Der Endpoint-Schutz-Workflow benötigt Partner, die ihre Dienste mit NSX-T Data Center registrieren, und einen Administrator, der diese Dienste nutzt. Es gibt einige Konzepte, die Ihnen dabei helfen, den Workflow zu verstehen.

  • Dienstdefinition – Partner definieren Dienste mit diesen Attributen: Name, Beschreibung, unterstützte Formfaktoren, Bereitstellungsattribute, die Netzwerkschnittstellen enthalten, und den Speicherort der Appliance-OVF-Pakete, die von der SVM verwendet werden sollen.

  • Service Insertion: NSX stellt das Service Insertion-Framework bereit, mit dem Partner Netzwerk- und Sicherheitslösungen in die NSX-Plattform integrieren können. Die Guest Introspection-Lösung ist eine solche Form von Service Insertion.

  • Dienstprofile und Anbietervorlagen: Partner registrieren Anbietervorlagen, die Schutzebenen für Richtlinien darstellen. Schutzebenen können beispielsweise als „Gold“, „Silber“ oder „Platin“ klassifiziert werden. Dienstprofile können anhand von Anbietervorlagen erstellt werden, mit denen die NSX-Administratoren die Anbietervorlagen wunschgemäß benennen können. Für andere Dienste als Guest Introspection ermöglichen die Dienstprofile eine weitere Anpassung mithilfe von Attributen. Die Dienstprofile können dann in den Regeln der Endpoint-Schutzrichtlinie verwendet werden, um den Schutz für in NSX definierte virtuelle Maschinengruppen zu konfigurieren. Als Administrator können Sie Gruppen basierend auf VM-Name, Tags oder Bezeichnern erstellen. Optional können mehrere Dienstprofile aus einer einzelnen Anbietervorlage erstellt werden.

  • Endpoint-Schutzrichtlinie: eine Richtlinie ist eine Sammlung von Regeln. Wenn Sie über mehrere Richtlinien verfügen, ordnen Sie sie in der Reihenfolge ihrer Ausführung an. Dasselbe gilt für Regeln, die innerhalb einer Richtlinie definiert sind. Beispielsweise enthält Richtlinie A drei Regeln und Richtlinie B weist vier Regeln auf, die so angeordnet sind, dass die Richtlinie A der Richtlinie B vorangestellt ist. Wenn die Guest Introspection mit der Ausführung von Richtlinien beginnt, werden die Regeln aus Richtlinie A vor den Regeln aus Richtlinie B ausgeführt.

  • Endpoint-Schutzregel: als NSX-Administrator können Sie Regeln erstellen, die die zu schützenden VM-Gruppen angeben. Zudem können Sie die Schutzebene für diese Gruppen auswählen, indem Sie das Dienstprofil für jede Regel angeben.

  • Dienstinstanz: bezieht sich auf die Dienst-VM auf einem Host. Die Dienst-VMs werden von vCenter als spezielle VMs behandelt und gestartet, bevor eine der Gast-VMs eingeschaltet wird. Sie werden angehalten, nachdem alle Gast-VMs ausgeschaltet wurden. Es gibt eine Dienstinstanz pro Dienst und Host.
    Wichtig: Die Anzahl Dienstinstanzen entspricht der Anzahl Hosts, auf denen der Dienst den Host ausführt. Wenn Sie beispielsweise über acht Hosts in einem Cluster verfügen und der Partnerdienst auf zwei Clustern bereitgestellt wurde, beträgt die Gesamtzahl der Dienstinstanzen 16 SVMs.

  • Dienstbereitstellung: als Admin stellen Sie die Partnerdienst-VMs über NSX-T clusterweise bereit. Bereitstellungen werden auf Clusterebene verwaltet, sodass EAM automatisch die Dienst-VM auf ihnen bereitstellt, wenn ein beliebiger Host dem Cluster hinzugefügt wird.

    Die automatische Bereitstellung des SVM ist wichtig, da vCenter bei erfolgter DRS-Dienstkonfiguration für ein vCenter-Cluster eine Neuverteilung oder Verteilung vorhandener VMs auf beliebigen Hosts durchführen kann, die nach der SVM-Bereitstellung und nach dem Starten auf dem neuen Host dem Cluster hinzugefügt wurden. Da Partnerdienst-VMs die NSX-T-Plattform benötigen, um Sicherheit für Gast-VMs zu gewährleisten, muss der Host als Transportknoten vorbereitet werden.

    Wichtig: Eine Dienstbereitstellung bezieht sich auf einen Cluster auf dem vCenter Server, der für die Bereitstellung und Konfiguration eines Partnerdiensts verwaltet wird.
  • Datei-Introspektionstreiber: ist auf der Gast-VM installiert und fängt die Dateiaktivität auf der Gast-VM ab.
  • Netzwerk-Introspektionstreiber: ist auf der Gast-VM installiert, fängt den Netzwerkdatenverkehr, den Prozess und die Benutzeraktivitäten auf der Gast-VM ab.