Pour fonctionner de façon sécurisée, VMware Cloud Director nécessite un environnement réseau sécurisé. Configurez et testez cet environnement réseau avant de commencer l'installation de VMware Cloud Director.
Connectez tous les serveurs VMware Cloud Director à un réseau sécurisé et surveillé.
Pour plus d'informations sur les ports réseau et protocoles utilisés par VMware Cloud Director, consultez VMware Ports and Protocols.
- Ne connectez pas VMware Cloud Director directement à l’Internet public. Protégez toujours les connexions réseau de VMware Cloud Director avec un pare-feu. Seul le port 443 (HTTPS) doit être ouvert pour les connexions entrantes. Les ports 22 (SSH) et 80 (HTTP) peuvent également être ouverts pour les connexions entrantes si besoin. En outre, l'cell-management-tool requiert un accès à l'adresse de boucle de la cellule. Tout autre trafic entrant provenant d'un réseau public, y compris les demandes JMX (port 8999), doit être rejeté par le pare-feu.
Pour plus d'informations sur les ports qui doivent autoriser les paquets entrants en provenance des hôtes VMware Cloud Director, reportez-vous à VMware Ports and Protocols.
- Ne connectez pas les ports utilisés pour les connexions sortantes au réseau public.
Pour plus d'informations sur les ports qui doivent autoriser les paquets sortants en provenance des hôtes VMware Cloud Director, reportez-vous à VMware Ports and Protocols.
- À partir de la version 10.1, les fournisseurs de services et les locataires peuvent utiliser l'API VMware Cloud Director pour tester les connexions à des serveurs distants et vérifier l'identité du serveur dans le cadre d'une connexion à SSL. Pour protéger les connexions réseau de VMware Cloud Director, configurez une liste d'exclusion d'hôtes internes qui ne sont pas accessibles aux locataires qui utilisent l'API VMware Cloud Director pour les tests de connexion. Configurez la liste d'exclusion après l'installation ou la mise à niveau de VMware Cloud Director et avant d'accorder aux locataires l'accès à VMware Cloud Director. Reportez-vous à la section Configurer une liste d'exclusion pour les tests de connexion dans Guide d'administration des fournisseurs de services VMware Cloud Director.
- Acheminez le trafic entre les serveurs VMware Cloud Director et les serveurs suivants sur un réseau privé dédié.
- Serveur de base de données VMware Cloud Director
- RabbitMQ
- Cassandra
- Si possible, acheminez le trafic entre les serveurs VMware Cloud Director, vSphere et NSX sur un réseau privé dédié.
- Les commutateurs virtuels et les commutateurs virtuels distribués qui prennent en charge les réseaux fournisseurs doivent être isolés les uns des autres. Ils ne peuvent pas partager le même segment de réseau physique de couche 2.
- Utilisez NFSv4 pour le stockage du service de transfert. La version NFS la plus courante, NFSv3, ne propose pas de chiffrement de transit, ce qui peut créer, dans certaines configurations, un risque d'espionnage en vol ou de falsification des données en cours de transfert. Les menaces inhérentes à NFSv3 sont décrites dans le livre blanc de SANS intitulé Sécurité de NFS dans des environnements approuvés et non approuvés. Des informations supplémentaires sur la configuration et sécurisation du service de transfert VMware Cloud Director sont disponibles dans l'article 2086127 de la base de connaissances VMware.
- Pour éviter les vulnérabilités d'injection d'en-tête d'hôte, activez la vérification de l'en-tête de l'hôte.
- Connectez-vous directement ou à l'aide d'un client SSH à la console de VMware Cloud Director en tant qu'utilisateur racine.
- Activez la vérification de l'en-tête de l'hôte à l'aide de l'outil de gestion des cellules.
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true