安装 Guest Introspection 会在群集中的每个主机上自动安装新的 VIB 和服务虚拟机。活动监控和多个第三方安全解决方案需要 Guest Introspection

注: 无法使用 vMotion/SvMotion 迁移服务虚拟机 (SVM)。SVM 必须位于其所部署的主机上才能正常运行。

前提条件

以下安装说明假定您拥有以下系统:
  • 在群集中的每个主机上安装了支持的 vCenter Server 和 ESXi 版本的数据中心。
  • NSX 准备了群集中要安装 Guest Introspection 的主机。请参见NSX 安装指南中的“为 NSX 准备主机群集”。不能将 Guest Introspection 安装在单独的主机上。如果部署和管理 Guest Introspection 以仅提供防病毒卸载功能,您不需要为 NSX 准备主机,并且 NSX for vShield Endpoint 许可证不允许使用该功能。
  • NSX Manager 已安装且正在运行。
  • 确保 NSX Manager 和运行 Guest Introspection 服务的准备好的主机链接到相同的 NTP 服务器并同步时间。否则,可能会导致防病毒服务无法保护虚拟机,但群集状态在 Guest Introspection 和任何第三方服务中显示为绿色。

    如果添加了 NTP 服务器,VMware 建议您重新部署 Guest Introspection 和任意第三方服务。

  • 如果您的网络包含 vSphere 7.0 或更高版本,请确保 vCenter 群集未使用 vSphere Lifecycle Manager (vLCM) 映像来管理 ESXi 主机生命周期操作。无法在使用 vLCM 映像的 vCenter 群集上安装 Guest Introspection 服务。

    要验证是否在群集中使用 vLCM 映像来管理主机,请登录到 vSphere Client 并转到主机和群集。在导航窗格中,单击群集,然后导航到更新 > 映像。如果群集未使用 vLCM 映像,您一定会看到设置映像按钮。如果群集使用了 vLCM 映像,则可以查看映像详细信息,如 ESXi 版本、供应商加载项、映像合规性详细信息等。

如果要将 IP 池中的某个 IP 地址分配给 Guest Introspection 服务虚拟机,请先创建 IP 池,然后再安装 Guest Introspection。请参见NSX 管理指南中的“使用 IP 池”。

小心: Guest Introspection 会使用 169.254.x.x 子网在内部为 GI 服务分配 IP 地址。如果将 169.254.1.1 IP 地址分配给 ESXi 主机的任意 VMkernel 接口,则 Guest Introspection 安装将失败。GI 服务使用此 IP 地址进行内部通信。

vSphere Fault Tolerance 无法与 Guest Introspection 一起使用。

无状态 ESXi 主机上的 vSphere 自动部署不支持 Guest Introspection

过程

  1. 导航到网络和安全 (Networking & Security) > 安装和升级 (Installation and Upgrade) > 服务部署 (Service Deployment)
  2. 单击添加 (Add)
  3. 在“部署网络和安全服务”对话框中,选择 Guest Introspection
  4. 指定调度 (Specify schedule)(在对话框底部)中,选择立即部署 (Deploy now)以在安装 Guest Introspection 后立即进行部署,或者选择一个部署日期和时间。
  5. 单击下一步 (Next)
  6. 选择要在其中安装 Guest Introspection 的数据中心和群集,然后单击下一步 (Next)
  7. 在“选择存储和管理网络”页面上,选择要添加服务虚拟机存储器的数据存储,或者选择已在主机上指定 (Specified on host)。建议使用共享数据存储和网络而不是“已在主机上指定”,以便自动化部署工作流。
    选定的数据存储在选定群集的所有主机上都必须可用。

    如果选择了已在主机上指定 (Specified on host),请为群集中的每个主机完成以下子步骤。

    1. 在“主页”中,单击主机和群集 (Hosts and Clusters)
    2. 导航器中单击一个主机,然后单击配置 (Configure)
    3. 在左侧的导航窗格中,在虚拟机 (Virtual Machines)下面单击代理虚拟机 (Agent VMs),然后单击编辑 (Edit)
    4. 选择数据存储,然后单击确定 (OK)
  8. 如果将数据存储设置为已在主机上指定 (Specified on host),您必须将网络也设置为已在主机上指定 (Specified on host)

    如果选择了已在主机上指定 (Specified on host),请按照第 7 步中的子步骤在主机上选择一个网络。将一个主机(或多个主机)添加到群集中时,必须先设置数据存储和网络,再将每个主机添加到群集中。

  9. 在“IP 分配”中,选择以下其中的一项:
    选择 目的
    DHCP 通过动态主机配置协议 (DHCP) 将 IP 地址分配给 Guest Introspection 服务虚拟机。如果主机位于不同子网,请选择此选项。
    使用 IP 池 将选定 IP 池中的某个 IP 地址分配给 Guest Introspection 服务虚拟机。
  10. 单击下一步 (Next),然后在“即将完成”页面上单击完成 (Finish)
  11. 监控该部署,直至安装状态 (Installation Status)列显示成功 (Succeeded)
    在 NSX 6.4.0 及更高版本中,vCenter Server 中的 GI SVM 名称会显示将其部署到的主机的 IP 地址。
  12. 如果安装状态 (Installation Status)列显示失败 (Failed),则单击“失败”旁边的图标。将显示所有部署错误。单击解决 (Resolve)修复这些错误。有时,解决这些错误将显示额外的错误。执行所需操作,然后重新单击解决办法 (Resolve)
    小心: 在包含 vSphere 7.0 或更高版本的网络中,在安装了 Guest Introspection 服务或任何其他第三方合作伙伴服务后,将无法在 vCenter 群集上使用 vLCM 映像。如果尝试在 vCenter 群集上使用 vLCM 映像,则 vSphere Client 中会显示警告消息,告知您主机上存在独立的 VIB。