Wraz z osiągnięciem przez VMware NSX statustu GA, każdy posiadacz licencji vCenter Standard może ściągnąć i zainstalować VMware NSX for vShield Endpoint. Generalnie jest to bardzo dobry ruch na który czekało bardzo wiele osób. W tym momencie możliwa jest już migracja z VMware vShield Manager do VMware NSX w środowisku vCenter 6 (szczególnie dla posiadaczy licencji vCloud Suite 6). Oznacza to również możliwość migracji Trend Micro Deep Security z wersji 9.5 do wersji 9.6. Zanim jednak rzucicie się aby wykonać opisany tutaj upgrade, zastanówcie się dwa razy i przemyślcie wszystko dokładnie. Licencja NSX for vShield Endpoint jest bardzo okrojona, w zasadzie ma tylko dwie funkcjonalności. Bez agentową ochronę antywirusową (AV offloading) oraz Integrity Monitoring. Oznacza to, że jeśli posiadacie pełną licencję na wszystkie moduły Deep Security, to aby z nich skorzystać, musicie użyć agenta w trybie kombinowanym.

Moja sugestia jest też taka, abyście nie wykonywali upgrade vShield Manager do NSX. Przy wykorzystaniu licencji NSX for vShield Endpoint najlepszą opcją jaką można zrobić to zdezaktywować maszyny w Deep Security, wykonać unprepare na hostach ESXi (usunąć połączenie do vShield Manager w konfiguracji vCenter w Deep Security), odinstalować vShield Endpoint i usunąć DSVA. Czyli całkowicie wyczyścić środowisko i zainstalować VMware NSX od zera (i ponownie połączyć Deep Security z NSX). Jest to bardzo proste, wystarczy załadować NSX OVA do środowiska, uruchomić i skonfigurować. W stosunku do tego co opisałem tutaj, jest kilka różnic, nie musimy nic robić poza zainstalowaniem NSX Guest Introspection.

Wszystkie potrzebne VIB zostaną zainstalowane w trakcie tego procesu.

Jeśli jednak spróbujecie wykonać operację Host Preparation, spotkacie się z prostym komunikatem (Operations is not allowed by the applied NSX license.):

Zanim wykonamy kolejny ruch, musimy odczekać aż cały proces zakończy się poprawnie (Service Status osiągnie stan “up”):

Kolejny krok to upewnienie się, że w Trend Micro Deep Security 9.6.2 mamy załadowany DSVA 9.5 oraz agenta dla systemu Red Hat Enterprise Linux 6 x64 w wersji 9.6.2 (nawet jeśli nie używamy w środowisku systemów Red Hat). Bez agenta DSVA nie zostanie podniesione do wersji 9.6 (będzie działać poprawnie w wersji 9.5 ale będzie produkować dodatkowe komunikaty o błędach). Przystępujemy do instalacji serwisu Trend Micro Deep Security (wszystkie potrzebne kroki zostały opisane tutaj).

Zostaniemy ostrzeżeni o braku wszystkich potrzebnych komponentów, ignorujemy to i kontynuujemy.

Proces kończy się natychmiast błędem, ale nie klikamy Resolve!

W tle poprawnie przebiega instalacja Trend Micro Deep Security (DSVA).

Czekamy na zakończenie procesu instalacji, po uruchomieniu DSVA zostanie wykonany ich upgrade do najnowszej wersji, trwa to bardzo długo. Czekajcie cierpliwie, poprawne zakończenie procesu można poznać po tym, że DSVA zameldują się w DSM (na zielono z wersją 9.6.2).

Konfiguracja polityk w NSX opisałem tutaj, jeśli wszystko zakończyło się poprawnie, maszyny wirtualne zostaną aktywowane automatycznie. W trybie kombinowanym dla systemu Windows ochrona antywirusowa jest realizowana przez DSVA (zawsze).

Dodatkowe informacje możecie znaleźć na stronie supportu Trend Micro. Jeszcze raz powtarzam, w przypadku upgrade z vShield Manager i DSM 9.5 zalecam wyczyszczenie konfiguracji i instalację od zera.