端點保護工作流程需要合作夥伴向 NSX-T Data Center 登錄其服務,管理員才能使用這些服務。本文提供幾個概念,可協助您瞭解工作流程。

  • 服務定義:合作夥伴會使用下列屬性來定義服務:名稱、說明、支援的構成要素、包含網路介面的部署屬性,以及 SVM 所要使用的應用裝置 OVF 套件位置。
  • 服務插入:NSX 會提供服務插入架構,讓合作夥伴可將網路與安全性解決方案與 NSX 平台整合。Guest Introspection 解決方案就是這種形式的服務插入之一。

  • 服務設定檔和廠商範本:合作夥伴會登錄公開原則之保護層級的廠商範本。例如,保護層級可以是「金級」、「銀級」或「白金級」。服務設定檔可從廠商範本建立,這可讓 NSX 管理員根據其喜好設定為廠商範本命名。對於 Guest Introspection 以外的服務,服務設定檔允許使用屬性進行進一步的自訂。然後,服務設定檔可在端點保護原則規則中用來為 NSX 中定義的虛擬機器群組設定保護。身為管理員,您可以根據虛擬機器名稱、標籤或識別碼來建立群組。您可以選擇性地從單一廠商範本建立多個服務設定檔。
  • 端點保護原則:原則是規則的集合。當您擁有多個原則時,請依序排列這些原則加以執行。原則內定義的規則也是如此。例如,假設原則 A 有三個規則,而原則 B 有四個規則,這些原則以原則 A 優先於原則 B 的順序排列。當 Guest Introspection 開始執行原則時,將會先執行原則 A 中的規則,再執行原則 B 中的規則。

  • 端點保護規則:身為 NSX 管理員,您可以建立規則以指定要保護的虛擬機器群組,並藉由指定每個規則的服務設定檔來選擇這些群組的保護層級。

  • 服務執行個體:是指主機上的服務虛擬機器。vCenter 會將服務虛擬機器視為特殊虛擬機器,這些虛擬機器會在任何客體虛擬機器開啟電源之前啟動,並在所有客體虛擬機器關閉電源之後停止。每個主機的每項服務都有一個服務執行個體。
    重要: 服務執行個體的數目等於服務執行所在主機的數目。例如,如果一個叢集中有八個主機,而合作夥伴服務部署在兩個叢集上,則執行中的服務執行個體總數將是 16 個 SVM。
  • 服務部署:身為管理員,您可以透過 NSX-T 在個別的叢集上部署合作夥伴服務虛擬機器。部署會在叢集層級受到管理,因此當任何主機新增至叢集時,EAM 就會自動在其上部署服務虛擬機器。

    自動部署 SVM 是很重要的,因為如果 vCenter 叢集上設定了 Distributed Resource Scheduler (DRS) 服務,vCenter 即可在 SVM 部署於新主機並啟動後,將現有的虛擬機器重新平衡或分配到任何已新增至叢集的新主機。由於合作夥伴服務虛擬機器需使用 NSX-T 平台為客體虛擬機器提供安全性,因此主機必須做好成為傳輸節點的準備。

    重要: 一個服務部署是指 vCenter Server 上的一個叢集,而此叢集會受到管理以部署和設定一個合作夥伴服務。
  • 檔案自我檢查驅動程式:安裝在客體虛擬機器上,用來攔截客體虛擬機器上的檔案活動。
  • 網路自我檢查驅動程式:安裝在客體虛擬機器上,用來攔截客體虛擬機器上的網路流量、程序和使用者活動。