了解 vSphere Virtual Volumes 存储提供程序(也称为 VASA 提供程序)版本 5 在 vSphere 8.0 Update 1 及更高版本中提供的安全性改进。您还可以了解 vSphere 8.0 及更低版本中的安全模型。

vSphere 8.0 Update 1 及更高版本对 VASA 5 的支持和 VASA 5 安全性

VASA 5 及更高版本的所有存储提供程序都使用更严格的身份验证机制,要求在 vCenter Server 环境中对 ESXi 进行身份验证。VASA 5 提高了安全性,并提供了一个经过重大修改的管理模型,其中包括以下主要更改:
  • 对于使用 VASA 5 或更高版本向阵列注册的每个 vCenter Server,VASA 提供程序都会创建一个专用 Web 服务器实例或虚拟主机,该实例可以是虚拟 Web 服务器实例,也可以是完全独立的实例。vCenter Server 中的 VASA 客户端依赖于基于证书的身份验证和授权来访问在阵列上创建的专用虚拟主机。所有 VASA 客户端证书(包括 vCenter Server 证书和 ESXi 证书)都在虚拟主机中注册。这会在对系统进行身份验证时在不同的 vCenter Server 系统之间建立强隔离。此外,VASA 提供程序还可以为不同的 vCenter Server 系统提供单独的资源访问权限和改进的隔离。
  • 在 VASA 5 中,VASA 客户端使用专用证书进行 VASA 通信。每个 vCenter Server 都为 VASA 提供程序置备一个证书,该证书通过特定于 vCenter Server 的专用虚拟主机进行管理。支持 VASA 5 的所有 ESXi 主机都使用其管理的 vCenter Server 创建的专用虚拟主机。
  • vCenter Server 为每个新的 ESXi 主机 8.0 Update 1 或更高版本置备 VASA 客户端证书,并将证书的公钥与 VASA 提供程序同步。与之前对客户端证书的 CA 颁发者进行身份验证的安全模型不同,VASA 提供程序现在使用公钥识别和授权单个客户端。
  • 为符合 VMware 安全要求,vSphere 不信任 TLS 通信的自签名证书。唯一的例外是注册 VASA 提供程序的短时间内以及实现向后兼容性。阵列管理员可以对 VASA 提供程序使用自定义 CA 证书来替代阵列上的自签名证书,以实现向后兼容性和引导。
  • 为避免失去对 VASA 提供程序的访问权限,请遵循以下准则。有关信息,请参见管理 vSphere Virtual Volumes 的存储提供程序
    • 请勿通过取消注册并重新注册 VASA 提供程序的方式进行升级。请对 VASA 提供程序使用正确的升级机制。当 vCenter Server 通知您有可用的新 VASA 版本时,请确保在合理时间内接受此版本。要从 vSphere Client 升级,请使用升级存储提供程序选项。
    • 定期刷新 VASA 提供程序证书。vCenter Server 会发出警告,说明分配给 VASA 提供程序的证书即将过期,请确保在收到此警告后的合理时间内刷新证书。使用 vSphere Client 中的刷新证书选项。
    • 续订 VMCA 根证书或 vCenter Server 客户端证书时,SMS 可能会断开与 VASA 提供程序的连接。如果提供程序处于脱机状态,请使用对 vCenter Server 重新进行身份验证选项。
    • 如果主机丢失身份验证,则可以使用重新对主机 VASA 客户端进行身份验证选项修复身份验证失败的情况。

vSphere 8.0 及更低版本的安全证书

vSphere 包含 VMware Certificate Authority (VMCA)。默认情况下,VMCA 将创建 vSphere 环境中使用的所有内部证书。它会为新添加的 ESXi 主机以及管理或代表 Virtual Volumes 存储系统的存储 VASA 提供程序生成证书。

与 VASA 提供程序的通信受 SSL 证书保护。这些证书可以来自 VASA 提供程序或 VMCA。
  • 证书可以直接由 VASA 提供程序提供以供长期使用。证书可以自行生成和自行签名,也可以派生自外部证书颁发机构。
  • 证书可由 VMCA 生成以供 VASA 提供程序使用。
注册主机或 VASA 提供程序后,VMCA 会自动按照以下步骤操作,而无需 vSphere 管理员参与。
  1. 先将 VASA 提供程序添加到 vCenter Server 存储管理服务 (SMS) 后,它会生成自签名证书。
  2. 对证书进行验证后,SMS 会向 VASA 提供程序请求证书签名请求 (CSR)。
  3. 接收并验证 CSR 后,SMS 会代表 VASA 提供程序将其提供给 VMCA 以请求 CA 签名证书。

    VMCA 可配置为充当独立 CA 或充当企业 CA 的辅助机构。如果将 VMCA 设置为辅助 CA,则 VMCA 会通过完整链对 CSR 进行签名。

  4. 包含根证书的签名证书将传递到 VASA 提供程序。VASA 提供程序可以对将来所有源自 vCenter ServerESXi 主机上的 SMS 的安全连接进行身份验证。