VMware vShield在已经非常安全的vSphere产品之上又增加了一层防护。本文分享十个技巧可以帮助vShield用户避免一些繁琐而耗时的故障。
一、实践造就完美
VMware的安全问题很复杂,而且发生配置错误后带来的成本也很高昂。假设违反了vShield相关规则会直接切断所有到虚拟机的网络流量。所以最好的办法是先在非关键业务主机上进行实践。
二、自启动
设置vShield Manager、Zones和App代理端为主机启动的同时自启动。在Zones和App代理端启动之前,主机端虚拟网络上不会发生任何信息交换。
三、锁定vShield代理
Manager、Zones和App虚拟机对于虚拟机安全和可连接性都是至关重要的,所以最好通过vShield Manager Web界面或命令行工具修改它们的默认密码。同样,也要把Enabledmode的密码修改掉。
不幸的是,vShield Manager和agent 虚拟机上的命令行界面默认管理员密码也是不能修改的。我们必须删除这个用户,然后创建新的--这不会对系统有影响,因为vShield可以通过其它用户(如,nobody 和vs_comm)执行常用操作。好在Enabledmode的密码是可以修改的,可以参考vShield管理员手册(vShield Administration Guide)获取更多信息。
四、安全的vShield访问
在vCenter中只有认证用户才能和vShield Manager及其代理进行交互。如果发生了特殊情况,如突然断电,会失去跟主机之间的联系。
五、注意关键字
在vShield 4.1 Update 1版本中有个奇怪的现象,“any”必须以大写字母形式出现在Zones和App 防火墙规则中。否则,这些规则就无法正常工作。这个明显的漏洞将在下一版中获得修正。
六、删除磁盘操作要当心vShield Manager虚拟机中有一个8GB大小的主虚拟磁盘,还有另一个1MB大小的副虚拟盘。千万不要删除副磁盘,它在配置新的App和Zones代理时要用到。而且包含了很多重要参数,如IP地址信息等。而且在安装vShield App时要通过该磁盘来引导。
七、卸载后要重启
安装vShield不会对宿主机或虚拟机有影响,但是在卸载vShield后必须要重启宿主机。为了从宿主机完全卸载,需要把虚拟机迁移到其它主机或关闭。然后把主机置于维护模式后重启。
需要重启来完全地删除vShield加载到宿主机内存中的内核等信息。卸载过程会删除vSwitch之外的所有其它信息,由于其它模块也在使用,所以无法自动删除,需要重启。
八、不要动VMware Tools
vShield Manager和agent虚拟机中预装了特殊的VMware Tools版本,不要试图升级或删除它。
虚拟应用根据内部运行的程序进行预装和定制化。通常不应该违反正常的升级流程来操作。VMware Tools实际上一组驱动和终端工具,目前已经有和vShield应用协同工作的预装软件版本。我们无法在未经测试的情况下预测新版本可能引发的问题。
九、借助警报系统
vShield自动安装了新的警报模式,可以检测vShield相关的事件和情况。利用这些功能来改善VMware的安全监控现状。
十、检查资源的可用性
保证vShield Manager和agent虚拟机的可用资源,这点很重要。否则,vShield Manager会变得响应迟缓,而导致虚拟机丢失网络连接。
vShield虚拟机预留一定的物理内存空间。不要修改这些参数或减少分配的内存数量。默认情况下是没有预留CPU资源的,不过在资源紧张的主机上,您应该设置1个或1组CPU共享资源来保证它的可用性。
【编辑推荐】
- VMware View 4.5体验之旅(上)
- VMware View 4.5体验之旅(下)
- 绝处逢生 VMware View 4.5配置管理替代方案出现了!
- VMware View虚拟桌面迁移:数据存储注意事项
- VMware View难管理?四个突破口解决
- VMware View 4.5安装 三因素定成败
- 为桌面而构建 亲密接触VMware View
- VMware View进军iPad市场 通过App Store下载
