Le workflow de la protection du point de terminaison exige des partenaires l'enregistrement de leurs services auprès de NSX-T Data Center et, d'un administrateur, l'utilisation de ces services. Quelques concepts facilitent la compréhension du workflow.
- Définition de service : les partenaires définissent des services avec ces attributs : nom, description, formats de formulaire pris en charge, attributs de déploiement qui incluent les interfaces réseau et l'emplacement du module OVF du dispositif à utiliser par la SVM.
-
Insertion de service : NSX fournit la structure d'insertion de service qui permet aux partenaires d'intégrer des solutions de mise en réseau et de sécurité à la plate-forme NSX. La solution Guest Introspection est une sorte d'insertion de service.
- Profils de service et modèles fournisseur : les partenaires enregistrent des modèles fournisseur qui mettent en avant les niveaux de protection pour les stratégies. Par exemple, les niveaux de protection peuvent être or, argent ou platine. Les profils de service peuvent être créés à partir de modèles fournisseur, ce qui permet aux administrateurs NSX de nommer les modèles fournisseur en fonction de leur préférence. Pour les services autres que ceux de Guest Introspection, les profils de service permettent une personnalisation supplémentaire à l'aide d'attributs. Les profils de service peuvent ensuite être utilisés dans les règles de stratégie de protection de point de terminaison pour configurer la protection des groupes de machines virtuelles définis dans NSX. En tant qu'administrateur, vous pouvez créer des groupes en fonction du nom de la machine virtuelle, des balises ou des identifiants. Plusieurs profils de service peuvent être créés en option à partir d'un modèle fournisseur unique.
-
Stratégie de protection de point de terminaison : une stratégie est un ensemble de règles. Lorsque vous disposez de plusieurs stratégies, organisez-les dans l'ordre de leur exécution. Il en va de même pour les règles définies dans une stratégie. Par exemple, la stratégie A a trois règles, la stratégie B a quatre règles, et elles sont organisées dans une séquence telle que la stratégie A précède la stratégie B. Lorsque Guest Introspection commence à exécuter les stratégies, les règles de la stratégie A sont exécutées en premier avant les règles de la stratégie B.
-
Règle de protection de point de terminaison : en tant qu'administrateur NSX, vous pouvez créer des règles qui spécifient les groupes de machines virtuelles à protéger et choisir le niveau de protection de ces groupes en spécifiant le profil de service de chaque règle.
- Instance de service : elle fait référence à la machine virtuelle de service sur un hôte. Les machines virtuelles de service sont traitées comme des machines virtuelles spéciales par vCenter. Elles sont démarrées avant la mise sous tension des machines virtuelles invitées et arrêtées après la mise hors tension de toutes les machines virtuelles invitées. Il existe une instance de service par service par hôte.
Important : Le nombre d'instances de service est égal au nombre d'hôtes sur lesquels le service exécute l'hôte. Par exemple, si vous avez huit hôtes dans un cluster et que le service de partenaires a été déployé sur deux clusters, le nombre total d'instances de service en cours d'exécution est de 16 SVM.
-
Déploiement de service : en tant qu'admin, vous déployez des machines virtuelles de service de partenaires via NSX-T par cluster. Les déploiements sont gérés au niveau du cluster, de sorte que lorsqu'un hôte est ajouté au cluster, EAM déploie automatiquement la machine virtuelle de service sur celui-ci.
Le déploiement automatique de la SVM est important, car si le service DRS est configuré sur un cluster vCenter, vCenter peut rééquilibrer ou distribuer des machines virtuelles existantes à n'importe quel nouvel hôte qui a été ajouté au cluster après le déploiement et le démarrage de la SVM sur le nouvel hôte. Comme les machines virtuelles du service de partenaires ont besoin d'une plate-forme NSX-T pour fournir la sécurité aux machines virtuelles invitées, l'hôte doit être préparé en tant que nœud de transport.
Important : Un déploiement de service fait référence à un cluster sur vCenter Server qui est géré pour le déploiement et la configuration d'un service de partenaires. - Pilote d'introspection de fichiers : il est installé sur la machine virtuelle invitée et intercepte l'activité de fichier sur la machine virtuelle invitée.
- Pilote d'introspection réseau : il est installé sur la machine virtuelle invitée et intercepte le trafic réseau, l'activité de processus et l'activité de l'utilisateur sur la machine virtuelle invitée.