Вопросы безопасности
Ознакомьтесь с представленными ниже рекомендациями, чтобы обеспечить безопасность среды развертывания кластера VX и избежать любых потенциальных угроз безопасности.
Рекомендации по созданию сети
VX Deployer — это виртуальная машина, предустановленная в системах программно-аппаратных комплексов VX. При подключении кабелей систем следует создать выделенную межкомпонентную сеть управления, которая будет использоваться VX Deployer для доступа к модулям XClarity Controller (XCC) в системах. Кроме того, межкомпонентную сеть управления ESXi необходимо изолировать, создав для нее отдельную сеть VLAN, доступ к которой должны иметь только авторизованные приложения управления.
Желательно, чтобы развертываемые системы ThinkAgile VX также были изолированы от любых других систем в сети путем подключения к предназначенным только для них сетевым коммутаторам. Это позволит изолировать все инциденты безопасности, связанные только с системами VX в сети.
Дополнительные сведения об организации сети см. в следующем разделе:
Рекомендации по использованию VX Deployer
Внешний сетевой интерфейс. Этот интерфейс используется для доступа к ESXi, vCenter и устройству xClarity Integrator (эти ресурсы развертываются в кластере VX во время установки). Если доступ к этим устройствам управления из сети кампусного типа (центра обработки данных) не требуется, не настраивайте метку VLAN сети кампусного типа в группе портов коммутатора vSwitch, который подключается к VX Deployer. В этом случае VX Deployer не сможет отправлять трафик в сеть кампусного типа (центра обработки данных). Соответственно, пользователи не смогут получать доступ к VX Deployer из сети кампусного типа. Доступ к этому устройству будет только у локальных администраторов, имеющих доступ к изолированной виртуальной локальной сети управления.
Интерфейс сети XCC. Сеть XCC — это сеть, через которую VX Deployer подключается к модулям XCC на хостах. Эта сеть также используется устройством xClarity Integrator для выполнения своих функций — мониторинга систем, управления жизненным циклом и представления топологии vSAN. Трафик этой сети необходимо изолировать в отдельной сети VLAN, защищенной от других точек доступа в сети.
Учетные данные
После успешного развертывания кластера все пароли, заданные во время развертывания, в частности для учетных записей vCenter и ESXi, а также учетных данных XCC, будут удалены из базы данных VX Deployer. Однако если развертывание завершится ошибкой, некоторые из этих артефактов могут остаться в базе данных VX Deployer. Хотя прямой угрозы раскрытия никакой информации нет, необходимо завершить работу VX Deployer, если развертывание кластера не осуществляется. Для выполнения кластерных операций не требуется непрерывная работа никаких сервисов, запущенных в VX Deployer. Поэтому нет необходимости обеспечивать постоянную работу этого устройства.