通过 vCenter Single Sign-On 进行身份验证和通过 vCenter Server 权限模型进行授权可保护 vCenter Server 系统及关联服务。您可以修改默认行为,且可以采取其他措施来限制对环境的访问。
在保护 vSphere 环境时,请考虑必须保护与 vCenter Server 实例关联的所有服务。在某些环境中,您可以保护多个 vCenter Server 实例及一个或多个 Platform Services Controller 实例。
- 强化对所有 vCenter 主机的保护
- 保护 vCenter 环境的第一步是强化对运行 vCenter Server 或关联服务的每台计算机的保护。物理机或虚拟机需要考虑类似的注意事项。始终为操作系统安装最新的安全修补程序,并遵循行业标准最佳做法以保护主机。
- 了解 vCenter 证书模型
- 默认情况下,VMware Certificate Authority 将为每个 ESXi 主机、环境中的每台计算机以及每个解决方案用户置备 VMCA 签名的证书。环境可以即装即用,但如果公司策略需要,则可以更改默认行为。有关详细信息,请参见 Platform Services Controller 管理文档。
- 配置 vCenter Single Sign-On
- vCenter Single Sign-On 身份验证框架可保护 vCenter Server 和关联服务。首次安装软件时,为 vCenter Single Sign-On 域的管理员(默认为 [email protected])指定密码。仅该域最初可用作标识源。您可以添加其他标识源(Active Directory 或 LDAP),并设置默认标识源。此后,能够向任一标识源进行身份验证的用户均可以查看对象并执行任务(如果拥有相关权限)。有关详细信息,请参见 Platform Services Controller 管理文档。
- 向指定用户或组分配角色
- 为了实现更好的日志记录,请将授予给对象的每个权限与指定用户或组以及预定义角色或自定义角色相关联。vSphere 6.0 权限模型提供了较大的灵活性,允许通过多种方式授权用户或组。请参见 了解 vSphere 中的授权和 常见任务的所需特权。
- 设置 NTP
- 为环境中的每个节点设置 NTP。证书基础架构需要准确的时间戳,如果节点不同步,则证书基础架构将无法正常运行。
