Piszki Lab

Analiza przypadku w języku przodków…

Konfiguracja Trend Micro Deep Security i VMware NSX for vShield Endpoint

| 0 comments

Wraz z osiągnięciem przez VMware NSX statustu GA, każdy posiadacz licencji vCenter Standard może ściągnąć i zainstalować VMware NSX for vShield Endpoint. Generalnie jest to bardzo dobry ruch na który czekało bardzo wiele osób. W tym momencie możliwa jest już migracja z VMware vShield Manager do VMware NSX w środowisku vCenter 6 (szczególnie dla posiadaczy licencji vCloud Suite 6). Oznacza to również możliwość migracji Trend Micro Deep Security z wersji 9.5 do wersji 9.6. Zanim jednak rzucicie się aby wykonać opisany tutaj upgrade, zastanówcie się dwa razy i przemyślcie wszystko dokładnie. Licencja NSX for vShield Endpoint jest bardzo okrojona, w zasadzie ma tylko dwie funkcjonalności. Bez agentową ochronę antywirusową (AV offloading) oraz Integrity Monitoring. Oznacza to, że jeśli posiadacie pełną licencję na wszystkie moduły Deep Security, to aby z nich skorzystać, musicie użyć agenta w trybie kombinowanym.

nsx11

Moja sugestia jest też taka, abyście nie wykonywali upgrade vShield Manager do NSX. Przy wykorzystaniu licencji NSX for vShield Endpoint najlepszą opcją jaką można zrobić to zdezaktywować maszyny w Deep Security, wykonać unprepare na hostach ESXi (usunąć połączenie do vShield Manager w konfiguracji vCenter w Deep Security), odinstalować vShield Endpoint i usunąć DSVA. Czyli całkowicie wyczyścić środowisko i zainstalować VMware NSX od zera (i ponownie połączyć Deep Security z NSX). Jest to bardzo proste, wystarczy załadować NSX OVA do środowiska, uruchomić i skonfigurować. W stosunku do tego co opisałem tutaj, jest kilka różnic, nie musimy nic robić poza zainstalowaniem NSX Guest Introspection.

nsx4

Wszystkie potrzebne VIB zostaną zainstalowane w trakcie tego procesu.

nsx5

Jeśli jednak spróbujecie wykonać operację Host Preparation, spotkacie się z prostym komunikatem (Operations is not allowed by the applied NSX license.):

nsx2

Zanim wykonamy kolejny ruch, musimy odczekać aż cały proces zakończy się poprawnie (Service Status osiągnie stan “up”):

nsx6

Kolejny krok to upewnienie się, że w Trend Micro Deep Security 9.6.2 mamy załadowany DSVA 9.5 oraz agenta dla systemu Red Hat Enterprise Linux 6 x64 w wersji 9.6.2 (nawet jeśli nie używamy w środowisku systemów Red Hat). Bez agenta DSVA nie zostanie podniesione do wersji 9.6 (będzie działać poprawnie w wersji 9.5 ale będzie produkować dodatkowe komunikaty o błędach). Przystępujemy do instalacji serwisu Trend Micro Deep Security (wszystkie potrzebne kroki zostały opisane tutaj).

nsx7

Zostaniemy ostrzeżeni o braku wszystkich potrzebnych komponentów, ignorujemy to i kontynuujemy.

nsx3

Proces kończy się natychmiast błędem, ale nie klikamy Resolve!

nsx1

W tle poprawnie przebiega instalacja Trend Micro Deep Security (DSVA).

nsx8

Czekamy na zakończenie procesu instalacji, po uruchomieniu DSVA zostanie wykonany ich upgrade do najnowszej wersji, trwa to bardzo długo. Czekajcie cierpliwie, poprawne zakończenie procesu można poznać po tym, że DSVA zameldują się w DSM (na zielono z wersją 9.6.2).

nsx9

Konfiguracja polityk w NSX opisałem tutaj, jeśli wszystko zakończyło się poprawnie, maszyny wirtualne zostaną aktywowane automatycznie. W trybie kombinowanym dla systemu Windows ochrona antywirusowa jest realizowana przez DSVA (zawsze).

nsx10

Dodatkowe informacje możecie znaleźć na stronie supportu Trend Micro. Jeszcze raz powtarzam, w przypadku upgrade z vShield Manager i DSM 9.5 zalecam wyczyszczenie konfiguracji i instalację od zera.

Oceń ten artykuł:
[Total: 0 Average: 0]

Dodaj komentarz

Required fields are marked *.