Durch die automatische Installation von Guest Introspection werden auf jedem Host im Cluster ein neuer VIB und eine neue Dienst-VM installiert. Guest Introspection wird für NSX Data Security, Activity Monitoring sowie etliche Sicherheitslösungen von Drittanbietern benötigt.

Vorbereitungen

Die folgenden Installationsanweisungen setzen voraus, dass Sie über folgendes System verfügen:

  • Ein Datencenter mit unterstützten Versionen von vCenter Server und ESXi, die auf jedem Host im Cluster installiert sein müssen.

  • Falls die Hosts in Ihren Clustern von der vCenter Server-Version 5.0 auf 5.5 aktualisiert wurden, dann müssen Sie auf diesen Hosts die Ports 80 und 443 öffnen.

  • Die Hosts in dem Cluster, in dem Sie Guest Introspection installieren möchten, wurden für NSX vorbereitet. Informationen dazu erhalten Sie unter „Vorbereiten der Host-Cluster für NSX“ in der Dokumentation Installationshandbuch für NSX. Guest Introspection kann nicht auf eigenständigen Hosts installiert werden. Wenn Sie NSX für das Bereitstellen und Verwalten von Guest Introspection nur für die Antivirenfunktion verwenden, müssen Sie die Hosts nicht für NSX vorbereiten. Mit der NSX für vShield Endpoint-Lizenz ist dies nicht möglich.

  • NSX Manager 6.2 ist installiert und wird ausgeführt.

  • Stellen Sie sicher, dass die NSX Manager und die vorbereiteten Hosts, auf denen die Guest Introspection-Dienste ausgeführt werden, mit demselben NTP-Server verknüpft sind und dass die Zeit synchronisiert ist. Andernfalls sind VMs möglicherweise nicht durch Antivirendienste geschützt, auch wenn der Status des Clusters für Guest Introspection und alle Drittanbieterdienste grün angezeigt wird.

    Wird ein NTP-Server hinzugefügt, empfiehlt VMware, Guest Introspection und alle Drittanbieterdienste anschließend erneut bereitzustellen.

Wenn Sie der VM des NSX Guest Introspection-Dienstes eine IP-Adresse aus einem IP-Pool zuweisen möchten, erstellen Sie den IP-Pool, bevor Sie NSX Guest Introspection installieren. Weitere Informationen dazu finden Sie unter „Arbeiten mit IP-Pools“ im Administratorhandbuch für NSX.

vSphere Fault Tolerance kann nicht zusammen mit Guest Introspection verwendet werden.

Warum und wann dieser Vorgang ausgeführt wird

Für das AutoDeploy-Setup auf statusfreien Hosts müssen Sie VMware NSX for vSphere 6.x Service Virtual Machines (SVM) nach einem Neustart des ESXi-Hosts manuell neu starten. Weitere Informationen dazu finden Sie im Knowledgebase-Artikel http://kb.vmware.com/kb/2120649.

ACHTUNG:

In einer VMware NSX for vSphere 6.x-Umgebung können, wenn eine Dienst-VM (SVM, Service VM) migriert wird (vMotion/SvMotion), folgende Probleme auftreten:

  • Der Dienst (Arbeitslast-VM), für den die Dienst-VM (SVM) Daten bereitstellt, wird unterbrochen

  • Der ESXi-Host schlägt mit einem violetten Diagnosebildschirm fehl, der Backtraces der folgenden Art enthält:

@BlueScreen: #PF Exception 14 in world wwww:WorldName IP 0xnnnnnnnn addr 0x0
PTEs:0xnnnnnnnn;0xnnnnnnnn;0x0;
0xnnnnnnnn:[0xnnnnnnnn]VmMemPin_DecCount@vmkernel#nover+0x1b
0xnnnnnnnn:[0xnnnnnnnn]VmMemPinUnpinPages@vmkernel#nover+0x65
0xnnnnnnnn:[0xnnnnnnnn]VmMemPin_ReleaseMainMemRange@vmkernel#nover+0x6
0xnnnnnnnn:[0xnnnnnnnn]P2MCache_ReleasePages@vmkernel#nover+0x2a
0xnnnnnnnn:[0xnnnnnnnn]DVFilterVmciUnmapGuestPage@com.vmware.vmkapi#v2_2_0_0+0x34

Dies ist ein bekanntes Problem, das VMware ESXi 5.5.x- und 6.x-Hosts betrifft. Um dieses Problem zu umgehen, dürfen Sie keine manuelle Migration einer Dienst-VM (SVM) (vMotion/SvMotion) auf einen anderen ESXi-Host im Cluster durchführen. Für die Migration einer SVM auf einen anderen Datenspeicher (SvMotion) empfiehlt VMware eine „kalte“ Migration mit Ausschalten der SVM und anschließender Migration auf einen anderen Datenspeicher.

Prozedur

  1. Klicken Sie auf der Registerkarte Installation auf Dienstbereitstellungen (Service Deployments).
  2. Klicken Sie auf das Symbol Neue Dienstbereitstellung (New Service Deployment) (Hinzufügen).
  3. Wählen Sie im Dialogfeld „Netzwerk- und Sicherheitsdienste bereitstellen“ die Option Guest Introspection aus.
  4. Wählen Sie unter Zeitplan angeben (Specify schedule) (am unteren Rand des Dialogfelds) die Option Jetzt bereitstellen (Deploy now) aus, um Guest Introspection sofort nach der Installation bereitzustellen, oder wählen Sie Datum und Uhrzeit für die Bereitstellung aus.
  5. Klicken Sie auf Weiter (Next).
  6. Wählen Sie das Datencenter und die Cluster aus, in denen Sie Guest Introspection installieren möchten, und klicken Sie auf Weiter (Next).
  7. Wählen Sie auf der Seite „Speicher- und Verwaltungsnetzwerk auswählen“ den Datenspeicher aus, auf dem Sie den VM-Speicher für den Dienst hinzufügen möchten, oder wählen Sie die Option Angegeben auf dem Host (Specified on host) aus. Es wird empfohlen, dass Sie gemeinsame Datenspeicher und Netzwerke anstatt „Angegeben auf dem Host“ verwenden, damit die bereitgestellten Workflows automatisiert werden.

    Der ausgewählte Datenspeicher muss auf allen Hosts im ausgewählten Cluster verfügbar sein.

    Wenn Sie Angegeben auf dem Host (Specified on host) ausgewählt haben, führen Sie die unten genannten Schritte für jeden Host im Cluster aus.

    1. Klicken Sie auf der Startseite von vSphere Web Client auf vCenter und dann auf Hosts.

    2. Klicken Sie in der Spalte Name auf einen Host und dann auf die Registerkarte Verwalten (Manage).

    3. Klicken Sie auf Agent-VM-Einstellungen (Agent VM Settings) und dann auf Bearbeiten (Edit).

    4. Wählen Sie den Datenspeicher aus und klicken Sie auf OK.

  8. Wählen Sie die verteilte virtuelle Portgruppe aus, in der die Verwaltungsschnittstelle gehostet werden soll. Wenn der Datenspeicher auf Angegeben auf dem Host (Specified on host) gesetzt ist, muss das Netzwerk auch auf Angegeben auf dem Host (Specified on host) gesetzt sein.

    Die ausgewählte Portgruppe muss die Portgruppe des NSX Manager erreichen können und auf allen Hosts im ausgewählten Cluster verfügbar sein.

    Wenn Sie Angegeben auf dem Host (Specified on host) ausgewählt haben, führen Sie die Teilschritte unter Schritt 7 aus, um ein Netzwerk auf dem Host auszuwählen. Wenn Sie dem Cluster einen (oder mehrere) Hosts hinzufügen, muss vor dem Hinzufügen der Datenspeicher und das Netzwerk für jeden Host festgelegt werden.

  9. Wählen Sie unter „IP-Zuweisungen“ eine der folgenden Optionen aus:

    Option

    Zweck

    DHCP

    Weisen Sie der VM des NSX Guest Introspection-Dienstes eine IP-Adresse über Dynamic Host Configuration Protocol (DHCP) zu. Wählen Sie diese Option aus, wenn Ihre Hosts auf unterschiedlichen Subnetzen untergebracht sind.

    Einen IP-Pool

    Weisen Sie der VM des NSX Guest Introspection-Diensts eine IP-Adresse aus dem ausgewählten IP-Pool zu.

  10. Klicken Sie auf der Seite „Bereit zum Abschließen“ auf Weiter (Next) und anschließend auf Beenden (Finish).
  11. Überwachen Sie die Bereitstellung, bis Erfolg (Succeeded) für die Spalte Installationsstatus (Installation Status) angezeigt wird.
  12. Wenn Fehlgeschlagen (Failed) für die Spalte Installationsstatus (Installation Status) angezeigt wird, klicken Sie auf das Symbol neben „Fehlgeschlagen“. Es werden alle Bereitstellungsfehler angezeigt. Klicken Sie auf Auflösen (Resolve), um die Fehler zu beheben. In einigen Fällen werden beim Auflösen der Fehler zusätzliche Fehlermeldungen angezeigt. Führen Sie die nötige(n) Aktion(en) aus und klicken Sie wieder auf Auflösen (Resolve).

Nächste Maßnahme

Installieren Sie VMware Tools auf virtuellen Gastmaschinen.