Zum Hauptinhalt springen

Sicherheitshinweise

Lesen Sie die folgenden bewährten Verfahren, um sicherzustellen, dass die Umgebung der VX Clusterimplementierung gesichert ist und potenzielle Sicherheitsrisiken vermieden werden.

Bewährte Verfahren für das Netzwerk

  • Die VX Deployer Einheit ist eine virtuelle Maschine, die auf VX Einheitensystemen vorinstalliert ist. Bei der Verkabelung der Systeme sollten Sie ein dediziertes Verwaltungsnetzwerk-Fabric erstellen, das vom VX Deployer für den Zugriff auf die XClarity Controller(XCC)-Module auf den Systemen verwendet wird. Außerdem sollte das ESXi-Verwaltungs-Fabric in einem eigenen VLAN isoliert sein und nur autorisierte Verwaltungsanwendungen dürfen Zugriff auf dieses VLAN haben.

  • Vorzugsweise sollten auch die implementierten ThinkAgile VX Systeme in ihren eigenen Netzwerks-Switches isoliert sein, separat von anderen Systemen im Netzwerk. Dadurch können potenzielle Sicherheitsvorfälle auf die VX Systeme im Netzwerk eingeschränkt werden.

Weitere Informationen zu Netzwerken finden Sie unter:

Netzwerk verkabeln

Bewährte Verfahren für VX Deployer

Die VX Deployer Einheit ist auf den ThinkAgile VX Systemen vorinstalliert. Bei der Konfiguration der Einheit für den Netzwerkzugriff sollten Sie nur die zwei Netzwerkschnittstellen konfigurieren, die für den Betrieb erforderlich sind:
  • Externes Netzwerk – diese Schnittstelle wird für den Zugriff auf ESXi, vCenter und die XClarity Integrator Einheit (die während der Installation auf dem VX Cluster bereitgestellt werden) verwendet. Wenn kein Zugriff auf diese Verwaltungseinheiten über das Campus-(Rechenzentrum-)Netzwerk erforderlich ist, sollten Sie die VLAN-Tag des Campus-Netzwerks in der Portgruppe auf Ihrem vSwitch, der den VX Deployer verbindet, nicht konfigurieren. Auf diese Weise kann der VX Deployer keinen Datenverkehr über das Campus-(Rechenzentrum-)Netzwerk senden. Dementsprechend können Benutzer nicht aus dem Campus-Netzwerk auf den VX Deployer zugreifen. Nur lokale Administratoren, die Zugriff auf das isolierte Verwaltungs-VLAN haben, können auf die Einheit zugreifen.

  • XCC-Netzwerk – dies ist das Netzwerk, das den VX Deployer mit den XCC-Modulen auf den Hosts verbindet. Dieses Netzwerk wird auch von der XClarity Integrator Einheit für ihre Vorgänge verwendet, einschließlich Systemüberwachung, Lebenszyklusverwaltung und vSAN-Topologieansicht. Sie sollten diesen Datenverkehr auch in ein eigenes VLAN isolieren, das vor anderen Zugriffsstellen im Netzwerk geschützt ist.

Anmeldeinformationen

Alle Kennwörter, die während der Implementierung konfiguriert werden, z. B. für vCenter-Accounts, ESXi-Accounts und XCC-Anmeldeinformationen, werden nach der erfolgreichen Implementierung des Clusters aus der Datenbank von VX Deployer entfernt. Wenn eine Implementierung allerdings fehlschlägt, sind einige dieser Artefakte noch in der Datenbank von VX Deployer gespeichert. Obwohl kein direktes Risiko besteht, dass diese Informationen offengelegt werden, sollten Sie die VX Deployer Einheit herunterfahren, wenn Sie nicht aktiv einen Cluster implementieren. Keiner der Services, die im VX Deployer ausgeführt werden, müssen kontinuierlich für Clustervorgänge ausgeführt werden. Daher ist es nicht notwendig, die Einheit immer in Betrieb zu halten.

Anmerkung
Falls eine Clusterimplementierung fehlgeschlagen ist und Sie sich an den Lenovo Support wenden müssen, werden Sie ggf. darum gebeten, weitere Ports vorübergehend freizugeben. Befolgen Sie in diesem Fall alle Anweisungen der Unterstützung.