Il workflow di protezione degli endpoint richiede che i partner registrino i propri servizi con NSX e che un amministratore utilizzi tali servizi. Alcuni concetti aiutano a comprendere il workflow.
- Definizione dei servizi: i partner definiscono i servizi con questi attributi: nome, descrizione, fattori di forma supportati, attributi di distribuzione che includono interfacce di rete e posizione del pacchetto OVF dell'appliance che devono essere utilizzati dalla SVM.
-
Inserimento del servizio: NSX fornisce il framework di inserimento del servizio che consente ai partner di integrare soluzioni di rete e sicurezza con la piattaforma di NSX. La soluzione Guest Introspection è un tipo di inserimento del servizio.
- Profili dei servizi e modelli di fornitore: i partner registrano i modelli dei fornitori che espongono i livelli di protezione per i criteri. Ad esempio, i livelli di protezione possono essere Gold, Silver o Platinum. I profili dei servizi possono essere creati dai modelli dei fornitori, che consentono agli amministratori di NSX di assegnare un nome ai modelli dei fornitori in base alle proprie preferenze. Per i servizi diversi da quelli di Guest Introspection, i profili dei servizi consentono un'ulteriore personalizzazione tramite gli attributi. I profili di servizio possono quindi essere utilizzati nelle regole dei criteri di protezione degli endpoint per configurare la protezione per i gruppi di macchine virtuali definiti in NSX. L'amministratore può creare gruppi in base al nome, ai tag o agli identificatori della macchina virtuale. Facoltativamente, è possibile creare più profili di servizio da un singolo modello di fornitore.
-
Criterio di protezione degli endpoint: un criterio è una raccolta di regole. Quando sono presenti più criteri, disporli in ordine per eseguirli. Lo stesso vale per le regole definite all'interno di un criterio. Ad esempio, il criterio A ha tre regole e il criterio B quattro regole, che sono disposte in una sequenza tale per cui il criterio A precede il criterio B. Quando Guest Introspection inizia a eseguire i criteri, le regole del criterio A vengono eseguite prima delle regole del criterio B.
-
Regola di protezione endpoint: l'amministratore di NSX può creare regole che specifichino i gruppi di macchine virtuali che devono essere protetti e scegliere il livello di protezione per tali gruppi specificando il profilo del servizio per ogni regola.
- Istanza di servizio: si riferisce alla macchina virtuale del servizio in un host. Le macchine virtuali del servizio vengono considerate come macchine virtuali speciali da vCenter e vengono avviate prima che una qualsiasi delle macchine virtuali guest venga accesa e arrestata dopo lo spegnimento di tutte le macchine virtuali guest. È presente un'istanza per ogni servizio e per ogni host.
Importante: Il numero di istanze del servizio è uguale al numero di host su cui il servizio esegue l'host. Ad esempio, se in un cluster sono presenti otto host e il servizio partner è stato distribuito in due cluster, il numero totale di istanze di servizio in esecuzione è di 16 SVM.
-
Distribuzione del servizio: l'amministratore può distribuire le macchine virtuali del servizio partner tramite NSX per ciascun cluster. Le distribuzioni sono gestite a livello di cluster in modo che, quando un host viene aggiunto al cluster, EAM distribuisce automaticamente la macchina virtuale del servizio.
La distribuzione automatica della SVM è importante perché, se il servizio DRS (Distributed Resource Scheduler) è configurato in un cluster vCenter, vCenter può ribilanciare o distribuire le macchine virtuali esistenti in qualsiasi nuovo host aggiunto al cluster dopo che la SVM è stata distribuita e avviata nel nuovo host. Poiché le macchine virtuali del servizio partner richiedono la piattaforma di NSX per fornire sicurezza alle macchine virtuali guest, l'host deve essere preparato come nodo di trasporto.
Importante: Una distribuzione del servizio si riferisce a un solo cluster in VMware vCenter, gestito per la distribuzione e la configurazione di un solo servizio partner. - Driver File Introspection: è installato nella macchina virtuale guest e intercetta l'attività dei file nella macchina virtuale guest.
- Driver Network Introspection: viene installato nella macchina virtuale guest, intercetta il traffico di rete, il processo e l'attività degli utenti nella macchina virtuale guest.