Sicherheitshinweise
Lesen Sie die folgenden bewährten Verfahren, um sicherzustellen, dass die Umgebung der VX Clusterimplementierung gesichert ist und potenzielle Sicherheitsrisiken vermieden werden.
Bewährte Verfahren für das Netzwerk
Die VX Deployer Einheit ist eine virtuelle Maschine, die auf VX Einheitensystemen vorinstalliert ist. Bei der Verkabelung der Systeme sollten Sie ein dediziertes Verwaltungsnetzwerk-Fabric erstellen, das vom VX Deployer für den Zugriff auf die XClarity Controller(XCC)-Module auf den Systemen verwendet wird. Außerdem sollte das ESXi-Verwaltungs-Fabric in einem eigenen VLAN isoliert sein und nur autorisierte Verwaltungsanwendungen dürfen Zugriff auf dieses VLAN haben.
Vorzugsweise sollten auch die implementierten ThinkAgile VX Systeme in ihren eigenen Netzwerks-Switches isoliert sein, separat von anderen Systemen im Netzwerk. Dadurch können potenzielle Sicherheitsvorfälle auf die VX Systeme im Netzwerk eingeschränkt werden.
Weitere Informationen zu Netzwerken finden Sie unter:
Bewährte Verfahren für VX Deployer
Externes Netzwerk – diese Schnittstelle wird für den Zugriff auf ESXi, vCenter und die XClarity Integrator Einheit (die während der Installation auf dem VX Cluster bereitgestellt werden) verwendet. Wenn kein Zugriff auf diese Verwaltungseinheiten über das Campus-(Rechenzentrum-)Netzwerk erforderlich ist, sollten Sie die VLAN-Tag des Campus-Netzwerks in der Portgruppe auf Ihrem vSwitch, der den VX Deployer verbindet, nicht konfigurieren. Auf diese Weise kann der VX Deployer keinen Datenverkehr über das Campus-(Rechenzentrum-)Netzwerk senden. Dementsprechend können Benutzer nicht aus dem Campus-Netzwerk auf den VX Deployer zugreifen. Nur lokale Administratoren, die Zugriff auf das isolierte Verwaltungs-VLAN haben, können auf die Einheit zugreifen.
XCC-Netzwerk – dies ist das Netzwerk, das den VX Deployer mit den XCC-Modulen auf den Hosts verbindet. Dieses Netzwerk wird auch von der XClarity Integrator Einheit für ihre Vorgänge verwendet, einschließlich Systemüberwachung, Lebenszyklusverwaltung und vSAN-Topologieansicht. Sie sollten diesen Datenverkehr auch in ein eigenes VLAN isolieren, das vor anderen Zugriffsstellen im Netzwerk geschützt ist.
Anmeldeinformationen
Alle Kennwörter, die während der Implementierung konfiguriert werden, z. B. für vCenter-Accounts, ESXi-Accounts und XCC-Anmeldeinformationen, werden nach der erfolgreichen Implementierung des Clusters aus der Datenbank von VX Deployer entfernt. Wenn eine Implementierung allerdings fehlschlägt, sind einige dieser Artefakte noch in der Datenbank von VX Deployer gespeichert. Obwohl kein direktes Risiko besteht, dass diese Informationen offengelegt werden, sollten Sie die VX Deployer Einheit herunterfahren, wenn Sie nicht aktiv einen Cluster implementieren. Keiner der Services, die im VX Deployer ausgeführt werden, müssen kontinuierlich für Clustervorgänge ausgeführt werden. Daher ist es nicht notwendig, die Einheit immer in Betrieb zu halten.