Uma operação segura do VMware Cloud Director requer um ambiente de rede seguro. Configure e teste esse ambiente de rede antes de começar a instalação do VMware Cloud Director.
Conecte todos os servidores do VMware Cloud Director a uma rede que é protegida e monitorada.
Para obter informações sobre as portas de rede e os protocolos usados pelo VMware Cloud Director, consulte VMware Ports and Protocols.
As conexões de rede do
VMware Cloud Director têm vários requisitos adicionais:
- Não conecte o VMware Cloud Director diretamente à Internet pública. Proteja sempre as conexões de rede do VMware Cloud Director com um firewall. Somente a porta 443 (HTTPS) deve ser aberta para conexões de entrada. As portas 22 (SSH) e 80 (HTTP) também podem ser abertas para conexões de entrada, se necessário. Além disso, a cell-management-tool requer acesso ao endereço de loopback da célula. Todos os outros tráfegos de entrada de uma rede pública, inclusive as solicitações para JMX (porta 8999) devem ser rejeitados pelo firewall.
Para obter informações sobre as portas que devem permitir pacotes de entrada de hosts do VMware Cloud Director, consulte VMware Ports and Protocols.
- Não conecte as portas usadas para conexões de saída à rede pública.
Para obter informações sobre as portas que devem permitir pacotes de saída de hosts do VMware Cloud Director, consulte VMware Ports and Protocols.
- A partir da versão 10.1, os provedores de serviços e tenants podem usar a API do VMware Cloud Director para testar conexões com servidores remotos e verificar a identidade do servidor como parte de um handshake SSL. Para proteger as conexões de rede do VMware Cloud Director, configure uma lista de negação de hosts internos inacessíveis aos tenants que estejam usando a API do VMware Cloud Director para teste de conexão. Configure a lista de negação após a instalação ou o upgrade do VMware Cloud Director e antes de conceder aos tenants acesso ao VMware Cloud Director. Consulte Configurar uma lista de negação de conexões de teste no Guia do de Administração do Provedor de Serviços do VMware Cloud Director.
- Rotear o tráfego entre os servidores do VMware Cloud Director e os seguintes servidores em uma rede privada dedicada.
- Servidor do banco de dados do VMware Cloud Director
- RabbitMQ
- Cassandra
- Se possível, rotear o tráfego entre os servidores do VMware Cloud Director, vSphere e NSX por uma rede privada dedicada.
- Os switches virtuais e os switches virtuais distribuídos que oferecem suporte a redes do provedor devem ser isolados entre si. Eles não podem compartilhar o mesmo segmento de rede física camada 2.
- Use NFSv4 para armazenamento de serviço de transferência. A versão mais comum de NFS, o NFS v3, não tem a criptografia de trânsito que, em algumas configurações, pode criar um risco de detecção ou adulteração dos dados sendo transferidos. Ameaças inerentes ao NFSv3 são descritas no artigo técnico da SANS SNFS Security in Both Trusted and Untrusted Environments. Informações adicionais sobre a configuração e a proteção do serviço de transferência do VMware Cloud Director estão disponíveis no artigo da Base de Conhecimento VMware 2086127.
- Para evitar vulnerabilidades de injeção de cabeçalho do host, ative a verificação do cabeçalho do host.
- Faça login diretamente ou usando um cliente SSH no console do VMware Cloud Director como raiz.
- Ative a verificação do cabeçalho do host usando a ferramenta de gerenciamento de célula.
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true