끝점 보호 워크플로에서는 파트너가 NSX에 서비스를 등록해야 하며 관리자가 이러한 서비스를 사용해야 합니다. 다음은 해당 워크플로를 이해하는 데 도움이 되는 몇 가지 개념입니다.
끝점 보호 정책: 정책은 규칙의 모음입니다. 여러 정책이 있는 경우에는 순서대로 정렬하여 실행합니다. 정책 내에 정의된 규칙의 경우도 마찬가지입니다. 예를 들어, 정책 A에는 세 개의 규칙이 있고, 정책 B에는 4개의 규칙이 있고, 정책 A가 정책 B보다 우선하는 순서로 정렬되어 있습니다. Guest Introspection이 정책 실행을 시작할 때 정책 A의 규칙이 정책 B의 규칙보다 먼저 실행됩니다.
끝점 보호 규칙: NSX 관리자는 보호될 가상 시스템 그룹을 지정하는 규칙을 생성하고 각 규칙에 대한 서비스 프로파일을 지정하여 해당 그룹에 대한 보호 수준을 선택할 수 있습니다.
- 서비스 인스턴스: 호스트의 서비스 VM을 참조합니다. 서비스 VM은 vCenter에서 특수 VM으로 취급되며 게스트 VM의 전원이 켜지기 전에 시작되고, 모든 게스트 VM의 전원이 꺼진 후에 중지됩니다. 서비스당 호스트별로 하나의 서비스 인스턴스가 있습니다.
중요: 서비스 인스턴스의 수는 서비스가 호스트를 실행 중인 호스트 수와 같습니다. 예를 들어, 클러스터별로 8개의 호스트가 있고 파트너 서비스가 두 개의 클러스터에 배포된 경우 실행 중인 총 서비스 인스턴스 수는 16개의 SVM입니다.
서비스 배포: admin는 클러스터별로 NSX를 통해 파트너 서비스 VM을 배포합니다. 배포는 클러스터 수준에서 관리되므로 클러스터에 호스트를 추가할 때 EAM은 서비스 VM을 자동으로 배포합니다.
SVM을 자동으로 배포하는 것은 DRS(Distributed Resource Scheduler) 서비스가 vCenter Cluster에 구성된 경우 SVM이 새 호스트에서 배포되고 시작된 후 vCenter가 클러스터에 추가된 새 호스트로 기존 VM을 재조정하거나 배포할 수 있으므로 중요한 작업입니다. 게스트 VM에 보안을 제공하기 위해서는 파트너 서비스 VM에 NSX 플랫폼이 필요하므로 호스트를 전송 노드로 준비해야 합니다.
중요: 하나의 서비스 배포는 하나의 파트너 서비스를 배포 및 구성하기 위해 관리되는 VMware vCenter의 단일 클러스터를 참조합니다.- ESXi 호스트에서 SVM의 전원을 끄면 EAM은 DRS 서비스를 사용하여 해당 호스트의 모든 게스트 VM을 자동으로 마이그레이션합니다.