El flujo de trabajo de protección de endpoints necesita que los partners registren sus servicios con NSX y que un administrador consuma estos servicios. Hay algunos conceptos que le permitirán comprender mejor el flujo de trabajo.

  • Definición de servicio: los partners definen servicios con los atributos nombre, descripción, factores de forma compatibles, atributos de implementación que incluyen interfaces de red y la ubicación del paquete OVF del dispositivo que utilizará la SVM.
  • Inserción de servicios: NSX proporciona el marco de inserción de servicios que permite a los partners integrar soluciones de redes y seguridad con la plataforma de NSX. La solución Guest Introspection es una de estas formas de inserción de servicios.

  • Perfiles de servicio y plantillas de proveedor: los partners registran plantillas de proveedor que exponen los niveles de protección de las directivas. Por ejemplo, los niveles de protección pueden clasificarse como Gold, Silver o Platinum. Los perfiles de servicio se pueden crear a partir de plantillas de proveedor, lo que permite a los administradores de NSX asignar un nombre a las plantillas de proveedor según su preferencia. En el caso de los servicios que no sean de Guest Introspection, los perfiles de servicio permiten una personalización adicional mediante atributos. A continuación, los perfiles de servicio se pueden utilizar en las reglas de directiva de protección de endpoints para configurar la protección de los grupos de máquinas virtuales definidos en NSX. Como administrador, puede crear grupos según el nombre, las etiquetas o los identificadores de la máquina virtual. De forma opcional, se pueden crear varios perfiles de servicio a partir de una única plantilla de proveedor.
  • Directiva de protección de endpoints: una directiva es una recopilación de reglas. Cuando disponga de varias directivas, organícelas en el orden que desea ejecutarlas. Lo mismo ocurre con las reglas definidas en una directiva. Por ejemplo, la directiva A tiene tres reglas y la directiva B tiene cuatro, y se organizan en secuencia, de manera que la directiva A precede a la directiva B. Cuando Guest Introspection comienza a ejecutar directivas, las reglas de la directiva A se ejecutan antes que las de la directiva B.

  • Regla de protección de endpoints: como administrador de NSX, puede crear reglas que especifiquen los grupos de máquinas virtuales que se van a proteger y, a continuación, seleccionar el nivel de protección para esos grupos especificando el perfil de servicio para cada regla.

  • Instancia de servicio: hace referencia a la máquina virtual de servicio en un host. VCenter considera las máquinas virtuales de servicio como máquinas virtuales especiales, y estas se inician antes de que las máquinas virtuales invitadas se enciendan y se detengan después de que todas las máquinas virtuales invitadas estén apagadas. Hay una instancia de servicio por servicio por host.
    Importante: El número de instancias de servicio es igual al número de hosts en los que el servicio ejecuta el host. Por ejemplo, si tiene ocho hosts en un clúster y el servicio de partners se implementó en dos clústeres, el número total de instancias de servicio en ejecución será 16 SVM.
  • Implementación del servicio: como usuario admin, implemente las máquinas virtuales del servicio de partners a través de NSX en cada clúster. Las implementaciones se administran a nivel de clúster, de modo que, cuando se agrega un host al clúster, EAM implementa automáticamente la máquina virtual de servicio en ellos.

    La implementación automática de la SVM es importante porque si el servicio Distributed Resource Scheduler (DRS) está configurado en un clúster de vCenter, vCenter puede volver a equilibrar o distribuir las máquinas virtuales existentes en cualquier host que se haya agregado al clúster después de que la SVM y se haya implementado e iniciado en el nuevo host. Dado que las máquinas virtuales del servicio de partners necesitan la plataforma NSX para proporcionar seguridad a las máquinas virtuales invitadas, el host debe estar preparado como nodo de transporte.

    Importante: Una implementación de servicio hace referencia a un clúster en VMware vCenter que se administra para implementar y configurar un servicio de partners.
  • Controlador de introspección de archivo: instalado en la máquina virtual invitada, intercepta la actividad del archivo en la máquina virtual invitada.
  • Controlador de introspección de red: instalado en la máquina virtual invitada, intercepta el tráfico de red, el proceso y la actividad del usuario en la máquina virtual invitada.