O vSphere HA é aprimorado por vários recursos de segurança.
- Selecione as portas de firewall abertas
- O vSphere HA usa as portas TCP e UDP 8182 para comunicação entre agentes. As portas de firewall abrem e fecham automaticamente para garantir que estejam abertas somente quando necessário.
- Arquivos de configuração protegidos usando permissões do sistema de arquivos
- O vSphere HA armazena informações de configuração no armazenamento local ou em ramdisk se não houver armazenamento de dados local. Esses arquivos são protegidos usando permissões do sistema de arquivos e são acessíveis apenas para o usuário raiz. Hosts sem armazenamento local só terão suporte se forem gerenciados pelo Auto Deploy.
- Log detalhado
-
O local onde o vSphere HA coloca os arquivos de log depende da versão do host.
- Para hosts do ESXi 5.x, o vSphere HA grava no syslog somente por padrão, portanto, os logs são colocados onde o syslog está configurado para colocá-los. Os nomes de arquivo de log para vSphere HA são precedidos com fdm, gerenciador de domínio de falha, que é um serviço de vSphere HA.
- Para hosts ESXi 4.x legados, vSphere HA grava em / var / log / vmware / fdm no disco local, bem como no syslog, se estiver configurado.
- Para hosts ESX 4.x legados, vSphere HA grava em / var / log / vmware / fdm .
- Proteger vSphere HA logins
- vSphere HA faz login nos agentes vSphere HA usando uma conta de usuário, vpxuser , criada por vCenter Server. Esta conta é a mesma conta usada por vCenter Server para gerenciar o host. vCenter Server cria uma senha aleatória para esta conta e altera a senha periodicamente. O período de tempo é definido pela configuração de vCenter Server VirtualCenter.VimPasswordExpirationInDays. Os usuários com privilégios administrativos na pasta raiz do host podem fazer login no agente.
- Comunicação segura
- Toda a comunicação entre vCenter Server e o agente vSphere HA é feita por SSL. A comunicação de agente para agente também usa SSL, exceto para mensagens de eleição, que ocorrem por meio de UDP. As mensagens de eleição são verificadas por SSL para que um agente não autorizado possa impedir que apenas o host no qual o agente está sendo executado seja eleito como um host primário. Nesse caso, um problema de configuração para o cluster é emitido para que o usuário esteja ciente do problema.
- A verificação do certificado SSL do host é necessária
- vSphere HA requer que cada host tenha um certificado SSL verificado. Cada host gera um certificado autoassinado quando é inicializado pela primeira vez. Esse certificado pode ser regenerado ou substituído por um certificado emitido por uma autoridade. Se o certificado for substituído, vSphere HA precisará ser reconfigurado no host. Se um host se desconectar de vCenter Server depois que seu certificado for atualizado e o ESXi ou ESX Host Agent for reiniciado, o vSphere HA será reconfigurado automaticamente quando o host for reconectado a vCenter Server. Se a desconexão não ocorrer porque a verificação de certificado SSL do host vCenter Server está desativada no momento, verifique o novo certificado e reconfigure vSphere HA no host.