限制 vCenter Server 网络连接

为提高安全性，请避免将 vCenter Server 系统放置在管理网络之外的任何网络上，并确保 vSphere 管理流量位于受限网络上。通过限制网络连接，可以限制特定类型的攻击。

vCenter Server 仅需要访问管理网络。避免将 vCenter Server 系统放置在其他网络（如生产网络、存储网络或有权访问 Internet 的任何网络）上。vCenter Server 不需要访问 vMotion 在其中运行的网络。

vCenter Server 需要与以下系统建立网络连接。

所有 ESXi 主机。
vCenter Server 数据库。
其他 vCenter Server 系统（如果 vCenter Server 系统是用于复制标记、权限等的常见 vCenter Single Sign-On 域的一部分）。
有权运行管理客户端的系统。例如，vSphere Client（您在其中使用 PowerCLI 的 Windows 系统）或任何其他基于 SDK 的客户端。
基础架构服务，例如 DNS、Active Directory 和 PTP 或 NTP。
运行对 vCenter Server 系统功能至关重要的组件的其他系统。

在 vCenter Server 上使用防火墙。包含基于 IP 的访问限制，这样只有必要的组件才能与 vCenter Server 系统通信。

评估 Linux 客户端与 CLI 和 SDK 的结合使用

默认情况下，客户端组件与 vCenter Server 系统或 ESXi 主机之间的通信由基于 SSL 的加密进行保护。这些组件的 Linux 版本不会执行证书验证。考虑限制 Linux 客户端的使用。

为了提高安全性，您可以将 vCenter Server 系统和 ESXi 主机上的 VMCA 签名证书替换为由企业或第三方 CA 签名的证书。但是，与 Linux 客户端的某些通信仍然容易受到中间机器的攻击。以下组件在 Linux 操作系统上运行时易受攻击。

如果强制执行适当的控制，则可放宽对使用 Linux 客户端的限制。

vSphere Client扩展在登录用户的相同特权级别下运行。恶意扩展可以伪装成有用的插件并执行有害的操作，例如盗取凭据或更改系统配置。为增强安全性，请使用仅包含来自受信任源的授权扩展的安装。

vCenter Server 安装包含 vSphere Client 的可扩展性框架。可以使用此框架通过菜单选项或工具栏图标扩展客户端。扩展可提供对 vCenter Server 加载项组件或外部基于 Web 的功能的访问。

使用可扩展性框架存在引入意外功能的风险。例如，如果管理员在 vSphere Client的一个实例中安装插件，则该插件可以使用该管理员的特权级别运行任意命令。

为了保护 vSphere Client免受潜在的危害，请定期检查所有已安装的插件并确保每个插件均来自受信任的源。

您必须具有访问vCenter Single Sign-On服务的特权。这些特权与 vCenter Server特权不同。