安全性考量
檢閱下列最佳做法,以確保 VX 叢集部署環境受到保護,並避免可能暴露的任何安全性問題。
網路最佳做法
VX Deployer 設備是預載於 VX 設備系統的虛擬機器。在為系統佈線時,您應該建立專用的管理網路結構,以供 VX Deployer 用於存取系統上的 xClarity Controller (XCC) 模組。此外,ESXi 管理結構應該被隔離在它自己的 VLAN 中,而且只有獲授權的管理應用程式才能存取這個 VLAN。
正在部署的 ThinkAgile VX 系統最好也隔離在其自己的網路交換器中,以便與網路上的任何其他系統分開。這將有助於將任何安全性事件隔離在網路中的 VX 系統中。
如需網路的相關資訊,請參閱下列主題:
VX Deployer 最佳做法
外部網路 - 此介面用於存取 ESXi、vCenter 和 xClarity Integrator 設備(在安裝期間部署於 VX 叢集)。如果不需要從園區(資料中心)網路存取這些管理設備,請不要在連接 VX Deployer 的 vSwitch 上配置埠群組的園區網路 VLAN 標籤。如此一來,VX Deployer 就無法將任何流量傳送到園區(資料中心)網路中。相應地,使用者將無法從園區網路存取 VX Deployer。只有可存取隔離的管理 VLAN 的本端管理者才能存取設備。
XCC 網路 - 這是將 VX Deployer 連接到主機上的 XCC 模組的網路。此網路也供 xClarity Integrator 設備用於執行其作業,包括系統監視、生命週期管理和 vSAN 拓撲檢視。您也應該將此流量隔離到其自己的 VLAN 中,以免受到網路上其他存取點的影響。
認證
部署期間配置的任何密碼(例如 vCenter 帳戶、ESXi 帳戶和 XCC 認證)都將在叢集部署成功後從 VX Deployer 資料庫中移除。但是,如果部署失敗,其中一些人為產物可能仍儲存在 VX Deployer 資料庫中。雖然沒有任何資訊暴露的直接威脅,但當您沒有主動部署叢集時,您應該關閉 VX Deployer 設備。任何叢集作業都不需要 VX Deployer 中執行的服務持續執行。因此,沒有必要讓設備一直執行。