将趋势科技服务器深度安全防护系统策略与 NSX 同步
有关在继续执行本文中的步骤之前必须执行的步骤,请参阅部署趋势科技服务器深度安全防护系统。
有以下两种方法可通过趋势科技服务器深度安全防护系统保护 VM:
- 使用基于事件的任务在趋势科技服务器深度安全防护系统中激活和停用 VM 并应用或删除缺省策略。有关更多信息,请参阅 NSX 环境中的自动策略管理中的“将 vCenter 添加到趋势科技服务器深度安全防护系统管理中心时创建的基于事件的任务”。
- 将趋势科技服务器深度安全防护系统策略与 NSX 同步。下面介绍了此方法。
要保护的每个 VM 必须属于已为其分配 NSX 安全策略的 NSX 安全组。设置 NSX 安全策略时,选择的选项之一是 NSX 服务配置文件。对于趋势科技服务器深度安全防护系统 9.6 或更低版本,只有一个 NSX 服务配置文件可用于趋势科技服务器深度安全防护系统。在趋势科技服务器深度安全防护系统 9.6 SP1 或更高版本中,可以选择将所有趋势科技服务器深度安全防护系统策略与 NSX 同步。这将为每个趋势科技服务器深度安全防护系统策略创建匹配的 NSX 服务配置文件(我们在趋势科技服务器深度安全防护系统中将它称为“已映射的服务配置文件”)。
启用策略同步:
在与 NSX 同步之前,趋势科技服务器深度安全防护系统管理中心中的所有策略都必须具有唯一名称。
- 在趋势科技服务器深度安全防护系统管理中心中,转到计算机页面,然后右键单击要在其中启用同步的 vCenter。
- 单击属性。
- 在 NSX 配置选项卡上,选择将趋势科技服务器深度安全防护系统策略与 NSX 服务配置文件同步。单击确定。
后续步骤:
- 创建 NSX 安全策略,如创建 NSX 安全组和策略中所述。选择已映射的服务配置文件作为 Guest Introspection 服务以及入站和出站网络 Introspection 服务的服务配置文件。
如果选择“缺省 (EBT)”服务配置文件,则使用此策略的组中的 VM 将由“NSX 安全组更改”基于事件的任务处理。
- 将 NSX 安全策略分配给包含要保护的 VM 的 NSX 安全组,如创建 NSX 安全组和策略中所述。NSX 安全组中的所有 VM 都将自动激活并自动分配有对应的趋势科技服务器深度安全防护系统策略,而不使用基于事件的任务。
更改或删除已分配给 VM 的策略
VM 受已映射的服务配置文件保护时,无法从趋势科技服务器深度安全防护系统管理中心内更改策略分配。要更改用于保护 VM 的配置文件,必须从 vSphere Web Client 更改 NSX 安全策略或 NSX 安全组。
如果从组中取消分配 NSX 安全策略,则该组中的任何 VM 都将在趋势科技服务器深度安全防护系统管理中心中停用。
更改策略的名称
如果在趋势科技服务器深度安全防护系统管理中心中重命名策略,则 NSX 服务配置文件名称也将随之更改。
删除策略
如果在趋势科技服务器深度安全防护系统管理中心中删除策略且对应的 NSX 服务配置文件未在使用中,则它将被删除。如果对应的 NSX 服务配置文件正在使用中,则 NSX 服务配置文件将不再与趋势科技服务器深度安全防护系统管理中心同步,且其名称将更改以指示它不再有效。如果 NSX 服务配置文件稍后变为未使用,将删除该配置文件。
VMware vRealize
如果使用 VMware vRealize 配置蓝图,则可以将 NSX 安全组或 NSX 安全策略分配给蓝图。安全组或安全策略都可以使用已映射的服务配置文件。