vSphere HA는 몇 가지 보안 기능으로 향상됩니다.
- 열려 있는 방화벽 포트 선택
- vSphere HA에서는 에이전트 대 에이전트 통신을 위해 TCP 및 UDP 포트 8182를 사용합니다. 방화벽 포트는 필요할 때만 열리도록 자동으로 열리고 닫힙니다.
- 파일 시스템 사용 권한을 사용하여 보호되는 구성 파일
- vSphere HA에서는 로컬 데이터스토어가 없는 경우 구성 정보를 로컬 스토리지 또는 ramdisk에 저장합니다. 이러한 파일은 파일 시스템 사용 권한을 사용하여 보호되며 루트 사용자만 액세스할 수 있습니다. Auto Deploy에서 호스트를 관리하는 경우 로컬 스토리지가 없는 호스트만 지원됩니다.
- 상세 로깅
-
vSphere HA에서 로그 파일을 저장하는 위치는 호스트의 버전에 따라 다릅니다.
- ESXi 호스트의 경우 vSphere HA는 기본적으로 syslog에만 쓰기 때문에 로그는 syslog에서 저장되도록 구성된 위치에 저장됩니다. vSphere HA의 로그 파일 이름 뒤에는 vSphere HA의 서비스인 오류 도메인 관리자를 나타내는 fdm이 붙습니다.
- 기존 ESXi 호스트의 경우 vSphere HA는 로컬 디스크의 /var/log/vmware/fdm에 쓰며 구성된 경우 syslog에도 씁니다.
- vSphere HA 로그인에 보안 적용
- vSphere HA는 vCenter Server에서 생성된 사용자 계정인 vpxuser를 사용하여 vSphere HA 에이전트에 로그온합니다. 이 계정은 vCenter Server에서 호스트를 관리하는 데 사용하는 계정과 동일합니다. vCenter Server는 이 계정에 대한 임의 암호를 생성하고 주기적으로 암호를 변경합니다. 이 시간 간격은 vCenter Server VirtualCenter.VimPasswordExpirationInDays 설정으로 설정합니다. 호스트의 루트 폴더에 대해 관리 권한이 있는 사용자가 에이전트에 로그인할 수 있습니다.
- 통신에 보안 적용
- vCenter Server와 vSphere HA 에이전트 간의 모든 통신이 SSL을 통해 수행됩니다. 에이전트 대 에이전트 통신에도 UDP를 통해 수행되는 선택 메시지를 제외하고 SSL이 사용됩니다. 선택 메시지는 SSL을 통해 검증되므로 악성 에이전트는 이 에이전트가 실행 중인 호스트만 기본 호스트로 선택되지 않도록 방지할 수 있습니다. 이 경우 클러스터에 대한 구성 문제가 표시되므로 사용자가 문제를 인식할 수 있습니다.
- 호스트 SSL 인증서 확인 필요
- vSphere HA를 사용하기 위해서는 각 호스트에 확인된 SSL 인증서가 있어야 합니다. 각 호스트는 처음 부팅될 때 자체 서명된 인증서를 생성합니다. 그런 다음 이 인증서를 재생성하거나 기관에서 발행한 인증서와 교체할 수 있습니다. 인증서를 교체한 경우 vSphere HA를 호스트에서 재구성해야 합니다. 인증서를 업데이트한 후 호스트가 vCenter Server에서 연결이 끊기고 ESXi 또는 ESX 호스트 에이전트가 다시 시작될 경우에는 호스트가 vCenter Server에 다시 연결될 때 vSphere HA가 자동으로 재구성됩니다. 해당 시점에 vCenter Server 호스트 SSL 인증서 확인이 비활성화되어 있어 연결이 끊기지 않을 경우에는 새 인증서를 확인하고 호스트에서 vSphere HA를 재구성하십시오.
