Pular para o conteúdo principal

Considerações sobre segurança

Revise as seguintes práticas recomendadas para assegurar que o ambiente de implantação de cluster VX esteja protegido e que possíveis exposições de segurança sejam evitadas.

Práticas recomendadas de rede

  • O dispositivo VX Deployer é uma máquina virtual com os sistemas de dispositivo VX pré-carregado. Ao realizar o cabeamento dos sistemas, você deve criar uma malha de rede de gerenciamento dedicada que será usada pelo VX Deployer para acessar os módulos do XClarity Controller (XCC) nos sistemas. Além disso, a malha de gerenciamento do ESXi deve ser isolada em sua própria VLAN, e apenas aplicativos de gerenciamento autorizados devem ter acesso a essa VLAN.

  • De preferência, os sistemas ThinkAgile VX que estão sendo implantados também devem ser isolados em seus próprios comutadores de rede, separados de qualquer outro sistema na rede. Isso ajudará a isolar todos os incidentes de segurança somente nos sistemas VX na rede.

Consulte o tópico a seguir para obter mais informações sobre redes:

Fazendo o cabeamento da rede

Práticas recomendadas do VX Deployer

O dispositivo VX Deployer é pré-carregado nos sistemas ThinkAgile VX. Ao configurar o dispositivo para acesso à rede, configure apenas as duas interfaces de rede necessárias para a operação:

  • Rede externa – essa interface é usada para acessar o ESXi, o vCenter e o dispositivo XClarity Integrator (que são implantados no cluster VX durante a instalação). Se esses dispositivos de gerenciamento não precisarem estar acessíveis a partir da rede do campus (data center), não configure a etiqueta VLAN da rede do campus no grupo de portas em seu vSwitch que conecta o VX Deployer. Dessa forma, o VX Deployer não pode enviar nenhum tráfego para a rede do campus (data center). De forma correspondente, os usuários não poderão acessar o VX Deployer na rede do campus. Apenas administradores locais que tenham acesso à VLAN de gerenciamento isolado poderão acessar o dispositivo.

  • Rede XCC – é a rede que conecta o VX Deployer aos módulos do XCC nos hosts. Essa rede também é usada pelo dispositivo XClarity Integrator para suas operações, incluindo monitoramento de sistemas, gerenciamento de ciclo de vida e exibição de topologia vSAN. Você também deve isolar esse tráfego em sua própria VLAN, protegida de outros pontos de acesso na rede.

Credenciais

Todas as senhas configuradas durante a implantação, como contas do vCenter, contas do ESXi e credenciais do XCC, serão removidas do banco de dados do VX Deployer após a implantação bem-sucedida do cluster. No entanto, se uma implantação falhar, há a possibilidade de que alguns desses artefatos ainda sejam armazenados no banco de dados do VX Deployer. Embora não haja nenhuma ameaça direta de qualquer exposição de informações, você deve encerrar o dispositivo VX Deployer quando não estiver implantando um cluster ativamente. Não é necessário que nenhum serviço em execução no VX Deployer esteja em execução de forma contínua para operações do cluster. Portanto, não é necessário manter o dispositivo funcionando o tempo todo.

Nota
Se uma implantação de cluster falhar e você precisar entrar em contato com o Suporte Lenovo para obter assistência, poderão exigir que portas adicionais sejam permitidas temporariamente. Nesse momento, siga todas as instruções do engenheiro de suporte.