未解決
362 メッセージ
0
2104
VxRail+NSX-T環境でDeepSecurity Virtualアプライアンスのインストールについて
VxRail+NSX-T環境にトレントマイクロのDeepSecurityと組み合わせ、エージェントレスの仮想マシンの不正対策を実現し、仮想マシンを検疫ネットワークに隔離することを考えています。
VxRailを構成するESXiサーバにGuest Introspection Serviceにインストールして、DeepSecurityのVirtual Appliance(以下DSVAと略します)をデプロイする必要があります。
DSVAには、DeepSecurityマネージャと同じネットワークセグメントのIPアドレスを割り当てますが、Guest Introspection ServiceのIPアドレスは、DSVAに割り当てるネットワークセグメントと同じIPアドレスを割り当て無いといけないのでしょうか。
DELL-Naoyuki K
4 Operator
4 Operator
•
1.8K メッセージ
0
2020年8月18日 02:00
NSX-TでのGuest Introspectionの構築は未経験だったため以下の資料を参照しました。
① https://blogs.vmware.com/jp-cim/files/2020/01/NSX-T2.4-2.5.0DSVA12.0_IntegrationGuide_Rev1.0a.pdf
② https://blogs.vmware.com/jp-cim/2019/08/introduce_ds12_release_and_upadte2.html
③ https://docs.vmware.com/jp/VMware-NSX-T-Data-Center/3.0/administration/GUID-79749A9D-4DC7-4C24-B667-3AEC864F7BCB.html
NSX-TではNSX-V までで必要であったUSVMとしてのGuestIntrospectionはなくなり、代わりにESXi内部のモジュールとしてOps Agentとして稼働しているようですね。
Guest Introspection Serviceという用語はVMwareのドキュメントからは確認できませんでしたが、おそらくは上記のOps Agentと、以前から存在するMUX(Context Multiplexer)をまとめた概念と思います。
①の資料の98ページに、MUXとDSVAは、保護対象の仮想マシン毎にTCPのコネクションを張る、とあるので、hanakoさんが言及されているIPアドレスとはおそらくこれにつかわれるもののことだと思います。
①の資料の17ページの 「Trend Micro Deep Security と VMware コンポーネント間の使用通信ポート 」の項目によると、MUX(カーネルモジュール)とDSVAの通信は、自動で作成される内部コネクション用の標準仮想スイッチで行われるとあり、ポートグループやIPアドレスは手動で変更する必要がないと記載があります。
実際に同資料の後半の構築手順を見てもMUXや、それと通信するDSVAのvNICのIPを指定する手順は確認できませんでした。
NSX-Vの時代でも同様にMUXとUSVMとDSVAが所属する仮想スイッチとポートグループが自動的に作成され、IPアドレスはAPIPAが自動でアサインされており、手動での変更や構築は不要でしたので、おそらく同様の仕様を踏襲していると思われます。
私の実力の範囲で、公開ドキュメントから確認できる仕様は以上でしたが、もしより詳細、もしくは確実は仕様情報については知りたい場合はTrendmicro側に問い合わせたほうが良いかと思います。
hanako
362 メッセージ
1
2020年9月10日 00:00
naoyuki_kaneda
NSX-T 2.5.1環境が用意できDSVAのサービス展開をNSXマネージャから実行し、Guest IntrospectionのデプロイなくDSVAのデプロイができました。
NSXマネージャの4119ポートの穴あけを行わないと展開は失敗しました。
ありがとうございます。