安全性注意事项
查看以下最佳实践,以确保 VX 集群部署环境的安全并避免任何潜在的安全风险。
网络最佳实践
VX Deployer 设备是预加载在 VX 设备系统上的虚拟机。在为系统布线时,应创建一个专用的管理网络光纤网,供 VX Deployer 用于访问系统上的 xClarity Controller(XCC)模块。此外,ESXi 管理光纤网应该被隔离在它自己的 VLAN 中,并且只有授权的管理应用程序才能访问此 VLAN。
所部署的 ThinkAgile VX 系统最好也隔离在其自己的网络交换机中,以便与网络上的任何其他系统分开。这有助于将任何安全事件完全隔离在网络中的 VX 系统中。
有关网络部署的更多信息,请参阅以下主题:
VX Deployer 最佳实践
外部网络 - 此接口用于访问 ESXi、vCenter 和 xClarity Integrator 设备(这些设备在安装期间部署在 VX 集群上)。如果不需要从园区(数据中心)网络访问这些管理设备,请不要在连接 VX Deployer 的 vSwitch 的端口组上配置园区网络 VLAN 标记。这样,VX Deployer 就无法发送任何流量到园区(数据中心)网络中。相应地,用户也将无法从园区网访问 VX Deployer。只有有权访问隔离的管理 VLAN 的本地管理员才能访问设备。
XCC 网络 - 这是将 VX Deployer 连接到主机上的 XCC 模块的网络。xClarity Integrator 设备也会使用此网络执行操作,包括监控系统、管理生命周期和查看 vSAN 拓扑视图。此流量同样应该隔离在其自己的 VLAN 中,以免受网络上的其他接入点的影响。
凭据
部署期间配置的任何密码(例如 vCenter 帐户、ESXi 帐户和 XCC 凭据)都将在集群部署成功后从 VX Deployer 数据库中删除。但是,如果部署失败,则其中一些工件可能会仍然存储在 VX Deployer 数据库中。虽然没有任何直接的信息暴露风险,但您仍应在未部署集群时关闭 VX Deployer 设备。VX Deployer 中运行的任何服务都不需要为了任何集群操作而持续运行。因此,没有必要让设备一直运行。