端點保護原則會以特定順序強制執行。當您設計原則時,請考量與規則及裝載規則之網域相關聯的順序編號。

案例:您的組織會執行許多工作負載,但基於說明目的,我們選擇兩種工作負載,即執行虛擬桌面基礎結構 (VDI) 工作負載的虛擬機器,以及執行支付卡產業資料安全標準 (PCI-DSS) 工作負載的虛擬機器。組織中的一部分員工需要執行遠程桌面存取,虛擬桌面基礎結構 (VDI) 工作負載即由此而來。根據組織所設定的符合性規則,這些 VDI 工作負載可能需要金級保護原則層級,而 PCI-DSS 工作負載需要最高保護層級,也就是白金級層級保護。

此範例顯示設定為保護 VDI 工作負載的合規性原則。

此範例顯示用來保護 PCI-DSS 工作負載的原則。

由於有兩種工作負載類型,因此會建立兩個原則,分別適用於 VDI 工作負載和伺服器工作負載。在每個原則或區段中,定義網域來反映工作負載類型,並在該區段中定義用於該工作負載的規則。發佈規則以在客體虛擬機器上啟動 GI 服務。GI 內部使用兩個順序編號:原則順序編號及規則順序編號,來決定規則執行的完整順序。每個規則都有兩個目的:決定要保護哪些虛擬機器,以及必須套用哪個保護原則來保護虛擬機器。

若要變更順序,請在 NSX Policy Manager UI 中拖曳規則,即可變更其順序。或者,您可以使用 API 來明確指派規則的順序編號。

還可以執行 NSX API 呼叫來手動定義規則,方法是將服務設定檔與虛擬機器群組相關聯,然後宣告規則的順序編號。如需有關 API 和參數的詳細資料,請參閱NSX API 指南》。執行服務組態 API 呼叫,將設定檔套用至實體,例如虛擬機器群組等。

表 1. NSX API 用於定義將服務設定檔套用至虛擬機器群組的規則
API 詳細資料
取得所有服務組態詳細資料。
GET /api/v1/service-configs

此服務組態 API 會傳回下列項目的詳細資料:套用至虛擬機器群組的服務設定檔、所保護的虛擬機器群組,以及決定規則優先順序的順序或優先順序編號。

建立服務組態。
POST /api/v1/service-configs

此服務組態 API 會取得下列項目的輸入參數:服務設定檔、所保護的虛擬機器群組,以及必須套用至規則的順序或優先順序編號。

刪除服務組態。
DELETE /api/v1/service-configs/
<config-set-id>

此服務組態 API 會刪除套用至虛擬機器群組的組態。

取得特定組態的詳細資料。
GET /api/v1/service-configs/
<config-set-id>

取得特定組態的詳細資料

更新服務組態。
PUT /api/v1/service-configs/
<config-set-id>

更新服務組態。

取得有效設定檔。
GET /api/v1/service-configs/
effective-profiles?resource_id=<resource-id>
&resource_type=<resource-type>

此服務組態 API 僅會傳回套用至特定虛擬機器群組的設定檔。

請遵循以下建議來有效率地管理規則:

  • 為其規則必須先執行的原則設定較高的順序編號。您可以從使用者介面中拖曳原則來變更其優先順序。
  • 同樣地,為每個原則中的規則設定較高的順序編號。

  • 根據您需要的規則數量而定,可以將規則以 2、3、4 甚或 10 的倍數來間隔放置。如此,兩個間隔 10 個位次的連續規則,可讓您有更多彈性來重新排列規則的順序,而不用變更所有規則的順序編號。例如,如果您不打算定義許多規則,則您可以選擇將規則以 10 個位次的間隔放置。如此,規則 1 的順序編號為 1,規則 2 的順序編號為 10,規則 3 的順序編號為 20,依此類推。這項建議提供高效管理規則的彈性,讓您無需重新排列所有規則的順序。

在系統內部,Guest Introspection 會以下列方式排列這些原則規則的順序。

Policy 1 ↔ Sequence Number 1 (1000)

 - Rule 1 : Group 1↔ Service Profile ↔ Sequence Number 1 (1001)

 - Rule 2 : Group 1↔ Service Profile ↔ Sequence Number 10 (1010)

 - Rule 3 : Group 1↔ Service Profile ↔ Sequence Number 20 (1020)

 - Rule 4 : Group 1↔ Service Profile ↔ Sequence Number 30 (1030)



Policy 2  ↔ Sequence Number 2 (2000)

 - Rule 1 : Group 1↔ Service Profile ↔ Sequence Number 1 (2001)

 - Rule 2 : Group 1↔ Service Profile ↔ Sequence Number 10 (2010)

 - Rule 3 : Group 1↔ Service Profile ↔ Sequence Number 20 (2020)

 - Rule 4 : Group 1↔ Service Profile ↔ Sequence Number 30 (2030)

根據上述順序編號,GI 會先執行原則 1 的規則,然後再執行原則 2 的規則。

但有時會發生預定規則不適用於虛擬機器群組或虛擬機器的情況。此時必須解決這些衝突,才能套用所需的原則保護層級。