エンドポイントの保護ワークフローを使用するには、パートナーが自身のサービスを NSX-T Data Center に登録し、管理者がこれらのサービスを使用する必要があります。以下の概念を把握すると、ワークフローの理解に役立ちます。
- サービス定義:パートナーは、名前、説明、サポートされているフォーム ファクタ、ネットワーク インターフェイスを含む展開属性、サービス仮想マシンで使用されるアプライアンス OVF パッケージの場所などの属性を使用してサービスを定義します。
-
サービス挿入:NSX では、パートナーがネットワークおよびセキュリティ ソリューションを NSX プラットフォームに統合できるように、サービス挿入フレームワークを用意しています。ゲスト イントロスペクション ソリューションは、このようなサービス挿入形式の 1 つです。
- サービス プロファイルおよびベンダー テンプレート︰パートナーは、ポリシーの保護レベルを公開するベンダー テンプレートを登録します。たとえば、保護レベルはゴールド、シルバー、プラチナに設定できます。サービス プロファイルは、ベンダー テンプレートから作成できます。これにより、NSX の管理者は各自のプリファレンスに従ってベンダー テンプレートに名前を設定できます。ゲスト イントロスペクション以外のサービスの場合、サービス プロファイルで属性を使用して、さらにカスタマイズすることができます。その後、サービス プロファイルをエンドポイント保護ポリシー ルールで使用し、NSX で定義されている仮想マシングループの保護を構成できます。管理者は、仮想マシンの名前、タグ、または ID に基づいてグループを作成できます。1 つのベンダー テンプレートから複数のサービス プロファイルを作成することもできます。
-
エンドポイント保護ポリシー:ポリシーはルールの集合体です。複数のポリシーがある場合は、実行順序に合わせて並べ替えます。ポリシー内で定義されるルールも同じです。たとえば、ポリシー A には 3 つのルールがあり、ポリシー B に 4 つのルールがあり、ポリシー B の前にポリシー A が適用されるように並んでいるとします。ゲスト イントロスペクションがポリシーの実行を開始すると、ポリシー B のルールの前にポリシー A のルールが実行されます。
-
エンドポイント保護ルール:NSX 管理者は、保護対象の仮想マシン グループを指定するルールを作成し、各ルールにサービス プロファイルを指定して、グループの保護レベルを選択することができます。
- サービス インスタンス:ホスト上のサービス仮想マシンを表します。サービス仮想マシンは、vCenter Server で特別な仮想マシンとして扱われ、すべてのゲスト仮想マシンがパワーオンされる前に起動し、すべてのゲスト仮想マシンがパワーオフした後に停止します。ホストのサービスごとに 1 つのサービス インスタンスがあります。
重要: サービス インスタンスの数は、サービスが実行しているホストの数と同じになります。たとえば、クラスタ内に 8 台のホストがあり、パートナー サービスが 2 つのクラスタに展開されている場合、実行中のサービス インスタンスは合計で 16 台になります。
-
サービス展開:Admin は、NSX-T 経由でパートナー サービス仮想マシンをクラスタごとに展開します。展開はクラスタ レベルで管理されるため、ホストがクラスタに追加されると、EAM はサービス仮想マシンを自動的に展開します。
vCenter Server クラスタで分散リソース スケジューラ (DRS) サービスが構成されている場合、サービス仮想マシンを自動的に展開する必要があります。これにより、vCenter Server は、サービス仮想マシンが展開された後にクラスタに追加された新しいホストに既存の仮想マシンを配布または再調整し、新しいホストで開始することができます。パートナー サービス仮想マシンでゲスト仮想マシンを保護するには、NSX-T プラットフォームが必要です。このため、ホストをトランスポート ノードとして準備する必要があります。
重要: 1 つのサービス展開は、1 つのパートナー サービスを展開および構成するために管理されている vCenter Server の 1 つのクラスタを表します。 - ファイル イントロスペクション ドライバ:ゲスト仮想マシンにインストールされ、ゲスト仮想マシン上のファイル アクティビティをインターセプトします。
- ネットワーク イントロスペクション ドライバ:ゲスト仮想マシンにインストールされ、ゲスト仮想マシン上のネットワーク トラフィック、プロセス、ユーザー アクティビティをインターセプトします。