Um NSX Malware Prevention auf vSphere-Hostclustern zu aktivieren, stellen Sie den NSX Distributed Malware Prevention-Dienst auf jedem Hostcluster bereit.

Wenn Sie den Dienst auf einem Hostcluster bereitstellen, wird auf jedem Host des Clusters eine Instanz der virtuellen NSX Malware Prevention-Dienstmaschine (SVM) bereitgestellt. Derzeit hat die bereitgestellte SVM eine feste Größe von 4 vCPU, 6 GB RAM und 80 GB Festplattenspeicher. Wenn Sie neue Hosts zum Cluster hinzufügen, wird eine Instanz der SVM automatisch auf den neuen Hosts bereitgestellt.

Voraussetzungen

Erfüllen Sie die Voraussetzungen für die Bereitstellung einer NSX Malware Prevention-SVM. Siehe Voraussetzungen für die Bereitstellung des NSX Distributed Malware Prevention-Dienstes.

Prozedur

  1. Melden Sie sich über Ihren Browser unter https://nsx-manager-ip-address mit admin-Rechten bei einem NSX Manager an.
  2. Navigieren Sie zu Sicherheit > IDS-/IPS- und Malware-Schutz > Einstellungen > Geltungsbereich für Malware-Schutz und IDS-/IPS-Bereitstellung definieren.
  3. Klicken Sie für den Cluster, auf dem Sie den Malware-Schutzdienst bereitstellen möchten, auf Einrichten.
  4. Wählen Sie die SVM-Spezifikation aus und geben Sie den SSH-Schlüssel ein.
    NSX listet die SVM-Spezifikationen auf, die auf Ihrer NSX Application Platform gehostet werden.

    Um als Administrator auf jedem Host mittels SSH eine Verbindung mit der Appliance (SVM) herzustellen, verwenden Sie den SSH-Schlüssel und den entsprechenden privaten Schlüssel. Für die Fehlerbehebung können Sie auch die SVM-Protokolldatei herunterladen.

  5. Führen Sie eine der folgenden Aktionen aus, um Verwaltungsnetzwerk anzugeben:
    • Wählen Sie das Netzwerk aus, das für die Verwaltungsschnittstelle (eth0) der SVM verwendet werden soll.
      Hinweis: Das ausgewählte Netzwerk muss mit dem Verwaltungsnetzwerk, d. h. NSX Manager-Knoten und den auf der NSX Application Platform ausgeführten Komponenten, verbunden sein.
    • Wählen Sie Auf dem Host angegeben aus.

      Die Option Auf dem Host angegeben bedeutet, dass Sie auf der Seite Dienst bereitstellen kein Netzwerk auswählen müssen. Bevor Sie den Dienst bereitstellen, müssen Sie die Einstellungen für die Agent-VM auf jedem ESXi-Host so konfigurieren, dass sie auf ein bestimmtes Netzwerk verweisen.

      Weitere Informationen zum Konfigurieren von Agent-VM-Einstellungen finden Sie in der vSphere-Produktdokumentation.

  6. Um den Datenspeicher anzugeben, führen Sie eine der folgenden Aktionen aus:
    • Wählen Sie einen gemeinsam genutzten Datenspeicher als Repository für die virtuellen Dienstmaschinen aus.
    • Wählen Sie Auf dem Host angegeben aus.

      Die Option Auf dem Host angegeben bedeutet, dass Sie auf der Seite Dienst bereitstellen keinen Datenspeicher auswählen müssen. Bevor Sie den Dienst bereitstellen, müssen Sie die Einstellungen für die Agent-VM auf jedem ESXi-Host so konfigurieren, dass sie auf einen bestimmten Datenspeicher verweisen.

      Weitere Informationen zum Konfigurieren von Agent-VM-Einstellungen finden Sie in der vSphere-Produktdokumentation.

  7. Legen Sie den Netzwerktyp auf DHCP oder Statischer IP-Pool fest. Wenn Sie den Netzwerktyp auf „Statischer IP-Pool“ festlegen, treffen Sie in der Liste der verfügbaren IP-Pools eine Auswahl.
    Hinweis: Stellen Sie sicher, dass für den ausgewählten IP-Pool das Gateway, der DNS-Server und das DNS-Suffix konfiguriert sind.
  8. Konfigurieren Sie gegebenenfalls Ihre Untercluster, um das Verwaltungsnetzwerk, den Datenspeicher und den Netzwerktyp festzulegen.
    Der Datenspeicher kann von allen Hosts im angegebenen Untercluster bzw. Cluster gemeinsam genutzt werden. Wählen Sie mit Blick auf die Netzwerkanforderungen für den Untercluster oder den VCF-Verfügbarkeitsbereich einen anderen IP-Pool aus.
  9. Klicken Sie auf Anwenden, um die Bereitstellung zu starten.

Ergebnisse

Die NSX Malware Prevention-SVM wird auf allen Hosts des Clusters bereitgestellt.

Nächste Maßnahme

  1. Navigieren Sie zu Sicherheit > IDS-/IPS- und Malware-Schutz > Einstellungen > Geltungsbereich für Malware-Schutz und IDS-/IPS-Bereitstellung definieren
  2. Klicken Sie auf Bereitstellungsstatus, damit Ihr Cluster den Malware-Schutz-Status öffnet.
  3. Beheben Sie alle unter Alle Bereitstellungsfehler angezeigten Fehler.

    Klicken Sie auf Status nach Knoten, um den Status der einzelnen Transportknoten im Cluster anzuzeigen.

Wenn Sie Hilfe bei der Behebung von Bereitstellungsproblemen für den NSX Malware Prevention-Dienst benötigen, finden Sie weitere Informationen unter Fehlerbehebung bei Problemen mit virtuellen NSX Malware Prevention-Dienstmaschinen.