多個安全性功能增強了 vSphere HA。

選取已開啟的防火牆連接埠

vSphere HA 對代理程式到代理程式的通訊使用 TCP 和 UDP 連接埠 8182。防火牆連接埠會自動開啟和關閉,以確保這些連接埠僅在需要時開啟。

使用檔案系統權限保護的組態檔

vSphere HA 在本機儲存區或 ramdisk (如果沒有本機資料存放區) 上儲存組態資訊。使用檔案系統權限保護這些檔案,且僅根使用者可以存取它們。不具有本機儲存區的主機只有在由 Auto Deploy 管理時才受支援。

詳細記錄

vSphere HA 放置記錄檔的位置取決於主機版本。

  • 對於 ESXi 5.x 主機,vSphere HA 依預設僅寫入 syslog,因此,記錄會置於 syslog 所設定的放置位置。vSphere HA 記錄檔名稱前面會加上 fdm (fdm 代表容錯網域管理員,它是 vSphere HA 中的一種服務)。

  • 對於舊版 ESXi 4.x 主機,vSphere HA 寫入本機磁碟上的 /var/log/vmware/fdm 以及 syslog (如果已設定)。

  • 對於舊版 ESX 4.x 主機,vSphere HA 寫入 /var/log/vmware/fdm

安全的 vSphere HA 登入

vSphere HA 使用 vCenter Server 建立的使用者帳戶 vpxuser 登入 vSphere HA 代理程式。此帳戶與 vCenter Server 用於管理主機的帳戶相同。vCenter Server 為此帳戶建立隨機密碼,並定期變更密碼。期間由 vCenter Server VirtualCenter.VimPasswordExpirationInDays 設定進行設定。對主機的根資料夾具有管理權限的使用者可登入代理程式。

安全通訊

vCenter Server 和 vSphere HA 代理程式之間的所有通訊都是透過 SSL 完成的。除選取訊息之外 (透過 UDP 完成),代理程式到代理程式的通訊也使用 SSL。選取訊息透過 SSL 進行驗證,因此,惡意代理程式只能阻止在其上執行代理程式的主機被選為主要主機。在這種情況下,將發出叢集的組態問題,以便使用者瞭解問題。

需要驗證主機 SSL 憑證

vSphere HA 要求每個主機都具有一個經過驗證的 SSL 憑證。每個主機在首次開機時都會產生一個自我簽署憑證。然後,可以重新生成或使用授權單位核發的憑證取代此憑證。如果憑證被取代,需要重新設定主機上的 vSphere HA。如果主機在其憑證更新後中斷與 vCenter Server 的連線,且重新啟動 ESXi 或 ESX 主機代理程式,則主機重新連線到 vCenter Server 時將自動重新設定 vSphere HA。如果此時因停用 vCenter Server 主機 SSL 憑證驗證而沒有中斷連線,請確認新憑證並重新設定主機上的 vSphere HA。