Il funzionamento sicuro di VMware Cloud Director richiede un ambiente di rete sicuro. Prima di iniziare la procedura di installazione di VMware Cloud Director, configurare l'ambiente di rete ed eseguirne il test.
Connettere tutti i server di VMware Cloud Director a una rete protetta e monitorata.
Per informazioni sulle porte di rete e sui protocolli utilizzati da VMware Cloud Director, vedere Porte e protocolli di VMware.
Le connessioni di rete di
VMware Cloud Director hanno diversi requisiti aggiuntivi:
- Non connettere VMware Cloud Director direttamente alla rete Internet pubblica. Proteggere sempre le connessioni di rete di VMware Cloud Director con un firewall. Per le connessioni in entrata deve essere aperta solo la porta 443 (HTTPS) e, se necessario, è possibile aprire anche le porte 22 (SSH) e 80 (HTTP). Inoltre, cell-management-tool richiede l'accesso all'indirizzo di loopback della cella. Tutto il resto del traffico in entrata da una rete pubblica, incluse le richieste a JMX (porta 8999), devono essere rifiutate dal firewall.
Per informazioni sulle porte che devono consentire i pacchetti in entrata dagli host VMware Cloud Director, vedere Porte e protocolli di VMware.
- Non connettere le porte utilizzate per le connessioni in uscita alla rete pubblica.
Per informazioni sulle porte che devono consentire i pacchetti in uscita dagli host VMware Cloud Director, vedere Porte e protocolli di VMware.
- A partire dalla versione 10.1, i provider di servizi e i tenant possono utilizzare l'API di VMware Cloud Director per testare le connessioni ai server remoti e verificare l'identità del server come parte di un handshake SSL. Per proteggere le connessioni di rete di VMware Cloud Director, configurare una lista vietata di host interni irraggiungibili per i tenant che utilizzano l'API di VMware Cloud Director per il test della connessione. Configurare l'elenco di elementi non consentiti dopo aver installato o aggiornato VMware Cloud Director e prima di consentire ai tenant di accedere a VMware Cloud Director. Vedere Configurazione di un elenco di elementi non consentiti per una connessione di prova in Guida all'amministrazione del provider di servizi di VMware Cloud Director.
- Instradare il traffico tra server VMware Cloud Director e i seguenti server su una rete privata dedicata.
- Server di database di VMware Cloud Director
- RabbitMQ
- Cassandra
- Se possibile, instradare il traffico tra server VMware Cloud Director, vSphere e NSX su una rete privata dedicata.
- I commutatori virtuali e i commutatori virtuali distribuiti che supportano le reti di provider devono essere isolati tra loro in quanto non possono condividere lo stesso segmento di rete fisica di livello 2.
- Utilizzare NFSv4 per lo storage del servizio di trasferimento. La versione di NFS più comune, NFSv3, non offre la crittografia in transito, il che in alcune configurazioni potrebbe creare un rischio di individuazione o manomissione dei dati durante il trasferimento. Le minacce inerenti la versione NFSv3 sono descritte nel white paper SANS NFS Security in Both Trusted and Untrusted Environments. Informazioni aggiuntive sulla configurazione e la protezione del servizio di trasferimento di VMware Cloud Director sono disponibili nell'articolo 2086127 della Knowledge Base di VMware.
- Per evitare vulnerabilità di inserimento dell'intestazione host, attivare la verifica dell'intestazione dell'host.
- Accedere alla console di VMware Cloud Director come root direttamente o utilizzando un client SSH.
- Attivare la verifica dell'intestazione dell'host utilizzando lo strumento di gestione delle celle.
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true
