VMware Cloud Director を安全に操作するには、安全なネットワーク環境が必要です。このネットワーク環境を、VMware Cloud Director のインストールを開始する前に構成してテストします。
すべての VMware Cloud Director サーバを、セキュリティで保護し監視されているネットワークに接続します。
VMware Cloud Director で使用されるネットワーク ポートおよびプロトコルの詳細については、「VMware Ports and Protocols」を参照してください。
VMware Cloud Director ネットワーク接続には、いくつかの追加要件があります。
- VMware Cloud Director を公開インターネットに直接接続しないでください。VMware Cloud Director ネットワーク接続を、常時ファイアウォールで保護します。受信接続に対して開くのはポート 443 (HTTPS) のみにする必要があります。必要に応じてポート 22 (SSH) と 80 (HTTP) も受信接続に対して開くことができます。また、cell-management-tool ではセルのループバック アドレスにアクセスできる必要があります。JMX への要求(ポート 8999)を含む、公開ネットワークから受信した他のすべてのトラフィックは、ファイアウォールで拒否する必要があります。
VMware Cloud Director ホストからの受信パケットを許可する必要があるポートの詳細については、VMware Ports and Protocolsを参照してください。
- 送信接続に使用されるポートを公開ネットワークに接続しないでください。
VMware Cloud Director ホストからの送信パケットを許可する必要があるポートの詳細については、VMware Ports and Protocolsを参照してください。
- バージョン 10.1 以降では、サービス プロバイダとテナントは VMware Cloud Director API を使用してリモート サーバへの接続をテストし、サーバ ID を SSL ハンドシェイクの一部として検証できます。VMware Cloud Director ネットワーク接続を保護するために、VMware Cloud Director API を使用して接続テストを行っているテナントからは到達できない内部ホストの拒否リストを構成します。VMware Cloud Director をインストールまたはアップグレードしてから、テナントに VMware Cloud Director へのアクセスを許可するまでの間に、拒否リストを構成します。『VMware Cloud Director Service Provider Admin ガイド』の「テスト接続の拒否リストの構成」を参照してください。
- 専用のプライベート ネットワーク上で、VMware Cloud Director サーバと次のサーバ間のトラフィックを経路指定します。
- VMware Cloud Director データベース サーバ
- RabbitMQ
- Cassandra
- 可能な場合は、専用のプライベート ネットワーク上で、VMware Cloud Director サーバ、vSphere、および NSX 間のトラフィックを経路指定します。
- プロバイダ ネットワークをサポートする仮想スイッチと分散仮想スイッチは、互いに分離する必要があります。この間で同じレイヤー 2 の物理ネットワーク セグメントを共有することはできません。
- 転送サービス ストレージに NFSv4 を使用します。最も一般的な NFS のバージョンである NFSv3 は、転送時に暗号化を行わないため、一部の構成ではデータの転送中に傍受または改ざんを受ける可能性があります。NFSv3 に固有の脅威については、SANS のホワイト ペーパーNFS Security in Both Trusted and Untrusted Environmentsに記載されています。VMware Cloud Director の転送サービスの構成とセキュリティ強化についての詳細は、VMware ナレッジベースの記事 KB2086127 に記載されています。
- Host ヘッダー インジェクションの脆弱性を回避するには、Host ヘッダーの検証を有効にします。
- VMware Cloud Director コンソールに、root として直接ログインするか、SSH クライアントを使用して接続します。
- セル管理ツールを使用して Host ヘッダーの検証を有効にします。
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true