端点保护策略按特定顺序实施。设计策略时,请考虑与规则相关联的序列号和托管规则的域。

场景:您的组织中运行许多工作负载,为便于演示,我们只考虑其中两种类型的工作负载 - 运行虚拟桌面基础架构 (VDI) 的虚拟机和运行支付卡行业数据安全标准 (PCI-DSS) 工作负载的虚拟机。组织中的一部分员工需要远程桌面访问,从而形成了虚拟桌面基础架构 (VDI) 工作负载。根据组织规定的合规性规则,这些 VDI 工作负载可能需要黄金保护策略级别。而 PCI-DSS 工作负载需要最高级别的保护:白金级保护。

该示例显示了配置为保护 VDI 工作负载的合规策略。

该示例显示了用于保护 PCI-DSS 工作负载的策略。

由于有两种工作负载类型,需要创建两个策略,分别用于 VDI 工作负载和服务器工作负载。在每个策略或区域中,定义一个域来反映工作负载类型,并在该区域中为该工作负载定义规则。发布规则以在客户机虚拟机上启动 GI 服务。GI 在内部使用两个序列号:策略序列号和规则序列号,用于确定要运行的规则的完整序列。每个规则都有两种用途:确定要保护的虚拟机和为保护虚拟机而必须应用的保护策略。

要更改序列顺序,请通过在 NSX-T Data Center Policy Manager UI 中拖动规则来更改其序列顺序。或者,也可以使用 API 为规则明确分配序列号。

另外,还可以执行 NSX-T Data Center API 调用,通过将服务配置文件与虚拟机组关联手动定义规则并声明规则的序列号。有关 API 和参数的详细信息,请参见NSX-T Data Center API 指南》。执行服务配置 API 调用,以将配置文件应用于虚拟机组等实体。

表 1. 用于定义将服务配置文件应用于虚拟机组的规则的 NSX-T Data Center API
API 详细信息
获取所有服务配置详细信息。
GET /api/v1/service-configs

此服务配置 API 返回以下详细信息:应用于虚拟机组的服务配置文件、受保护的虚拟机组以及决定规则优先级的序列号或优先级编号。

创建服务配置。
POST /api/v1/service-configs

此服务配置 API 接受以下项的输入参数:服务配置文件、要保护的虚拟机组以及必须应用于规则的顺序号或优先级编号。

删除服务配置。
DELETE /api/v1/service-configs/
<config-set-id>

此服务配置 API 删除应用于虚拟机组的配置。

获取特定配置的详细信息。
GET /api/v1/service-configs/
<config-set-id>

获取特定配置的详细信息

更新服务配置。
PUT /api/v1/service-configs/
<config-set-id>

更新服务配置。

获取有效的配置文件。
GET /api/v1/service-configs/
effective-profiles?resource_id=<resource-id>
&resource_type=<resource-type>

此服务配置 API 仅返回应用于特定虚拟机组的配置文件。

通过遵循以下建议高效管理规则:

  • 为必须先运行的规则所在的策略设置更高的序列号。从 UI 中,可以拖动策略更改其优先级。
  • 同样,为每个策略内的规则设置更高的序列号。

  • 根据所需的规则数量,可以将规则按 2、3、4 或甚至 10 的倍数分开放置。因此,两个相隔 10 个位置的连续规则可以更灵活地对规则重新排序,而不必更改所有规则的序列顺序。例如,如果您不打算定义许多规则,可以选择以 10 个位置为间隔放置规则。因此,规则 1 获取序列号 1,规则 2 获取序列号 10,规则 3 获取序列号 20,依此类推。此建议可灵活地高效管理规则,无需对所有规则重新排序。

在内部,客户机侦测以下列方式对这些策略规则排序。

Policy 1 ↔ Sequence Number 1 (1000)

 - Rule 1 : Group 1↔ Service Profile ↔ Sequence Number 1 (1001)

 - Rule 2 : Group 1↔ Service Profile ↔ Sequence Number 10 (1010)

 - Rule 3 : Group 1↔ Service Profile ↔ Sequence Number 20 (1020)

 - Rule 4 : Group 1↔ Service Profile ↔ Sequence Number 30 (1030)



Policy 2  ↔ Sequence Number 2 (2000)

 - Rule 1 : Group 1↔ Service Profile ↔ Sequence Number 1 (2001)

 - Rule 2 : Group 1↔ Service Profile ↔ Sequence Number 10 (2010)

 - Rule 3 : Group 1↔ Service Profile ↔ Sequence Number 20 (2020)

 - Rule 4 : Group 1↔ Service Profile ↔ Sequence Number 30 (2030)

根据以上序列号,GI 先运行策略 1 的规则,再运行策略 2 的规则。

但在某些情况下,预期规则不应用于虚拟机组或虚拟机。需要解决这些冲突才可应用所需的策略保护级别。