在 vSphere 环境中运行 TLS Configurator 实用程序时,可以对在 vCenter Server 和 ESXi 主机上使用 TLS 的不同端口禁用 TLS。可以禁用 TLS 1.0,或同时禁用 TLS 1.0 和 TLS 1.1。
从 vSphere 7.0 开始,vCenter Server 运行两个反向代理服务:
- VMware 反向代理服务
rhttpproxy - Envoy
Envoy 是一个开源 Edge 和服务代理。Envoy 拥有端口 443,所有入站 vCenter Server 请求都通过 Envoy 进行路由。在 vSphere 7.0 中,rhttpproxy 用作 Envoy 的配置管理服务器。因此,TLS 配置将应用于 rhttpproxy,而后者又会将配置发送到 Envoy。
vCenter Server 和 ESXi 使用可为 TLS 协议启用或禁用的端口。TLS 配置实用程序 scan 选项可显示为每个服务启用的 TLS 版本。请参见扫描 vCenter Server上已启用的 TLS 协议。
有关 VMware 产品(包括 vSphere 和 vSAN)中所有受支持的端口和协议的列表,请参见 https://ports.vmware.com/ 中的 VMware Ports and Protocols Tool™。您可以按 VMware 产品搜索端口,创建自定义端口列表,以及打印或保存端口列表。
注意事项和说明
- vSphere 6.7 版本是适用于 Windows 的 vCenter Server 的最终版本。有关为适用于 Windows 的 vCenter Server 上的 Update Manager 端口重新配置 TLS 的信息,请参见产品 6.7 版本对应的《vSphere 安全性》文档。
- 可以使用 TLS 1.2 对 vCenter Server 和外部 Microsoft SQL Server 之间的连接进行加密。不能使用仅 TLS 1.2 连接来连接到外部 Oracle 数据库。请参见 VMware 知识库文章,网址为 https://kb.vmware.com/kb/2149745。
- 对于 vSphere 6.7 及更低版本,请勿对 Windows Server 2008 上运行的 vCenter Server 或 Platform Services Controller 实例禁用 TLS 1.0。Windows 2008 仅支持 TLS 1.0。请参见 Microsoft TechNet 文章《服务器角色和技术指南》中的 TLS/SSL 设置。
- 如果更改 TLS 协议,则必须重新启动 ESXi 主机以应用更改。即使使用主机配置文件通过集群配置应用更改,也必须重新启动主机。可以选择立即重新启动主机,也可以推迟到更方便的时间再重新启动。
