Il workflow di protezione degli endpoint richiede che i partner registrino i propri servizi con NSX-T Data Center e che un amministratore utilizzi tali servizi. Alcuni concetti aiutano a comprendere il workflow.

  • Definizione dei servizi: i partner definiscono i servizi con questi attributi: nome, descrizione, fattori di forma supportati, attributi di distribuzione che includono interfacce di rete e posizione del pacchetto OVF dell'appliance che devono essere utilizzati dalla SVM.

  • Inserimento del servizio: NSX-T Data Center fornisce il framework di inserimento del servizio che consente ai partner di integrare soluzioni di rete e sicurezza con la piattaforma di NSX-T Data Center. La soluzione Guest Introspection è un tipo di inserimento del servizio.

  • Profili dei servizi e modelli di fornitore: i partner registrano i modelli dei fornitori che espongono i livelli di protezione per i criteri. Ad esempio, i livelli di protezione possono essere Gold, Silver o Platinum. I profili dei servizi possono essere creati dai modelli dei fornitori, che consentono agli amministratori di NSX-T Data Center di assegnare un nome ai modelli dei fornitori in base alle proprie preferenze. Per i servizi diversi da quelli di Guest Introspection, i profili dei servizi consentono un'ulteriore personalizzazione tramite gli attributi. I profili di servizio possono quindi essere utilizzati nelle regole dei criteri di protezione degli endpoint per configurare la protezione per i gruppi di macchine virtuali definiti in NSX-T Data Center. L'amministratore può creare gruppi in base al nome, ai tag o agli identificatori della macchina virtuale. Facoltativamente, è possibile creare più profili di servizio da un singolo modello di fornitore.

  • Criterio di protezione degli endpoint: un criterio è una raccolta di regole. Quando sono presenti più criteri, disporli in ordine per eseguirli. Lo stesso vale per le regole definite all'interno di un criterio. Ad esempio, il criterio A ha tre regole e il criterio B quattro regole, che sono disposte in una sequenza tale per cui il criterio A precede il criterio B. Quando Guest Introspection inizia a eseguire i criteri, le regole del criterio A vengono eseguite prima delle regole del criterio B.

  • Regola di protezione endpoint: l'amministratore di NSX-T Data Center può creare regole che specifichino i gruppi di macchine virtuali che devono essere protetti e scegliere il livello di protezione per tali gruppi specificando il profilo del servizio per ogni regola.

  • Istanza di servizio: si riferisce alla macchina virtuale del servizio in un host. Le macchine virtuali del servizio vengono considerate come macchine virtuali speciali da vCenter e vengono avviate prima che una qualsiasi delle macchine virtuali guest venga accesa e arrestata dopo lo spegnimento di tutte le macchine virtuali guest. È presente un'istanza per ogni servizio e per ogni host.
    Importante: Il numero di istanze del servizio è uguale al numero di host su cui il servizio esegue l'host. Ad esempio, se in un cluster sono presenti otto host e il servizio partner è stato distribuito in due cluster, il numero totale di istanze di servizio in esecuzione è di 16 SVM.

  • Distribuzione del servizio: l'amministratore può distribuire le macchine virtuali del servizio partner tramite NSX-T Data Center per ciascun cluster. Le distribuzioni sono gestite a livello di cluster in modo che, quando un host viene aggiunto al cluster, EAM distribuisce automaticamente la macchina virtuale del servizio.

    La distribuzione automatica della SVM è importante perché, se il servizio DRS (Distributed Resource Scheduler) è configurato in un cluster vCenter, vCenter può ribilanciare o distribuire le macchine virtuali esistenti in qualsiasi nuovo host aggiunto al cluster dopo che la SVM è stata distribuita e avviata nel nuovo host. Poiché le macchine virtuali del servizio partner richiedono la piattaforma di NSX-T Data Center per fornire sicurezza alle macchine virtuali guest, l'host deve essere preparato come nodo di trasporto.

    Importante: Una distribuzione del servizio si riferisce a un solo cluster in vCenter Server, gestito per la distribuzione e la configurazione di un solo servizio partner.
  • Driver File Introspection: è installato nella macchina virtuale guest e intercetta l'attività dei file nella macchina virtuale guest.
  • Driver Network Introspection: viene installato nella macchina virtuale guest, intercetta il traffico di rete, il processo e l'attività degli utenti nella macchina virtuale guest.