多个安全功能增强了 vSphere HA。
- 选择已打开的防火墙端口
- vSphere HA 对代理至代理的通信使用 TCP 和 UDP 端口 8182。防火墙端口将自动打开和关闭,确保仅在需要时打开端口。
- 使用文件系统权限保护的配置文件
- vSphere HA 在本地存储或 ramdisk(如果没有本地数据存储)上存储配置信息。使用文件系统权限保护这些文件,且仅 root 用户可以访问它们。不具有本地存储的主机只有在由 Auto Deploy 管理时才受支持。
- 详细的日志记录
-
vSphere HA 放置日志文件的位置取决于主机版本。
- 对于 ESXi 5.x 主机,vSphere HA 默认仅写入 syslog,因此,日志放置在 syslog 所配置的放置位置。vSphere HA 日志文件名前置 fdm(fdm 代表故障域管理器,vSphere HA 中的一种服务)。
- 对于旧版 ESXi 4.x 主机,vSphere HA 写入本地磁盘上的 /var/log/vmware/fdm 以及 syslog(如果已配置)。
- 对于旧版 ESX 4.x 主机,vSphere HA 写入 /var/log/vmware/fdm。
- 安全 vSphere HA 登录
- vSphere HA 使用 vCenter Server 创建的用户帐户 vpxuser 登录到 vSphere HA 代理。此帐户与 vCenter Server 用于管理主机的帐户相同。vCenter Server 为此帐户创建随机密码,并定期更改密码。时间段由 vCenter Server VirtualCenter.VimPasswordExpirationInDays 设置进行设置。对主机的根文件夹具有管理特权的用户可登录到代理。
- 安全通信
- vCenter Server 和 vSphere HA 代理之间的所有通信都是通过 SSL 完成的。除选举消息以外(通过 UDP 完成),代理至代理的通信也使用 SSL。选举消息通过 SSL 进行验证,以便恶意代理只能阻止在其上运行代理的主机被选为首选主机。在这种情况下,将发出集群的配置问题,以便用户了解问题。
- 需要验证主机 SSL 证书
- vSphere HA 要求每个主机都具有一个经过验证的 SSL 证书。每个主机在首次引导时都会生成一个自签署证书。然后,可以重新生成或使用机构颁发的证书替换该证书。如果证书被替换,需要重新配置主机上的 vSphere HA。如果主机在其证书更新后断开与 vCenter Server 的连接,且重新启动 ESXi 或 ESX 主机代理,则主机重新连接到 vCenter Server 时将自动重新配置 vSphere HA。如果此时因禁用 vCenter Server 主机 SSL 证书验证而没有断开连接,请验证新证书并重新配置主机上的 vSphere HA。