VxRail+NSX-T環境でDeepSecurity Virtualアプライアンスのインストールについて

NSX-TでのGuest Introspectionの構築は未経験だったため以下の資料を参照しました。

① https://blogs.vmware.com/jp-cim/files/2020/01/NSX-T2.4-2.5.0DSVA12.0_IntegrationGuide_Rev1.0a.pdf

② https://blogs.vmware.com/jp-cim/2019/08/introduce_ds12_release_and_upadte2.html

③ https://docs.vmware.com/jp/VMware-NSX-T-Data-Center/3.0/administration/GUID-79749A9D-4DC7-4C24-B667-3AEC864F7BCB.html

NSX-TではNSX-V までで必要であったUSVMとしてのGuestIntrospectionはなくなり、代わりにESXi内部のモジュールとしてOps Agentとして稼働しているようですね。

Guest Introspection Serviceという用語はVMwareのドキュメントからは確認できませんでしたが、おそらくは上記のOps Agentと、以前から存在するMUX（Context Multiplexer）をまとめた概念と思います。

①の資料の98ページに、MUXとDSVAは、保護対象の仮想マシン毎にTCPのコネクションを張る、とあるので、hanakoさんが言及されているIPアドレスとはおそらくこれにつかわれるもののことだと思います。

①の資料の17ページの 「Trend Micro Deep Security と VMware コンポーネント間の使用通信ポート  」の項目によると、MUX（カーネルモジュール）とDSVAの通信は、自動で作成される内部コネクション用の標準仮想スイッチで行われるとあり、ポートグループやIPアドレスは手動で変更する必要がないと記載があります。

実際に同資料の後半の構築手順を見てもMUXや、それと通信するDSVAのvNICのIPを指定する手順は確認できませんでした。

NSX-Vの時代でも同様にMUXとUSVMとDSVAが所属する仮想スイッチとポートグループが自動的に作成され、IPアドレスはAPIPAが自動でアサインされており、手動での変更や構築は不要でしたので、おそらく同様の仕様を踏襲していると思われます。

私の実力の範囲で、公開ドキュメントから確認できる仕様は以上でしたが、もしより詳細、もしくは確実は仕様情報については知りたい場合はTrendmicro側に問い合わせたほうが良いかと思います。

naoyuki_kaneda

NSX-T 2.5.1環境が用意できDSVAのサービス展開をNSXマネージャから実行し、Guest IntrospectionのデプロイなくDSVAのデプロイができました。

NSXマネージャの4119ポートの穴あけを行わないと展開は失敗しました。

ありがとうございます。