vSphere HA é aprimorado por vários recursos de segurança.
- Selecionar portas de firewall abertas
- vSphere HA usa a porta TCP e UDP 8182 para comunicação de agente para agente. As portas do firewall abrem e fecham automaticamente para garantir que sejam abertas somente quando necessário.
- Arquivos de configuração protegidos usando permissões do sistema de arquivos
- vSphere HA armazena informações de configuração no armazenamento local ou no disco RAM se não houver um armazenamento de dados local. Esses arquivos são protegidos por meio de permissões do sistema de arquivos e podem ser acessados apenas pelo usuário raiz. Os hosts sem armazenamento local só terão suporte se forem gerenciados pelo Auto Deploy.
- Log detalhado
-
O local onde vSphere HA coloca os arquivos de log depende da versão do host.
- Para hosts ESXi, vSphere HA grava no syslog somente por padrão, portanto, os logs são colocados onde o syslog está configurado para colocá-los. Os nomes dos arquivos de log para vSphere HA são prefixados com fdm, gerenciador de domínio de falha, que é um serviço de vSphere HA.
- Para hosts ESXi herdados, o vSphere HA grava em /var/log/vmware/fdm no disco local, bem como em syslog, se estiver configurado.
- Proteja vSphere HA logins
- vSphere HA faz login nos agentes do vSphere HA usando uma conta de usuário, vpxuser, criada por vCenter Server. Essa conta é a mesma usada por vCenter Server para gerenciar o host. vCenter Server cria uma senha aleatória para esta conta e altera a senha periodicamente. O período de tempo é definido pela configuração vCenter Server VirtualCenter.VimPasswordExpirationInDays. Os usuários com privilégios administrativos na pasta raiz do host podem fazer login no agente.
- Comunicação segura
- Toda a comunicação entre vCenter Server e o agente vSphere HA é feita por SSL. A comunicação entre agentes também usa SSL, exceto para mensagens de eleição, que ocorrem por meio de UDP. As mensagens de eleição são verificadas por meio de SSL para que um agente invasor possa impedir que apenas o host no qual o agente está sendo executado seja eleito como host principal. Nesse caso, é emitido um problema de configuração para o cluster para que o usuário esteja ciente do problema.
- Verificação do certificado SSL do host necessária
- vSphere HA requer que cada host tenha um certificado SSL verificado. Cada host gera um certificado autoassinado quando é inicializado pela primeira vez. Esse certificado pode ser gerado novamente ou substituído por um emitido por uma autoridade. Se o certificado for substituído, vSphere HA precisará ser reconfigurado no host. Se um host for desconectado de vCenter Server depois que seu certificado for atualizado e o agente de host ESXi ou ESX for reiniciado, vSphere HA será reconfigurado automaticamente quando o host for reconectado a vCenter Server. Se a desconexão não ocorrer porque a verificação do certificado SSL do vCenter Server host está desativada no momento, verifique o novo certificado e reconfigure vSphere HA no host.