웹 프록시 설정을 수정할 때 고려해야 할 몇 가지 암호화 및 사용자 보안 지침이 있습니다.

참고:

호스트 디렉토리 또는 인증 메커니즘을 변경한 후에는 호스트 프로세스를 다시 시작합니다.

  • 암호 또는 암호 문구를 사용하여 인증서를 설정하지 마십시오. ESXi는 암호화된 키라고도 하는 암호 또는 암호 구문을 지원하지 않습니다. 암호 또는 암호 구문을 설정하면 ESXi 프로세스가 올바로 시작되지 않습니다.

  • 기본 위치가 아닌 다른 곳에서 인증서를 검색하도록 웹 프록시를 구성할 수 있습니다. 이 기능은 여러 호스트에서 인증서를 사용할 수 있도록 인증서를 단일 시스템에 중앙 집중화하는 회사에 유용한 것으로 판명되었습니다.

    주의:

    인증서가 NFS 공유에 저장되는 등 호스트에 로컬로 저장되지 않은 경우 ESXi에서 네트워크 연결이 끊어지면 호스트가 이러한 인증서에 액세스할 수 없습니다. 따라서 호스트에 연결된 클라이언트가 호스트와의 보안 SSL 핸드셰이크에 성공적으로 참여할 수 없습니다.

  • 사용자 이름, 암호 및 패킷에 대한 암호화를 지원하려면 vSphere Web Services SDK 연결에 대해 SSL을 기본적으로 사용하도록 설정해야 합니다. 이러한 연결이 전송을 암호화하지 않도록 구성하려면 HTTPS의 연결을 HTTP로 전환하여 vSphere Web Services SDK 연결에 대해 SSL을 사용하지 않도록 설정합니다.

    이들 클라이언트에 대해 방화벽이 제대로 작동하고 호스트와의 전송이 완전히 분리되는 완전히 신뢰할 수 있는 환경을 만든 경우에만 SSL을 사용하지 않도록 설정해야 합니다. SSL을 사용하지 않도록 설정하면 암호화를 수행하는 데 필요한 오버헤드가 방지되므로 성능이 향상됩니다.

  • ESXi 서비스가 잘못 사용되지 않도록 대부분의 내부 ESXi 서비스는 HTTPS 전송에 사용되는 포트 443을 통해서만 액세스할 수 있습니다. 포트 443은 ESXi에 대해 역방향 프록시로 작동합니다. ESXi의 서비스 목록은 HTTP 시작 페이지를 통해 볼 수 있지만 적절한 권한 부여 없이는 스토리지 어댑터 서비스에 직접 액세스할 수 없습니다.

    개별 서비스가 HTTP 연결을 통해 직접 액세스 가능하도록 이 구성을 변경할 수 있습니다. 완전히 신뢰할 수 있는 환경에서 ESXi를 사용하는 것이 아니라면 이러한 변경을 수행하지 마십시오.

  • vCenter Server를 업그레이드할 때 인증서는 그대로 유지됩니다.