通过 vCenter Single Sign-On 进行身份验证和通过 vCenter Server 权限模型进行授权可保护 vCenter Server 系统及关联服务。您可以修改默认行为,且可以采取其他措施来保护对环境的访问。

在保护 vSphere 环境时,请考虑必须保护与 vCenter Server 实例关联的所有服务。在某些环境中,您可以保护多个 vCenter Server 实例及一个或多个 Platform Services Controller 实例。

强化对所有 vCenter 主机的保护

保护 vCenter 环境的第一步是强化对运行 vCenter Server 或关联服务的每台计算机的保护。物理机或虚拟机需要考虑类似的注意事项。始终为操作系统安装最新的安全修补程序,并遵循行业标准最佳做法以保护主机。

了解 vCenter 证书模型

默认情况下,VMware Certificate Authority 将为每个 ESXi 主机、环境中的每台计算机以及每个解决方案用户置备 VMCA 签名的证书。环境可以即装即用,但如果公司策略需要,则可以更改默认行为。请参见vSphere 安全证书

如需其他保护,请务必明确移除过期和撤销的证书以及失败的安装。

配置 vCenter Single Sign-On

vCenter Single Sign-On 身份验证框架可保护 vCenter Server 和关联服务。首次安装该软件时,请指定 administrator@vsphere.local 用户的密码,且只能将该域作为标识源。您可以添加其他标识源(Active Directory 或 LDAP),并设置默认标识源。从今往后,凡是能够向标识源进行身份验证的用户均可以查看对象并执行任务(如果其拥有相关权限)。请参见使用 vCenter Single Sign-On 进行 vSphere 身份验证

向用户或组分配角色

为了实现更好的日志记录,请将授予给对象的每个权限与指定用户或组以及预定义角色或自定义角色相关联。vSphere 6.0 权限模型提供了较大的灵活性,允许通过多种方式授权用户或组。请参见了解 vSphere 中的授权常见任务的所需特权

务必限制管理员特权及管理员角色的使用。如果可能,请不要使用匿名管理员用户。

设置 NTP

为环境中的每个节点设置 NTP。证书基础架构需要准确的时间戳,如果节点不同步,则证书基础架构将无法正常运行。

请参见同步 vSphere 网络连接上的时钟