Erfahren Sie mehr über Sicherheitsverbesserungen, die vSphere Virtual Volumes Speicheranbieter, auch als VASA-Anbieter bezeichnet, Version 5 in vSphere 8.0 Update 1 und höheren Versionen bietet. Sie können sich auch über das Sicherheitsmodell in vSphere 8.0 und früheren Versionen informieren.

VASA 5-Unterstützung und -Sicherheit bei Veröffentlichung von vSphere Version 8.0 Update 1 und höher

Alle Speicheranbieter von VASA 5 und höher verwenden einen stärkeren Authentifizierungsmechanismus, bei dem ESXi im Zusammenhang mit vCenter Server authentifiziert sein muss. VASA 5 verbessert die Sicherheit und bietet ein deutlich geändertes Verwaltungsmodell, das die folgenden wichtigen Änderungen umfasst:
  • Für jeden vCenter Server, der mit VASA 5 oder höher beim Array registriert wird, erstellt der VASA-Anbieter eine dedizierte Webserverinstanz oder einen virtuellen Host, bei dem es sich entweder um eine virtuelle Webserverinstanz oder eine völlig separate Instanz handeln kann. Der VASA-Client in vCenter Server basiert auf zertifikatbasierter Authentifizierung und Autorisierung, um auf seinen dedizierten virtuellen Host zuzugreifen, der auf dem Array erstellt wurde. Alle VASA-Clientzertifikate, einschließlich vCenter Server- und ESXi-Zertifikate, werden beim virtuellen Host registriert. Dies führt zu einer starken Isolierung zwischen verschiedenen vCenter Server Systemen, wenn die Systeme authentifiziert werden. Darüber hinaus können VASA-Anbieter separaten Ressourcenzugriff und verbesserte Isolierung für verschiedene vCenter Server-Systeme anbieten.
  • Mit VASA 5 verwendet der VASA-Client ein dediziertes Zertifikat für die VASA-Kommunikation. Jeder vCenter Server stellt ein Zertifikat für den VASA-Anbieter bereit, das über einen dedizierten virtuellen Host für vCenter Server verwaltet wird. Alle ESXi-Hosts, die VASA 5 unterstützen, verwenden den dedizierten virtuellen Host, der von ihrem verwalteten vCenter Server erstellt wurde.
  • vCenter Server stellt das VASA-Clientzertifikat für jeden neuen ESXi-Host 8.0 Update 1 oder höher bereit und synchronisiert den öffentlichen Schlüssel des Zertifikats mit dem VASA-Anbieter. Im Gegensatz zum vorherigen Sicherheitsmodell, bei dem der ZS-Aussteller für das Clientzertifikat authentifiziert wurde, identifiziert und autorisiert der VASA-Anbieter jetzt einen einzelnen Client mithilfe des öffentlichen Schlüssels.
  • Um die VMware-Sicherheitsanforderungen einzuhalten, vertraut vSphere selbstsignierten Zertifikaten für die TLS-Kommunikation nicht. Die einzige Ausnahme ist während eines kurzen Zeitraums, in dem der VASA-Anbieter registriert wird, und aus Gründen der Abwärtskompatibilität. Ein Array-Administrator kann ein benutzerdefiniertes ZS-Zertifikat für den VASA-Anbieter verwenden, um das selbstsignierte Zertifikat im Array für Abwärtskompatibilität und Bootstrapping zu überschreiben.
  • Um den Verlust des Zugriffs auf den VASA-Anbieter zu vermeiden, befolgen Sie die folgenden Richtlinien. Weitere Informationen finden Sie unter Verwalten von Speicheranbietern für vSphere Virtual Volumes.
    • Heben Sie für das Upgrade die Registrierung Ihres VASA-Anbieters nicht auf und registrieren Sie ihn nicht erneut. Verwenden Sie stattdessen einen geeigneten Upgrade-Mechanismus für Ihren VASA-Anbieter. Wenn Sie vCenter Server über eine neue verfügbare VASA-Version benachrichtigt, stellen Sie sicher, dass Sie diese Version innerhalb einer angemessenen Zeit akzeptieren. Um ein Upgrade vom vSphere Client durchzuführen, verwenden Sie die Option Upgrade von Speicheranbieter durchführen.
    • Aktualisieren Sie das VASA-Anbieterzertifikat regelmäßig. Aktualisieren Sie das Zertifikat innerhalb einer angemessenen Zeit, nachdem Sie vCenter Server gewarnt hat, dass das dem VASA-Anbieter zugewiesene Zertifikat in Kürze abläuft. Verwenden Sie die Option Zertifikat aktualisieren im vSphere Client.
    • Wenn Sie das VMCA-Rootzertifikat oder vCenter Server-Clientzertifikat verlängern, verliert SMS möglicherweise die Verbindung zum VASA-Anbieter. Wenn der Anbieter offline ist, verwenden Sie die Option vCenter Server erneut authentifizieren.
    • Wenn ein Host die Authentifizierung verliert, können Sie den Authentifizierungsfehler mithilfe der Option Host-VASA-Clients erneut authentifizieren beheben.

Sicherheitszertifikate mit vSphere 8.0 und früheren Versionen

vSphere beinhaltet die VMware Certificate Authority (VMCA). VMCA generiert standardmäßig alle internen Zertifikate, die in der vSphere-Umgebung verwendet werden. Hierzu zählen auch Zertifikate für neu hinzugefügte ESXi-Hosts und VASA-Speicheranbieter, die Virtual Volumes-Speichersysteme verwalten oder repräsentieren.

Die Kommunikation mit dem VASA-Anbieter wird durch SSL-Zertifikate geschützt. Diese Zertifikate können vom VASA-Anbieter oder von der VMCA stammen.
  • Zertifikate können direkt vom VASA-Anbieter für die langfristige Verwendung bereitgestellt werden. Sie können entweder selbstgeneriert und selbstsigniert sein oder aber von einer externen Zertifizierungsstelle stammen.
  • Zertifikate können von der VMCA für die Verwendung durch den VASA-Anbieter generiert werden.
Wenn ein Host oder VASA-Anbieter registriert ist, führt VMCA diese Schritte automatisch aus, ohne dass der vSphere-Administrator eingreifen muss.
  1. Wenn ein VASA-Anbieter erstmalig zum Speicherverwaltungsdienst (Storage Management Service, SMS) von vCenter Server hinzugefügt wird, wird ein selbstsigniertes Zertifikat erstellt.
  2. Nach der Überprüfung des Zertifikats fordert der Speicherverwaltungsdienst eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) vom VASA-Anbieter an.
  3. Nach dem Empfang und der Überprüfung der CSR wird sie vom Speicherverwaltungsdienst im Namen des VASA-Anbieters gegenüber der VMCA präsentiert und es wird ein von der Zertifizierungsstelle signiertes Zertifikat angefordert.

    Die VMCA kann als eigenständige Zertifizierungsstelle oder als untergeordnete Zertifizierungsstelle für eine Unternehmenszertifizierungsstelle konfiguriert werden. Wenn Sie die VMCA als untergeordnete Zertifizierungsstelle einrichten, signiert VMCA die CSR mit der vollständigen Zertifizierungskette.

  4. Das signierte Zertifikat mit den Stammzertifikaten wird an den VASA-Anbieter übergeben. Der VASA-Anbieter kann alle zukünftigen sicheren Verbindungen, die vom Speicherverwaltungsdienst ausgehen, in vCenter Server und auf ESXi-Hosts authentifizieren.