VMware Cloud Director 的安全操作需要拥有一个安全的网络环境。在开始安装 VMware Cloud Director 之前,必须先配置和测试此网络环境。
将所有 VMware Cloud Director 服务器连接到受保护和监控的网络。
有关 VMware Cloud Director 使用的网络端口和协议的信息,请参见 VMware 端口和协议。
VMware Cloud Director 网络连接还有一些额外要求:
- 请勿将 VMware Cloud Director 直接连接到公共 Internet。始终使用防火墙保护 VMware Cloud Director 网络连接。对于入站连接,仅必须打开端口 443 (HTTPS)。如果需要,也可以为入站连接打开端口 22 (SSH) 和 80 (HTTP)。此外,cell-management-tool 需要访问单元的 loopback 地址。防火墙必须拒绝来自公共网络的所有其他入站流量,包括发送到 JMX 的请求(端口 8999)。
有关必须允许来自 VMware Cloud Director 主机的入站数据包的端口的信息,请参见 VMware Ports and Protocols。
- 不要将用于出站连接的端口连接到公共网络。
有关必须允许来自 VMware Cloud Director 主机的出站数据包的端口的信息,请参见 VMware Ports and Protocols。
- 从版本 10.1 开始,服务提供商和租户可以使用 VMware Cloud Director API 测试与远程服务器的连接,并在 SSL 握手过程中验证服务器身份。为了保护 VMware Cloud Director 网络连接,请配置一个内部主机拒绝列表,使用 VMware Cloud Director API 进行连接测试的租户无法访问这些主机。在安装或升级 VMware Cloud Director 之后、向租户授予 VMware Cloud Director 访问权限之前,配置拒绝列表。请参见配置测试连接拒绝列表。
- 通过专用网络路由 VMware Cloud Director 服务器与以下服务器之间的流量。
- VMware Cloud Director 数据库服务器
- RabbitMQ
- Cassandra
- 如果可能,通过专用网络路由 VMware Cloud Director 服务器、vSphere 和 NSX 之间的流量。
- 支持提供商网络的虚拟交换机和分布式虚拟交换机必须相互隔离。它们不能共享相同的第 2 层物理网络分段。
- 使用 NFSv4 传输服务存储。最常见的 NFS 版本 NFSv3 不提供传输加密,对于某些配置,这可能会导致正在传输的数据被嗅探或篡改。SANS 白皮书受信任与不受信任环境中的 NFS 安全中介绍了 NFSv3 中固有的威胁。有关配置和保护 VMware Cloud Director 传输服务的其他信息,请参见 VMware 知识库文章 2086127。