VMware Cloud Director 的安全作業需要安全的網路環境。設定並測試此網路環境,然後再開始安裝 VMware Cloud Director。
將所有 VMware Cloud Director 伺服器連線至受保護和監控的網路。
如需 VMware Cloud Director 所使用的網路連接埠和通訊協定的相關資訊,請參閱 VMware Ports and Protocols。
VMware Cloud Director 網路連線有數個額外的需求:
- 不要將 VMware Cloud Director 直接連線至公用網際網路。一律使用防火牆來保護 VMware Cloud Director 網路連線。連接埠 443 (HTTPS) 必須只對傳入連線開啟。必要時,連接埠 22 (SSH) 及 80 (HTTP) 也可以對傳入連線開啟。此外,cell-management-tool 還需要存取儲存格的回送位址。防火牆必須拒絕來自公用網路的所有其他傳入流量,包括 JMX 要求 (連接埠 8999) 在內。
如需必須允許來自 VMware Cloud Director 主機的傳入封包的連接埠的相關資訊,請參閱 VMware Ports and Protocols。
- 不要將用於傳出連線的連接埠連線至公用網路。
如需必須允許來自 VMware Cloud Director 主機的傳出封包的連接埠的相關資訊,請參閱 VMware Ports and Protocols。
- 從 10.1 版開始,服務提供者和承租人可以使用 VMware Cloud Director API 來測試與遠端伺服器的連線,並在 SSL 信號交換過程中驗證伺服器身分識別。若要保護 VMware Cloud Director 網路連線,請為使用 VMware Cloud Director API 進行連線測試的承租人設定其無法連線的內部主機的封鎖清單。請在 VMware Cloud Director 安裝或升級之後,以及向承租人授與對 VMware Cloud Director 的存取權之前設定封鎖清單。請參閱《VMware Cloud Director 服務提供者管理指南》中的設定測試連線封鎖清單。
- 透過專用私人網路路由 VMware Cloud Director 伺服器與以下伺服器之間的流量。
- VMware Cloud Director 資料庫伺服器
- RabbitMQ
- Cassandra
- 如果可能,透過專用私人網路路由 VMware Cloud Director 伺服器、vSphere 與 NSX 之間的流量。
- 虛擬交換器與支援提供者網路的分散式虛擬交換器必須彼此隔離。它們無法共用相同的第 2 層實體網路區段。
- 將 NFSv4 用於傳輸服務儲存區。最常見的 NFS 版本 NFSv3 不提供傳輸加密,在某些組態中,這可能會造成動態探查或竄改傳輸中資料的風險。SANS 白皮書《受信任和不受信任環境中的 NFS 安全性》說明了 NFSv3 的固有威脅。可從 VMware 知識庫文章 2086127 中取得有關設定和保護 VMware Cloud Director 傳輸服務之安全的其他資訊。
- 若要避免主機標頭插入漏洞,請啟用主機標頭驗證。
- 以 root 身分直接登入或使用 SSH 用戶端登入 VMware Cloud Director 主控台。
- 使用儲存格管理工具啟用主機標頭驗證。
/opt/vmware/vcloud-director/bin/cell-management-tool manage-config -n vcloud.http.enableHostHeaderCheck -v true
