Aller au contenu principal

Remarques liées à la sécurité

Passez minutieusement en revue les meilleures pratiques ci-après pour vous assurer que l’environnement de déploiement du cluster VX est sécurisé et que tout potentiel problème de sécurité est évité.

Meilleures pratiques pour le réseau

  • Le dispositif de déploiement VX est une machine virtuelle préchargée sur les systèmes des dispositifs VX. Lors du câblage des systèmes, vous devez créer une structure de réseau de gestion dédiée qui sera utilisée par le dispositif de déploiement VX, et ce, afin d’accéder aux modules XClarity Controller (XCC) sur les systèmes. Notez que la structure de gestion ESXi doit être isolée dans son propre réseau VLAN ; seules les applications de gestion autorisées doivent avoir accès à ce VLAN.

  • Par ailleurs, les systèmes ThinkAgile VX déployés doivent aussi être isolés dans leurs propres commutateurs réseau, séparés de tous les autres systèmes du réseau. Ceci vous permet d’isoler tout incident de sécurité aux seuls systèmes VX du réseau.

Reportez-vous à la rubrique ci-après pour obtenir plus d’informations sur la mise en réseau :

Câblage du réseau

Meilleures pratiques pour le dispositif de déploiement VX

Le dispositif de déploiement VX est préchargé sur les systèmes ThinkAgile VX. Lors de la configuration du dispositif pour l’accès réseau, configurez uniquement les deux interfaces réseau nécessaires au fonctionnement :

  • Réseau externe - Cette interface est utilisée pour accéder à ESXi, vCenter et au dispositif XClarity Integrator (déployés dans le cluster VX lors de l’installation). S’il n’est pas nécessaire que ces dispositifs de gestion soient accessibles depuis le réseau de campus (centre de données), alors ne configurez pas la balise VLAN du réseau de campus sur le groupe de ports de votre vSwitch qui raccorde le dispositif de déploiement VX. Ainsi, le dispositif de déploiement VX n’est pas apte à envoyer du trafic via le réseau de campus (centre de données). De la même façon, les utilisateurs ne pourront pas accéder au dispositif de déploiement VX à partir du réseau de campus. Seuls les administrateurs locaux ayant accès au VLAN de gestion isolé pourront accéder au dispositif.

  • Réseau XCC - Ce réseau permet la connexion du dispositif de déploiement VX aux modules XCC sur les hôtes. Il est également employé par le dispositif XClarity Integrator pour ses opérations, dont le suivi des systèmes, la gestion du cycle de vie et l’affichage de la topologie vSAN. Vous devez également isoler ce trafic dans son propre VLAN, protégé des autres points d’accès du réseau.

Données d’identification

Tout mot de passe configuré lors du déploiement, tel que les comptes vCenter, ESXi, ou les données d’identification XCC, sera supprimé de la base de données du dispositif de déploiement VX une fois le déploiement du cluster réussi. Cependant, si un déploiement échoue, il est possible que certains artefacts soient toujours stockés dans la base de données du dispositif de déploiement VX. Même s’il n’existe aucune menace directe d’exposition de ces informations, vous devez arrêter le dispositif de déploiement VX lorsque vous n’êtes pas en train de déployer un cluster. Aucun service du dispositif de déploiement VX n’est requis en continu pour les opérations du cluster. Il n’est donc pas nécessaire d’assurer son exécution en continu.

Remarque
Dans l’éventualité où le déploiement d’un cluster échoue et si vous devez contacter le support Lenovo pour obtenir de l’aide, il se peut que d’autres ports doivent bénéficier d’une autorisation temporaire. Vous devez alors suivre les consignes données par les ingénieurs de l’assistance technique.