vRealize Network Insight

Három hete a vForum-on, az előadásom előtt, egy másik előadó által vetített anyagban többször megjelent a vRealize Network Insight, de úgy gondolom, hogy igen kevéssé promotált itthon a termék, továbbá végképpen rosszul pozícionált, mivel nem csak NSX-el együtt működőképes és hasznos.

Mire jó?

Elsősorban az átáthatóság növelésére. Mármint a hálózati réteg sok komponense bevonható a szárnyai alá, így meg tudja jelentíteni a forgalom igen nagy részét, könnyen emészthető formában. Ennek detektálása, mérése egyszerűen biztosan nem megvalósítható. Ha az első ponttól az utolsóig szeretnénk látni az irányokat, forrás és cél IP-ket/hálózatokat, portokat és adatmennyiséget, akkor olyan rendszerre van szükség ami a „last mile” azaz a vSwitch-ben történő dolgokat is képes vizsgálni. Aláírom, hogy a vDS-ben ott a IPfix képesség, szóval azért ez nem teljesen igaz, viszont az már teljesen kizárt, hogy amennyiben lelkes NSX használók vagyunk, akkor ez képes a legjobban átvenni és kezelni a VMware-es entitásokat.

És pontosan itt van az első követelmény, méhozzá a Distributed vSwitch használata. Ha ez nincs, akkor nem lesz teljes a vRNI. Mindösszesen két virtuális gépet kell feltenni:

  • vRealize Network Insight – Platform
  • vRealize Network Insight – Proxy

Érdemes először a platform-ot importálni, mert majd szükséges lesz egy általa generált kód, a proxy telepítésekor. Magát a telepítést nem írom, le tényleg nagyon egyszerű.

Ha mindent jól csináltunk, akkor hamarosan az alábbi tetszetős kép fogad. Itt az „admin@local” felhasználóval kell belépni és a telepítéskor megadott jelszóval.

Belépés után az első dolog, amit meg is követel az egy vCenter hozzáadása a rendszerhez.

Többet is természetesen hozzá lehet állítani – ez javasolt is, hogy teljesebb képet kapjunk – illetve sok-sok más forrást és rendszert is. Itt az NSX Manager-t emelném ki, ráadásul itt már végre az NSX-T támogatás is ott van.

Az NSX Manager hozzáadása az NSX admin felhasználójának „admin” és jelszavának megadásával lehetséges. Amennyiben a controller-ek lelki világát is vizsgálni szeretnénk, akkor a controller-ek jelszavai is kellenek majd. Az Edge Data collection is kell, hogy az overlay minden részletét fel tudja deríteni, illetve az ESG-n található szolgáltatásokról is tudomást szerezzen.

Ha mindent beállítottunk, akkor kell neki kis idő, hogy értékelhető adatot tudjon prezentálni.

Mi van a képen? Nagyon sok olyan információ ami meglepő lehet bárkinek. A bal oldalon elég jól vizualizálva mutatja, hogy mely VLAN/VXLAN-ok, mely másik VLAN/VXLAN-nal, fizikai géppel vagy az internet irányába kommunikálnak, ráadásul milyen irányban. Ezek egyébként kattinthatóak is, tehát bármelyik összekötő élre kattintva megmutatja, a forrás és cél IP-t, portot, mikor történt a kommunikáció és mennyi forgalom ment át rajta. Egyébként ez körülbelül VM szintig le lehet bontani:

A bal felső sarok is megér egy misét, főleg az East-West mező. Na ez az amit egyébként tutira nem lehet jól mérni, még inkább a switch-elt forgalom ami ugye szegmenseken belüli forgalmat jelent. A routed az magáért beszél, illetve a Within host is. Ez utóbbi szintén olyan amit nehéz mérni. A jobb alsó pedig a VMware-ből kifelé irányuló forgalom, ami arányaiban elég erős 96% ellenében ugye csak 4%. A mérés három órányi adatot tartalmaz és élő környezetből származik – ezért is takartam ki a VLAN számokat.

A jobb alsó pedig jelzi, hogy melyek azok a portok, amelyeken a legtöbb forgalom bonyolódik.

Na kattintsunk rá az egyik élre, az egyik VLAN-ra:

Nagyon beszédes, lehet beszélni róla sokat, de a jobb felső sarok az érdekes, a „Recommended Firewall Rules”.

Tisztán látszik, hogy a hatodik sorban az „Others” az jelen esetben a teljes adatközpontomat jelenti és talán sejthető hogy a „Destination” mezőben a VLAN-X tartalmazhatja a syslog szervert, ezért is mutatja hogy UDP/514-et javasolja. Az „Export as CSV” funkcióval már mehet is élesbe az NSX DFW szabályok közé.

Szintén hasznos funkció lehet az audit képesség, azaz körülbelül minden a konfigurációt érintő változtatás, jegyzésre kerül. Így tehát mikor DHCP-n új IP-t kap például egy VDI gép.

A legfelső sorban található egy mező, amibe kvázi szabadon írható be bármi amit keresünk – Log Insight-ból ismerős lehet már – így például a hosztok CPU magjainak száma, ahol a CPU foglalatok száma kettő 🙂

Vagy például azon VM-ek listája ahol a CPU Ready, százalékosan meghaladja a 4%-ot.

Összefolgaló

Tényleg használható a termék és akár Assessment módban is használható, vDS persze kell hozzá, de érdemes megkeresni egy partnert, hogy csinálja meg – szóval keressetek bátran – mert alapvetően képes előállítani olyan riportokat, amelyek egy NSX mikroszegmentációs igény kialakítását vagy akár egy hosztot érintő hibaelhárítást is megoldhat.

Kérdés esetén: