限制 vCenter Server 的網路連線

為提高安全性，請避免將 vCenter Server 系統置於管理網路之外的任何網路上，並確保 vSphere 管理流量位於受限制的網路。透過限制網路連線，可以限制特定類型的攻擊。

vCenter Server 僅需要存取管理網路。避免將 vCenter Server 系統置於其他網路 (如生產網路或儲存區網路) 或有權存取網際網路的任何網路。vCenter Server 不需要存取 vMotion 在其中運作的網路。

vCenter Server 需要與以下系統建立網路連線。

所有 ESXi 主機。
vCenter Server 資料庫。
其他 vCenter Server 系統 (如果 vCenter Server 系統屬於用於複寫標籤、權限等的一般 vCenter Single Sign-On 網域)。
有權執行管理用戶端的系統。例如，vSphere Client，即您在其中使用 PowerCLI 的 Windows 系統，或任何其他以 SDK 為基礎的用戶端。
基礎結構服務，例如 DNS、Active Directory 以及 PTP 或 NTP。
執行對 vCenter Server 系統功能至關重要的元件的其他系統。

在 vCenter Server 上使用防火牆。包括以 IP 為基礎的存取限制，這樣只有必要的元件才能與 vCenter Server 系統通訊。

評估 Linux 用戶端搭配 CLI 和 SDK 的使用情況

依預設，用戶端元件與 vCenter Server系統或ESXi 主機之間的通訊由基於 SSL 的加密進行保護。這些元件的 Linux 版本不執行憑證驗證。請考慮限制這些用戶端的使用。

為提升安全性，您可以使用由企業或第三方 CA 簽署的憑證取代 vCenter Server系統和 ESXi 主機上 VMCA 簽署的憑證。但是，與 Linux 用戶端的某些通訊可能仍然容易受到中間機器的攻擊。以下元件在 Linux 作業系統上執行時容易受到攻擊。

如果強行執行適當的控制，則可放寬對使用 Linux 用戶端的限制。

vSphere Client 延伸在與登入使用者相同的權限層級下執行。惡意延伸可以偽裝成有用的外掛程式並執行有害的作業，例如竊取認證或變更系統組態。若要增強安全性，請使用僅包括來自受信任來源的授權延伸的安裝。

vCenter Server 安裝包括 vSphere Client 的可延伸性架構。您可以使用此架構透過功能表選取項目或工具列圖示來延伸用戶端。延伸可提供對 vCenter Server 附加元件或外部以 Web 為基礎之功能的存取權。

使用可延伸性架構會導致引入誤用功能的風險。例如，如果管理員在 vSphere Client 的一個執行個體中安裝外掛程式，則該外掛程式可以使用該管理員的權限層級執行任意命令。

若要保護 vSphere Client 免受潛在的危害，請定期檢查所有已安裝的外掛程式，並確保所有外掛程式均來自受信任的來源。

您必須具有存取 vCenter Single Sign-On 服務的權限。這些權限與 vCenter Server權限不同。