Sicurezza di vSphere HA

vSphere HA è stato potenziato da diverse funzionalità di sicurezza.

Selezionare le porte firewall aperte

vSphere HA utilizza le porte TCP e UDP 8182 per la comunicazione da agente a agente. Le porte firewall si aprono e si chiudino automaticamente per assicurarsi che siano aperte solo quando necessario.

File di configurazione protetti mediante le autorizzazioni del file system

vSphere HA archivia le informazioni di configurazione nello storage locale o in ramdisk se non è presente alcun datastore locale. Questi file sono protetti mediante le autorizzazioni del file system e sono accessibili solo per l'utente root. Gli host senza storage locale sono supportati solo se sono gestiti da Distribuzione automatica.

Registrazione dettagliata

La posizione in cui vSphere HA mette i file di registro dipende dalla versione dell'host.

Per gli host di ESXi, vSphere HA scrive su syslog solo per impostazione predefinita, pertanto i registri vengono posizionati in base alla configurazione di syslog. I nomi dei file di registro per vSphere HA vengono specificati con fdm, gestore dominio di errore, che è un servizio di vSphere HA.
Per gli host ESXi legacy, vSphere HA scrive in /var/log/vmware/fdm su disco locale, nonché su syslog, se è configurato.

Login vSphere HA sicuri

vSphere HA accede agli agenti di vSphere HA utilizzando un account utente, vpxuser, creato da vCenter Server. Questo account è lo stesso utilizzato da vCenter Server per gestire l'host. vCenter Server crea una password casuale per questo account e cambia la password periodicamente. Il periodo di tempo è configurato dall'impostazione vCenter Server VirtualCenter.VimPasswordExpirationInDays . Gli utenti con privilegi di amministratore nella cartella root dell'host possono accedere all'agente.

Comunicazione sicura

Tutta la comunicazione tra vCenter Server e l'agente vSphere HA viene eseguita tramite SSL. Anche la comunicazione da agente a agente utilizza SSL, eccetto i messaggi di selezione, che si verificano su UDP. I messaggi di selezione vengono verificati tramite SSL in modo che un agente non autorizzato possa impedire che solo l'host su cui è in esecuzione l'agente venga scelto come host primario. In questo caso, viene emesso un problema di configurazione per il cluster in modo che l'utente sia a conoscenza del problema.

Verifica certificato SSL host obbligatoria

vSphere HA richiede che ogni host disponga di un certificato SSL verificato. Ogni host genera un certificato autofirmato quando viene avviato per la prima volta. Questo certificato può quindi essere rigenerato o sostituito con uno emesso da un'autorità. Se il certificato viene sostituito, vSphere HA deve essere riconfigurato nell'host. Se un host viene disconnesso da vCenter Server dopo l'aggiornamento del relativo certificato e viene riavviato l'agente ESXi o ESX host, vSphere HA viene riconfigurato automaticamente quando l'host viene riconnesso a vCenter Server. Se la disconnessione non viene eseguita perché la verifica del certificato SSL dell'host vCenter Server è al momento disattivata, verificare il nuovo certificato e riconfigurare vSphere HA neull'host.