Három hete a vForum-on, az előadásom előtt, egy másik előadó által vetített anyagban többször megjelent a vRealize Network Insight, de úgy gondolom, hogy igen kevéssé promotált itthon a termék, továbbá végképpen rosszul pozícionált, mivel nem csak NSX-el együtt működőképes és hasznos.
Mire jó?
Elsősorban az átáthatóság növelésére. Mármint a hálózati réteg sok komponense bevonható a szárnyai alá, így meg tudja jelentíteni a forgalom igen nagy részét, könnyen emészthető formában. Ennek detektálása, mérése egyszerűen biztosan nem megvalósítható. Ha az első ponttól az utolsóig szeretnénk látni az irányokat, forrás és cél IP-ket/hálózatokat, portokat és adatmennyiséget, akkor olyan rendszerre van szükség ami a „last mile” azaz a vSwitch-ben történő dolgokat is képes vizsgálni. Aláírom, hogy a vDS-ben ott a IPfix képesség, szóval azért ez nem teljesen igaz, viszont az már teljesen kizárt, hogy amennyiben lelkes NSX használók vagyunk, akkor ez képes a legjobban átvenni és kezelni a VMware-es entitásokat.
És pontosan itt van az első követelmény, méhozzá a Distributed vSwitch használata. Ha ez nincs, akkor nem lesz teljes a vRNI. Mindösszesen két virtuális gépet kell feltenni:
- vRealize Network Insight – Platform
- vRealize Network Insight – Proxy
Érdemes először a platform-ot importálni, mert majd szükséges lesz egy általa generált kód, a proxy telepítésekor. Magát a telepítést nem írom, le tényleg nagyon egyszerű.
Ha mindent jól csináltunk, akkor hamarosan az alábbi tetszetős kép fogad. Itt az „admin@local” felhasználóval kell belépni és a telepítéskor megadott jelszóval.
Belépés után az első dolog, amit meg is követel az egy vCenter hozzáadása a rendszerhez.
Többet is természetesen hozzá lehet állítani – ez javasolt is, hogy teljesebb képet kapjunk – illetve sok-sok más forrást és rendszert is. Itt az NSX Manager-t emelném ki, ráadásul itt már végre az NSX-T támogatás is ott van.
Az NSX Manager hozzáadása az NSX admin felhasználójának „admin” és jelszavának megadásával lehetséges. Amennyiben a controller-ek lelki világát is vizsgálni szeretnénk, akkor a controller-ek jelszavai is kellenek majd. Az Edge Data collection is kell, hogy az overlay minden részletét fel tudja deríteni, illetve az ESG-n található szolgáltatásokról is tudomást szerezzen.
Ha mindent beállítottunk, akkor kell neki kis idő, hogy értékelhető adatot tudjon prezentálni.
Mi van a képen? Nagyon sok olyan információ ami meglepő lehet bárkinek. A bal oldalon elég jól vizualizálva mutatja, hogy mely VLAN/VXLAN-ok, mely másik VLAN/VXLAN-nal, fizikai géppel vagy az internet irányába kommunikálnak, ráadásul milyen irányban. Ezek egyébként kattinthatóak is, tehát bármelyik összekötő élre kattintva megmutatja, a forrás és cél IP-t, portot, mikor történt a kommunikáció és mennyi forgalom ment át rajta. Egyébként ez körülbelül VM szintig le lehet bontani:
A bal felső sarok is megér egy misét, főleg az East-West mező. Na ez az amit egyébként tutira nem lehet jól mérni, még inkább a switch-elt forgalom ami ugye szegmenseken belüli forgalmat jelent. A routed az magáért beszél, illetve a Within host is. Ez utóbbi szintén olyan amit nehéz mérni. A jobb alsó pedig a VMware-ből kifelé irányuló forgalom, ami arányaiban elég erős 96% ellenében ugye csak 4%. A mérés három órányi adatot tartalmaz és élő környezetből származik – ezért is takartam ki a VLAN számokat.
A jobb alsó pedig jelzi, hogy melyek azok a portok, amelyeken a legtöbb forgalom bonyolódik.
Na kattintsunk rá az egyik élre, az egyik VLAN-ra:
Nagyon beszédes, lehet beszélni róla sokat, de a jobb felső sarok az érdekes, a „Recommended Firewall Rules”.
Tisztán látszik, hogy a hatodik sorban az „Others” az jelen esetben a teljes adatközpontomat jelenti és talán sejthető hogy a „Destination” mezőben a VLAN-X tartalmazhatja a syslog szervert, ezért is mutatja hogy UDP/514-et javasolja. Az „Export as CSV” funkcióval már mehet is élesbe az NSX DFW szabályok közé.
Szintén hasznos funkció lehet az audit képesség, azaz körülbelül minden a konfigurációt érintő változtatás, jegyzésre kerül. Így tehát mikor DHCP-n új IP-t kap például egy VDI gép.
A legfelső sorban található egy mező, amibe kvázi szabadon írható be bármi amit keresünk – Log Insight-ból ismerős lehet már – így például a hosztok CPU magjainak száma, ahol a CPU foglalatok száma kettő 🙂
Vagy például azon VM-ek listája ahol a CPU Ready, százalékosan meghaladja a 4%-ot.
Összefolgaló
Tényleg használható a termék és akár Assessment módban is használható, vDS persze kell hozzá, de érdemes megkeresni egy partnert, hogy csinálja meg – szóval keressetek bátran – mert alapvetően képes előállítani olyan riportokat, amelyek egy NSX mikroszegmentációs igény kialakítását vagy akár egy hosztot érintő hibaelhárítást is megoldhat.
Kérdés esetén: