多個安全性功能增強了 vSphere HA。

選取已開啟的防火牆連接埠
vSphere HA 對代理程式到代理程式的通訊使用 TCP 和 UDP 連接埠 8182。防火牆連接埠會自動開啟和關閉,以確保這些連接埠僅在需要時開啟。
使用檔案系統權限保護的組態檔
vSphere HA 在本機儲存區或 ramdisk (如果沒有本機資料存放區) 上儲存組態資訊。使用檔案系統權限保護這些檔案,且僅根使用者可以存取它們。不具有本機儲存區的主機只有在由 Auto Deploy 管理時才受支援。
詳細記錄
vSphere HA 放置記錄檔的位置取決於主機版本。
  • 對於 ESXi 主機,vSphere HA 依預設僅寫入 syslog,因此,記錄會置於 syslog 所設定的放置位置。vSphere HA 記錄檔名稱前面會加上 fdm (fdm 代表容錯網域管理員,它是 vSphere HA 中的一種服務)。
  • 對於舊版 ESXi 主機,vSphere HA 寫入本機磁碟上的 /var/log/vmware/fdm 以及 syslog (如果已設定)。
安全的 vSphere HA 登入
vSphere HA 使用 vCenter Server 建立的使用者帳戶 vpxuser 登入 vSphere HA 代理程式。此帳戶與 vCenter Server 用於管理主機的帳戶相同。vCenter Server 為此帳戶建立隨機密碼,並定期變更密碼。期間由 vCenter Server VirtualCenter.VimPasswordExpirationInDays 設定進行設定。對主機的根資料夾具有管理權限的使用者可登入代理程式。
安全通訊
vCenter Server 和 vSphere HA 代理程式之間的所有通訊都是透過 SSL 完成的。除選取訊息之外 (透過 UDP 完成),代理程式到代理程式的通訊也使用 SSL。選取訊息透過 SSL 進行驗證,因此,惡意代理程式只能阻止在其上執行代理程式的主機被選為主要主機。在這種情況下,將發出叢集的組態問題,以便使用者瞭解問題。
需要驗證主機 SSL 憑證
vSphere HA 要求每個主機都具有一個經過驗證的 SSL 憑證。每個主機在首次開機時都會產生一個自我簽署憑證。然後,可以重新生成或使用授權單位核發的憑證取代此憑證。如果憑證被取代,需要重新設定主機上的 vSphere HA。如果主機在其憑證更新後中斷與 vCenter Server 的連線,且重新啟動 ESXi 或 ESX 主機代理程式,則主機重新連線到 vCenter Server 時將自動重新設定 vSphere HA。如果由於 vCenter Server 主機 SSL 憑證驗證目前已停用而未中斷連線,請驗證新憑證並在主機上重新設定 vSphere HA。