瞭解 vSphere Virtual Volumes 儲存區提供者 (也稱為 VASA 提供者) 版本 5 在 vSphere 8.0 Update 1 及更新版本中提供的安全性改進。您還可以瞭解 vSphere 8.0 及更早版本中的安全性模型。

vSphere 8.0 Update 1 及更新版本對 VASA 5 的支援和 VASA 5 安全性

VASA 5 及更新版本的所有儲存區提供者都使用更嚴格的驗證機制,要求在 vCenter Server 環境中對 ESXi 進行驗證。VASA 5 提高了安全性,並提供了一個經過重大修改的管理模型,其中包括以下主要變更:
  • 對於使用 VASA 5 或更新版本向陣列登錄的每個 vCenter Server,VASA 提供者都會建立一個專用 Web 伺服器執行個體或虛擬主機,它可以是虛擬 Web 伺服器執行個體,也可以是完全獨立的執行個體。vCenter Server 中的 VASA 用戶端仰賴於基於以憑證為基礎的驗證和授權來存取陣列上建立的專用虛擬主機。所有 VASA 用戶端憑證 (包括 vCenter Server 憑證和 ESXi 憑證) 都在虛擬主機中登錄。這會在對系統進行驗證時在不同的 vCenter Server 系統之間建立增強隔離。此外,VASA 提供者還可以為不同的 vCenter Server 系統提供單獨的資源存取權和增強隔離。
  • 在 VASA 5 中,VASA 用戶端使用專用憑證進行 VASA 通訊。每個 vCenter Server 都為 VASA 提供者佈建一個憑證,該憑證透過特定於 vCenter Server 的專用虛擬主機進行管理。支援 VASA 5 的所有 ESXi 主機都使用其管理的 vCenter Server 建立的專用虛擬主機。
  • vCenter Server 為每個新的 ESXi 主機 8.0 Update 1 或更新版本佈建 VASA 用戶端憑證,並將憑證的公開金鑰與 VASA 提供者同步。與之前對用戶端憑證的 CA 簽發者進行驗證的安全性模型不同,VASA 提供者現在使用公開金鑰識別和授權個別用戶端。
  • 為符合 VMware 安全性需求,vSphere 不信任 TLS 通訊的自我簽署憑證。唯一的例外狀況是登錄 VASA 提供者的短時間內以及實現回溯相容性。陣列管理員可以對 VASA 提供者使用自訂 CA 憑證來覆寫陣列上的自我簽署憑證,以實現回溯相容性和啟動載入。
  • 為避免失去對 VASA 提供者的存取權,請遵循以下準則。如需相關資訊,請參閱管理 vSphere Virtual Volumes 的儲存區提供者
    • 請勿透過解除登錄並重新登錄 VASA 提供者的方式進行升級。請對 VASA 提供者使用正確的升級機制。當 vCenter Server 通知您有可用的新 VASA 版本時,請確保在合理時間內接受此版本。若要從 vSphere Client 升級,請使用升級儲存區提供者選項。
    • 定期重新整理 VASA 提供者憑證。vCenter Server 會發出警告,說明指派給 VASA 提供者的憑證即將到期,請確保在收到此警告後的合理時間內重新整理憑證。使用 vSphere Client 中的重新整理憑證選項。
    • 更新 VMCA 根憑證或 vCenter Server 用戶端憑證時,SMS 可能會中斷與 VASA 提供者的連線。如果提供者處於離線狀態,請使用重新驗證 vCenter Server 選項。
    • 如果主機中斷驗證,則可以使用重新驗證主機 VASA 用戶端選項修復驗證失敗的情況。

vSphere 8.0 及更早版本的安全性憑證

vSphere 包含 VMware Certificate Authority (VMCA)。依預設,VMCA 會建立 vSphere 環境中使用的所有內部憑證。它會針對新增的 ESXi 主機以及管理或表示 Virtual Volumes 儲存區系統的儲存區 VASA 提供者產生憑證。

與 VASA 提供者的通訊受 SSL 憑證保護。這些憑證可能來自 VASA 提供者或來自 VMCA。
  • 憑證可由 VASA 提供者直接提供以做為長期使用。它們可以是自我產生和自我簽署,或從外部憑證授權機構衍生。
  • 憑證可由 VMCA 產生以供 VASA 提供者使用。
當主機或 VASA 提供者登錄時,VMCA 會自動遵循這些步驟,而不必 vSphere 管理員介入。
  1. 當 VASA 提供者第一次新增到 vCenter Server 儲存區管理服務 (SMS) 時,它會產生自我簽署憑證。
  2. 在驗證憑證之後,SMS 會要求 VASA 提供者提出憑證簽署要求 (CSR)。
  3. 在收到並驗證 CSR 後,SMS 會代表 VASA 提供者將其提供給 VMCA,要求 CA 簽署憑證。

    VMCA 可以設定為做為獨立 CA 或企業 CA 的下層運作。如果您將 VMCA 設定為下層 CA,VMCA 會以完整鏈結簽署 CSR。

  4. 簽署的憑證會隨根憑證一同傳遞給 VASA 提供者。VASA 提供者可以驗證日後在 vCenter ServerESXi 主機上由 SMS 發出的所有安全連線。