透過 vCenter Single Sign-On 進行驗證並透過 vCenter Server 權限模型進行授權,可保護 vCenter Server 系統和關聯的服務。您可以修改預設行為,並採取步驟限制對您環境的存取。

請注意,在您保護 vSphere 環境時,也必須保護與 vCenter Server 執行個體相關聯的所有服務。在一些環境中,您可以保護數個 vCenter Server 執行個體。

vCenter Server 使用加密通訊

依預設 (「即時可用」),vCenter Server 系統與其他 vSphere 元件之間的所有資料通訊均已加密。在某些情況下,根據環境的設定方式,一些流量可能未加密。例如,可以為電子郵件警示設定未加密的 SMTP,為監控設定未加密的 SNMP。DNS 流量也未加密。vCenter Server 會接聽連接埠 80 (TCP) 和連接埠 443 (TCP)。連接埠 443 (TCP) 是業界標準的 HTTPS (安全 HTTP) 連接埠,並使用 TLS 加密進行保護。請參閱vSphere TLS 組態。連接埠 80 (TCP) 是業界標準的 HTTP 連接埠,不使用加密。連接埠 80 的用途是將請求從連接埠 80 重新導向到連接埠 443,以確保這些請求的安全。

強化 vCenter Server 系統

保護 vCenter Server 環境的第一步是強化 vCenter Server 或其相關聯服務執行所在的每部機器。類似的考量適用於實體機器或虛擬機器。始終安裝適用於您作業系統的最新安全性修補程式,並遵循業界標準最佳做法來保護主機電腦。

瞭解 vSphere 憑證模型

依預設,VMware Certificate Authority (VMCA) 會使用 VMCA 所簽署的憑證在環境中佈建每台 ESXi 主機和每個機器。如果您的公司原則需要,可以變更預設行為。如需詳細資料,請參閱 vSphere 驗證說明文件。

如需其他保護,請明確移除到期或撤銷的憑證及已失敗的安裝。

設定 vCenter Single Sign-On

vCenter Server 及其相關聯的服務受到 vCenter Single Sign-On 驗證架構的保護。當您首次安裝軟體時,請為 vCenter Single Sign-On 網域的管理員指定密碼,預設為 [email protected]。僅該網域做為身分識別來源初始可用。您可以新增外部身分識別提供者,例如 Microsoft Active Directory Federation Services (AD FS),以進行同盟驗證。您可以新增其他身分識別來源 (Active Directory 或 LDAP),並設定預設身分識別來源。能夠向其中一個身分識別來源進行驗證的使用者可以檢視物件並執行工作 (如果有權執行這些作業)。如需詳細資料,請參閱 vSphere 驗證說明文件。

備註: 隨著 vSphere 轉向以 Token 為基礎的驗證,系統鼓勵您使用同盟驗證。 vCenter Server 繼續擁有本機帳戶,用於管理存取和錯誤復原。

為使用者或群組指派 vCenter Server 角色

為了更好地記錄,請將您授與物件的每個權限與具名使用者或群組,以及預先定義的角色或自訂角色相關聯。vSphere 權限模型提供很大的彈性,可透過多種方式為使用者或群組授權。請參閱瞭解 vSphere 中的授權一般工作所需的 vCenter Server 權限

限制管理員權限及管理員角色的使用。如果可能,請勿使用匿名管理員使用者。

設定精確時間通訊協定或網路時間通訊協定

為環境中的每個節點設定精確時間通訊協定 (PTP) 或網路時間通訊協定 (NTP)。vSphere 憑證基礎結構需要準確的時間戳記,如果節點不同步,則無法正確運作。

請參閱同步 vSphere 網路上的時鐘