當您在 vSphere 環境中執行 TLS Configurator 公用程式時,您可以跨在 vCenter Server 和 ESXi 主機上使用 TLS 的連接埠停用 TLS。您可停用 TLS 1.0 或同時停用 TLS 1.0 和 TLS 1.1。
從 vSphere 7.0 開始,vCenter Server 執行兩個反向 Proxy 服務:
- VMware 反向代理服務,
rhttpproxy - Envoy
Envoy 是開放原始碼 Edge 和服務 Proxy。Envoy 擁有連接埠 443,且所有傳入 vCenter Server 要求均透過 Envoy 路由。在 vSphere 7.0 中,rhttpproxy 充當 Envoy 的組態管理伺服器。如此一來,TLS 組態會套用至 rhttpproxy,而後者隨後將組態傳送至 Envoy。
vCenter Server 和 ESXi 使用的連接埠可啟用或停用 TLS 通訊協定。TLS 組態公用程式 scan 選項會顯示各項服務已啟用的 TLS 版本。請參閱針對已啟用 TLS 的通訊協定掃描 vCenter Server。
如需 VMware 產品 (包括 vSphere 和 vSAN) 中所有支援的連接埠和通訊協定的清單,請參閱 VMware Ports and Protocols Tool™,網址為 https://ports.vmware.com/。可以依 VMware 產品搜尋連接埠、建立自訂連接埠清單,以及列印或儲存連接埠清單。
附註和注意須知
- vSphere 6.7 版本是 vCenter Server for Windows 的最後一個版本。如需在 vCenter Server for Windows 上重新設定 Update Manager 連接埠的 TLS 的相關資訊,請參閱 6.7 版產品的 vSphere 安全性說明文件。
- 您可以使用 TLS 1.2 來加密 vCenter Server 與外部 Microsoft SQL Server 之間的連線。您無法僅使用 TLS 1.2 與外部 Oracle 資料庫連線。請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/kb/2149745。
- 對於 vSphere 6.7 及更早版本,請勿在 Windows Server 2008 上執行的 vCenter Server 或 Platform Services Controller 執行個體上停用 TLS 1.0。Windows 2008 僅支援 TLS 1.0。請參閱《伺服器角色和技術指南》中的 Microsoft TechNet 文章〈TLS/SSL 設定〉。
- 如果變更 TLS 通訊協定,則必須重新啟動 ESXi 主機以套用變更。即使使用主機設定檔在整個叢集組態中套用變更,也必須重新啟動主機。您可以選擇立即重新啟動主機,或將重新啟動延後到一個更加方便的時間。
