多个安全功能增强了 vSphere HA。

选择已打开的防火墙端口

vSphere HA 对代理至代理的通信使用 TCP 和 UDP 端口 8182。防火墙端口将自动打开和关闭，确保仅在需要时打开端口。

使用文件系统权限保护的配置文件

vSphere HA 在本地存储或 ramdisk（如果没有本地数据存储）上存储配置信息。使用文件系统权限保护这些文件，且仅 root 用户可以访问它们。不具有本地存储的主机只有在由 Auto Deploy 管理时才受支持。

详细的日志记录

vSphere HA 放置日志文件的位置取决于主机版本。

• 对于 ESXi 主机，vSphere HA 默认仅写入 syslog，因此，日志放置在 syslog 所配置的放置位置。vSphere HA 日志文件名前置 fdm（fdm 代表故障域管理器，vSphere HA 中的一种服务）。
• 对于旧版 ESXi 主机，vSphere HA 写入本地磁盘上的 /var/log/vmware/fdm 以及 syslog（如果已配置）。

安全 vSphere HA 登录

vSphere HA 使用 vCenter Server 创建的用户帐户 vpxuser 登录到 vSphere HA 代理。此帐户与 vCenter Server 用于管理主机的帐户相同。vCenter Server 为此帐户创建随机密码，并定期更改密码。时间段由 vCenter Server VirtualCenter.VimPasswordExpirationInDays 设置进行设置。对主机的根文件夹具有管理特权的用户可登录到代理。

安全通信

vCenter Server 和 vSphere HA 代理之间的所有通信都是通过 SSL 完成的。除选举消息以外（通过 UDP 完成），代理至代理的通信也使用 SSL。选举消息通过 SSL 进行验证，以便恶意代理只能阻止在其上运行代理的主机被选为首选主机。在这种情况下，将发出集群的配置问题，以便用户了解问题。

需要验证主机 SSL 证书

vSphere HA 要求每个主机都具有一个经过验证的 SSL 证书。每个主机在首次引导时都会生成一个自签署证书。然后，可以重新生成或使用机构颁发的证书替换该证书。如果证书被替换，需要重新配置主机上的 vSphere HA。如果主机在其证书更新后断开与 vCenter Server 的连接，且重新启动 ESXi 或 ESX 主机代理，则主机重新连接到 vCenter Server 时将自动重新配置 vSphere HA。如果由于 vCenter Server 主机 SSL 证书验证当前已停用而未断开连接，请验证新证书并在主机上重新配置 vSphere HA。