Passa al contenuto principale

Considerazioni sulla sicurezza

Esaminare le seguenti procedure ottimali per assicurarsi che l'ambiente di distribuzione del cluster VX sia protetto e di evitare qualsiasi potenziale vulnerabilità di sicurezza.

Procedure ottimali per la rete

  • L'appliance VX Deployer è una macchina virtuale precaricata sui sistemi dell'appliance VX. Quando si cablano i sistemi, è necessario creare un fabric della rete di gestione dedicato che verrà utilizzato da VX Deployer per accedere ai moduli di XCC (xClarity Controller) sui sistemi. Inoltre, l'infrastruttura di gestione ESXi deve essere isolata nella propria VLAN e solo le applicazioni di gestione autorizzate devono avere accesso a questa VLAN.

  • In caso di problemi, i sistemi ThinkAgile VX distribuiti devono essere isolati nei propri switch di rete, separati da qualsiasi altro sistema sulla rete. Ciò consente di isolare eventuali incidenti di sicurezza solo per i sistemi VX nella rete.

Per ulteriori informazioni sulla rete, consultare la seguente sezione:

Cablaggio della rete

Procedure ottimali di VX Deployer

L'appliance VX Deployer è precaricata sui sistemi ThinkAgile VX. Quando si configura l'appliance per l'accesso alla rete, configurare solo le due interfacce di rete richieste per l'operazione:
  • Rete esterna: questa interfaccia viene utilizzata per accedere a ESXi, vCenter e all'appliance xClarity Integrator (distribuite nel cluster VX durante l'installazione). Se queste appliance di gestione non devono essere accessibili dalla rete del data center, non configurare l'etichetta VLAN di rete del data center sul gruppo di porte sullo vSwitch che collega VX Deployer. In questo modo, VX Deployer non può inviare traffico nella rete del data center. Analogamente, gli utenti non saranno in grado di accedere a VX Deployer dalla rete del data center. Solo gli amministratori locali che hanno accesso alla VLAN di gestione isolata potranno accedere all'appliance.

  • Rete XCC: la rete che collega VX Deployer ai moduli XCC sugli host. Questa rete è utilizzata anche dall'appliance xClarity Integrator per le relative operazioni, come monitoraggio dei sistemi, gestione del ciclo di vita e vista della topologia vSAN. Si consiglia inoltre di isolare questo traffico nella propria VLAN, protetta da altri punti di accesso della rete.

Credenziali

Una volta completata la distribuzione del cluster, tutte le password configurate durante la distribuzione, come gli account vCenter, gli account ESXi e le credenziali XCC, verranno rimosse dal database di VX Deployer. Tuttavia, se una distribuzione ha esito negativo, è possibile che alcuni di questi elementi siano ancora memorizzati nel database di VX Deployer. Sebbene non vi sia alcuna minaccia diretta di vulnerabilità delle informazioni, si consiglia di arrestare l'appliance VX Deployer quando non si distribuisce attivamente un cluster. Per l'operatività dei cluster non è richiesta l'esecuzione di alcun servizio di VX Deployer. Pertanto, non è necessario mantenere sempre l'appliance in esecuzione.

Nota
Se una distribuzione del cluster non è riuscita ed è necessario contattare il supporto Lenovo per assistenza, potrebbero essere necessario autorizzare temporaneamente l'apertura di porte aggiuntive. Seguire tutte le istruzioni fornite dal tecnico del supporto.