Saltar al contenido principal

Consideraciones de seguridad

Revise las prácticas recomendadas siguientes para asegurarse de que el entorno de despliegue del clúster VX protegido y de que se eviten posibles exposiciones de seguridad.

Prácticas recomendadas de la red

  • El dispositivo VX Deployer es una máquina virtual que está precargado en los sistemas de dispositivos XV. Al realizar un cableado de los sistemas, debe crear un entramado de red de gestión dedicado que utilizará VX Deployer para acceder a los módulos de xClarity Controller (XCC) de los sistemas. Además, el entramado de gestión de ESXi debe estar aislado en su propia VLAN y solo las aplicaciones de gestión autorizadas deben tener acceso a esta VLAN.

  • En forma de clientela, los sistemas ThinkAgile VX se están desplegando también deben estar aislados en sus propios conmutadores de red, separados de cualquier otro sistema de la red. Esto le ayudará a aislar los accesos de seguridad solo a los sistemas VX en la red.

Para obtener más información sobre las redes, consulte el siguiente tema:

Cableado de la red

Prácticas recomendadas para el despliegue de VX Deployer

El dispositivo VX Deployer está precargado en los sistemas ThinkAgile VX. Al configurar el dispositivo para el acceso de red, configure solo las dos interfaces de red que se necesitan para la operación:
  • Red externa: esta interfaz se utiliza para acceder a ESXi, vCenter y el dispositivo xClarity Integrator (que se despliegan en el clúster VX durante la instalación). Si no es necesario acceder a estos dispositivos de gestión desde la red del campus (centro de datos), no configure la etiqueta VLAN de red del campus en el grupo de puertos en su vSwitch que conecta con VX Deployer. De esta forma, VX Deployer no puede enviar tráfico alguno a la red del campus (centro de datos). De manera correspondiente, los usuarios no podrán acceder a VX Deployer desde la red del campus. Solo los administradores locales que tengan acceso a la VLAN de gestión aislados podrán acceder al dispositivo.

  • Red XCC: esta es la red que conecta VX Deployer con los módulos XCC de los hosts. Esta red también la utiliza el dispositivo xClarity Integrator para sus operaciones, lo que incluye la supervisión de sistemas, la gestión del ciclo de vida y la vista de topología de vSAN. También debe aislar este tráfico en su propia VLAN, protegida de otros puntos de acceso de la red.

Credenciales

Todas las contraseñas configuradas durante el despliegue, como las cuentas de vCenter, las cuentas de ESXi y las credenciales de XCC, se quitan de la base de datos de VX Deployer una vez que se despliegue correctamente el clúster. No obstante, si un despliegue falla, es posible que algunos de estos artefactos todavía se almacenen en la base de datos de VX Deployer. Aunque no existe ninguna comunicación directa con la información, debe apagar el dispositivo VX Deployer cuando no esté activamente realizando un despliegue de un clúster. No se requiere que los servicios que se encuentran en ejecución en VX Deployer se ejecuten continuamente para ninguna operación de clúster. Por lo tanto, no es necesario mantener el dispositivo funcionando todo el tiempo.

Nota
En caso de que el despliegue de un clúster falle y necesite ponerse en contacto con soporte de Lenovo para obtener asistencia, es posible que requieran la habilitación temporal de puertos adicionales. Siga todas las instrucciones del centro de soporte en ese momento.