vSphere HA는 몇 가지 보안 기능으로 향상됩니다.

열려 있는 방화벽 포트 선택

vSphere HA에서는 에이전트 대 에이전트 통신을 위해 TCP 및 UDP 포트 8182를 사용합니다. 방화벽 포트는 필요할 때만 열리도록 자동으로 열리고 닫힙니다.

파일 시스템 사용 권한을 사용하여 보호되는 구성 파일

vSphere HA에서는 로컬 데이터스토어가 없는 경우 구성 정보를 로컬 스토리지 또는 ramdisk에 저장합니다. 이러한 파일은 파일 시스템 사용 권한을 사용하여 보호되며 루트 사용자만 액세스할 수 있습니다. Auto Deploy에서 호스트를 관리하는 경우 로컬 스토리지가 없는 호스트만 지원됩니다.

상세 로깅

vSphere HA에서 로그 파일을 저장하는 위치는 호스트의 버전에 따라 다릅니다.

  • ESXi 5.x 호스트의 경우 vSphere HA는 기본적으로 syslog에만 쓰기 때문에 로그는 syslog에서 저장되도록 구성된 위치에 저장됩니다. vSphere HA의 로그 파일 이름 뒤에는 vSphere HA의 서비스인 오류 도메인 관리자를 나타내는 fdm이 붙습니다.

  • 기존 ESXi 4.x 호스트의 경우 vSphere HA는 로컬 디스크의 /var/log/vmware/fdm에 쓰며 구성된 경우 syslog에도 씁니다.

  • 기존 ESX 4.x 호스트의 경우 vSphere HA는 /var/log/vmware/fdm에 씁니다.

vSphere HA 로그인에 보안 적용

vSphere HA는 vCenter Server에서 생성된 사용자 계정인 vpxuser를 사용하여 vSphere HA 에이전트에 로그온합니다. 이 계정은 vCenter Server에서 호스트 관리에 사용하는 것과 동일한 계정입니다. vCenter Server에서는 이 계정에 대한 암호를 임의로 생성하고 암호를 정기적으로 변경합니다. 이 시간 간격은 vCenter Server VirtualCenter.VimPasswordExpirationInDays 설정으로 설정합니다. 호스트의 루트 폴더에 대해 관리 권한이 있는 사용자가 에이전트에 로그인할 수 있습니다.

통신에 보안 적용

vCenter Server와 vSphere HA 에이전트 간의 모든 통신이 SSL을 통해 수행됩니다. 에이전트 대 에이전트 통신에도 UDP를 통해 수행되는 선택 메시지를 제외하고 SSL이 사용됩니다. 선택 메시지는 SSL을 통해 검증되므로 악성 에이전트는 이 에이전트가 실행 중인 호스트만 마스터 호스트로 선택되지 않도록 막을 수 있습니다. 이 경우 클러스터에 대한 구성 문제가 표시되므로 사용자가 문제를 인식할 수 있습니다.

호스트 SSL 인증서 확인 필요

vSphere HA를 사용하기 위해서는 각 호스트에 확인된 SSL 인증서가 있어야 합니다. 각 호스트는 처음 부팅될 때 자체 서명된 인증서를 생성합니다. 그런 다음 이 인증서를 재생성하거나 기관에서 발행한 인증서와 교체할 수 있습니다. 인증서를 교체한 경우 vSphere HA를 호스트에서 다시 구성해야 합니다. 인증서를 업데이트한 후 호스트가 vCenter Server에서 연결이 끊기고 ESXi 또는 ESX 호스트 에이전트가 다시 시작될 경우에는 호스트가 vCenter Server에 다시 연결될 때 vSphere HA가 자동으로 다시 구성됩니다. 해당 시점에 vCenter Server 호스트 SSL 인증서 확인이 해제되어 있어 연결이 끊기지 않을 경우에는 새 인증서를 확인하고 호스트에서 vSphere HA를 다시 구성하십시오.