a todoslos ADOM y los paquetes dedirectivas.

n Acceso rpc-permit readhabilitado desde la interfaz delínea de comandos (CommandLine Interface, CLI).

F5 BIG-IP 12.1.2 y posterior HTTPS, SSH, SNMP El usuario debe tener al menos lafunción de invitado. Además, TMSHdebe estar habilitado y debe existiracceso a todas las particiones. F5BIG-IP admite tanto el enrutamientocomo el equilibrio de carga.

HP HP Virtual ConnectManager 4.41, HPOneView 3.0

HP OneView 3.0: HTTPS

HP Virtual Connect Manager 4.41:SSH

Usuario de solo lectura


VMware, Inc. 19


Motor de nubeHuawei

6800, 7800, 8800 SSH, SNMP Usuario de solo lectura


Infoblox Infoblox NIOS 8.0, 8.1, 8.2 HTTPS Usuario de solo lectura con acceso ala interfaz de API

Permisos de solo lectura en los tiposde objeto DNS, del siguiente modo:

n Tipo de permiso: DNS

n Recursos: registros A, zonasDNS, vistas DNS

Conmutadores deJuniper

EX3300, QFX 51xx Series(JunOS 12 y 15, sin QFabric)

Netconf, SSH, SNMP Usuario de solo lectura


Kubernetes n 1.12 en NSX-T 2.3.1

n 1.12 en NSX-T 2.3.2

n 1.13 en NSX-T 2.3.2

HTTPS El usuario debe tener la función deadministrador de clústeres conpermisos de lectura.

Palo Alto Networks Panorama 7.0.x, 7.1, 8.x, 9.0 HTTPS El usuario debe tener la función deadministrador con acceso a la APIXML. Consulte la sección sobre PaloAlto Networks en la Guía de usuariode vRealize Network Insight.

ServiceNow London HTTPS El usuario debe tener la función deadministrador.

VMware SD-WAN VeloCloud Orchestrator yEdge 3.3.1 y versionesposteriores

HTTPS El usuario debe tener la funciónCuenta con cualquiera de lossiguientes permisos:

n Superusuarion Administrador estándarn Soporte al cliente

VMC on AWS-vCenter

M5P2 y versionesposteriores.

Nota Solo se admiten SDDCde VMware Cloud on AWSbasados en NSX-T.

HTTPS El usuario debe tener el siguientepermiso:

n Administrador de nube: paraagregar un origen de datos yhabilitar IPFIX.


VMware, Inc. 20


VMC on AWS-NSXManager

M5P2 y versionesposteriores.

Nota Solo se admiten SDDCde VMware Cloud on AWSbasados en NSX-T.

HTTPS El usuario debe tener cualquiera delos siguientes permisos:

n Miembro deorganización.Administrador:para agregar un origen de datosy habilitar IPFIX.

n Miembro deorganización.Administradorde nube: para agregar un origende datos y habilitar IPFIX.

n Miembro deorganización.VMware Cloudon AWS (todas las funciones):para agregar un origen de datosy habilitar IPFIX.

n Miembro deorganización.Auditor de nube:para agregar un origen de datos.

VMware IdentityManager

3.3 y posterior HTTPS El usuario debe tener la función deadministrador.

VMware PKS PKS 1.3.2 en NSX-T 2.3.1

PKS 1.3.2 en NSX-T 2.3.2

El usuario debe tener la función deadministrador de clústeres conpermisos de lectura.

VMware NSXManager (VMwareNSX-V)

Versiones compatibles SSH, HTTPS Consulte la sección Recopilación dedatos perimetrales en la Guía deusuario de vRealize Network Insight.

VMware NSX-TManager

2.4.

Para conocer más versionesadmitidas, consulte Versionescompatibles.

HTTPS Usuario de solo lectura


VMware, Inc. 21

https://partnerweb.vmware.com/comp_guide2/sim/interop_matrix.php#interop&285=&93=




VMware vRealizeLog Insight

Versiones compatibles HTTPS Usuario de API con permisos parainstalar, configurar y administrar elpaquete de contenido.

VMware vSphere Versiones compatibles

En IPFIX se necesita laversión del ESXi de VMware:

n 5.5 Update 2(compilación 2068190) yversiones posteriores

n 6.0 Update 1b(compilación 3380124) yversiones posteriores

n VMware VDS 5.5 yversiones posteriores

Nota VMware Tools debeestar instalado en todas lasmáquinas virtuales del centrode datos para identificar lamáquina virtual en la ruta deacceso de la máquina virtual.

HTTPS Usuario de solo lectura

Privilegios necesarios paraconfigurar y utilizar IPFIX

Credenciales de vCenter Server conprivilegios:

Distributed Switch: Modify

dvPort group: Modify

Las funciones predefinidas envCenter Server deben tener lossiguientes privilegios asignados enel nivel raíz, y que se debenpropagar a las funcionessecundarias:

System.Anonymous

System.Read

System.View

global.settings

Adición de vCenter ServerPuede agregar instancias de vCenter Server como orígenes de datos a vRealize Network Insight.

Se pueden agregar varias instancias de vCenter Server a vRealize Network Insight para empezar asupervisar datos.

Procedimiento

1 Haga clic en Agregar vCenter.

2 Haga clic en Agregar nuevo origen y personalice las opciones.

Opción Acción

Tipo de origen Seleccione el sistema vCenter Server del menú desplegable.

Dirección IP/FQDN Indique la dirección IP o el nombre de dominio completo de la instancia de vCenterServer.

Nombre de usuario Introduzca el nombre de usuario con los siguientes privilegios:

n Conmutador distribuido: modificar

n Grupo de dvPort: modificar

Para obtener información sobre los privilegios adicionales necesarios, consultela sección Privilegios de vCenter en la guía de instalación.

Contraseña Introduzca la contraseña del software de vRealize Network Insight para acceder alsistema vCenter Server.


VMware, Inc. 22


https://partnerweb.vmware.com/comp_guide2/sim/interop_matrix.php#interop&285=&0


Si el número de máquinas virtuales detectadas supera la capacidad de la plataforma o de un nodo derecopiladores (o ambos), se produce un error en la validación. No se le permitirá agregar un origende datos hasta que aumente el tamaño de brick de la plataforma o cree un clúster.

A continuación se presenta la capacidad especificada para cada tamaño de brick, tanto con flujoscomo sin ellos:

Tamaño debrick

Máquinasvirtuales

Estado deflujos

Grande 6k Habilitado

Grande 10k Deshabilitado

Mediano 3k Habilitado

Mediano 6k Deshabilitado

4 Seleccione Habilitar NetFlow (IPFIX) en esta instancia de vCenter para habilitar IPFIX.

Para obtener más información sobre IPFIX, consulte la sección Habilitar la configuración de IPFIX enVDS y DVPG.

5 Agregue orígenes de recopilación de datos avanzados al sistema vCenter Server.

6 Haga clic en Enviar para agregar el sistema vCenter Server. Los sistemas vCenter Serveraparecerán en la página de inicio.

Agregar VMware NSX ManagerPuede agregar NSX-V como un origen de datos en vRealize Network Insight.

Requisitos previos

Verifique lo siguiente:

n Tiene el permiso correcto. Para obtener información sobre los permisos, consulte la secciónProductos y versiones compatibles de Instalación de vRealize Network Insight.

n Tiene los privilegios necesarios. Para obtener información sobre los privilegios, consulte la secciónPrivilegios de Instalación de vRealize Network Insight.

n Ya agregó una instancia de vCenter como origen de datos.

Procedimiento

1 En la página Configuración, haga clic en Cuentas y orígenes de datos.

2 Haga clic en Agregar origen.

3 En Administradores de VMware, haga clic en VMware NSX Manager.


VMware, Inc. 23

4 En la página Agregar una cuenta o un origen de VMware NSX Manager nuevos, proporcione lainformación requerida.

Opción Acción

Máquina virtual de recopilador(proxy)

Seleccione una máquina virtual de recopilador del menú desplegable.

VMware vCenter principal Seleccione la instancia de vCenter que desea agregar en vRealize NetworkInsight.

Nota Asegúrese de que la instancia de vCenter y el origen de datos de NSXManager asociado no estén conectados al mismo servidor proxy. De lo contrario,no verá los flujos denegados (cuando se habilite IPFIX de NSX) y es posible quela regla de firewall aplicada no esté disponible en algunos flujos.

Dirección IP/FQDN Introduzca la dirección IP o los detalles de FQDN.

Nombre de usuario Introduzca el nombre de usuario.

Contraseña Introduzca la contraseña.


6 (opcional) Si desea recopilar datos de NSX Controller, seleccione la casilla de verificación Habilitarrecopilación de datos de NSX Controller.

Si selecciona esta opción, vRealize Network Insight recopilará datos de la controladora, como lainterfaz de enrutador lógico, las rutas, la tabla de Mac de conmutador lógico, los registros de vtep, elestado del clúster de la controladora y la función. La recopilación de datos se realiza mediante la CLIcentral de NSX o la sesión Controladora-SSH.

7 (opcional) Si desea recopilar datos de NSX Edge, seleccione la casilla de verificación Habilitarrecopilación de datos de NSX Edge.

Para obtener información sobre la recopilación de datos de NSX Edge, consulte Recopilación dedatos de Edge.

8 (opcional) Si desea recopilar flujos de IPFIX, seleccione la casilla de verificación Habilitar IPFIX.

Si selecciona esta opción, vRealize Network Insight recibirá flujos de IPFIX de DFW desde NSX-V.Para obtener más información sobre cómo habilitar IPFIX, consulte Habilitar IPFIX de VMware NSX-V.

9 (opcional) Si desea recopilar los datos de métricas de latencia, seleccione la casilla de verificaciónHabilitar latencia de infraestructura virtual.

Si selecciona esta opción, vRealize Network Insight recibirá métricas de latencia de los hosts deNSX. Esta opción solo se encuentra disponible para NSX-V 6.4.5 y versiones posteriores. Asegúresede que el puerto 1991 esté abierto en el recopilador para recibir los datos de latencia del host ESXi.

10 En el cuadro de texto Alias, introduzca un alias.

11 (opcional) En el cuadro de texto Notas, puede agregar una nota si es necesario.

12 Haga clic en Enviar.


VMware, Inc. 24

Agregar VMware NSX-T ManagerVMware NSX-T se diseñó para abordar las arquitecturas y los marcos de trabajo de aplicacionesemergentes que contienen endpoints heterogéneos y pilas de tecnología. Además de vSphere, estosentornos también pueden incluir otros hipervisores, contenedores, equipos nativos y nubes públicas.vRealize Network Insight es compatible con las implementaciones de NSX-T en las que vCenteradministra las máquinas virtuales.

Consideracionesn vRealize Network Insight solo admite las instalaciones de NSX-T en las que vCenter administra los

hosts ESXi. Asegúrese de agregar vCenter como administrador de recursos informáticos en NSX-T.

Nota Los administradores de recursos informáticos deben agregarse como orígenes de datos envRealize Network Insight antes de agregar NSX-T como origen de datos.

n vRealize Network Insight es compatible con grupos NSGroup, reglas de firewall de NSX-T, conjuntosde IP, puertos lógicos de NSX-T, conmutadores lógicos de NSX-T y flujos de IPFIX de firewalldistribuido de NSX-T, así como VPN basadas en directivas, segmentos y grupos.

n vRealize Network Insight es compatible con las implementaciones de NSX-V y NSX-T. Cuando seutiliza NSX en las consultas, los resultados incluyen las entidades NSX-V y NSX-T. NSX Managerenumera tanto NSX-V Manager como NSX-T Manager. Los grupos de seguridad de NSX enumeranlos grupos de seguridad de NSX-T y NSX-V. Si se utilizan NSX-V o NSX-T en lugar de NSX, solo semuestran esas entidades. La misma lógica se aplica a las entidades, como las reglas de firewall, losconjuntos de IP y los conmutadores lógicos.

n Con NSX-T 2.4, vRealize Network Insight admite la administración de directivas declarativas de NSX.Esta opción simplifica y automatiza las configuraciones de redes y seguridad a través deinstrucciones de directivas basadas en resultados.

Nota La microsegmentación sobre el grupo de seguridad se realiza en función de los datos dedirectivas de NSX. Sin embargo, si no existe un grupo de directivas de NSX correspondiente, elgrupo NS independiente se incluye en el análisis de microsegmentación. Para obtener más detallessobre el grupo NS, consulte la documentación del producto de NSX-T.

Para agregar NSX-T Manager como origen de datosEstos son los requisitos previos para agregar NSX-T Manager como origen de datos:

n Agregue al menos una instancia de vCenter que esté asociada con NSX-T a vRealize NetworkInsight.

n Se recomienda agregar todas las instancias de vCenter asociadas con NSX-T como orígenes dedatos a vRealize Network Insight.

n Asegúrese de que la lista de exclusión en el firewall distribuido (Distributed Firewall, DFW) nocontenga conmutadores lógicos. Si existe algún conmutador lógico en esta lista, no se informarán losflujos de ninguna máquina virtual conectada a estos conmutadores lógicos.


VMware, Inc. 25

https://docs.vmware.com/es/VMware-NSX-T-Data-Center/index.html

Para agregar NSX-T Manager:

1 En la página Cuentas y orígenes de datos de Configuración, haga clic en Agregar origen.

2 En VMware Manager en la página Seleccionar una cuenta o un tipo de datos, seleccioneVMware NSX-T Manager.

3 Proporcione las credenciales de usuario.

Nota n Si tiene más de un nodo de administración en una sola implementación de NSX-T, debe agregar

un solo nodo como origen de datos en vRealize Network Insight o utilizar la VIP (de esos nodos).Si agrega más de un nodo de administración, es posible que vRealize Network Insight nofuncione correctamente.

n Si no se requiere IPFIX, el usuario debe ser un usuario local con permisos de nivel de auditoría.Sin embargo, si se requiere IPFIX, el usuario debe tener uno de los siguientes permisos de nivelde auditoría: enterprise_admin, network_engineer o security_engineer.

4 Seleccione Habilitar IPFIX para actualizar la configuración de IPFIX en NSX-T. Al seleccionar estaopción, vRealize Network Insight recibe flujos IPFIX de DFW desde NSX-T. Para obtener másinformación sobre cómo habilitar IPFIX, consulte Habilitar IPFIX en DFW de VMware NSX-T.

Nota n IPFIX de DFW no es compatible con la edición estándar de NSX-T.

n vRealize Network Insight no es compatible con flujos de IPFIX de conmutadores de NSX-T.

5 (opcional) Si desea recopilar los datos de métricas de latencia, seleccione la casilla de verificaciónHabilitar latencia de infraestructura virtual. Si selecciona esta opción, vRealize Network Insightrecibe las métricas de latencia (VTEP-VTEP) de NSX-T. Esta opción solo está disponible para NSX-T2.5 (versión Firestar) y versiones posteriores. Asegúrese de que el puerto 1991 esté abierto en elrecopilador para recibir los datos de latencia del nodo ESXi.

Ejemplos de consultasEstos son algunos ejemplos de consultas relacionadas con NSX-T:

Tabla 3-1. Consultas para NSX-T

Consultas Resultados de búsqueda

NSX-T Manager where VC Manager=10.197.53.214 La instancia de NSX-T Manager donde se agregó esteadministrador de VC específico como administrador de recursosinformáticos.

NSX-T Logical Switch Enumera todos los conmutadores lógicos de NSX-T presentesen la instancia de vRealize Network Insight, incluidos losdetalles sobre si es un conmutador creado por el sistema o porel usuario.

NSX-T Logical Ports where NSX-T Logical Switch =

'DB-Switch'

Enumera los puertos lógicos de NSX-T que pertenecen a eseconmutador lógico de NSX-T específico, el conmutador BD.


VMware, Inc. 26

Tabla 3-1. Consultas para NSX-T (continuación)

Consultas Resultados de búsqueda

VMs where NSX-T Security Group = 'Application-

Group'

O

VMs where NSGroup = ‘Application-Group’

Enumera todas las máquinas virtuales de ese grupo deseguridad específico, el grupo de aplicaciones.

NSX-T Firewall Rule where Action='ALLOW' Enumera todas las reglas de firewall de NSX-T en las que laacción se establece como PERMITIR.

NSX-T Firewall Rule where Destination Security

Group = ‘CRM-Group’

Enumera las reglas de firewall en las que el grupo de CRM es elgrupo de seguridad de destino. Los resultados incluyen tantogrupos de seguridad de destino directos como grupos deseguridad de destino indirectos.

NSX-T Firewall Rule where Direct Destination

Security Group = ‘CRM-Group’

Enumera las reglas de firewall en las que el grupo de CRM es elgrupo de seguridad de destino. Los resultados solo incluyen losgrupos de seguridad de destino directos.

VMs where NSX-T Logical Port = ‘App_Port-Id-1’ Enumera todas las máquinas virtuales que tienen ese puertológico NSX-T específico.

NSX-T Transport Zone Enumera la red VLAN, la zona de transporte superpuesta y losdetalles correspondientes asociados a ella, incluido el tipo denodo de transporte.

Nota vRealize Network Insight no admite KVM como origen dedatos.

NSX-T Router Enumera los enrutadores de NIVEL 1 y NIVEL 0. Haga clic en elenrutador que se muestra en los resultados para ver másdetalles asociados a él, incluidos el clúster de NSX-T Edge y elmodo HA.

NSX Policy Segment Enumera todos los segmentos de directivas de NSX presentesen la instancia de vRealize Network Insight.

NSX Policy Manager Enumera todos los administradores de directivas de NSXpresentes en la instancia de vRealize Network Insight.

NSX Policy Group Enumera todos los grupos de directivas de NSX presentes en lainstancia de vRealize Network Insight.

NSX Policy Firewall Enumera todos los firewall de directivas de NSX presentes en lainstancia de vRealize Network Insight.

NSX Policy Firewall Rule Enumera todas las reglas de firewall de directivas de NSXpresentes en la instancia de vRealize Network Insight.


VMware, Inc. 27

NSX Policy Firewall Rule where Action = 'ALLOW' Enumera todas las reglas de firewall de directivas de NSX enlas que la acción se establece como PERMITIR.

NSX Policy Based VPN Enumera todas las VPN basadas en directivas de NSXpresentes en la instancia de vRealize Network Insight.

Nota Si NSX-T 2.4 y VMware Cloud on AWS se agregan como orígenes de datos a la instancia devRealize Network Insight, para obtener las entidades NST-T, debe agregar el filtro SDDC type = ONPREMa la consulta. Por ejemplo, NSX Policy Based VPN where Tier0 = ‘’ and SDDC Type = ‘ONPREM’.

Compatibilidad con métricas de NSX-TEn la siguiente tabla, se muestran las entidades de vRealize Network Insight que admiten las métricas deNSX-T actualmente y los widgets que muestran estas métricas en los paneles de control de lasentidades correspondientes.

Tabla 3-3.

EntidadesWidgets en el panel de controlde la entidad Métricas de NSX-T compatibles

Conmutador lógico Métricas de paquetes deconmutador lógico

Métricas de bytes de conmutadorlógico

Multicast and Broadcast Rx

Multicast and Broadcast Tx

Unicast Rx

Unicast Tx

Dropped Rx

Dropped Tx

Rx Packets (Total)

Tx Packets (Total)

Puerto lógico Métricas de paquetes de puertológico

Métricas de bytes de puerto lógico

Multicast and Broadcast Rx

Multicast and Broadcast Tx

Unicast Rx

Unicast Tx

Rx Packets (Total)

Tx Packets (Total)

Interfaz de enrutador Métricas de interfaz de enrutador Rx Packets

Tx Packets

Dropped Rx Packets

Dropped Tx Packets

Rx Bytes

Tx Bytes

Regla de firewall Métricas de regla de firewall Hit Count

Flow Bytes

Flow Packets

Estas son algunas consultas de ejemplo de métricas de NSX-T:

n nsx-t logical switch where Rx Packet Drops > 0


VMware, Inc. 28

Esta consulta enumera todos los conmutadores lógicos en los que el número de paquetes recibidosdescartados es mayor que 0.

n nsx-t logical port where Tx Packet Drops > 0

Esta consulta enumera todos los puertos lógicos en los que el número de paquetes transmitidosdescartados es mayor que 0.

n top 10 nsx-t firewall rules order by Connection count

Esta consulta enumera las 10 reglas de firewall principales según el número de conexiones (HitCount).

Eventos de NSX-TvRealize Network Insight permite ver los eventos de NSX-T para la versión 2.3 y versiones posteriores deNSX-T.

El componente de origen es el origen que emite el evento. Puede ser un administrador, una controladorao un borde.

vRealize Network Insight genera los siguientes eventos de NSX-T:

Eventos del sisteman NSX-T Edge Node has no manager connectivity

n NSX-T Edge Node has no controller connectivity

n NSX-T Edge Node's controller connectivity degraded

Eventos personalizadosn NSX-T MTU Mismatch

Nota El error de coincidencia se produce entre los enlaces ascendentes de T0 y las interfacescorrespondientes del dispositivo de enlace ascendente.

n Routing Advertisement disabled for Tier-1 router

n No Uplink Connectivity for Tier-1 router

Nota El enrutador Tier-1 no está conectado a Tier-0.


VMware, Inc. 29

n NSX-T IPFIX Switch data is not supported in Network Insight

Nota vRealize Network Insight no es compatible con los flujos de IPFIX. Elimine la dirección IP de lamáquina virtual de recopilador de vRealize Network Insight presente en los perfiles de recopilador delconmutador de NSX-T que se utilizan en los perfiles de IPFIX de dicho conmutador.

n No vtep is available on the transport node

n NSX-T Vlan misconfiguration on Tier 0 router

n NSX-T VMs included in the firewall exclusion list

n No transport zone attached on the transport node

Eventos de NSX-T y PKSLista de eventos de NSX-T y PKS compatibles con vRealize Network Insight.

Nombre del evento Origen del evento Descripción

vmwNSXPlatformSysCpuUsage Eventos del sistema de NSX-T Uso de CPU en los dispositivos de Edge yManager (Equinox).

vmwNSXPlatformSysDiskUsage Eventos del sistema de NSX-T Uso de espacio de disco en losdispositivos de Edge y Manager para lapartición /var/log (Equinox).

vmwNSXPlatformSysMemUsage Eventos del sistema de NSX-T Uso de memoria en los dispositivos deEdge y Manager (Equinox).

vmwNSXPlatformSysConfigDiskUsage Eventos del sistema de NSX-T Uso de disco en los dispositivos de Edgey Manager para la partición /config(Flash).

vmwNSXPlatformSysVarDumpDiskUsage Eventos del sistema de NSX-T Uso de disco en los dispositivos de Edgey Manager para la partición /var/dump(Firestar).

vmwNSXPlatformSysRepositoryDiskUsage

Eventos del sistema de NSX-T Uso de disco en los dispositivos de Edgey Manager para la partición /repository(Firestar).

vmwNSXPlatformSysRootDiskUsage Eventos del sistema de NSX-T Uso de disco en los dispositivos de Edgey Manager para la partición root (Firestar).

vmwNSXPlatformSysTmpDiskUsage Eventos del sistema de NSX-T Uso de disco en los dispositivos de Edgey Manager para la partición tmp (Firestar).

vmwNSXPlatformSysImageDiskUsage Eventos del sistema de NSX-T Uso de disco en los dispositivos de Edgey Manager para la partición /image(Firestar).

vmwNSXDhcpPoolUsageOverloadedEvent

Eventos del sistema de NSX-T Grupo de DHCP sobrecargado/normal(Firestar).

vmwNSXDhcpPoolLeaseAllocationFailedEvent

Eventos del sistema de NSX-T Asignación de concesión de grupo deDHCP con errores/correcta (Firestar).


VMware, Inc. 30


vmwNSXPlatformPasswordExpiryStatus Eventos del sistema de NSX-T Caducidad de la contraseña de Manager(Flash).

vmwNSXPlatformCertificateExpiryStatus Eventos del sistema de NSX-T Caducidad del certificado de Manager(Flash).

vmwNSXRoutingBgpNeighborStatus Eventos del sistema de NSX-T Estado de vecino de BGP (Equinox).

vmwNSXVpnTunnelState Eventos del sistema de NSX-T Túnel de VPN activo/inactivo (Equinox).

vmwNSXVpnL2TunnelStatus Eventos del sistema de NSX-T Sesión de VPN de capa 2 activa/inactiva(Equinox).

vmwNSXVpnIkeSessionStatus Eventos del sistema de NSX-T Sesión de IKE activa/inactiva (Equinox).

vmwNSXDnsForwarderStatus Eventos del sistema de NSX-T Estado del reenviador de DNS (Flash).

vmwNSXClusterNodeStatus Eventos del sistema de NSX-T Estado del nodo de clúster (Flash).

vmwNSXFabricCryptoStatus Eventos del sistema de NSX-T Controlador MUX criptográfico de Edgecon errores/aprobado(Known_Answer_Tests, KAT) (Flash).

El nodo de NSX-T Edge no tieneconectividad de controladora

vRNI calculado vRNI (el nodo de NSX-T Edge no puedecomunicarse con ninguna de lascontroladoras).

El nodo de NSX-T Edge no tieneconectividad de administrador

vRNI calculado El nodo de NSX-T Edge perdió laconectividad de administrador.

Conectividad de controladora del nodo deNSX-T Edge degradada

vRNI calculado El nodo de NSX-T Edge no puedecomunicarse con una o variascontroladoras.

Error de coincidencia de MTU de NSX-T vRNI calculado La MTU configurada en las interfaces delenrutador lógico de nivel 0 no coincidecon las interfaces del conmutador/enrutador de vínculo superior de la mismared de capa 2. Esto puede afectar elrendimiento de la red.

Máquinas virtuales de NSX-T incluidas enla lista de exclusión de firewall

vRNI calculado Una o más máquinas virtuales no estánprotegidas por el firewall de DFW deNSX-T. vRealize Network Insight norecibirá flujos de IPFIX para estasmáquinas virtuales.

Configuración incorrecta de VLAN deNSX-T en el enrutador de nivel 0

vRNI calculado Se interrumpe la comunicación, ya que laVLAN en el puerto de vínculo superior delenrutador de nivel 0 es diferente de laVLAN en la puerta de enlace externa.

Sin conectividad de vínculo superior vRNI calculado El enrutador lógico de nivel 1 de NSX-Testá desconectado del enrutador de nivel0. No se puede acceder a las redes deeste enrutador desde fuera y viceversa.


VMware, Inc. 31


No hay ninguna zona de transporteasociada al nodo de transporte

vRNI calculado No hay ninguna zona de transporteasociada al nodo de transporte. Esto haceque las máquinas virtuales pierdanconectividad.

No hay ningún paso disponible en el nodode transporte

vRNI calculado Todos los pasos se eliminan del nodo detransporte. Esto hace que las máquinasvirtuales pierdan conectividad.

Anuncio de enrutamiento deshabilitado vRNI calculado Se deshabilitó el anuncio de enrutamientopara el enrutador lógico de nivel 1 deNSX-T. No se puede acceder a las redesde este enrutador desde fuera.

El uso de disco de Manager no escorrecto

Eventos del sistema de NSX-T(vmwNSXPlatformSysDiskUsage)

Vecino de BGP inactivo Eventos del sistema de NSX-T(vmwNSXRoutingBgpNeighborStatus)

Se necesita una alerta cuando el vecinode BGP queda inactivo.

Vecino de BGP activo Eventos del sistema de NSX-T(vmwNSXRoutingBgpNeighborStatus)

Se debe borrar la alarma cuando seactiva un vecino.

Uso de almacenamiento superior a X Eventos del sistema de NSX-T(vmwNSXPlatformSysDiskUsage)

Se activa la alarma del evento dealmacenamiento superior a X para todaslas máquinas virtuales de dispositivo (MP,CCP) o los nodos de transporte (Edge,host).

Uso de memoria superior a X Eventos del sistema de NSX-T(vmwNSXPlatformSysMemUsage)

Se activa la alarma del evento dememoria superior a X para todas lasmáquinas virtuales de dispositivo (MP,CCP) o los nodos de transporte (Edge,host).

Uso de CPU superior a X Eventos del sistema de NSX-T(vmwNSXPlatformSysCpuUsage)

Se activa la alarma del evento de CPUsuperior a X para todas las máquinasvirtuales de dispositivo (MP, CCP) o losnodos de transporte (Edge, host).

Agregar VMware SD-WANPuede agregar VMware SD-WAN por VeloCloud como origen de datos en vRealize Network Insight.

Requisitos previos

Asegúrese de lo siguiente:

n Tiene el permiso correcto para agregar el origen de datos. Para obtener información sobre lospermisos, consulte Productos y versiones compatibles.

n Utiliza VeloCloud Orchestrator y Edge versión 3.3.1 o posterior.

n Agregó al menos una licencia de VMware SD-WAN.


VMware, Inc. 32

n No hay ninguna otra instancia de VMware SD-WAN agregada como origen de datos.

Procedimiento



3 En SD-WAN, haga clic en VeloCloud.

4 En la página Agregar una cuenta o un origen de VeloCloud nuevos, proporcione la informaciónrequerida.

Opción Acción


Seleccione una máquina virtual de recopilador del menú desplegable.

URL de VCO Introduzca la URL de VCO que desee agregar como origen de datos.







Pasos siguientes

Debe habilitar NetFlow para todos los perfiles y las instancias de Edge. Para obtener información sobrecómo habilitar la recopilación de NetFlow, en la página Editar origen de datos de VMware SD-WAN,haga clic en Ver instrucción.

Nota Puede ver la opción Ver instrucción en Nota: La recopilación de NetFlow debe estarhabilitada para todos los perfiles y las instancias de Edge.

Agregar VMware Cloud on AWSvRealize Network Insight solo es compatible con VMware Cloud on AWS para usuarios de licenciasEnterprise. Puede agregar VMware Cloud on AWS (vCenter) o VMware Cloud on AWS (NSX PolicyManager) como un origen de datos.

Agregar una instancia de VMware Cloud on AWS - vCenterPuede agregar una instancia de VMware Cloud on AWS - vCenter como origen de datos.

Requisitos previos

n Debe tener los privilegios Cloud Administrator.


VMware, Inc. 33

n Obtenga las credenciales para agregar NSX Manager como origen de datos.

a Inicie sesión en la consola de VMware Cloud Services.

b Haga clic en VMware Cloud on AWS en Mis servicios.

c Haga clic en el nombre del SDDC deseado.

d En la pestaña Configuración, copie el FQDN de vCenter en la pestaña FQDN de vCenter. Enla pestaña Cuenta de usuario de vCenter predeterminada, copie las credenciales de usuario.

Procedimiento

1 Haga clic en Configuración > Cuentas y orígenes de datos > Agregar origen.

2 En VMware Cloud on AWS, haga clic en VMware Cloud on AWS - vCenter.

3 En la página Agregar una instancia de VMware Cloud on AWS - VMware vCenter:

n Seleccione la máquina virtual del recopilador.

n Proporcione el FQDN de vCenter que recuperó de VMware Cloud Services.

n Proporcione las credenciales de usuario que recuperó de VMware Cloud Services.


5 Introduzca Alias y Notas (si las hubiera) para el origen de datos y haga clic en Enviar.

6 Agregar una instancia de VMware Cloud on AWS - NSX Policy Manager.

Agregar una instancia de VMware Cloud on AWS - NSX PolicyManagerPuede agregar VMware Cloud on AWS - NSX Policy Manager como un origen de datos.

Requisitos previos

n Debe tener los privilegios Cloud Administrator.

n Obtenga las credenciales para agregar NSX Manager como origen de datos.

a Inicie sesión en la consola de VMware Cloud Services.

b Haga clic en VMware Cloud on AWS en Mis servicios.

c Haga clic en el nombre del SDDC deseado.

d En la pestaña Configuración, copie el FQDN de vCenter en la pestaña FQDN de vCenter. Enla pestaña Cuenta de usuario de vCenter predeterminada, copie las credenciales de usuario.

Procedimiento

1 Realice una de las siguientes acciones:

n Si no agregó VMware Cloud on AWS - vCenter:

a Agregar una instancia de VMware Cloud on AWS - vCenter.


VMware, Inc. 34

b Haga clic en Agregar NSX Manager.

n Si ya agregó VMware Cloud on AWS - vCenter:

a Haga clic en Configuración > Cuentas y orígenes de datos > Agregar origen.

b En VMware Cloud on AWS, haga clic en VMware Cloud on AWS - NSX Manager.

2 En la página Agregar una cuenta nueva de VMC NSX Manager:

n Seleccione la instancia de vCenter correspondiente.

El recopilador se selecciona automáticamente según la selección de vCenter. VMware Cloud onAWS. Debe agregar NSX Manager a la misma máquina virtual de recopilador que corresponde ala instancia de vCenter.

n Proporcione la dirección IP y el token de actualización de CSP.

n Proporcione las credenciales de usuario.


4 Si desea recopilar flujos de IPFIX para DFW, seleccione Habilitar IPFIX de DFW.

Nota Aparecen mensajes de error si no se cumplen las siguientes condiciones:

n Para habilitar IPFIX de DFW, debe tener privilegios Cloud Administrator.

n VMware Cloud on AWS - NSX Manager solo permite que se agreguen cuatro recopiladores alperfil de recopilador de IPFIX de DFW. Consulte también No se puede habilitar IPFIX de DFW.

5 Introduzca el Alias y las Notas (si las hubiera) del origen de datos y haga clic en Enviar.

Modelo de implementación de VMware Cloud on AWS

vRealize Network Insight es compatible con el siguiente modelo de implementación:

n Recopilador implementado en VMware Cloud on AWS:

a En este modelo de implementación, el recopilador se implementa como una carga de trabajo enla puerta de enlace de cómputo en VMware Cloud on AWS. La plataforma se implementa en laversión local de SDDC.

b Las reglas de firewall de la puerta de enlace de administración permiten la comunicación con lainstancia de vCenter de VMware Cloud on AWS y la instancia de NSX Manager de VMwareCloud on AWS a través de HTTPS.

c El recopilador se comunica con la plataforma mediante los mecanismos de comunicaciónexistentes a través de VPN o Direct Connect.

Los requisitos previos para el modelo de implementación anterior son los siguientes:

n Debe haber una regla de firewall de puerta de enlace de administración para permitir que elrecopilador de vRealize Network Insight invoque las API de vCenter y NSX Manager a través deHTTPS (443).


VMware, Inc. 35

n Debe haber una regla de puerta de enlace de cómputo dentro del firewall de puerta de enlace parapermitir que el recopilador se comunique con la plataforma local o la plataforma SaaS.

Nota n En el SDDC de un solo nodo en VMware Cloud on AWS, establezca la reserva de recursos de CPU

para la máquina virtual proxy en 1.251 MHz. Actualmente, los archivos OVA proxy proporcionadoscomo parte de la versión tienen la reserva de recursos establecida en 2.048 MHz. Después deimportar el archivo OVA en la instancia de vCenter de SDDC, modifique la configuración de lamáquina virtual proxy para utilizar la reserva de CPU máxima permitida de 1.251 MHz.

Agregar Amazon Web ServicesPuede agregar Amazon Web Services (AWS) como origen de datos en vRealize Network Insight.

Puede agregar los siguientes dos tipos de cuentas de AWS como origen de datos.

n Cuenta principal y cuentas vinculadas de AWS

n Cuenta estándar de AWS

Cuenta principal y cuentas vinculadas de AWSLa cuenta principal de AWS, también conocida como cuenta de organización o cuenta de pagador, tieneacceso de nivel de organización para detectar y enumerar todas las cuentas de AWS vinculadas de laorganización a través de llamadas API.

Todas las cuentas de AWS de la organización que se agregan a la cuenta principal se conocen comocuentas vinculadas. Para obtener más información, consulte ListAccount.

La cuenta principal de AWS debe asumir una función a través de las cuentas de AWS vinculadas paraacceder y controlar los recursos de la cuenta de AWS vinculada. Todas las cuentas de AWS vinculadasdeben confiar en la cuenta principal de AWS a través de un ARN de función. Para obtener másinformación sobre las funciones, consulte AssumeRole.

Cuando se agrega una cuenta principal de AWS como origen de datos, se agregan automáticamentetodas las cuentas de AWS vinculadas como origen de datos.

Cuenta estándar de AWSUna cuenta de AWS estándar no tiene una relación principal-vinculada.

Agregar un origen de datos principal de AWSCon la cuenta principal de AWS, puede agregar automáticamente todas las cuentas de AWS vinculadasde la organización en vRealize Network Insight. .

Requisitos previos

n Configure el firewall de la organización para acceder a la API de AWS. Consulte Configuración defirewall para acceso a la API de AWS.


VMware, Inc. 36

https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html

n Cree una directiva de cuenta principal para la cuenta principal de AWS y una directiva de cuentavinculada para todas las cuentas de AWS vinculadas. Consulte Crear una directiva de cuentaprincipal y de cuenta vinculada. .

n En todas las cuentas de AWS vinculadas, agregue una función para confiar en la cuenta principal deAWS que desea agregar a vRealize Network Insight y asocie la directiva de cuenta vinculada.Consulte Crear una función en AWS.

n Cree un usuario en la cuenta principal de AWS. Consulte Crear un usuario en una cuenta de AWS.

Procedimiento

1 Inicie sesión en vRealize Network Insight.

2 Vaya a Configuración > Cuentas y orígenes de datos > Agregar origen.

3 En la sección Nubes públicas, haga clic en Amazon Web Services.

4 Seleccione la máquina virtual de recopilador (proxy).

5 Introduzca el identificador de clave de acceso de Amazon y la clave de acceso secretacorrespondiente.

Nota El identificador de clave de acceso de Amazon es una cadena de 20 dígitos con lacorrespondiente clave de acceso secreta que se crea en la consola de AWS. Para obtener másdetalles, consulte http://docs.aws.amazon.com/general/latest/gr/managing-aws-access-keys.html.

Este proceso demora entre 15 y 20 minutos en agregar y mostrar los datos de la cuenta.


Si la cantidad de máquinas virtuales detectadas supera la capacidad de la plataforma, de un nodo deproxy o de ambos, se produce un error en la validación. No se le permitirá agregar un origen dedatos hasta que aumente el tamaño de brick de la plataforma o cree un clúster.


Tamaño debrick

Máquinasvirtuales

Estado deflujos





7 Una vez validada la cuenta de AWS, seleccione la casilla de verificación Agregar cuentasvinculadas automáticamente (solo para la cuenta principal).


VMware, Inc. 37

http://docs.aws.amazon.com/general/latest/gr/managing-aws-access-keys.html

8 En ARN de función, introduzca el nombre de recurso de Amazon (Amazon Resource Name, ARN)de función de la cuenta de AWS vinculada para que esta confíe en la cuenta principal de AWS.

Para obtener información sobre los ARN de función, consulte Nombres de recursos de Amazon(ARN) y espacios de nombres de servicios de AWS .

9 Introduzca Alias y Notas (si las hubiera) para el origen de datos .


vRealize Network Insight validará el ARN de función y agregará la cuenta. Si se produce un error enla validación, el sistema solicitará su confirmación.

Crear una directiva de cuenta principal y de cuenta vinculadaDebe crear una directiva de cuenta principal para la cuenta principal del servicio web de Amazon (AWS)y una directiva de cuenta vinculada para todas las cuentas de AWS vinculadas. Puede utilizar estasdirectivas para administrar el acceso en AWS.

Puede asociar la directiva de AWS a una identidad de IAM, como usuarios o funciones. Para obtenermás información, consulte Directivas y permisos.

Procedimiento

1 En la consola de AWS, vaya a IAM > Directivas > Crear directiva.

2 En la página Crear directiva, haga clic en la pestaña JSON.


VMware, Inc. 38

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html?icmpid=docs_iam_console

3 En el cuadro de texto JSON, introduzca una directiva.

Opción Descripción

Agregar una directiva de cuentaprincipal

Nota Debe agregar la directiva decuenta principal a la cuenta principalde AWS.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "ec2:Describe*" ], "Resource": "*" }, { "Action": [ "logs:Describe*", "logs:Get*", "logs:TestMetricFilter", "logs:FilterLogEvents" ], "Effect": "Allow", "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "<Role ARNs>" } ]}

Agregar una cuenta vinculada

Nota Debe agregar la directiva decuenta vinculada a todas las cuentasvinculadas que se agreguen a lacuenta principal de AWS.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [


VMware, Inc. 39


"ec2:Describe*" ], "Resource": "*" }, { "Action": [ "logs:Describe*", "logs:Get*", "logs:TestMetricFilter", "logs:FilterLogEvents" ], "Effect": "Allow", "Resource": "*" } ]}

4 Haga clic en Directiva de revisión.

5 En la sección Directiva de revisión, introduzca un nombre de directiva y haga clic en Creardirectiva.

Pasos siguientes

Inicie sesión en todas las cuentas vinculadas, una por una, y agregue una función para confiar en lacuenta principal de AWS que desea agregar a vRealize Network Insight, y asocie la directiva de cuentavinculada. Para crear una función y asociar la directiva de cuenta vinculada, consulte Crear una funciónen AWS.

Nota Si una función creada en todas las cuentas vinculadas ya incluye los permisos de la directivaestándar y confía en la cuenta principal, omita este paso.

Crear una función en AWSCon una función de AWS, puede otorgar permiso a una cuenta de confianza .

Debe agregar una función de IAM a la cuenta vinculada de AWS para confiar en la cuenta principal deAWS . Para obtener más información, consulte Funciones de IAM.

Procedimiento

1 En la consola de AWS, vaya a Servicios > IAM > Funciones > Crear función.

2 En la página Crear función, haga clic en Otra cuenta de AWS.

3 En el cuadro de texto Identificador de cuenta, introduzca el identificador de la cuenta principal en laque desea confiar y haga clic en Next:Permission.

4 Busque y seleccione la directiva de cuenta vinculada y haga clic en Next:Tags.

Debe agregar la directiva de cuenta vinculada que creó en Crear una directiva de cuenta principal yde cuenta vinculada .

5 En la sección Revisar, introduzca un Nombre de función y haga clic en Crear función.


VMware, Inc. 40

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html?icmpid=docs_iam_console

Pasos siguientes

Crear un usuario en una cuenta de AWS.

Crear un usuario en una cuenta de AWSDebe crear un usuario en la cuenta de AWS para obtener el identificador de clave de acceso de Amazony la clave de acceso secreta correspondiente. Puede utilizar el identificador de la clave de acceso aAmazon y la clave de acceso secreta correspondiente para agregar la cuenta de AWS a vRealizeNetwork Insight como un origen de datos.

Procedimiento

1 Inicie sesión en la consola de AWS.

2 Vaya a Servicios > IAM > Usuarios > Agregar usuario.

3 En la página Agregar usuario, introduzca un Nombre de usuario, seleccione la casilla deverificación Acceso mediante programación y haga clic en Siguiente permiso.

4 En el grupo Establecer permiso, haga clic en Adjuntar directivas existentes directamente y, acontinuación, busque y seleccione una directiva de cuenta que ya haya creado .

n Para una cuenta principal de AWS, seleccione la directiva de cuenta principal.

n Para una cuenta estándar de AWS, seleccione la directiva de cuenta estándar.

5 Haga clic en Siguientes etiquetas > Siguiente: Revisar.

6 Revise y haga clic en Crear usuario .

Anote el Identificador de clave de acceso y la Clave de acceso secreta .

Pasos siguientes

n Para agregar una cuenta principal de AWS, inicie sesión en vRealize Network Insight y agregue unacuenta principal de AWS. Consulte Agregar un origen de datos principal de AWS.

n Para agregar una cuenta estándar de AWS, inicie sesión en vRealize Network Insight y agregue unacuenta estándar de AWS. Consulte Agregar un origen de datos estándar de AWS.

Configuración de firewall para acceso a la API de AWSLa máquina virtual de recopilador requiere una lista de direcciones URL para obtener acceso a AWS.

n AWS se puede implementar en varias regiones. Existen URL independientes asociadas a diferentesregiones. Si no conoce la región o el servicio, utilice una entrada comodín para la dirección URL (porejemplo, *.amazonaws.com).

Nota La entrada comodín no funciona para la región correspondiente a China.

Si desea proporcionar un acceso específico a direcciones URL independientes, existen cuatroservicios según la región:


VMware, Inc. 41

n Regiones excepto GovCloud y China

n ec2.<REGION>.amazonaws.com

n logs.<REGION>.amazonaws.com

n sts.<REGION>.amazonaws.com

n iam.amazonaws.com

Región GovCloud

n ec2.us-gov-west-1.amazonaws.com

n logs.us-gov-west-1.amazonaws.com

n sts.us-gov-west-1.amazonaws.com

n iam.us-gov.amazonaws.com

Región China (Pekín)

n ec2.cn-north-1.amazonaws.con.cn

n logs.cn-north-1.amazonaws.com.cn

n sts.cn-north-1.amazonaws.com.cn

n iam.cn-north-1.amazonaws.com.cn

Puede utilizar cualquiera de los siguientes valores para REGION según la región de AWS:

Nombre de la región Región

Este de EE. UU. (Ohio) us-east-2

Este de EE. UU. (norte de Virginia) us-east-1

Oeste de EE. UU. (norte de California) us-west-1

Oeste de EE. UU. (Oregón) us-west-2

Asia Pacífico (Bombay) ap-south-1

Asia Pacífico (Seúl) ap-northeast-2

Asia Pacífico (Singapur) ap-southeast-1

Asia Pacífico (Sídney) ap-southeast-2

Asia Pacífico (Tokio) ap-northeast-1

Canadá (centro) ca-central-1

UE (Fráncfort) eu-central-1

UE (Irlanda) eu-west-1

UE (Londres) eu-west-2

América del Sur (Sao Paulo) sa-east-1

GovCloud us-gov-west-1

China (Pekín) cn-north-1


VMware, Inc. 42

Agregar un origen de datos estándar de AWSPara agregar un origen de datos de AWS:

Requisitos previos

n Configure el firewall de la organización para acceder a la API de AWS. Consulte Configuración defirewall para acceso a la API de AWS.

n Cree una directiva de cuenta estándar para la cuenta de AWS que desea agregar en vRealizeNetwork Insight. Para crear una directiva, consulte Crear una directiva de cuenta estándar.

n Cree un usuario en la cuenta estándar de AWS. Para crear un usuario en AWS, consulte Crear unusuario en una cuenta de AWS.

Procedimiento

1 Vaya a Configuración > Cuentas y orígenes de datos > Agregar origen.

2 En Nubes públicas, haga clic en Amazon Web Services.

3 Seleccione la máquina virtual de recopilador (proxy).

4 Introduzca el identificador de clave de acceso de Amazon y la clave de acceso secretacorrespondiente.

Nota El identificador de clave de acceso de Amazon es una cadena de 20 dígitos con lacorrespondiente clave de acceso secreta. Para obtener más detalles, consulte http://docs.aws.amazon.com/general/latest/gr/managing-aws-access-keys.html.

Nota Para agregar la región GovCloud de AWS como origen de datos, cree un usuario de AWS IAMmediante la directiva recomendada en la cuenta de AWS con acceso a la región GovCloud. Utilice laclave de acceso y la clave secreta de la cuenta recién creada para agregar el origen de datos avRealize Network Insight.

Este proceso demora entre 15 y 20 minutos en agregar y mostrar los datos de la cuenta.


Si la cantidad de máquinas virtuales detectadas supera la capacidad de la plataforma, de un nodo deproxy o de ambos, se produce un error en la validación. No se le permitirá agregar un origen dedatos hasta que aumente el tamaño de brick de la plataforma o cree un clúster.


Tamaño debrick

Máquinasvirtuales

Estado deflujos




VMware, Inc. 43



Tamaño debrick

Máquinasvirtuales

Estado deflujos



6 Una vez validada la cuenta de AWS, puede seleccionar Habilitar recopilación de datos de flujopara obtener información más detallada.

Crear un usuario en una cuenta de AWSDebe crear un usuario en la cuenta de AWS para obtener el identificador de clave de acceso de Amazony la clave de acceso secreta correspondiente. Puede utilizar el identificador de la clave de acceso aAmazon y la clave de acceso secreta correspondiente para agregar la cuenta de AWS a vRealizeNetwork Insight como un origen de datos.

Procedimiento


2 Vaya a Servicios > IAM > Usuarios > Agregar usuario.

3 En la página Agregar usuario, introduzca un Nombre de usuario, seleccione la casilla deverificación Acceso mediante programación y haga clic en Siguiente permiso.

4 En el grupo Establecer permiso, haga clic en Adjuntar directivas existentes directamente y, acontinuación, busque y seleccione una directiva de cuenta que ya haya creado .

n Para una cuenta principal de AWS, seleccione la directiva de cuenta principal.

n Para una cuenta estándar de AWS, seleccione la directiva de cuenta estándar.

5 Haga clic en Siguientes etiquetas > Siguiente: Revisar.

6 Revise y haga clic en Crear usuario .

Anote el Identificador de clave de acceso y la Clave de acceso secreta .

Pasos siguientes

n Para agregar una cuenta principal de AWS, inicie sesión en vRealize Network Insight y agregue unacuenta principal de AWS. Consulte Agregar un origen de datos principal de AWS.

n Para agregar una cuenta estándar de AWS, inicie sesión en vRealize Network Insight y agregue unacuenta estándar de AWS. Consulte Agregar un origen de datos estándar de AWS.

Crear una directiva de cuenta estándarDebe crear una directiva de cuenta estándar para las cuentas estándar de AWS. Con esta directiva,puede administrar el acceso en AWS.

Puede asociar la directiva de AWS a una identidad de IAM, como usuarios o funciones. Para obtenermás información, consulte Directivas y permisos.


VMware, Inc. 44

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html?icmpid=docs_iam_console

Procedimiento

1 En la consola de AWS, vaya a IAM > Directivas > Crear directiva.

2 En la página Crear directiva, haga clic en la pestaña JSON.

3 En el cuadro de texto JSON, introduzca la siguiente directiva de cuenta:


Para agregar una directiva de cuentaestándar

Nota Debe agregar la directiva decuenta estándar a la cuenta estándarde AWS que desea agregar comoorigen de datos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "ec2:Describe*" ], "Resource": "*" }, { "Action": [ "logs:Describe*", "logs:Get*", "logs:TestMetricFilter", "logs:FilterLogEvents" ], "Effect": "Allow", "Resource": "*" } ]}

4 Haga clic en Directiva de revisión.

5 En la sección Directiva de revisión, introduzca un nombre de directiva y haga clic en Creardirectiva.

Pasos siguientes

n Crear un usuario en una cuenta de AWS.

AWS: Compatibilidad con el bloqueo geográfico

Debido a que la directiva de bloqueo geográfico se implementa estrictamente en el firewall corporativo,las llamadas de la API de AWS se limitan a regiones de AWS específicas. vRealize Network Insight escompatible con la directiva de bloqueo geográfico para los entornos de AWS.

Para habilitar la directiva de bloqueo geográfico en vRealize Network Insight:


VMware, Inc. 45

Procedimiento

1 En la página Agregar origen de datos de AWS, introduzca el acceso a AWS y las claves secretas.Haga clic en Validar.

2 Seleccione Permitir acceso solo a regiones de AWS específicas. Seleccione Regiones de AWSde la lista para habilitar la recopilación automática de las regiones. Si no se selecciona esta opción,no se realizará la recopilación automática.


Agregar una suscripción de AzurePuede agregar una suscripción de Microsoft Azure como origen de datos en vRealize Network Insight.

Requisitos previos

Asegúrese de que dispone del permiso correcto. Para obtener información sobre los permisos, consulteProductos y versiones compatibles.

Procedimiento



3 En el grupo Nubes públicas, haga clic en Microsoft Azure.

4 En la página Agregar una nueva suscripción de Azure, proporcione la información necesaria.

Opción Acción

Máquina virtual de recopilador Seleccione una máquina virtual de recopilador del menú desplegable.

Identificador de inquilino Introduzca el identificador de tenant de Azure Active Directory (AD).

Identificador de aplicación Introduzca el identificador de la aplicación.

Clave secreta de la aplicación Introduzca la clave secreta de la aplicación.

Identificador de suscripción Introduzca el identificador de la suscripción.


Debe tener al menos una máquina virtual, un grupo de seguridad de red (NSG), una NIC y una VNetpara una validación correcta.

6 (opcional) Si desea recopilar los registros de flujos de NSG para obtener información detallada sobrelos flujos, active la casilla Habilitar recopilación de datos de flujo de NSG.





VMware, Inc. 46

Habilitar el registro de flujos de NSGPara habilitar la recopilación de datos de flujos de un grupo de seguridad de red (NSG) en vRealizeNetwork Insight, debe habilitar el registro de flujos de NSG en el entorno de Azure.

Requisitos previos

Compruebe que dispone del permiso correcto. Para obtener información sobre los permisos, consulteVersiones y productos compatibles.

Procedimiento

1 Habilite Network Watcher en el entorno de Azure. Para ver el procedimiento detallado, consulte lostutoriales de registro del tráfico de red de máquina virtual en la documentación de Network Watcherde Azure.

2 Registre el proveedor de Insights en el entorno de Azure. Para ver el procedimiento detallado,consulte los tutoriales de registro del tráfico de red de máquina virtual en la documentación deNetwork Watcher de Azure.

3 Habilite el registro de flujos de NSG en el entorno de Azure. Para ver el procedimiento detallado,consulte los tutoriales de registro del tráfico de red de máquina virtual en la documentación deNetwork Watcher de Azure.

4 En el portal de Microsoft Azure, haga clic en Cuenta de almacenamiento > Blob.

5 Seleccione el contenedor en el que se almacenarán los registros de flujo y, a continuación, haga clicen Cambiar el nivel de acceso y seleccione Contenedor (acceso de lectura anónimo paracontenedor y blobs).

Debe realizar este paso para todos los contenedores donde almacene los registros de flujo.

Agregar VMware PKSPuede agregar VMware PKS como origen de datos y recuperar los detalles del clúster de PKS envRealize Network Insight.

Requisitos previos

Debe agregar la instancia de NSX-T Manager correspondiente.

Procedimiento



3 En Contenedores, seleccione VMware PKS.


VMware, Inc. 47

4 En la página Agregar origen de datos, proporcione los siguientes detalles:

Nombre de campo Descripción

NSX-T Manager Seleccione la instancia de NSX-T Manager que admite las redes subyacentes para laimplementación de VMware PKS.


vRealize Network Insight selecciona automáticamente la máquina virtual de recopiladorcorrespondiente asociada con la instancia de NSX-T Manager seleccionada.

Nota Las máquinas virtuales de recopilador que se agregan como un recopilador deNetFlow no se encuentran disponibles en la lista.

Nombre de host de la API(FQDN)

Introduzca los detalles de FQDN del servidor de API de PKS.

Nombre de usuario Introduzca el nombre de usuario de PKS que tiene acceso a los clústeres.



Se mostrará el mensaje Validación correcta.

6 Introduzca el alias del origen de datos y agregue notas para la descripción, según lo desee.


Agregar KubernetesPuede agregar Kubernetes como origen de datos y recuperar los detalles del clúster de Kubernetes envRealize Network Insight.

Nota Es necesario agregar el clúster de Kubernetes y la instancia de NSX-T Manager correspondientea la misma máquina virtual de recopilador.

Requisitos previos

n Agregue NSX-T Manager en vRealize Network Insight.

n Asegúrese de que se pueda acceder al servidor de API de Kubernetes desde la máquina virtual derecopilador.

Procedimiento



3 En Contenedores, seleccione Kubernetes.


VMware, Inc. 48



NSX-T Manager Seleccione la instancia de NSX-T Manager que admite las redes subyacentes para Kubernetes.

Máquina virtual derecopilador (proxy)


Nota Las máquinas virtuales de recopilador que se agregan como un recopilador de NetFlow no seencuentran disponibles en la lista.

Kubeconfig Haga clic en Examinar y cargue el archivo de configuración de Kubernetes que contiene los detallesdel clúster de Kubernetes. Para obtener más información sobre el formato del archivo deconfiguración Kubeconfig, consulte la documentación de Kubernetes.

Nota El usuario configurado en el archivo Kubeconfig debe tener los privilegios Lista e Inspección.





vRealize Network Insight ahora puede recuperar los detalles del clúster de Kubernetes.

Pasos siguientes

Vaya al panel de control de Kubernetes y revise los detalles. Consulte Ver detalles de Kubernetes.

Agregar OpenShiftPuede agregar OpenShift como origen de datos y recuperar los detalles de su OpenShift en vRealizeNetwork Insight.

Nota Es necesario agregar OpenShift y la instancia de NSX-T Manager correspondiente a la mismamáquina virtual de recopilador.

Requisitos previos

n Agregue NSX-T Manager en vRealize Network Insight.

Procedimiento



3 En Contenedores, seleccione OpenShift.


VMware, Inc. 49

https://kubernetes.io/docs/tasks/access-application-cluster/configure-access-multiple-clusters/



NSX-T Manager Seleccione la instancia de NSX-T Manager que admite las redes subyacentes para OpenShift.

Máquina virtual derecopilador (proxy)


Nota Las máquinas virtuales de recopilador que se agregan como un recopilador de NetFlow no seencuentran disponibles en la lista.

Kubeconfig Haga clic en Examinar y cargue el archivo de configuración de Kubernetes que contiene los detallesdel clúster de Kubernetes. Para obtener más información sobre el formato del archivo deconfiguración Kubeconfig, consulte la documentación de Kubernetes.

Nota El usuario configurado en el archivo Kubeconfig debe tener los privilegios Lista e Inspección.





vRealize Network Insight ahora puede recuperar los detalles de OpenShift.

Pasos siguientes

Consulte los detalles en Ver detalles de Kubernetes.

Agregar una instancia de Fortinet FortiManagerEn vRealize Network Insight, es posible agregar una instancia de Fortinet FortiManager como origen dedatos:

Requisitos previos

Verifique lo siguiente:

n Utiliza FortiManager versión 6.0.1.

n Tiene al menos la función de usuario restringido con acceso a todos los paquetes de directivas ylas instancias de ADOM.

n Tiene el acceso rpc-permit read habilitado desde la interfaz de línea de comandos (Command LineInterface, CLI).

Para configurar el permiso rpc, use el siguiente comando en la CLI de FortiManager:

config system admin user

edit "<administrator name>"

set rpc-permit [none | read | read-write ]

end


VMware, Inc. 50

https://kubernetes.io/docs/tasks/access-application-cluster/configure-access-multiple-clusters/

Procedimiento

1 En la página Configuración, haga clic en Cuentas y orígenes de datos > Agregar origen.

2 En la sección Firewall, haga clic en Fortinet FortiManager.

3 En la página Agregar una cuenta o un origen de Fortinet FortiManager nuevo, introduzca lainformación requerida:

Opción Acción


Seleccione la máquina virtual de recopilador del menú desplegable.


Nombre de usuario Introduzca el nombre de usuario que desea utilizar para este origen de datos.



5 En el cuadro de texto Alias, introduzca un alias para el origen de datos.

6 (opcional) En el cuadro de texto Nota, puede agregar una nota si es necesario.


Agregar conmutadores Dell OS10Puede agregar conmutadores Dell OS10 como un origen de datos en vRealize Network Insight.

Requisitos previos

Para obtener información sobre los conmutadores Dell admitidos, consulte Productos y versionescompatibles.

Procedimiento



3 En el grupo Enrutadores y conmutadores, haga clic en Dell OS10.

4 En la página Agregar una cuenta o un origen nuevos, proporcione la información requerida.

Opción Acción






VMware, Inc. 51



6 Para habilitar SNMP o la recopilación de datos, seleccione Usar SNMP.


8 En el cuadro de texto Notas, puede agregar una nota si es necesario.


Pasos siguientes

Habilitar telemetría en los conmutadores Dell OS10

Habilitar telemetría en los conmutadores Dell OS10Puede habilitar la telemetría en los conmutadores Dell OS10 para integrar las estadísticas y elseguimiento del búfer en los conmutadores Dell.

Requisitos previos

Agregar conmutadores Dell OS10

Cuando se reciben solicitudes del conmutador, el recopilador de vRealize Network Insight guarda oalmacena en búfer el paquete en el puerto definido.

Cuando se incrementa el tamaño del búfer debido al aumento de la velocidad de entrada encomparación con la velocidad de salida, las solicitudes pueden retrasarse o agotar el tiempo de espera.Los conmutadores Dell OS10 utilizan gRPC para capturar esa información de métricas, que se puede veren vRealize Network Insight. Esto permite diagnosticar los problemas de rendimiento de la aplicación quese hayan podido producir por la congestión de la red, y también detalla de forma proactiva el impacto dela congestión en la aplicación y la red.

Procedimiento

u Ejecute los siguientes comandos en el conmutador Dell OS10:

telemetry

enable

!

destination-group dg03

destination IP de recopilador de vRNI 50000

!

subscription-profile sp03

sensor-group bgp

sensor-group buffer

sensor-group device

sensor-group environment

sensor-group interface

sensor-group lag

sensor-group system


VMware, Inc. 52

destination-group dg03

encoding gpb

transport grpc no-tls

source-interface ethernet1/1/1

El recopilador de vRealize Network Insight recopila la siguiente información de telemetría de losconmutadores Dell OS10.

n per-port egress unicast queues

n per-port egress multicast queues

n per-port egress service pool

n per priority group ingress shared headroom

n per service pool ingress

Pasos siguientes

Ejecute cualquiera de las siguientes consultas:

n show ports where metric > X en el rango de tiempo

n show switches where metric > X en el rango de tiempo

n puerto show metrics en el rango de tiempo

n conmutador show metrics en el rango de tiempo

n show switches where at least one port metric > X en el rango de tiempo

Verá el evento correspondiente activado. Por ejemplo, SwitchPort Buffer Threshold Exceeded Event.

También puede buscar la métrica Uso máximo de búfer en la interfaz e identificar el motivo por el que seretrasó la solicitud.

Agregar Huawei 6800/7800/8800 SeriesvRealize Network Insight es compatible con varias series de motores de nube de Huawei.

Requisitos previos

El usuario debe tener al menos permisos de solo lectura.

Procedimiento



3 En Enrutadores y conmutadores, seleccione Huawei 6800/7800/8800 Series.


VMware, Inc. 53

4 Introduzca la siguiente información:


Máquina virtual de recopilador (proxy) Seleccione la máquina virtual proxy del menú desplegable.


Username Introduzca el nombre de usuario que desea utilizar para esteorigen de datos.

Password Introduzca la contraseña.


6 Si habilita SNMP para la recopilación de datos, seleccione Versión SNMP.

a Para 2c, introduzca la cadena de comunidad asociada.

b Para 3, introduzca lo siguiente:

n Username

n Context Name

n Authentication Type

7 Proporcione Alias y Notas según sea necesario.


Pasos siguientes

Puede usar las siguientes funciones de vRealize Network Insight con enrutadores o dispositivos Huawei.

n Ruta de máquina virtual a máquina virtual

n Topología de máquina virtual subyacente

n Panel de control Enrutador o conmutador de Huawei

n Métricas: métricas de puerto de conmutador y de interfaz de enrutador

n Paneles de control

n Enrutador o conmutador de Huawei

n Interfaces de enrutador

n Canales de puertos

n Puertos de conmutador

n Rutas

n Alta disponibilidad: compatible con la agregación de vínculos de varios chasis (Multi-Chassis LinkAggregation, M-LAG) y el protocolo de redundancia de enrutador virtual (Virtual Router RedundancyProtocol, VRRP)


VMware, Inc. 54

n Búsquedas

n Enrutamiento virtual y reenvío (Virtual Routing and Forwarding, VRF) de Huawei

n Interfaz de enrutador de Huawei

n Puerto de conmutador de Huawei

n Canal de puertos de Huawei

n Rutas en Huawei

n Supervisión de datos de Huawei NetStream

Agregar Cisco ACI

Es posible agregar Cisco ACI como origen de datos. Esta función solo se encuentra disponible para losusuarios de licencias Enterprise.

Para agregar Cisco ACI como origen de datos, el usuario debe tener acceso a todos los arrendatarios yel privilegio de solo lectura. Estos son los pasos para agregar el origen de datos Cisco ACI:

Procedimiento

1 En la página Cuentas y origen de datos en Configuración, haga clic en Agregar origen.

2 En Otros, haga clic en Cisco ACI.

3 En Agregar cuenta u origen Cisco ACI nuevos, proporcione la siguiente información:

n Seleccione la máquina virtual del recopilador.

n Proporcione la dirección IP de cualquiera de las controladoras APIC del clúster.

Nota No es necesario agregar conmutadores individuales al tejido ACI.

n Proporcione las credenciales de usuario.

n vRealize Network Insight recopila los datos de métricas a través de SNMP desde losconmutadores individuales. Para habilitar esta tarea, seleccione Usar SNMP.


5 Introduzca el Alias y las Notas (si las hubiera) del origen de datos y haga clic en Enviar.

Agregar un recopilador de flujos físico para sFlow yNetFlowPuede agregar un recopilador de flujos físico y configurar los conmutadores para que estos insertenregistros de sFlow y NetFlow en el recopilador. La máquina virtual de recopilador que se utiliza paraNetFlow o sFlow es un recopilador dedicado. No se puede utilizar para ningún otro origen de datos. Si


VMware, Inc. 55

también se agrega otro origen de datos al servidor proxy, no estará disponible como recopilador de flujofísico para sFlow y NetFlow.

Procedimiento



3 En Flujos, haga clic en Recopilador de flujos físico (NetFlow, sFlow).

Los flujos muestreados solo se aceptan en el recopilador físico.

4 Introduzca Alias y Notas según sea necesario.


Nota vRealize Network Insight recopila las muestras de paquetes de sFlow, es por eso que no puedemostrar las métricas completas de los flujos.

Pasos siguientes

Configure los conmutadores para que inserten los flujos en el recopilador de flujos físico.

n Defina el destino (la dirección IP del recopilador que agregó en vRealize Network Insight).

n Establezca el puerto para el recopilador de flujos.

n Asigne el intervalo de sondeo.

Nota El procedimiento para configurar varía según el conmutador que se desee configurar. Paraobtener más información, consulte la documentación del conmutador específico.

Agregar Log InsightvRealize Log Insight recopila registros de NSX de forma dinámica cuando se produce un evento de NSX.Sin embargo, vRealize Network Insight recopila datos de NSX cada 10 minutos. Por lo tanto, si se agregavRealize Log Insight a vRealize Network Insight, es posible obtener la información de los eventos másrápido en lugar de esperar.

En la integración de vRealize Network Insight y vRealize Log Insight, vRealize Network Insight consumelas alertas generadas por vRealize Log Insight. Cada vez que se crea o se modifica un grupo deseguridad, los registros de NSX se envían a vRealize Log Insight, que envía, a su vez, una alerta.Después de recibir la alerta, vRealize Network Insight sondea la instancia de NSX Manager en la que secreó el grupo de seguridad y recupera los datos correspondientes de los grupos de seguridadmodificados. Actualmente, esta integración solo admite las alertas de grupo de seguridad relacionadascon CRUD.

La integración de vRealize Network Insight y vRealize Log Insight es compatible con las siguientesversiones:

n VMware vRealize Log Insight 4.5 y versiones posteriores


VMware, Inc. 56

n vRealize Network Insight 3.8 y versiones posteriores

n VMware NSX Manager 6.2 y versiones posteriores

Procedimiento

1 Cree o reutilice un usuario de vRealize Log Insight con acceso a las API de vRealize Log Insight.

2 En la página Instalación y soporte, haga clic en Cuentas y orígenes de datos.


4 Haga clic en Log Insight en Servidores de registro.

5 En la página Agregar una cuenta o un origen nuevos de Log Insight Server, haga clic enInstrucciones junto al título de la página. Aparece una ventana emergente que proporciona losrequisitos previos para agregar el origen de datos de Log Insight y las instrucciones para habilitar laURL de Webhook en vRealize Log Insight.

Nota La URL de Webhook, que se genera después de agregar el origen de datos, se utiliza envRealize Log Insight.

6 Proporcione los detalles requeridos.

Nombre Descripción


Seleccione la dirección IP del recopilador de datos que implementó para el proceso derecopilación de datos.

Dirección IP/FQDN Introduzca la dirección IP o el FQDN del origen de datos.

Nombre de usuario Introduzca el nombre de usuario que desea utilizar para un origen de datos determinado.

Contraseña Introduzca la contraseña del origen de datos.

Proveedor de autenticación Seleccione el proveedor de autenticación correspondiente para las credenciales queproporcionó.


VMware, Inc. 57

7 Una vez creado el origen de datos, se muestra una ventana emergente que proporciona la URL deWebhook y los pasos que se deben seguir para habilitar esta URL en vRealize Log Insight. Copie laURL de Webhook. Inicie sesión con las credenciales utilizadas para agregar este origen de datos.Habilite las alertas en la aplicación de vRealize Log Insight y configure esta URL de Webhook. Envíeuna alerta de prueba para asegurarse de que la integración se haya realizado correctamente.

Nota Todas las alertas que se muestran en el origen de datos de vRealize Log Insight en vRealizeNetwork Insight se resuelven en una hora.

Agregar Infoblox

Infoblox DNS ofrece una solución avanzada para administrar y controlar DNS. Utiliza Infoblox Grid paragarantizar que el servidor DNS presente una alta disponibilidad en toda la red. vRealize Network Insightpermite que los usuarios agreguen Infoblox Grid como proveedor de datos de DNS. Los datos de DNSde Infoblox solo se utilizan para enriquecer los flujos en los que las direcciones IP de origen o de destinoestán asociadas con los dispositivos físicos. Esta función solo está disponible para la licencia Enterprise.

Los datos de DNS de Infoblox coexisten con los datos de DNS que se importan mediante CSV.

Si configura un origen de datos de DNS de Infoblox en un servidor proxy, puede configurar otros orígenesde datos también en el mismo servidor proxy. No es necesario un servidor proxy dedicado para Infoblox.

Consideraciones

n vRealize Network Insight solo admite el modo de cuadrícula única para Infoblox en la versión actual.

n Solo se admiten registros A en la versión actual. Actualmente no se admiten los registros Acompartidos.


VMware, Inc. 58

n El enriquecimiento de DNS solo es compatible con las direcciones IP marcadas como físicas en laversión actual.

n Si existen varios FQDN para una sola dirección IP física, se devuelven todos los FQDN.

Procedimiento



3 Haga clic en Infoblox en DNS.

4 Proporcione la siguiente información:

Tabla 3-4.


Collector(Proxy) VM Seleccione la máquina virtual proxy del menú desplegable.

IP Address/FQDN Introduzca la dirección IP o el FQDN de Infoblox Grid Master.

Username Introduzca el nombre de usuario que desea utilizar para unorigen de datos determinado.



Nota Asegúrese de tener API Privilege para acceder a las API de Infoblox.

6 Introduzca Alias y Notas (si existe alguna) para el origen de datos y haga clic en Enviar paraagregar el origen de datos de DNS de Infoblox al entorno.

Agregar F5 BIG-IPvRealize Network Insight es compatible con las funcionalidades de equilibrador de carga y enrutador deF5 BIG-IP. Se admiten funciones como ruta de máquina virtual a máquina virtual, alta disponibilidad, VRF,enrutamiento, interfaces de enrutador, puertos de conmutador, canales de puertos, métricas de puertosde conmutador, panel de control de VRF, panel de control de conmutador y panel de control delenrutador. Para buscar en las entidades IP de F5 BIG, utilice la cadena de consulta F5 BIG-IP DataSource. vRealize Network Insight no es compatible con los vecinos LLDP ni los dispositivos vecinos en laruta de máquina virtual a máquina virtual.

Para agregar F5 BIG-IP como origen de datos:

Requisitos previos

n El usuario debe tener:

n La función Guest o permisos de solo lectura con acceso a todas las particiones.

n Acceso a la API de REST.

n Acceso al terminal TMSH.


VMware, Inc. 59

n Habilite SSH en el dispositivo.

Habilite password authentication para SSH de la siguiente manera:

Nota n Use root o el privilegio de función de administrador para modificar la configuración de SSHD.

n No utilice el privilegio de usuario root al agregar un origen de datos de F5 BIG-IP en vRealizeNetwork Insight.

n El usuario raíz no tiene acceso HTTP. El privilegio de usuario root se utiliza con finesadministrativos.

[root@bigip:Active] config # tmsh

root@bigip(Active)(/Common)(tmos)# edit sys sshd

## Adding the following configuration ##

modify sshd {

include ”

ChallengeResponseAuthentication no

PasswordAuthentication yes”

}

################################

Save changes? (y/n/e) y

root@bigip(Active)(/Common)(tmos)#

root@bigip(Active)(/Common)(tmos)# save sys config

root@bigip(Active)(/Common)(tmos)# show running-config sys sshd

sys sshd {

include ”

ChallengeResponseAuthentication no

PasswordAuthentication yes”

}

Procedimiento



3 En Enrutadores y conmutadores, seleccione F5 BIG-IP.





Username Introduzca el nombre de usuario que desea utilizar para esteorigen de datos.



VMware, Inc. 60

5 Después de introducir la información en los cuadros de texto, haga clic en Validar.

6 Si habilita SNMP para la recopilación de datos, seleccione Versión SNMP.

a Si selecciona 2c, introduzca la cadena de comunidad asociada.

b Si selecciona 3, introduzca lo siguiente:

n Username

n Context Name

n Authentication Type

Nota Asegúrese de configurar SNMP en la consola de la interfaz de usuario de F5 BIG-IP.

a Inicie sesión en F5.

b Desplácese hasta Sistema > SNMP.

c Vaya a SNMP > Agente > Acceso (v1,v2c).

d Introduzca la cadena de comunidad.

e Introduzca la dirección IP de origen.

f Seleccione el acceso de Solo lectura.

g Haga clic en Finalizado.

7 Proporcione Alias y Notas según sea necesario. Haga clic en Enviar.

Agregar ServiceNowLa base de datos de administración de configuración (Configuration Management Database, CMDB) deServiceNow proporciona una visibilidad total sobre la infraestructura de hardware y software, así como larelación entre estos elementos en el centro de datos, lo que ayuda a administrar el inventario. Con laintegración de ServiceNow, vRealize Network Insight puede detectar las aplicaciones disponibles enCMDB de ServiceNow para que sea posible agregarlas directamente a vRealize Network Insight.

Conceptos de CMDBBásicamente, CMDB se compone de lo siguiente:

n Elemento de configuración: una entidad o un componente de un sistema. Por ejemplo, un equipo, unconmutador, un servicio, una aplicación, un servidor o una máquina virtual.

n Relación: un vínculo o tipo de comunicación entre elementos de configuración. Por ejemplo, dependede, se ejecuta en, intercambia datos.

Cada elemento de configuración tiene un esquema definido.

n Clase de elemento de configuración: cada elemento de configuración debe estar asociado a unaclase, la cual define sus propiedades.

n Clase de relación: define el tipo de relación entre los elementos de configuración.


VMware, Inc. 61

Puede ampliar las dos clases para agregar propiedades adicionales o personalizar las propiedades.

ServiceNow admite un servicio de aplicaciones, que es un conjunto de aplicaciones y hostsinterconectados para proporcionar un servicio. ServiceNow permite crear un servicio de aplicaciones deforma manual mediante una API o detectarlo automáticamente mediante Asignación de servicios. Todasestas aplicaciones se almacenan en CMDB de ServiceNow.

Cuando se agrega un origen de datos de ServiceNow a vRealize Network Insight, vRealize NetworkInsight recupera los elementos de configuración y las relaciones del archivo de configuración de CMDBde ServiceNow.

vRealize Network Insight recupera datos en intervalos regulares de forma predeterminada.

n La recuperación completa de datos se produce cada 12 horas y, en esta operación, se recopilantodos los registros de las clases definidas en la configuración de CMDB. Además, la recuperacióncompleta se produce al agregar o actualizar el origen de datos.

n La recuperación Delta se produce cada 2 minutos y, en esta operación, se recopilan todos losregistros nuevos, modificados y eliminados de las clases definidas en la configuración de CMDB.vRealize Network Insight demora aproximadamente 12 minutos en reflejar estos detalles en lainterfaz de usuario.

Nota vRealize Network Insight recupera la jerarquía de clases y los tipos de relaciones únicamentedurante la recuperación completa.

Valores predeterminados para las limitaciones

Nombre de límite Descripción

Valor

predeterminado Impacto por superar el límite

maxAppsPerDataSource Máximo de aplicaciones por origen dedatos.

5000 El origen de datos deja de recuperar datoscuando se produce un error en la página deorigen de datos y eventos, y no se actualizan lasaplicaciones.

maxTiersPerApp Máximo de niveles que se puedenalmacenar por aplicación.

150 Las aplicaciones no se actualizan hasta que lacantidad de niveles se reduce para ajustarse allímite.


VMware, Inc. 62

Nombre de límite Descripción

Valor

predeterminado Impacto por superar el límite

maxMembersPerApp Máximo de miembros que se puedenalmacenar por aplicación.

5000 Las aplicaciones no se actualizan hasta que lacantidad de miembros se reduce para ajustarseal límite.

maxGraphTraversalSta

ckSize

Tamaño máximo de la pila utilizada en elrecorrido de grafos.

10.000

La aplicación no se creará y generará el errorSizeLimitExceededException.

maxResponseAppCount Máximo de aplicaciones que se puedendevolver en la respuesta de la API.

5000 Solo se devuelve la cantidad de aplicaciones quese ajusta al límite; la interfaz de usuario muestraun error.

Agregar ServiceNowPuede agregar ServiceNow como un origen de datos en vRealize Network Insight y recuperar detalles denivel y aplicación.

Requisitos previos

Debe tener el privilegio de administrador para agregar un origen de datos.

Procedimiento



3 En CMDB, seleccione ServiceNow.




La URL de host de ServiceNow.


Nombre de usuario Introduzca el nombre de usuario que desea utilizar para este origen de datos.

Nota El usuario que planea agregar debe ser Administrador o Administrador desolo lectura en ServiceNow.





VMware, Inc. 63

6 Para agregar una configuración de CMDB personalizada:

a Seleccione Personalizar configuración de CMDB.

b Haga clic en Descargar para descargar el archivo de configuración predeterminado.

c Actualice las propiedades del archivo. Consulte Personalizar la configuración de CMDB.

d En la página Agregar origen de datos, busque y seleccione el archivo JSON actualizado.

7 Introduzca el alias del origen de datos y agregue notas para la descripción.


Pasos siguientes

Después de agregar un origen de origen de ServiceNow, vRealize Network Insight detecta lasaplicaciones disponibles en CMDB de ServiceNow, las que se agregan a vRealize Network Insight. Paraobtener más información, consulte Agregar aplicaciones detectadas.

Archivo de configuración de CMDB predeterminadovRealize Network Insight admite personalizar ServiceNow mediante el archivo de configuración enformato JSON.

{

"fetchOnlyApprovedApplications": false,

"nameBasedSearchForVm": false,

"ignoreWorkloadCheck": false,

"ciGroup": [

{

"name": "applicationClasses",

"value": [

"cmdb_ci_service_discovered"

],

"valueType": "CI_CLASS",

"systemGenerated": true,

"expandCIClass": true

},

{

"name": "relationshipTypeClasses",

"value": [

"*"

],

"valueType": "CI_VALUE",


"expandCIClass": false

},

{

"name": "workloadRelationshipTypeClasses",

"value": [

"Hosted on::Hosts",

"Instantiates::Instantiated by",

"Runs on::Runs",

"Virtualized by::Virtualizes"

],


VMware, Inc. 64




},

{

"name": "workloadCIClasses",

"value": [

"cmdb_ci_computer",

"cmdb_ci_vm_instance",

"cmdb_ci_vmware_instance"

],




},

{

"name": "relationClasses",

"value": [

"cmdb_rel_ci"

],




},

{

"name": "ignoredCIClasses",

"value": [

"cmdb_ci_vcenter_server_obj"

],




},

{

"name": "ignoredTierCIClasses",

"value": [

],




},

{

"name": "trackedCIClasses",

"value": [

"cmdb_ci_appl",

"cmdb_ci_cluster",

"cmdb_ci_cluster_node",

"cmdb_ci_database",

"cmdb_ci_lb_service",

"cmdb_ci_spkg",

"cmdb_ci_qualifier_manual_connection",

"cmdb_ci_endpoint",

"cmdb_ci_network_adapter",

"cmdb_ci_translation_rule"

],


VMware, Inc. 65




}

],

"traversalRule": [

{

"fromNode": [

"applicationClasses"

],

"toNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"relationship": [

"relationshipTypeClasses"

],

"priority": 5

},

{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"relationship": [


],

"priority": 3

}

],

"traversalStopRule": [

{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [


],

"relationship": [


],

"priority": 5

}

],

"associationRule": [

{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],


VMware, Inc. 66

"toNode": [

"workloadCIClasses"

],

"relationship": [

"workloadRelationshipTypeClasses"

],

"priority": 5

}

]

}

Cuando se produce el cambio de configuración, vRealize Network Insight puede demorar 30 minutos enrecuperar todos los datos y volver a calcular todas las aplicaciones.

Ejemplo: Ejemplo de asignación de servicios y aplicaciones detectadas mediante laconfiguración de CMDB predeterminada

Permite que vRealize Network Insight detecte las aplicaciones en ServiceNow.


VMware, Inc. 67

Ejemplo: La página actualizada en vRealize Network Insight para agregar una aplicación

Personalizar la configuración de CMDBPara admitir diversas personalizaciones, la integración de ServiceNow y vRealize Network Insight escompatible con una configuración genérica. La configuración de CMDB debe tener el formato JSON.

La configuración incluye:

n los elementos de configuración;

n la relación entre los elementos de configuración, y

n las reglas para el recorrido de grafos de dependencia.

Puede personalizar la configuración de CMDB en función de sus implementaciones.

Nota Cuando se cambia la configuración, se realiza una recuperación completa y se vuelven acomputar todas las aplicaciones. Por lo tanto, este proceso puede demorar al menos 30 minutos enaparecer en el panel de control Aplicaciones detectadas.


VMware, Inc. 68


fetchOnlyApprovedApplications Permite que el valor booleano recupere solo las aplicaciones aprobadas de ServiceNow.De forma predeterminada, este valor se establece en False.

nameBasedSearchForVm Permite que el valor booleano indique si se debe crear un criterio de búsqueda demáquina virtual personalizado con el nombre de la máquina virtual si la máquina virtualde ServiceNow no se encuentra en vRealize Network Insight. Si el valor se establece enTrue, se crea un criterio de nombre de máquina virtual personalizado y el recuento sereflejará al detectar la máquina virtual correspondiente en vRealize Network Insight sinvolver a computar la aplicación.

Esto se puede utilizar al crear los gráficos de dependencia o la asignación de serviciosde forma manual sin usar Asignación de servicios. De forma predeterminada, este valorse establece en False.

ignoreWorkloadCheck Permite que un valor booleano indique si se debe agregar una entidad al nivel aunque noexista una entidad de carga de trabajo asociada.

Esto se puede utilizar al crear los gráficos de dependencia o la asignación de serviciosde forma manual sin usar Asignación de servicios y cuando las relaciones no se definenhasta la capa de carga de trabajo. De forma predeterminada, este valor se establece enFalse.

ciGroup Define los elementos de configuración y las relaciones que se deben recuperar deServiceNow. Este campo permite las siguientes propiedades:

n Name: nombre del grupo de elementos de configuración.

n Value: lista de nombres de clases de ServiceNow que forman parte de este grupo.

n ValueType: permite CI_CLASS (el nombre de clase que se debe recuperar) yCI_VALUE.

n CI_CLASS: para recuperar la clase.

n CI_VALUE

Nota vRealize Network Insight siempre recupera applicationClasses,workloadCIClasses, trackedCIClasses, workloadCIClasses yrelationClasses.

n systemGenerated: permite que el valor booleano indique si la clase es una clasedefinida por el usuario o una clase predeterminada.

n expandCIClass: permite que el campo booleano indique si se deben recuperar lassubclases de la clase de elemento de configuración que aparece en Value.

Rules for graph traversal Es compatible con tres tipos de reglas de recorrido:

n traversalRule: todos los recorridos permitidos o válidos.

n traversalStopRule: los recorridos no permitidos.

Nota Las reglas de traversalStopRule tienen mayor prioridad que las reglas detraversalRule.

n associationRule: los recorridos permitidos para la carga de trabajo asociada con laentidad.

Propiedades de una regla:

n fromNode: lista de ciGroup que son el origen del recorrido.

n toNode: lista de ciGroup que son el destino del recorrido.

n relationship: lista de ciGroup que tienen una relación en un tipo de recorrido.

n priority: si un ciGroup coincide con dos reglas, la regla de ese ciGroup seestablece en función del valor de priority. Cuanto mayor es el número deprioridad, mayor es el valor de prioridad.


VMware, Inc. 69


applicationClasses Enumera todas las clases de elementos de configuración de punto de entrada para elrecorrido de grafos. Estas clases representan los tipos de elementos de configuraciónque se utilizan como clases de aplicaciones en CMDB.

La configuración predeterminada usa la clase cmdb_ci_service_discovered. Estaclase representa las aplicaciones creadas por la función Asignación de servicios deServiceNow.

workloadCIClasses Enumera todos los elementos de configuración que alojan un servicio basado ensoftware o un sistema operativo como Linux o Windows Server. Por ejemplo, máquinasvirtuales, instancias de AWS y servidores físicos.

Por lo general, los elementos de configuración de carga de trabajo se colocan al final delgráfico de dependencia. No se crean niveles para las clases de elementos deconfiguración que se mencionan en este grupo.

La configuración predeterminada contiene las siguientes clases de elementos deconfiguración:

n cmdb_ci_computer: representa todos los elementos de configuración relacionadoscon los recursos informáticos. Esta es una superclase para todos los servidoresLinux y Windows.

n cmdb_ci_vm_instance: representa entidades informáticas virtuales, comomáquinas virtuales e instancias de AWS.

n cmdb_ci_vmware_instance: representa máquinas virtuales de VMware.

trackedCIClasses Enumera todos los elementos de configuración que pueden formar parte de los gráficosde dependencia, pero no son applicationClass ni workloadCIClass. Los elementosde configuración de este grupo son obligatorios para que se complete el gráfico deapplicationClasses a workloadCIClasses.

vRealize Network Insight crea niveles para todas las clases mencionadas entrackedCIClasses, a menos que la clase se mencione en ignoredTierCiClasses.

relationshipTypeClasses Enumera todos los elementos de configuración relacionados representados por tipos derelación o clases de elementos de configuración de relación.

La configuración predeterminada usa * para recuperar todos los tipos de relación.

workloadRelationshipTypeClasses: enumera los tipos de relación que suelen representar las relaciones con entidades decarga de trabajo. A continuación, se muestran las relaciones compatibles de formapredeterminada en ServiceNow:

n Hosted on::Hosts

n Instantiates::Instantiated by

n Runs on::Runs

n Virtualized by::Virtualizes

ignoredCiClasses Enumera todos los elementos de configuración que vRealize Network Insight debeignorar y que no debe recuperar de CMDB de ServiceNow.

Esto resulta útil en la recuperación de una superclase para ignorar las subclasesinnecesarias.

De forma predeterminada, cmdb_ci_vcenter_server_obj aparece enignoredCiClasses, ya que no se requiere vCenter Server para la detección deaplicaciones.

ignoredTierCiClasses Enumera todos los elementos de configuración para los que no se deben crear niveles.


VMware, Inc. 70

Ejemplo de detección de aplicaciones sin relaciones de carga de trabajo

Este es un archivo de configuración de CMDB personalizado en el que se definenameBasedSearchForVm para detectar las aplicaciones, donde la clase cmdb_ci_service_discoveredes el punto de entrada y las relaciones de carga de trabajo no se encuentran definidas.

Topología

Archivo de configuración de CMDB personalizado

{


"nameBasedSearchForVm": true,

"ignoreWorkloadCheck": true,

"ciGroup": [

{


"value": [

"cmdb_ci_service_discovered"

],




},

{


"value": [

"*"

],




VMware, Inc. 71


},

{


"value": [

"Hosted on::Hosts",


"Runs on::Runs",


],




},

{


"value": [

"cmdb_ci_computer",



],




},

{


"value": [

"cmdb_rel_ci"

],




},

{


"value": [


],




},

{


"value": [


"cmdb_ci_endpoint"

],




},

{



VMware, Inc. 72

"value": [

"cmdb_ci_appl",

"cmdb_ci_cluster",


"cmdb_ci_database",


"cmdb_ci_spkg",


"cmdb_ci_endpoint",



],




}

],

"traversalRule": [

{

"fromNode": [


],

"toNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"relationship": [


],

"priority": 5

},

{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"relationship": [


],

"priority": 3

}

],


{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [


],


VMware, Inc. 73

"relationship": [


],

"priority": 5

}

],


{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [

"workloadCIClasses"

],

"relationship": [


],

"priority": 5

}

]

}

Ejemplo de detección de aplicaciones de un solo nivel

Este es un archivo de configuración de CMDB personalizado en el que se definenameBasedSearchForVm para detectar las aplicaciones de un solo nivel, donde la clasecmdb_ci_service_discovered es el punto de entrada y las relaciones de carga de trabajo no seencuentran definidas.

Topología

Archivo de configuración de CMDB personalizado

{


"nameBasedSearchForVm": true,

"ignoreWorkloadCheck": true,

"ciGroup": [

{


"value": [

"cmdb_ci_appl"

],


VMware, Inc. 74




},

{


"value": [

"*"

],




},

{


"value": [

"Hosted on::Hosts",


"Runs on::Runs",


],




},

{


"value": [

"cmdb_ci_computer",



],




},

{


"value": [

"cmdb_rel_ci"

],




},

{


"value": [


],




},

{


VMware, Inc. 75


"value": [


"cmdb_ci_endpoint"

],




},

{


"value": [

"cmdb_ci_appl",

"cmdb_ci_cluster",


"cmdb_ci_database",


"cmdb_ci_spkg",


"cmdb_ci_endpoint",



],




}

],

"traversalRule": [

{

"fromNode": [


],

"toNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"relationship": [


],

"priority": 5

},

{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"relationship": [


],

"priority": 3


VMware, Inc. 76

}

],


{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [


],

"relationship": [


],

"priority": 5

}

],


{

"fromNode": [

"trackedCIClasses",

"workloadCIClasses"

],

"toNode": [

"workloadCIClasses"

],

"relationship": [


],

"priority": 5

}

]

}

Agregar nuevos enrutadores o conmutadores genéricosSi el enrutador o el conmutador que desea agregar no son compatibles con vRealize Network Insight,puede cargar un archivo de configuración de dispositivo para agregar el enrutador o el conmutador noadmitidos como enrutador o conmutador genéricos. vRealize Network Insight utiliza la información delarchivo de configuración de dispositivo para proporcionar los detalles del enrutador o el conmutador.Después de cargar un archivo de configuración de dispositivo en vRealize Network Insight, no se puedemodificar la información del archivo de configuración de dispositivo cargado.

Requisitos previos

Cree un archivo de configuración de dispositivo con el formato .zip mediante el SDK proporcionado porvRealize Network Insight. Un archivo de configuración de dispositivo contiene información sobre lasentidades, como interfaces de enrutador, rutas, puertos de conmutador, VRF, datos de dispositivo deconmutador, etc. Para crear un archivo de configuración de dispositivo, consulte https://github.com/vmware/network-insight-sdk-generic-datasources.


VMware, Inc. 77

https://github.com/vmware/network-insight-sdk-generic-datasources


Procedimiento



3 En Enrutadores y conmutadores, haga clic en Enrutadores y conmutadores genéricos.

4 En la página Agregar un nuevo enrutador/conmutador genérico, modifique la informaciónnecesaria.

Opción Acción


Archivo de configuración dedispositivo

Seleccione y cargue el archivo de configuración (.zip) creado con el SDK.



6 En el cuadro de texto Alias, introduzca un alias para el conmutador o el enrutador que deseaagregar.



Editar un conmutador o enrutador genéricoEn vRealize Network Insight, puede modificar la configuración de un enrutador o conmutador genéricoexistente mediante la carga de un nuevo archivo de configuración.

Requisitos previos

Cree un archivo de configuración de dispositivo con el formato .zip mediante el SDK proporcionado porvRealize Network Insight. Un archivo de configuración de dispositivo contiene información sobre lasentidades, como interfaces de enrutador, rutas, puertos de conmutador, VRF, datos de dispositivo deconmutador, etc. Para crear un archivo de configuración de dispositivo, consulte https://github.com/vmware/network-insight-sdk-generic-datasources.

Procedimiento


2 Haga clic en el icono Editar origen de datos junto al origen de datos del enrutador o conmutadorgenérico que desea editar.

3 Haga clic en Reemplazar archivo y cargue el nuevo archivo de configuración de dispositivo.

4 (opcional) Para ver el archivo de configuración de dispositivo cargado, haga clic en Historial decarga.

Podrá ver, descargar y eliminar los últimos cinco archivos de configuración de dispositivo cargados.


VMware, Inc. 78




6 (opcional) En el cuadro de texto Alias, cambie el alias.



VMware, Inc. 79

Eliminar un origen de datos devRealize Network Insight 4Si no desea ver los datos de un origen de datos o si un origen de datos no está en uso, puede eliminarlode vRealize Network Insight.

Nota Si un origen de datos ya no está disponible en su entorno, debe eliminarlo de vRealize NetworkInsight.

Procedimiento

1 Inicie sesión en la consola web de vRealize Network Insight.

2 Vaya a Configuración > Cuentas y orígenes de datos.

3 Haga clic en el icono Eliminar origen de datos junto al origen de datos que desea eliminar.

vRealize Network Insight solicitará su confirmación.

4 Haga clic en Sí.

Nota Después de eliminar un origen de datos del sistema, debe esperar al menos dos horas paravolver a agregar el mismo proveedor de datos.

VMware, Inc. 80

Migrar orígenes de datos 5Si se inactiva o se elimina una máquina virtual proxy, es posible agregar una nueva y migrar el origen dedatos de la máquina virtual proxy anterior a la nueva máquina.

Para migrar un origen de datos:

Procedimiento

1 En la página Instalación y soporte, en la sección Máquinas virtuales de recopilador (proxy),haga clic en el icono Editar.

Si se inactiva una máquina virtual proxy, puede ver un mensaje de error donde se indica que lamáquina virtual proxy no está disponible en la misma sección.

2 En la página Editar máquina virtual de recopilador (proxy), se puede asignar un alias a lamáquina virtual proxy.

3 En la página Editar recopilador (proxy), se enumeran todos los orígenes de datos agregados alproxy. Para migrar un origen de datos determinado, haga clic en Migrar en él.

4 Se mostrará la página Editar cuenta u origen. Asegúrese de completar la siguiente información:

Tabla 5-1.

Campos Descripción

Máquina virtual de recopilador (proxy) Nombre de la nueva máquina virtual proxy a la que se debemigrar el origen de datos.

Dirección IP Dirección IP/FQDN del origen de datos completadopreviamente.

Nombre de usuario Nombre de usuario del origen de datos.

Contraseña Contraseña del origen de datos.

5 Haga clic en Validar. Haga clic en Enviar. A continuación, se elimina el origen de datos de lamáquina virtual proxy anterior y se agrega a la máquina virtual proxy nueva.

VMware, Inc. 81

6 Una vez completada correctamente la migración, se muestra la nueva máquina virtual proxy con elorigen de datos en la columna Habilitada de la página Cuentas y orígenes de datos.

Nota n Si planea migrar vCenter a otra máquina virtual proxy, asegúrese de migrar también la instancia

de NSX Manager correspondiente a la misma máquina virtual proxy.

n Cuando se migra NSX Manager a otra máquina virtual proxy, los proveedores de datossecundarios, como NSX Controller y NSX Edge, se migran también a la nueva máquina virtualproxy.


VMware, Inc. 82

Configuración de opciones devRealize Network Insight 6Puede configurar varios aspectos de vRealize Network Insight desde la página Configuración. Paraacceder a la página Configuración, haga clic en Perfil > Configuración.


n Ver el estado del sistema

n Configurar intervalo de conservación de los datos

n Configurar subredes y propiedades de IP

n Configurar eventos y notificaciones

n Configurar la administración de identidades y acceso

n Configurar registros

n Configurar servidor de correo

n Configurar destino de captura de SNMP

n Administrar licencias

n Configurar intervalo de actualización automática

n Configurar el tiempo de espera de la sesión de usuario

n Agregar clave de API de Google Maps

n Ver los registros de auditoría

n Unirse al programa de mejora de la experiencia de cliente o abandonarlo

n Ver el estado de la configuración

n Habilitar el túnel de soporte

n Administrar el uso de disco

n Ver detalles de nodos

n Crear un paquete de soporte

n Comprensión de la capacidad para la carga de los recopiladores y la plataforma

VMware, Inc. 83

Ver el estado del sistemaEn vRealize Network Insight, puede ver el estado de mantenimiento de su sistema. El estado del sistemase determina en función del retraso de procesamiento, el retraso de indizador y el uso de la cuadrícula.Si todos estos parámetros se encuentran en estado verde, el estado del sistema es bueno. Si alguno deestos tres parámetros presenta el estado rojo, el estado del sistema es malo.

Procedimiento

u En la página Configuración, haga clic en Instalación y soporte.

En la página Instalación y soporte, puede ver la sección Estado del sistema.

Nota Si el estado del sistema es malo por más de seis horas, debe ponerse en contacto con elsoporte técnico de vRealize Network Insight.

Configurar intervalo de conservación de los datosEn vRealize Network Insight, puede especificar durante cuánto tiempo desea conservar los datos.

Nota vRealize Network Insight solo admite la administración de datos configurables en una licenciaEnterprise. En la edición de licencia avanzada, el tiempo predeterminado de conservación de los datoses un mes.

Los datos se dividen en las siguientes categorías:

Tabla 6-1.

Categoría Valor mínimo Valor máximo

Eventos 1 mes 13 meses

Entidades y datos de configuración 1 mes 3 meses

Métricas 1 mes 13 meses

Flujos No corresponde 1 mes

Datos varios No corresponde 100 GB de espacio de disco adicional

Nota Para todas las categorías, el valor mínimo es el valor predeterminado.

Se pueden configurar y controlar diferentes directivas para cada categoría. Puede configurar la directivasegún sus necesidades.

Para configurar la administración de datos:

1 En la esquina superior derecha de la página de inicio, haga clic en y, a continuación, haga clicen Configuración.

2 En la sección Configuración, haga clic en Administración de datos.

3 Al iniciar sesión por primera vez, esta página muestra los datos predeterminados.


VMware, Inc. 84

4 Haga clic en el icono de información para obtener más información sobre la forma en que los datosocupan el disco.

5 Haga clic en Cambiar directiva para modificar el período de conservación de los datos de lasdiversas categorías de datos. Una vez realizados los cambios, la información se registra en la basede datos.


Nota El período de conservación para métricas de baja resolución es mayor que para las métricas dealta resolución.

Configurar subredes y propiedades de IPEn vRealize Network Insight, puede configurar diferentes propiedades de IP para mejorar la planificacióny la identificación de la seguridad.

Importar el archivo de asignación de DNSPara proporcionar la información sobre los flujos entre los dispositivos físicos, puede importar el archivode asignación de DNS. Los formatos admitidos para el archivo de asignación de DNS son el formato dearchivo CSV y Bind. Asegúrese de haber colocado estos archivos en un único archivo ZIP.

Nota vRealize Network Insight no es compatible con los archivos ZIP protegidos con contraseña.

Procedimiento

1 En la página Configuración, haga clic en Subredes y propiedades de IP.

2 Haga clic en Asignación de DNS y de IP físicas.

3 Haga clic en Cargar y reemplazar para cargar el archivo de asignación de DNS. Después deseleccionar y cargar el archivo, haga clic en Validar. La cantidad de registros de DNS se muestradespués de la validación.

La operación Cargar y reemplazar elimina las asignaciones de DNS existentes y las reemplaza porlas asignaciones que se importan. El archivo de asignación de DNS contiene los siguientes trescampos:

n Nombre de host

n Dirección IP

n Nombre de dominio

Configurar la asignación entre la subred y una VLANPuede definir una asignación entre la subred y una VLAN.


VMware, Inc. 85

Esta asignación se puede utilizar para lo siguiente:

n Enriquecer la información sobre las entidades IP que se aprenden de flujos físicos a físicosagregando las subredes de origen y destino, y las redes de capa 2 asociadas con el flujo.

n Planificar la topología de la red en función de la subred y VLAN para direcciones físicas.

Procedimiento

1 En la página Configuración, haga clic en Subredes y propiedades de IP.

2 Haga clic en Asignación de DNS y de IP físicas.

3 En la página Configuración, en Subredes y propiedades de IP, haga clic en Subredes físicas yVLAN.

En esta página, se enumeran todas las subredes y los identificadores de VLAN asociados.

4 Haga clic en Agregar para incorporar la información de subred y VLAN.

5 Después de definir la información de asignación, solo puede editar el identificador de VLAN asociadoa la subred. No es posible cambiar al CIDR de subred asociado con el identificador de VLAN. Paraeditar una subred asociada con el identificador de VLAN, elimine la subred que se va a editar y creeuna asignación de VLAN de subred con los valores requeridos.

Cuando se actualiza la información de asignación de subred-VLAN, se crea una nueva VLAN para elidentificador de VLAN especificado y la información de subred se asocia con esta VLAN.

6 Para eliminar la asignación de identificadores de subred-VLAN, haga clic en el icono Eliminar.

Nota Las operaciones de creación, actualización y eliminación de VLAN no se realizaninmediatamente después de que se crean las asignaciones de subred y VLAN. Transcurre un tiempohasta que los cambios se propagan y la VLAN correspondiente se crea o se modifica.

Configurar IP de este a oesteLas direcciones IP que están dentro del rango del estándar RFC1918 se consideran direcciones IPprivadas. Las direcciones IP que se encuentran fuera del estándar RFC1918 se tratan como direccionesIP de Internet. Sin embargo, los usuarios pueden especificar las direcciones IP de este a oeste (centrosde datos públicos) que no desean que se traten como direcciones IP de Internet mientras se etiquetanlos flujos y la microsegmentación, incluso si están fuera del rango de direcciones IP privadas según sedefine en RFC1918.

Para especificar direcciones IP públicas que no se tratarán como direcciones IP de Internet

1 En la esquina superior derecha de la página Inicio, haga clic en el icono Perfil y, a continuación, hagaclic en Configuración.

2 En la sección Configuración, haga clic en Direcciones IP de este a oeste.

3 En el cuadro Direcciones IP, introduzca las direcciones IP, los rangos de IP o las subredesespecíficas que se tratarán como direcciones IP que no son de Internet.


VMware, Inc. 86

4 Haga clic en Guardar. El mensaje de confirmación de las direcciones IP guardadas se muestra alguardar correctamente.

Configurar direcciones IP de norte a surLas direcciones IP que se encuentran en el espacio de RFC1918 se clasifican como direcciones IP denorte a sur. Los usuarios pueden especificar sus direcciones IP de norte a sur durante el etiquetado deflujos y la microsegmentación.

Para especificar direcciones IP de norte a sur:

1 En la esquina superior derecha de la página inicio, haga clic en el icono Perfil y, a continuación,haga clic en Configuración.

2 En la sección Configuración, haga clic en Direcciones IP de norte a sur.

3 En el cuadro Direcciones IP, introduzca las direcciones IP específicas, los rangos de IP o lassubredes.

4 Haga clic en Guardar. El mensaje de confirmación de las direcciones IP guardadas se muestra alguardar correctamente.

Configurar eventos y notificacionesEn vRealize Network Insight, puede configurar diversos tipos de eventos y notificaciones. vRealizeNetwork Insight crea un evento cada vez que el sistema cumple una regla preestablecida.

En la página Configuración, haga clic en Eventos para ver los diversos tipos de eventos:

n Eventos del sistema

n Eventos definidos por el usuario

n Eventos de estado de la plataforma

Ver y editar eventos del sistemaEl sistema o el usuario definen un evento. Los eventos del sistema son eventos predefinidos.

Los eventos del sistema se enumeran en la página Eventos del sistema de Configuración. Seespecifican los siguientes campos para cada evento. Es posible filtrar la información en función de losrequisitos en todas las columnas, excepto en la columna Evento.


VMware, Inc. 87

Tabla 6-2.

Columna Descripción

Evento Este campo especifica el nombre del evento.

Gravedad Este campo especifica la gravedad del evento. Puedeestablecerlo en los siguientes valores:

n Crítica

n Moderada

n Advertencia

n Información

Tipo Este campo especifica si el evento indica un problema o uncambio.

Nota Todos los eventos de tipo Problema se registran enSyslog.

Entidades Este campo especifica que el evento se configuró para incluir oexcluir entidades en la generación de eventos. De formapredeterminada, el valor es All.

Notificaciones Este campo especifica los tipos de notificaciones que se envían.Las notificaciones se pueden enviar por correo electrónico ocaptura de SNMP, o ambos.

Nota Debe habilitar la notificación para todos los eventoscríticos definidos por el sistema. Para obtener la lista de todoslos eventos críticos del sistema, ordene los eventos del sistemapor gravedad.

Habilitado Esta opción se encuentra seleccionada si el evento estáhabilitado.

Al pasar el cursor sobre cada evento, se puede ver Más información. Al hacer clic en esta opción, sepuede ver la descripción, las etiquetas del evento y el tipo de entidad de ese evento.

Es posible realizar las siguientes tareas en los eventos del sistema:

n Editar un evento

n Realizar una edición en masa

n Deshabilitar un evento para una entidad específica

Lista de eventos críticos del sistemaEn esta sección, se proporciona una lista de los eventos críticos del sistema. Para recibir una notificaciónsobre los eventos críticos del sistema, debe habilitar la notificación para cada evento crítico.

Para obtener más información sobre la edición de eventos, consulte Editar evento del sistema.

Nombre Tipo de entidad

Límite de AWS: reglas entrantes por grupo de seguridad Regla de firewall de AWS

Límite de AWS: reglas salientes por grupo de seguridad Regla de firewall de AWS

Límite de AWS: grupos de seguridad por VPC de AWS Grupo de seguridad de AWS


VMware, Inc. 88


Límite de AWS: grupos de seguridad por interfaz de red Grupo de seguridad de AWS

Límite de AWS: grupos de seguridad por región Grupo de seguridad de AWS

Todas las instancias de NSX Edge del clúster de ECMP seencuentran inactivas

Dispositivo de VMware Edge

Ambas máquinas virtuales de NSX Edge HA en estado activo Dispositivo de VMware Edge

El estado SIC de la puerta de enlace de Check Point no esComunicando

Administrador de seguridad de Check Point

No se encontró la máquina virtual del servicio de Check Point en elhost


Evento del sistema de NSX crítico -

No se puede acceder a las redes de DLR desde NSX Edge o elenrutador externo

VRF

No se estableció la conexión del plano de control del host con lacontroladora de uno o varios conmutadores lógicos

Host

No se puede acceder al host con máquinas virtuales deinfraestructura

Host

El recuento de VTEP del host no coincide con el del clúster Clúster

No se encontró la IP del nodo de servicio -

No se estableció la conexión del bus de mensajería o el plano decontrol entre NSX Manager y el host

Módulo

Se encontraron varias NIC correspondientes a la IP del nodo deservicio

-

La máquina virtual de NSX Edge no tiene el estado activo/propio Dispositivo de VMware Edge

No se encuentra el agente de tejido de NSX para Check Point en elhost

Host

No se encontró el agente de tejido de NSX en el host Host

Error de comunicación de NSX Manager con la máquina virtual deEdge

VRF

No se detectó ningún VIB de NSX o módulo del host en el host Módulo

La máquina virtual de infraestructura de NSX no está encendida VM

El servicio de administración de NSX no se está ejecutando -

El nodo de NSX-T Edge no tiene conectividad de controladora Nodo de transporte de NSX-T

El nodo de NSX-T Edge no tiene conectividad de administrador Nodo de transporte de NSX-T

No se encontró ninguna VTEP en el host preparado Host

Uno o varios vecinos de BGP no están en el estado establecido Dispositivo de VMware Edge

Palo Alto Panorama no se registró en NSX Manager PAN Manager

No se encontró la máquina virtual del servicio de Palo Alto en el host PAN Manager

El miembro del grupo está inactivo Miembros del grupo


VMware, Inc. 89


El grupo está vacío -

El grupo está inactivo -

El estado de la máquina virtual de servicio no coincide en Check Pointy NSX Manager


El estado de la máquina virtual de servicio no coincide en Panorama yNSX Manager

PAN Manager

La máquina virtual asociada al miembro del grupo está inactiva -

El servidor virtual del equilibrador de carga está deshabilitado Servidor virtual

QOE transaccional de VeloCloud Edge degradada Edge de VeloCloud

QOE de vídeo de VeloCloud Edge degradada Edge de VeloCloud

VeloCloud Edge no está en buen estado Edge de VeloCloud

QOE transaccional del vínculo de VeloCloud degradada Edge de VeloCloud

QOE de vídeo del vínculo de VeloCloud degrada Edge de VeloCloud

QOE de voz del vínculo de VeloCloud degradada Edge de VeloCloud

El vínculo de VeloCloud no está en buen estado Vínculo de VeloCloud

VeloCloud Edge no está en buen estado Edge de VeloCloud

El vínculo de VeloCloud no está en buen estado Vínculo de VeloCloud

La pérdida de paquetes de la aplicación supera el umbral Aplicación SD-WAN Edge

La pérdida de paquetes ascendentes del vínculo de VeloCloud superael umbral

Vínculo de VeloCloud

La pérdida de paquetes descendentes del vínculo VeloCloud superael umbral.

Vínculo de VeloCloud

Editar eventos del sistemaPuede editar los eventos del sistema y definir notificaciones para los eventos preferidos del sistema.

Procedimiento

1 Haga clic en el icono Editar junto a la columna Habilitado para un evento determinado.

2 Agregue o elimine etiquetas de eventos si es necesario.

3 Cambie la gravedad.

4 Seleccione Incluir/excluir entidades si desea habilitar o deshabilitar el evento para las entidadesseleccionadas.

n Para crear reglas de inclusión:

a Seleccione Lista de inclusión.

b Especifique las entidades que desea incluir para el evento en Condiciones.


VMware, Inc. 90

n Para crear reglas de exclusión:

a Seleccione Lista de exclusión.

b Especifique las entidades que desea excluir para el evento en Condiciones.

Nota n Puede crear varias reglas en las listas de inclusión y de exclusión.

n Al seleccionar NSX Manager, puede agregar excepciones en ambas listas. Puede definir unaexcepción si desea que las reglas de inclusión o de exclusión contengan una excepción para unaentidad específica.

n También puede especificar Custom Search si escribe su propia consulta para incluir o excluirentidades.

5 Seleccione Habilitar notificaciones par configurar el momento en que se deben enviarnotificaciones.

n Para configurar un servidor de correo electrónico, haga clic en Configurar servidor de correo.

n Para configurar un servidor SNMP, haga clic en la captura de Configurar destino de captura deSNMP.

Nota Si ya realizó la configuración, estas opciones no estarán disponibles.

6 Realice lo siguiente:

n Para las notificaciones por correo electrónico, especifique la dirección de correo electrónico y lafrecuencia con la que desea recibir los correos electrónicos.

n Para las notificaciones de SNMP, seleccione Enviar captura de SNMP a IP-address.

Puede hacer clic en Cambiar para modificar la configuración de SNMP.


Realizar una edición en masa en un evento

1 En la página Eventos del sistema, al seleccionar varios eventos, se muestran las opcionesHabilitar, Deshabilitar y Editar arriba de la lista.

2 Haga clic en Editar.

3 En la página Editar, se ofrecen las siguientes opciones:

n Anular valores existentes: solo se sobrescriben los campos que se editan en esta opción.

n Agregar a existente: es posible agregar elementos a los valores existentes, como lasdirecciones de correo electrónico y las etiquetas de evento en esta opción.



VMware, Inc. 91

Deshabilitar un evento

1 Es posible seleccionar un evento en el widget Problemas abiertos de la página de inicio. Tambiénse puede introducir Problemas en la barra de búsqueda y seleccionar un evento de la lista.

2 Seleccione un evento determinado y haga clic en Archivar.

3 Seleccione Deshabilitar todos los eventos de este tipo en el futuro para y seleccione una entidado todas las entidades.

4 Haga clic en Guardar.

Nota Los cambios realizados en la gravedad, las etiquetas o las reglas de inclusión/exclusión sereflejarán en los eventos futuros. Los eventos existentes seguirán mostrando la configuraciónanterior.

Limitaciones de eventosEn esta sección, se proporcionan las limitaciones para los diversos eventos definidos por el sistema.

Limitación de evento de regla de firewall distribuido enmascarada por regla anterior

Este evento presenta las siguientes limitaciones:

n Este evento solo se admite para reglas de firewall distribuido de NSX-V. No se admiten otrosproveedores de firewall.

n Actualmente, se admiten las siguientes propiedades de reglas de firewall para el cálculo deenmascaramiento:

n Origen

n Destino

n Se aplica a

n Protocolo de servicio y rangos de puertos

n Tipo de paquete

n Identificadores de aplicaciones de capa 7

n No se admiten las reglas con versión de origen o destino.

n Las reglas deshabilitadas se ignoran.

n No se admiten las reglas con grupos de seguridad que contienen miembros excluidos directa oindirectamente en las propiedades Origen, Destino o Se aplica a.

n El cálculo de enmascaramiento para las propiedades Origen, Destino y Se aplica a se basa en lamembresía estática y la superposición de rango de IP de los conjuntos de IP miembro. No se tieneen cuenta la membresía dinámica de un grupo de seguridad para el enmascaramiento.

Editar eventos definidos por el usuarioLos eventos definidos por el usuario se basan en una búsqueda.


VMware, Inc. 92

Todos los eventos definidos por el usuario se enumeran en la página Eventos definidos por el usuariode Configuración. Se especifican los siguientes campos para cada evento.

Tabla 6-3.

Campo Descripción

Nombre (criterios de búsqueda) Este campo especifica el nombre del evento y los criterios debúsqueda para el evento.

Gravedad Este campo especifica la gravedad de la alerta. Puedeestablecerlo en los siguientes valores:

n Crítica

n Moderada

n Advertencia

n Información


Notificar cuando Este campo especifica cuándo se debe enviar la notificación.

Creado por Este campo especifica quién creó el evento.

Habilitado Esta opción se encuentra seleccionada si el evento estáhabilitado.

Puede editar o eliminar el evento. Al editarlo, puede especificar la dirección de correo electrónico y lafrecuencia de la notificación por correo electrónico.

Configurar evento definido por el usuarioPuede crear un evento definido por el usuario a través de la búsqueda.

Procedimiento

1 Haga clic en el icono Crear notificación en la ventana de resultados de la búsqueda.

Se abrirá la página Configurar evento definido por el usuario.

2 Introduzca un nombre único para el evento.

3 Seleccione la casilla de verificación para marcar el evento como un problema y seleccione lagravedad.

4 Introduzca criterios de búsqueda únicos.

5 Seleccionar la condición a partir de la cual se desean recibir las notificaciones.

6 Seleccione la frecuencia de notificación como Inmediatamente o Resumen diario.

7 Especifique la dirección de correo electrónico.

8 Para configurar el servidor SNMP, haga clic en Configurar captura de SNMP.

Si ya configuró el servidor SNMP, seleccione Enviar captura de SNMP a dirección IP.

Puede hacer clic en Cambiar para modificar la configuración de SNMP.



VMware, Inc. 93

Ver eventos de estado de plataformaLa página Eventos de estado de plataforma es su página integral para ver todos los eventos queproporcionan detalles sobre el estado general del sistema. Es posible que estos eventos se hayanproducido en un origen de datos o un nodo de la infraestructura. También puede ver estos eventos através de una búsqueda.

Tabla 6-4.

Campo Descripción

Evento Este campo especifica el nombre del evento.

Gravedad Este campo especifica la gravedad del evento. No se puedecambiar la gravedad del evento.


Notificaciones Este campo especifica los tipos de notificaciones que se envían.Las notificaciones se pueden enviar por correo electrónico ocaptura de SNMP, o ambos.

Notificaciones

Notificaciones basadas en búsquedasLas notificaciones basadas en búsquedas se pueden clasificar de la siguiente manera:

n Notificación basada en el sistema

n Notificación definida por el usuario

Los parámetros de notificación basados en el sistema están predefinidos y, al activar la alerta denotificación, se envían las notificaciones como mensajes. Las notificaciones definidas por el usuario sonlas que establece el usuario, en función de sus requisitos. Puede crear notificaciones por correoelectrónico según su consulta de búsqueda. Después de ejecutar una búsqueda, en la páginaResultados, se muestra la opción Crear notificación. Para cada búsqueda, es posible:

n Seleccionar la condición a partir de la cual se desean recibir las notificaciones.

n Definir la frecuencia con la que se desean recibir las notificaciones.

n Introducir los destinatarios de correo electrónico de cada notificación (de forma predeterminada, elidentificador de correo electrónico está presente en la lista del destinatario; también se puedenagregar varios identificadores de correo electrónico).

Para una búsqueda definida por el usuario:

n Es obligatorio asignar un nombre a la notificación basada en búsquedas.

n Es obligatorio seleccionar la gravedad de un evento basado en búsquedas que esté marcado comoproblema.


VMware, Inc. 94

n Los eventos definidos por el usuario se identifican de forma exclusiva mediante los criterios debúsqueda.

n Puede especificar la frecuencia de notificación como Inmediatamente o Resumen diario.

Puede administrar las notificaciones desde la página Configuración > Notificaciones basadas enbúsquedas. En la página Notificaciones basadas en búsquedas, puede ver las notificacionesexistentes, editarlas, activarlas o desactivarlas y también eliminar las notificaciones no deseadas.

Configurar la notificación de eventosLas notificaciones se envían como correos electrónicos.

Para configurar la notificación, primero debe configurar el servidor de correo. Para saber cómo configurarel servidor de correo, consulteConfigurar servidor de correo.

Especificar los eventos de notificación por correo electrónico que se enviarán

Los usuarios pueden especificar eventos para los que se enviarán notificaciones por correo.

Para especificar eventos

1 En la página Configuración, haga clic en Notificaciones basadas en búsquedas o simplementebusque cualquier información con el cuadro de búsqueda.

2 En la página Notificaciones basadas en búsquedas, haga clic en el icono Crear notificación. Semuestra un cuadro de diálogo de notificación.

3 En el cuadro de notificación Recibir notificación cuando, seleccione el evento para el cual seenviarán notificaciones.

4 En el cuadro Notificar, seleccione la frecuencia con la que se enviarán las notificaciones.

5 Si el evento no es deseable, seleccione la casilla de verificación Marcar como problema.

6 Introduzca las direcciones de correo electrónico a las que se enviarán las notificaciones y, acontinuación, haga clic en Guardar.

Nota Para comprobar si el correo de notificación está configurado correctamente, haga clic en Enviarcorreo electrónico de prueba.

Notificaciones de eventosvRealize Network Insight contiene una lista de eventos del sistema predefinidos (problemas del sistema ycambios del sistema) para los que puede recibir notificaciones automatizadas por correo electrónico cadacuatro horas (es posible modificar este valor).

Puede ver la lista de notificaciones en la página Configuración > Notificaciones del sistema.

Si no configuró ninguna notificación de correo electrónico o de SNMP para un evento, verá un mensajede alerta en la página de inicio para recordarle esto y permitirle definir las notificaciones. Puede hacerclic en Habilitar notificaciones en el mensaje de alerta para acceder directamente a la página Eventosdel sistema y suscribirse a las notificaciones de los eventos preferidos.


VMware, Inc. 95

Para deshabilitar el recordatorio, seleccione la opción No volver a mostrar este mensaje. El mensajede alerta no aparecerá para ese usuario específico. Para definir las notificaciones más adelante,desplácese hasta Configuración > Eventos.

Archivar problemas

Archivar un problema

1 Haga clic en el vínculo Mostrar todas (si existe más de una instancia de un evento) para mostrartodas las instancias del evento.

2 Pase el cursor sobre la instancia del evento que desea archivar para ver un conjunto de iconos y, acontinuación, haga clic en el icono Archivar.

3 En el cuadro de diálogo Evento específico

a Seleccione Este evento en la lista Está a punto de archivar si desea archivar solo este evento.

b Seleccione Todos los eventos de este tipo en la lista Está a punto de archivar si desea archivartodos los eventos del mismo tipo en el sistema.


Ver todos los eventos archivados

1 En la página de inicio, escriba eventos en el cuadro de búsqueda y presione Entrar. Se mostrará unalista de eventos.

2 En el panel de la izquierda, en la faceta Archivados, seleccione la casilla Verdadero (que se resaltaen la siguiente captura de pantalla).

Aquí puede ver todos los eventos archivados.

Para restaurar un evento archivado

1 En el evento archivado, haga clic en el icono Archivado. (Consulte la sección anterior Para ver unevento archivado a fin de conocer la forma de ir a la página de eventos archivados).

2 En el cuadro de diálogo Evento específico

a Seleccione Este evento en la lista Está a punto de restaurar del archivo si desea restaurar soloeste evento.

b Seleccione Todos los eventos de este tipo en la lista Está a punto de restaurar del archivo sidesea restaurar todos los eventos de tipo similar.

c Haga clic en Guardar para completar la restauración.

Deshabilitar eventos

Los usuarios pueden deshabilitar eventos de forma selectiva y evitar que se envíen notificaciones en elfuturo.


VMware, Inc. 96

Para deshabilitar la notificación de eventos

Método 1

1 En el evento, haga clic en el vínculo Mostrar todas (si hay más de una instancia de un evento) paraver todas las instancias del evento.

2 Desplace el cursor sobre la instancia del evento cuya notificación desea deshabilitar. Se muestra unconjunto de iconos; haga clic en el icono de archivo.

3 En el cuadro de diálogo Específico del evento, seleccione la casilla de verificación Deshabilitartodos los eventos de este tipo en el futuro y, a continuación, haga clic en Guardar.

Método 2

1 En la esquina superior derecha de la página Inicio, haga clic en el icono Perfil y, a continuación,haga clic en Configuración.

2 En la sección Configuración, haga clic en Notificaciones de eventos para ver una lista de todoslos eventos habilitados y deshabilitados.

3 En el evento habilitado que desea deshabilitar, en la columna Habilitado, haga clic en el espacio dellado izquierdo del control deslizante correspondiente.

4 En el cuadro de diálogo Confirmar acción, haga clic en Sí.

Configurar el servicio de notificación de eventos

Los usuarios pueden habilitar notificaciones personalizadas para diferentes eventos

Para establecer servicios de notificación

1 En Configuración, vaya a Notificación de eventos y haga clic en el icono de edición correspondienteal problema para el que desea habilitar las notificaciones por correo electrónico y SNMP.

2 En el cuadro de diálogo Editar notificación del sistema, introduzca la dirección de correo electrónico ala que desea que se envíe la notificación. En el cuadro Frecuencia de correo electrónico, seleccionela frecuencia de tiempo con la que desea recibir notificaciones.

3 Para establecer notificaciones de SNMP, seleccione la casilla de verificación Habilitar captura SNMPpara este evento.


5 Una vez habilitada esta opción, los iconos de correo y SNMP respectivos aparecerán resaltadoscomo en la captura de pantalla que aparece a continuación.

Configurar la administración de identidades y accesoEn vRealize Network Insight, puede crear un usuario o configurar el acceso de los usuarios de LDAP yde VMware Identity Manager. También puede asignar diferentes funciones a los usuarios.

Configurar LDAPEn vRealize Network Insight, puede configurar el acceso de los usuarios de LDAP.


VMware, Inc. 97

vRealize Network Insight admite los siguientes dos tipos de usuarios:

n Usuario creado en la máquina virtual de la plataforma vRealize Network Insight

n Usuarios de LDAP

Para permitir que los usuarios de LDAP inicien sesión en vRealize Network Insight, configure el servicioLDAP en la plataforma de vRealize Network Insight de la siguiente manera:

Para habilitar la autenticación de usuario basada en LDAP1 En la página Configuración, haga clic en Administración de identidades y acceso > LDAP.

2 Haga clic en Configurar.

3 En la página Configurar LDAP, escriba el dominio adecuado, la dirección URL del host LDAP y lascredenciales LDAP en los cuadros correspondientes. Consulte la siguiente tabla para obtenerdescripciones de campos individuales.

Tabla 6-5.

Campo Descripción

Dominio Este suele ser la última parte de la dirección de correoelectrónico del usuario después del símbolo "@". Ejemplo: paraun usuario que inicia sesión como [email protected], estecampo debe ser example.com

URL de host de LDAP Es posible especificar varias direcciones URL de hosts LDAPseparadas por comas.

Nombre de usuario Usuario con los derechos necesarios para iniciar sesión con laconfiguración proporcionada.

Contraseña Contraseña del usuario.

Puede configurar un grupo y proporcionar una función a los miembros de ese grupo. Para habilitaresta funcionalidad, seleccione Control de acceso basado en grupos.

a En DN base, escriba el DN base, el punto desde el cual el servidor comenzará a buscarusuarios.

b En DN de grupo, agregue grupos.

c Para cada grupo, seleccione la función de usuario como miembro o administrador en el menúdesplegable. Si selecciona la función de administrador para un grupo determinado, todos losmiembros de ese grupo tendrán el privilegio de administrador. De forma similar, si selecciona lafunción de miembro para un grupo determinado, todos los miembros de ese grupo tendrán elprivilegio de miembro. Si no se selecciona esta opción, se utiliza la configuración del grupo paraasignar los privilegios. Sin embargo, otros usuarios de LDAP válidos que no pertenezcan a losgrupos agregados podrán iniciar sesión en el producto.

d Haga clic en Agregar más para agregar grupos de la lista de inclusión.


VMware, Inc. 98

Para permitir el acceso a los usuarios únicamente desde los grupos de LDAP (membresía directa oheredada) que usted agregó, seleccione la casilla de verificación Restringir el acceso únicamentea los miembros de los grupos anteriores.

4 Haga clic en Enviar para configurar LDAP.

Una vez completada correctamente la configuración de LDAP, la pantalla de inicio de sesión incluirá unnuevo menú desplegable en el que los usuarios podrán seleccionar si desean iniciar sesión de formalocal o con sus credenciales de LDAP.

Las credenciales de LDAP no se guardan en ninguna parte.

Consideraciones sobre los grupos y la herencia

n Si los grupos se agregaron a DN de grupo, sus grupos secundarios también pueden iniciar sesióncon las credenciales de LDAP.

n No se tiene en cuenta la herencia para la asignación de funciones. Por ejemplo, si un usuario debeser administrador, se debe asignar la función de administrador al grupo directo al que pertenece elusuario. El usuario que pertenece al grupo secundario no tendrá la función de administrador.

n Si asignó la función de administrador a un grupo y desea excluir a un usuario específico de esegrupo de la función de administrador, realice los siguientes pasos:

a En la página Configuración, haga clic en Administración de usuarios.

b En la pestaña Usuarios de LDAP, puede ver la función asignada de ese usuario específico ytambién que el usuario heredó la función del grupo.

c Haga clic en el icono Editar. En Función, seleccione Miembro en el menú desplegable de eseusuario. De esta manera, asignará una función directamente al usuario.

d Haga clic en Guardar cambios.

e Introduzca su contraseña para confirmar. Haga clic en Autorizar.

n Si desea que un usuario herede la función del grupo al que pertenece el usuario, realice lossiguientes pasos:

a En la página Configuración, haga clic en Administración de usuarios.

b En la pestaña Usuarios de LDAP, puede ver la función asignada de ese usuario específico ytambién que la función se asignó directamente al usuario.

c Haga clic en el icono Eliminar para eliminar ese usuario de LDAP.

d Cuando ese usuario específico inicie sesión, heredará la función del grupo principal de formapredeterminada.

n Si un usuario ya inició sesión y alguien cambia la función del grupo al que pertenece el usuario, lanueva función entrará en efecto únicamente después de que el usuario cierre sesión.

n Supongamos que existen algunos usuarios LDAP que iniciaron sesión antes de una actualización.Después de una actualización, los usuarios de LDAP reciben funciones directamente y no heredandel grupo.


VMware, Inc. 99

n Supongamos que un usuario pertenece a varios grupos. Por ejemplo, un usuario pertenece a losgrupos A, B y C. Si se asigna la función de administrador al grupo A y se asigna la función demiembro al grupo B y al grupo C, el usuario hereda la función de administrador.

Configurar VMware Identity Manager (vIDM)Los administradores pueden autorizar a usuarios de VMware Identity Manager para que estos accedan acaracterísticas de vRealize Network Insight sobre la base de sus funciones.

Requisitos previos

Registre vRealize Network Insight como un cliente de OAuth en el host de VMware Identity Manager.Para obtener más información, consulte la documentación de VMware Identity Manager.

Procedimiento

1 Inicie sesión en vRealize Network Insight y haga clic en Configuración.

2 En Administración de identidades y acceso, seleccione vIDM.

3 Proporcione la siguiente información.

Parámetro Descripción

Dispositivo de VMware IdentityManager

El nombre de dominio completo (Fully Qualified Domain Name, FQDN) del host deVMware Identity Manager.

Identificador de cliente de OAuth El identificador que se crea al registrar vRealize Network Insight en el host deVMware Identity Manager.

Secreto de cliente de OAuth El secreto que se crea al registrar vRealize Network Insight en el host de VMwareIdentity Manager.

Huella digital SHA-256 Este es un campo opcional. La huella digital de certificado del host de VMwareIdentity Manager. Para obtener más información, consulte Obtener la huella digitalde certificado del host de VMware Identity Manager.


Después de la configuración, verá el dispositivo de VMware Identity Manager y los detalles delcliente que configuró.

5 Haga clic en el botón de alternancia para habilitar o deshabilitar VMware Identity Manager. Sideshabilita la opción, no podrá usar la autenticación de VMware Identity Manager en vRealizeNetwork Insight.

Obtener la huella digital de certificado del host de VMware Identity ManagerPara la validación del certificado SSL, puede obtener la huella digital SHA-256 del host de VMwareIdentity Manager.


VMware, Inc. 100

https://docs.vmware.com/es/VMware-Identity-Manager/services/IDM_service_administration_cloud/GUID-AD4B6F91-2D68-48F2-9212-5B69D40A1FAE.html

Procedimiento

1 Para obtener el certificado SSL/TLS, ejecute el siguiente comando:

openssl s_client -connect <FQDN of vIDM host>:443

Copie el certificado de servidor desde -----BEGIN CERTIFICATE----- hasta -----ENDCERTIFICATE----- en un archivo llamado cert.pem y guarde el archivo.

2 Para obtener la huella digital, ejecute el siguiente comando:

openssl x509 -fingerprint -noout -sha256 -in cert.pem

Puede ver la huella digital en el siguiente formato:

SHA256

Fingerprint=3D:E8:4C:CD:19:D6:AD:23:30:86:E4:A1:72:D5:22:08:F9:72:6D:D3:E7:6E:99:32:C8:C7:3D:

F8:E2:91:91:AE

Pasos siguientes

Copie la huella digital y péguela en la página de configuración de VMware Identity Manager.

Configurar la administración de usuariosEl usuario administrador puede agregar nuevos usuarios y configurar membresías y otras opciones delos usuarios existentes. Los usuarios con la función de membresía de administrador solo pueden ver lapestaña Administración de usuarios.

Agregar usuario nuevo

1 En la página Configuración, haga clic en Administración de identidades y acceso > Usuarioslocales > Agregar usuario nuevo y proporcione la información necesaria en el formulario.

El formulario contiene los siguientes cuadros de texto:


Nombre Introduzca el nombre del usuario.

Correo electrónico (identificador de inicio de sesión) Introduzca su correo electrónico o su identificador de inicio desesión (si tiene alguno).

Función Seleccione la función de la lista desplegable.


Volver a introducir la contraseña nueva Vuelva a introducir la contraseña para confirmarla.

2 Haga clic en Agregar usuario para guardar la información del usuario.

Asignar la función de administradorPuede asignar la función de administrador a cualquier usuario de LDAP.


VMware, Inc. 101

Incluso si el usuario específico no ha iniciado sesión, puede asignar la función de administrador a eseusuario. Para asignar la función de administrador:

1 En la página Configuración, haga clic en Administración de identidades y acceso > Usuarios deLDAP > Asignar función de administrador.

2 Proporcione el identificador de inicio de sesión del usuario al que desea asignar la función deadministrador.

3 Haga clic en Agregar usuario.

4 Una vez agregado el usuario, podrá ver el identificador de inicio de sesión en la pestaña Usuarios deLDAP.

5 Para cambiar la función, haga clic en el icono Editar junto al identificador de inicio de sesión en lapestaña Usuarios de LDAP.

Importar usuarios de VMware Identity ManagerPuede importar cuentas de usuario de VMware Identity Manager para permitirles que usen vRealizeNetwork Insight y asignarles funciones.

Procedimiento

1 En la página Configuración de vRealize Network Insight, expanda Administración de identidades yacceso.

2 Haga clic en Administración de usuarios y seleccione la pestaña vIDM.

3 Proporcione los detalles requeridos.


Nombre de dominio Introduzca el nombre de dominio de VMware Identity Manager para la importación.

Buscar usuarios/grupos Introduzca una cadena de búsqueda y seleccione la cuenta de usuario de la lista de autocompletar.Puede seleccionar un solo usuario o un grupo de usuarios. Si selecciona un grupo, todos losmiembros del grupo podrán acceder a vRealize Network Insight.

Función Asigne la función Miembro o Administrador a la cuenta de usuario.


VMware, Inc. 102

4 Haga clic en Agregar usuario.

Nota n Si seleccionó un grupo, todos los miembros del grupo obtendrán la misma función. Si desea

asignar una función diferente a un usuario específico del grupo, debe agregarlo de formaindividual y asignarle la función requerida.

Por ejemplo, para asignar la función Administrador solo a user1 en Mygroup:

n agregue Mygroup y asigne la función Miembro; y

n agregue user1 y asigne la función Administrador.

La función asignada al usuario sobrescribe directamente la función asignada al usuario comoparte del grupo.

n Si un usuario pertenece a varios grupos con diferentes funciones, se le asigna la función con elprivilegio más alto.

Por ejemplo, si un usuario pertenece a Grupo A, el cual tiene la función Administrador, perotambién pertenece a Grupo B y Grupo C, los cuales tienen la función Miembro, el usuarioheredará la función Administrador.

Ahora, este usuario o los miembros de este grupo de VMware Identity Manager podrán iniciar sesión envRealize Network Insight y utilizar las características según la función asignada.

Configurar registrosEn vRealize Network Insight, puede ver y configurar diferentes tipos de registros.

Ver y exportar registros de auditoríaLos registros de auditoría capturan las acciones administrativas que se llevan a cabo en el sistema. Setrata de operaciones CRUD normales, así como eventos de inicio y cierre de sesión. Se registran lasacciones administrativas realizadas a través de la interfaz de usuario, la CLI o la API.

Los registros de auditoría capturan las acciones de la API, la interfaz de usuario y la CLI.

Funcionesn La función de registro de auditoría siempre está activada.

n vRealize Network Insight es compatible con el formato UTC en los registros de auditoría.

n El registro de auditoría se integra con syslog. Es posible configurar Syslog Collector para recopilartodos los registros de auditoría.

n Es posible exportar todos los datos del registro de auditoría en un archivo CSV.


VMware, Inc. 103

Establecer la configuración de SyslogPuede configurar servidores Syslog remotos para vRealize Network Insight mediante la páginaConfiguración de Syslog.

Si bien cada servidor proxy puede tener un servidor Syslog remoto diferente, todos los servidores de laplataforma de un clúster utilizan el mismo servidor Syslog remoto.

En la versión actual, los eventos de problema de vRealize Network Insight y los servidores Syslog delservidor de plataforma/proxy se envían al servidor Syslog remoto.

Actualmente, vRealize Network Insight solo admite UDP para la comunicación entre servidores devRealize Network Insight y servidores Syslog remotos. Por lo tanto, asegúrese de que los servidoresSyslog remotos estén configurados para aceptar el tráfico de Syslog a través de UDP.

Para configurar servidores Syslog:

1 En la página Configuración, haga clic en Configuración de Syslog. La página Configuración deSyslog tiene los servidores Syslog configurados y sus asignaciones a los dispositivos virtualesenumerados. Si accede a esta página por primera vez, el Syslog está deshabilitado de formapredeterminada y la lista de servidores de esta página no aparece.

2 Para agregar un servidor Syslog:

a Haga clic en Agregar servidor Syslog.

b Introduzca la dirección IP, el alias y el número de puerto del servidor. El número de puertoestándar para UDP es 514.

c Para probar la configuración, haga clic en Enviar registro de prueba.

d Haga clic en Enviar.

e Si es el primer servidor que agregó, habilite Syslog en la parte superior de la página.

3 Para asignar el servidor a las plataformas y a los servidores proxy:

a Haga clic en Editar asignación.

b Seleccione el servidor Syslog para todas las plataformas y los servidores proxy.

c Si no desea habilitar Syslog en ningún servidor proxy ni en la plataforma, seleccione la opciónSin servidor.

d Haga clic en Enviar.

Nota Después de realizar los cambios, es posible que deban transcurrir algunos minutos paraque se apliquen.

Configurar servidor de correoEn vRealize Network Insight, puede configurar un servidor de correo para recibir notificaciones deeventos mediante correo electrónico.


VMware, Inc. 104

Para configurar el servidor de correo:

1 En la esquina superior derecha de la página Inicio, haga clic en el icono Perfil y, a continuación,haga clic en Configuración.

2 Haga clic en Servidor de correo.

3 Active la casilla de verificación Servidor SMTP.

4 Introduzca los valores adecuados en los cuadros.

Tabla 6-6.

Campo Descripción

Correo electrónico de remitente Dirección de correo electrónico del remitente.

Nombre de host/dirección IP de SMTP Nombre de host o dirección IP del servidor SMTP.

Cifrado Se encuentran disponibles las siguientes opciones de cifrado:Ninguno, TLS y SSL.

Número de puerto SMTP Número de puerto del servidor SMTP (el valor predeterminadoes 25).

Nota Para elegir Gmail como el servidor de correo electrónico, se requieren opciones deconfiguración adicionales que se indican en el soporte de Google.

De manera opcional, para mayor seguridad, seleccione la casilla de verificación Autenticación eintroduzca el nombre de usuario y la contraseña.

Nota Para comprobar si el correo de notificación está configurado correctamente, haga clic enEnviar correo electrónico de prueba.

5 Haga clic en Enviar para completar la configuración.

Configurar destino de captura de SNMPEn vRealize Network Insight, puede configurar capturas del protocolo simple de administración de redes(Simple Network Management Protocol, SNMP) para recibir notificaciones por correo. El producto admitelas dos versiones v2c y v3 siguientes de SNMP:

1 En la esquina superior derecha de la página de inicio, haga clic en el icono Perfil y, a continuación,haga clic en Configuración.

2 Seleccione Destino de captura de SNMP.

3 En la página Destino de captura de SNMP, en el cuadro Versión, seleccione los protocolos SNMPv2co SNMPv3.

Nota El protocolo SNMPv2c no requiere autenticación. El protocolo SNMPv3 es compatible con laautenticación.


VMware, Inc. 105

4 En el cuadro Dirección IP de destino/FQDN, escriba la dirección IP del agente SNMP o introduzca elnombre de dominio completo (Fully Qualified Domain Name, FQDN).

5 En el cuadro Puerto de destino, introduzca 162.

6 Si selecciona el protocolo SNMPv2c, en el cuadro Cadena de comunidad, introduzca Pública. Siselecciona el protocolo SNMPv3, en el cuadro Nombre de usuario, escriba el nombre del usuario quecreó en el agente SNMP.

Para SNMPv3, haga también lo siguiente:

n Seleccione la casilla de verificación Usar autenticación.

n Seleccione un protocolo de autenticación y, a continuación, escriba la contraseña que estableciópara el usuario en particular en el agente SNMP. De manera opcional, en los cuadros Protocolode privacidad y Frase de privacidad, seleccione un protocolo de privacidad y una frase deprivacidad, respectivamente.

Para comprobar si la configuración se realizó correctamente, haga clic en Captura SNMP de pruebay, a continuación, averigüe si la captura se envió al agente SNMP.


Administrar licenciasVMware sigue un sistema de honor para las licencias de vRealize Network Insight. Esto significa que lasinfracciones relacionadas con el recuento de licencias generan un mensaje de advertencia en la interfazde usuario, pero no impide el uso de las funciones disponibles.

Se mostrarán mensajes de advertencia de licencias en todas las páginas de la interfaz de usuario en lossiguientes escenarios:

n El uso de licencias supera la licencia de socket (CPU).

Debe agregar una licencia adicional para cumplir con los requisitos.

n Tipo de licencia mixto.

n Cuando se agrega una licencia Advanced y una licencia Enterprise.

Después de actualizar una edición Advanced a la edición Enterprise, debe eliminar manualmentela licencia Advanced (Configuración > Licencia y uso). Asegúrese de tener una cantidadsuficiente de licencias Enterprise para utilizar las funciones de esta edición.

n Cuando se agrega una licencia de socket y una licencia de núcleo.

Elimine uno de los tipos de licencia según se requiera.

Cálculo de uso de licenciasEl uso de licencias de vRealize Network Insight se calcula en función de la siguiente relación.


VMware, Inc. 106

Objeto DescripciónRecuento de objetos permitido porlicencia de socket

CPU de VMware vSphere Cantidad total de sockets de CPU de losequipos host locales

1

Hosts de VMware Cloud on AWS Cantidad total de hosts de VMwareCloud on AWS

0,5

vCPU de AWS Cantidad total de vCPU de AWS 16

Endpoints que no son de VMware Cantidad total de endpoints que no sonde Internet ni de VMware, y que semuestran en flujos de los que se informade manera exclusiva mediantefuncionalidades de generación deinformes de flujo que no son de VMware(por ejemplo, NetFlow procedente de unconmutador físico)

15

Pods de Kubernetes Cantidad total de pods de Kubernetes 12

Nota vRealize Network Insight también considera los orígenes de datos deshabilitados durante elcálculo del uso de licencias. Si desea que vRealize Network Insight los ignore durante el recuento,elimine los orígenes de datos.

Licencia de SD-WANPara agregar VMware SD-WAN como origen de datos y ver la implementación de VMware SD-WAN envRealize Network Insight, debe agregar una licencia de VMware SD-WAN. Puede agregar la licencia deVMware SD-WAN como licencia independiente o puede utilizarla con una licencia Enterprise. Sinembargo, no puede utilizar una licencia de VMware SD-WAN con una licencia Advance. Puede utilizarvarias claves de licencia de VMware SD-WAN para admitir instancias de Edge de anchos de bandadiferentes.

Con la licencia de VMware SD-WAN, además del origen de datos de VMware SD-WAN, también puedeagregar vCenter sin IPFIX, conmutadores y enrutadores, e Infoblox.

Agregar y cambiar una licenciaEn esta página, es posible ver los detalles del uso de licencias y agregar una licencia. vRealize NetworkInsight admite la adición de varias licencias.

Agregar licenciaPara agregar una licencia:

1 En la página Licencia y uso, haga clic en Agregar licencia.

2 Proporcione la clave de licencia para el campo Nueva clave de licencia.



VMware, Inc. 107

Verá el tipo de licencia, el socket, el recuento de núcleos disponibles con la licencia y los detalles decaducidad.

4 Haga clic en Activar.

5 Puede ver la lista de licencias en la página.

6 También puede eliminar la licencia si hace clic en el icono Eliminar junto a la columna Caducidad. Sila licencia pertenece a una edición Enterprise y si es la última edición Enterprise que queda en elsistema, asegúrese de eliminar la cuenta de AWS antes de eliminar la licencia Enterprise.

Cambiar licenciaSi la licencia de evaluación caduca, al iniciar sesión en el producto, se muestra un mensaje que indicaque la licencia caducó y que es necesario renovarla. Siga estos pasos para cambiar una licencia.

Para cambiar una licencia:

1 Haga clic en el vínculo incluido en el mensaje Caducidad para ir a la página Cambiar licencia. Comoalternativa, en Configuración, haga clic en Licencia y uso; a continuación, haga clic en Cambiarlicencia.

2 En la página Cambiar licencia, en Clave de licencia nueva, introduzca la nueva clave de licenciaque recibió de VMware.


4 Haga clic en Activar.

Nota Al caducar la licencia de evaluación, se deshabilitan los proveedores de datos y estos dejan derecopilar datos. Después de renovar la licencia, es necesario volver a habilitar los proveedores de datosen la interfaz de usuario para iniciar la recopilación de datos.

Configurar intervalo de actualización automáticaEn vRealize Network Insight, puede configurar el intervalo de actualización automática para las páginasde entidades y los paneles de pines.

vRealize Network Insight proporciona la función de actualización automática en los paneles de control deentidades y los paneles de pines. El panel de control se actualiza automáticamente una vez cada nminutos especificados en la barra de encabezado.


VMware, Inc. 108

Puede especificar el intervalo de tiempo en el cual desea que todos los paneles de control realicen unaactualización automática. Tras el intervalo de tiempo especificado (n minutos), se volverán a cargarautomáticamente todos los widgets abiertos en el panel de control.

Nota n No puede cambiar el intervalo de tiempo de actualización automática de un panel de control

determinado.

n La actualización automática se coloca en pausa si se selecciona un intervalo de tiempo pasado en elcontrol deslizante de tiempo.

Puede pausar la actualización automática si no la necesita para un panel de control determinado. En labarra de encabezado, establezca Pausar en Activado. El contador de actualización automática serestablecerá cuando establezca Pausar en Desactivado.

Si, mientras observa un panel de pines, otro usuario realiza cambios en el panel (por ejemplo, si cambiasu diseño), la función de actualización automática no solo actualizará el contenido, sino que tambiénactualizará el panel de pines completo. Esto solo ocurre si existe el uso compartido y la colaboraciónentre usted y el otro usuario.

Procedimiento

1 En la página Configuración, haga clic en Mis preferencias. O bien, en el panel de controlcorrespondiente, haga clic en Modificar junto a la opción Actualización automática en la barra deencabezado.

2 Haga clic en Editar para cambiar el intervalo de tiempo de la actualización automática. Seleccione elintervalo de tiempo del menú desplegable. Haga clic en Guardar.

3 Para deshabilitar la opción Actualización automática, seleccione Deshabilitado en el menúdesplegable. Si selecciona esta opción, se deshabilitará la actualización automática de todos lospaneles de control.

Configurar el tiempo de espera de la sesión de usuarioDe forma predeterminada, el tiempo de espera de la sesión de usuario es 15 minutos. Puede modificareste valor según su preferencia.

Procedimiento

1 En la página Configuración, haga clic en Configuración del sistema.

Nota La pestaña Configuración del sistema solo es visible para admin user.

2 Haga clic en el icono Editar para cambiar la preferencia de tiempo de espera de la sesión de usuario.

3 Arrastre la barra deslizante para establecer el valor de tiempo de espera de la sesión. El valor oscilaentre 15 minutos y 24 horas.


VMware, Inc. 109

4 También puede ver detalles sobre quién y cuándo modificó el valor de tiempo de espera en el campoÚltima modificación.

5 Haga clic en Enviar. El mensaje Correcto se muestra para confirmar que la duración de la sesiónactualizada entrará en vigor en el próximo inicio de sesión.

Nota El nuevo valor de tiempo de espera de la sesión de usuario solo se aplicará después de cerrarsesión y volver a iniciarla.

Agregar clave de API de Google MapsPara obtener una vista de mapa de la implementación de SD-WAN, debe agregar una clave de API deGoogle Maps en vRealize Network Insight.

Requisitos previos

Asegúrese de lo siguiente:

n Es miembro de Google Cloud Platform y se habilitó la facturación en su cuenta.

n Tiene la clave de API de Google Maps. Para obtener la clave de API, consulte el procedimientocorrespondiente en la documentación de Google Maps Platform.

n Restringió la clave de API para evitar cualquier uso incorrecto. Para obtener más información,consulte el procedimiento correspondiente en la documentación de Google Maps Platform.

Procedimiento

1 En la página Configuración, haga clic en Configuración del sistema.

2 En Clave de API de Google Maps, introduzca la clave de API y haga clic en Guardar.

Ver los registros de auditoríaLos registros de auditoría capturan las acciones administrativas que se llevan a cabo en el sistema. Setrata de operaciones CRUD normales, así como eventos de inicio y cierre de sesión. Los registros deauditoría capturan las acciones de la API, la interfaz de usuario y la CLI.

n La función de registro de auditoría siempre está activada.

n vRealize Network Insight es compatible con el formato UTC en los registros de auditoría.

n El registro de auditoría se integra con syslog. Es posible configurar Syslog Collector para recopilartodos los registros de auditoría.

n Es posible exportar todos los datos del registro de auditoría en un archivo CSV.

Procedimiento

1 En la página Configuración, haga clic en Registros de auditoría en Registros.


VMware, Inc. 110

2 Se muestran los siguientes detalles en la página Registros de auditoría:

Información Descripción

Date & Time Marca de tiempo de la acción real que se realiza.

IP Address Dirección IP del cliente desde el que se establece la conexión,como la CLI o el navegador.

User Name Usuario que realiza la acción.

Object Type Objeto en el que se realiza la acción.

Operation Diferentes acciones que realiza el usuario en el objeto.

Object Identifier Identificador único de ese objeto en particular en el que serealiza la acción.

Response Indicador de la ejecución correcta o incorrecta de la operación.

Details Detalles de la configuración que se cambiaron, como el alias ouna propiedad.

3 Para permitir la recopilación de información cuando el usuario inicia sesión a través de un navegadoro una CLI, habilite Permitir recopilación de información de identificación personal. Esta opciónse encuentra deshabilitada de forma predeterminada.

Nota Las columnas IP Address y User Name están en blanco si esta opción está deshabilitada.

4 Haga clic en Exportar como CSV para exportar los datos del registro de auditoría en formato CSV.

Unirse al programa de mejora de la experiencia de clienteo abandonarloEste producto participa en el programa de mejora de la experiencia de cliente (Customer ExperienceImprovement Program, CEIP) de VMware. CEIP proporciona a VMware información con la que puedemejorar sus productos y servicios, solucionar problemas y ofrecer consejos relacionados con la mejorforma de implementar y utilizar los productos. En el marco de CEIP, VMware recopila de forma periódicainformación técnica sobre el uso que hace una organización de los productos y los servicios de VMwareen combinación con las claves de licencia de VMware de la organización. Dicha información no se puedeutilizar para identificar de forma personal a ningún individuo.

La información sobre los datos recopilados mediante CEIP y la intención con la que VMware los usa seestablecen en el Centro de seguridad y confianza en https://www.vmware.com/solutions/trustvmware/ceip.html.

Puede unirse al programa de mejora de la experiencia de cliente (Customer Experience ImprovementProgram, CEIP) de vRealize Network Insight o abandonarlo.

1 En la página Acerca de, en Programa de mejora de la experiencia de cliente, haga clic en Modificar.

2 Se abrirá la ventana del CEIP. Para unirse al CEIP, seleccione Habilitar. Esta acción activa CEIP yenvía datos a https://vmware.com.

3 Para abandonar el CEIP, anule la selección de Habilitar.


VMware, Inc. 111

https://www.vmware.com/solutions/trustvmware/ceip.html

https://www.vmware.com/solutions/trustvmware/ceip.html

https://vmware.com


Ver el estado de la configuraciónEl indicador Estado se encuentra disponible en la sección Descripción general de la páginaInstalación y soporte.

El indicador Estado se vuelve rojo si se produce alguno de los siguientes eventos de malfuncionamiento:

n Si el proxy deja de recopilar datos de flujo

n Si la plataforma detiene el procesamiento de datos por algún motivo; por ejemplo, un espacio dedisco insuficiente

n Si el indexador de búsqueda se retrasa, lo que genera un resultado de búsqueda obsoleto

El indicador de estado general muestra la cantidad de irregularidades, con una luz roja encendida. Lasirregularidades individuales se enumeran con sus detalles, cuando se hace clic en la cantidad deproblemas relacionados con el estado general. Si el funcionamiento es normal, el indicador de estadomuestra una luz verde.

Nota En algunas ocasiones, es posible que vRealize Network Insight no detecte un reloj del sistemaque no está sincronizado. Si el reloj no está sincronizado con NTP, es posible que algunos serviciospresenten un estado incorrecto o dejen de funcionar.

Habilitar el túnel de soporteEl túnel de soporte permite que VMware se conecte de forma remota a la plataforma y a las máquinasvirtuales de recopilador en la conexión SSL protegida a fin de realizar tareas avanzadas de solución deproblemas o depuración.

Para solicitar el soporte avanzado, active y desactive la opción Túnel de soporte en la secciónDescripción general de la página Instalación y soporte.

Nota Asegúrese de que se permita el tráfico a support2.ni.vmware.com en el puerto 443.

Administrar el uso de discoSi el uso del disco es alto en una plataforma o un recopilador, se activa un evento para advertir alusuario. Además, se proporciona una recomendación de cuánto más espacio de disco se debe agregar.Puede ver el evento en la plataforma o el panel de control de recopilador. La alerta también se muestraen el recopilador correspondiente o en la sección de plataforma en la página Instalación y soporte.


VMware, Inc. 112

Puede agregar discos a los nodos mediante los siguientes pasos:

Nota No expanda el disco duro existente.

Procedimiento

1 Inicie sesión en vCenter a través del cliente web con privilegios suficientes.

2 Haga clic con el botón secundario en el nodo y seleccione Editar configuración.

3 Agregue el disco duro según la recomendación proporcionada en la alerta.

vRealize Network Insight tarda unos minutos en detectar el dispositivo y agregarlo a la partición /var.

Ver detalles de nodosPuede ver los detalles de cada nodo en una plataforma o un recopilador.

Procedimiento

1 Para ver los detalles de un nodo de plataforma en particular, haga clic en el nombre que figura enMáquinas virtuales de plataforma en la página Instalación y soporte.

Aparece el panel de control de la plataforma NI.

2 Para ver los detalles de un nodo de recopilador específico, haga clic en el nombre que se muestra enMáquinas virtuales del recopilador (proxy) en la página Instalación y soporte.

Aparece el panel de control del recopilador NI.


VMware, Inc. 113

Crear un paquete de soportePuede crear un paquete de soporte que recopile información de diagnóstico, como registros específicosde un producto o archivos de configuración de la instalación. Cuando se genera una solicitud de soporte,el soporte técnico de VMware utiliza esta información para solucionar los problemas de configuración.

Procedimiento

1 En la página Configuración, haga clic en Instalación y soporte.

2 Haga clic en Crear paquete de soporte.

3 Seleccione las máquinas virtuales de plataforma y las máquinas virtuales de recopilador para las quedesea crear el paquete de soporte.

Para seleccionar todas las máquinas virtuales, haga clic en la casilla de verificación en elencabezado de las tablas de máquinas virtuales de plataforma y máquinas virtuales de recopilador.

4 Haga clic en Crear.

5 Haga clic en Sí para confirmar la creación de un nuevo paquete de soporte.

vRealize Network Insight demorará un tiempo en completar la creación del paquete.

Se creará un nuevo paquete de soporte con la fecha y la hora indicadas. Para iniciar la descarga delpaquete de soporte, haga clic en el vínculo Descargar junto a la máquina virtual correspondiente.

Nota n La creación de un paquete de soporte en un sistema de tamaño mediano puede tardar más de 15

minutos.

n Solo puede haber dos paquetes de soporte presentes en un momento determinado. Por lo tanto,cuando se crea uno nuevo, si ya existen dos paquetes de soporte, se elimina el anterior.

Pasos siguientes

Asocie el paquete de soporte a la solicitud de servicio de VMware para acceder a los detalles.

Comprensión de la capacidad para la carga de losrecopiladores y la plataformavRealize Network Insight proporciona información de la carga y la capacidad aproximada de un nodo derecopilador y una plataforma. Esta información basada en límites permite evitar problemas derendimiento y de experiencia más adelante.

Comprensión de la capacidadExisten dos tipos de capacidad:

n Capacidad de máquinas virtuales: se define como la cantidad de máquinas virtuales detectadas queun nodo o una configuración pueden procesar.


VMware, Inc. 114

n Capacidad de flujos: se define como la cantidad de flujos que un nodo o una configuración puedenprocesar.

La capacidad se define de la siguiente manera:

n Plataforma única con uno o varios nodos proxy: la capacidad de un nodo proxy o de la plataforma esla cantidad de máquinas virtuales detectadas que se pueden procesar sin perjudicar el rendimiento.

n Configuración de clúster: la capacidad de la plataforma en una configuración de clúster es elagregado de todas las capacidades de todos los nodos de plataforma, mientras que la capacidad delos nodos proxy se considera en el nivel de un nodo individual.

Acceder a la información de capacidadPuede ver los valores de Capacidad de máquina virtual y Capacidad de flujo en la página Instalacióny soporte.

Solo se proporciona la información de capacidad de máquina virtual para cada nodo de recopiladorenumerado en Máquina virtual de recopilador (proxy).

Nota Cuando la cantidad de máquinas virtuales detectadas de los orígenes de datos en laimplementación supera la capacidad del sistema, del recopilador o de ambos, no se permite activar laactualización.

Para ver las máquinas virtuales detectadas para un origen de datos:

1 En la página Cuentas y orígenes de datos, puede ver la cantidad de máquinas virtuales que sedetectaron para un origen de datos determinado que ya se agregó y se encuentra activo. Estacolumna presenta un valor únicamente si el origen de datos es vCenter o AWS.

Nota El número de máquinas virtuales detectadas incluye las máquinas virtuales de marcador deposición y de plantilla. Por lo tanto, puede ser diferente al número de máquinas virtuales del producto.


VMware, Inc. 115

Crear y expandir clústeres 7Este capítulo incluye los siguientes temas:

n Crear clústeres

n Expandir los clústeres

Crear clústeresPuede crear clústeres desde la página Instalación y soporte.

Requisitos previosSe requieren al menos dos plataformas adicionales. Las máquinas virtuales de plataforma adicionalesdeben implementarse y encenderse.

Para crear un clúster1 Haga clic en Crear clúster para Máquinas virtuales de plataforma.

2 En la página Crear clúster, introduzca la siguiente información:

n Dirección IP: introduzca la dirección IP de la nueva plataforma que desea agregar.

n Contraseña : introduzca la contraseña de usuario de soporte de la máquina virtual de laplataforma. Si todavía no cambió la contraseña, consulte la sección Credenciales de inicio desesión predeterminadas en la guía de instalación de vRealize Network Insight para lacontraseña.

3 Para seguir agregando más plataformas, haga clic en Agregar más e introduzca la dirección IP y lacontraseña de usuario de soporte.

4 Haga clic en Enviar. Haga clic en Sí.

5 Después de crear un clúster, el usuario debe volver a iniciar sesión en el producto.

Nota n La opción Crear clúster solo está habilitada cuando la plataforma tiene un tamaño de brick grande.

Todas las plataformas deben tener un tamaño de brick grande para crear un clúster.

n Al habilitar la telemetría en un solo nodo, se habilita en todos los nodos.

n Para expandir los clústeres, consulte la sección Expandir un clúster en la guía de instalación devRealize Network Insight.

VMware, Inc. 116

Expandir los clústeresUna vez creado el clúster, puede agregar más nodos de plataforma para expandirlo.

Nota Debe realizar la operación de expansión del clúster solo desde el nodo de plataforma 1 (P1).

Procedimiento

1 En la página Instalación y soporte, haga clic en Expandir clúster para Máquinas virtuales deplataforma.

2 Las direcciones IP de las máquinas virtuales que forman parte del clúster ya se enumeran en lapágina Expandir clúster. Para agregar uno o más nodos al clúster existente, proporcione la direcciónIP del nodo y la contraseña del usuario de soporte.

Nota n Actualmente, vRealize Network Insight admite 10 nodos en un clúster existente. Una vez que se

alcanza el límite, se deshabilita el botón Agregar más.

n Asegúrese de que todos los nodos nuevos no estén aprovisionados y que se pueda acceder aellos a través de SSH.

n Asegúrese de haber realizado una copia de seguridad de las máquinas virtuales de la plataformaexistente antes de continuar con la expansión del clúster.


Se muestra el progreso paso a paso.

4 Una vez completado el vínculo de expansión del clúster, se muestra un mensaje que indica que laoperación se realizó correctamente.

Mientras la expansión del clúster está en curso, la aplicación no se puede utilizar para ninguna otraoperación.


VMware, Inc. 117

Ver detalles de entidades 8Las páginas de entidades proporcionan una descripción integral de las entidades que se encuentran enel centro de datos. Esta información puede abarcar desde topologías detalladas para mostrar relacionescon otras entidades del centro de datos hasta métricas detalladas de una entidad en particular.

Cada página de entidad es una recopilación de widgets y cada widget muestra información específicarelacionada con la entidad. La información que se proporciona incluye datos en tiempo real y datoshistóricos, así como una lista exhaustiva de métricas y propiedades sobre la entidad.

Si desea ver más información sobre las entidades, haga clic en Perfil > Ayuda en la esquina superiorderecha de la página.

Escala de tiempoLa escala de tiempo proporciona la siguiente información:

n El estado del centro de datos en un momento determinado del pasado.

n Una visión general de los eventos detectados en un rango de tiempo seleccionado.

Seleccione el intervalo de la escala de tiempo que desea ver.

Para ver una escala de tiempo concreta, seleccione el intervalo mediante la opción Rango de tiempo.

Widget de propiedadLos widgets de propiedad muestran atributos importantes en un diseño de dos columnas. Algunos pinesde propiedad también pueden mostrar solo un valor de atributo singular. Un ejemplo de pin de propiedades Propiedades de máquina virtual. El pin Propiedad de máquina virtual muestra las propiedades deuna máquina virtual, como el sistema operativo, la dirección IP, la puerta de enlace predeterminada, losconmutadores lógicos, la CPU, la memoria, el estado de energía, etc.


n Ver los detalles del sistema de vRealize Network Insight (Sistema NI)

n Ver detalles de la máquina virtual de plataforma

n Ver detalles de la máquina virtual de recopilador

n Ver detalles de origen de datos de VMware vCenter

n Ver detalles de cumplimiento de PCI

n Ver detalles de Kubernetes

VMware, Inc. 118

n Ver detalles del equilibrador de carga

n Ver detalles de la máquina virtual

n Ver detalles de NSX Manager

n Ver detalles del servidor virtual

n Ver detalles de miembros del grupo

n Ver detalles de Microsoft Azure

n Ver detalles de VeloCloud Enterprise

n Ver detalles de las aplicaciones SD-WAN y SD-WAN de Edge

n Ver detalles de flujos

n Ver detalles de la microsegmentación

n Ver detalles de la aplicación

n Análisis: detección de valores atípicos

n Análisis: umbrales estáticos y dinámicos

Ver los detalles del sistema de vRealize Network Insight(Sistema NI)

En la página Sistema de vRealize Network Insight (Sistema NI), se proporciona una instantánea de todala información relacionada con el sistema. Para acceder a la página Sistema de vRealize NetworkInsight:

n En la página Instalación y soporte, haga clic en Ver detalles junto a Información general. Semostrará la página Sistema NI.

n Proporcione NI-System como la consulta de búsqueda para ver la página Sistema de vRealizeNetwork Insight.

La página Sistema NI se divide en tres secciones:

n Descripción general: esta sección consta de información sobre las propiedades clave, los orígenesde datos, los problemas que están abiertos, y todos los cambios y los problemas relacionados con elsistema. Para ver los detalles de cada origen de datos, haga clic en él.

n Eventos: en esta sección, se enumeran todos los problemas y los cambios en el sistema, losorígenes de datos, las plataformas y los recopiladores.

n Plataformas y recopiladores: en esta sección, se enumeran todas las plataformas y los recopiladoresasociados al sistema. Para ver más detalles acerca de cualquier plataforma o recopilador, haga clicen ese elemento.


VMware, Inc. 119

Ver detalles de la máquina virtual de plataformaEn la página Máquina virtual de plataforma, se proporciona una instantánea de las propiedades, loscambios y los problemas de un nodo de plataforma específico.

En la página Máquina virtual de plataforma, puede ver lo siguiente:

n Información importante sobre el nodo de plataforma seleccionado, como el nombre, la dirección IP,los núcleos de CPU, la memoria, la hora de la última actualización y la versión.

n Los problemas abiertos relacionados con las plataformas.

n La lista de eventos relacionados con el nodo de plataforma seleccionado.

n Una representación gráfica de las métricas, como el uso de CPU, el uso de memoria y el uso deldisco de datos.

Ver detalles de la máquina virtual de recopiladorEn la página Máquina virtual de recopilador, se proporciona una instantánea de las propiedades, loscambios y los problemas de un nodo de recopilador específico.

En la página Máquina virtual de recopilador, puede ver lo siguiente:

n Información importante sobre el nodo de plataforma seleccionado, como el nombre, la dirección IP,los núcleos de CPU, la memoria, la hora de la última actualización y la versión.

n La cantidad de problemas abiertos relacionados con el recopilador y los detalles de cada problema.

n La cantidad de problemas abiertos relacionados con los orígenes de datos y los detalles de cadaproblema.

n La lista con los cambios que se produjeron en el origen de datos en los últimos siete días.

n Detalles de los orígenes de datos y los notificadores de NetFlow disponibles en el recopilador. Semuestra la cantidad de flujos para cada informante de NetFlow. Para los orígenes de datos, semuestra la cantidad de flujos y las máquinas virtuales detectadas.

n Una representación gráfica de las métricas, como el uso de CPU, el uso de memoria y el uso deldisco de datos.

Ver detalles de origen de datos de VMware vCenterEn la página Origen de datos de VMware vCenter, se proporciona una instantánea de las propiedades,los cambios y los problemas de un origen de datos en particular.

En la página Origen de datos de VMware vCenter, se puede ver:

n Información importante sobre el origen de datos de VMware vCenter seleccionado, como direcciónIP/FQDN, nombre de recopilador, estado habilitado, cantidad de máquinas virtuales detectadas,estado habilitado de IPFIX, etc.

n Todos los problemas abiertos asociados con el origen de datos.


VMware, Inc. 120

n Todos los cambios y los problemas encontrados en un determinado origen de datos en los últimossiete días.

Ver detalles de cumplimiento de PCILa página Cumplimiento de PCI solo se encuentra disponible para los usuarios con licencia Enterprise.

Acceder a Cumplimiento de PCI1 En el panel de navegación situado a la izquierda de la página de inicio, seleccione Seguridad >

Cumplimiento de PCI.

2 Se mostrará la ventana Cumplimiento de PCI. Seleccione el ámbito requerido, la entidadcorrespondiente y la duración para los cuales necesita los datos. Haga clic en Evaluar.

3 Se mostrará la página Cumplimiento de PCI.

Detalles de la página Cumplimiento de PCILa página Cumplimiento de PCI ayuda a evaluar el cumplimiento según los requisitos de PCI solo en elentorno de NSX. Estos requisitos se mencionan en el primer pin del panel de control. Los demás pinesdel panel de control que proporcionan datos para la evaluación de estos requisitos son los siguientes:

n Diagrama de flujo de red: muestra el flujo de datos, los firewalls, las conexiones y otros detallesasociados con una red.

n Flujos: muestra los flujos que se ven en el diagrama de flujo de red.

n Flujos de protocolo de texto no cifrado basados en el puerto de destino: el tráfico que fluye en ciertospuertos presenta texto no cifrado. Este pin muestra los flujos de protocolo de texto no cifrado enfunción de un puerto de destino específico.

n Máquinas virtuales en ámbito: muestra las máquinas virtuales en el ámbito que seleccionó en laconsulta. Este pin muestra las reglas salientes, las reglas entrantes y los grupos de seguridad de lasmáquinas virtuales de ese ámbito.

n Grupos de seguridad de máquinas virtuales: muestra los grupos de seguridad de las máquinasvirtuales.

n Número de máquinas virtuales por grupos de seguridad: para ver la lista de las máquinas virtuales deun grupo de seguridad, haga clic en Número en este pin.

n Número de máquinas virtuales por etiquetas de seguridad: para ver la lista de máquinas virtuales conetiquetas de seguridad, haga clic en Número en este pin.

n Reglas de firewall aplicadas en el tráfico interno: puede ver las reglas de firewall para el tráfico entrelas máquinas virtuales dentro del ámbito seleccionado.

n Reglas de firewall aplicadas al tráfico entrante: puede ver las reglas de firewall para el tráfico queproviene de una máquina virtual fuera del ámbito hacia la máquina virtual dentro del ámbitoseleccionado.


VMware, Inc. 121

n Reglas de firewall aplicadas en el tráfico saliente: puede ver las reglas de firewall para el tráfico queva a una máquina virtual fuera del ámbito y que proviene de la máquina virtual dentro del ámbitoseleccionado.

n Cambios de membresía de etiquetas de seguridad: en este pin, se muestran los cambiosrelacionados con la membresía de las etiquetas de seguridad.

n Cambios de membresía de grupos de seguridad: en este pin, se muestran los cambios relacionadoscon la membresía de un grupo de seguridad.

n Cambios de regla de firewall: los cambios relacionados con cualquier regla de firewall figuran en estepin.

Nota Si NSX tiene grupos de seguridad anidados, el ámbito de cumplimiento de PCI debe ser distinto algrupo de seguridad.

Exportar como archivo PDF

vRealize Network Insight permite crear y exportar la información del panel de control Cumplimiento dePCI como un informe PDF.

Procedimiento

1 En el panel de control Cumplimiento de PCI, haga clic en Exportar como archivo PDF en el ladoderecho superior de la página. Aparecerá la ventana Exportar a PDF.

2 La ventana Exportar a PDF muestra todos los widgets y sus propiedades respectivas disponibles enel panel de control de cumplimiento de PCI. Seleccione los widgets y las propiedades que deseaexportar.

Nota n Debe seleccionar al menos una propiedad.

n El número máximo de propiedades que puede seleccionar es 20.

n La cantidad máxima de entradas en la vista de lista que se pueden exportar es 100.

n Algunos widgets no permiten seleccionar las propiedades. En estos casos, especifique solo elnúmero de entradas.

3 Proporcione un título para el informe PDF.

Nota n La cantidad máxima de caracteres para el título es 200.

n La cantidad máxima de páginas que se pueden generar en el informe es 50.

4 Haga clic en Vista previa. Puede ver la vista previa del informe completo.

5 Haga clic en Exportar archivo PDF.


VMware, Inc. 122

Ver detalles de KubernetesPuede usar el panel de control de Kubernetes para obtener una descripción general rápida de lasimplementaciones de Kubernetes o VMware PKS en vRealize Network Insight.

Verá detalles sobre lo siguiente:

n Clústeres y espacios de nombres con mayor comunicación según los flujos.

n Descripción general de entidades de clústeres de Kubernetes, como recuento de espacios denombres, pods, servicios y nodos.

n Clústeres de Kubernetes agregados a vRealize Network Insight.

n Lista de imágenes de contenedor que se ejecutan en pods y el recuento de pods de cada imagen decontenedor.

n Lista de nuevos pods detectados, su recuento, espacio de nombres y detalles del clúster.

Además, puede hacer clic en el recuento de varias entidades de Kubernetes en el panel de control paraconsultar la vista de lista y acceder a los detalles de una entidad específica.

Tabla 8-1. Panel de control Entidad de Kubernetes

Panel de control Descripción

Panel de control Clúster Puede obtener detalles de implementación en el nivel de clúster.Esto incluye:

n Descripción general del clúster con el recuento de espaciosde nombres, servicios, pods y nodos en la implementación.

n Lista de espacios de nombres principales en función de losflujos.

n Interacción entre los espacios de nombres.

Panel de control Espacio de nombres Puede obtener detalles del espacio de nombres para el clúster.Esto abarca:

n Descripción general del espacio de nombres con elrecuento de pods, servicios y nodos que se encuentran enese espacio de nombres específico.

n Lista de servicios de comunicación principales en función delos flujos.

n Interacciones de servicios en el espacio de nombres.

n Tráfico de red por paquetes y bytes.

Panel de control Servicio Puede ver detalles de los servicios de Kubernetes, los cualesincluyen:

n Descripción general del servicio con el recuento de pods yel recuento de nodos en los que se implementa el servicio.

n Interacción de servicios en el espacio de nombres.

n Tráfico de red por paquetes y bytes.

n Puertos lógicos de los pods correspondientes.


VMware, Inc. 123

Tabla 8-1. Panel de control Entidad de Kubernetes (continuación)

Panel de control Descripción

Panel de control Pods Puede ver detalles como los siguientes:

n Clúster, espacio de nombres y nodo a los que pertenece elpod.

n Tráfico de red entre pods en función de los paquetes y losbytes.

Panel de control Nodos Puede ver detalles como los siguientes:

n Lista de detalles de espacios de nombres.

n Lista de servicios.

n Lista de pods de contenedor.

n Tráfico de red entre nodos en función de los paquetes y losbytes.

Nota n Cada 10 minutos, vRealize Network Insight recopila detalles sobre el clúster de Kubernetes desde

VMware PKS.

n Cada 4 horas, vRealize Network Insight recopila detalles sobre la entidad (espacio de nombres,nodo, pod, servicio) del clúster de Kubernetes.

n VMware PKS no proporciona detalles acerca de los nodos principales de Kubernetes.

n vRealize Network Insight solo proporciona detalles de los clústeres que presentan el estado decreado correctamente.

Eventos comunes o mensajes de errorn Data Source not reachable: haga ping en la IP o el FQDN de VMware PKS desde la máquina virtual

proxy para garantizar que se pueda acceder a VMware PKS.

n Kubernetes Cluster API Servers not reachable: asegúrese de que se pueda acceder a todos losservidores de API del clúster de Kubernetes desde la máquina virtual proxy.

Ver detalles del equilibrador de cargaEn la página Equilibrador de carga, se resume toda la información de los servidores virtuales y losgrupos creados en el equilibrador de carga.

Verá lo siguiente:

n Lista de servidores virtuales junto con sus problemas en el equilibrador de carga.

n Lista de grupos en el equilibrador de carga y sus problemas asociados.

n Eventos asociados con el equilibrador de carga.

n Lista de flujos, recuento y tráfico de red en diferentes direcciones IP de destino.

Nota No se captura información de flujo para el equilibrador de carga de NSX-V.


VMware, Inc. 124

n Propiedades del equilibrador de carga con información como el proveedor, el tipo, el número deserie, los servidores virtuales y los grupos.

Ver detalles de la máquina virtualEn la página Máquina virtual, puede obtener una descripción general detallada de las máquinas virtualesdisponibles en vRealize Network Insight.

En la página de la máquina virtual, verá las siguientes secciones:

Sección Detalles

Descripción general Verá lo siguiente:

n Detalles de la máquina virtual

n Información de la topología

n Diversos parámetros de configuración

n Parámetros relacionados con la seguridad

n Ruta de máquina virtual a Internet

Vecinos Verá lo siguiente:

n Vista gráfica de las diversas propiedades de métricas encomparación con las máquinas virtuales vecinas

n Lista de máquinas virtuales pertenecientes al mismo host

Eventos Verá la lista de eventos relacionados con la máquina virtualseleccionada.

Flujos Verá la lista de los flujos que se originan en la máquina virtualseleccionada, o los flujos que intentan alcanzar dicha máquinavirtual, para los cuales la acción del firewall es Permitir/Denegar.

Métricas Verá lo siguiente:

n Información de métricas relacionada con la máquina virtualseleccionada

n Información sobre el uso de red de los puertos en la ruta deacceso a ToR

n Información sobre todas las propiedades de métricas

n Información de métricas de salida y de entrada

n Espacio de disco virtual

n Rendimiento del almacén de datos

Nota No puede ver las métricas del almacén de datos deuna máquina virtual si esta se aloja en un almacén de datosde vSAN.

n Detalles de latencia de la infraestructura virtual

Nota Para ver la latencia de la infraestructura virtual, elpuerto 1991 debe estar abierto en el recopilador a fin derecibir datos de latencia del host ESXi.


VMware, Inc. 125

Ver detalles de NSX ManagerPuede utilizar la página NSX Manager para obtener una descripción general detallada de su instancia deNSX Manager disponible en vRealize Network Insight.

Cómo acceder a la página NSX ManagerPara acceder a esta página, busque NSX Manager where SDDC Type = 'VMC' y, en la lista deresultados de búsqueda, haga clic en la página NSX Manager que desea ver.

Descripción generalEn la página NSX Manager, verá la siguiente sección:

Tabla 8-2.

Sección Detalles

Descripción general Allí, verá lo siguiente:

n Detalles de información general de las entidades de ladirectiva de NSX.

n Entidades modificadas en las últimas 24 horas.

n Flujos principales por regla.

n Lista de enrutadores.

Nota La cantidad de entidades que se muestran en el widgetDescripción general de las entidades de la directiva de NSXy en el widget Entidades en las últimas 24 horas puede serdiferente. Si se eliminaron algunas de las entidades detectadasen las últimas 24 horas, la cantidad de entidades que semuestran en el widget Entidades en las últimas 24 horaspuede ser mayor que la cantidad de entidades que se muestranen el widget Descripción general de las entidades de ladirectiva de NSX.

Principales comunicadores Allí, verá lo siguiente:

n Principales entidades de comunicación en el entorno.

Tráfico de red y eventos Allí, verá lo siguiente:

n Detalles de información general sobre el tráfico de red y lasalertas.

n Lista de eventos.

Ver detalles del servidor virtualEn la página Servidor virtual, se muestran las métricas del servidor virtual, así como el problema y loseventos de cambio.

Verá lo siguiente:

n Lista de todos los miembros del grupo en el servidor virtual y sus detalles, junto con una alerta siexiste un problema


VMware, Inc. 126

n Lista de máquinas virtuales

n Lista de servidores físicos

n Lista de eventos problemáticos asociados con el servidor virtual

n Lista de métricas relacionadas con el servidor virtual, como:

n Conexiones (recuento, duración)

n Métricas de red (paquetes y bytes recibidos o enviados)

n Uso de CPU

Nota Para obtener la lista con las métricas de equilibrador de carga de NSX-V compatibles,consulte Métricas de NSX-V compatibles.

n Flujos principales de los miembros del grupo utilizados por el servidor virtual

Nota No se captura información de flujo para el equilibrador de carga de NSX-V.

n Propiedades del servidor virtual en las que se brinda información sobre la dirección IP delequilibrador de carga, el tráfico de red y el puerto de servicio

Para ver la ruta de la topología asociada con el equilibrador de carga, puede utilizar la siguiente consulta:client VM name to Virtual server IP.. Si existen varios servidores virtuales en puertos de serviciodiferentes, verá la lista en la sección Seleccione una máquina virtual de destino. Puede seleccionar unservidor de la lista y hacer clic en Mostrar ruta de acceso para ver la ruta de máquina virtual a servidorvirtual.

Puede hacer clic en el servidor virtual en la topología de ruta de máquina virtual para ver un conjunto demáquinas virtuales en la ventana Servidor virtual. Haga clic en Ver ruta de acceso para ver la ruta delservidor virtual a la máquina virtual seleccionada.


VMware, Inc. 127

Ver detalles de miembros del grupoEn la página Miembros del grupo, se proporciona información sobre los miembros del grupo, las métricasy los eventos asociados con cada miembro del grupo.

Allí, verá lo siguiente:

n Lista de máquinas virtuales y detalles adicionales sobre las máquinas virtuales

n Comparación de las métricas del miembro del grupo con las métricas de la máquina virtual (porejemplo, el uso de CPU y memoria, y el tráfico de red).

n Lista de métricas relacionadas con el miembro del grupo, como:

n Conexiones (recuento, duración, antigüedad)

n Métricas de red (paquetes y bytes recibidos o enviados)

n Uso de CPU

n Propiedades del miembro del grupo que proporcionan información sobre el equilibrador de carga, elnodo, el estado y el puerto de servicio

Ver detalles de Microsoft AzurePuede utilizar la página Microsoft Azure para obtener una descripción general rápida de los detalles delentorno de Azure en vRealize Network Insight.

Cómo obtener accesoPara acceder a esta página, busque Azure. Como alternativa, en la página de inicio, en la secciónFUNCIONAMIENTO Y SOLUCIÓN DE PROBLEMAS, haga clic en el icono de Microsoft Azure.


VMware, Inc. 128

Descripción generalEn esta página, verá:

n Lista de suscripciones.

n Lista de máquinas virtuales.

n Lista de interfaces de red, redes virtuales, subredes, tablas de rutas y rutas.

n Lista de grupos de seguridad de red, grupos de seguridad de aplicaciones y reglas de NSG.

También puede hacer clic en las entidades de esta página para ver información detallada sobre laentidad en particular.

Además de la página Microsoft Azure, puede ver información sobre las siguientes entidades de Azure:

Tabla 8-3. Detalles de la entidad de Azure

Nombre de entidad Descripción

Grupo de seguridad de aplicaciones de Azure Allí, verá lo siguiente:

n Lista de propiedades, eventos, máquinas virtualesasociadas y máquinas virtuales asociadas en las últimas 24horas.

n Lista de reglas de NSG entrantes y reglas de NSGsalientes.

n Lista de flujos permitidos, flujos denegados y flujos en lasúltimas 24 horas.

Origen de datos de Azure Allí, verá lo siguiente:

n Lista de propiedades, eventos y métricas.

Reglas de NSG de Azure Allí, verá lo siguiente:


Interfaz de red de Azure Allí, verá lo siguiente:


Grupo de seguridad de red de Azure Allí, verá lo siguiente:

n Lista de propiedades, eventos, NIC y subred.

n Lista de reglas de salida y reglas de entrada.


Ruta de Azure Allí, verá lo siguiente:


Tabla de rutas de Azure Allí, verá lo siguiente:


Subred de Azure Allí, verá lo siguiente:

n Lista de propiedades, eventos, máquinas virtuales, NIC yrutas personalizadas.

n Lista de reglas de NSG.


VMware, Inc. 129

Tabla 8-3. Detalles de la entidad de Azure (continuación)


Suscripción de Azure Allí, verá lo siguiente:

n Lista de propiedades y eventos.

n Lista de máquinas virtuales.

n Lista de NIC, redes virtuales y tabla de rutas.

n Lista de grupos de seguridad de red, grupos de seguridadde aplicaciones y reglas de NSG.

Máquina virtual de Azure Allí, verá lo siguiente:

n Lista de propiedades, eventos, NIC y grupos de seguridadde aplicaciones asociados (ASG).

n Lista de reglas de NSG entrantes y reglas de NSGsalientes.

n Lista de flujos permitidos y flujos denegados.

Red virtual de Azure Allí, verá lo siguiente:

n Lista de propiedades, eventos, máquinas virtuales,máquinas virtuales creadas en las últimas 24 horas, ASGasociados, ASG asociados en las últimas 24 horas,subredes y tablas de rutas.


Ver detalles de VeloCloud EnterprisePuede ver la página VeloCloud Enterprise para obtener una descripción general de la implementaciónde VMware SD-WAN en vRealize Network Insight.

Acceder a la página VeloCloud EnterprisePara acceder a esta página, busque VeloCloud Enterprise. Como alternativa, en la página de inicio,en la sección FUNCIONAMIENTO Y SOLUCIÓN DE PROBLEMAS, haga clic en el icono de VeloCloudEnterprise.

Descripción generalEn esta página, verá las siguientes secciones:


VMware, Inc. 130

Sección Detalles


n Un resumen de la implementación de VMware SD-WAN,incluido el gráfico de eventos, la cantidad de instancias deEdge, los concentradores, las puertas de enlace, losvínculos, los flujos entre instancias de Edge, el flujo deInternet y las aplicaciones. También puede ver el estado deestas entidades.

n Una vista de mapa de la implementación de VMware SD-WAN y una lista de aplicaciones en instancias de Edge.

Nota Para obtener la vista de mapa, debe agregar unaclave de API de Google Maps a vRealize Network Insight.Para obtener más información, consulte Agregar clave deAPI de Google Maps. Si no agrega una clave de API deGoogle Maps, solo podrá ver la vista de lista de lasinstancias de Edge.

Evento Allí, verá lo siguiente:

n Una lista de diversos eventos.

Análisis Allí, verá lo siguiente:

n Diversas listas de distribución de tráfico, como ladistribución de tráfico por aplicaciones, Edge, pares deinstancias de Edge, rutas de flujo, tipos de tráfico, directivasde vínculos y tipos de ruta.

Disponibilidad Allí, verá lo siguiente:

n Una lista de instancias de Edge/concentradores disponiblesy no disponibles.

Métricas Allí, verá lo siguiente:

n Distintas métricas basadas en el tráfico de Edge, el paquetede Edge, la QoE de Edge, el tráfico de aplicaciones, lospaquetes de aplicaciones, el paquete de vínculos, lalatencia de vínculos, el rendimiento de vínculos y la QoE devínculos. Puede hacer clic en el icono de signo más (+) paraobtener más detalles.


Además de la página VeloCloud Enterprise, puede ver información sobre las siguientes entidades deVMware SD-WAN:

Tabla 8-4. Detalles de la entidad de VMware SD-WAN


Clúster de VeloCloud Allí, verá lo siguiente:

n Una lista de propiedades.

Origen de datos de VeloCloud Allí, verá lo siguiente:

n Una lista de propiedades, problemas abiertos, cambios yproblemas ocurridos en los últimos 7 días.


VMware, Inc. 131

Tabla 8-4. Detalles de la entidad de VMware SD-WAN (continuación)


VeloCloud Edge Allí, verá lo siguiente:

n Detalles sobre la instancia de Edge de VMware SD-WAN.Para obtener más detalles, consulte Ver detalles deVeloCloud Edge.

Puerta de enlace de VeloCloud Allí, verá lo siguiente:

n Una lista de propiedades e instancias de Edge.

Red de capa 2 de VeloCloud Allí, verá lo siguiente:

n Una lista de propiedades y eventos.

Vínculo de VeloCloud Allí, verá lo siguiente:

n Una lista de propiedades y eventos.

n Métricas sobre QoE, paquete, tiempo de actividad, latenciay rendimiento.

Perfil de VeloCloud Allí, verá lo siguiente:

n Una lista de propiedades e instancias de Edge.

Segmento de VeloCloud Allí, verá lo siguiente:

n Una lista de propiedades.

Ver detalles de VeloCloud EdgePuede utilizar la página VeloCloud Edge para ver una descripción general rápida de VMware SD-WANEdge en vRealize Network Insight.

Cómo obtener accesoPara acceder a esta página, busque VeloCloud Edge y haga clic en cualquier resultado de la búsqueda.


Sección Detalles


n Resumen de la instancia de Edge de VMware SD-WAN,como el gráfico de eventos, los detalles del tiempo deactividad, el número de aplicaciones, los segmentos, losvínculos, las redes de capa 2, las interfaces LAN y lasinterfaces WAN.

n Topología de VMware SD-WAN Edge.

n Lista de QoE de Edge y QoE de vínculos

Evento Allí, verá lo siguiente:

n Lista de diferentes eventos.

Flujos Allí, verá lo siguiente:

n Lista de flujos.


VMware, Inc. 132

Sección Detalles


n Distintas listas de distribución de tráfico, como ladistribución del tráfico por aplicación y prioridad, ruta deacceso de flujo, tipo de tráfico, directiva de vínculos y tipode ruta.

Métricas Allí, verá lo siguiente:

n Distintas métricas basadas en el tráfico de Edge, el paquetede Edge, el tráfico de aplicaciones, los paquetes deaplicaciones, el paquete de vínculos, la latencia de vínculosy el rendimiento de vínculos. Puede hacer clic en el iconode signo más (+) para obtener más detalles.


Ver detalles de las aplicaciones SD-WAN y SD-WAN deEdgePuede utilizar las páginas Aplicación SD-WAN y Aplicación SD-WAN de Edge para ver unadescripción general rápida de la aplicación SD-WAN y la aplicación SD-WAN de Edge en vRealizeNetwork Insight.


Tabla 8-5. Aplicación SD-WAN

Sección Detalles


n Una lista de instancias de Edge, eventos, tráficos, paquetesy flujos.


n Una lista de tráficos por instancias de Edge y por clientes.


Además de la página Aplicación SD-WAN, puede ver la siguiente información sobre Aplicación SD-WAN de Edge:

n Una lista de propiedades, eventos y métricas.


VMware, Inc. 133

Ver detalles de flujosLa página Detalles de flujos proporciona información detallada de los centros de datos, los dispositivosy los flujos. Se trata de una página basada en contexto, ya que realiza un análisis según las entidades,los flujos y el rango de tiempo que se seleccionen.

Para acceder a la página Detalles de flujos, realice lo siguiente:

1 En el panel de navegación de la izquierda, haga clic en Análisis > Detalles de flujos.

2 Seleccione opciones de Ámbito y Duración.

3 Haga clic en Analizar.

Como alternativa, puede buscar Flujos y, en la página de resultados de la búsqueda, hacer clic enDetalles de flujos.

Las distintas secciones del panel de control Análisis de flujo son:

n Principales oradores

n Novedades

n Rendimiento de red

n Valores atípicos

Principales oradoresEsta sección permite reconocer las entidades que más hablan en el entorno. Puede seleccionardiferentes tipos de entidades, como un par origen-destino, una máquina virtual, un clúster, una red decapa 2 y una subred. Este widget muestra los 10 primeros oradores en la categoría de entidad que seseleccione. Ayuda al cliente a planificar la optimización de la red. Las métricas representadas con barrasen este widget son las siguientes:

n Por volumen de flujo: indica el volumen de tráfico.

n Por velocidad de tráfico: indica la tasa de tráfico.

n Por recuento de sesiones: indica el número de sesiones.

n Por recuento de flujos: indica el número de flujos.


VMware, Inc. 134

Nota n Si una máquina virtual aparece en una o varias métricas, cuando se apunta a esa máquina virtual en

una barra, también se resalta en otras barras.

n Al hacer clic en una máquina virtual en la barra de métricas, se muestra la lista completa de flujosque llegan a esa máquina virtual.

n Al seleccionar una máquina virtual como entidad en la lista de principales oradores, se muestrantodos los flujos relacionados con esa máquina virtual, independientemente de que sean origen odestino. Si se selecciona en la lista una máquina virtual de origen, solo se tienen en cuenta los flujosprovenientes de esa máquina virtual.

n Si desea considerar los flujos físicos, puede seleccionar Dirección IP de origen o Dirección IP dedestino.

n Después de seleccionar el par origen-destino y apuntar en la barra de métricas, si hace clic en elvínculo del cuadro de información sobre la herramienta, se mostrará el panel de controlcorrespondiente. Por ejemplo, para una máquina virtual en el par origen-destino, se muestra el panelde control Ruta de máquina virtual a máquina virtual.

n Para una vista de grupo de flujos, una proyección de entidad de flujo o una consulta de grupo deflujos, no se puede ver el botón Análisis de flujo.

NovedadesEsta sección permite realizar un seguimiento de los servicios y las entidades que se detectan en elcentro de datos en el rango de tiempo seleccionado. Los widgets de esta sección son los siguientes:

n Nuevas máquinas virtuales que acceden a Internet: enumera las nuevas máquinas virtuales queacceden a Internet.

n Nuevos servicios de Internet a los que se accedió: muestra los nuevos servicios de Internetdetectados en el entorno.

n Nuevos servicios internos a los que se accedió: muestra una lista de los nuevos servicios de intranetque se detectaron y a los que se accedió desde el endpoint de Internet.


VMware, Inc. 135

n Nuevos servicios internos/E-W a los que se accedió: enumera los servicios expuestos a los queaccedieron las máquinas dentro de un centro de datos.

n Nuevos servicios con flujos bloqueados: muestra los servicios que tienen flujos bloqueados. Estasección solo se completa para IPFIX.

n Aciertos de nuevas reglas de firewall: muestra las nuevas reglas de firewall que entraron en vigencia.Esta sección solo se completa para IPFIX.

Rendimiento de redEn esta sección, puede buscar y visualizar los flujos anómalos de los distintos rangos de valores detiempo de ida y vuelta (Round Trip Time, RTT) de TCP en función de los criterios seleccionados.

Nota vRealize Network Insight solo muestra las métricas promedio de RTT de TCP con unagranularidad de 5 minutos de las últimas 24 horas.

Si el porcentaje de desviación de flujo es 100 % y la desviación absoluta es 20 milisegundos (ms),vRealize Network Insight considera que el flujo es anómalo.

En la visualización, el lado izquierdo muestra el rango diferente de RTT de TCP, mientras que el ladoderecho muestra el rango de desviación normal y anómala. Según los valores de desviación porcentual ydesviación absoluta, los flujos se conectan de izquierda (RTT de TCP) a derecha (DESVIACIÓN). Puedeanalizar los siguientes tipos de flujos:

n Entre hosts

n Dentro de hosts

n Internet

n Todos los flujos

También puede cambiar la desviación porcentual y la desviación absoluta en función de los requisitos.

En el siguiente ejemplo, se muestran dos rangos diferentes de RTT de TCP: uno es menor o igual a30 ms y el otro es de entre 30 ms y 120 ms. Como se puede ver, un total de 151 flujos se encuentrandentro del rango de RTT de TCP que es menor o igual a 30 ms. De los 151 flujos, 9 flujos se muestrancomo anómalos.


VMware, Inc. 136

Para obtener más detalles sobre la distribución de RTT de TCP y los recuentos de flujos, haga clic en lalínea de color de la visualización. En el siguiente ejemplo, se pueden ver los detalles de la distribución deRTT de TCP y los recuentos de flujos:

Valores atípicosEsta sección permite realizar un seguimiento y analizar datos relacionados. Se compone de lassiguientes secciones:

n Flujos de elefante: esta sección permite identificar los flujos con una pequeña cantidad de sesiones yun rendimiento alto en comparación con los flujos de una gran cantidad de sesiones y un rendimientobajo. Por lo general, los flujos con una gran cantidad de sesiones y un rendimiento bajo también sedenominan flujos de ratón. El análisis se basa en la proporción de bytes con respecto a la cantidadde sesiones. Cada punto del gráfico representa varios flujos. Al apuntar a un punto, podrá ver la listade flujos. Para ver los detalles de un flujo concreto, haga clic en ese flujo en la lista.

n Análisis personalizado: esta sección permite visualizar los datos de flujos en dos dimensiones de suelección. Esto ayuda a analizar los datos para encontrar los valores atípicos de diversas maneras.

Nota Las métricas representadas en esta sección son valores aproximados y no valores exactos.


VMware, Inc. 137

Ver detalles de la microsegmentaciónPara analizar los flujos, seleccione el ámbito y divida los flujos en segmentos en función de entidadescomo: VLAN/VXLAN, Grupos de seguridad, Aplicación, Nivel, Carpeta, Subred, Clúster, Máquina virtual(Virtual Machine, VM), Puerto, Etiqueta de seguridad, Grupo de seguridad y Conjunto de IP.

En la página Microsegmentación, se proporcionan detalles de análisis con el diagrama de topología. Estapágina se compone de las siguientes secciones:

n Microsegmentos: este widget proporciona el diagrama de planificación de topología. Puedeseleccionar el tipo de grupo y flujo. Según sus entradas, podrá ver el diagrama de planificación detopología correspondiente.

n Distribución de tráfico: este widget proporciona los detalles de la distribución del tráfico en bytes.

n Puertos principales por bytes: este widget muestra los principales 100 puertos que registran el tráficomás alto. Se proporcionan métricas para el recuento de flujos y el volumen de flujos. Para ver losflujos de un puerto determinado, haga clic en el recuento de flujos correspondiente a ese puerto.

Para acceder a la página Microsegmentación:

Procedimiento

1 En el panel de navegación de la izquierda de la página de inicio, haga clic en Seguridad > Planificarseguridad.

2 Seleccione el ámbito, el subámbito y la duración que desea planificar y analizar. Haga clic enAnalizar.

Se mostrará la página Microsegmentación.

Nota La vista de anillo puede mostrar hasta 600 nodos y 6.000 instancias de Edge. Si se supera ellímite, se mostrará el error Demasiados segmentos para analizar. Seleccione una entidado un criterio de microsegmentación diferente.

Ver detalles de la aplicaciónUna aplicación es una colección de niveles. Cada nivel de una aplicación es una colección de máquinasvirtuales y direcciones IP físicas basadas en los criterios de filtro definidos por el usuario. Lasaplicaciones permiten crear un grupo de niveles y visualizar el tráfico o los flujos entre los niveles de lamisma aplicación y entre aplicaciones.

Es posible crear o agregar una aplicación en vRealize Network Insight de tres maneras:

n Crear manualmente una aplicación

n API pública

n Detección de aplicaciones


VMware, Inc. 138

https://code.vmware.com/apis/322#!/Applications/addApplication

La página de la aplicación ofrece visibilidad total sobre una sola aplicación en vRealize Network Insight.Esto permite solucionar problemas y también ver los análisis.

n Una descripción general

n La topología de la aplicación

• Descripción general de los niveles

• Lista de máquinas virtuales en las aplicaciones

• IP físicas que la aplicación necesita o utiliza

• Servicios compartidos

• Aplicaciones con las que se comunica esta aplicación específica

n Eventos relacionados con las aplicaciones

n Administrador de máquinas virtuales de la aplicación

n Novedades de las últimas 24 horas

n Recuento de tráfico entrante y saliente

n Flujos descartados

n Miembros nuevos y sin protección

n Servicios de acceso externo

n Servicios de acceso por Internet

n Puertos de aplicación utilizados

n Flujos de tráfico o análisis de flujo

n Principales oradores

n Flujos de aplicación principales por regla

n Microsegmentación

n Flujos contextuales entre entidades (esto proporciona datos de diferentes tipos de flujo, comotodos los flujos permitidos, los flujos descartados, los flujos con y sin protección mediante DFWde NSX)

n Novedades en una aplicación

n Métricas

n Información de métricas de máquina virtual que representa la velocidad de red, la CPU, lamemoria y la información de disco

n Métricas de Kubernetes

Análisis: detección de valores atípicos


VMware, Inc. 139

vRealize Network Insight ofrece detección de valores atípicos en función de las métricas asociadas conlos flujos definidos en las máquinas virtuales y las direcciones IP físicas. Estas máquinas virtuales/IPdeben tener patrones de tráfico similares para que la clasificación de una máquina virtual o IPdeterminada como valor atípico sea de valor. Por ejemplo, las máquinas virtuales pertenecientes almismo nivel de una aplicación generalmente cumplen la misma función para la aplicación, tales como lasmáquinas virtuales de una base de datos SQL que atienden solicitudes de una aplicación web. Para estetipo de máquinas virtuales, el número de solicitudes recibidas, la cantidad de tráfico que se envía, elrecuento de sesiones y otros elementos atraviesan una serie de variaciones similares.

A través de la detección de valores atípicos, vRealize Network Insight permite detectar una máquinavirtual específica con posibilidades de experimentar un patrón de tráfico muy diferente en comparacióncon otras máquinas virtuales/IP del grupo. Por ejemplo, si la máquina virtual envía o recibe un tráficomucho más alto o más bajo en comparación con el resto del grupo. Esto puede deberse a un equilibradorde carga configurado de forma incorrecta, a un ataque de DDOS, etc. vRealize Network Insight clasificadichas máquinas virtuales/IP como valores atípicos. Al consultar estos valores atípicos, el usuario puedeconocer fácilmente este comportamiento inesperado y ejecutar las acciones adecuadas.

Cómo detectar máquinas virtuales con valores atípicos

Procedimiento

1 En la barra lateral, haga clic en Análisis. Haga clic en Valores atípicos.

2 Haga clic en Agregar para agregar una configuración.

3 En la página Análisis/Configurar, proporcione los siguientes detalles para la configuración:

Tabla 8-6.

Campo Descripción

Nombre Nombre de la configuración.

Ámbito Nombre del grupo que define las máquinas virtuales y las IP paralas que se debe realizar el análisis. Puede seleccionar Nivel deaplicación o Grupo de seguridad como ámbito.

Si selecciona Nivel de aplicación, proporcione el nombre de laaplicación y el nivel por separado. La cantidad de máquinasvirtuales y de IP físicas definidas para el nivel se muestra junto alnombre del nivel.

Si selecciona Grupo de seguridad, proporcione el nombre delgrupo de seguridad.

Nota El límite actual para la cantidad de máquinas virtuales yde IP físicas en un nivel es 200. Seleccione un nivel o un grupode seguridad con una cantidad de máquinas virtuales y de IPfísicas inferior a este límite. El ámbito también debe contener unmínimo de 3 máquinas virtuales/IP físicas.

Para ver la microsegmentación de la configuración seleccionada,haga clic en Ver microsegmentos.

Tipo de detección Actualmente, vRealize Network Insight permite detectar losvalores atípicos en el sistema.


VMware, Inc. 140


Campo Descripción

Métrica La detección se basa en esta métrica de flujo. Puede seleccionarlas siguientes opciones:

n Bytesn Paquetesn Sesionesn Velocidad de tráfico

Dirección de tráfico Puede seleccionar Saliente, Entrante o Ambas como ladirección de tráfico. Si selecciona Ambas, puede especificarEntrante o Saliente en la vista previa de la configuración.

Tipo de tráfico Puede seleccionar Internet, De este a oeste o Todo según elrequisito.

Puertos de destino Puede seleccionar todos los puertos detectados en los flujosencontrados en el ámbito seleccionado o introducir manualmentelos puertos de destino que desee. Si selecciona Todos lospuertos, se muestra la cantidad de puertos de destino. Siselecciona Introducir manualmente los puertos, introduzca lospuertos en el cuadro de texto con autocompletar; el análisis selimitará solo a estos puertos.

Nota El límite actual de la cantidad de puertos es 20.

Sensibilidad Es una medida de la sensibilidad de la detección y la generaciónde informes que se necesita. El valor predeterminado es Media.

Vista previa Esta sección proporciona una vista previa de la configuraciónespecífica en función de las entradas y los parámetrosproporcionados. Especifique los puertos y la dirección de tráficosi seleccionó Ambos para la dirección de tráfico anteriormente.Podrá identificar la máquina virtual con valores atípicos en elgráfico.

Nota n Los valores atípicos se detectan mediante la evaluación de los datos disponibles en las últimas

24 horas.

n Se necesita un flujo continuo de datos de IPFIX para detectar los valores atípicos.

4 Haga clic en Enviar para crear la configuración de análisis.

5 Una vez creada, la aplicación estará disponible en la vista de lista de las aplicaciones en la páginaConfiguraciones de análisis. Haga clic en esa aplicación específica para ver el panel de controlasociado a ella.

Análisis: umbrales estáticos y dinámicos


VMware, Inc. 141

vRealize Network Insight permite establecer y configurar umbrales, así como recibir alertas en función delas aberraciones en el comportamiento de las entidades. Puede configurar dos tipos de umbrales:

n Umbral estático: si el valor de una métrica determinada es superior o inferior al valor configurado, segenera una alerta basada en umbral estático.

n Umbral dinámico: si el sistema determina el umbral en función de un análisis de los datos históricos,se genera una alerta cuando se infringe este umbral. Se analizan los datos por un período de 7 díasantes de que se genere una alerta. Se restringe el proceso de creación de una línea base a 21 díasde datos históricos y no se toman en cuenta los valores de métrica anteriores para crear una líneabase para los nuevos valores de métrica.

La alerta se genera inmediatamente después de que se infringe un umbral. Los usuarios con licenciaEnterprise pueden ver la cantidad de infracciones de umbral en la sección ¿Qué ocurre? de la página deinicio. Para ver los detalles del evento, haga clic en el número de infracciones de umbral. Si no existenconfiguraciones de umbral en el sistema, la sección ¿Qué ocurre? muestra el vínculo +Configurar.Puede hacer clic en el vínculo +Configurar para configurar el umbral.

Configurar umbrales y alertasPuede agregar una configuración de umbral y obtener alertas para el umbral configurado.

Para configurar las alertas y los umbrales asociados con el análisis:

Procedimiento

1 En la página de inicio, en el panel de navegación de la izquierda, haga clic en Análisis > Umbrales> Agregar.

2 En la página Umbral: agregar configuración, en el cuadro de texto Nombre, introduzca un nombreúnico para la configuración.

3 En el menú desplegable Ámbito, seleccione un ámbito y, en el cuadro de texto Seleccionarcriterios, introduzca un criterio.

El menú desplegable Ámbito se compone de las entidades Máquinas virtuales, Flujos yAplicación. El ámbito se basa en el sistema de consulta de búsqueda. Puede crear una consulta apartir de las sugerencias disponibles en función de sus requisitos.

4 En la sección Condición, establezca una condición para crear una alerta.

Según la condición que se establezca, el sistema decide si se infringe el umbral.


VMware, Inc. 142

5 La métrica predeterminada es network traffic rate. Seleccione la agrupación de la entidad y elvalor para el que está comprobando el umbral. Puede establecer un umbral en una métricaacumulativa si agrega los datos por medio de un grupo de entidades.

a Para configurar el umbral estático, seleccione una de las siguientes condiciones de umbral de lalista:

n supera el umbral

n se descarta por debajo

n está fuera del rango

Al introducir Upper Bound o Lower Bound (si hay un rango) para network traffic rate o totaltraffic o cualquier otra métrica, asegúrese de introducir el valor en las métricas especificadaspara ese cuadro de texto en concreto. Los siguientes valores de conversión se proporcionan amodo de referencia:

n 1 Kbps= 1000 bps

n 1 Mbps= 1000 kbps

n 1 Gbps = 1000 mbps

n 1 KB=1024 B

n 1 MB=1024 KB

n 1 GB = 1024 MB

b Para configurar el umbral dinámico, seleccione se desvía del comportamiento anterior.Seleccione la sensibilidad en función de los requisitos de informes.

Al establecer el umbral, puede ver el gráfico asociado en la parte superior de la página. La barrarosa indica las máquinas virtuales o los flujos que infringen el umbral. Puede ver la lista de lasentidades que infringieron los umbrales y las entidades que se encuentran dentro de losumbrales del sistema.

6 Configure las notificaciones o las alertas mediante las siguientes propiedades:

n Gravedad

n Frecuencia de correo electrónico

n Enviar correos electrónicos de notificación a:

Nota Seleccione Enviar captura SNMP si configuró capturas SNMP en el sistema.


VMware, Inc. 143

7 Haga clic en Enviar para crear la configuración de umbral.

Ver la página de configuración de un umbral

Una vez que agregó una configuración de umbral, puede ver sus detalles en la página Configuración deumbral.

Procedimiento

1 En el panel de navegación de la izquierda, haga clic en Análisis. Haga clic en Umbrales.

2 Se proporcionan los siguientes detalles para una configuración de umbral:

n Name

n Events

n Scope

Si la configuración está deshabilitada, no se genera la alerta por la infracción de ese umbral enparticular. También puede buscar cualquier configuración de umbral específica en esta página.

3 Haga clic en la configuración de umbral deseada de la lista para ver el panel de control de esaconfiguración en particular.

Puede ver los siguientes widgets en el panel de control:

n Gráfico: el gráfico de umbral ayuda a detectar las entidades que infringieron los umbrales.


VMware, Inc. 144

n Eventos: este widget proporciona la lista de eventos que se generaron para los umbralesinfringidos durante los últimos tres días.

n Entidades principales por infracción: este widget permite conocer las entidades principales queprovocaron aberraciones en los últimos tres días.


VMware, Inc. 145

Visualización de la topología deuna entidad 9La topología proporciona una vista gráfica integral de la entidad.


n Topología de máquina virtual

n Topología de hosts

n Topología de VXLAN

n Topología de VLAN

n Topología de NSX Manager

Topología de máquina virtualLa topología de máquina virtual proporciona una vista integral de una máquina virtual en particular enrelación con el resto del centro de datos.

Topología de hostsLa topología de host muestra cómo se conectan las máquinas virtuales de un host determinado a loscomponentes virtuales y físicos del centro de datos y también cómo el host se conecta al centro dedatos.

VMware, Inc. 146

Topología de VXLANLa tecnología de redes de superposición de red de área local virtual extensible (Virtual eXtensible LocalArea Network, VXLAN) es un estándar de la industria desarrollado por VMware conjuntamente con losprincipales proveedores de redes.

La topología de VXLAN es una visualización innovadora que ofrece una descripción general de laVXLAN seleccionada. El siguiente diagrama muestra con claridad los distintos componentes queconstituyen la visualización:


VMware, Inc. 147

Nota Tanto los componentes virtuales como los físicos se pueden visualizar de esta manera.

Topología de VLANLas LAN virtuales (Virtual LAN, VLAN) permiten la división adicional de un segmento de LAN física paraque los grupos de puertos queden aislados entre sí como si estuvieran en segmentos físicamentediferentes.

La topología de VLAN se construye de manera similar a la topología de VXLAN.

Topología de NSX ManagerLa topología de NSX Manager muestra los componentes que están asociados con NSX Manager.


VMware, Inc. 148

Recopilación de datos de Edge

Siempre que agregue un origen de datos de NSX, puede habilitar la recopilación automática de datos deEdge. En las versiones anteriores, la recopilación de datos de Edge se realizaba mediante la CLI de NSXcentral o la sesión SSH de Edge. A partir de la versión actual en adelante, la recopilación de datos deEdge se realiza mediante la CLI de NSX central. Por lo tanto, no se crean proveedores de datos de Edgeen NSX Manager.

Nota Validación de privilegios de usuario de NSX

Cuando se agrega el origen de datos de NSX y se habilita el relleno de Edge, se validan los privilegiosde usuario de NSX.

Supongamos que un usuario tiene privilegios de administrador empresarial en NSX 6.3 y está trabajandoen la versión actual de vRealize Network Insight, y se muestra un error de Insufficient Privileges enla página Cuentas y orígenes de datos de VMware NSX Manager. El error se muestra porque elusuario tiene que ser un superusuario para ejecutar los comandos de la CLI de NSX central en NSX 6.3.


VMware, Inc. 149

Tabla 9-1.

Versión de NSX Usuario

NSX 6.4 y versiones posteriores n Para agregar NSX Manager como origen de datos, debe serun superusuario, un administrador empresarial, un auditor oun administrador de seguridad de NSX.

n Un administrador empresarial, un superusuario, unadministrador de seguridad de NSX o un auditor puedenejecutar los comandos de la CLI de NSX central requeridospor vRealize Network Insight.

Nota Un administrador de red de NSX no puede agregar NSXManager como origen de datos.

NSX 6.2 y las versiones posteriores anteriores a NSX 6.4 n El usuario debe ser un administrador para habilitar el rellenode datos de Edge.

n Un auditor, un superusuario o un administrador deseguridad de NSX pueden ejecutar los comandos de la CLIde NSX central requeridos por vRealize Network Insight.

n Las credenciales de usuario que se deben proporcionar alagregar NSX Manager como origen de datos deben ser deadministrador empresarial o superusuario.

Ver información de auditoría de los objetos de NSX en vRealizeNetwork InsightvRealize Network Insight puede capturar rápidamente información de auditoría de los objetos de NSXdesde NSX-T Manager y NSX-V Manager. La información incluye el nombre del usuario que creó omodificó el objeto de NSX, el momento en que se realizó la operación y los detalles de la operación en elobjeto.

Si se habilitaron los registros de auditoría en NSX-T Manager o en NSX-V Manager, vRealize NetworkInsight puede recopilar detalles de auditoría de algunos de los objetos de NSX-T y NSX-V.

NSX-VLista de objetos de NSX-V para los que vRealize Network Insight recopila detalles de auditoría dentro detres a cinco minutos.

n SecurityGroup

n SecurityGroupTranslation

n FirewallConfiguration

n FirewallStatus

n IPSet

n SecurityTag

n UniversalSecurityGroup

n UniversalSecurityGroupTranslation


VMware, Inc. 150

n UniversalIPSet

Se capturan detalles de auditoría de los objetos de NSX-V para eventos de detección, cambio depropiedad y eliminación:

n Discovery

n Properties Change

n Delete

También puede ver la información de auditoría en la escala de tiempo del objeto.


VMware, Inc. 151

NSX-TLista de objetos de NSX-T para los que vRealize Network Insight recopila detalles de auditoría.

Nota La información de auditoría no está disponible para las entidades de directivas de VMC.

n NSGroup

n NSService

n NSServiceGroup

n NSFirewallRule

Nota La información de auditoría no está disponible para el evento de eliminación deNSFirewallRule.

n Conjunto de IP

n Grupo de directivas de NSX

n Regla de firewall de la directiva de NSX

Se capturan detalles de auditoría de los objetos de NSX-T para eventos de detección, cambio depropiedad y eliminación:

n Discovery


VMware, Inc. 152

n Properties Change

n Delete

Nota Los eventos de eliminación no están disponibles en el panel de control de las entidades. Sinembargo, puede buscar el evento para ver la información de auditoría.

Consultas de ejemplo para ver información de auditorían events where user = nombre de usuario

n discovery events where user = nombre de usuario

n delete events where user = nombre de usuario

n change events where user = nombre de usuario


VMware, Inc. 153

Trabajo con pines 10Todas las partes de la aplicación se conocen como pines. Son las unidades fundamentales que sepueden guardar y agrupar para asociar datos que se cree pueden resultar útiles y compartirlos con otrosmiembros del equipo. Es posible fijar una consulta de búsqueda y también los pines disponibles para unaentidad.

Para agregar un pin, haga clic en el icono de pin. Todos los pines guardados se muestran en la secciónPaneles de pines, que se puede invocar si se hace clic en el icono de panel de pines del encabezado.


n Pines

n Paneles de pines

PinesLa información de cada página de entidades se separa en pines. Todas las páginas de entidades secomponen de pines, y cada pin contiene un determinado fragmento de información relacionada con laentidad.

Los pines tienen las siguientes características:

n Es posible maximizar la vista de cualquier pin con el botón Más opciones ( ) y también ver másinformación sobre el pin mediante la opción Ayuda.

n Los pines también pueden contener filtros para ver datos más detallados.

n Muchos pines también incluyen la opción Exportar como CSV para exportar los datos del pin enformato CSV. Puede seleccionar las propiedades específicas y el número de filas CSV que deseaexportar en el cuadro de diálogo que se muestra.

Nota La función Exportar a CSV para los datos de flujo demora más de 30 minutos para 180.000flujos cuando se seleccionan todos los campos.

Tipos de pines

La mayoría de los pines disponibles en el software se pueden ordenar en las siguientes categorías:

Pines de métricasLos pines de métricas muestran métricas importantes relativas a la entidad seleccionada.

VMware, Inc. 154

El pin de métricas utiliza un gráfico de cubismo para mostrar los datos, divide cada gráfico en dosbandas y transpone los valores más altos uno sobre otro. Por lo tanto, los valores más altos se muestrancon un color más oscuro y son más fáciles de distinguir.

Puede seleccionar la métrica específica que desea ver en el menú desplegable del encabezado del pin ycambiar la selección de entidades que desea mostrar.

Puede modificar el rango de tiempo mediante el uso de los ajustes preestablecidos de intervalo o laintroducción de una fecha y una hora personalizadas.

Un ejemplo de pin de métricas es el pin Métricas de máquina virtual. Este pin muestra la velocidad detráfico de red, la velocidad de transmisión de red, la velocidad de recepción de red y las caídas depaquetes de la máquina virtual.

Pines Vista de lista de entidadesLos pines Vista de lista de entidades muestran una lista de entidades agrupadas por un tema común. Lalista muestra atributos importantes por entidad.

Para ver más atributos de una entidad determinada, haga clic en el icono Aumentar situado en elextremo derecho. Al hacer clic en el nombre de la entidad, será dirigido a la página de la entidad.

Al igual que otros pines, el icono de filtro aloja varias facetas con las que se puede filtrar la lista. Unejemplo de pin Vista de lista de entradas es el pin Vecinos de máquina virtual. De forma predeterminada,este pin muestra las máquinas virtuales presentes en el mismo host. También puede filtrar las máquinasvirtuales por grupos de seguridad, VXLAN y almacenes de datos.


VMware, Inc. 155

Pines de la vista de lista de eventosLos pines de la vista de lista de eventos proporcionan una lista de eventos en orden cronológico de unaentidad o un grupo de entidades en particular (que se pueden seleccionar en la lista desplegable delencabezado del pin).

Si desea definir a partir de cuánto tiempo hacia atrás (desde ahora) el pin debe mostrar eventos, puedeutilizar los ajustes preestablecidos disponibles o introducir una fecha y una hora personalizadas. Paraseleccionar otras opciones de filtro, como Estado del evento y Tipo de evento, haga clic en el icono defiltro.

En la imagen que aparece a continuación, se muestran los eventos relacionados con la máquina virtualProd-db-vm21 y sus entidades relacionadas. Puede hacer clic en el nombre de la entidad para ver loseventos de otras entidades relacionadas. Si utiliza el filtro, puede filtrar los eventos en función de suestado y sus tipos. Un evento puede ser un cambio o un problema relacionado con una entidad.

Puede buscar los eventos mediante la consulta de búsqueda de eventos. Puede buscar eventos abiertoso cerrados con consultas, como eventos abiertos o eventos cerrados. También puede buscar problemascon los mismos modificadores.

Paneles de pinesPuede anclar cualquier widget desde cualquier página en un panel de pines para simplificar el acceso alos datos y su uso compartido.


VMware, Inc. 156

Para crear un panel de pines

1 Haga clic en el icono de pin en el widget que desea anclar.

2 Haga clic en Crear nuevo panel de pines en la ventana emergente.

Nota n Si aún no creó ningún panel de pines, puede seleccionar Panel de pines predeterminado en la

lista Modificados recientemente.

Nota El panel de pines predeterminado tiene la apariencia de un panel de pines típico para elusuario nuevo. Ayuda al usuario a familiarizarse con el diseño y las funciones de un panel depines. No se puede compartir ni eliminar. Puede copiar los pines del panel predeterminado encualquier panel de pines personalizado.

n El número máximo de entradas que puede ver en la lista Modificados recientemente es 15.

n La cantidad máxima de paneles de pines que puede crear en todos los usuarios es 500.

Nota El número total de paneles de pines incluye los paneles de pines personalizados,compartidos y predeterminados.

n La cantidad máxima de pines por panel es 20.


VMware, Inc. 157

3 En la ventana Crear panel de pines, escriba el nombre y la descripción del panel de pines nuevo.Haga clic en Crear y anclar.

Nota n El nombre del panel de pines debe ser único en todo el sistema.

n La cantidad máxima de caracteres permitida para el nombre del panel de pines es 100. Elnombre del panel de pines solo puede tener letras, números y espacios.

4 Aparecerá el mensaje Panel de pines creado. Haga clic en Compartir ahora para compartir elpanel de pines inmediatamente.

5 Para anclar el widget a un panel de pines existente, seleccione el panel de pines en Modificadosrecientemente y haga clic en Anclar. Se muestra el mensaje Se agregó su pin con el vínculo alpanel de pines correspondiente.

Para acceder a las opciones del panel de pines

Haga clic en Más opciones en la esquina superior derecha de un panel de pines para acceder aOpciones del panel de pines.

Nota Puede ver todas las opciones del panel de pines solo si creó el panel de pines o si compartió conotro usuario los permisos Ver y editar. Cualquier otro usuario solo puede ver las opciones Exportar aPDF y Cambiar a hora de pin original.

Puede realizar las siguientes acciones en el panel de pines:

n Compartir el panel de pines con cualquier otro usuario existente de vRealize Network Insight.

n Editar el nombre del panel de pines y el pin en el panel de pines.

n Reorganizar los pines en un panel de pines. Sus posiciones son persistentes.

n Haga clic en Eliminar para eliminar ese panel de pines en particular.

n Haga clic en Exportar a PDF para exportar la información del panel de pines como un informe PDF.Para obtener más información, consulte Exportar como archivo PDF.


VMware, Inc. 158

n Para ver los datos del pin en el momento en que se ancló, haga clic en Cambiar a hora de pinoriginal. Esta función permite ver los datos de cada pin en el momento en que se creó.

Para trabajar con el control deslizante de escala de tiempo en unpanel de pinesvRealize Network Insight es compatible con un control deslizante de escala de tiempo en los paneles depines. Si desea ver los datos del panel de pines para cualquier hora que elija, puede utilizar el controldeslizante de escala de tiempo. Cuando se carga un panel de pines, se cargan todos los pines de la horaactual (Ahora).

Para ver la biblioteca de paneles de pinesSi es un usuario administrador, puede ver la pestaña Mis paneles de pines y Todos los paneles depines en la biblioteca de paneles de pines como se muestra en la siguiente imagen. Si es un usuariomiembro, puede ver una lista de los paneles de pines en la biblioteca de paneles de pines.

1 En la barra de navegación de la izquierda de la página de inicio, haga clic en Paneles de pines.

2 Haga clic en Todos los paneles de pines para ver todos los paneles de pines del sistema.

3 Puede ver la lista de los paneles de pines existentes en la barra de navegación. La lista tiene losmismos elementos que la pestaña Mis paneles de pines en la biblioteca de paneles de pines. Alprincipio de la lista, se muestra el último panel de pines modificado. Haga clic en el panel de pinesque desea ver.

Nota Una vez creado, el panel de pines puede tardar un poco en aparecer en la lista.


VMware, Inc. 159

4 También puede buscar un panel de pines en la biblioteca.

Para copiar un pin1 Haga clic en el icono de pin en el widget.

2 Seleccione el panel de pines donde desea copiar el pin.

3 Haga clic en Agregar.

Compartir y colaborar en paneles de pines

Puede compartir los paneles de pines que creó con otros usuarios. Un usuario administrador puede ver yeliminar cualquier panel de pines. Las siguientes son funciones de uso compartido y colaboración depaneles de pines:

Si creó un panel de pines, puede ver, editar o eliminar ese panel independientemente de que sea unusuario administrador o un usuario miembro.


VMware, Inc. 160

Tabla 10-1.

Propietario de panel de pines Compartido con Privilegio Acción posible

Administrador Administrador Ver y editar Ver, editar y eliminar

Administrador Solo ver Ver y eliminar

Miembro Ver y editar Ver y editar

Miembro Solo ver Ver

Miembro Administrador Ver y editar Ver, editar y eliminar

Administrador Solo ver Ver y eliminar

Miembro Ver y editar Ver y editar

Miembro Solo ver Ver

Nota Si se debe eliminar un panel de pines y el usuario que lo creó no está disponible, el usuarioadministrador puede eliminarlo.

Para compartir un panel de pines:

Procedimiento

1 Haga clic en Más opciones en el panel de pines que desea compartir.

2 Haga clic en Compartir.

3 También puede compartir un panel de pines desde Biblioteca de paneles de pines haciendo clic enel icono Compartir en Acciones.


VMware, Inc. 161

4 El uso compartido de vínculos está habilitado de forma predeterminada. Puede compartir el vínculode un panel de pines con cualquier usuario que haya iniciado sesión.

5 Puede agregar los usuarios con los que desea compartir el panel de pines. Puede especificar losprivilegios, como view y view and edit, para un usuario en particular.

Nota El usuario que solo tiene el privilegio Ver no puede compartir el panel de pines con ningún otrousuario.

6 Haga clic en Guardar para guardar los cambios de recursos compartidos y de colaboración que hayarealizado.

7 Puede ver la información de uso compartido y de colaboración de cualquier panel de pines a travésde cualquiera de las siguientes opciones.

n En Biblioteca de paneles de pines, puede ver la información de uso compartido en la columnaUso compartido para un panel de pines específico.

n Haga clic en el icono de pin en el widget. Apunte a cualquiera de los paneles de pines quefiguran en Modificados recientemente para ver los detalles relacionados con el propietario ycon quién se compartió.

Para establecer un panel de pines como página de inicio

Puede establecer un panel de pines de su elección como la página de inicio predeterminada.

Procedimiento

1 Desplácese hasta el panel de pines que desee establecer como la página de inicio.

2 Haga clic en Opciones de panel de pines. Haga clic en Establecer como página de inicio.

Este panel de pines en particular se establecerá como la página de inicio.

Nota Una vez hecho esto, la opción Establecer como página de inicio queda deshabilitada enese panel de pines.

3 También puede establecer un panel de pines específico como la página de inicio predeterminadadesde la página Mis preferencias en Configuración.


VMware, Inc. 162

4 Si desea ver la página de inicio anterior, haga clic en Inicio de Network Insight en Paneles depines en el panel de navegación de la izquierda. Se muestra el mensaje ¿Desea establecer Iniciode Network Insight comopágina de inicio? Si desea volver a usar la página de iniciopredeterminada, haga clic en Establecer página de inicio. Haga clic en Descartar para cerrar elmensaje.

Nota n Si elimina un panel de pines que estableció como página de inicio, se restablecerá la página de

inicio predeterminada a Inicio de Network Insight. Si es el propietario del panel de pines que vaa eliminar, aparecerá un mensaje para confirmar la eliminación.

n Si otro usuario estableció el panel de pines que usted creó como página de inicio, al eliminarlo, lapágina de inicio se revierte a Inicio de Network Insight automáticamente para ese usuario.

Para duplicar un panel de pines

Procedimiento

1 Haga clic en el icono de duplicación en Acciones para el panel de pines en particular en la lista de labiblioteca de paneles de pines.

2 Aparece una ventana emergente donde tiene que introducir el nombre del panel de pines. Ladescripción es la misma que la del panel de pines original. Haga clic en Duplicar.

Nota El nombre del panel de pines es obligatorio. El botón Duplicar no se habilita hasta queintroduce el nombre.

3 Si está intentando duplicar un panel de pines compartido, puede optar por conservar los permisos ylos usuarios del panel de pines de origen. Seleccione Conservar permisos y usuarios del panel depines de origen si desea mantenerlos.

Nota Si el panel de pines que desea duplicar está compartido con usted mediante acceso de sololectura, no verá la opción Conservar permisos y usuarios del panel de pines de origen.

El usuario que duplica un panel de pines se convierte en el propietario del nuevo panel de pines.


VMware, Inc. 163

F5 como equilibrador de carga 11Para admitir y habilitar la función de equilibrio de carga de F5, se agregó vRealize Network Insight conlos componentes o las entidades requeridos.

Descripción general de un equilibrador de carga de F5 ysus componentes

n Servidores de aplicaciones: las máquinas en las que se alojan las aplicaciones. Por ejemplo, si existeun servidor web, este se ejecuta en servidores de aplicaciones (servidores físicos o virtuales).

n Nodos de servicio: F5 representa los servidores de aplicaciones como nodos de servicio. Por lotanto, el nodo de servicio tiene la misma dirección IP o el mismo FQDN que el servidor deaplicaciones. Cada nodo de servicio puede tener varias aplicaciones.

n Miembros de grupo: una entidad lógica. Cada aplicación de un nodo de servicio se representa con unmiembro de grupo, el cual tiene la misma dirección IP o el mismo FQDN que el nodo de servicio.Para identificar diferentes aplicaciones, los miembros de grupo incrustan el número de puerto con ladirección IP de los nodos de servicio.

n Grupos: todos los miembros de grupo que atienden una aplicación se juntan en un grupo.

n Servidores virtuales: una dirección IP de orientación pública de la aplicación. Por lo tanto, los clientesque desean utilizar una aplicación se conectan a la dirección IP del servidor virtual (por ejemplo,10.100.100.10) y al número de puerto (80 o 21).

n Terminal cliente: la conexión se inicia desde un terminal cliente, que es una máquina virtual.

VMware, Inc. 164

La solicitud de cliente se conecta con el servidor virtual, que decide los miembros de grupo en funcióndel grupo. A continuación, los miembros de grupo reenvían la solicitud al servidor de aplicaciones(máquina virtual o servidor físico).

Nota Un único servidor de aplicaciones puede atender varias solicitudes de diferentes puertos y nodosde servicio.

vRealize Network Insight ofrece ventajas adicionales mediante la compatibilidad con la función deequilibrio de carga:

n Permite identificar si los servidores de aplicaciones son servidores físicos o máquinas virtuales.

n Permite depurar o solucionar problemas fácilmente al proporcionar visibilidad sobre la informacióndel servidor de aplicaciones (host o máquina virtual), como la configuración, el rendimiento y losflujos.

n Proporciona visibilidad sobre los componentes de redes virtuales o físicas en una aplicación dondese distribuye la carga.

n Genera alertas para todos los problemas en el entorno y ayuda a detectar la causa de los problemas.Por ejemplo, la aplicación no responde debido a que la máquina virtual del nodo de servicio estáinactiva.

n Proporciona una visibilidad de flujo de extremo a extremo.


n NSX-V como equilibrador de carga

NSX-V como equilibrador de cargaA partir de la versión 4.2, vRealize Network Insight admite y habilita la función de equilibrio de carga deNSX-V.

Esta es la lista de métricas compatibles actualmente:

n Servidor virtual

n Total de bytes de entrada

n Total de bytes de salida

n Sesiones actuales

n Total de sesiones

n Grupo

n Total de bytes de entrada

n Total de bytes de salida

n Conexiones actuales

n Conexiones máximas


VMware, Inc. 165

n Total de conexiones

Actualmente, en vRealize Network Insight solo las máquinas virtuales se admiten como miembros delgrupo.


VMware, Inc. 166

Trabajo con redes y seguridad 12Este capítulo incluye los siguientes temas:

n Visibilidad de red

n Seguridad

Visibilidad de red

Topología de rutaLa topología de ruta dibuja una conexión detallada que existe entre dos máquinas virtuales del entorno.

La topología incluye componentes de capa 3 y capa 2. Esta topología se puede ver con la consulta debúsqueda vm_name_1 en vm_name_2. Si existe una ruta, la visualización de la ruta de máquina virtual amáquina virtual procede a rellenar todos los componentes presentes entre vm_name_1 y vm_name_2, ytambién dibuja una ruta animada. Si los enrutadores son físicos, se muestran fuera del límite.

En la topología de ruta, puede ver la ruta de máquina virtual a máquina virtual entre el origen y el destino.Si no se configura la ruta predeterminada entre las máquinas virtuales, aparece un mensaje de error parainformar que no se definió la ruta o no se encuentra la interfaz de enrutador.

En el caso de Kubernetes, la topología de ruta muestra la ruta para los siguientes escenarios:

n De servicio de Kubernetes a servicio de Kubernetes

n De servicio de Kubernetes a pod de Kubernetes

n De pod de Kubernetes a pod de Kubernetes

Nota No se admite la ruta que involucra dispositivos físicos.

VMware, Inc. 167

La opción Ruta a través de equilibrador de carga enumera todos los equilibradores de carga que seutilizan entre la ruta de la máquina virtual de origen y la máquina virtual de destino seleccionadas. Paraver la ruta entre las máquinas virtuales a través de un equilibrador de carga específico, seleccione en lalista el nombre del equilibrador de carga. Si pasa el cursor sobre el componente de equilibrador de cargaen la topología de ruta, verá los siguientes detalles:

n Nombre del servidor virtual

n Dirección IP del equilibrador de carga

n Número de puerto

n Algoritmo del equilibrador de carga

n La puerta de enlace predeterminada que se tomó del equilibrador de carga.

También puede ver los componentes de enrutamiento en la topología de ruta.

Si pasa el cursor sobre cualquiera de los enrutadores, las instancias de Edge o los LDR involucrados enla ruta, se muestra la información completa de enrutamiento o de NAT.

En la sección subyacente de máquina virtual que se encuentra en el lado derecho de la topología de rutade acceso de máquina virtual, se muestra la información subyacente de las máquinas virtualesinvolucradas y su conectividad con la parte superior de los conmutadores de rack y los puertosinvolucrados. Para las entidades de Kubernetes, la sección Máquina virtual subyacente muestrainformación del nodo de la máquina virtual o de Kubernetes donde reside el pod.

En la sección subyacente de máquina virtual, los componentes se etiquetan si selecciona Mostraretiquetas en Detalles de ruta de acceso. En esta sección, la lista desplegable en la parte superiormuestra las máquinas virtuales de endpoint y las máquinas virtuales activas en las instancias de Edge.Para cada máquina virtual de Edge, la lista desplegable colindante muestra las direcciones IP de lainterfaz de entrada y de salida. Según la selección, se muestra la ruta subyacente para esa interfaz enparticular.

También puede invertir la dirección de la ruta de acceso mediante las flechas que aparecen en la partesuperior del mapa de topología.

El mapa de topología ofrece más visibilidad con respecto a los puertos implicados en la ruta de máquinavirtual a máquina virtual. En la sección Detalles de ruta de acceso, se muestra el nombre del canal depuerto real.

Nota No hay visibilidad completa de la capa 2 en el frente físico. Si un paquete se transmite de unconmutador a otro, es posible que haya varios conmutadores involucrados. Sin embargo, la topología nomuestra los conmutadores en la red de base.

Ruta de máquina virtual a máquina virtual de AWS

La ruta de máquina virtual a máquina virtual de AWS proporciona visibilidad de la ruta de acceso entrelas máquinas virtuales locales y las instancias de EC2 de AWS.


VMware, Inc. 168

Actualmente, vRealize Network Insight admite los siguientes escenarios:

n Ruta de máquina virtual a máquina virtual de AWS dentro de VPC: este escenario abarca lacomunicación entre las máquinas virtuales de la misma subred o de diferentes subredes en una VPCdeterminada.

n Ruta de máquina virtual a máquina virtual de AWS entre VPC a través de la conexión deemparejamiento: este escenario abarca la comunicación entre la máquina virtual de una VPC y lamáquina virtual de otra VPC a través de una conexión de emparejamiento.

n Máquina virtual de AWS a Internet: la máquina virtual de una VPC se comunica con Internet a travésde la puerta de enlace de Internet.

n Máquina virtual de AWS a máquina virtual de centro de datos a través de la conexión VPN de AWS:en este escenario, la máquina virtual de una VPC se comunica con la máquina virtual de un centrode datos a través de la conexión VPN de AWS. vRealize Network Insight es compatible con SDDC ylos centros de datos NSX-V y NSX-T para este escenario.

Nota n La topología de rutas híbridas a los centros de datos NSX-T y NSX-V solo funciona cuando los

enrutadores de NSX-T y NSX-V Edge se configuran con una dirección IP pública.

n vRealize Network Insight no es compatible con la topología de base de máquina virtual paraAWS.

Nota

A continuación se muestra un ejemplo de la ruta de máquina virtual a máquina virtual de AWS para laruta de máquina virtual a máquina virtual de AWS entre VPC a través de la conexión de emparejamiento:


VMware, Inc. 169

Para ver las propiedades de la conexión de emparejamiento, puede apuntar a su icono en la ruta demáquina virtual a máquina virtual.

Es posible buscar las siguientes entidades relacionadas con la ruta de máquina virtual a máquina virtualde AWS:

n AWS Subnet

n AWS Route Table

n AWS Virtual Private Gateway

n AWS Internet Gateway

n AWS VPN Connection

n AWS VPC Peering Connection

NSX-T

Un ejemplo de ruta de máquina virtual a máquina virtual para NSX-T es el siguiente:


VMware, Inc. 170

El color azul representa el nodo de host y el color gris representa el nodo de Edge. Los iconos utilizadosen la topología de la ruta de acceso de la máquina virtual se muestran en el lado derecho de la pantallajunto con las etiquetas en Detalles de ruta de acceso. Los enrutadores distribuidos se muestran con elmismo color, independientemente de sus niveles. El color del enrutador de servicio en el diagrama detopología cambia según el nivel asociado. Todos los componentes de nivel 1 se muestran en el mismonivel y todos los componentes de nivel 0 se muestran en un nivel diferente. En NSX-T, los firewalls deEdge se representan en el diagrama.

Para planificar la seguridad de la red de NSX-T, puede seleccionar el ámbito como Red de capa 2 deNSXT y utilizar la siguiente consulta:

plan NSX-T Layer2 Network ‘<NAME_OF_NSX_T_LOGICAL_SEGMENT>’

También puede conseguir el mismo objetivo siguiendo estos pasos:

n Seleccione Seguridad en la barra lateral de navegación.

n Seleccione Red de capa 2 de NSX-T como ámbito en el menú desplegable.

Nota n Las entidades relacionadas con NSX-T, como Red de capa 2 de NSX-T y Etiquetas, están

disponibles en el ámbito. Puede utilizar estas entidades relacionadas con NSX-T en la planificación,la microsegmentación y la definición de aplicaciones.

n En el menú desplegable Agrupar por, Grupo de seguridad de NSX-T es una parte de Etiqueta deseguridad y Segmento lógico es parte de VLAN/VXLAN.


VMware, Inc. 171

Ruta de máquina virtual a máquina virtual en la interfaz troncal de NSX-VEdgeEn vRealize Network Insight, puede ver la ruta de máquina virtual a máquina virtual y la ruta de máquinavirtual a Internet cuando se conecta DVPG a la vNIC troncal de NSX Edge y se conectan lassubinterfaces a VLAN o VXLAN.

A continuación, se muestra un ejemplo de ruta de máquina virtual a máquina virtual a través de NSXEdge:

Nota vRealize Network Insight no admite la información subyacente para las interfaces troncales de lamáquina virtual de Edge.

Compatibilidad con NAT en NSX-T

Actualmente, vRealize Network Insight admite las reglas SNAT, DNAT y reflexivas en los flujos y la rutade máquina virtual a máquina virtual.

Para obtener todas las reglas de NAT en NSX-T, utilice la consulta NSX-T Edge NAT Rule. Para obtenertodas las reglas de NAT en NSX-V y NSX-T, utilice la consulta NAT Rules.

Consideraciones

n vRealize Network Insight no muestra correctamente las reglas de firewall de Edge de NSX-T para laruta de máquina virtual a máquina virtual con los enrutadores lógicos de NSX-T donde está habilitadoel servicio NAT.


VMware, Inc. 172

n Las reglas NAT que están configuradas en la interfaz de enlace ascendente del enrutador de nivel deVMware NSX-T solo se procesan mediante la ruta de máquina virtual a máquina virtual. Si seconfigura NAT en cualquier enrutador de nivel de NSX-T, se espera que existan reglas de NAT paratodas las máquinas virtuales conectadas al enrutador; de lo contrario, la ruta de máquina virtual amáquina virtual y la ruta a Internet no funcionan. En su lugar, se muestra un mensaje indicando quefalta una regla.

n vRealize Network Insight es compatible con la jerarquía de NAT anidada.

n Solo se admiten instancias de Edge basadas en NSX-V y NSX-T.

n vRealize Network Insight es compatible con las instancias de Edge y los enrutadores de nivel conenlaces ascendentes definidos por NAT.

n vRealize Network Insight admite reglas de SNAT con rango. Sin embargo, DNAT debe ser unaasignación de uno a uno entre las direcciones IP de destino y traducidas (paridad con NSX-V).

n vRealize Network Insight no admite los siguientes casos prácticos:

a En NSX-T, las reglas de NAT se pueden aplicar en el nivel del servicio. Por ejemplo, en NSX-T, elconjunto de puertos de capa 4 es un tipo de servicio y los protocolos asociados pueden ser TCPo UDP. Por lo tanto, en la ruta de máquina virtual a máquina virtual, no se admiten los detalles denivel de servicio.

b No se admite cualquier traducción de nivel de puerto.

c No se admiten las direcciones de destino de coincidencia de SNAT y de origen de coincidenciade DNAT. Use la dirección de destino de coincidencia de SNAT como dirección IP de destinocuando especifique la regla de SNAT. Use la dirección de origen de coincidencia de DNAT comodirección IP de origen cuando especifique la regla de DNAT. Por ejemplo, si se menciona unadirección IP de destino en la regla de SNAT, vRealize Network Insight aplica la regla de SNATindependientemente de que el paquete tenga la dirección de destino como dirección IP dedestino.

d El firewall de Edge de NSX-T tiene implicaciones para la ruta de acceso de datos cuando sehabilita con el servicio NAT en el mismo enrutador lógico. Si un flujo coincide con NAT y con elfirewall de Edge, el resultado de la búsqueda de NAT tiene prioridad sobre el firewall. Por lotanto, el firewall no se aplica a ese flujo. Si el flujo coincide solo con una regla de firewall, elresultado de la búsqueda de firewall se respeta para ese flujo.

Ruta de máquina virtual a máquina virtual de VMware SD-WANEn vRealize Network Insight, puede ver la ruta de máquina virtual a máquina virtual para laimplementación de VMware SD-WAN.

vRealize Network Insight admite los siguientes escenarios:

n Ruta de IP a IP: ambas direcciones IP deben estar directamente en la VLAN detrás de una instanciade VMware SD-WAN Edge.


VMware, Inc. 173

n Ruta de IP a Internet/IP a IP desconocida: la IP de origen debe estar directamente en la VLAN detrásde una instancia de VMware SD-WAN Edge.

Nota Internet o IP desconocida son todas las direcciones IP que no se detectan en vRealizeNetwork Insight.

n Ruta de máquina virtual a IP, IP a máquina virtual o Máquina virtual a máquina virtual:

n Solo se admiten máquinas virtuales en centros de datos de NSX/NSX-T. No se admitenmáquinas virtuales de VMware Cloud on AWS, Amazon Web Services ni Azure.

n La instancia de VMware SD-WAN Edge debe estar conectada a un enrutador físico/virtual en elcentro de datos a través de una VLAN.

n Nota Si la puerta de enlace de VMware SD-WAN configurada para la instancia de VMware SD-WAN Edge de origen y la instancia de VMware SD-WAN Edge de destino no coinciden, se muestrala ruta a través de las puertas de enlace de la instancia de VMware SD-WAN Edge de origen.

Si una VPN de rama a rama entre las instancias de VMware SD-WAN Edge utiliza un clúster deVMware SD-WAN, todos los miembros del clúster se muestran en la ruta.

A continuación, se muestran algunos ejemplos de ruta de máquina virtual a máquina virtual de VMwareSD-WAN:


VMware, Inc. 174

VMware Cloud on AWS: Ruta de máquina virtual a máquina virtual

vRealize Network Insight es compatible con las siguientes rutas de acceso híbridas en VMware Cloud onAWS:

n VMware Cloud on AWS y VMware Cloud on AWS

n VMware Cloud on AWS y NSX-T

n VMware Cloud on AWS y NSX-V

n VMware Cloud on AWS y AWS

n Dentro de VMware Cloud on AWS

Para todas las máquinas virtuales presentes en VMware Cloud on AWS, la información subyacente solose muestra hasta el segmento en el que se encuentra la máquina virtual. Esto se debe a que VMwareCloud on AWS extrae los elementos físicos subyacentes de la red y no hay visibilidad en ese nivel.

A continuación, se muestra un ejemplo de ruta de máquina virtual a máquina virtual de NSX-T y VMwareCloud on AWS:


VMware, Inc. 175

La línea azul oscuro muestra el túnel.

Compatibilidad con el modo BGP-EVPN de Cisco

vRealize Network Insight es compatible con el tejido de los conmutadores Cisco 9000 con el modo deconfiguración BGP-EVPN de Cisco solo para la edición Enterprise. vRealize Network Insight no admitelos modelos de conmutadores que no sean Cisco Nexus 9000 con la configuración BGP-EVPN de Cisco.

Cada conmutador Cisco Nexus 9000 que forma parte del tejido se agrega de forma individual como unorigen de datos. Para ver todos los conmutadores de espina o de hoja en el tejido, utilice la consultaswitches where role is set.

Un ejemplo de ruta de máquina virtual a máquina virtual para el modo BGP-EVPN de Cisco es elsiguiente:


VMware, Inc. 176

Compatibilidad con el enrutamiento de múltiples rutas de acceso de igualcosto (Equal-Cost Multi-Path, ECMP)vRealize Network Insight proporciona compatibilidad con ECMP en la ruta de máquina virtual a máquinavirtual.

La ruta de máquina virtual a máquina virtual muestra la siguiente información en ECMP:

n Las diversas rutas de acceso ECMP del origen al destino

n Los enrutadores en los que se produce ECMP

n Las rutas de acceso de salida posibles de un enrutador determinado (VRF)

n La ruta de la ruta de acceso posible


VMware, Inc. 177

En la figura anterior, puede ver los enrutadores habilitados para ECMP. Si coloca el puntero en ellos, semostrarán las rutas de acceso adicionales. Además, si desea crear una ruta de acceso, puedeseleccionar y bloquear los enrutadores según sus necesidades. Si desea ver todas las rutas de accesoECMP entre las dos máquinas virtuales, seleccione la opción Mostrar todas las rutas de acceso ECMPen el diagrama de topología.

Si desea ver la ruta de acceso de un enrutador específico, coloque el puntero en el enrutador y haga clicen Mantener enfoque. Se mostrarán las rutas de acceso específicas del enrutador.

Compatibilidad con los puentes de capa 2


VMware, Inc. 178

Los puentes de capa 2 o de VLAN crean un único dominio de difusión a partir de varias VLAN. En lasversiones anteriores, si la ruta de máquina virtual a máquina virtual involucraba un puente de capa 2entre dos o más VLAN, la ruta de máquina virtual a máquina virtual no funcionaba. A partir de estaversión en adelante, vRealize Network Insight es compatible con el puente de capa 2. Actualmente, estafunción solo es compatible con los enrutadores Cisco ASA.

Supervisar diversos estados de BGP

vRealize Network Insight es compatible con la supervisión de los estados de BGP. Es posible ver losvecinos de BGP correspondientes a una instancia de NSX Edge o un enrutador lógico.

Procedimiento

1 Introduzca Routers en la barra de búsqueda.

2 Para ver los resultados de una instancia determinada de NSX Manager, seleccione NSX Manager enel panel de la izquierda para aplicar un filtro.

3 Expanda el enrutador específico de la lista para ver los detalles.

4 Puede ver la siguiente información en Vecinos de BGP.

n IP Address

n Remote AS

n Weight

n Keep Alive Time

n Hold Down Time

n Status

Nota n Si no se obtiene información relativa a los vecinos, entonces Status se muestra como Unknown.

n Si Status no es Established.up, se genera el evento One or more BGP neighbours are not inestablished state para esa instancia de Edge. También puede ver este evento al buscarproblems.

Ruta de acceso a InternetPara cada máquina virtual que se encuentra en el entorno, vRealize Network Insight muestra cómo lamáquina virtual está conectada a Internet mediante una ruta de acceso animada del pin Ruta de accesoa Internet.

La ruta de acceso rellena todos los componentes (tanto virtuales como físicos) que existen entre lamáquina virtual e Internet. Dibuja una ruta de acceso animada que conecta cada componente ensecuencia. La dirección de la ruta de acceso también se puede revertir mediante las flechas situadasarriba de la visualización.


VMware, Inc. 179

Deslice el puntero del mouse sobre los iconos de la entidad para obtener sus nombres direccionables.Haga clic en un icono de la ruta de acceso para mostrar una cuenta resumida de sus atributosprincipales. También puede maximizar el pin para ver detalles de la ruta de acceso.

Seguridad

Cross-vCenter NSXEn un entorno de cross-vCenter NSX, puede haber varias instancias de vCenter Server, cada unaemparejada con su propia instancia de NSX Manager.

A una instancia de NSX Manager se le asigna la función de instancia principal de NSX Manager, y a lasotras se les asigna la función de instancia secundaria de NSX Manager. La instancia principal de NSXManager se utiliza con el fin de implementar un clúster de controladora universal que proporciona elplano de control para el entorno de cross-vCenter NSX. Las instancias secundarias de NSX Manager notienen clústeres de controladora propios. La instancia principal de NSX Manager puede crear objetosuniversales, como conmutadores lógicos universales. Estos objetos se sincronizan con las instanciassecundarias de NSX Manager mediante el servicio de sincronización universal de NSX. Puede ver estosobjetos desde las instancias secundarias de NSX Manager, pero no puede editarlos allí. Debe utilizar lainstancia principal de NSX Manager para administrar objetos universales. La instancia principal de NSXManager puede utilizarse para configurar cualquiera de las instancias secundarias de NSX Manager enel entorno.

Se admiten los siguientes objetos universales:

n LDR universal


VMware, Inc. 180

n Zona de transporte universal

n Conmutador lógico universal

n Regla de firewall universal

n Grupo de seguridad universal

n Conjuntos de IP universales

n Servicio universal

n Grupos de servicios universales

n Rango de segmentos universal

Palo Alto NetworksvRealize Network Insight es compatible con el firewall Palo Alto Panorama.

Nota vRealize Network Insight no admite la integración de Palo Alto Panorama con varias instancias deNSX Manager.

Para agregar Palo Alto Panorama a vRealize Network Insight, el usuario de Palo Alto Networks debetener la función de administrador con acceso a la API de XML. Realice los siguientes pasos paraagregar una función de administrador a la API de XML.

1 Seleccione Panorama > Funciones de administrador.

2 Haga clic en Agregar para agregar una nueva función de administrador.

3 Se abrirá la ventana Perfil de función de administrador.

4 Introduzca el nombre de la función y seleccione Panorama.

5 Haga clic en la pestaña Interfaz de usuario web y deshabilite todas las entradas.

6 Haga clic en la pestaña API de XML y deshabilite todas las entradas, excepto Configuración ySolicitudes operativas.

7 Haga clic en Aceptar para cerrar la ventana.

Se mostrará la nueva función de administrador en la lista.

8 Haga clic en Confirmar.

9 Asigne esta función a una cuenta de administrador o cree un usuario nuevo y asigne esta función alnuevo usuario.

Las funciones de Palo Alto Networks compatibles con vRealize Network Insight son las siguientes:

n Interrelación de entidades de Palo Alto y NSX: la membresía de máquina virtual de la dirección y delgrupo de direcciones de Palo Alto Networks se calcula en función de la asignación de dirección IP amáquina virtual. Esta información de membresía se puede consultar de la siguiente manera:

n VM where Address = <>

n Palo Alto address where vm = <>


VMware, Inc. 181

n VM where Address Group = <>

n Palo Alto address group where vm = <>

n Consulta: puede realizar una consulta para todas las entidades de Palo Alto que son compatibles convRealize Network Insight. Todas las entidades reciben un prefijo de Palo Alto. Algunas de lasconsultas son las siguientes:

Tabla 12-1.

Entidades Consultas

Dirección de Palo Alto Palo Alto address where vm = <>

VM where Address = <>

Grupo de direcciones de Palo Alto Palo Alto address group where Translated VMs = <>

VM where address group = <>

Dispositivo de Palo Alto Palo Alto Device where Version = <>

Palo Alto Device where connected = true

Palo Alto Device where family = 'PA-5060'

Dispositivo físico de Palo Alto Palo Alto Physical Device where model = 'PA-5060'

Dispositivo de máquina virtual de Palo Alto Palo Alto VM Device where model = 'PA-VM'

Grupo de dispositivos de Palo Alto Palo Alto Device Group where device = <>

Palo Alto Device Group where address = <>

Palo Alto Device Group where address group = <>

Servicio de Palo Alto Palo Alto service where Port = <>

Palo Alto service where Protocol = <>

Grupo de servicios de Palo Alto Palo Alto service group where Member = <>

Directiva de Palo Alto Palo Alto Policy where Source vm = <> and Destination vm

= <>

Palo Alto Policy where Source IP = <> and Destination IP

= <>

Firewall de Palo Alto Palo Alto firewall where Rule = <>

Zona de Palo Alto Palo Alto Zone where device = <>

Sistema virtual de Palo Alto Palo Alto Virtual System where Device = <>

Palo Alto Virtual System where Device Group = <>

Nota Además de las consultas, también puede utilizar facetas para analizar los resultados de labúsqueda.

n Ruta de máquina virtual a máquina virtual: como parte de la topología de máquina virtual a máquinavirtual, vRealize Network Insight muestra el firewall de la serie Palo Alto para máquinas virtuales enel host. Las reglas aplicables se muestran al hacer clic en el icono Firewall. Si un dispositivo defirewall (dispositivo de enrutamiento) de la red de Palo Alto también está presente en la ruta deacceso, también se muestra ese dispositivo. Al hacer clic en el icono Dispositivo, puede verinformación básica, como una tabla de enrutamiento, las interfaces y una tabla que contiene lasreglas de firewall aplicadas.


VMware, Inc. 182

n Puede ver algunos eventos del sistema relacionados con los siguientes escenarios de Palo AltoNetworks:

n El dispositivo de Palo Alto no está conectado a Panorama (Manager).

n NSX Manager no está registrado en Panorama.

n No se encuentra el agente de tejido de NSX en el dispositivo ESX para Palo Alto.

n No se encuentra el dispositivo de Palo Alto en el agente de tejido de Panorama para NSX.

n Los datos de membresía de grupos de seguridad no están sincronizados.

n Puede crear y registrar varias definiciones de servicios en Panorama con una determinada instanciade NSX Manager. Si hay diferentes clústeres de ESXi con cargas de trabajo que requieren que elfirewall VM-Series procese el tráfico de forma diferente, se crean varias definiciones de servicio.Cada definición de servicio tiene un grupo de dispositivos asociado desde el que se seleccionan lasdirectivas. Al mostrar la ruta de máquina virtual a máquina virtual en vRealize Network Insight, sedebe tener en cuenta el conjunto correcto de directivas basadas en la información del clúster de lamáquina virtual.


VMware, Inc. 183

Ejemplo de panel de control Palo Alto Manager

Firewall Cisco ASA

vRealize Network Insight es compatible con el firewall Cisco ASA.

Las funciones del firewall Cisco ASA son las siguientes:

n vRealize Network Insight solo admite la serie Cisco ASA-X.

n vRealize Network Insight no admite los módulos Firepower.

n Actualmente, vRealize Network Insight es compatible con el sistema operativo Cisco ASA versión9.4.

n vRealize Network Insight no es compatible con la implementación de clústeres de Cisco ASA.

n vRealize Network Insight no es compatible con la alta disponibilidad de Cisco ASA.

n vRealize Network Insight no es compatible con Cisco ASA cuando se conecta directamente al host.Se admite una topología similar a la siguiente:


VMware, Inc. 184

n Solo se admiten las reglas de acceso de Cisco ASA de tipo Extended. No se admiten otros tipos dereglas de acceso como Standard, WebType, EtherType, etc.

n El firewall Cisco ASA en la ruta de máquina virtual a máquina virtual no muestra las reglas de accesoaplicables cuando el firewall se configura en el modo Transparent.

Para agregar Cisco ASA como origen de datos:

Procedimiento

1 En la página Instalación y soporte de Configuración, haga clic en Cuentas y orígenes de datos.


3 Seleccione Firewall.

4 Seleccione Cisco ASA.


Tabla 12-2.




Username Introduzca el nombre de usuario que desea utilizar para esteorigen de datos. El usuario debe tener el privilegio dehabilitación de modo para establecer la longitud de terminal en 0y para cambiar el contexto de seguridad.

Password Introduzca la contraseña. Asegúrese de introducir la mismacontraseña que utilizó para la habilitación de modo de CiscoASA.

6 Después de introducir la información en los cuadros de texto, haga clic en Validar.

Ejemplo

Es posible realizar una consulta para todas las entidades de Cisco ASA que son compatibles convRealize Network Insight.


VMware, Inc. 185

Tabla 12-3.

Entidades de Cisco ASA Palabras clave Consultas de ejemplo

Contexto de seguridad Firewall de ASA

Contexto de seguridad de ASA

asa firewall where access group = <>

Regla de acceso Regla de acceso de ASA asa access rule where source ip = <>

asa access rule where destination ip

= '192.168.2.2'

asa access rule where port = <>

asa access rule where interface = <>

Grupo de acceso Grupo de acceso de ASA asa access group where interface = <>

Objeto de red/Grupo de objetos de red Objeto de red de ASA

Grupo de objetos de red de ASA

asa network object where ip address =

<>

asa network object group where ip

address = <>

Objeto de servicio/Grupo de objetos deservicio

Objeto de servicio de ASA

Grupo de objetos de servicio de ASA

asa service object where port = <>

asa service where protocol = <>

asa service object group

Firewall de Check Point

vRealize Network Insight admite los siguientes servidores de administración de Check Point:

n Check Point Security Manager (SmartCenter)

n Check Point Multi-Domain Manager (MDS/Provider-1)

El servidor de administración de Check Point debe aceptar el acceso a la API desde la dirección IP delrecopilador. Se puede configurar desde Administración y Configuración > Blades > API deadministración > Configuración avanzada.

Si se agrega Check Point MDS como origen de datos, vRealize Network Insight recupera datos de todoslos dominios definidos por el usuario y del dominio global.

vRealize Network Insight utiliza la API web pública de Check Point para obtener los datos del servidor deadministración de Check Point. Si se conecta la puerta de enlace de VSX al servidor de administración,se deben utilizar comandos de CLI basados en SSH para recuperar la tabla de enrutamiento del sistemavirtual (Virtual System, VS) administrado por VSX para admitir la visualización de la puerta de enlace deVS en la ruta de máquina virtual a máquina virtual.

vRealize Network Insight requiere privilegios de solo lectura para acceder a la API web y obtener lamayoría de los datos de Check Point. Existen algunas excepciones como las siguientes:

n Si se asocia una puerta de enlace física que no es de VSX al servidor de administración, el usuariodebe tener privilegios de acceso de lectura y escritura en la API web. Esto es necesario pararecuperar las rutas de puerta de enlace y usar la API web run script para el cálculo de rutas demáquina virtual a máquina virtual.


VMware, Inc. 186

n Si se conecta la puerta de enlace de VSX al servidor de administración, el usuario debe tener accesoSSH con la misma contraseña. Además, el usuario debe tener acceso al comando de CLI vsx_utilview_vs_conf. Este comando se utiliza para recuperar las rutas de puerta de enlace de VSX para elcálculo de rutas de máquina virtual a máquina virtual.

n Si se utiliza una IP de servidor MDS como origen de datos, el usuario debe tener acceso de la APIweb a todos los dominios, incluido el dominio de MDS y el dominio global. Es necesario recuperarreglas, paquetes de directivas y otros datos de todos los dominios.

Nota n vRealize Network Insight es compatible con el firewall de Check Point R80 y sus versiones

posteriores.

n Para la ruta de máquina virtual a máquina virtual, vRealize Network Insight no admite el clúster deVSX que contiene el conmutador virtual y el enrutador virtual.

Es posible realizar una consulta para todas las entidades de Check Point que son compatibles convRealize Network Insight. Todas las entidades llevan el prefijo Check Point. Algunas de las consultas deCheck Point son las siguientes:

Tabla 12-4.

Entidades en Check Point Palabras clave Consultas

Conjunto de IP Check Point Address Range

Check Point Network

vm where Address Range = <>

vm where Address Range = <>

Check Point Address Range

where Translated VM = <>

Agrupación Check Point Network Group Check Point Network Group

where Translated VM = <>

vm where Network Group = <>

Servicio/Grupo de servicio Check Point Service

Check Point Service Group

Check point service where

Port = <>

Check point service where

protocol = <>

Capa de acceso Check Point Access Layer Check Point Policy where

Access Layer = <>

Dominio Check Point Domain check point domain where ip

address = <>

check point policy where

domain = <>

check point access layer

where domain = <>

Puertas de enlace y clúster de puertas de enlace Check Point Gateway

Check Point Gateway

Cluster

Check Point Gateway Cluster

where Policy Package = <>


VMware, Inc. 187


Entidades en Check Point Palabras clave Consultas

Paquete de directivas Check Point Policy package Check Point Policy where

Policy Package = <>

Check Point Policy Package

where Rule = <>

Directiva Check Point Policy Check point policy where

source ip = <> and

Destination IP = <>

Rule where source ip = <>

and Destination IP = <>

(will display other rules-

nsx, redirect along with

check point policies in the

system)

A continuación se muestra un panel de control de Check Point Manager de ejemplo:

En un diagrama de topología de máquina virtual a máquina virtual, se pueden ver las máquinas virtualesdel servicio de Check Point en un host para indicar las reglas de Check Point que se aplican al tráficoespecífico. La puerta de enlace del sistema virtual (Virtual System, VS) administrado por VSX se puedever en la ruta de máquina virtual a máquina virtual como una puerta de enlace física. La lista dedirectivas aplicables de Check Point se muestra al hacer clic en el icono de puerta de enlace.

Nota Para la ruta de máquina virtual a máquina virtual, vRealize Network Insight no admite el clúster deVSX que contiene el conmutador virtual y el enrutador virtual.


VMware, Inc. 188

A continuación se muestran algunos escenarios en los que se generan eventos del sistema para CheckPoint:

n No se encuentra el agente de tejido de NSX en la instancia de ESX para la puerta de enlace deCheck Point.

n No se encuentra la máquina virtual de servicio de Check Point.

n El estado de la puerta de enlace de Check Point sic no se está comunicando.

n Las funciones de detección y actualización de eventos para las entidades de Check Point, como elrango de direcciones, las redes, las directivas, los grupos, el paquete de directivas, el servicio, elgrupo de servicios, etc.

Grupos de seguridadLos grupos de seguridad son un conjunto de grupos que se administran a través de un conjunto comúnde permisos.

La topología Grupo de seguridad tiene las dos vistas siguientes:

Vista de firewallLa topología de firewall Grupo de seguridad muestra la relación entre el grupo de seguridad seleccionadoy otros grupos de seguridad mediante la exhibición de las reglas de firewall que se pueden aplicar entrelos grupos de seguridad.


VMware, Inc. 189

Vista de contenedorLa topología de contenedor Grupo de seguridad muestra cómo se estructura el grupo de seguridad conrespecto a sus grupos de seguridad principales o secundarios (grupos de seguridad u otras entidades).

VPN basada en directivas

vRealize Network Insight es compatible con VPN basada en directivas en VMware Cloud on AWS, NSX-T y NSX-V. Los siguientes escenarios son compatibles con la VPN basada en directivas:

n Túnel VPN entre la dirección IP pública de VMware Cloud on AWS y la dirección IP pública de NSX-V/NSX-T/AWS

n Túnel VPN desde la dirección IP pública de VMware Cloud on AWS y la dirección IP pública delfirewall corporativo hasta una NAT de 1:1 entre la dirección IP pública del firewall corporativo y lainstancia interna de NSX Edge

Nota vRealize Network Insight no admite el escenario del túnel VPN desde la instancia de VMwareCloud on AWS que termina en un firewall corporativo y ninguna NAT configurada con la instancia internade NSX Edge.


VMware, Inc. 190

Entidades de VPN basada en directivasvRealize Network Insight recupera datos para la entidad L3 VPN Session, que es la VPN real configuradaen el centro de datos.

Estos son los términos de búsqueda de las entidades de VPN basada en directivas:

Tabla 12-5.

Términos de búsqueda Descripción

Policy based VPN Todas las sesiones de VPN basada en directivas de VMwareCloud on AWS, NSX-V y NSX-T

VMC Policy based VPN Sesiones de VPN basada en directivas de VMware Cloud onAWS

NSX-T Policy based VPN Sesiones de VPN basada en directivas de NSX-T

NSX Policy based VPN Sesiones de VPN basada en directivas de NSX

Reglas inactivas de firewall distribuido de NSX

vRealize Network Insight es compatible con la visibilidad de las reglas de firewall distribuido de NSX enlas que no hubo flujos durante algún tiempo. Estas reglas se conocen como reglas inactivas. Utilizan lapila de memoria y pueden causar problemas de seguridad. Para supervisar estas reglas inactivas,vRealize Network Insight proporciona los siguientes dos widgets en el panel de control Seguridad:

Nota Para ver el panel de control Seguridad, introduzca Seguridad en la barra de búsqueda.

n Regla de firewall de NSX no utilizada: este widget muestra todas las reglas de firewall de NSX en lasque no se indica ningún flujo en el momento determinado. También puede utilizar la siguienteconsulta de búsqueda para recuperar estas reglas:

nsx firewall rule where flow is not set

Nota Asegúrese de haber habilitado IPFIX del firewall distribuido de NSX para el momentodeterminado.

Firewall de FortinetEn vRealize Network Insight, puede ver información sobre el firewall de Fortinet.

vRealize Network Insight es compatible con las siguientes entidades de Fortinet:

n Administrador de Fortinet

n ADOM de Fortinet: detalles del dominio administrativo de Fortinet.

n VDOM de Fortinet: detalles del dominio virtual de Fortinet. vRealize Network Insight solo escompatible con los filtros basados en flujos. No se admite el modo transparente.

n Dirección de Fortinet: lista de direcciones específicas de ADOM. vRealize Network Insight escompatible con la máscara de IP, el rango de IP y los conectores de tejido de NSX.


VMware, Inc. 191

n Grupos de direcciones de Fortinet: lista de grupos de direcciones específicas de ADOM.

n Direcciones dinámicas de Fortinet: lista de direcciones dinámicas específicas de ADOM (direccionesasignadas por VDOM).

n Grupos de direcciones dinámicas de Fortinet: lista de grupos de direcciones dinámicas específicasde ADOM (grupos de direcciones asignadas por VDOM).

n Interfaces dinámicas de Fortinet: lista de interfaces dinámicas específicas de ADOM.

n Zonas de Fortinet: lista de zonas específicas de ADOM.

n Servicios de Fortinet: lista de servicios generados de forma automática y manual para cada ADOM.

n Grupos de servicios de Fortinet: lista de grupos de servicios para cada ADOM.

n Directiva de Fortinet: directivas de Fortinet para cada ADOM. Actualmente, solo se admiten directivasde IPv4, directivas globales de encabezado de Fortinet y directivas globales de pie de página deFortinet.

n Paquetes de directivas de Fortinet: lista de paquetes de directivas. El nombre de los paquetes dedirectivas también contiene la ruta de acceso al paquete de directivas antes del nombre del paquete.

n Dispositivos de Fortinet: lista de dispositivos de Fortinet asociados con FortiManager.

n Grupos de dispositivos de Fortinet: lista de grupos de dispositivos de Fortinet especificados por elusuario.

No se admiten las siguientes opciones:

n Ruta de máquina virtual a máquina virtual en modo NAT.

n Ruta de máquina virtual a máquina virtual para dispositivos físicos en modo transparente.

n Propiedades de directivas avanzadas (no basadas en IP), como Usuario, Grupo de usuarios,Aplicación y Perfil de seguridad.


VMware, Inc. 192

Configuración de flujos envRealize Network Insight 13Este capítulo incluye los siguientes temas:

n Habilitar la configuración de IPFIX

n Compatibilidad con el flujo para servidores físicos

n Ver flujos bloqueados y protegidos

n Traducción de direcciones de red (NAT)

n VMware Cloud on AWS flujos

n Crear un registro de flujo de VPC

n Enviar registros de flujo de F5 a los recopiladores de vRealize Network Insight

Habilitar la configuración de IPFIXIPFIX es un protocolo IETF para exportar información de flujos.

Un flujo se define como un conjunto de paquetes transmitidos en una franja horaria específica quecomparten los mismos valores de 5 tuplas: dirección IP de origen, puerto de origen, dirección IP dedestino, puerto de destino y protocolo. La información de flujo puede incluir propiedades como marcas detiempo, recuento de bytes/paquetes, interfaces de entrada/salida, marcas de TCP, identificador deVXLAN, información de flujo encapsulado, etc.

Configuración de IPFIX en VDS y DVPG

Es posible configurar un VDS en el entorno de vSphere para exportar información de flujo medianteIPFIX. Se debe habilitar la supervisión de flujo en todos los grupos de puertos conectados al VDS.Cuando los paquetes llegan a un puerto X de un VDS y salen de un puerto Y, se emite el registro deflujos correspondiente si la supervisión de flujo está habilitada en el puerto Y.

Para analizar la información completa de una sesión, se requieren datos de IPFIX sobre los paquetes enambas direcciones. Consulte el siguiente diagrama, donde VM-A se conecta a DVPG-A y se comunicacon VM-C. Aquí DVPG-A solo proporcionará datos sobre los paquetes C→A y DVPG con enlaceascendente proporcionará datos sobre los paquetes A→C. Para obtener la información completa deltráfico de A, IPFIX debe estar habilitado en DVPG-A y DVPG con enlace ascendente.

VMware, Inc. 193

La máquina virtual proxy de vRealize Network Insight tiene un recopilador/receptor integrado para lainformación de flujo de IPFIX. Puede habilitar la recopilación de información de IPFIX en la configuracióndel origen de datos de vCenter con varios niveles de granularidad.

Habilitar la configuración de IPFIX en VDS y DVPG

Para habilitar la información de IPFIX en el nivel de vCenter:

Procedimiento

1 Seleccione Habilitar NetFlow (IPFIX) al agregar vCenter.

2 Seleccione el VDS para el que desea habilitar IPFIX en la lista de VDS disponibles en vCenter.

3 Se muestra un icono de notificación para el VDS, en el que uno de los hosts tiene una versión nocompatible de ESXi. Si vRealize Network Insight detectó que IPFIX ya está configurado para un VDScon otra dirección IP aparte de la máquina virtual de proxy de vRealize Network Insight, se muestrael botón Anular. Haga clic en Anular para ver la lista de DVPG de ese VDS.


VMware, Inc. 194

4 Se muestra la lista de DVPG disponibles para el VDS seleccionado. De manera predeterminada,están seleccionados todos los DVPG. Active la opción Selección manual para seleccionar losDVPG específicos para los que desea habilitar IPFIX. Seleccione el DVPG deseado y haga clic enEnviar.

Nota El DVPG con un icono de notificación indica que se trata del DVPG de enlace ascendente yse debe seleccionar.

Configuración de IPFIX de VMware NSXIPFIX de VMware NSX proporciona datos de supervisión de red similares a los provistos por dispositivosfísicos y ofrece a los administradores una vista clara de las condiciones de la red virtual.

VMware NSX virtualiza la red al permitir que el administrador de red pueda desacoplar la red delhardware físico. Esta funcionalidad facilita el crecimiento y la reducción de la red según sea necesario yhace que la red sea transparente para las aplicaciones que la atraviesan.

Al usar IPFIX de NSX en una red virtualizada, los administradores de red logran ver la red desuperposición virtual. La generación de informes IPFIX de VXLAN mediante NetFlow está habilitada en elenlace ascendente del host. Proporciona visibilidad sobre los VTEP que encapsulan el paquete y losdetalles de la máquina virtual que generó el tráfico entre hosts en un conmutador lógico de NSX(VXLAN).

El firewall distribuido implementa el seguimiento con estado de los flujos. Dado que estos flujos pasanpor un conjunto de cambios de estado, IPFIX se puede utilizar para exportar datos sobre el estado deese flujo.

Los eventos de seguimiento incluyen la creación de flujos, la denegación de flujos, la actualización deflujos y el desmontaje de flujos. Los eventos denegados se exportan como syslogs.

Habilitar IPFIX de VMware NSX-V

Para habilitar IPFIX de VMware NSX-V en vRealize Network Insight:

Requisitos previos

n Asegúrese de tener credenciales de administrador empresarial o administrador de seguridad.

n Se recomienda habilitar IPFIX de VDS en todos los DVPG y DVS desde los que se deben recopilardatos IPFIX de NSX. Puede habilitar IPFIX de VDS en la página de detalles de la instancia devCenter asociada.

Procedimiento

u Seleccione Habilitar IPFIX al agregar o editar un origen de datos de NSX-V Manager.

Habilitar IPFIX en DFW de VMware NSX-T

Para habilitar IPFIX de VMware NSX-T en vRealize Network Insight:


VMware, Inc. 195

Requisitos previos

n Asegúrese de tener uno de los siguientes privilegios:

n enterprise_admin

n network_engineer

n security_engineer

n Asegúrese de que el firewall distribuido (DFW) esté habilitado.

n Asegúrese de que la prioridad 0 esté disponible para el perfil de IPFIX de Network Insight. Si hay otroperfil de IPFIX con prioridad 0, debe cambiarlo a algún otro valor.

Procedimiento

u Seleccione Habilitar IPFIX al agregar o editar un origen de datos de NSX-T Manager.

Pasos siguientes

Después de habilitar IPFIX, vRealize Network Insight crea su propio perfil de recopilador de NetworkInsight y perfil de IPFIX de Network Insight en NSX-T. Asegúrese de no modificar ninguno de estosperfiles.

Después de habilitar IPFIX en NSX-T, si los flujos no se ven en vRealize Network Insight, se puedenproducir los siguientes eventos:

n El perfil de recopilador de Network Insight no está registrado en NSX-T Manager.

n El perfil de IPFIX de Network Insight no está registrado en NSX-T Manager.

n El número de puerto del perfil de IPFIX de Network Insight cambió.

n El perfil de recopilador de Network Insight no coincide en el perfil de IPFIX de Network Insight enNSX-T Manager.

Nota Para resolver todos los problemas anteriores, vuelva a habilitar IPFIX de NSX-T.

n La prioridad del perfil de IPFIX de Network Insight no es cero en NSX-T Manager.

Para solucionar este problema, inicie sesión en NSX-T Manager y establezca en cero la prioridad delperfil de IPFIX de Network Insight.

n No se puede agregar la IP del recopilador de Network Insight en el perfil de recopilador de NetworkInsight existente en NSX-T Manager.

Elimine uno de los recopiladores del perfil de recopilador de Network Insight en NSX-T Manager yvuelva a habilitar IPFIX de NSX-T desde la página de origen de datos.

n El firewall distribuido está deshabilitado en NSX-T Manager.

Inicie sesión en NSX-T Manager y habilite el firewall de DFW.


VMware, Inc. 196

Con NSX-T 2.4, después de habilitar IPFIX en NSX-T, si no se ven los flujos en vRealize Network Insight,se pueden producir los siguientes eventos:

n La configuración de recopilador IPFIX de Network Insight no está presente en el perfil de recopiladorde NSX-T Manager.

n El perfil de IPFIX de DFW no está presente en NSX-T Manager.

Para resolver estos problemas, vuelva a habilitar IPFIX de DFW.

Nota Todos los conmutadores lógicos presentes en NSX-T se anexan al perfil de IPFIX en 10 a 15minutos.

Agregar recopilador de NetFlow

Procedimiento



3 En Flujos, haga clic en Recopilador de flujos físico (NetFlow, sFlow). La máquina virtual derecopilador que se utiliza para NetFlow es un recopilador dedicado. No se puede utilizar para ningúnotro origen de datos. Si también se agrega otro origen de datos al servidor proxy, no estarádisponible como recopilador de NetFlow.

4 Introduzca Alias y Notas según sea necesario. Haga clic en Enviar.

Compatibilidad con el flujo para servidores físicosvRealize Network Insight es compatible con el dispositivo que envía los datos de NetFlow de lasversiones v5, v7 y v9. Si se proporciona la información de asignación de subred-VLAN y asignación deDNS, vRealize Network Insight puede enriquecer los datos de NetFlow con dominios de DNS, nombresde host DNS, subredes y redes de capa 2. Esta función solo está disponible para los usuarios conlicencia Enterprise.

Para configurar NetFlow en vRealize Network Insight, realice los siguientes pasos:

1 Agregar recopilador de NetFlow

2 Configurar un recopilador de NetFlow en un dispositivo físico

3 Importar el archivo de asignación de DNS

4 Configurar la asignación entre la subred y una VLAN

Configurar un recopilador de NetFlow en un dispositivo físico


VMware, Inc. 197

Para enviar la información de NetFlow al recopilador de NetFlow para vRealize Network Insight, configureel dispositivo físico de forma manual. Estos son los pasos para la configuración de la mayoría de losdispositivos físicos:

1 Cree un registro de flujos.

Los campos obligatorios para un registro de flujos son los siguientes:

n Marque los siguientes campos como Match.

n ipv4 protocol

n ipv4 source address

n ipv4 destination address

n transport source-port

n transport destination-port

n interface input

n Marque los siguientes campos como Collect.

n direction

n counter bytes

n counter packets

n timestamp sys-uptime first

n timestamp sys-uptime last

n Marque el siguiente campo como Match o Collect. De lo contrario, omítalo.

n transport tcp flags

2 Cree un exportador de flujos.

n Proporcione el puerto 2055 y la dirección IP de proxy de NetFlow para vRealize Network Insight.

3 Configure la memoria caché de flujo de la siguiente manera:

n Tiempo de espera activo: 30 segundos

n Tiempo de espera inactivo: 60 segundos

4 Cree el monitor de flujo mediante el registro de flujos y el exportador de flujos creados.

5 Configure el monitor en cada interfaz.

Requisitos previos

Ejemplo

En las siguientes secciones, se proporcionan los pasos de muestra para configurar los dispositivosfísicos:

n Cisco 4500


VMware, Inc. 198

n Cisco Nexus 1000v

n Cisco Nexus 9000

Nota Los pasos pueden variar entre versiones y dispositivos diferentes.

Cisco 4500

1 Para crear el registro de flujos

configure terminal

flow record netflow-original

match ipv4 protocol

match ipv4 source address

match ipv4 destination address

match transport source-port

match transport destination-port

match interface input

collect transport tcp flags

collect counter bytes

collect counter packets

collect timestamp sys-uptime first

collect timestamp sys-uptime last

End

2 Para crear el exportador de flujos

configure terminal

flow exporter e1

destination <PROXY_IP>

transport udp 2055

end

3 Para crear el monitor de flujo

configure terminal

flow monitor m1

record netflow-original

exporter e1

end


VMware, Inc. 199

4 Para configurar los tiempos de espera

configure terminal

cache timeout inactive 30

cache timeout active 60

end

5 Para configurar el monitor de flujo para cada interfaz en el modo de entrada y el modo de salida, o almenos el modo de entrada

configure terminal

interface <INTERFACE_NAME>

ip flow monitor m1 unicast input

end

Cisco Nexus 1000v


configure terminal

Active timeout 60

Inactive timeout 15

end

2 Para configurar el exportador

configure terminal

flow exporter <EXPORTER_NAME>


transport udp 2055

source <VSM_IP_OR_SUBNET>

end

3 Para configurar el monitor de flujo para cada interfaz:

configure terminal

flow monitor <MONITOR_NAME>

record netflow-original

exporter <EXPORTER_NAME>

end



VMware, Inc. 200

configure terminal

port-profile type vethernet <IF_NAME>

ip flow monitor <MONITOR_NAME> input

ip flow monitor <MONITOR_NAME> output

.

.

end

Cisco Nexus 9000

Estos son algunos de comandos de dispositivo de ejemplo para Cisco Nexus 9000:

1 Para habilitar la función NetFlow

configure terminal

feature netflow

end

2 Para crear un registro de flujos

configure terminal

flow record vrni-record

match ipv4 protocol

match ipv4 source address

match ipv4 destination address

match transport source-port

match transport destination-port

match interface input

collect transport tcp flags

collect counter bytes

collect counter packets

collect timestamp sys-uptime first

collect timestamp sys-uptime last

End

3 Para crear un exportador de flujos

configure terminal

flow exporter vrni-exporter


VMware, Inc. 201


transport udp 2055

version 9

source <INTERFACE_NAME>

end

4 Para crear un monitor de flujo para cada interfaz

configure terminal

flow monitor vrni-monitor

record vrni-record

exporter vrni-exporter

end


configure terminal

cache timeout inactive 30

cache timeout active 60

end


configure terminal

interface <INTERFACE_NAME>

ip flow monitor vrni-monitor input

end

Enriquecer los flujos y los endpoints de IP

Puede importar la información de asignación de DNS y de asignación de subred-VLAN a través de lainterfaz de usuario.

La información de flujo se enriquece con los siguientes tipos de información en función de la importaciónde datos de DNS y la especificación de asignaciones de subred-VLAN.

n Dominio DNS de origen

n Nombre de host DNS de origen

n Dominio DNS de destino

n Nombre de host DNS de destino

n Red de capa 2 de origen


VMware, Inc. 202

n Red de subred de origen

n Red de capa 2 de destino

n Red de subred de destino

La información de endpoints de IP se enriquece con los siguientes tipos de información en función de laimportación de datos de DNS y la especificación de asignaciones de subred-VLAN.

n Dominio DNS

n Nombre de host DNS

n FQDN

n Red de capa 2

n Red de subred

Para obtener más información sobre los flujos que se enriquecen a través de la información de DNS,consulte Importar el archivo de asignación de DNS.

Para obtener más información sobre los flujos que se enriquecen a través de la asignación de subred-VLAN, consulte Configurar la asignación entre la subred y una VLAN.

Nota n La información de asignación de DNS y de subred se mejoró solo para las IP físicas. No hay

información de asignación de DNS ni de subred asociada con ninguna NIC virtual.

n La información se enriquece solo para los flujos vistos por vRNI después de que se importó estainformación.

Buscar flujos físicos a físicos

Puede buscar los flujos físicos a físicos a partir de los siguientes atributos:

n Host DNS de origen

n Host DNS de destino

n Dominio DNS de origen

n Dominio DNS de destino

n Red de subred de origen

n Red de subred de destino

Puede buscar flujos físicos-físicos a partir de los siguientes atributos. A continuación, se muestranalgunos ejemplos de consultas de búsqueda de flujos que utilizan la información de asignación de DNS ysubred-VLAN enriquecida:

bytes,Dns Domain,Dns Host,l2 network of flows where flow type = 'Physical-Physical'

bytes,Dns Domain,Dns Host,l2 network of flows where flow type = 'Source is VM' and flow type

= 'Destination is Physical'


VMware, Inc. 203

bytes,Dns Domain,Dns Host,l2 network of flows where flow type = 'Source is Internet' and flow

type = 'Destination is Physical'

Ver flujos bloqueados y protegidosLa integración de NSX-IPFIX permite observar los flujos bloqueados y protegidos en el sistema.

Los filtros básicos de la página Planificación de microsegmentación son los siguientes:

n Todos los flujos permitidos: esta es la opción seleccionada de forma predeterminada. Para ver todoslos flujos para los que la acción de las reglas de firewall se estableció en Permitido, seleccione estaopción.

n Flujos descartados: esta opción ayuda a detectar los flujos descartados y planificar la seguridad deuna manera mejor.

n Todos los flujos protegidos: esta opción ayuda a detectar todos los flujos que tienen una regla distintaa la del tipo any(source)any(dest)any(service)allow asociada a ellos. Estos flujos se conocencomo flujos protegidos.

n Todos los flujos sin protección: esta opción ayuda a detectar todos los flujos que tienen reglaspredeterminadas del tipo any(source)any(dest)any(service)allow. Estos flujos se conocen comoflujos sin protección.

Solo se pueden ver las reglas de firewall para los flujos permitidos y sin protección.

Por ejemplo, si se encuentra en la fase de planificación y desea ver los flujos permitidos en el sistema,realice los siguientes pasos:

1 En la página Planificación de microsegmentación para un grupo determinado, seleccione Todos losflujos permitidos en el menú desplegable.

2 Haga clic en los flujos descartados en el diagrama de topología para ver las reglas de firewallrecomendadas correspondientes.

3 Para implementar esas reglas de firewall, expórtelas a NSX Manager.


VMware, Inc. 204

Traducción de direcciones de red (NAT)

La compatibilidad con flujos de NAT en vRealize Network Insight es la siguiente:

n Actualmente, vRealize Network Insight admite las reglas reflexivas, SNAT y DNAT en los flujos y laruta de máquina virtual a máquina virtual en las instancias de Edge NSX-V y NSX-T solamente.

Nota No se admiten las reglas NAT en la versión 5.5 de NSX Edge ni en las versiones anteriores.

n Para obtener todas las reglas de NAT en NSX-T, utilice la consulta NSX-T Edge NAT Rule. Paraobtener todas las reglas de NAT en NSX-V y NSX-T, utilice la consulta NAT Rules.

n Solo las reglas de NAT configuradas en la interfaz de enlace ascendente del enrutador de nivel deVMware NSX-T son procesadas en la ruta de máquina virtual a máquina virtual. Si se configura NATen cualquier enrutador de nivel de NSX-T, se espera que existan reglas de NAT para todas lasmáquinas virtuales conectadas al enrutador; de lo contrario, la ruta de máquina virtual a máquinavirtual y la ruta a Internet no funcionan. En su lugar, se muestra un mensaje indicando que falta unaregla.

n vRealize Network Insight es compatible con la jerarquía de NAT anidada.

n vRealize Network Insight es compatible con las instancias de Edge y los enrutadores de nivel conenlaces ascendentes definidos por NAT.


VMware, Inc. 205

n vRealize Network Insight admite reglas de SNAT con rango. Sin embargo, DNAT debe ser unaasignación de uno a uno entre las direcciones IP de destino y traducidas (paridad con NSX-V).

n vRealize Network Insight no admite los siguientes casos prácticos:

a En NSX-T, las reglas de NAT se pueden aplicar en el nivel del servicio. Por ejemplo, en NSX-T, elconjunto de puertos de capa 4 es un tipo de servicio y los protocolos asociados pueden ser TCPo UDP. Por lo tanto, en la ruta de máquina virtual a máquina virtual, no se admiten los detalles denivel de servicio.

b No se admite cualquier traducción de nivel de puerto.

c No se admiten las direcciones de destino de coincidencia de SNAT y de origen de coincidenciade DNAT. Use la dirección de destino de coincidencia de SNAT como dirección IP de destinocuando especifique la regla de SNAT. Use la dirección de origen de coincidencia de DNAT comodirección IP de origen cuando especifique la regla de DNAT. Por ejemplo, si se menciona unadirección IP de destino en la regla de SNAT, vRealize Network Insight aplica la regla de SNATindependientemente de que el paquete tenga la dirección de destino como dirección IP dedestino.

Compatibilidad con flujos de NAT (ejemplos)Esta sección consta de algunos ejemplos sobre el flujo de NAT admitido en vRealize Network Insight.

Ejemplo 1

En la topología que se muestra más arriba, E2, E3, LDR y las máquinas virtuales (VM1, VM2, VM3 yVM4) forman parte del dominio de NAT E1. Todo valor superior a E1, como un enlace ascendente de E1,forma parte del dominio NAT predeterminado. La topología anterior se compone de los siguienteselementos:

El flujo de VM1 a VM2 y viceversa se indica en vRealize Network Insight. De forma similar, se indica elflujo de VM3 a VM4 y viceversa.


VMware, Inc. 206

Ejemplo 2

La topología anterior se compone de los siguientes elementos:

n VM1 y VM2 forman parte del dominio E2.

n VM3 y VM4 forman parte del dominio E2.

n Los dominios NAT E2 y E3 son dominios secundarios del dominio NAT E1.

n E1 es el único elemento secundario del dominio NAT predeterminado.

n VM5 y VM6 forman parte del dominio NAT E1.

En la topología anterior, se indican los siguientes flujos en vRealize Network Insight:

n Flujo de VM5 a VM6

n Flujo de (VM1, VM2) a (VM3, VM4)

VMware Cloud on AWS flujos

Si habilitó IPFIX en el origen de datos en la página Configuración, puede ver el número de flujos y lahora de la última recopilación.

Puede buscar un flujo concreto y obtener los detalles asociados con las entidades. Por ejemplo, puedever el segmento de directivas y la información del grupo de directivas en Source L2 Network y SourceSecurity Group, respectivamente. También puede ver la regla de firewall de directivas asociada al flujo.

vRealize Network Insight admite los flujos híbridos a través de la VPN. La información de flujo seenriquece con las entidades de origen y de destino.


VMware, Inc. 207

Crear un registro de flujo de VPCCon los registros de flujo de nube privada virtual (Virtual Private Cloud, VPC), puede capturar informaciónsobre el tráfico de IP hacia las interfaces de red de su VPC y desde ellas.

Puede crear registros de flujo mediante el portal de AWS.

Procedimiento


2 En el cuadro de texto Buscar servicio , introduzca y seleccione CloudWatch.

3 Vaya a Registros > Acción > Crear grupo de registros.

Se abrirá la ventana Crear grupo de registros.

4 En el campo Crear nombre de grupo, introduzca un nombre para el grupo y haga clic en Creargrupo de registros.

5 En el panel de navegación superior, haga clic en Servicio y, a continuación, introduzca y seleccioneVPC.

6 En la página Panel de control de VPC, haga clic en Sus VPC.

7 Seleccione la instancia de VPC que desea modificar y haga clic en Registros de flujo > Crearregistro de flujo.

8 En la ventana Crear registro de flujo, configure el registro de flujo:

Opción Acción

Filtrar Seleccione una de las siguientes opciones: Aceptar, Rechazar o Todo.

Destino Seleccione Enviar a registros de CloudWatch.

Grupo de registros de destino Seleccione el grupo de registros que creó.

9 Haga clic en Establecer permisos.

El sistema abrirá la página Registros de flujo de VPC solicita permiso para utilizar los recursosde la cuenta.


VMware, Inc. 208

10 Cree una función de IAM.

a En la página Registros de flujo de VPC solicita permiso para utilizar los recursos de lacuenta, en la sección Función de IAM, seleccione Crear una nueva función de IAM.

b En el cuadro de texto Nombre de función, introduzca un nombre para la función.

a Haga clic en Permitir.

11 En la página Crear registro de flujo, en el menú desplegable Función de IAM, seleccione lafunción que creó.

12 Haga clic en Crear.

Se comenzará a publicar el registro de flujo en el grupo de registros seleccionado. Para obtener másinformación sobre el registro de flujo de VPC, consulte la documentación de AWS en https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#create-flow-log.

Enviar registros de flujo de F5 a los recopiladores devRealize Network Insight

Para enviar los registros de flujo, debe hacer lo siguiente:

N.º de Sl Tarea Vínculo

1 Cree un grupo de recopiladores de IPFIXpara recibir mensajes de registro deIPFIX del sistema BIG-IP.

Crear un grupo de recopiladores de IPFIX

2 Cree un destino de registro para darformato a los registros en las plantillasde IPFIX.

Crear un destino de registro de IPFIX

3 Cree un publicador de registros paraenviar registros a destinos de registroespecificados.

Crear un publicador de registros

4 Cree una iRule para enviar informaciónde flujo al recopilador de vRealizeNetwork Insight configurado.

Crear iRules

5 Agregue la iRule a una configuración deservidor virtual para que la iRule analicetodo el tráfico de red del servidor virtual.

Agregar iRule a un servidor virtual

6 Si no se puede acceder a la máquinavirtual de recopilador desde F5, debecrear una entrada de ruta para que elrecopilador envíe los registros de flujo.

Crear una entrada de ruta

Crear un grupo de recopiladores de IPFIXCree un grupo de recopiladores de IPFIX. El sistema BIG-IP enviará mensajes de registro de IPFIX aeste grupo.


VMware, Inc. 209

https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#create-flow-log

https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#create-flow-log

Procedimiento

1 Inicie sesión en una consola de F5.

2 Haga clic en Principal > Tráfico local > Grupos > Listas de grupos > Crear.

Se abrirá la pantalla Grupo nuevo.

3 En el cuadro de texto Nombre, introduzca un nombre único para el grupo.

4 En Monitores de estado, seleccione gateway_icmp y mueva esta opción al cuadro Activos.

5 En la sección Miembro nuevo, configure la dirección IP del recopilador y haga clic en Agregar.

Opción Acción

Nombre de nodo Introduzca la dirección IP del recopilador.

Puerto del servicio 2055

6 Haga clic en Finalizado.

Pasos siguientes

Crear un destino de registro de IPFIXCree un destino de registro para dar formato a los registros en las plantillas de IPFIX. Después de laaplicación de formato, estos registros se envían al recopilador de IPFIX.

Procedimiento

1 En la consola de F5, haga clic en Principal > Sistema > Registros > Configuración > Destinos deregistros > Crear.

Se mostrará la pantalla Destinos de registros.

2 En el cuadro de texto Nombre, introduzca un nombre único.

3 En la lista Tipo, haga clic en IPFIX.

4 Defina las opciones de Configuración de IPFIX.

Opción Acción

Protocolo Haga clic en NetFlow V9.

Nombre de grupo Haga clic en el nombre de grupo que creó en el paso anterior.


Crear un publicador de registrosPara enviar los registros a un destino de registro especificado, debe crear un publicador de registros.


VMware, Inc. 210

Procedimiento

1 En la consola de F5, haga clic en Principal > Sistema > Registros > Configuración >Publicadores de registros > Crear.

Se mostrará la pantalla Publicadores de registros.

2 En el campo Nombre, introduzca un nombre único.

3 En el cuadro Destino, seleccione el destino de registro que creó anteriormente en el cuadroDisponibles y mueva esa opción al cuadro Seleccionados.


Crear iRulesPara enviar la información de flujo al recopilador de vRealize Network Insight configurado, debe crearuna iRule. Debe crear dos iRules. Una iRule para el protocolo TCP y otra iRule para el protocolo UDP.

Procedimiento

1 En la consola de F5, haga clic en Principal > iRules > Lista de iRules > Crear.

Se mostrará la pantalla Nueva iRule.

2 En el cuadro de texto Nombre, introduzca un nombre único.

3 En el cuadro de texto Definición, introduzca las reglas TCP para el protocolo TCP y la regla UDPpara el protocolo UDP. Para obtener más información sobre las reglas, consulte iRules para losprotocolos TCP y UDP.

Asegúrese de que la iRule apunte al publicador creado anteriormente.


iRules para los protocolos TCP y UDPUtilice las siguientes opciones a fin de crear iRules para los protocolos TCP y UDP.

Regla de TCP

Utilice la siguiente regla a fin de crear una iRule para el protocolo TCP:

Nota Asegúrese de que la iRule apunte al publicador de registros creado anteriormente.

when RULE_INIT {

set static::http_rule1_dest ""

set static::http_rule1_tmplt ""

}

# CLIENT_ACCEPTED event to initiate IPFIX destination and template

when CLIENT_ACCEPTED {

set start [clock clicks -milliseconds]

if { $static::http_rule1_dest == ""} {

# open the logging destination if it has not been opened yet

set static::http_rule1_dest [IPFIX::destination open -publisher /Common/<Log Publisher>]


VMware, Inc. 211

}

if { $static::http_rule1_tmplt == ""} {

# if the template has not been created yet, create the template

set static::http_rule1_tmplt [IPFIX::template create "flowStartMilliseconds \

sourceIPv4Address \

sourceIPv6Address \

destinationIPv4Address \


sourceTransportPort \

destinationTransportPort \

protocolIdentifier \

octetTotalCount \

packetTotalCount \

octetDeltaCount \

packetDeltaCount \

postNATSourceIPv4Address \


postNATDestinationIPv4Address \


postNAPTSourceTransportPort \

postNAPTDestinationTransportPort \

postOctetTotalCount \

postPacketTotalCount \

postOctetDeltaCount \

postPacketDeltaCount \

flowEndMilliseconds"]

}

}

# SERVER_CONNECTED event to initiate flow data to vrni and populate 5 tuples

when SERVER_CONNECTED {

set rule1_msg1 [IPFIX::msg create $static::http_rule1_tmplt]

set client_closed_flag 0

set server_closed_flag 0

IPFIX::msg set $rule1_msg1 flowStartMilliseconds $start

IPFIX::msg set $rule1_msg1 protocolIdentifier [IP::protocol]

# Clientside

if { [clientside {IP::version}] equals "4" } {

# Client IPv4 address

IPFIX::msg set $rule1_msg1 sourceIPv4Address [IP::client_addr]

# BIG-IP IPv4 VIP address

IPFIX::msg set $rule1_msg1 destinationIPv4Address [clientside {IP::local_addr}]

} else {





}

# Client port

IPFIX::msg set $rule1_msg1 sourceTransportPort [TCP::client_port]

# BIG-IP VIP port

IPFIX::msg set $rule1_msg1 destinationTransportPort [clientside {TCP::local_port}]

# Serverside


VMware, Inc. 212

if { [serverside {IP::version}] equals "4" } {

# BIG-IP IPv4 self IP address

IPFIX::msg set $rule1_msg1 postNATSourceIPv4Address [IP::local_addr]

# Server IPv4 IP address

IPFIX::msg set $rule1_msg1 postNATDestinationIPv4Address [IP::server_addr]

} else {





}

# BIG-IP self IP port

IPFIX::msg set $rule1_msg1 postNAPTSourceTransportPort [TCP::local_port]

# Server port

IPFIX::msg set $rule1_msg1 postNAPTDestinationTransportPort [TCP::server_port]

}

# SERVER_CLOSED event to collect IP pkts and bytes count on serverside

when SERVER_CLOSED {


# when flow is completed, BIG-IP to server REQUEST pkts and bytes count

IPFIX::msg set $rule1_msg1 octetTotalCount [IP::stats bytes out]

IPFIX::msg set $rule1_msg1 packetTotalCount [IP::stats pkts out]

# when flow is completed, server to BIG-IP RESPONSE pkts and bytes count

IPFIX::msg set $rule1_msg1 octetDeltaCount [IP::stats bytes in]

IPFIX::msg set $rule1_msg1 packetDeltaCount [IP::stats pkts in]

if { $client_closed_flag == 1} {

# send the IPFIX log

IPFIX::destination send $static::http_rule1_dest $rule1_msg1

}

}

# CLIENT_CLOSED event to collect IP pkts and bytes count on clientside

when CLIENT_CLOSED {


# when flow is completed, client to BIG-IP REQUEST pkts and bytes octetDeltaCount

IPFIX::msg set $rule1_msg1 postOctetTotalCount [IP::stats bytes in]

IPFIX::msg set $rule1_msg1 postPacketTotalCount [IP::stats pkts in]

# when flow is completed, BIG-IP to client RESPONSE pkts and bytes count

IPFIX::msg set $rule1_msg1 postOctetDeltaCount [IP::stats bytes out]

IPFIX::msg set $rule1_msg1 postPacketDeltaCount [IP::stats pkts out]

# record the client closed time in ms

IPFIX::msg set $rule1_msg1 flowEndMilliseconds [clock click -milliseconds]

if { $server_closed_flag == 1} {



}

}


VMware, Inc. 213

Regla de UDP

Utilice la siguiente regla a fin de crear una iRule para el protocolo UDP:

Nota Asegúrese de que la iRule apunte al publicador de registros creado anteriormente.

when RULE_INIT {

set static::http_rule1_dest ""

set static::http_rule1_tmplt ""

}

# CLIENT_ACCEPTED event to initiate IPFIX destination and template

when CLIENT_ACCEPTED {

set start [clock clicks -milliseconds]

if { $static::http_rule1_dest == ""} {

# open the logging destination if it has not been opened yet

set static::http_rule1_dest [IPFIX::destination open -publisher /Common/<Log Publisher>]

}

if { $static::http_rule1_tmplt == ""} {

# if the template has not been created yet, create the template

set static::http_rule1_tmplt [IPFIX::template create "flowStartMilliseconds \

sourceIPv4Address \

sourceIPv6Address \



sourceTransportPort \

destinationTransportPort \

protocolIdentifier \

octetTotalCount \

packetTotalCount \

octetDeltaCount \

packetDeltaCount \





postNAPTSourceTransportPort \

postNAPTDestinationTransportPort \

postOctetTotalCount \

postPacketTotalCount \

postOctetDeltaCount \

postPacketDeltaCount \

flowEndMilliseconds"]

}

}

# SERVER_CONNECTED event to initiate flow data to vrni and populate 5 tuples

when SERVER_CONNECTED {

set rule1_msg1 [IPFIX::msg create $static::http_rule1_tmplt]



IPFIX::msg set $rule1_msg1 flowStartMilliseconds $start

IPFIX::msg set $rule1_msg1 protocolIdentifier [IP::protocol]

# Clientside


VMware, Inc. 214

if { [clientside {IP::version}] equals "4" } {





} else {





}

# Client port

IPFIX::msg set $rule1_msg1 sourceTransportPort [UDP::client_port]

# BIG-IP VIP port

IPFIX::msg set $rule1_msg1 destinationTransportPort [clientside {UDP::local_port}]

# Serverside

if { [serverside {IP::version}] equals "4" } {





} else {





}

# BIG-IP self IP port

IPFIX::msg set $rule1_msg1 postNAPTSourceTransportPort [UDP::local_port]

# Server port

IPFIX::msg set $rule1_msg1 postNAPTDestinationTransportPort [UDP::server_port]

}

# SERVER_CLOSED event to collect IP pkts and bytes count on serverside

when SERVER_CLOSED {


# when flow is completed, BIG-IP to server REQUEST pkts and bytes count

IPFIX::msg set $rule1_msg1 octetTotalCount [IP::stats bytes out]

IPFIX::msg set $rule1_msg1 packetTotalCount [IP::stats pkts out]

# when flow is completed, server to BIG-IP RESPONSE pkts and bytes count

IPFIX::msg set $rule1_msg1 octetDeltaCount [IP::stats bytes in]

IPFIX::msg set $rule1_msg1 packetDeltaCount [IP::stats pkts in]

if { $client_closed_flag == 1} {



}

}

# CLIENT_CLOSED event to collect IP pkts and bytes count on clientside

when CLIENT_CLOSED {


# when flow is completed, client to BIG-IP REQUEST pkts and bytes count

IPFIX::msg set $rule1_msg1 postOctetTotalCount [IP::stats bytes in]

IPFIX::msg set $rule1_msg1 postPacketTotalCount [IP::stats pkts in]


VMware, Inc. 215

# when flow is completed, BIG-IP to client RESPONSE pkts and bytes count

IPFIX::msg set $rule1_msg1 postOctetDeltaCount [IP::stats bytes out]

IPFIX::msg set $rule1_msg1 postPacketDeltaCount [IP::stats pkts out]

# record the client closed time in ms

IPFIX::msg set $rule1_msg1 flowEndMilliseconds [clock click -milliseconds]

if { $server_closed_flag == 1} {



}

}

Agregar iRule a un servidor virtual

Procedimiento

1 En la consola de F5, haga clic en Principal > Servidor virtual > Lista de servidores virtuales.

Se mostrará la pantalla Lista de servidores virtuales.

2 Seleccione el servidor al que desea agregar la iRule.

3 Haga clic en la pestaña Recursos y, en la sección iRule, haga clic en Administrar.

4 Seleccione las iRules de TCP y UDP que creó anteriormente, y mueva las iRules del cuadroDisponible al cuadro Habilitar.


Crear una entrada de rutaSe debe poder acceder a la máquina virtual de recopilador desde F5. Si no es posible, puede crearseuna entrada de ruta para el recopilador.

Para comprobar si se puede acceder a la máquina virtual de recopilador desde F5, debe ejecutar elsiguiente comando: ping <collector-ip> -I <virtual interface> desde la interfaz de línea decomandos (Command Line Interface, CLI). Si no se puede acceder al recopilador desde F5, es necesariocrear una entrada de ruta para el recopilador.

Por ejemplo:

admin@(localhost)(cfg-sync Standalone)(Active)(/Common)(tmos)# ping 10.153.191.116 -I VLAN301

PING 10.153.191.116 (10.153.191.116) from 10.115.30.50 VLAN301: 56(84) bytes of data.

From 10.115.30.50 icmp_seq=1 Destination Host Unreachable

From 10.115.30.50 icmp_seq=2 Destination Host Unreachable

Procedimiento

1 En la consola de F5, haga clic en Principal > Red > Rutas > Agregar.

Se mostrará la pantalla Ruta nueva.

2 En la sección Propiedades, configure las entradas de ruta para enviar los registros de flujo desde F5hacia el recopilador de vRealize Network Insight a través del servidor virtual.


VMware, Inc. 216

Información de flujo y ámbitode VMware PKS y Kubernetes 14En vRealize Network Insight, puede buscar el ámbito de las entidades de contenedor y ver la informaciónde flujo.

Información de flujo de VMware PKS y KubernetesvRealize Network Insight admite los siguientes tipos de flujo para las entidades de Kubernetes.

n Máquina virtual a pod de Kubernetes

n Pod de Kubernetes a pod

n El destino es el pod de Kubernetes

n El origen es el pod de Kubernetes

Puede utilizar estos tipos de flujo para buscar entidades de Kubernetes específicas.

Por ejemplo, flows where flow type = x, donde x es uno de los tipos de flujo.

vRealize Network Insight puede proporcionar información de flujo, como métricas, series temporales yrelaciones para todas las entidades; esto incluye los detalles de origen y destino del contenedor, asícomo los detalles de sus entidades.

Asimismo, en el panel de control Análisis de flujo, puede ver los principales comunicadores por clúster deKubernetes, espacio de nombres, servicio y nodo.

Planificación y microsegmentación de entidades deKubernetesPara planificar un tipo específico de entidad de Kubernetes, seleccione Clúster de Kubernetes, Serviciode Kubernetes, Espacio de nombres de Kubernetes o Nodo de Kubernetes como el ámbito yMicrosegmentos en la página Planificar seguridad. Además, puede planificar o analizar los datos de laaplicación y definir el agrupamiento en función de las entidades de Kubernetes para ver la información deflujo de las aplicaciones.

VMware, Inc. 217

También puede exportar las reglas de firewall recomendadas en relación con las entidades deKubernetes en formato YAML desde Microsegmentos a la página Planificar seguridad.

Nota No se puede exportar el ámbito de la aplicación en formato YAML si contiene máquinas virtuales omiembros de máquina virtual. Si la aplicación solo contiene entidades de contenedor, la exportación alformato YAML estará disponible.


VMware, Inc. 218

Trabajo con lamicrosegmentación 15vRealize Network Insight proporciona planificación y recomendaciones para implementar la seguridad demicrosegmentación. Permite al usuario administrar y ampliar las implementaciones de VMware NSX deforma rápida y segura.


n Analizar la aplicación

n Detección de aplicaciones

n VMware Cloud on AWS: planificación y microsegmentación

Analizar la aplicaciónLa topología de planificación de microsegmentación muestra todos los flujos que se encuentran en elentorno mediante la división de los flujos en segmentos.

En vRealize Network Insight, un flujo tiene cuatro tuplas. Incluye:

n Dirección IP de origen

n Dirección IP de destino

n Puerto de destino

n Protocolo

Puede ver los datos en dos formatos: la vista de anillo y la vista de cuadrícula.

Ver datos de flujo y microsegmentación en la vista de anilloEn la vista de anillo, las líneas azules indican los flujos salientes, las líneas verdes indican los flujosentrantes y las líneas amarillas indican los flujos bidireccionales. Puede hacer clic en cualquiera de lossegmentos para ver sus detalles.

VMware, Inc. 219

Las máquinas virtuales fuera del ámbito seleccionado se agrupan como Otras entidades en la topologíade planificación de microsegmentación.

También puede analizar los flujos mediante la creación de subgrupos de acuerdo con las categoríasInternet, Físicos y Otros virtuales.


VMware, Inc. 220

Cada grupo se expande como una cuña. En la siguiente topología, se muestra la cuña para el grupoFísicos.

El pin Flujos muestra los flujos de los distintos intervalos de tiempo separados por puertos. Puede vertodos los flujos o los flujos entre dos entidades. Puede filtrar por flujos permitidos y bloqueados. Puedever los flujos por Bytes totales o por Recuento de sesiones permitidas. En los flujos protegidos por unfirewall, se utiliza un símbolo Protegida por firewall para indicar la protección de los flujos de ese puerto.


VMware, Inc. 221

La planificación de un ámbito (como un centro de datos completo o un clúster) selecciona flujos quetienen máquinas virtuales o servidores físicos (identificados por las IP físicas) como origen o destino.

Una topología contiene dos zonas distintas:

n Interna: esta zona incluye las máquinas virtuales o las direcciones IP en el ámbito.

n Externa: esta zona incluye las máquinas virtuales o las direcciones IP que están fuera del ámbito,pero se comunican con máquinas virtuales o direcciones IP de la zona interna. La zona externaconsta de las siguientes cuñas:

n Centro de datos virtual: incluye las máquinas virtuales internas del centro de datos de origen o dedestino que se comunican con las máquinas virtuales o las direcciones IP de la zona interna, yno alojan servicios compartidos conocidos (como LDAP, NTP, etc).

n Virtual compartido: incluye las máquinas virtuales internas del centro de datos de destino quealojan servicios compartidos conocidos (como LDAP, NTP, etc.) con los que se comunican lasmáquinas virtuales o las direcciones IP de la zona interna.

n Centro de datos físico: incluye las direcciones IP físicas internas del centro de datos de origen ode destino que se comunican con las máquinas virtuales o las direcciones IP de la zona interna,y no alojan servicios compartidos conocidos (como LDAP, NTP, etc).

n Físico compartido: incluye las direcciones IP físicas internas del centro de datos de destino quealojan servicios compartidos conocidos (como LDAP, NTP, etc.) con los que se comunican lasmáquinas virtuales o las direcciones IP de la zona interna.

n Internet: incluye las direcciones IP físicas o las máquinas virtuales externas del centro de datosde origen o de destino que se comunican con las máquinas virtuales o las direcciones IP de lazona interna.

Nota n El sector interno del centro de datos abarca de forma predeterminada las direcciones IP designadas

de RFC 1918, además de todos los reemplazos definidos en la configuración este-oeste.

n El sector externo del centro de datos abarca de forma predeterminada las direcciones IP designadasque no son de RFC 1918, además de todos los reemplazos definidos en la configuración norte-sur.

Ver datos de flujo y microsegmentación en la vista de cuadrículavRealize Network Insight permite ver la comunicación entre los objetos en una vista tabular o decuadrícula.

Procedimiento

1 Desplácese hasta Seguridad > Planificar seguridad y haga clic en el icono de la vista de cuadrícula

.


VMware, Inc. 222

2 Seleccione un valor para la opción Agrupar por, por ejemplo, Máquinas virtuales, Aplicación oGrupos de seguridad, para ver los detalles correspondientes en el formato tabular.


Objeto de origen Nombre del origen

Objeto de destino Nombre del destino

Flujos relacionados Recuento de comunicaciones o flujos entre el origen y el destino

Haga clic en el valor de recuento para ver los detalles del flujo relacionado.

Suma de bytes Cantidad agregada de bytes entre todos los flujos

Velocidad máxima de tráfico Velocidad máxima de tráfico observada entre todos los flujos relacionados

Recuento de sesiones Cantidad de sesiones activas para el flujo específico

Nota n Puede hacer clic en cada encabezado de columna para ordenar los datos en orden ascendente o

descendente.

n Puede ocultar el campo en la vista de tabla, hacer clic en el icono de signo más situado junto alencabezado de campo y anular la selección del nombre de campo.

3 Además, puede realizar varias acciones en la página de la vista de cuadrícula.

n En el panel de filtros en el lado izquierdo de la pantalla, puede realizar las siguientes acciones:

n Seleccione un origen o un destino individual para filtrar los flujos relacionados con el objetode origen o destino seleccionado.

n Seleccione una acción de firewall para ver los flujos permitidos o los flujos descartados.

n Seleccione el estado de protección para ver el estado del flujo.

n Haga clic en Agregar más filtros para sumar filtros adicionales.

n Para exportar los datos tabulares en formato CSV, haga clic en la opción de signo más de laparte superior de la tabla y seleccione Exportar como CSV.

Crear manualmente una aplicaciónPuede crear manualmente una aplicación en la interfaz de usuario de vRealize Network Insight.

Procedimiento

1 En la página de inicio de vRealize Network Insight, haga clic en Seguridad > Aplicaciones.

2 En la pestaña Aplicaciones guardadas, haga clic en Agregar aplicación.

3 En la página Agregar aplicación, en el cuadro de texto Nombre de la aplicación, introduzca unnombre para la aplicación que desea crear.


VMware, Inc. 223

4 En la sección Nivel/Implementación, introduzca un nombre único.

Puede crear un nivel/departamento para las máquinas virtuales, las máquinas físicas o los serviciossegún sus requisitos.

5 En el campo Miembros:

a Seleccione una condición en el menú desplegable para crear un nivel.

Puede definir una condición en función de las propiedades de máquina virtual, la ubicación de lasmáquinas virtuales (aplicación, clúster, carpetas) y los servicios de Kubernetes (nombre deservicio, dirección IP de clúster, espacio de nombres, IP de clúster o etiquetas de servicio).

Para buscar un servicio de Kubernetes específico que tenga el mismo nombre o la mismadirección IP o la misma etiqueta en varios clústeres, utilice la búsqueda personalizada.

b Introduzca o seleccione el valor que desea agregar al nivel.

Para introducir varios valores, use comas después de los valores individuales.

Para agregar un servicio que forme parte del nivel, seleccione Nombre del servicio e introduzca elnombre en el valor.

Según la condición definida, verá el recuento de máquinas virtuales asociadas o relacionadas, elrecuento de direcciones IP físicas o el recuento de servicios.

6 Para agregar otras condiciones, haga clic en Agregar otra condición.

7 (opcional) Para crear otro nivel bajo una aplicación, haga clic en Agregar nivel/implementación.

Puede crear varios niveles en una aplicación.

La aplicación creará todos los niveles y mostrará el recuento de máquinas virtuales, IP físicas yservicios que cumplen con todas las condiciones.

8 (opcional) Para crear una configuración de umbral dinámico, seleccione la casilla de verificaciónHabilitar análisis de umbral.

El sistema creará una configuración de umbral en la página Configuraciones de umbral. El nombrede la configuración de umbral creada por vRealize Network Insight empieza con el prefijo Sys.

Nota No se puede eliminar una configuración de umbral generada por el sistema. Cuando seelimina la aplicación o se desactiva la casilla Habilitar análisis de umbral y se guarda la aplicación,se elimina automáticamente la configuración de umbral generada por el sistema en relación con esaaplicación.

Nota Si se agrega un miembro en la aplicación y se selecciona la casilla de verificación Habilitaranálisis de umbral, la casilla de verificación puede tardar unos 20 minutos en reflejar el miembro enla página de configuración del umbral.

9 Seleccione Analizar flujos para ver los flujos antes de agregar finalmente la aplicación. Puede ver losniveles en función de las máquinas virtuales o las direcciones físicas según corresponda.


VMware, Inc. 224


Nota Si la aplicación no tiene ninguna máquina virtual de VMware y selecciona la casilla deverificación Habilitar análisis de umbral, no podrá guardar la aplicación. Deberá agregar unamáquina virtual de VMware o desactivar la casilla Habilitar análisis de umbral para guardar laaplicación.

11 (opcional) Para obtener una vista previa del análisis de flujo, haga clic en Vista previa de flujos.

Se mostrará la vista de microsegmentos de la aplicación.

Pasos siguientes

Puede ver los detalles de la aplicación en Aplicación guardada.

Crear niveles para IP físicas

Al crear una aplicación, puede seleccionar Búsqueda de IP personalizada en la lista desplegable a finde crear niveles para las IP físicas en función de los campos enriquecidos. Para obtener más informaciónsobre los campos enriquecidos, consulte Enriquecer los flujos y los endpoints de IP.

La información de DNS, subred y VLAN enriquecida se puede utilizar en la especificación de niveles dela siguiente manera:

n Web

Query: IP Endpoint where Subnet Network = '172.16.101.0/24'

n Aplicación

Query: IP Endpoint where Dns Domain = app.example.com

n BD

Query: IP Endpoint where L2 Network = 'vlan-102'

n Servicios comunes

Query: IP Endpoint where Dns Domain = svc.example.com

Detección de aplicacionesCuando existen varias aplicaciones o existen varios niveles en una aplicación, la creación deaplicaciones mediante API públicas o la interfaz de usuario se convierte en un proceso largo. vRealizeNetwork Insight detecta de forma automática las aplicaciones y habilita automáticamente el acceso aellas y sus niveles. Esto reduce ampliamente los esfuerzos manuales.

vRealize Network Insight puede ejecutar la detección de aplicaciones en función de:

n Etiquetas (etiquetas de AWS o vCenter Server)

n Nombres de máquinas virtuales

n Agregar ServiceNow


VMware, Inc. 225

Ejemplo: Ejemplo de construcción de detección de aplicacionesSi se supone que:

n Agregó vCenter Server como origen de datos.

n Dispone de cuatro máquinas virtuales en el centro de datos (VM1, VM2, VM3 y VM4).

n Estableció etiquetas (clave-valor) para definir los nombres de las aplicaciones a las que pertenecenlas máquinas virtuales.

n Estableció etiquetas (clave-valor) para definir el nivel al que pertenecen las máquinas virtuales.

Por ejemplo, consulte la tabla:

Nombre de máquina virtual Etiquetas clave-valor

VM1 n Nombre de aplicación: MyApplication1

n Nivel de aplicación: App


n Nivel de aplicación: Web


n Nivel de aplicación: App


n Nivel de aplicación: Web

Para detectar aplicaciones en función de las etiquetasEn vRealize Network Insight, puede definir criterios de agrupación para la detección de aplicaciones enestas etiquetas.

En este ejemplo, según las etiquetas definidas y los criterios de agrupación, vRealize Network Insightdetecta dos aplicaciones (MyApplication1 y MyApplication2) con dos niveles (App y Web) y sus máquinasvirtuales relacionadas.

Aplicación Niveles y sus máquinas virtuales

MyApplication1 n App y VM1

n Web y VM2

MyApplication2 n App y VM3

n Web y VM4


VMware, Inc. 226

Para crear una aplicación y niveles en función de los nombres delas máquinas virtualesSe supone que los nombres de las máquinas virtuales se definen en un formato determinado.ApplicationName : Tier : VMName

MyApplication1 : App : VM1

MyApplication1 : Web : VM2

MyApplication2 : App : VM3

MyApplication2 : Web : VM4

Nota No se pueden agrupar nombres de máquina virtual definidos de forma aleatoria para la detecciónde aplicaciones.

Cuando se utiliza la siguiente expresión regular, vRealize Network Insight detecta dos aplicaciones.

n Expresión regular de aplicación: (.*)_(.*)_.*-.*

n Expresión regular de nivel: (.*)_(.*)_(.*)-.*

Aplicación Niveles y sus máquinas virtuales

MyApplication1 n App y MyApplication1: App: VM1

n Web y MyApplication1: Web: VM2

MyApplication2 n App y MyApplication2: App: VM3

n Web y MyApplication2: Web: VM4

Agregar aplicaciones detectadasPuede detectar las aplicaciones existentes y agregarlas a vRealize Network Insight.

Procedimiento

1 En el cuadro de búsqueda, busque con la cadena aplicaciones.

2 Haga clic en la pestaña Aplicaciones detectadas.

Se mostrarán las siguientes pestañas para agregar una aplicación. Estas son: Etiquetas,ServiceNow, Nombre.


VMware, Inc. 227

3 Seleccione la pestaña preferida y realice los pasos relacionados.

Pestaña Descripción

Etiquetas a Defina el ámbito.

n Seleccione Todas las máquinas virtuales para ver una lista de todas lasmáquinas virtuales de todos los orígenes de datos que se agregaron envRealize Network Insight.

n O bien, elija Selección manual y filtre las máquinas virtuales según surequisito, como cuenta, centro de datos, administrador, etc.

b Defina la clave y el valor de la etiqueta.

n Introduzca una clave para la etiqueta. Por ejemplo, Automation, Category,CreatedBy y Owner.

n Introduzca un valor para la clave correspondiente.

c Haga clic en Máquinas virtuales sin clasificar para ver una lista de lasmáquinas virtuales que no siguen un patrón de nombre o un patrón de etiquetadeterminados. Puede editar las máquinas virtuales para corregir el nombre olos criterios de la etiqueta.

d Haga clic en Guardar cambios en para crear una nueva plantilla o actualizaruna plantilla existente.

Nota Si es un usuario administrador, puede actualizar todas las plantillas. Sies un usuario miembro, solo puede editar las plantillas que haya creado.

e Haga clic en Detectar.

ServiceNow Puede ver las aplicaciones disponibles en ServiceNow.

Nombre a Defina el ámbito.

n Seleccione Todas las máquinas virtuales para ver la lista de todas lasmáquinas virtuales de todos los orígenes de datos que se agregaron envRealize Network Insight.

n O bien, elija Selección manual y filtre las máquinas virtuales según surequisito, como cuenta, centro de datos, administrador, etc.

b Haga clic en Generador de patrones.

Según el ámbito definido, vRealize Network Insight filtrará la lista de máquinasvirtuales en el generador de patrones.

1 Seleccione el nombre de la máquina virtual predeterminada o seleccioneuna máquina virtual de la lista para crear un patrón o la expresión regular(regex) en función del nombre de la máquina virtual.

2 Haga clic en una posición o un grupo para construir un patrón.

Nota Después de seleccionar un grupo, si selecciona un carácter o unaposición, vRealize Network Insight ignorará la selección de grupo paracrear el patrón y viceversa.

En función de sus selecciones, verá el patrón en la pantalla. Además, verála lista de aplicaciones que coinciden con el patrón y el recuento demáquinas virtuales en las respectivas aplicaciones.

3 Haga clic en Enviar.c Haga clic en el vínculo Se encontraron count aplicaciones para ver la lista

de nombres de aplicaciones y la cantidad de máquinas virtuales que coincidencon la expresión regular.

d Haga clic en Máquinas virtuales sin clasificar para ver una lista de lasmáquinas virtuales que no siguen un patrón de nombre determinado.


VMware, Inc. 228

Pestaña Descripción

e Haga clic en Guardar cambios en para crear una nueva plantilla o actualizaruna plantilla existente.

Nota Si es un usuario administrador, puede actualizar todas las plantillas. Sies un usuario miembro, solo puede editar las plantillas que haya creado.

f Haga clic en Detectar. Se mostrará la vista tabular y la vista de asignaciones hexagonal de todas las aplicaciones quecoincidan con los criterios.

En la vista de asignaciones, cada hexágono representa una aplicación. Puede pasar el cursor sobreel hexágono para ver información, como el nombre de la aplicación, el recuento de máquinasvirtuales detectadas y el recuento de niveles. Las líneas entre Internet y las aplicaciones representanlas conexiones. Puede hacer clic en las líneas para ver los detalles de flujo, como el recuento deflujos de origen y de destino, y el recuento de flujos de origen y de destino sin protección. El signo deinterrogación en el hexágono significa que vRealize Network Insight no pudo encontrar ni recuperarningún detalle de flujo de la aplicación. Esto puede ser debido a que la aplicación ha superado ellímite de flujos o contiene flujos sin protección.

En la vista tabular, puede ver los detalles de las aplicaciones, incluidos los nombres de lasaplicaciones, el recuento de flujos que no llegan al destino y se descartan porque la acción delfirewall es Denegar, y el recuento de niveles y miembros.

Las vistas de mapa y tabla son interactivas. Al hacer clic en una aplicación en la vista tabular, elhexágono se resalta o se centra en la vista de asignaciones, y muestra todas las conexiones de red.

4 (opcional) En la vista de asignaciones, realice cualquiera de las siguientes acciones:

n Acerque y aleje la imagen, o mueva el mapa para ver las aplicaciones.

n Filtre la cantidad de hexágonos que puede ver en la topología (por ejemplo, 10 principales, 20principales, 50 principales y 100 principales), y filtre en función de niveles, nombres y miembros.

Cuanto mayor el recuento, más oscuro el color del hexágono.

n Vea todas las aplicaciones sin protección.

n Vea las aplicaciones que se comunican con Internet.

n Vea todas las aplicaciones que utilizan los servicios compartidos de hosts.

n Vea las aplicaciones con problemas.

5 (opcional) En la vista de tabla, puede realizar las siguientes acciones:

n Haga clic en el encabezado de columna para ordenar los valores en orden ascendente odescendente.

n Pase el cursor sobre el valor de la columna miembro para ver el recuento individual de máquinasvirtuales, IP físicas y servicios.

n Haga clic en el nombre de una aplicación para abrir el panel de control de la aplicación y ver losdetalles de esa aplicación específica.


VMware, Inc. 229

n Haga clic en el icono + en la vista tabular para expandir los detalles de la aplicación, como loscriterios y el recuento de máquinas virtuales y niveles.

Nota El icono solo se encuentra disponible para las aplicaciones detectadas.

6 Para guardar la aplicación detectada:

n En la vista de asignaciones, pase el cursor sobre el hexágono y haga clic en Guardaraplicación.

n Opcionalmente, en la vista tabular, haga clic en Guardar aplicación.

Nota Para guardar aplicaciones en masa, seleccione varias casillas de verificación deaplicaciones de la tabla y, a continuación, haga clic en Guardar aplicación.

7 Revise los detalles en la página Agregar aplicación y haga clic en Enviar.

Después de guardar, verá application:Saved en la lista de hexágonos de aplicaciones condesplazamiento de cursor y una marca de graduación para la aplicación en la vista tabular. Si laaplicación ya se guardó, puede pasar el cursor sobre la marca de graduación y hacer clic enGuardar como para guardar la aplicación con un nombre diferente.

Nota Si las aplicaciones se modifican en ServiceNow, no se ejecuta la actualización automática envRealize Network Insight. Es necesario actualizar manualmente la aplicación en vRealize NetworkInsight.

Tabla 15-1. Limitaciones

Objetos Límites máximos

Límites recomendados(basados en una configuración de

clúster de plataforma EXTRA LARGE de 5nodos)

Lista de aplicaciones en la vista deasignaciones

3.000 aplicaciones No corresponde

Lista de aplicaciones en la vista tabular No corresponde (paginadas) No corresponde

Aplicaciones guardadas 5.000 400

Total de niveles en todas las aplicaciones 20.000 3500

Niveles por aplicación 150 20

Miembros por nivel No corresponde No corresponde

Miembros por aplicación 5.000 1.800

Si una aplicación supera el límite, esposible que no se muestre la informaciónde flujo en el panel de pines Topología deaplicación o que se muestre un mensaje

de error.

Flujos por aplicación 500.000 300.000

Si la configuración supera los límites recomendados de niveles y aplicaciones, es posible seguiragregando objetos hasta el límite máximo; sin embargo, el rendimiento puede verse afectado.


VMware, Inc. 230

Pasos siguientes

Haga clic en Exportar como CSV para exportar los detalles de las aplicaciones en formato .csv. Puededefinir el recuento de aplicaciones y los campos que desea exportar. Los campos de nombre de laaplicación y nombre del nivel se repetirán en función del recuento de miembros (una fila por miembro).Solo se rellenan los campos relacionados con la aplicación; los campos restantes quedan vacíos.

VMware Cloud on AWS: planificación ymicrosegmentación

Para planificar un segmento específico de VMware Cloud on AWS, seleccione Segmento de VMC comoámbito en la página Planificar seguridad.

Para los segmentos de directivas, utilice la cláusula VLAN/VXLAN/Overlay en el grupo.

Para los grupos de directivas, utilice la cláusula Security Group en el grupo.


VMware, Inc. 231

Reglas de firewallrecomendadas 16En la página Planificar seguridad, al hacer clic en la cuña o el borde del diagrama de topología, puedever la lista de los servicios y flujos de ese segmento específico. Haga clic en Reglas de firewallrecomendadas para ver las reglas definidas en el segmento. Los miembros del origen o del destino seenumeran en los siguientes tipos de reglas:

n Físicas a físicas: en esta pestaña, se enumeran todas las reglas asociadas con las direcciones IPfísicas y de Internet. Las reglas pueden ser entidades físicas-físicas, físicas-Internet, Internet-físicaso Internet-Internet.

n Virtual: en esta pestaña, se enumeran todas las reglas en las que al menos uno de los endpoints esuna máquina virtual.

VMware, Inc. 232

Para cada regla de firewall, se encuentran disponibles los siguientes detalles:

n Mostrar miembros del grupo: haga clic en el signo + junto al nombre de la entidad para ver losmiembros del grupo.

Nota n No se muestran los miembros para los grupos que pertenecen a la categoría Internet.

n Si un grupo de seguridad tiene direcciones IP virtuales y físicas, las direcciones IP físicas y deInternet no se muestran en la lista de los miembros de ese grupo en particular.

n Los servicios miembro de Kubernetes se muestran en la pestaña Servicios de Kubernetes.

n La pestaña no se muestra si el recuento de miembros o la entrada es cero para Máquina virtual,IP físicas y de Internet o Servicios de Kubernetes.

n Origen

n Destino

n Servicios

n Protocolos

n Acción

n Flujos relacionados: haga clic en el número de flujos relacionados para ver la lista de flujos con lainformación de flujo correspondiente.

n Ver reglas de firewall aplicadas: haga clic en el signo + junto a la columna Flujos relacionados paraver las reglas de firewall aplicadas que corresponden a los conjuntos de flujos similares.


VMware, Inc. 233

Puede exportar las reglas recomendadas como XML o CSV en función de sus requisitos.

Nota También puede exportar las reglas recomendadas que están relacionadas con los objetos deKubernetes en el formato YAML.

Consulte Exportar reglas para obtener más información sobre estos elementos.

Regla de firewall recomendada para proteger un sistemaoperativo vulnerableUtilice el siguiente procedimiento a fin de obtener la regla de firewall recomendada para proteger unsistema operativo vulnerable:

1 Vaya a Seguridad > Aplicación > Crear aplicación.

2 Introduzca un nombre para la aplicación y el nivel o la implementación.

3 En el menú desplegable Miembro, seleccione Búsqueda de máquina virtual personalizada y, enel cuadro de texto, agregue la condiciónin the qualifier put the matching criteria as: Operating System like 'Microsoft

Windows Server 2003' or Operating System like 'Microsoft Windows Server 2008' or

Operating System like 'Red Hat Enterprise Linux 6' or Operating System like 'Red

Hat Enterprise Linux 5' or Operating System like 'SUSE Linux Enterprise 10'.


5 Vaya a Seguridad > Planificar seguridad.

6 En el menú desplegable Ámbito, seleccione Aplicación y el nombre de la aplicación que creó.

7 En el menú desplegable Duración, seleccione Últimos 7 días.

8 Para obtener las reglas de firewall recomendadas, haga clic en Analizar.


n Exportar reglas

n Exportar y aplicar directivas de red de Kubernetes

Exportar reglas


VMware, Inc. 234

Es posible exportar todas las reglas como XML para toda la topología. Para encontrar este elemento demenú en la página Planificación de microsegmentación, realice lo siguiente:

La opción Exportar como XML solo está disponible para las siguientes entidades:

n Grupo de seguridad

n Nivel de aplicación

Si el ámbito de planificación abarca una sola instancia de NSX Manager, los elementos generadoscontienen los archivos XML correspondientes a las reglas de firewall y los servicios recomendados. Si elámbito de planificación abarca varias instancias de NSX Manager, los elementos generados contienenlos archivos XML correspondientes a los conjuntos de IP, los grupos de seguridad, las reglas de firewall ylos servicios recomendados.

Los siguientes son los elementos de marcador de posición para los grupos de seguridad:

n SG-Others_Internet.xml

n SG-Other.xml

Puede exportar todas las reglas como XML o CSV para una porción o un borde en particular que semuestran en el diagrama de topología.

Nota También puede exportar las reglas recomendadas que están relacionadas con los objetos deKubernetes en el formato YAML.

Elementos universales de NSX DFW


VMware, Inc. 235

La administración de objetos en grupos de seguridad universales en las diversas implementaciones devCenter y NSX es una tarea sencilla. vRealize Network Insight admite la generación y la importación deelementos universales solo para los grupos Capa y Aplicación. Con los grupos de seguridad universales,resulta fácil implementar y administrar las reglas de firewall en los escenarios de cross-vCenter.Asegúrese de importar los elementos universales en la instancia principal de NSX Manager. Puedeadministrar la membresía del grupo de seguridad universal solo a través de la instancia principal de NSXManager.

Un grupo de seguridad universal puede constar de lo siguiente:

n Otros grupos universales

n Conjuntos de direcciones IP universales

n Etiqueta de seguridad universal

Cuando las reglas se exportan como XML, además de las carpetas específicas de NSX Manager, secrea una carpeta universal compuesta por los elementos universales de NSX DFW. Los grupos deseguridad universales, los conjuntos de direcciones IP universales, las etiquetas de seguridaduniversales y las reglas de firewall de DFW universales correspondientes se crean después de importarlos elementos universales de NSX DFW.

Nota n La etiqueta de seguridad universal solo se admite en el modo activo-en espera.

n El conjunto de direcciones IP universales se admite en los modos activo-activo y activo-en espera.

Puede crear una etiqueta de seguridad universal o un conjunto de direcciones IP universales según susrequisitos. Si crea la etiqueta de seguridad universal, puede asignar la máquina virtual de la aplicación ala etiqueta de seguridad. En caso contrario, se utiliza el conjunto de direcciones IP universales.

Puede utilizar las siguientes marcas en la herramienta de importación:

Tabla 16-1.

Nombre de marca Descripción

-uni Para importar elementos de la carpeta universal.

-utag Para importar los elementos universales con las etiquetas deseguridad universales en la membresía de los grupos deseguridad universales.

-log Para crear reglas en las que está habilitado el registro.

Nota Esta marca no es específica de la opción universal.

Guardar la configuración de exportación de CSV como plantilla depropiedades


VMware, Inc. 236

Al exportar datos de widgets en archivos CSV, puede guardar la combinación de propiedades (ocolumnas) que desea exportar en plantillas de propiedades. Estas plantillas de propiedades se habilitanpara la exportación de CSV cuando los resultados pertenecen a un solo tipo de entidad. Si busca conuna palabra clave que devuelve diversos tipos de entidad, no podrá guardar la combinación depropiedades en las plantillas de propiedades.

Al abrir el modo de exportación de CSV, verá las selecciones de propiedades predeterminadas para losresultados de la búsqueda (en función del tipo de entidad). Puede cambiar esta lista de propiedadesseleccionadas y guardar la nueva configuración para referencia futura. Como alternativa, también puedecargar o abrir una plantilla de propiedades previamente guardada desde la sección Plantillas del modode exportación de CSV. Cuando cambie el valor, verá las propiedades seleccionadas para la plantilla depropiedades seleccionada.

Una vez implementados los cambios en las propiedades seleccionadas para la exportación, puede crearuna plantilla de propiedades desde el modo de exportación de CSV o editar una plantilla de propiedadesexistente. Esta plantilla tiene el mismo tipo de entidad que los resultados de la búsqueda actual.


VMware, Inc. 237

Para ver la lista de plantillas de propiedades existentes en el sistema, vaya a la página Configuración ->Plantillas de propiedades. La lista de la página Plantillas de propiedades muestra las plantillasexistentes con detalles, como el tipo de entidad, la última actualización y el número de propiedades.Puede editar o eliminar plantillas de propiedades en la página Plantillas de propiedades. Puede editarla plantilla de propiedades, pero no cambiar su nombre.

Exportar y aplicar directivas de red de KubernetesPuede exportar las reglas de directivas de red recomendadas que están relacionadas con los objetos deKubernetes en el formato YAML. vRealize Network Insight admite la exportación al formato YAML solopara las topologías de agrupación por Espacio de nombres y por Servicio.

Requisitos previos

n Agregar Kubernetes

n Agregar VMware PKS

Procedimiento

1 Para exportar las reglas recomendadas al formato YAML, en el modelo Planificar seguridad,seleccione el clúster de Kubernetes para el que desea planificar la seguridad y realice uno de lospasos.

n Expanda más opciones en el widget Microsegmentos y seleccione Exportar reglas comoYAML.

n O bien, seleccione un nodo en la vista de anillo Microsegmentos, haga clic en el recuento dereglas de firewall recomendadas, expanda más opciones y seleccione Exportar reglas comoYAML.

vRealize Network Insight descargará un archivo ZIP llamado con las directivas de red de Kubernetesy una marca de tiempo asociada. Cuando descomprima el archivo, verá los siguientes cinco archivosCSV, además de varias carpetas, según la cantidad de clústeres. Cada carpeta contendrá variosarchivos YAML para el clúster.

Nombre de archivo Descripción

network-policy-others-ipaddress.csv Contiene las direcciones IP de los servidores físicos y lamáquina virtual con la que se comunican los servicios o losespacios de nombres.

recommended-namespace-labels-to-add.csv Contiene las etiquetas que se adjuntarán a los pods asociadoscon el espacio de nombres.

Ejemplo

n Clúster: pdk8s

n Espacio de nombres: sock-shop

n Etiqueta: sock-shop-pdk8s


VMware, Inc. 238

Nombre de archivo Descripción

recommended-service-labels-to-add.csv Contiene las etiquetas que se adjuntarán a los pods asociadoscon el servicio.

Ejemplo

n Clúster: pdk8s


n Servicio: front-end

n Etiqueta: Service:front-sock-shop-pdk8s

n Clúster: pdk8s


n Servicio: user

n Etiqueta: Service:user-sock-shop

recommended-network-policy.csv Contiene todas las reglas recomendadas por vRealize NetworkInsight.

exported-network-policy-rule-names.csv Enumera todas las directivas de red exportadas en función delas reglas recomendadas.

2 Para aplicar las etiquetas de servicio, realice los siguientes pasos:

a Ejecute el siguiente comando de la CLI de Kubernetes.

kubectl edit deployment service-name -n namespace-name

kubectl edit deployment redis-master -n guestbook

Se abrirá el archivo de implementación del servicio.

b En la lista de etiquetas de servicio, anexe la etiqueta que se sugiere en el archivo CSV a lasetiquetas mencionadas en la sección de especificaciones de la implementación del servicio.

3 Para aplicar las etiquetas de espacio de nombres, realice los siguientes pasos:

a Ejecute el siguiente comando de la CLI de Kubernetes.

kubectl edit namespace namespace-name

kubectl edit namespace guestbook

Se abrirá el archivo de implementación del espacio de nombres.

b En los metadatos, anexe la etiqueta que se sugiere en el archivo CSV a las etiquetasmencionadas en la sección spec de la implementación del espacio de nombres.

4 Ejecute el siguiente comando para comprobar si se aplicaron las etiquetas a los pods.

kubectl get pods -n namespace-name--show-labels

kubectl get pods guestbook--show-labels

Revise las etiquetas en la vista de resultados.

Nota Las etiquetas no se reflejan en los pods cuando se aplica el espacio de nombres.


VMware, Inc. 239

5 Para crear las directivas de red, copie los archivos YAML de la carpeta del clúster correspondiente yejecute el siguiente comando:

kubectl apply -f *.yaml o kubectl apply -f YAML fileyaml

Ejemplo:

Pasos siguientes


VMware, Inc. 240

Trabajo con las consultas debúsqueda 17vRealize Network Insight proporciona una búsqueda sólida para todas las entidades del entorno.

Estos son algunos de los términos que pueden ser útiles para la función de búsqueda en vRealizeNetwork Insight:

n Entidades: un centro de datos consta de bloques de creación físicos y lógicos, como host, máquinavirtual, conmutador, enrutador, NSX Manager, etc. Las instancias de estos bloques son entidades.

n Propiedad: una entidad consta de varias propiedades. Puede ser una propiedad de configuración ouna propiedad de métrica.

a Propiedad de configuración: una entidad puede describirse mediante sus propiedades deconfiguración. Una propiedad de configuración puede ser un valor entero o real, o bien unacadena o un valor booleano.

n Nombre, núcleos de CPU y sistema operativo de las máquinas virtuales

n Nombre y número de máquinas virtuales para hosts

b Propiedad de métrica: cualquier propiedad que mide una característica concreta de una entidades una propiedad de métrica. Los valores de las propiedades de métricas se capturan enintervalos regulares. El uso de CPU, el uso de memoria y el uso de la red para máquinasvirtuales son algunos ejemplos de propiedades de métricas.

n Funciones agregadas: se pueden utilizar en las consultas de búsqueda para calcular el número totalde instancias de un tipo de entidad específica o de una propiedad máxima de una entidad. vRealizeNetwork Insight admite las siguientes funciones de agregado.

a sum

b max

c min

d avg

Al buscar entidades, el software muestra las entidades que coinciden con la consulta de búsqueda en lapágina Resultados.

VMware, Inc. 241

En cada consulta de búsqueda, la barra de búsqueda sugiere el siguiente término que se puede usarpara delimitar los resultados de la búsqueda. Por ejemplo, al introducir el término máquina virtual, labarra de búsqueda muestra una lista de términos que se pueden agregar al término existente para limitarlos resultados de la búsqueda. La barra de búsqueda también valida cada consulta de búsqueda. Unamarca de verificación indica que la consulta de búsqueda es válida y una marca cruzada indica que laconsulta de búsqueda no es válida. La página Ayuda proporciona ejemplos de consultas admitidasactualmente.


n Consultas de búsqueda

n Consultas avanzadas

n Control del tiempo

n Resultados de búsqueda

n Filtros

n Etiquetas de vCenter

Consultas de búsqueda

Las consultas de búsqueda pueden dividirse en las siguientes categorías:

1 Consultas estructuradas

Una consulta estructurada consta de los siguientes componentes:

n Tipo de entidad: un tipo de entidad representa el tipo de objeto que se desea buscar. Suformato puede ser singular o plural. El tipo de entidad es obligatorio en una consultaestructurada.


VMware, Inc. 242

Estos son algunos ejemplos:

1 Virtual machines

2 Hosts

3 Flows

4 MTU Mismatch Events

5 Problems

n Filtros: la sintaxis para el filtro es la siguiente:

La sintaxis para la condición es la siguiente:

Se puede utilizar una cláusula de filtro para filtrar los resultados de búsqueda. La condición enuna cláusula de filtro está compuesta por la propiedad, el operador de comparación y el valor.Las condiciones se pueden combinar con operadores lógicos para crear condiciones complejas.Esta es una lista de los operadores que se pueden utilizar:

Operador Ejemplos

= flows where source ip address = '10.16.240.0/24'

flows where flow type = 'Source is VM'

!= vms where ip address != '10.17.0.0/16'

> vms where memory > 4096 mb

< vms where cpu usage rate < 70%

>= vms where memory >= 4096 mb


VMware, Inc. 243

Operador Ejemplos

<= vms where cpu usage rate <= 70%

like vms where name like 'app'

not like vms where name not like 'app'

in flows where port in (22, 23, 80, 443)

vm where ip address in (192.168.91.11, 192.168.91.10)

not in flows where port not in (22, 23, 80, 443)

vm where ip address not in (192.168.91.11, 192.168.91.10)

is set vms where firewall rule is set

is not set vms where firewall rule is not set

() flows where (src tier = ‘App’ and destination tier =

‘DB’) OR (destination tier = ‘App’ and source tier =

‘DB’)

and flows where src tier = 'App' and destinationtier = 'DB'

or flows where flow type = 'Source is VMKNIC' or flow type =

'Destination is VMKNIC'

matches vm where name matches '.*'

vm where name matches 'a.*'

vm where name matches '[a-z]vm-delta[0-9]'

not matches vm where name not matches '.*'

vm where name not matches 'a.*'

vm where name not matches '[a-z]vm-delta[0-9]'

operador 'in' anidado vm where in (vm where name = 'x')

vm where in (vm of host where name = 'x')

vm where host in (host of vm where name = 'x')

vm where name in (name of vm where name = 'x')

n Proyecciones: una cláusula de proyección en una consulta decide qué campos se debenmostrar de las entidades filtradas. Esta cláusula es opcional. Si no se especifica la cláusula deproyección, se muestra el conjunto predeterminado de campos en los resultados de búsqueda.Una cláusula de proyección puede contener los siguientes elementos:

1 Propiedad

2 Número

3 Lista

4 Agregado

5 Serie


VMware, Inc. 244

1 Propiedad: cuando las entidades se buscan por tipo de entidad, se muestra el conjunto depropiedades predeterminado en los resultados de búsqueda. Si se utilizan proyecciones, esposible seleccionar los campos que se deben mostrar en los resultados de búsqueda. Porejemplo, os of vms muestra todas las máquinas virtuales con OS property en los resultadosde búsqueda.

Estos son algunos ejemplos adicionales:

n cpu cores of vms

n source ip address of flows

Si se utiliza una propiedad de métrica, se muestra un gráfico para cada entidad con lapropiedad de métrica como y-axis y la hora como x-axis.

2 Número: la consulta de número se puede utilizar para calcular la cantidad de objetos de untipo de entidad. Estos son algunos ejemplos:

n count of vms

n count of hosts

n count of flows

3 Lista: un operador de lista es útil si no se puede aplicar la condición de filtro a la entidad quese recupera.

Por ejemplo:

List(host) of vms where memory <= 2gb

Esta consulta recupera la lista de hosts, mientras que la condición de filtro se aplica a lasmáquinas virtuales. Estos son algunos ejemplos adicionales:

n List(ip address)of vms where cpu cores = 1

4 Funciones agregadas: una función agregada permite calcular un solo valor a partir de unapropiedad numérica config o metric. El lenguaje de consulta de búsqueda es compatiblecon las siguientes funciones agregadas:

n max

n sum

n min


VMware, Inc. 245

n avg


n sum(memory) of hosts

n sum(memory), sum(cpu cores) of vms

n sum(bytes) of flows

5 Serie: se utiliza un operador de serie para realizar el agregado en las propiedades demétricas. Por ejemplo:

series(avg(cpu usage)) of vms where cpu cores = 4

Esta consulta muestra un gráfico que contiene el uso de CPU promedio de todas lasmáquinas virtuales con 4 núcleos de CPU. Estos son algunos ejemplos:

n series(sum(network usage)) of vms where name like 'app'

n series(sum(memory usage)) of vms where name like 'db'

n series(avg(cpu usage)), series(avg(memory usage)) of vms

n Orden: los resultados de búsqueda se pueden ordenar con la cláusula order by. Solo se permiteun campo en la cláusula order by. Los resultados se disponen en orden descendente de formapredeterminada.


1 vms order by cpu cores

2 vms order by cpu cores asc

3 flows order by bytes

La cláusula limit se puede utilizar para limitar la cantidad de resultados. Esta debe ir precedidade la cláusula order by. Por ejemplo:

vms order by memory limit 5

n Agrupación: las entidades se pueden agrupar por propiedad. Cuando las entidades se agrupanpor propiedad, se muestra la cantidad de resultados de cada grupo de forma predeterminada. Alagregar una proyección, se puede calcular la suma, los valores máximo y mínimo de cualquierpropiedad. Al agregar la cláusula order by, se ordenan los resultados. Si la cláusula order by oprojection forma parte de una consulta, la función agregada debe estar presente.

sum(bytes) of flows group by dest vm


VMware, Inc. 246

Esta consulta es válida ya que contiene la función agregada en la cláusula de proyección. Unaconsulta como bytes of flows group by dest vm no es válida, ya que no contiene una funciónagregada en la cláusula de proyección.


1 vms group by host

2 sum (bytes) of flows group by dest vm order by sum(bytes)

2 Consultas de entidades

a Buscar por tipo de entidad: todas las entidades de un tipo de entidad se pueden enumerarmediante una búsqueda de tipo de entidad.

Ejemplos: vms, hosts, flows, nsx managers

b Buscar por nombre de entidadn Buscar por nombre completo: si se conoce el nombre completo de una entidad, se puede

encerrar el nombre entre comillas simples para buscarlo.

Ejemplos: 'prod-68-1', 'app1-72-1'

n Buscar por nombre parcial: la búsqueda de una sola palabra o varias palabras recuperatodas las entidades que coinciden con las palabras introducidas.

Ejemplos: prod, app1

Nota Si la entrada contiene palabras clave o tipos de entidad, es posible que se procesecomo una consulta de búsqueda.

n Buscar por tipo y nombre de entidad: si se conocen tanto el nombre como el tipo de unaentidad, se puede buscar mediante la consulta conjunta de tipo de entidad y nombre deentidad.

Ejemplo: la consulta de búsqueda 'vm app1' devuelve todas las máquinas virtuales quecontienen app1.

3 Consultas de planificación

Estas consultas se pueden utilizar para analizar los flujos y planificar la seguridad del centro dedatos.

Ejemplos:

a plan securitygroup1

b plan host1

c plan security


VMware, Inc. 247

4 Consultas de ruta de acceso

Estas consultas se pueden utilizar para mostrar la ruta de acceso entre dos máquinas virtuales o laruta de acceso de la máquina virtual a Internet.

Ejemplos:

a Vm 'vm1' to Vm 'vm2'

b VM 'vm1' to Internet

Nota n Las consultas de búsqueda no distinguen entre mayúsculas y minúsculas.

n Los tipos de entidad o las propiedades de configuración pueden tener sinónimos. Por ejemplo, el tipode entidad 'virtual machine' tiene el sinónimo 'vm'.

Consultas de búsqueda de AzurePuede buscar detalles de la entidad de Azure en vRealize Network Insight.

Estas son algunas consultas de búsqueda de ejemplo:

Entidades de Azure Consultas de ejemplo

Microsoft Azure Azure

Grupo de seguridad de aplicaciones de Azure Azure Application Security Group where Azure Virtual

Network = 'Test-vnet2'

Origen de datos de Azure Azure Data Source

Regla de Azure NSG Azure NSG Rule where Action = 'ALLOW'

Interfaz de red de Azure Azure Network Interface where Azure Virtual Network =

'Test-vnet2'

Grupo de seguridad de red de Azure Azure Network Security Group where Subscription = 'vRNI-

dev'

Ruta de Azure Azure Route where Route Table = 'TestRouteTable'

Tabla de rutas de Azure Azure Route Table where Azure Virtual Network = 'aks-

vnet-28255566'

Subred de Azure Azure Subnet where Azure Virtual Network = 'vrni-01-vnet'

Suscripción de Azure Azure Subscription

Máquina virtual de Azure Azure Virtual Machine where Azure Application Security

Group = 'TestASG'

Red virtual de Azure Azure Virtual Network where Azure Peer Virtual Network =

'vrni-01-vnet'


VMware, Inc. 248

Entidades Cisco ACI

A continuación se muestra una lista de algunas de las entidades Cisco ACI en las que puede realizar unabúsqueda:

Nota Las entidades llevan el prefijo aci.

n aci application profile

n aci bridge domain

n aci endpoint group

n aci fabric

n aci switch

n aci tenant


n aci fabric 'ACI-Demo-Fabric': esta consulta recupera información sobre los arrendatarios, losconmutadores y las controladoras en el tejido ACI.

n aci switches by role: esta consulta recupera información sobre los distintos conmutadores de hojao de espina en el tejido ACI.

En la lista de conmutadores, haga clic en el nombre de un conmutador para obtener más detallessobre él.


VMware, Inc. 249

n aci endpoint group: esta consulta recupera una lista de los grupos de endpoints con las máquinasvirtuales, los dominios de puente y VRF asociados.

n aci application profile 'Production': esta consulta recupera el perfil de aplicación de produccióncon las máquinas virtuales y los grupos de endpoints contenidos.

n VMware VM 'ACIVM-160' to VMware VM 'ACIVM-161': esta consulta muestra la ruta de máquina virtuala máquina virtual entre las dos máquinas virtuales.

n Puede buscar con la dirección IP para obtener los detalles de puerto, grupo de endpoints y dominiode puente.


VMware, Inc. 250

n Puede buscar con la dirección Mac para obtener los detalles de puerto, grupo de endpoints y dominiode puente.

n Puede buscar un grupo de endpoints y obtener la lista de endpoints asociados.

n Puede buscar un endpoint.


VMware, Inc. 251

Consultas de búsqueda de FortinetPuede buscar detalles de la entidad de Fortinet en vRealize Network Insight.


Entidades de Fortinet Consultas de ejemplo

Paquete de directivas de Fortinet Fortinet Policy Package where Domain Manager =

‘ADOM_NAME’

Directiva de Fortinet Fortinet Policy where Source IP = ‘10.0.0.15’

Dirección de Fortinet Fortinet Address where Address Type = ‘ipmask’

Dirección dinámica de Fortinet Fortinet Dynamic Address where Domain Manager =

‘ADOM_NAME’

Grupo de direcciones dinámicas de Fortinet Fortinet Dynamic Address Group where Domain Manager =

‘ADOM_NAME’

Servicio de Fortinet Fortinet Service where port = 5900

Grupo de servicios de Fortinet Fortinet Service Group where Manger = ‘10.0.15.101’

ADOM de Fortinet Fortinet ADOM where Manager ID = ‘10.0.15.101’

VDOM de Fortinet Fortinet VDOM where Domain Manager = ‘ADOM_NAME’

Interfaz dinámica de Fortinet Fortinet Dynamic Interface where Domain Manager =

‘ADOM_NAME’

Enriquecer lo flujos con los datos de DNS de Infoblox

vRealize Network Insight admite dos orígenes de información de DNS:

n Archivo CSV importado

n Infoblox DNS

Nota Si se produce un conflicto entre Infoblox DNS y el archivo CSV, la información de Infoblox DNStiene prioridad.


VMware, Inc. 252

Puede usar diversas consultas de búsqueda para obtener más información sobre el origen de lasentradas de DNS en un flujo.

Tabla 17-1.

Palabra clave Consulta de búsqueda de ejemplo Descripción

Proveedor de DNSFlows where DNS Provider='Infoblox'

Proporciona la lista de flujos en los quelos datos de DNS se obtienen de Infoblox.

Proveedor de DNSFlows where DNS Provider='CSV'

Proporciona la lista de flujos en los quelos datos de DNS se obtienen de CSV.

Proveedor de DNS deorigen

Flows where Source DNS Provider='Infoblox'Proporciona la lista de flujos en los que elproveedor de DNS para la dirección IP deorigen es Infoblox.

Proveedor de DNS dedestino

Flows where Destination DNS provider='Infoblox'

Proporciona la lista de flujos en los que elproveedor de DNS para la dirección IP dedestino es Infoblox.

Consultas de búsqueda comunes para entidades de KubernetesPuede buscar detalles de entidades de Kubernetes en vRealize Network Insight.

Consultas comunesn Flujos de búsqueda: flows where Kubernetes Object = Object name

Ejemplo: flujos donde Kubernetes Cluster = 'Production'

n Ver la escala del servicio: kubernetes pods group by Kubernetes Services

n Ver la carga del nodo: kubernetes Pods group by Kubernetes Node

n Ver el estado del nodo: MemoryPressure and PIDPressure and DiskPressure and Ready ofKubernetes Node

n Ver el cumplimiento del flujo: flows from Kubernetes Object name of the object to KubernetesObject name of the object

Ejemplo: flows from Kubernetes Namespace'PCI' to Kubernetes Namespace'Non-PCI'

n Ver la topología de ruta:

n De servicio de Kubernetes nombre de servicio a servicio de Kubernetes nombre de servicio

n De servicio de Kubernetes nombre de servicio a pod de Kubernetes nombre de pod

n De pod de Kubernetes nombre de pod a pod de Kubernetes nombre de pod


VMware, Inc. 253

Tabla 17-2. Consultas sobre un objeto de Kubernetes

Objeto de Kubernetes Consulta Descripción

Espacio de nombres n kubernetes namespace whereL2 Networks = 'a'

n list(Kubernetes Node) ofKubernetes Pod whereKubernetes Namespace = 'a'

n El espacio de nombres de Kubernetes en el quese establece la conexión con la red de capa 2 'a'

n La lista de nodos de Kubernetes donde el espaciode nombres de Kubernetes es 'a'

Pod n NSX-T Logical port whereconnectedto.modelKey in(modelKey of kubernetesnodes) order by Tx Packetsdesc

n NSX-T Logical port whereconnectedto.modelKey in(modelKey of kubernetespods) and Rx Packet Drops >0

n new kubernetes pod in last 1hour

n La lista de puertos lógicos conectados a un nodoen función de los paquetes transferidos en ordendescendente

n La lista de puertos lógicos conectados a pods deKubernetes y paquetes descartados de Rx > 0

n Nuevos pods de Kubernetes detectados en laúltima hora

Servicios n kubernetes pods wherekubernetes services is not set

n kubernetes pods group byKubernetes Services,Kubernetes Cluster

n Lista de pods de Kubernetes que no tienen unservicio

n Cantidad de pods que se ejecutan en cadaservicio

Nodos n kubernetes nodes whereReady != 'True'

n kubernetes node where VirtualMachine = 'vm-a'

n Lista de nodos de Kubernetes en mal estado

n Nodo de Kubernetes que forma parte de lamáquina virtual 'vm-a'

Flujos n flows where kubernetesservice is set

n flows where sourcekubernetes node = 'a'

n Lista de flujos en los que existe un servicio deKubernetes de origen o de destino

n Lista de flujos en los que el nodo de Kubernetesde origen = 'a' o el nodo de Kubernetes de destino= 'a'

Consultas de búsqueda de ejemplo relacionadas con elequilibrador de cargaPuede utilizar las siguientes consultas de ejemplo para filtrar o buscar datos relacionados con elequilibrador de carga.

n vm where lbServiceNodes is set: enumera todas las máquinas virtuales en las que se aloja unaaplicación donde se distribuye la carga.

n vm where lbServiceNodes is set and PowerState !='POWEREDON': enumera todas lasmáquinas virtuales en las que se aloja una aplicación con equilibrio de carga que actualmente nofunciona.

n pool member where state = 'DISABLED': enumera todos los miembros del grupo deshabilitados.


VMware, Inc. 254

n Count of Pool Members where Service Port = '80': proporciona el recuento de todos losmiembros del grupo de un tipo de servicio específico que se ejecutan en el puerto 80.

n service node where virtual machine is not set: enumera todos los nodos de servicio queutilizan el servidor físico como servidor de aplicaciones o la instancia de vCenter Server en la que sealojan las máquinas virtuales no agregadas a vRealize Network Insight.

Consultas de búsqueda para reglas de firewall de NSXPuede buscar reglas de firewall de NSX en vRealize Network Insight.

Tabla 17-3. Consultas de reglas de firewall

Consulta de búsqueda Descripción

VM where incoming rules.Source Any Vea las reglas con cualquier origen (se puede combinar con unpuerto específico).

Firewall rule where action = allow and service any = true Vea las reglas de firewall que permiten cualquier puerto.

Firewall Rule Masked Event Vea la lista de reglas de firewall sin utilizar.

New firewall rules in last 24 hours Vea las reglas de firewall creadas en las últimas 24 horas.

New firewall rules in last 7 days Vea las reglas de firewall creadas en los últimos 7 días.

New firewall rules in last 30 days Vea las reglas de firewall creadas en los últimos 30 días.

Firewall rule where flow is not set Vea la lista de todas las reglas de firewall inactivas.

Flow group by firewall rule Vea el recuento de flujos que alcanzan cada regla de firewall.

Security group where Indirect Incoming Rules is not set

and Indirect Outgoing Rules is not set and Direct

Incoming Rules is not set and Direct Outgoing Rules is

not set

Vea el grupo de seguridad que no se utiliza.

Ipset where Indirect Incoming Rules is not set and

Indirect Outgoing Rules is not set and Direct Incoming

Rules is not set and Direct Outgoing Rules is not set

Vea el conjunto de IP que no se utiliza.

Flow where rule id in (1011, 1012, 1013) Los flujos que alcanzan un identificador de regla específico.

Flow where application = app1 Los flujos que alcanzan la aplicación.

n Reglas de firewall sin utilizar

n Evento de regla de enmascaramiento de reglas de firewall

Consultas de búsqueda de VMware SD-WANPuede buscar detalles de entidades de VMware SD-WAN en vRealize Network Insight.


Entidades de VMware SD-WAN Consultas de ejemplo

Clúster de VeloCloud VeloCloud Cluster where Description = 'cluster one'

Origen de datos de VeloCloud VeloCloud Data Source where Enabled = true


VMware, Inc. 255

Entidades de VMware SD-WAN Consultas de ejemplo

Edge de VeloCloud VeloCloud Edge where Activation State = 'Activated'

Empresa de VeloCloud VeloCloud Enterprise where Name = 'VMWare - vRNI'

Puerta de enlace de VeloCloud VeloCloud Gateway where City = 'Ashburn'

Red de capa 2 de VeloCloud VeloCloud Layer2 Network where Network = '172.16.40.2/24'

Vínculo de VeloCloud VeloCloud Link where Link Uptime = 100%

Perfil de VeloCloud VeloCloud Profile where Name = 'APProfile'

Segmento de VeloCloud VeloCloud Segment where Vendor ID = '1'

VMware Cloud on AWS para entidades de AWS

Estas son las entidades relacionadas con NSX Policy Manager de VMware Cloud on AWS:

n NSX Policy Manager Data Source

n NSX Policy Manager

n NSX Policy Firewall

n NSX Policy Firewall Rule

n NSX Policy Segment

n NSX Policy Based VPN

n NSX Policy Group

Nota Si NSX-T 2.4 y VMware Cloud on AWS se agregan como orígenes de datos a la instancia devRealize Network Insight, para obtener las entidades de VMware Cloud on AWS, debe agregar el filtroSDDC type = VMC a la consulta. Por ejemplo, si desea enumerar las VPN basadas en directivas paraVMware Cloud on AWS, introduzcaNSX Policy Based VPN where Tier0 = ‘’ and SDDC Type = ‘VMC’.

Algunas consultas de búsqueda de ejemplo relacionadas con las entidades de VMware Cloud on AWSson las siguientes:

n VMs where L2 Network = '' (L2 Network -> NSX Policy Segment)

n NSX Policy Based VPN where Tier0 = ''

n NSX Policy Based VPN where Local Network = '' (Local Network of Policy Based VPN Rule)

n NSX Policy Based VPN where Remote Network = '' (Remote Network of Policy Based VPN Rule)

n NSX Policy Group where Translated VM = ''


VMware, Inc. 256

n VM where NSX Policy Group = ''

Nota n NSX Policy Manager no es compatible con grupos o conjuntos de IP secundarios. Por lo tanto, todas

las búsquedas como NSX Policy firewall rule where Indirect __________ = '' o NSX Policygroup where Indirect _____= '' se encuentran deshabilitadas.

Consultas avanzadas

A continuación se muestran algunos ejemplos de consultas avanzadas:

Consultas de flujo para patrones de comunicaciónn Tráfico total entre centros de datos o sitios (uso del vínculo de DCI)

sum(bytes) of flows where ( Dst Manager = 'abc' AND src manager = 'cba') OR ( Dst Manager

= 'cba' AND src manager = 'abc')

n Tráfico total de VTEP

n sum(bytes) of flows where Flow Type = 'Src is VTEP' or flow type = 'Dst is VTEP' VTEP

traffic grouped by VMKNIC

n sum(bytes) of flows where Flow Type = 'Src is VTEP' or Flow Type = 'Dst is VTEP' group

by ip

n Otro tráfico de administración

flows where Flow Type = 'Source is VMKNIC' or Flow Type = 'Destination is VMKNIC'

Consultas de flujo para agregado y agrupaciónn Tráfico total de Internet por máquina virtual de origen

sum(bytes) of flows where Flow Type = 'Internet' group by src vm

n Puertos principales por bytes totales

sum(bytes) of flow group by port order by sum(bytes)

n Pares de subredes principales por volumen de tráfico enrutado

sum(bytes) of flow where Flow Type = 'Routed' group by Source Subnet Network, destination

subnet network order by sum(bytes)

n Total de máquinas virtuales por total de bytes de pares

sum(bytes) of flows group by src vm , dest vm order by sum(bytes)

n Puerto/máquina virtual de servidor principales por total de bytes

sum(bytes) of flows group by dest vm , port order by sum(bytes)


VMware, Inc. 257

Consultas de flujo para estimación y dimensionamiento decapacidadn Total de bytes de todo el tráfico de vm-internet/internet-vm agrupado por ESX (dimensionamiento

de máquina virtual del servicio de Palo Alto)

sum(bytes) of flows where flow type = 'internet' and (flow type = ' src is vm ' OR flow

type = 'destination is vm ') group by host order by sum(bytes)

n Series de tráfico agregado para flujos coincidentes (dimensionamiento de máquina virtual del serviciode Palo Alto)

series( sum(byte rate)) of flows where host = 'ddc1-pod2esx012.dm.democompany.net' and

(Flow Type = 'Source is VM' OR flow type = 'Destination is VM')

Consultas útiles para la aplicaciónn Máquinas virtuales en una aplicación determinada

VM where application = 'CRM'

n Flujos enrutados de una aplicación determinada

Flows where source application = CRM and Flow Type = 'Routed'

n Flujos entre dos niveles (unidireccional)

Flows where src tier = 'App' and Destination Tier = 'DB'

n Flujos entre dos niveles (unidireccional)

Flows where ( src tier = 'App' and destination Tier = 'DB') OR (destination tier = 'App'

and source tier = 'DB')

Consultas útiles para máquina virtual y ESXn Propiedades de máquina virtual Prod -Midtier-1 (MAC, IP, host, etc.)

CPU Usage Rate, Network Rate, Memory Usage Rate, mac address, ip , vxlan , host of vm

'Quality control-VM26'

n Segmentos de red con el recuento de máquinas virtuales más alto

vm group by l2 network

n Almacenes de datos con el recuento de máquinas virtuales más alto

vm group by datastore

n Hosts por versión de vSphere

host group by version

n Hosts por compilaciones de vSphere

host group by OS


VMware, Inc. 258

n Todas las máquinas virtuales en todos los hosts o las hojas colocados en un chasis de UCSespecífico (consulta anidada)

vm where host in (host where Blade like 'sys/chassis-1')

Consultas útiles: capacidad generaln Cantidad de centros de datos

count of datacenter

n Cantidad de clústeres

count of cluster

n Número de hosts

count of host

n Número de máquinas virtuales

count of vm

n Cantidad de redes

count of vlan

Consultas útiles: rutasn VNI por controladora principal

vxlan group by Primary Controller

n Rutas para la instancia de Edge 3 de proveedor

routes where vrf = 'Provider Edge 3'

n Rutas de DLR de DMZ

NextHop Router of routes where VRF = 'LDR-DMZ'

n Rutas que tienen el enrutador especificado como próximo salto

routes where NextHop Router = 'California-Edge'

Consultas útiles: reglas de firewalln Reglas de firewall entre dos máquinas virtuales

firewall rules from 'Prod-Midtier-1' to 'Prod-Db-1'

n Reglas con origen ANY

firewall rules where Service Any = true

n Máquinas virtuales para una regla específica

vm where Firewall Rule = 'Prod MidTier to Prod DB - DBService '

n Reglas de firewall en las que se permite cualquier puerto


VMware, Inc. 259

firewall rule where action = allow and service any = true

n Flujos que alcanzan una regla de firewall determinada

flows where firewall rule = 'Admin to Prod and Lab - SSH'

n Flujos denegados en el sistema

flows where firewall action = deny

Consultas útiles: patrones de tráfico generalesn Recuento de tráfico de este a oeste y de norte a sur, recuento de tráfico conmutado, recuento de

tráfico enrutado y recuento de tráfico de máquina virtual a máquina virtual

plan security in last 7 days

Consultas útiles: tráfico procedente de un lente de seguridadn Detalles de máquinas virtuales de principales comunicadores

top 7 vm group by name, Vlan order by sum(Total Network Traffic) in last 7 days

n Redes que transmiten la mayor parte del tráfico

top 7 vlan group by Vlan id, vm count order by sum(Total Network Traffic) in last 7 days

n Redes en las que la mayor parte de la comunicación ocurre dentro de la VLAN (no se cruza con unfirewall físico o un límite de capa 3)

top 7 flow where Flow Type = 'Switched' group by Subnet Network order by sum(Bytes) in

last 7 days

n Redes en las que la mayor parte de la comunicación ocurre a través de la VLAN (esto puede estarcausando problemas de cuello de botella en el firewall físico)

top 7 flow where Flow Type = 'Routed' group by Source Subnet Network, Destination Subnet

Network order by sum(Bytes) in last 7 days

n Máquinas virtuales que se comunican fuera del país

top 7 flow where Destination Country != 'United States' group by Source VM, Destination

Country order by sum(Bytes) in last 7 days

n Almacenes de datos que presentan la mayor parte de la latencia de almacenamiento

avg(Read Latency), avg(Write Latency) of top 7 vm group by Datastore, vlan order by

avg(Write Latency) in last 7 days

Consultas útiles: cumplimiento/vulnerabilidadesn Detalles de sistemas operativos vulnerables


VMware, Inc. 260

vm where Operating System like 'Microsoft Windows Server 2003' or Operating System like

'Microsoft Windows Server 2008' or Operating System like 'Red Hat Enterprise Linux 6' or

Operating System like 'Red Hat Enterprise Linux 5' or Operating System like 'SUSE Linux

Enterprise 10' group by vlan, Operating System

n Recuento de sistemas operativos vulnerables

count of vm where Operating System like 'Microsoft Windows Server 2003' or Operating

System like 'Microsoft Windows Server 2008' or Operating System like 'Red Hat Enterprise

Linux 6' or Operating System like 'Red Hat Enterprise Linux 5' or Operating System like

'SUSE Linux Enterprise 10'

n Superficie de ataque total debido a sistemas operativos antiguos

vm where vlan in (vlan of vm where os in ('Microsoft Windows Server 2003', 'Microsoft

Windows Server 2008', 'Red Hat Enterprise Linux 6', 'Red Hat Enterprise Linux 5', 'SUSE

Linux Enterprise 10')) group by Vlan

count of vm where vlan in (vlan of vm where os in ('Microsoft Windows Server 2003',

'Microsoft Windows Server 2008', 'Red Hat Enterprise Linux 6', 'Red Hat Enterprise Linux

5', 'SUSE Linux Enterprise 10'))

Nota Para obtener la regla de firewall recomendada para el sistema operativo vulnerable, consulteRegla de firewall recomendada para proteger un sistema operativo vulnerable.

Control del tiempo

El control del tiempo permite ejecutar una consulta de búsqueda dentro del contexto de una hora o unrango de tiempo seleccionados. Puede seleccionar a partir de una lista de valores predeterminados,como las últimas 24 horas, los últimos 3 días, etc. También puede especificar una fecha y una horaconcretas con la opción A las o incluso un rango mediante la opción Entre.

Resultados de búsquedaLa página Resultados de búsqueda proporciona una lista detallada de las entidades afectadas quecoinciden con una búsqueda específica. La página en sí proporciona información abundante. Estaabarca la lista de entidades, las propiedades correspondientes y las facetas para filtrar los resultados yafinar la búsqueda.

También se puede expandir o contraer cada entrada de los resultados de búsqueda para ver másinformación sobre una entrada específica. También se puede crear una notificación para cada búsqueda.

Nota Es posible apuntar a una propiedad determinada en los resultados de búsqueda y en las páginasde entidades para ver un cuadro de información sobre la herramienta con más información sobre lapropiedad.

El siguiente gráfico muestra los resultados de búsqueda de VXLAN donde la búsqueda num vms > 0consulta una hora del pasado.


VMware, Inc. 261

Filtros

Una vez que obtenga los resultados de búsqueda, haga clic en Agregar más filtros en el panel izquierdosegún sus requisitos. Se mostrará una serie de categorías de filtros que puede utilizar para delimitar losresultados de búsqueda. La cantidad de filtros disponibles para cada categoría se menciona en unpequeño cuadro junto a la categoría. Vea los filtros disponibles para esa categoría (junto con una breve


VMware, Inc. 262

explicación de cada filtro) y haga clic para aplicar ese filtro. También puede usar el cuadro de búsquedade filtros para buscar un filtro determinado; vRealize Network Insight mostrará automáticamente los filtrosque coinciden con su consulta de búsqueda. Puede hacer clic para aplicar ese filtro. Cada filtro tienevarias propiedades para refinar los resultados de búsqueda. Al seleccionar una propiedad de filtro de unode los filtros, se resaltará la propiedad seleccionada en los resultados de búsqueda.

Etiquetas de vCentervRealize Network Insight proporciona etiquetas de vCenter para búsqueda y planificación.

Puede realizar una búsqueda de máquinas virtuales en función de las etiquetas de vCenter y losatributos personalizados. Por ejemplo, puede utilizar la siguiente consulta para buscar con etiquetas:

vm where tag = ‘{keyname}:{value}’

Cada etiqueta pertenece a una categoría. En el ejemplo anterior, keyname es la categoría a la quepertenece la etiqueta y value es el nombre de la etiqueta.

También puede proporcionar un nombre alternativo para una máquina virtual mediante las etiquetas devCenter o los atributos personalizados con la clave name. Este nombre alternativo se muestra como lapropiedad other names. También es posible buscar y realizar consultas de ruta mediante el nombrealternativo.

Por ejemplo, se admiten las siguientes consultas:

vm “other-name-1”

vm “other-name-1" to vm “other-name-2”

En este ejemplo, other-name-1 y other-name-2 son atributos personalizados con las etiquetas o la clavename que pertenecen a la categoría name.

También puede analizar los flujos de la red con las etiquetas de vCenter como se muestra en la figura.


VMware, Inc. 263

Para usar las etiquetas de vCenter, seleccione la opción Etiqueta de la lista desplegable Analizar flujos.

También puede seleccionar hasta tres etiquetas en este nivel. Después de seleccionar la etiqueta, hagaclic en Analizar.

En Criterios de agrupación, se seleccionó Etiqueta.


VMware, Inc. 264


VMware, Inc. 265

Planificación de la recuperaciónante desastres para vRealizeNetwork Insight 18VMware Site Recovery Manager (SRM) es un software de automatización de recuperación antedesastres que proporciona administración basada en directivas, pruebas no disruptivas y orquestaciónautomatizada. vRealize Network Insight es compatible con SRM 8.1 y versiones posteriores. Paraproteger vRealize Network Insight, SRM automatiza cada aspecto de la ejecución de un plan derecuperación ante desastres con el fin de acelerar la recuperación y eliminar los riesgos implicados en eluso de un proceso manual.

Para obtener información sobre la instalación, la actualización y la configuración de SRM, consulte ladocumentación de VMware Site Recovery Manager.

Los requisitos previos para la operación de recuperación ante desastres de vRealize Network Insight sonlos siguientes:

n Asegúrese de haber instalado y configurado vSphere Replication.

n SRM debe estar implementado y configurado en los sitios protegidos y de recuperación.

n En la interfaz de usuario de SRM, asegúrese de que la configuración de emparejamiento de sitiossea correcta antes de continuar con la creación del plan de recuperación y de otros componentes.

n VMware vSphere Replication debe estar habilitado para cada uno de los nodos protegidos de laconfiguración de vRNI en contexto. Al habilitar VMware vSphere Replication, proporcione un RPOsuficiente. Para ello, tenga en cuenta el uso y el tamaño de nodo de vRealize Network Insight, demodo que la pérdida de datos esperada durante un desastre sea mínima. Para obtener másinformación sobre la replicación, consulte la documentación de VMware vSphere Replication.

n Asegúrese de crear un grupo de protección independiente para vRealize Network Insight. Paraimplementaciones pequeñas no distribuidas, asegúrese de que todas las máquinas virtuales seencuentren en el mismo grupo de protección. Para las implementaciones distribuidas, se recomiendacolocar todas las plataformas en un solo grupo de protección para facilitar la recuperación. Puedecolocar los recopiladores en grupos de protección diferentes.

n Cree un plan de recuperación y agregue los grupos de protección que contienen máquinas virtualesde vRealize Network Insight a este plan. Asegúrese de que el grupo de protección que contiene losnodos de la plataforma obtenga la mayor prioridad. En el plan de recuperación, asegúrese de que elnodo de la plataforma principal se coloque en un grupo de mayor prioridad que los demás nodos dela plataforma.

n Actualmente, no se admite ningún tipo de personalización de IPv4 con SRM.

VMware, Inc. 266

https://docs.vmware.com/es/Site-Recovery-Manager/index.html

https://docs.vmware.com/es/vSphere-Replication/index.html

Se recomienda migrar o recuperar las máquinas virtuales de vRealize Network Insight a unaconfiguración de red idéntica. Además, por una recomendación de SRM, se pueden ejecutar pruebas deforma periódica para garantizar que el plan existente funcione con la infraestructura subyacente y ellímite de RPO configurado.

n Migre o recupere las máquinas virtuales de vRealize Network Insight a una configuración de redidéntica.

Si el sitio de recuperación se configuró para tener la misma configuración de red que el sitioprotegido y se creó una asignación entre redes idénticas, configure todas las máquinas virtuales devRealize Network Insight replicadas para que se inicien con las mismas direcciones IP. Estasmáquinas virtuales serán los nodos protegidos. El sistema recuperado se pondrá en funcionamientodespués de que se hayan completado correctamente la migración o la recuperación ante desastresplanificadas.

n No especifique ninguna personalización de IP para un plan de recuperación si el sitio derecuperación no tiene la misma red que el sitio protegido. En este escenario, SRM se utiliza para larecuperación de las máquinas virtuales de dispositivo. Para configurar la red después de larecuperación, asigne manualmente la configuración de red de la siguiente manera:

1 Ejecute el comando change-network-settings simultáneamente en todos los nodos de plataforma.

2 Ejecute el comando update-IP-change de forma consecutiva en los nodos de Platform1, Platform2 yPlatform3.

3 Ejecute vrni-proxy set-platform --ip-or-fqdn <with-updated-ip-of-Platform1> en el nodo derecopilador.

4 Compruebe el estado de los servicios. Si algunos de los servicios de los nodos de plataforma noestán en ejecución, reinicie los nodos en el orden recomendado.

Nota Para obtener más información sobre los comandos mencionados anteriormente, consulte Guía dereferencia de línea de comandos de vRealize Network Insight.


n Escenario de recuperación ante desastres de ejemplo

Escenario de recuperación ante desastres de ejemplo

Estos son los pasos para un escenario de recuperación ante desastres (Disaster Recovery, DR) devRealize Network Insight de ejemplo:

Procedimiento

1 Asegúrese de que SRM se encuentre configurado y en funcionamiento en los sitios con protección yde recuperación.


VMware, Inc. 267

2 Configure la replicación de cada uno de los nodos de vRealize Network Insight que desea proteger.Durante la configuración de la replicación, proporcione un tiempo adecuado de objetivos de punto derecuperación (Recovery Point Objectives, RPO) para la instancia de vRealize Network Insight. Porejemplo, si se trata de una implementación de vRealize Network Insight con una sola plataforma ynodos de recopilador (tamaño mediano), un RPO de 45 minutos es suficiente. Sin embargo, si setrata de un clúster con nodos que contienen ladrillos de gran tamaño, se debe proporcionar un RPOadecuado. La configuración del intervalo de instantáneas es específica del requisito y del entorno delusuario.

3 Cree un grupo de protección. Incluya las máquinas virtuales que desea proteger en un grupo deprotección específico.

4 Cree un plan de recuperación que incluya los grupos de protección correspondientes.

5 Realice una recuperación de prueba. Esto sirve para garantizar que el plan de recuperación funcionesegún lo esperado.

6 SRM recomienda que los usuarios realicen una migración planificada en intervalos regulares paravalidar la integridad del plan de recuperación ante desastres existente.


VMware, Inc. 268

7 Supongamos que el sitio de recuperación tiene una configuración de red que fuerza a las máquinasvirtuales de vRealize Network Insight a presentar las nuevas direcciones IP. Recupere las máquinasvirtuales de vRealize Network Insight con un plan de recuperación que no asuma ningún cambio dered para las máquinas virtuales recuperadas. Una vez que vRealize Network Insight informe que laoperación de recuperación de las máquinas virtuales se realizó correctamente, asigne nuevasdirecciones IP de forma manual a los nodos de vRealize Network Insight, aplique nuevos certificadosy vuelva a inicializar el clúster.

8 Por el momento no se admite la personalización de IPv4 con SRM; como solución alternativa, puederealizar una recuperación ante desastres con vRealize Network Insight, como si no existiera ningúncambio de red.

Para asignar manualmente la configuración de red:

a Ejecute el comando change-network-settings simultáneamente en todos los nodos deplataforma.

b Ejecute el comando update-IP-change de forma consecutiva en los nodos de Platform1,Platform2 y Platform3.

c Ejecute vrni-proxy set-platform --ip-or-fqdn <with-updated-ip-of-Platform1> en el nodode recopilador.

d Compruebe el estado de los servicios. Si algunos de los servicios de los nodos de plataforma noestán en ejecución, reinicie los nodos en el orden recomendado.


VMware, Inc. 269

Solucionar problemas 19Este capítulo incluye los siguientes temas:

n Errores comunes de los orígenes de datos

n No se puede habilitar IPFIX de DFW

Errores comunes de los orígenes de datosCuando se agrega un origen de datos, se pueden encontrar varios errores. Esta tabla contiene la lista deerrores comunes con la causa y la resolución de cada uno.

Tabla 19-1.

Texto del error Causa Resolución

Respuesta no válida del origen de datos El proxy de vRealize Network Insight nopudo procesar la información recibidadel origen de datos debido a que lainformación no estaba en el formatoesperado.

En algunos proveedores de datos, esteproblema se observa de formaintermitente y puede desaparecer en elsiguiente ciclo de sondeo. Si esto sucedeconstantemente, póngase en contacto conel soporte técnico.

No se puede acceder al origen de datosdesde la máquina virtual proxy

No se puede acceder a la dirección IPdel origen de datos en SSH/REST(puertos 22 o 443) desde la máquinavirtual proxy de vRealize NetworkInsight, o bien el origen de datos noresponde. Este error se produce alagregar el origen de datos.

Compruebe la conectividad con el origende datos desde la máquina virtual deproxy de vRealize Network Insight en lospuertos 22 o 443. Asegúrese de que elorigen de datos funcione y que el firewallno bloquee la conexión desde la máquinavirtual proxy de vRealize Network Insighthacia el origen de datos.

No se encontró NSX Controller Se seleccionó una instancia de NSXController en la página de orígenes dedatos de NSX Manager, pero no existeninguna instancia de NSX Controllerinstalada.

Instale una instancia de NSX Controller enNSX Manager y, a continuación,seleccione la casilla de NSX Controller enla página de orígenes de datos de NSXManager.

El tipo de origen de datos o la versión nocoinciden

La dirección IP o el FQDN del origen dedatos proporcionados no pertenecen altipo de origen de datos seleccionado.

Compruebe que la dirección IP o el FQDNdel origen de datos proporcionadospertenezcan al tipo de origen de datosseleccionado y que la versión seacompatible con vRealize Network Insight.

VMware, Inc. 270



Error en la conexión con el origen dedatos

La máquina virtual proxy de vRealizeNetwork Insight no puede conectarse alorigen de datos. Este error se producedespués de agregar el origen de datos.

Compruebe la conectividad con el origende datos desde la máquina virtual deproxy de vRealize Network Insight en lospuertos 22 o 443. Asegúrese de que elorigen de datos funcione y que el firewallno bloquee la conexión desde la máquinavirtual proxy de vRealize Network Insighthacia el origen de datos.

No se encuentra No se encuentra la máquina virtual proxyde vRealize Network Insight.

Compruebe si se ejecuta elemparejamiento la máquina virtual proxyde vRealize Network Insight y la máquinavirtual de plataforma de vRealize NetworkInsight.

Privilegios insuficientes para habilitarIPFix

El usuario que intenta habilitar IPFIX envCenter no tiene los siguientesprivilegios: DVSwitch.Modify;DVPortgroup.Modify.

Proporcione los privilegios adecuados alusuario.

IP/FQDN no válidos La dirección IP o el FQDNproporcionados en la página del origende datos no son válidos o no existen.

Proporcione una dirección IP o un FQDNválidos.

No se reciben datos La máquina virtual de plataforma devRealize Network Insight no recibe datosde la máquina virtual proxy de vRealizeNetwork Insight para ese origen dedatos.

Póngase en contacto con el soportetécnico.

Credenciales no válidas Las credenciales proporcionadas no sonválidas.

Proporcione las credenciales correctas.

Cadena de conexión no válida La dirección IP o el FQDNproporcionados en la página del origende datos no tiene el formato correcto.

Proporcione una dirección IP o un FQDNválidos.

Es posible que los datos recientes noestén disponibles debido a un retraso deprocesamiento

La máquina virtual de plataforma devRealize Network Insight estásobrecargada y retrasada en elprocesamiento de datos.

Póngase en contacto con el soportetécnico.

Se agotó el tiempo de espera de lasolicitud; vuelva a intentarlo

No se pudo completar la solicitud en eltiempo especificado.

Vuelva a intentarlo. Si el problema no sesoluciona, póngase en contacto con elsoporte técnico.

Error por motivos desconocidos; vuelva aintentarlo o póngase en contacto con elsoporte técnico

Se produjo un error en la solicitud poralgún motivo desconocido.

Vuelva a intentarlo. Si el problema no sesoluciona, póngase en contacto con elsoporte técnico.


VMware, Inc. 271



Es necesario habilitar la autenticación concontraseña para SSH en el dispositivo

El inicio de sesión en SSH mediantecontraseña está deshabilitado en eldispositivo agregado.

Habilite la autenticación con contraseñapara SSH en el dispositivo que planeaagregar para la supervisión.

Se produjo un error de conexión SNMP Se produjo un error en la conexión conel puerto SNMP.

Compruebe si SNMP se configurócorrectamente en el dispositivo dedestino.

No se puede habilitar IPFIX de DFWvRealize Network Insight no permite habilitar IPFIX de DFW.

Problema

Al agregar un administrador de directivas o un origen de VMware Cloud on AWS, cuando se intentahabilitar IPFIX de DFW, es posible que se muestren los siguientes mensajes de error:

n No se pueden agregar nuevos recopiladores.

n El usuario proporcionado no tiene la función necesaria. Solo los usuarios con la siguiente

función pueden habilitar IPFIX: Administrador de nube.

Causa

n VMware Cloud on AWS solo admite cuatro recopiladores en el perfil de recopilador de IPFIX deDFW. Por tanto, se mostrará el mensaje

No se pueden agregar nuevos recopiladores

cuando el perfil existente ya tenga cuatro recopiladores.


VMware, Inc. 272

n El usuario no tiene permiso de escritura. Solo los usuarios con la función Administrador de nubepueden realizar la operación de escritura en el administrador de directivas de VMware Cloud onAWS.

Solución

u Para agregar un nuevo recopilador, debe realizar lo siguiente:

n Eliminar un recopilador existente, o bien

n Crear un nuevo perfil


VMware, Inc. 273

u Para evitar o solucionar el problema con la función de usuario, realice uno de los siguientes pasos:

n Asigne al usuario la función Administrador de nube.

n O bien, inicie sesión como usuario con la función Administrador de nube.


VMware, Inc. 274

Planificación de la migración deaplicaciones a VMware Cloud onAWS con vRealize NetworkInsight 20Con vRealize Network Insight, puede evaluar el entorno local para la migración de aplicaciones a AWS oa VMware Cloud on AWS.

Pasos Procedimiento Referencias

Paso 1 Configurar elentorno

n Acepte el contrato de licencia de usuario final (CLUF).

a Cree una cuenta de usuario de VMware o inicie sesión en la cuenta de VMware.

b Actualice el formulario de registro.

Los usuarios nuevos recibirán un correo electrónico para activar su cuenta.

c Acepte los términos y el CLUF de VMware.

n Descargue los archivos OVA.

a Inicie sesión en la página de descarga de productos de VMware en https://my.vmware.com/group/vmware/home.

b Busque vRealize Network Insight.

c Descargue los últimos archivos OVA para el proxy y la plataforma de vRealize NetworkInsight.

n Prepárese para la instalación.

a Revise la sección Recomendaciones y requisitos del sistema.

b Revise la sección Productos y versiones compatibles.

Paso 2 Implementar 1 Implemente el archivo OVA de la plataforma de vRealize Network Insight.

2 Active la licencia.

3 Genere un secreto compartido.

4 Implemente el archivo OVA del proxy de vRealize Network Insight.

5 Implemente vRealize Network Insight en VMware Cloud on AWS (VMC).

VMware, Inc. 275

https://my.vmware.com/group/vmware/home

https://my.vmware.com/group/vmware/home

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.install.doc/GUID-F4F34425-C40D-457A-BA65-BDA12B3ABE45.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.install.doc/GUID-4BA21C7A-18FD-4411-BFAC-CADEF0050D76.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.install.doc/GUID-080518F2-2383-4E7F-A63C-71EB3AA23432.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.install.doc/GUID-6C092864-F842-4743-A3F1-9DD00DE47581.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.install.doc/GUID-0B1CE539-76B1-422E-A6D8-56F774192A09.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.install.doc/GUID-613C6A66-2155-4AAD-A011-FB3B5DF7BF7A.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.using.doc/GUID-EAA4AC4A-162E-4C5B-BFBA-6B51D6E685A8.html

Pasos Procedimiento Referencias

Paso 3 Agregar origen dedatos

1 Inicie sesión en vRealize Network Insight mediante las credenciales de inicio de sesiónpredeterminadas.

2 Agregue una instancia de vCenter Server.

3 Agregue la instancia local de NSX Manager y los conmutadores subyacentes. Para obtenermás información sobre los procedimientos, consulte Agregar orígenes de datos.

4 Agregue una instancia de vCenter de VMC.

5 Agregue una instancia de NSX Manager de VMC.

Paso 4 Aplicar el modelo n Analice las dependencias de aplicaciones.

a Cree una aplicación.

b Cree niveles para IP físicas.

c Analice la aplicación.

d VMC: planificación y microsegmentación.

n Analice las reglas de firewall recomendadas.

n Realice una búsqueda.

n Cree y utilice paneles de pines.


n Cómo obtener el token de actualización de CSP para NSX Manager

n Cómo obtener credenciales de vCenter

n Regla de firewall de puerta de enlace de cómputo

Cómo obtener el token de actualización de CSP para NSXManagerPara agregar una instancia de NSX Manager de VMware Cloud on AWS como origen de datos envRealize Network Insight, se requiere un token de actualización.


VMware, Inc. 276

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.install.doc/GUID-4C2FFE72-BEC4-44DE-89DF-5AA64F7A3DB5.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.install.doc/GUID-4C2FFE72-BEC4-44DE-89DF-5AA64F7A3DB5.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.install.doc/GUID-B9F6B6B4-5426-4752-B852-B307E49E86D1.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.install.doc/GUID-FBE2004D-33E9-4A70-A1A1-44509FD4CD53.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.using.doc/GUID-5644520F-3D7B-40EA-8CFD-B1D8F98C0C0B.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.using.doc/GUID-324354BB-6292-4F6E-A65C-8275097D0A7A.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.using.doc/GUID-18129BE3-F2BC-4E5E-95DD-8B9151CB7C9C.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.using.doc/GUID-7BE9D2D6-0F87-44D7-A8EB-FB70FB61A384.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.using.doc/GUID-90EB3B28-6014-4605-A911-5F3C966B44FA.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.using.doc/GUID-44347AF3-F4C4-4AD8-9E93-84994B859159.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.using.doc/GUID-E0435947-3DF0-48D6-BCCF-0F3CCC86BAE3.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.using.doc/GUID-C0975642-0B6E-45F6-8386-1AC6A91AD079.html

https://docs.vmware.com/es/VMware-vRealize-Network-Insight/4.0/com.vmware.vrni.using.doc/GUID-6D24C6B1-55B2-4191-BBB2-0D8FBB01088F.html

Procedimiento

1 Inicie sesión en la consola de servicios de VMware Cloud.

2 En Mis servicios, haga clic en VMware Cloud on AWS.


VMware, Inc. 277

3 Seleccione el centro de datos definido por software (Software-Defined Data Center, SDDC) quedesee.

4 Haga clic en la pestaña Soporte.

5 Anote la dirección IP de NSX Manager.

6 Haga clic en el nombre de la organización en el banner superior.

Nota Asegúrese de que la organización se encuentre en el SDDC seleccionado.


VMware, Inc. 278

7 En la pestaña Tokens de API, copie el token de actualización.

El token de actualización es válido por seis meses. vRealize Network Insight no realiza unseguimiento del ciclo de vida del token.

Puede utilizar este token para autenticar todos los SDDC de VMware Cloud on AWS en la organización.

Cómo obtener credenciales de vCenterPara agregar un origen de datos de vCenter a vRealize Network Insight, se requieren credenciales devCenter.


VMware, Inc. 279

Procedimiento

1 Inicie sesión en la consola de servicios de VMware Cloud.

2 En Mis servicios, haga clic en VMware Cloud on AWS.


VMware, Inc. 280

3 Seleccione el centro de datos definido por software (Software-Defined Data Center, SDDC) quedesee.

4 Haga clic en la pestaña Configuración.

5 Expanda el FQDN de vCenter.

Anote los detalles del FQDN de vCenter.


VMware, Inc. 281

6 Expanda la cuenta de usuario de vCenter predeterminada para obtener el nombre de usuario y lacontraseña.

Copie la contraseña y anote el nombre de usuario.

Regla de firewall de puerta de enlace de cómputoCuando se comunica con la plataforma de vRealize Network Insight, el recopilador requiere que el puertoHTTPS 443 se encuentre abierto para el tráfico saliente.

El recopilador accede mediante el firewall a las siguientes URL alojadas de VMware:

n *.vmwareidentity.com

n gaz.csp-vidm-prod.com

n *.vmware.com

n *.ni-onsaas.com

Además, se debe permitir el tráfico de NTP y DNS para el correcto funcionamiento de vRealize NetworkInsight o el recopilador de vRealize Network Insight.

Cree una regla de firewall con los siguientes detalles:

n Nombre: un nombre descriptivo adecuado

n Origen: el nombre del grupo de VMware Cloud on AWS que contiene la dirección IP del recopilador.

n Destino: seleccione CUALQUIERA

n Servicios: seleccione HTTPS, DNS, DNS-UDP, NTP, ICMP

n Acción: Permitir

n Se aplica a: Interfaz de Internet


VMware, Inc. 282

n Registro: habilite el registro (si es necesario)


VMware, Inc. 283

VMware · Contenido 1 Acerca de la guía de usuario de vRealize Network Insight 9 2 Introducción...

Documents

Transcript of VMware · Contenido 1 Acerca de la guía de usuario de vRealize Network Insight 9 2 Introducción...