超融合HCI

深信服超融合SANGFOR HCI是面向下一代数据中心的软件定义基础架构,通过虚拟化技术融合计算、存储、网络和安全等资源,并提供运维管理、容灾备份、智能监控等高级特性,帮助用户构建极简、稳定、高性能的云化数据中心基石。
点击可切换产品版本
知道了
不再提醒
HCI6.9.0
{{sendMatomoQuery("超融合HCI","网络可视化")}}

网络可视化

更新时间:2023-06-14

功能说明

网络可视化(aNIAdvanced Network Insight)实现虚拟机访问关系自动采集梳理,新增资产自动添加展示,及时同步资产情况。从业务的角度提供直观、清晰的虚拟机间的访问关系拓扑图和访问详情,便于优化策略配置、发现业务访问风险、减少风险端口暴露。

注意事项

  1. 单主机访问关系记录数超出规格限制,会导致超负荷的虚拟机随机丢包,访问关系数据丢失。规格要求如下:

规格

核数

内存

存储

适用虚拟机总数

小型

8

16GB

500GB

100

中型

32

64GB

1T

1000

大型

64

128GB

1.5T

3000

  1. 暂不支持采集虚拟路由器/虚拟交换机之间的流量、NFV的流量。
  2. 暂不支持IPv6流量信息采集。
  3. 超融合平台对虚拟机进行IP变更操作时,流量可视化服务更新将会延迟,一条流最晚更新时间为5min
  4. 网络可视化授权集成在aNET中,无需单独开通授权。
  5. aNI虚拟机密码限制3个月强制修改一次。
  6. 界面暂不支持展开超过100台虚拟机的分组。
  7. 只采集经过DFW的流量(670DFW默认是开启的),不经过DFW的流量无法采集上报。(虚拟路由器、虚拟交换机之间的流量、NFV均不采集)

前提条件

操作步骤

  1. 进入[网络安全/网络可视化]页面,点击<配置指引>按钮,可参照指引完成网络可视化部署。

  1. 点击<立即部署>按钮,进入导入虚拟机页面,按向导提示,导入访问关系虚拟机aNIvma文件,选择虚拟机分组、存储位置、存储策略、运行位置。

虚拟机导入后,请查看下图所示向导,根据现有虚拟机数量,按照小型、中型、大型规格,编辑模板虚拟机的参数,其中存储容量主要用于存储平台上30天内存在访问关系的虚拟机的全部流数据。

  1. 导入成功后,进入[编辑虚拟机]界面,进行网卡配置。勾选“启用”,连接到物理出口,点击<修改配置>按钮,选择“使用IPv4地址”,配置aNI虚拟机IP地址,作为“网络可视化”管理网络(此处需规划与超融合管理网段能够互通,推荐与超融合管理网同一网段)。

  1. 启用合作伙伴服务端口,开启合作伙伴服务,否则将无法访问网络可视化服务。

  1. 将虚拟机开机,进入虚拟机控制台,进行平台认证配置。

步骤1.输入云安全中心的密码登录。注意:首次登录需要修改密码,仅有5次试错密码的机会,若5次均输入错误,则账号会被锁定5min5min后才可再次输入。默认密码为Sfcsec@123,密码修改策略如下:

密码长度应为8-64个字符且不能包含用户名;

密码必须包含大、小写字母,数字,特殊字符4种类型字符。

步骤2.修改后需要重新登录,选择“平台认证配置”,平台类型配置选择“HCI”。

步骤3.输入集群IP、用户名、密码,完成平台认证配置。

  1. 平台认证配置成功后,重新进入[网络可视化]页面,点击<已完成,开启功能>按钮,进入网络可视化页面。

  1. 在可视化页面可以看到平台上所有虚拟机的访问情况。右上角高级筛选,支持按照不同条件进行界面筛选。同时支持按照虚拟机、虚拟机分组的维度进行搜索,快速定位所需查看的虚拟机或分组。

访问状态筛选:全部访问状态、被策略允许、被策略丢弃、无策略匹配。

时间筛选:近30天、近7天、近3天、今天。

  1. 选择分组,进入虚拟机分组展示页面

右上角卡片展示当前分组内虚拟机访问关系信息,包括虚拟机总数、存在位置通信、无任何访问、存在拦截访问。

选择某个云主机,点击右上角卡片上的<访问详情>按钮,可查看该云主机的访问详情。

点击缩小按钮,将收起返回初始界面。

  1. 点击<访问详情>按钮,进入详情页面,点击操作栏<查看详情>,可获取每一条记录的详情信息,包括防火墙策略五元组信息:源对象、源IP、目的对象、目的IP、服务。

  1. 点击<查看策略>按钮,将会跳转到[分布式防火墙]页面,可对访问策略进行增删改查等操作。

  1. 平台也支持对网络可视化服务进行相关设置操作,点击<设置>按钮,支持对该服务进行开启、关闭等设置。

网络可视化服务关闭后,将不能再使用该功能,若需开启功能,需重新部署,才能恢复使用。

  1. 进入[网络可视化升级]页面,可进行升级操作,同时也提供补丁升级与回滚机制。

注意:

一个版本内允许升级的补丁包数量最大为10个。

回滚补丁包只支持按升级顺序倒序回滚,每次只能回滚一个补丁包。

升级和回滚均采用冷启动,此过程对业务无影响,只是暂时无法使用网络可视化功能。

升级和回滚过程中如果异常中断,会自动回退。