Voraussetzung für den sicheren Betrieb von VMware Cloud Director ist eine sichere Netzwerkumgebung. Konfigurieren und testen Sie diese Netzwerkumgebung, bevor Sie mit der Installation von VMware Cloud Director beginnen.
Verbinden Sie alle VMware Cloud Director-Server mit einem gesicherten und überwachten Netzwerk.
Informationen zu den von VMware Cloud Director verwendeten Netzwerkports und -protokollen finden Sie unter VMware Ports and Protocols.
VMware Cloud Director-Netzwerkverbindungen weisen mehrere zusätzliche Anforderungen auf:
- Verbinden Sie VMware Cloud Director nicht direkt mit dem öffentlichen Internet. Schützen Sie die Netzwerkverbindungen von VMware Cloud Director stets mit einer Firewall. Nur Port 443 (HTTPS) muss für eingehende Verbindungen geöffnet sein. Die Ports 22 (SSH) und 80 (HTTP) können bei Bedarf ebenfalls für eingehende Verbindungen geöffnet sein. Zusätzlich dazu benötigt das cell-management-tool Zugriff auf die Loopback-Adresse der Zelle. Der gesamte übrige eingehende Datenverkehr von einem öffentlichen Netzwerk, einschließlich der Anforderungen an JMX (Port 8999), muss von der Firewall zurückgewiesen werden.
Informationen zu den Ports, die eingehende Pakete aus VMware Cloud Director-Hosts zulassen müssen, finden Sie unter VMware Ports and Protocols.
- Verbinden Sie die für ausgehende Verbindungen verwendeten Ports nicht mit dem öffentlichen Netzwerk.
Informationen zu den Ports, die ausgehende Pakete aus VMware Cloud Director-Hosts zulassen müssen, finden Sie unter VMware Ports and Protocols.
- Ab Version 10.1 können Dienstanbieter und Mandanten die VMware Cloud Director-API verwenden, um Verbindungen mit Remoteservern zu testen und die Serveridentität als Teil eines SSL-Handshake zu überprüfen. Um VMware Cloud Director-Netzwerkverbindungen zu schützen, konfigurieren Sie eine Negativliste interner Hosts, die für Mandanten, die die VMware Cloud Director-API für Verbindungstests verwenden, nicht erreichbar sind. Konfigurieren Sie die Negativliste, nachdem Sie die Installation oder das Upgrade von VMware Cloud Director durchgeführt haben und bevor Sie Mandanten Zugriff auf VMware Cloud Director gewähren. Weitere Informationen finden Sie unter Konfigurieren einer Negativliste für Testverbindungen im VMware Cloud Director for Service Providers – Administratorhandbuch.
- Leiten Sie den Datenverkehr zwischen VMware Cloud Director-Servern und den folgenden Servern über ein dediziertes privates Netzwerk weiter.
- VMware Cloud Director-Datenbankserver
- RabbitMQ
- Cassandra
- Leiten Sie den Datenverkehr soweit möglich zwischen vSphere-Servern, NSX und VMware Cloud Director über ein dediziertes privates Netzwerk weiter.
- Virtuelle Switches und Distributed Virtual Switches, die Provider-Netzwerke unterstützen, müssen voneinander isoliert sein. Sie können das physische Layer 2-Netzwerksegment nicht gemeinsam nutzen.
- Verwenden Sie NFSv4 für den Übertragungsdienstspeicher. Die am häufigsten verwendete NFS-Version NFSv3 bietet keine Transit-Verschlüsselung, was bei manchen Konfigurationen ein unmittelbares Risiko der Ermittlung oder Manipulation der übertragenen Daten mit sich bringen kann. In NFSv3 vorhandene Bedrohungen werden im SANS-Whitepaper NFS Security in Both Trusted and Untrusted Environments (NFS-Sicherheit in vertrauenswürdigen und nicht vertrauenswürdigen Umgebungen) beschrieben. Weitere Informationen zum Konfigurieren und Sichern des VMware Cloud Director-Übertragungsdiensts finden Sie im VMware-Knowledgebase-Artikel 2086127.
- Um Schwachstellen beim Einfügen von Host-Kopfzeilen zu vermeiden, aktivieren Sie die Host-Kopfzeilenüberprüfung.
- Melden Sie sich direkt oder mithilfe eines SSH-Clients bei der VMware Cloud Director-Konsole als root an.
- Aktivieren Sie die Host-Kopfzeilenüberprüfung mithilfe des Zellenverwaltungstools.
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true