끝점 보호 워크플로에서는 파트너가 NSX-T Data Center에 서비스를 등록해야 하며 관리자가 이러한 서비스를 사용해야 합니다. 다음은 해당 워크플로를 이해하는 데 도움이 되는 몇 가지 개념입니다.
- 서비스 정의: 파트너는 이름, 설명, 지원되는 폼 팩터, 네트워크 인터페이스 및 SVM에서 사용될 장치 OVF 패키지 위치를 포함하는 배포 특성으로 서비스를 정의합니다.
-
서비스 삽입: NSX는 파트너가 네트워킹 및 보안 솔루션을 NSX 플랫폼과 통합할 수 있도록 하는 서비스 삽입 프레임워크를 제공합니다. Guest Introspection 솔루션은 이와 같은 서비스 삽입 형식입니다.
- 서비스 프로파일 및 벤더 템플릿: 파트너는 정책에 대한 보호 수준을 표시하는 벤더 템플릿을 등록합니다. 예를 들어 보호 수준은 Gold, Silver 또는 Platinum일 수 있습니다. NSX 관리자가 기본 설정에 따라 벤더 템플릿에 이름을 지정할 수 있는 벤더 템플릿에서 서비스 프로파일을 생성할 수 있습니다. Guest Introspection 이외의 서비스에서 서비스 프로파일은 특성을 사용한 추가 사용자 지정을 허용합니다. 그런 다음, 서비스 프로파일을 끝점 보호 정책 규칙에서 사용하여 NSX에 정의된 가상 시스템 그룹에 대한 보호를 구성할 수 있습니다. 관리자는 VM 이름, 태그 또는 식별자를 기준으로 그룹을 생성할 수 있습니다. 단일 벤더 템플릿에서 여러 서비스 프로파일을 선택적으로 생성할 수 있습니다.
-
끝점 보호 정책: 정책은 규칙의 모음입니다. 여러 정책이 있는 경우에는 순서대로 정렬하여 실행합니다. 정책 내에 정의된 규칙의 경우도 마찬가지입니다. 예를 들어, 정책 A에는 세 개의 규칙이 있고, 정책 B에는 4개의 규칙이 있고, 정책 A가 정책 B보다 우선하는 순서로 정렬되어 있습니다. Guest Introspection이 정책 실행을 시작할 때 정책 A의 규칙이 정책 B의 규칙보다 먼저 실행됩니다.
-
끝점 보호 규칙: NSX 관리자는 보호될 가상 시스템 그룹을 지정하는 규칙을 생성하고 각 규칙에 대한 서비스 프로파일을 지정하여 해당 그룹에 대한 보호 수준을 선택할 수 있습니다.
- 서비스 인스턴스: 호스트의 서비스 VM을 참조합니다. 서비스 VM은 vCenter에서 특수 VM으로 취급되며 게스트 VM의 전원이 켜지기 전에 시작되고, 모든 게스트 VM의 전원이 꺼진 후에 중지됩니다. 서비스당 호스트별로 하나의 서비스 인스턴스가 있습니다.
중요: 서비스 인스턴스의 수는 서비스가 호스트를 실행 중인 호스트 수와 같습니다. 예를 들어, 클러스터에 호스트가 8개 있고 파트너 서비스가 두 개의 클러스터에 배포된 경우 실행 중인 총 서비스 인스턴스 수는 16개의 SVM입니다.
-
서비스 배포: admin는 클러스터별로 NSX-T를 통해 파트너 서비스 VM을 배포합니다. 배포는 클러스터 수준에서 관리되므로 클러스터에 호스트를 추가할 때 EAM은 서비스 VM을 자동으로 배포합니다.
SVM을 자동으로 배포하는 것은 DRS(Distributed Resource Scheduler) 서비스가 vCenter Cluster에 구성된 경우 SVM이 새 호스트에서 배포되고 시작된 후 vCenter가 클러스터에 추가된 새 호스트로 기존 VM을 재조정하거나 배포할 수 있으므로 중요한 작업입니다. 게스트 VM에 보안을 제공하기 위해서는 파트너 서비스 VM에 NSX-T 플랫폼이 필요하므로 호스트를 전송 노드로 준비해야 합니다.
중요: 하나의 서비스 배포는 하나의 파트너 서비스를 배포 및 구성하기 위해 관리되는 vCenter Server의 단일 클러스터를 참조합니다. - 파일 자체 검사 드라이버: 게스트 VM에 설치되며, 게스트 VM의 파일 작업을 가로챕니다.
- 네트워크 자체 검사 드라이버: 게스트 VM에 설치되고 게스트 VM의 네트워크 트래픽, 프로세스 및 사용자 활동을 가로챕니다.