为提高安全性,请避免将 vCenter Server 系统放置在管理网络之外的任何网络上,并确保 vSphere 管理流量位于受限网络上。通过限制网络连接,可以限制特定类型的攻击。
vCenter Server 仅需要访问管理网络。避免将 vCenter Server 系统放置在其他网络(如生产网络、存储网络或有权访问 Internet 的任何网络)上。vCenter Server 不需要访问 vMotion 在其中运行的网络。
vCenter Server 需要与以下系统建立网络连接。
- 所有 ESXi 主机。
- vCenter Server 数据库。
- 其他 vCenter Server 系统(如果 vCenter Server 系统是用于复制标记、权限等的常见 vCenter Single Sign-On 域的一部分)。
- 有权运行管理客户端的系统。例如,vSphere Client(您在其中使用 PowerCLI 的 Windows 系统)或任何其他基于 SDK 的客户端。
- 运行加载项组件(例如 VMware vSphere Update Manager)的系统。
- 基础架构服务,例如 DNS、Active Directory 和 NTP。
- 运行对 vCenter Server 系统功能至关重要的组件的其他系统。
使用运行 vCenter Server 系统的 Windows 系统上的本地防火墙或使用网络防火墙。包含基于 IP 的访问限制,这样只有必要的组件才能与 vCenter Server 系统通信。