Best Practices für den Betrieb von VMware Cloud Foundation

Für einwandfreie und unterbrechungsfreie Vorgänge wie Kennwortverwaltung, Sicherung und Wiederherstellung, Zertifikatsverwaltung und Lizenzverwaltung sowie für eine optimale Leistung Ihrer VMware Cloud Foundation-Umgebung können Sie bestimmte Best Practices basierend auf Branchenexpertise und früheren erfolgreichen Erfahrungen befolgen.

Anwenden von Sicherheitsrichtlinien

Im Rahmen der Bereitstellung und des Betriebs Ihrer VMware Cloud Foundation-Umgebung berücksichtigen Sie Sicherheitsaspekte entsprechend der Risikobewertung, den gesetzlichen Anforderungen, den Best Practices der Branche und den Zielen Ihres Unternehmens.

Tabelle 1. Beispiel für Sicherheitsüberlegungen beim Betrieb von VMware Cloud Foundation
Gebiet		Weitere Informationen
Telemetrie		Nehmen Sie am Programm zur Verbesserung der Benutzerfreundlichkeit teil, um technische Informationen über die Verwendung von VMware-Produkten in Ihrem Unternehmen mit VMware auszutauschen. Weitere Informationen finden Sie unter Konfigurieren von CEIP im VMware Cloud Foundation-Administratorhandbuch.
Kennwörter	Kennwortkomplexität Kennwortablauf Kontosperrung	Weitere Informationen hierzu finden Sie unter Kennwortrichtlinienkonfiguration für VMware Cloud Foundation .
Benutzer und Rollen	Implementieren Sie eine rollenbasierte Zugriffssteuerung. Beschränken Sie die Verwendung lokaler Konten für interaktiven oder API-Zugriff oder für die Lösungsintegration. Begrenzen Sie den Geltungsbereich und die Berechtigungen für Konten für den interaktiven oder API-Zugriff als auch für die Lösungsintegration. Weisen Sie Active Directory-Sicherheitsgruppen je nach Bedarf Standard- oder benutzerdefinierte Rollen für den interaktiven oder API-Zugriff auf Lösungskomponenten zu, basierend auf den Geschäfts- und Sicherheitsanforderungen Ihres Unternehmens.	Weitere Informationen finden Sie unter Verwalten von Benutzern und Gruppen in VMware Cloud Foundation im VMware Cloud Foundation-Administratorhandbuch.
Zertifikate	Zertifizierungsstelle Benutzerdefinierte Zertifikate	Weitere Informationen finden Sie unter Verwalten von Zertifikaten in VMware Cloud Foundation im VMware Cloud Foundation-Administratorhandbuch.
Sicherungen	Konfiguration sichern Sicherungszeitpläne Sicherungsaufbewahrungsintervalle	Weitere Informationen finden Sie unter Sichern und Wiederherstellen von VMware Cloud Foundation im VMware Cloud Foundation-Administratorhandbuch.

Kennwortvorgänge

Bestimmte Maßnahmen verbessern die Sicherheitseinrichtung Ihrer VMware Cloud Foundation-Umgebung.

Kennwortüberwachung gewährleistet Konformität, Zugriffssteuerung und Risikominderung in Ihrer VMware Cloud Foundation-Umgebung.
Kennwortrichtlinien, einschließlich Komplexität, Ablauf und Kontosperrung, erzwingen sichere Vorgehensweisen.
Die Kennwortkomplexität verbessern die Kennwortsicherheit, der Ablauf fordert regelmäßige Aktualisierungen auf und eine Kontosperrung verhindert nicht autorisierte Zugriffsversuche.

Tabelle 2. Best Practices für Kennwortvorgänge in VMware Cloud Foundation
Vorgang	Zeitpunkt oder Häufigkeit	Beschreibung
Festlegen oder Aktualisieren von Kennwortrichtlinien.	Nach der Bereitstellung der Verwaltungsdomäne. Nach der Bereitstellung der VI-Arbeitslastdomäne. Nach dem Hinzufügen eines vSphere-Clusters. Nach dem Erweitern eines vSphere-Clusters. Wenn die Kennwortrichtlinien Ihrer Organisation aktualisiert wurden.	Konfigurieren Sie Kennwortrichtlinien der Verwaltungskomponenten von VMware Cloud Foundation manuell für jede Komponente oder auf automatisierte Weise mithilfe des PowerShell-Moduls VMware.CloudFoundation.PasswordManagement. Weitere Informationen finden Sie unter Kennwortrichtlinienkonfiguration für VMware Cloud Foundation. In der Produktdokumentation finden Sie Informationen zur Kennwortrichtlinienkonfiguration von Produkten, die nicht Teil der VMware Cloud Foundation-Automatisierung sind.
Überwachen Sie den Ablauf des Kontokennworts.	Einmal pro Woche oder gemäß den Richtlinien Ihrer Organisation.	Die SDDC Manager-Benutzeroberfläche zeigt eine Benachrichtigung für Kontokennwörtern an, die in den nächsten 14 Tagen ablaufen.
		Um Ihre VMware Cloud Foundation-Umgebung zu erstellen und auszuführen, verwenden Sie VMware Skyline Health Diagnostics. Weitere Informationen finden Sie unter Proaktive Diagnose von VMware Cloud Foundation mit Skyline Health Diagnostics.
		Um die von SDDC Manager verwalteten Kontokennwörtern mithilfe von benutzerdefinierten Dashboards, Warnungen und Benachrichtigungen in vRealize Operations zu überwachen, verwenden Sie die VMware Cloud Foundation-Überwachung des Systemzustands. Weitere Informationen finden Sie in der validierten Berichte über den Systemzustands und dessen Überwachung für VMware Cloud Foundation-Lösung.
		Verwenden Sie zum Erzeugen eines zeitgenauen Statusberichts für Ihre VMware Cloud Foundation-Umgebung das Open Source-PowerShell-Modul für VMware Cloud Foundation-Statusberichte. Weitere Informationen finden Sie unter Erstellen eines Integritätsberichts in der Dokumentation des Moduls.
Aktivieren Sie die automatische Rotation des Kontokennworts (Zeitplanrotation).	Nach der Bereitstellung der Verwaltungsdomäne. Nach der Bereitstellung der VI-Arbeitslastdomäne.	Um die automatische Kennwortrotation für ein Konto in einer Verwaltungskomponente zu aktivieren, verwenden Sie die SDDC Manager-Benutzeroberfläche. Weitere Informationen finden Sie unter Rotieren von Kennwörtern im VMware Cloud Foundation-Administratorhandbuch.
		Um die Aktivierung der automatischen Rotation für ein Konto zu automatisieren, verwenden Sie die VMware Cloud Foundation-API. Weitere Informationen finden Sie unter Anmeldedaten in der VMware Cloud Foundation-API-Referenzdokumentation.
		Sie können ein Drittanbieter- oder benutzerdefiniertes Dienstprogramm integrieren, das die VMware Cloud Foundation-API für die Kennwortrotation verwendet. Weitere Informationen finden Sie unter Anmeldedaten in der VMware Cloud Foundation-API-Referenzdokumentation.
Rotieren oder aktualisieren Sie ein Kontokennwort.	Bevor das Kontokennwort abläuft. In einem regelmäßigen Intervall. Nach einem Ereignis. Wenn die Richtlinien Ihrer Organisation geändert werden. Wenn ein privilegierter Benutzer die Organisation verlässt.	Die folgenden Optionen für die Kennwortrotation sind vorhanden: Rotieren Sie die Kennwörter für Konten in den von SDDC Manager verwalteten Komponenten. SDDC Manager legt ein zufällig generiertes Kennwort entsprechend der unterstützten Kennwortkomplexität fest. Weitere Informationen finden Sie unter Rotieren von Kennwörtern im VMware Cloud Foundation-Administratorhandbuch. Aktualisieren Sie die Kennwörter von Konten in der SDDC Manager-Appliance und die Kennwörter für das lokale Konto (API). Weitere Informationen finden Sie unter Aktualisieren von Kennwörtern für SDDC Manager im VMware Cloud Foundation-Administratorhandbuch.
		Um die Rotation von Kontokennwörtern zu automatisieren, verwenden Sie die VMware Cloud Foundation-API. Weitere Informationen finden Sie unter Anmeldedaten in der VMware Cloud Foundation-API-Referenzdokumentation.
		Um die Rotation von Kontokennwörtern mithilfe von PowerShell zu automatisieren, verwenden Sie die `Get-VCFCredential`- und `Set-VCFCredential`-Cmdlets im Open-Source-PowerShell-Modul für VMware Cloud Foundation. Weitere Informationen finden Sie unter Dokumentation zum PowerShell-Modul für VMware Cloud Foundation.
Standardisieren Sie ein Kontokennwort.	Wenn ein Kennwort abgelaufen ist.	Um ein Kennwort zu standardisieren, verwenden Sie die SDDC Manager-Benutzeroberfläche. Weitere Informationen finden Sie unter Standardisieren von Kennwörtern im VMware Cloud Foundation-Administratorhandbuch. Vorsicht: Wenn Sie versuchen, ein abgelaufenes Kennwort zu rotieren, schlägt die Aufgabe möglicherweise fehl. Sie müssen die fehlgeschlagenen Kennwortverwaltungsaufgaben in der SDDC Manager-Benutzeroberfläche abbrechen oder erneut versuchen.
		Mit Hilfe der API können Sie die Wiederherstellung von VMware Cloud Foundation-Kennwörtern automatisieren. Weitere Informationen finden Sie unter Anmeldedaten in der VMware Cloud Foundation-API-Referenzdokumentation.
		Um die Kennwortstandardisierung mithilfe von PowerShell zu automatisieren, verwenden Sie die `Get-VCFCredential`- und `Set-VCFCredential`-Cmdlets im Open-Source-PowerShell-Modul für VMware Cloud Foundation. Weitere Informationen finden Sie unter Dokumentation zum PowerShell-Modul für VMware Cloud Foundation.
Schlagen Sie die Anmeldedaten für das Konto nach.	Wenn Sie sich mit einem von SDDC Manager verwalteten Konto anmelden müssen.	Um die Kontoanmeldedaten manuell nachzuschlagen, verwenden Sie den Befehl `lookup_passwords` in der SDDC Manager-Appliance. Weitere Informationen finden Sie unter Suchen nach Kontoanmeldedaten im VMware Cloud Foundation-Administratorhandbuch.
		Sie können das Abrufen von Kennwörtern mithilfe der VMware Cloud Foundation-API automatisieren. Weitere Informationen finden Sie unter Anmeldedaten in der VMware Cloud Foundation-API-Referenzdokumentation.
		Um das Abrufen von Anmeldedaten mithilfe von PowerShell zu automatisieren, verwenden Sie das `Get-VCFCredential`-Cmdlet im Open-Source-PowerShell-Modul für VMware Cloud Foundation. Weitere Informationen finden Sie unter Dokumentation zum PowerShell-Modul für VMware Cloud Foundation.
Setzen Sie ein Kontokennwort zurück.	Wenn ein verloren gegangenes Kontokennwort nicht aus SDDC Manager oder einem anderen sicheren Speicher abgerufen werden kann.	Betrachten Sie das folgende Beispiel: Zurücksetzen eines SDDC Manager `root`-Kennworts Zurücksetzen eines vCenter Server Appliance `root`-Kennworts Zurücksetzen eines vCenter Single Sign-On-Kennworts Zurücksetzen von NSX Manager- oder NSX Edge-Kennwörtern Wenn das Kontokennwort von SDDC Manager verwaltet wird, befolgen Sie nach Abschluss des Rücksetzungsvorgangs die Richtlinien zur Standardisierung von Kennwörtern in dieser Tabelle. Wichtig: Sie können ein verloren gegangenes root-ESXi-Kennwort nicht zurücksetzen. Sie müssen den ESXi-Host aus der SDDC Manager-Bestandsliste entfernen und ESXi neu installieren.

Vorsicht: Bei einem Kennwortverwaltungsvorgang in SDDC Manager wird auf der Seite Sicherheit > Kennwortverwaltung eine Meldung angezeigt. Ein solcher fehlgeschlagener Vorgang hat möglicherweise eine Sperre, die sich auf andere Vorgänge in SDDC Manager auswirkt. Um die Sperre aufzuheben, klicken Sie im Meldungsdialogfeld auf Abbrechen oder beheben Sie das Problem und klicken Sie auf Wiederholen.

Lizenzvorgänge

Bei der Bereitstellung von Verwaltungskomponenten benötigt VMware Cloud Foundation Zugriff auf gültige Lizenzschlüssel. Sie fügen Lizenzschlüssel zur SDDC Manager-Bestandsliste hinzu, damit sie zum Zeitpunkt der Bereitstellung verbraucht werden können, aber sie werden nicht zwischen SDDC Manager und den zugrunde liegenden Komponenten synchronisiert.

Tabelle 3. Best Practices für Lizenzvorgänge in VMware Cloud Foundation
Vorgang	Lizenzierungsmodell	Zeitpunkt oder Häufigkeit	Beschreibung
Hinzufügen von Lizenzen.	Schlüsselbasiert	Unzureichende Lizenzkapazität zum Erweitern einer Umgebung.	Um Lizenzschlüssel manuell hinzuzufügen, verwenden Sie die SDDC Manager-Benutzeroberfläche. Weitere Informationen finden Sie unter Verwalten von Lizenzschlüsseln im VMware Cloud Foundation-Administratorhandbuch.
			Sie können das Hinzufügen von Lizenzschlüsseln mithilfe der VMware Cloud Foundation-API automatisieren. Weitere Informationen finden Sie unter Lizenzschlüssel in der VMware Cloud Foundation-API-Referenzdokumentation.
			Um das Hinzufügen von Lizenzschlüsseln mithilfe von PowerShell zu automatisieren, verwenden Sie das Open-Source-PowerShell-Modul für VMware Cloud Foundation. Weitere Informationen finden Sie unter Dokumentation zum PowerShell-Modul für VMware Cloud Foundation.
Ersetzen von abgelaufenen Lizenzen.	Schlüsselbasiert	Eine Lizenz ist abgelaufen oder läuft ab.	Sie müssen den Lizenzschlüssel aktualisieren oder löschen. Sie haben dieselben Verwaltungsoptionen wie beim Hinzufügen von Lizenzen.
Ersetzen Sie vorhandene Lizenzen.	Schlüsselbasiert	Sie führen ein Upgrade der Produktlizenzen auf eine höhere Edition durch.	Sie müssen die Lizenzschlüssel aktualisieren. Sie haben dieselben Verwaltungsoptionen wie beim Hinzufügen von Lizenzen.
Überwachen von Lizenzen.	Schlüsselbasiert	Einmal pro Woche	Die SDDC Manager-Benutzeroberfläche zeigt eine Warnung an, wenn eine Lizenz in den nächsten 30 Tagen abläuft. SDDC Manager ruft Lizenzinformationen von verwalteten Produkten ab, um festzustellen, ob sie eine Lizenz verwenden, die sich in der SDDC Manager-Bestandsliste befindet. Die SDDC Manager-Benutzeroberfläche zeigt die Lizenznutzung auf der Seite Verwaltung > Lizenzierung an.
Aktualisierung der abonnementbasierten Lizenzierung.	Schlüssellos	Lizenzen werden vom schlüsselbasierten Modus für unbefristete und befristete Lizenzen in einen schlüssellosen Modus für Cloud-verbundene Abonnements für VMware Cloud Foundation+ umgewandelt.	Sie können von der schlüsselbasierten auf die schlüssellose Lizenzierung umstellen. Weitere Informationen finden Sie unter Erwerben und Anwenden eines VMware Cloud Foundation+-Abonnements im VMware Cloud Foundation+-Handbuch. Wichtig: Um wieder in den Modus der schlüsselbasierten Lizenzierung zu wechseln, müssen Sie Ihre VMware Cloud Foundation-Umgebung erneut bereitstellen.

Zertifikatsvorgänge

Durch die aktive Verwaltung von Zertifikaten in VMware Cloud Foundation können Organisationen eine sichere Kommunikation aufrechterhalten, Vertrauensstellungen aufbauen, sensible Daten schützen, Konformitätsanforderungen erfüllen und effektiv auf zertifikatsbezogene Vorfälle oder Schwachstellen reagieren.

Tabelle 4. Best Practices für Zertifikatsvorgänge in VMware Cloud Foundation
Vorgang	Zeitpunkt oder Häufigkeit	Beschreibung
Ersetzen von selbstsignierten Zertifikaten.	Nach der Bereitstellung der Verwaltungsdomäne. Nach der Bereitstellung der VI-Arbeitslastdomäne mithilfe von SDDC Manager.	Um benutzerdefinierte Zertifikate für die meisten Verwaltungskomponenten zu verwalten, verwenden Sie die SDDC Manager-Benutzeroberfläche. Weitere Informationen finden Sie unter Verwalten von Zertifikaten. im VMware Cloud Foundation-Administratorhandbuch. Sie können die Zertifikatsverwaltung mit der VMware Cloud Foundation-API automatisieren. Weitere Informationen finden Sie unter Zertifikate in der VMware Cloud Foundation-API-Referenzdokumentation. Um die Zertifikatsverwaltung mithilfe von PowerShell zu automatisieren, verwenden Sie das PowerShell-Modul für VMware Cloud Foundation. Weitere Informationen finden Sie unter Dokumentation zum PowerShell-Modul für VMware Cloud Foundation. Sie können benutzerdefinierte Zertifikate auf ESXi-Hosts manuell auf jeden Host hochladen oder mit dem PowerShell-Modul VMware.CloudFoundation.CertificateManagement automatisieren. Weitere Informationen finden Sie unter ESXi-Zertifikatsverwaltung für VMware Cloud Foundation. Hinweis: Wenn Sie die Verwaltungsdomäne auf ESXi-Hosts mit externen Zertifikaten bereitgestellt haben, verwenden Sie ESXi-Hosts mit benutzerdefinierten Zertifikaten für die gesamte Umgebung. "Wenn Sie zur Verwendung von ESXi-Hosts mit externen Zertifikaten in der Verwaltungsdomäne gewechselt haben, müssen alle ESXi-Hosts in neuen Arbeitslastdomänen externe Zertifikate verwenden." Wenn Sie das Zertifikat für eine VMware Cloud Foundation-Komponente außerhalb von SDDC Manager ersetzt haben, fügen Sie das Zertifikat zum Truststore von SDDC Manager hinzu. Weitere Informationen finden Sie unter Verwalten von Zertifikaten. im VMware Cloud Foundation-Administratorhandbuch.
Ersetzen Sie signierte Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle.	Nach der Bereitstellung der Verwaltungsdomäne. Nach der Bereitstellung der VI-Arbeitslastdomäne. Die Schlüssellänge muss geändert werden. Ein Zertifikat ist abgelaufen oder sein Ablaufdatum ist geschlossen. Die Zertifizierungsstelle oder der private Schlüssel wurden kompromittiert. Ein Zertifikat wurde von der ausstellenden Zertifizierungsstelle widerrufen.	Befolgen Sie dieselben Richtlinien wie beim Ersetzen selbstsignierter Zertifikate.
Identifizieren Sie ablaufende Zertifikate.	Mindestens einmal pro Monat.	Die SDDC Manager-Benutzeroberfläche zeigt eine Warnung an, wenn ein Zertifikat abläuft.
		Um Ihre VMware Cloud Foundation-Umgebung zu erstellen und auszuführen, verwenden Sie VMware Skyline Health Diagnostics. Weitere Informationen finden Sie unter Proaktive Diagnose von VMware Cloud Foundation mit Skyline Health Diagnostics.
		Um die von SDDC Manager verwalteten ablaufenden Zertifikate mithilfe von benutzerdefinierten Dashboards, Alarmen und Benachrichtigungen in vRealize Operations zu überwachen, verwenden Sie das Open-Source-Python-Modul für die Überwachung des VMware Cloud Foundation-Systemzustands. Weitere Informationen finden Sie in der validierten Berichte über den Systemzustands und dessen Überwachung für VMware Cloud Foundation-Lösung.
		Verwenden Sie zum Erzeugen eines zeitgenauen Statusberichts für Ihre VMware Cloud Foundation-Umgebung das Open Source-PowerShell-Modul für VMware Cloud Foundation-Statusberichte. Weitere Informationen finden Sie unter Erstellen eines Integritätsberichts in der Dokumentation des Moduls.
Ersetzen Sie abgelaufene Zertifikate.	Das Zertifikat einer Verwaltungskomponente, die von SDDC Manager verwaltet wird, ist abgelaufen.	Schrittweise Informationen zum Ersetzen abgelaufener Zertifikate, die von SDDC Manager verwaltet werden, finden Sie weiter unten. Informationen zum Ersetzen abgelaufener Zertifikate von Verwaltungskomponenten, die nicht in der SDDC Manager-Automatisierung enthalten sind, finden Sie in der entsprechenden Produktdokumentation.

Reihenfolge des Ersetzens abgelaufener Zertifikate für eine Arbeitslastdomäne

Wenn die Zertifikate mehrerer Verwaltungskomponenten abgelaufen sind, ersetzen Sie sie in einer bestimmten Reihenfolge.

Ersetzen Sie die Zertifikate des NSX Manager-Clusters und der Knoten.
Überspringen Sie die Installation der von einer Zertifizierungsstelle signierten Zertifikate für NSX Manager mithilfe von SDDC Manager.
Ersetzen Sie das vCenter Server-Zertifikat durch ein VMCA-signiertes Zertifikat.
Überspringen Sie die Installation eines von einer Zertifizierungsstelle signierten Zertifikats für vCenter Server mithilfe von SDDC Manager.
Wenn Sie abgelaufene Zertifikate in der Verwaltungsdomäne ersetzen, ersetzen Sie das SDDC Manager-Zertifikat.
Nachdem Sie alle temporären Zertifikate durch von einer Zertifizierungsstelle signierte Zertifikate ersetzt haben, verwenden Sie die SDDC Manager-Benutzeroberfläche, um die Zertifikate für NSX Manager und vCenter Server durch von einer Zertifizierungsstelle signierte Zertifikate zu ersetzen.

Ersetzen von abgelaufenen NSX Manager-Zertifikaten

In VMware Cloud Foundation ersetzen Sie vorübergehend ein abgelaufenes SSL-Zertifikat des NSX Manager-Clusters oder eines einzelnen NSX Manager-Knotens für eine Arbeitslastdomäne durch ein selbstsigniertes, von NSX Manager generiertes Zertifikat. Anschließend fügen Sie das selbstsignierte Zertifikat zum SDDC Manager Trust Store hinzu.

Melden Sie sich bei NSX Manager Cluster unter https://<nsx_manager_fqdn>/login.jsp?local=true als admin an.
Fügen Sie Ihrem Web Browser eine Zertifikats-Ausnahme hinzu, wenn das Zertifikat des NSX Manager-Cluster-FQDN abgelaufen ist.
Identifizieren Sie die abgelaufenen Zertifikate.
1. Klicken Sie in der Navigationsleiste auf System.
2. Klicken Sie im linken Bereich unter Einstellungen auf Zertifikate.
3. Überprüfen Sie auf der Registerkarte Zertifikate die Spalte Gültigkeit.

Generieren Sie selbstsignierte Zertifikate für die NSX Manager-Entitäten mit abgelaufenen Zertifikaten.

Wählen Sie auf der Registerkarte Zertifikate die Option Generieren > Selbstsigniertes Zertifikat.

Geben Sie die CSR-Informationen ein und klicken Sie auf Speichern.

Option	Beschreibung
Allgemeiner Name	Geben Sie den vollqualifizierten Domänennamen (FQDN) des -Knotens ein. Beispiel: `nsx-wld-01.vrack.vsphere.local`.
Name	Weisen Sie dem Zertifikat einen Namen zu. Beispiel: `nsx-wld-01.vrack.vsphere.local`.
Organisationseinheit	Geben Sie die Abteilung innerhalb Ihrer Organisation ein, die dieses Zertifikat verwaltet. Beispiel: `VMware Engineering`.
Organisationsname	Geben Sie Ihren Organisationsnamen mit den erforderlichen Suffixen ein. Beispiel: `VMware`.
Ort	Geben Sie die Stadt ein, in der Ihre Organisation ihren Standort hat. Beispiel: `Palo Alto`.
Bundesland	Geben Sie das Bundesland ein, in dem Ihre Organisation ihren Standort hat. Beispiel: `Kalifornien`.
Land/Region	Fügen Sie den Ort Ihrer Organisation hinzu. Beispiel: `Vereinigte Staaten (US)`.
Algorithmus	Legen Sie den Verschlüsselungsalgorithmus für Ihr Zertifikat fest. Beispiel: `RSA`.
Schlüsselgröße	Legen Sie die Schlüsselgröße des Verschlüsselungsalgorithmus in Bits fest. Beispiel: `2048`.
Dienstzertifikat	Um das Zertifikat mit einer NSX Manager-Appliance zu verwenden, schalten Sie auf Nein um.
Anzahl der Tage	Geben Sie die Gültigkeit des Zertifikats ab heute ein.
Beschreibung	Geben Sie Informationen ein, mit denen sich dieses Zertifikat zu einem späteren Zeitpunkt einfach identifizieren lässt.

Klicken Sie auf Speichern.
Wiederholen Sie die Schritte für alle verbleibenden NSX Manager Entitäten, deren Zertifikate abgelaufen sind.

Wenden Sie die selbstsignierten Zertifikate auf die NSX Manager-Entitäten an.

Suchen Sie auf der Registerkarte Zertifikate die ID des Zertifikats für die NSX Manager-Entität und kopieren Sie sie.

Führen Sie auf einem System, das den Befehl curl unterstützt und Zugriff auf die NSX Manager-Knoten hat, wie z. B. vCenter Server oder SDDC Manager-Appliance, den folgenden Befehl aus, um das selbstsignierte Zertifikat auf dem NSX Manager-Cluster oder einem NSX Manager-Knoten zu installieren.

Sie führen den Befehl auf dem Cluster oder auf dem einzelnen Knoten aus.

Verwenden Sie die Zertifikats-ID, die Sie von der NSX Manager-Benutzeroberfläche kopiert haben.

NSX Manager-Entität mit abgelaufenen Zertifikaten	Befehl zum Ersetzen des Zertifikats
NSX Manager-Cluster	curl -H 'Accept: application/json' -H 'Content-Type: application/json' --insecure -u 'admin:`<nsx_admin_password>`' -X POST 'https://`<nsx_manager_cluster_fqdn>`/api/v1/trust-management/certificates/`<certificate-id>`?action=apply_certificate&service_type=MGMT_CLUSTER'
NSX Manager Knoten	curl -H 'Accept: application/json' -H 'Content-Type: application/json' --insecure -u 'admin:`<nsx_admin_password>`' -X POST 'https://`<nsx_manager_node_fqdn>`/api/v1/node/services/http?action=apply_certificate&certificate_id=`<certificate_id>`'

NSX Manager-Entität mit abgelaufenen Zertifikaten

Befehl zum Ersetzen des Zertifikats

NSX Manager-Cluster

curl -H 'Accept: application/json' -H 'Content-Type: application/json' --insecure -u 'admin:<nsx_admin_password>' -X POST 'https://<nsx_manager_cluster_fqdn>/api/v1/trust-management/certificates/<certificate-id>?action=apply_certificate&service_type=MGMT_CLUSTER'

NSX Manager Knoten

curl -H 'Accept: application/json' -H 'Content-Type: application/json' --insecure -u 'admin:<nsx_admin_password>' -X POST 'https://<nsx_manager_node_fqdn>/api/v1/node/services/http?action=apply_certificate&certificate_id=<certificate_id>'

Der Befehl curl wird ohne eine Ausgabemeldung abgeschlossen.

Wiederholen Sie die Schritte für alle übrigen NSX Manager Knoten mit abgelaufenem Zertifikat.

Fügen Sie die selbstsignierten NSX Manager-Zertifikate zum Trust Store von SDDC Manager hinzu.
1. Melden Sie sich bei SDDC Manager unter https://<sddc_manager_fqdn> als [email protected] an.
2. Klicken Sie im Navigationsbereich auf Bestandsliste > Arbeitslastdomänen.
3. Klicken Sie auf der Seite Arbeitslastdomänen auf die Arbeitslastdomäne, zu der der NSX Manager-Cluster oder die Knoten gehören.
4. Klicken Sie auf der Übersichtsseite der Arbeitslastdomäne auf die Registerkarte Zertifikate.
  Es wird eine Statusmeldung angezeigt, die besagt, dass die Zertifikate der NSX Manager-Knoten und des Clusters nicht vertrauenswürdig sind.
5. Klicken Sie bei einem selbstsignierten Zertifikat in der Statusmeldung auf Überprüfen, überprüfen Sie die Zertifikatsdetails und stellen Sie sicher, dass der Fingerabdruck mit dem Fingerabdruck des selbstsignierten Zertifikats für den Knoten übereinstimmt.
6. Klicken Sie nach dem Überprüfen eines selbstsignierten Zertifikats auf Zertifikat vertrauen.
7. Überprüfen Sie die verbleibenden selbstsignierten NSX Manager-Zertifikate und markieren Sie sie als vertrauenswürdig.
Nachdem alle Zertifikate für NSX Manager aktiv geworden sind, installieren Sie von einer Zertifizierungsstelle signierte Zertifikate für alle mit NSX Manager verbundenen FQDNs.
Weitere Informationen finden Sie unter Verwalten von Zertifikaten. im VMware Cloud Foundation-Administratorhandbuch
.
(Optional) Entfernen Sie die selbstsignierten Zertifikate aus dem Trust Store des SDDC-Managers, nachdem Sie sie durch von einer Zertifizierungsstelle signierte Zertifikate ersetzt haben.
Weitere Informationen finden Sie unter Entfernen alter oder nicht verwendeter Zertifikate aus SDDC Manager im VMware Cloud Foundation-Administratorhandbuch.
Entfernen Sie die abgelaufenen und selbstsignierten Zertifikate aus NSX Manager, nachdem Sie von einer Zertifizierungsstelle signierte Zertifikate angewendet haben.

Ersetzen eines abgelaufenen vCenter Server-Zertifikats

In VMware Cloud Foundation ersetzen Sie mithilfe des vSphere Certificate Manager-Dienstprogramms vorübergehend ein abgelaufenes Zertifikat eines vCenter Servers der Arbeitslastdomäne durch ein VMCA-signiertes Zertifikat.

Melden Sie sich bei vCenter Server als root mithilfe eines Secure Shell (SSH)-Clients an.
Um zur Bash-Shell zu wechseln, führen Sie den Befehl shell aus.
Starten Sie den vSphere Certificate Manager, indem Sie den folgenden Befehl ausführen.
```
/usr/lib/vmware-vmca/bin/certificate-manager
```
Wählen Sie Option 3 zum Ersetzen des Maschinen-SSL-Zertifikats durch ein VMCA-Zertifikat aus.
Geben Sie die [email protected]-Anmeldedaten ein.
Wenn Sie das vCenter Server-Zertifikat zum ersten Mal durch ein neues VMCA-signiertes Zertifikat ersetzen, geben Sie die Eigenschaften des VMCA-signierten Zertifikats ein und bestätigen Sie die Fortsetzung des Vorgangs.
- Aus zwei Buchstaben bestehender Ländercode
- Firmenname
- Organisationsname
- Organisationseinheit
- Bundesland
- Ort
- IP-Adresse (optional)
- E-Mail-Adresse
- Hostname, d. h. der vollqualifizierte Domänenname der vCenter Server Maschine, auf der Sie das Zertifikat ersetzen möchten. Wenn der Hostname nicht mit dem FQDN übereinstimmt, wird die Zertifikatsersetzung nicht ordnungsgemäß abgeschlossen und Ihre Arbeitslastdomäne weist möglicherweise einen instabilen Status auf.
- VMCA-Name, d. h. der vollqualifizierte Domänenname der vCenter Server Maschine, auf der die Zertifikatskonfiguration ausgeführt wird.
Die Eigenschaften der VMCA-signierten Zertifikate werden in der Datei /usr/lib/vmware-vmca/share/config/certool.cfg gespeichert.
Warten Sie, bis der Vorgang abgeschlossen ist.
Wenn Sie zuvor ein VMCA-signiertes Zertifikat auf dieser Arbeitslastdomäne vCenter Server generiert haben und eine certool.cfg-Datei verfügbar ist, konfigurieren Sie die certool.cfg-Datei nicht neu und bestätigen Sie die Fortsetzung des Vorgangs.
Warten Sie, bis der Vorgang abgeschlossen ist.
Überprüfen Sie den Status der vCenter Server-Instanz in SDDC Manager.
1. Melden Sie sich bei SDDC Manager unter https://<sddc_manager_fqdn> mit einem Benutzer an, dem die Admin-Rolle zugewiesen ist.
2. Klicken Sie im Navigationsbereich auf Bestandsliste > Arbeitslastdomänen.
3. Klicken Sie auf der Seite Arbeitslastdomänen auf die Arbeitslastdomäne, zu der die vCenter Server-Instanz gehört.
4. Klicken Sie auf der Übersichtsseite der Arbeitslastdomäne auf die Registerkarte Zertifikate.
5. Stellen Sie sicher, dass der Status des vCenter Server-Zertifikats aktiv ist.
Installieren Sie ein von einer Zertifizierungsstelle signiertes Zertifikat für die vCenter Server-Instanz in SDDC Manager. Weitere Informationen finden Sie unter Verwalten von Zertifikaten. im VMware Cloud Foundation-Administratorhandbuch.

Ersetzen eines abgelaufenen SDDC Manager-Zertifikats

Sie ersetzen ein abgelaufenes SDDC Manager-Zertifikat mithilfe von SDDC Manager.

Melden Sie sich bei SDDC Manager unter https://<sddc_manager_fqdn> mit einem Benutzer an, dem die Admin-Rolle zugewiesen ist.
Fügen Sie Ihrem Web Browser eine Zertifikats-Ausnahme hinzu, da das Zertifikat des SDDC Manager abgelaufen ist.
Klicken Sie im Navigationsbereich auf Bestandsliste > Arbeitslastdomänen.
Klicken Sie auf der Seite Arbeitslastdomänen auf die Verwaltungsdomäne.
Klicken Sie auf der Übersichtsseite der Arbeitslastdomäne auf die Registerkarte Zertifikate.
Ersetzen Sie das SDDC Manager-Zertifikat. Weitere Informationen finden Sie unter Verwalten von Zertifikaten. im VMware Cloud Foundation-Administratorhandbuch.

Sicherungsvorgänge

Die regelmäßige Verwaltung von Sicherungen der Verwaltungskomponenten von VMware Cloud Foundation bietet Datenschutz, erleichtert die Notfallwiederherstellung, erhöht die Sicherheit und Konformität und unterstützt Systemaktualisierungen.

Tabelle 5. Best Practices für Sicherungsvorgänge in VMware Cloud Foundation
Vorgang	Zeitpunkt oder Häufigkeit	Beschreibung
Konfigurieren eines Speicherorts und Zeitplans für eine externe Sicherung.	Nach der Bereitstellung der Verwaltungsdomäne. Nach der Bereitstellung der VI-Arbeitslastdomäne.	Weitere Informationen finden Sie im VMware Cloud Foundation-Administratorhandbuch: Nach der Bereitstellung der Verwaltungsdomäne von VMware Cloud Foundation, Neukonfigurieren von SFTP-Sicherungen für SDDC Manager und NSX Manager. Nach der Bereitstellung der Verwaltungsdomäne oder eine VI-Arbeitslastdomäne, Konfigurieren eines Sicherungszeitplans für vCenter Server Informationen zu NSX Manager-Sicherungen finden Sie unter NSX Manager-Sicherungskonfiguration.
		Sie können die Sicherungskonfiguration des SDDC Managers und NSX Local Managers mithilfe der VMware Cloud Foundation-API automatisieren. Weitere Informationen finden Sie unter Sichern und Wiederherstellen in der VMware Cloud Foundation-API-Referenzdokumentation.
		Zum Automatisieren der Konfiguration des Sicherungsspeicherorts und Zeitplans des SDDC Managers und NSX Local Managers mithilfe von PowerShell verwenden Sie die Cmdlets `Get-VCFBackupConfiguration` und `Set-VCFBackupConfiguration` im Open Source-PowerShell-Modul für VMware Cloud Foundation. Siehe Dokumentation zum PowerShell-Modul für VMware Cloud Foundation.
Konfigurieren der Sicherungsaufbewahrung für NSX Manager.	Nach der Bereitstellung der Verwaltungsdomäne. Wenn sich die Sicherungsaufbewahrungsrichtlinie Ihrer Organisation geändert hat.	NSX unterstützt keine native Option zum Konfigurieren einer Sicherungsaufbewahrungsrichtlinie. Informationen zum Verwalten der Aufbewahrung von Sicherungen mit einem Skript finden Sie unter Entfernen alter Sicherungen im Administratorhandbuch für NSX. Die Aufbewahrung der Sicherungen erfolgt für den im SDDC Manager konfigurierten Sicherungsspeicherort. Sie konfigurieren das Skript nur einmal pro VMware Cloud Foundation-Umgebung. Es wird dann auf alle NSX Manager-Sicherungen angewendet.
Führen Sie eine On-Demand-Sicherung aus.	Nach einem erfolgreichen Wiederherstellungsvorgang. Nach der Behebung asynchron gemeldeter Fehler in SDDC-Komponenten. Nach dem Auflösen eines unvollständigen Workflows in SDDC Manager. Nachdem bemerkt wurde, dass eine geplante Sicherung einer SDDC-Komponente fehlgeschlagen ist. Vor dem Durchführen einer Systemaktualisierung.	Weitere Informationen finden Sie unter Ausführen bedarfsgesteuerter Sicherungen.
		Sie können eine bedarfsgesteuerte Sicherung von SDDC Manager mithilfe der VMware Cloud Foundation-API automatisieren. Weitere Informationen finden Sie unter Sichern und Wiederherstellen in der VMware Cloud Foundation-API-Referenzdokumentation.
		Verwenden Sie zum Automatisieren einer bedarfsgesteuerten Sicherung von SDDC Manager mithilfe von PowerShell das Cmdlet `Start-VCFBackup` im Open Source-PowerShell-Modul für VMware Cloud Foundation. Weitere Informationen finden Sie unter Dokumentation zum PowerShell-Modul für VMware Cloud Foundation.
Überprüfen von Sicherungen.	Mindestens einmal pro Woche.	Manuelle Workflows: Überprüfen Sie auf der Seite Verwaltung > Sicherung auf der SDDC Manager-Benutzeroberfläche die Option Letzter Sicherungsstatus. Navigieren Sie in der vCenter Server-Verwaltungsschnittstelle unter `https://<vcenter-fqdn>:5480/` zu Sicherung und überprüfen Sie unter Aktivität das Datum der letzten erfolgreichen Sicherung. Navigieren Sie in der NSX Manager-Benutzeroberfläche auf der Registerkarte System zu Sichern und Wiederherstellen und überprüfen Sie Letzter Sicherungsstatus und Sicherungsverlauf.
Überprüfen von Sicherungen.	Mindestens einmal pro Woche.	Verwenden Sie zum Erzeugen eines zeitgenauen Statusberichts für Ihre VMware Cloud Foundation-Umgebung das Open Source-PowerShell-Modul für VMware Cloud Foundation-Statusberichte. Weitere Informationen finden Sie unter Erstellen eines Integritätsberichts in der Dokumentation des Moduls. Sie können auch die folgenden Cmdlets verwenden: `Request-SddcManagerBackupStatus` `Request-VcenterBackupStatus` `Request-NsxtManagerBackupStatus`

NSX Manager-Sicherungskonfiguration

Befolgen Sie bei der Verwaltung von NSX Manager-Sicherungen in VMware Cloud Foundation zusätzliche Richtlinien.

In NSX ist keine Option zum Konfigurieren einer Sicherungsaufbewahrungsrichtlinie verfügbar. Informationen zum Verwalten der Aufbewahrung von Sicherungen mit einem Skript finden Sie unter Entfernen alter Sicherungen im Administratorhandbuch für NSX.
NSX Global Manager werden nicht von SDDC Manager verwaltet. Sie müssen die Sicherung für den NSX Global Manager manuell konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von Sicherungen im Administratorhandbuch für NSX.

Konfigurieren Sie zur Wiederverwendung derselben Sicherungsaufbewahrungsrichtlinie die Sicherungen so, dass sie dasselbe SFTP-Ziel wie in SDDC Manager verwenden.
Wenn die Sicherungseinstellungen in SDDC Manager konfiguriert sind, werden alle NSX Local Manager so konfiguriert, dass sie an einem gemeinsamen Speicherort gesichert werden.
Wenn die Sicherungseinstellungen in SDDC Manager konfiguriert sind, werden die NSX Local Manager, die beim Erstellen einer Arbeitslastdomäne unter Umständen bereitgestellt werden, so konfiguriert, dass Daten im Speicherort und mit dem in SDDC Manager definierten Zeitplan gesichert werden.
Auf der NSX Manager-Benutzeroberfläche werden Sicherungen verschiedener NSX Manager-Knoten in der Backup History angezeigt. Dies wird erwartet.
Standardmäßig konfiguriert SDDC Manager die NSX Local Manager so, dass sie stündlich gesichert werden. Wenn Sie den Sicherungszeitplan ändern oder automatische Sicherungen aktivieren möchten, führen Sie die folgenden Schritte aus:
1. Melden Sie sich beim NSX Local Manager-Cluster unter https://<nsx_manager_cluster_fqdn> mit einem Benutzer an, dem die Rolle Unternehmensadministrator zugewiesen wurde.
2. Klicken Sie auf der Registerkarte System auf Sichern und Wiederherstellen und dann im Abschnitt Zeitplan auf Bearbeiten.
  
  Hinweis:
  Wenn eine aktive Sicherungsaufgabe ausgeführt wird, wird diese Option abgeblendet dargestellt.
3. Passen Sie die Einstellung Frequenz an Ihren Sicherungszeitplan an.
4. Optional. Aktivieren Sie NSX-Konfigurationsänderung erkennen und legen Sie das Aktualisierungsintervall fest, um stündlich eine Überprüfung auf Konfigurationsänderungen durchzuführen.
5. Klicken Sie auf Speichern.

Ausführen bedarfsgesteuerter Sicherungen


Verwaltungskomponente
SDDC Manager	Melden Sie sich bei SDDC Manager unter `https://<sddc_manager_fqdn>` als [email protected] an. Klicken Sie im Navigationsbereich auf Verwaltung > Sicherung und dann auf Jetzt sichern. Warten Sie, bis die Aufgabe abgeschlossen ist.
vCenter Server	Eine vollständige vCenter Server-Sicherung finden Sie unter Manuelles Sichern von vCenter Server im VMware Cloud Foundation-Administratorhandbuch. Eine vCenter Server-Sicherung umfasst die Konfiguration der gesamten vCenter Server-Instanz. Wenn nur die Konfiguration eines vSphere Distributed Switch und der zugehörigen verteilten Portgruppen gesichert werden soll, exportieren Sie eine Konfigurationsdatei, die die validierten Netzwerkkonfigurationen enthält. "Wenn Sie nur den vSphere Distributed Switch wiederherstellen möchten, können Sie diese Konfigurationsdatei in die vCenter Server-Instanz importieren." Weitere Informationen finden Sie unter Exportieren der Konfiguration der vSphere Distributed Switches im VMware Cloud Foundation-Administratorhandbuch.
NSX Manager	Melden Sie sich beim NSX Local Manager-Cluster unter `https://<nsx_manager_cluster_fqdn>` mit einem Benutzer an, dem die Rolle Unternehmensadministrator zugewiesen wurde. Klicken Sie auf der Registerkarte System auf Sichern und Wiederherstellen und dann auf Sicherung starten. Warten Sie, bis die Aufgabe abgeschlossen ist.

Lebenszyklusvorgänge

Durch Aktualisieren auf eine neuere VMware Cloud Foundation-Version oder Anwenden einer Patch-Version erhalten Sie Fixes für wichtige Sicherheitsprobleme oder neue Funktionen in Ihrer Umgebung. Durch eine effiziente Paketverwaltung werden auch Zeit und Anzahl der Fehler während des Upgrade-Vorgangs reduziert.

Tabelle 6. Best Practices für Lebenszyklusvorgänge in VMware Cloud Foundation
Vorgang	Zeitpunkt oder Häufigkeit	Beschreibung
Upgrade oder Update	Die neuere Version enthält wichtige Problembehebungen. Mit der neueren Version wird eine neue Funktion eingeführt, die Sie erkunden möchten. Die Version, die Sie ausführen, wird bald nicht mehr unterstützt.	Als Best Practice empfiehlt es sich, die neueste Softwareversion auszuführen, um die neuesten Bugfixes und Sicherheitspatches oder weitere Funktionen zu erhalten. Prüfen Sie vor dem Upgrade, ob alle Integrationen von Drittanbietern mit der Stückliste (Bill of Materials, BoM) der Zielversion kompatibel sind. Weitere Informationen zum Upgrade von VMware Cloud Foundation finden Sie unter VMware Cloud Foundation-Lebenszyklusverwaltung. Sie können die folgenden Optionen für die Verwaltung von Upgrade-Paketen verwenden: Um Upgrade-Pakete für VMware Cloud Foundation Schritt für Schritt zu verwalten, verwenden Sie die SDDC Manager-Benutzeroberfläche. Weitere Informationen finden Sie unter Verwalten von Installations- und Upgrade-Paketen in VMware Cloud Foundation im VMware Cloud Foundation-Administratorhandbuch. Sie können die Verwaltung von Upgrade-Paketen mithilfe der VMware Cloud Foundation-API automatisieren. Siehe Pakete. Informationen zum Automatisieren der Paketverwaltung mithilfe eines PowerShell-basierten Skripts finden Sie im VMware-Knowledgebase-Artikel 94760. Um veraltete oder nicht mehr benötigte Pakete zu löschen, verwenden Sie das Paketbereinigungsprogramm (Bundle Cleanup Utility). Informationen hinzu finden Sie im VMware-Knowledgebase-Artikel 75050.
Patches anwenden	Eine VMware-Sicherheitsempfehlung zu einer Sicherheitsschwachstelle in der von Ihnen verwendeten VMware Cloud Foundation-Version wurde veröffentlicht Ein Problem, das dem VMware Support gemeldet wurde, wird behoben und als Patch-Version veröffentlicht.	Verwenden Sie das Tool für asynchrone Patches, um kritische Patches unabhängig von VMware Cloud Foundation-Versionen auf bestimmte Produkte wie NSX Manager, vCenter Server oder ESXi anzuwenden. Informationen finden Sie in der Dokumentation Tool für asynchrone Patches. Das Dokument VMware Security Advisories (VMSA) enthält Empfehlungen zur Behebung von Sicherheitsschwachstellen, die in VMware-Produkten gemeldet werden. Melden Sie sich für Updates von VMSA an und prüfen Sie neue oder geänderte Empfehlungen auf Probleme, die Ihre Umgebung betreffen könnten.