多个安全功能增强了 vSphere HA。

选择已打开的防火墙端口

vSphere HA 对代理至代理的通信使用 TCP 和 UDP 端口 8182。防火墙端口将自动打开和关闭,确保仅在需要时打开端口。

使用文件系统权限保护的配置文件

vSphere HA 在本地存储器或 ramdisk(如果没有本地数据存储)上存储配置信息。使用文件系统权限保护这些文件,且仅 root 用户可以访问它们。不具有本地存储器的主机只有在由 Auto Deploy 管理时才受支持。

详细的日志记录

vSphere HA 放置日志文件的位置取决于主机版本。

  • 对于 ESXi 5.x 主机,vSphere HA 默认仅写入 syslog,因此,日志放置在 syslog 所配置的放置位置。vSphere HA 日志文件名前置 fdm(fdm 代表故障域管理器,vSphere HA 中的一种服务)。

  • 对于旧版 ESXi 4.x 主机,vSphere HA 写入本地磁盘上的 /var/log/vmware/fdm 以及 syslog(如果已配置)。

  • 对于旧版 ESX 4.x 主机,vSphere HA 写入 /var/log/vmware/fdm

安全 vSphere HA 登录

vSphere HA 使用 vCenter Server 创建的用户帐户 vpxuser 登录到 vSphere HA 代理。此帐户与 vCenter Server 用于管理主机的帐户相同。vCenter Server 为此帐户创建随机密码,并定期更改密码。时间段由 vCenter Server VirtualCenter.VimPasswordExpirationInDays 设置进行设置。对主机的根文件夹具有管理特权的用户可登录到代理。

安全通信

vCenter Server 和 vSphere HA 代理之间的所有通信都是通过 SSL 完成的。除选举消息以外(通过 UDP 完成),代理至代理的通信也使用 SSL。选举消息通过 SSL 进行验证,因此,恶意代理只能阻止在其上运行代理的主机被选为首选主机。在这种情况下,将发出群集的配置问题,以便用户了解问题。

需要验证主机 SSL 证书

vSphere HA 要求每个主机都具有一个经过验证的 SSL 证书。每个主机在首次引导时都会生成一个自签署证书。然后,可以重新生成或使用机构颁发的证书替换该证书。如果证书被替换,需要重新配置主机上的 vSphere HA。如果主机在其证书更新后断开与 vCenter Server 的连接,且重新启动 ESXi 或 ESX 主机代理,则主机重新连接到 vCenter Server 时将自动重新配置 vSphere HA。如果此时因禁用 vCenter Server 主机 SSL 证书验证而没有断开连接,请验证新证书并重新配置主机上的 vSphere HA。