Wichtige Konzepte des Endpoint-Schutzes

Der Endpoint-Schutz-Workflow benötigt Partner, die ihre Dienste mit NSX registrieren, und einen Administrator, der diese Dienste nutzt. Es gibt einige Konzepte, die Ihnen dabei helfen, den Workflow zu verstehen.

Endpoint-Schutzrichtlinie: eine Richtlinie ist eine Sammlung von Regeln. Wenn Sie über mehrere Richtlinien verfügen, ordnen Sie sie in der Reihenfolge ihrer Ausführung an. Dasselbe gilt für Regeln, die innerhalb einer Richtlinie definiert sind. Beispielsweise enthält Richtlinie A drei Regeln und Richtlinie B weist vier Regeln auf, die so angeordnet sind, dass die Richtlinie A der Richtlinie B vorangestellt ist. Wenn die Guest Introspection mit der Ausführung von Richtlinien beginnt, werden die Regeln aus Richtlinie A vor den Regeln aus Richtlinie B ausgeführt.
Endpoint-Schutzregel: Als NSX-Administrator können Sie Regeln erstellen, die die zu schützenden VM-Gruppen angeben. Zudem können Sie die Schutzebene für diese Gruppen auswählen, indem Sie das Dienstprofil für jede Regel angeben.
Dienstinstanz: bezieht sich auf die Dienst-VM auf einem Host. Die Dienst-VMs werden von vCenter als spezielle VMs behandelt und gestartet, bevor eine der Gast-VMs eingeschaltet wird. Sie werden angehalten, nachdem alle Gast-VMs ausgeschaltet wurden. Es gibt eine Dienstinstanz pro Dienst und Host.

Wichtig: Die Anzahl Dienstinstanzen entspricht der Anzahl Hosts, auf denen der Dienst den Host ausführt. Wenn Sie beispielsweise über acht Hosts pro Cluster verfügen und der Partnerdienst auf zwei Clustern bereitgestellt wurde, beträgt die Gesamtzahl der Dienstinstanzen 16 SVMs.
Dienstbereitstellung: als Admin stellen Sie die Partnerdienst-VMs über NSX clusterweise bereit. Bereitstellungen werden auf Clusterebene verwaltet, sodass EAM automatisch die Dienst-VM auf ihnen bereitstellt, wenn ein beliebiger Host dem Cluster hinzugefügt wird.
Die automatische Bereitstellung des SVM ist wichtig, da vCenter bei erfolgter DRS-Dienstkonfiguration für ein vCenter-Cluster eine Neuverteilung oder Verteilung vorhandener VMs auf beliebigen Hosts durchführen kann, die nach der SVM-Bereitstellung und nach dem Starten auf dem neuen Host dem Cluster hinzugefügt wurden. Da Partnerdienst-VMs die NSX-Plattform benötigen, um Sicherheit für Gast-VMs zu gewährleisten, muss der Host als Transportknoten vorbereitet werden.

Wichtig: Eine Dienstbereitstellung bezieht sich auf einen Cluster auf dem VMware vCenter, der für die Bereitstellung und Konfiguration eines Partnerdiensts verwaltet wird.
Wenn Sie eine SVM auf einem ESXi-Host ausschalten, migriert EAM mithilfe des DRS-Diensts automatisch alle Gast-VMs von diesem Host.