Pular para o conteúdo principal

Considerações sobre segurança

Analise as práticas recomendadas a seguir para assegurar que o ambiente de implantação do cluster VMware das séries VX e FX esteja protegido e para evitar possíveis exposições de segurança.

Práticas recomendadas de rede

  • O dispositivo VX Deployer é uma máquina virtual com os sistemas de dispositivo VX pré-carregado. Ao realizar o cabeamento dos sistemas, você deve criar uma malha de rede de gerenciamento dedicada que será usada pelo VX Deployer para acessar os módulos do XClarity Controller (XCC) nos sistemas. Além disso, a malha de gerenciamento do ESXi deve ser isolada em sua própria VLAN, e apenas aplicativos de gerenciamento autorizados devem ter acesso a essa VLAN.

  • De preferência, as séries ThinkAgile VX e ThinkAgile FX com sistemas VMware em implantação também devem ser isoladas em seus próprios comutadores de rede, separados de todos os outros sistemas na rede. Isso ajudará a isolar todos os incidentes de segurança somente nos sistemas ThinkAgile VX e FX com VMware na rede.

Consulte o tópico a seguir para obter mais informações sobre redes:

Fazendo o cabeamento da rede

Práticas recomendadas do VX Deployer

O dispositivo VX Deployer vem pré-carregado nas séries ThinkAgile VX e ThinkAgile FX com sistemas VMware. Ao configurar o dispositivo para acesso à rede, configure apenas as duas interfaces de rede necessárias para a operação:

  • Rede externa: essa interface é usada para acessar o ESXi, o vCenter e o dispositivo XClarity Integrator (que são implantados nas séries VX e FX com cluster VMware durante a instalação). Se esses dispositivos de gerenciamento não precisarem estar acessíveis a partir da rede do campus (data center), não configure a etiqueta VLAN da rede do campus no grupo de portas em seu vSwitch que conecta o VX Deployer. Dessa forma, o VX Deployer não pode enviar nenhum tráfego para a rede do campus (data center). De forma correspondente, os usuários não poderão acessar o VX Deployer na rede do campus. Apenas administradores locais que tenham acesso à VLAN de gerenciamento isolado poderão acessar o dispositivo.

  • Rede XCC – é a rede que conecta o VX Deployer aos módulos do XCC nos hosts. Essa rede também é usada pelo dispositivo XClarity Integrator para suas operações, incluindo monitoramento de sistemas, gerenciamento de ciclo de vida e exibição de topologia vSAN. Você também deve isolar esse tráfego em sua própria VLAN, protegida de outros pontos de acesso na rede.

Credenciais

Todas as senhas configuradas durante a implantação, como contas do vCenter, contas do ESXi e credenciais do XCC, serão removidas do banco de dados do VX Deployer após a implantação bem-sucedida do cluster. No entanto, se uma implantação falhar, há a possibilidade de que alguns desses artefatos ainda sejam armazenados no banco de dados do VX Deployer. Embora não haja nenhuma ameaça direta de qualquer exposição de informações, você deve encerrar o dispositivo VX Deployer quando não estiver implantando um cluster ativamente. Não é necessário que nenhum serviço em execução no VX Deployer esteja em execução de forma contínua para operações do cluster. Portanto, não é necessário manter o dispositivo funcionando o tempo todo.

Nota
Se uma implantação de cluster falhar e você precisar entrar em contato com o Suporte Lenovo para obter assistência, poderão exigir que portas adicionais sejam permitidas temporariamente. Nesse momento, siga todas as instruções do engenheiro de suporte.