端點保護原則會以特定順序強制執行。當您設計原則時,請考量與規則及裝載規則之網域相關聯的順序編號。
案例:您的組織會執行許多工作負載,但基於說明目的,我們選擇兩種工作負載,即執行虛擬桌面基礎結構 (VDI) 工作負載的虛擬機器,以及執行支付卡產業資料安全標準 (PCI-DSS) 工作負載的虛擬機器。組織中的一部分員工需要執行遠程桌面存取,虛擬桌面基礎結構 (VDI) 工作負載即由此而來。根據組織所設定的符合性規則,這些 VDI 工作負載可能需要金級保護原則層級,而 PCI-DSS 工作負載需要最高保護層級,也就是白金級層級保護。
由於有兩種工作負載類型,因此會建立兩個原則,分別適用於 VDI 工作負載和伺服器工作負載。在每個原則或區段中,定義網域來反映工作負載類型,並在該區段中定義用於該工作負載的規則。發佈規則以在客體虛擬機器上啟動 GI 服務。GI 內部使用兩個順序編號:原則順序編號及規則順序編號,來決定規則執行的完整順序。每個規則都有兩個目的:決定要保護哪些虛擬機器,以及必須套用哪個保護原則來保護虛擬機器。
若要變更順序,請在 NSX-T Data Center Policy Manager UI 中拖曳規則,即可變更其順序。或者,您可以使用 API 來明確指派規則的順序編號。
還可以執行 NSX-T Data Center API 呼叫來手動定義規則,方法是將服務設定檔與虛擬機器群組相關聯,然後宣告規則的順序編號。如需有關 API 和參數的詳細資料,請參閱《NSX-T Data Center API 指南》。執行服務組態 API 呼叫,將設定檔套用至實體,例如虛擬機器群組等。
API | 詳細資料 |
---|---|
取得所有服務組態詳細資料。 | GET /api/v1/service-configs 此服務組態 API 會傳回下列項目的詳細資料:套用至虛擬機器群組的服務設定檔、所保護的虛擬機器群組,以及決定規則優先順序的順序或優先順序編號。 |
建立服務組態。 | POST /api/v1/service-configs 此服務組態 API 會取得下列項目的輸入參數:服務設定檔、所保護的虛擬機器群組,以及必須套用至規則的順序或優先順序編號。 |
刪除服務組態。 | DELETE /api/v1/service-configs/ <config-set-id> 此服務組態 API 會刪除套用至虛擬機器群組的組態。 |
取得特定組態的詳細資料。 | GET /api/v1/service-configs/ <config-set-id> 取得特定組態的詳細資料 |
更新服務組態。 | PUT /api/v1/service-configs/ <config-set-id> 更新服務組態。 |
取得有效設定檔。 | GET /api/v1/service-configs/ effective-profiles?resource_id=<resource-id> &resource_type=<resource-type> 此服務組態 API 僅會傳回套用至特定虛擬機器群組的設定檔。 |
請遵循以下建議來有效率地管理規則:
- 為其規則必須先執行的原則設定較高的順序編號。您可以從使用者介面中拖曳原則來變更其優先順序。
-
同樣地,為每個原則中的規則設定較高的順序編號。
- 根據您需要的規則數量而定,可以將規則以 2、3、4 甚或 10 的倍數來間隔放置。如此,兩個間隔 10 個位次的連續規則,可讓您有更多彈性來重新排列規則的順序,而不用變更所有規則的順序編號。例如,如果您不打算定義許多規則,則您可以選擇將規則以 10 個位次的間隔放置。如此,規則 1 的順序編號為 1,規則 2 的順序編號為 10,規則 3 的順序編號為 20,依此類推。這項建議提供高效管理規則的彈性,讓您無需重新排列所有規則的順序。
在系統內部,Guest Introspection 會以下列方式排列這些原則規則的順序。
Policy 1 ↔ Sequence Number 1 (1000) - Rule 1 : Group 1↔ Service Profile ↔ Sequence Number 1 (1001) - Rule 2 : Group 1↔ Service Profile ↔ Sequence Number 10 (1010) - Rule 3 : Group 1↔ Service Profile ↔ Sequence Number 20 (1020) - Rule 4 : Group 1↔ Service Profile ↔ Sequence Number 30 (1030) Policy 2 ↔ Sequence Number 2 (2000) - Rule 1 : Group 1↔ Service Profile ↔ Sequence Number 1 (2001) - Rule 2 : Group 1↔ Service Profile ↔ Sequence Number 10 (2010) - Rule 3 : Group 1↔ Service Profile ↔ Sequence Number 20 (2020) - Rule 4 : Group 1↔ Service Profile ↔ Sequence Number 30 (2030)
根據上述順序編號,GI 會先執行原則 1 的規則,然後再執行原則 2 的規則。
但有時會發生預定規則不適用於虛擬機器群組或虛擬機器的情況。此時必須解決這些衝突,才能套用所需的原則保護層級。