Sie entwerfen die Verwaltung von Zugriffssteuerungen, Zertifikaten und Konten für VMware Cloud Foundation gemäß den Anforderungen Ihrer Organisation.
Zugriffsverwaltung für VMware Cloud Foundation
Sie entwerfen die Zugriffsverwaltung für VMware Cloud Foundation gemäß den Branchenstandards und den Anforderungen Ihrer Organisation.
Komponente |
Zugriffsmethode |
Zusätzliche Informationen |
---|---|---|
SDDC Manager |
|
SSH ist standardmäßig aktiv. root-Benutzerzugriff ist nicht zulässig. |
NSX Local Manager |
|
SSH ist standardmäßig deaktiviert. |
NSX Edges |
|
SSH ist standardmäßig deaktiviert. |
NSX Global Manager |
|
Die SSH-Einstellung wird während der Bereitstellung definiert. |
vCenter Server |
|
SSH ist standardmäßig aktiv. |
ESXi |
|
SSH und ESXi Shell sind standardmäßig deaktiviert. |
VMware Aria Suite Lifecycle |
|
SSH ist standardmäßig aktiv. |
Workspace ONE Access |
|
SSH ist standardmäßig aktiv. |
Design der Kontoverwaltung für VMware Cloud Foundation
Sie entwerfen die Kontoverwaltung für VMware Cloud Foundation entsprechend den Branchenstandards und den Anforderungen Ihrer Organisation.
Methoden der Kennwortverwaltung
SDDC Manager verwaltet den Lebenszyklus von Kennwörtern für die Komponenten, die Teil der VMware Cloud Foundation-Instanz sind. Es werden mehrere Methoden zur Verwaltung des Kennwortlebenszyklus unterstützt.
Methode |
Beschreibung |
---|---|
Rotieren |
Aktualisieren Sie ein oder mehrere Konten mit einem automatisch generierten Kennwort. |
Aktualisieren |
Aktualisieren Sie das Kennwort für ein einzelnes Konto mit einem manuell eingegebenen Kennwort. |
Standardisieren |
Synchronisieren Sie ein einzelnes Konto mit einem Kennwort, das in der -Komponente manuell festgelegt wurde. |
Zeitplan |
Planen Sie die automatische Rotation für ein oder mehrere ausgewählte Konten. |
Manuell |
Aktualisieren Sie ein Kennwort manuell direkt in der Komponente. |
Konto- und Kennwortverwaltung
VMware Cloud Foundation umfasst mehrere Arten von interaktiven und lokalen Konten sowie Dienstkonten. Jedes Konto hat unterschiedliche Attribute und kann auf folgende Weise verwaltet werden:
Weitere Informationen zur Kennwortkomplexität, Kontosperre oder zur Integration mit zusätzlichen Identitätsanbietern finden Sie unter Identitäts- und Zugriffsverwaltung für VMware Cloud Foundation.
Komponente |
Benutzerkonto |
Kennwortmanagement |
Zusätzliche Informationen |
---|---|---|---|
SDDC Manager |
admin@local |
|
|
VCF |
|
|
|
Root |
|
|
|
Sicherung |
|
|
|
|
|
||
NSX Local Manager |
admin |
|
|
Root |
|
|
|
audit |
|
|
|
NSX Edges |
admin |
|
|
Root |
|
|
|
audit |
|
|
|
NSX Global Manager |
admin |
|
|
Root |
|
|
|
audit |
|
|
|
vCenter Server |
Root |
|
|
|
|
||
svc-sddc-manager-hostname-vcenter-server-hostname@vsphere.local |
|
Dienstkonto zwischen SDDC Manager und vCenter Server | |
svc-nsx-manager-hostname-vcenter-server-hostname@vsphere.local |
|
Dienstkonto zwischen NSX Manager und vCenter Server |
|
svc-vrslcm-hostname-vcenter-server-hostname@vsphere.local |
|
Dienstkonto zwischen VMware Aria Suite Lifecycle und vCenter Server |
|
ESXi |
Root |
|
Manuell |
svc-vcf-esxi-hostname |
|
Dienstkonto zwischen SDDC Manager und dem ESXi-Host |
|
VMware Aria Suite Lifecycle |
vcfadmin@local |
|
API- und Anwendungszugriff |
Root |
|
|
|
Workspace ONE Access |
Root |
|
|
sshuser- |
|
|
|
Administrator (Port 8443) |
Verwaltet von VMware Aria Suite Lifecycle |
Systemadministrator |
|
Administrator (Port 443) |
|
Standard-Anwendungsadministrator |
|
configadmin |
|
Anwendungskonfigurations-Administrator |
Design-Empfehlungen für die Kontoverwaltung
In Ihrem Kontoverwaltungsdesign können Sie bestimmte Best Practices anwenden.
Empfehlungs-ID |
Designempfehlung |
Begründung |
Auswirkung |
---|---|---|---|
VCF-ACTMGT-REQD-SEC-001 |
Aktivieren Sie die geplante Kennwortrotation in SDDC Manager für alle Konten, die die geplante Rotation unterstützen. |
|
Sie müssen neue Kennwörter mithilfe der API abrufen, wenn Sie Konten interaktiv verwenden müssen. |
VCF-ACTMGT-REQD-SEC-003 |
Richten Sie eine betriebliche Praktik ein, um Kennwörter mithilfe von SDDC Manager für Komponenten zu rotieren, die die geplante Rotation in SDDC Manager nicht unterstützen. |
Rotiert Kennwörter und standardisiert automatisch SDDC Manager-Datenbanken für diese Benutzerkonten. |
Keine. |
VCF-ACTMGT-REQD-SEC-003 |
Richten Sie eine betriebliche Praktik ein, um manuell Kennwörter für Komponenten zu rotieren, die nicht von SDDC Manager rotiert werden können. |
Verwaltet Kennwortrichtlinien für Komponenten, die nicht von der SDDC Manager-Kennwortverwaltung verwaltet werden. |
Keine. |
Zertifikatsverwaltung für VMware Cloud Foundation
Sie entwerfen die Zertifikatsverwaltung für VMware Cloud Foundation gemäß den Branchenstandards und den Anforderungen Ihrer Organisation.
Der Zugriff auf alle Schnittstellen der Verwaltungskomponente muss über eine SSL-Verbindung (Secure Socket Layer) erfolgen. Während der Bereitstellung wird jeder Komponente ein Zertifikat von einer signierenden Standard-Zertifizierungsstelle zugewiesen. Um sicheren Zugriff auf jede Komponente zu ermöglichen, ersetzen Sie das Standardzertifikat durch ein vertrauenswürdiges, von einer Unternehmenszertifizierungsstelle signiertes Zertifikat.
Komponente |
Signierende Standard-Zertifizierungsstelle |
Lebenszyklus für von einer Unternehmenszertifizierungsstelle signierte Zertifikate |
---|---|---|
SDDC Manager |
VMCA der Verwaltungsdomäne |
|
NSX Local Manager |
VMCA der Verwaltungsdomäne |
|
NSX Edges |
Nicht anwendbar |
Nicht anwendbar |
NSX Global Manager |
Selbstsigniert |
Manuell |
vCenter Server |
VMCA der lokalen Arbeitslastdomäne |
|
ESXi |
VMCA der lokalen Arbeitslastdomäne |
Manuell* |
VMware Aria Suite Lifecycle |
VMCA der Verwaltungsdomäne |
|
* Um von einer Unternehmenszertifizierungsstelle signierte Zertifikate mit ESXi zu verwenden, muss die anfängliche Bereitstellung von VMware Cloud Foundation mithilfe der API erfolgen, die das vertrauenswürdige Root-Zertifikat bereitstellt.
Empfehlungs-ID |
Designempfehlung |
Begründung |
Auswirkung |
---|---|---|---|
VCF-SDDC-RCMD-SEC-001 |
Ersetzen Sie das standardmäßige VMCA- oder signierte Zertifikat auf allen virtuellen Verwaltungs-Appliances durch ein Zertifikat, das von einer internen Zertifizierungsstelle signiert wurde. |
Stellen Sie sicher, dass die Kommunikation mit allen Verwaltungskomponenten sicher ist. |
Werden die Standardzertifikate durch vertrauenswürdige, von einer Zertifizierungsstelle signierte Zertifikate ersetzt, kann sich die Vorbereitungszeit verlängern, da Sie Zertifikatsanforderungen generieren und übermitteln müssen. |
VCF-SDDC-RCMD-SEC-002 |
Verwenden Sie einen SHA-2-Algorithmus oder höher für signierte Zertifikate. |
Der SHA-1-Algorithmus gilt als weniger sicher und ist veraltet. |
Nicht alle Zertifizierungsstellen unterstützen SHA-2 oder höher. |
VCF-SDDC-RCMD-SEC-003 |
Führen Sie die Verwaltung des Lebenszyklus von SSL-Zertifikaten für alle Verwaltungs-Appliances mithilfe von SDDC Manager oder des SDDC Manager-Plug-Ins in vCenter durch. |
SDDC Manager unterstützt die automatisierte Lebenszyklusverwaltung von SSL-Zertifikaten und macht so eine Reihe manueller Schritte überflüssig. |
Die Zertifikatsverwaltung für NSX Global Manager-Instanzen muss manuell erfolgen. |