使用 vSphere Auto Deploy 时,要特别注意网络安全、引导映像安全以及通过主机配置文件导致的潜在密码暴露隐患,以保护您的环境。
网络安全
就像保护使用任何其他基于 PXE 的部署方法的网络一样保护您的网络。vSphere Auto Deploy 通过 SSL 传输数据,以防止意外干扰和侦听。但是,在 PXE 引导期间不会检查客户端或 Auto Deploy 服务器的真实性。
通过完全隔离在其中使用 Auto Deploy 的网络,可以大幅降低 Auto Deploy 的安全风险。
引导映像和主机配置文件安全
vSphere Auto Deploy 服务器下载到计算机中的引导映像可以具有以下组件。
- 映像配置文件所包含的 VIB 软件包始终包含在引导映像中。
- 如果 Auto Deploy 规则设置为使用主机配置文件或主机自定义置备主机,则主机配置文件和主机自定义便包含在引导映像中。
- 主机配置文件和主机自定义附带的管理员(root 帐户)密码和用户密码使用 SHA-512 进行了哈希处理。
- 与配置文件关联的其他任何密码均采用明文形式。如果使用主机配置文件设置 Active Directory,则密码不受保护。
使用 vSphere Authentication Proxy 以避免公开 Active Directory 密码。如果使用主机配置文件设置 Active Directory,则密码不受保护。
- 主机的公用和专用 SSL 密钥和证书都包含在引导映像中。