Der Betrieb von vRealize Application Remote Collector hängt von bestimmten Diensten, Ports und externen Schnittstellen ab. Sichern Sie diese. Die virtuelle Appliance von vRealize Application Remote Collector verwendet Photon OS von VMware v1.0 als Gastbetriebssystem.

vRealize Application Remote Collector-Dienste

Sie müssen die folgenden Komponenten von vRealize Application Remote Collector sichern:

Komponente Beschreibung
Datenebene (Emqtt) Die Datenebene, die für den Austausch von Metriken und vRealize Application Remote Collector-spezifischen Infrastrukturmeldungen verwendet wird.
Ucpapi Führt die REST-Mikro-Dienste aufsetzend auf der Xenon-Plattform aus.
Steuerungsebene Führt SaltStack aus und wird verwendet, um Aktionen wie das Auslösen des Bootstraps auf Endpoints zu steuern.
Nginx Führt den Nginx-Dienst aus, der zum Herunterladen von Optionen und Support-Paketen verwendet wird.
Virtuelle Appliance (als OVF bereitgestellt) Hierbei handelt es sich um die OVF-Datei, die als virtuelle Appliance bereitgestellt wird. Sie besteht aus sechs Containern, die die Komponenten Datenebene (Emqtt), Ucpapi, Steuerungsebene und Nginx ausführen. Das Betriebssystem ist Photon 1.0.
Endpoint Bezieht sich auf einen der Client Computer, der eine Verbindung mit vRealize Application Remote Collector herstellt.

Kommunikationsports

vRealize Application Remote Collector verwendet verschiedene Kommunikationsports:

Komponente Port
Datenebene (Emqtt) 8883 (TCP/SSL)
Ucpapi 9000 (HTTPS)
Steuerungsebene 4505 (TCP/SSL), 4506 (TCP/SSL)
Nginx 8999 (HTTPS)
Virtuelle Appliance (als OVF bereitgestellt)
Endpoint
VMware Appliance-Verwaltungsschnittstelle (VAMI) 5480
Kommunikationspfad Ports
Von auf
vRealize Operations Manager vRealize Application Remote Collector 9000, 8883
Endpoint-VM vRealize Application Remote Collector 8999, 4505, 4506, 8883
Browser Zugriff auf die VMware Appliance-Verwaltungsschnittstelle (VAMI) 5480

Drittanbieterdienste

Aktivieren Sie die folgenden Drittanbieterdienste für die Komponenten von vRealize Application Remote Collector:

Komponente Dienst
Virtuelle Appliance (als OVF bereitgestellt)
  • Docker
  • Cron
  • Vami
  • Nginx, Datenebene (Emqtt), Salt-Master, Nginx (Core-Komponentendienste)
  • SSH (für die Anmeldung bei der virtuellen Appliance)
Endpoint
  • Sicherstellen der Zeitkorrektur (Endpoints und virtuelle Appliance von vRealize Application Remote Collector sind zeitsynchronisiert)
  • Unter vCenter verwaltete virtuelle Maschinen
  • RPC

Speicherort der Konfigurationsdateien

Die von den vRealize Application Remote Collector-Diensten verwendeten Konfigurationsdateien sind in den folgenden Speicherorten verfügbar:

Komponente Pfad
Datenebene (Emqtt) /opt/vmware/share/htdocs/ucp/temp/Confs/emqtt/emq.conf
Ucpapi

/ucp/config/config.properties

/ucp/config/endpoint_config.properties

Steuerungsebene

/ucp/salt/srv/salt/telegraf-conf/telegraf.emqtt.windows.conf

/ucp/salt/srv/salt/telegraf-conf/telegraf.emqtt.conf

Nginx /etc/nginx/nginx.conf
Virtuelle Appliance (als OVF bereitgestellt) /ucp/config/config-secrets.properties (anwendbar für virtuelle Appliances)
Endpoint /opt/vmware/ucp/salt-minion/etc/salt/grains

Standardkennwörter

Die virtuelle Appliance von vRealize Application Remote Collector verwendet das Root-Benutzerkonto als Dienstbenutzer. Es wird kein anderer Benutzer erstellt. Das Root-Standardkennwort ist vmware. Das Root-Kennwort muss bei der ersten Anmeldung bei der vRealize Application Remote Collector-Konsole geändert werden. SSH ist deaktiviert, bis das Root-Standardkennwort geändert wird.

Das Root-Kennwort muss die folgenden Anforderungen erfüllen:
  • Es muss mindestens 8 Zeichen lang sein.
  • Es muss mindestens einen Großbuchstaben, einen Kleinbuchstaben, eine Ziffer und ein Sonderzeichen enthalten.
  • Dasselbe Zeichen darf nicht vier Mal wiederholt werden.

Protokoll- und Konfigurationsdateien von vRealize Application Remote Collector

Einige Konfigurationsdateien enthalten Einstellungen, die die Sicherheit von vRealize Application Remote Collector beeinträchtigen.

Komponente Pfad
Datenebene (Emqtt)

/data1/ucp-emqtt-logs/error <#>.log

/data1/ucp-emqtt-logs/crash <#>.log

Ucpapi /data1/ucpapis/ucpapi.log
Steuerungsebene /data1/ucp-salt/master /data1/ucp-salt/api
Nginx /data1/ucp-nginx/access.log
Virtuelle Appliance (als OVF bereitgestellt) /ucp/support-bundle/Logs
Endpoint

/tmp/vmware-root/VMwareUCP_Bootstrap_Scriptsvmware*/uaf_bootstrap.log

/tmp/*/VMware-UCP_Bootstrap_Scripts*/

/tmp/vmware-root/VMware-UCP_Bootstrap_Scriptsvmware*/uaf_bootstrap.log

C:\Windows\Temp\VMware-UCP_Bootstrap_Scriptsvmware*/uaf_bootstrap.log

oder

C:\Users\<installuser>\AppData\Local\Temp

vRealize Application Remote Collector-Benutzerkonten

Die folgenden Komponenten verfügen über keine zum Zeitpunkt der Installation erstellten Benutzerkonten:
  • Datenebene (Emqtt)
  • Ucpapi
  • Steuerungsebene
  • Nginx

Die folgenden Konten werden bei der Installation von vRealize Application Remote Collector erstellt:

Komponente Bei der Installation erstelltes Benutzerkonto Zugewiesene Rechte
Virtuelle Appliance (als OVF bereitgestellt) Das Root-Standardkennwort ist vmware. Das Root-Kennwort muss bei der ersten Anmeldung bei der vRealize Application Remote Collector-Konsole geändert werden. Der Root-Benutzer verfügt über Superuser-Rechte.
Endpoint

Unter Windows: LAU (UAC) muss deaktiviert sein.

Unter Linux: Nicht-Admin-Benutzer können kennwortlosen Sudo-Befehl verwenden.

Sicherheits-Updates und Patches

Verwenden Sie bei den folgenden Komponenten das Vami-Upgrade zum Patchen und Aktualisieren:

  • Datenebene (Emqtt)
  • Ucpapi
  • Steuerungsebene
  • Nginx
  • Virtuelle Appliance (als OVF bereitgestellt)

Verwenden Sie für die Endpoints die RPM-Installationsmethode zum Patchen und Aktualisieren.

Komponenten von Drittanbietern

vRealize Application Remote Collector verwendet die folgenden Komponenten von Drittanbietern:

Komponente Komponenten von Drittanbietern
Virtuelle Appliance (als OVF bereitgestellt)
  • Openssl
  • Python-2.7.15
  • JRE 1.8
Endpoint
  • Python 3.5.7
  • Salt-Minion
  • Telegraf
  • vCenter-Dienste

Öffentlicher Schlüssel, Zertifikat und Keystore

Der öffentliche Schlüssel, das Zertifikat und der Keystore von vRealize Application Remote Collector befinden sich in der virtuellen Appliance.

Komponente Standort
Datenebene (Emqtt) Zertifikate und Schlüssel werden in PEM-Dateien gespeichert.
  • /ucp/ssl/emqtt/ca.cert.pem
  • /ucp/ssl/emqtt/emqtt.cert.pem
  • /ucp/ssl/emqtt/emqtt.key.pem
Ucpapi Die folgenden Zertifikate und Schlüssel werden in keydb gespeichert:
  • /ucp/ssl/ucpapi/ca.cert.pem
  • /ucp/ssl/ucpapi/ucpapi.cert.pem
  • /ucp/ssl/ucpapi/ucpapi.key
Nginx
  • /ucp/ssl/nginx/ca.cert.pem
  • /ucp/ssl/nginx/nginx.cert.pem
  • /ucp/ssl/nginx/nginx.key
Endpoint
  • /opt/vmware/ucp/certkeys/ca.pem
  • /opt/vmware/ucp/certkeys/cert.pem
  • /opt/vmware/ucp/certkeys/key.pem
  • /etc/salt/pki/minion/minion.pem

Open-Source-Lizenzen

Die Open-Source-Lizenzdateien befinden sich in der virtuellen Appliance von vRealize Application Remote Collector. Details der Open-Source-Komponenten und -Lizenzen stehen in der Datei /ucp/open_source_licenses.txt zur Verfügung.