十大安全技巧為您解析VMware vShield

2011-03-25 09:40:57

云計算

虛擬化 VMware vShield在已經(jīng)非常安全的vSphere產(chǎn)品之上又增加了一層防護。本文分享十個技巧可以幫助vShield用戶避免一些繁瑣而耗時的故障。

VMware vShield在已經(jīng)非常安全的vSphere產(chǎn)品之上又增加了一層防護。本文分享十個技巧可以幫助vShield用戶避免一些繁瑣而耗時的故障。

一、實踐造就完美

VMware的安全問題很復(fù)雜，而且發(fā)生配置錯誤后帶來的成本也很高昂。假設(shè)違反了vShield相關(guān)規(guī)則會直接切斷所有到虛擬機的網(wǎng)絡(luò)流量。所以最好的辦法是先在非關(guān)鍵業(yè)務(wù)主機上進行實踐。

二、自啟動

設(shè)置vShield Manager、Zones和App代理端為主機啟動的同時自啟動。在Zones和App代理端啟動之前，主機端虛擬網(wǎng)絡(luò)上不會發(fā)生任何信息交換。

三、鎖定vShield代理

Manager、Zones和App虛擬機對于虛擬機安全和可連接性都是至關(guān)重要的，所以最好通過vShield Manager web界面或命令行工具修改它們的默認(rèn)密碼。同樣，也要把Enabledmode的密碼修改掉。

不幸的是，vShield Manager和agent 虛擬機上的命令行界面默認(rèn)管理員密碼也是不能修改的。我們必須刪除這個用戶，然后創(chuàng)建新的--這不會對系統(tǒng)有影響，因為vShield可以通過其它用戶（如，nobody 和vs_comm）執(zhí)行常用操作。好在Enabledmode的密碼是可以修改的，可以參考vShield管理員手冊（vShield Administration Guide）獲取更多信息。

四、安全的vShield訪問

在vCenter中只有認(rèn)證用戶才能和vShield Manager及其代理進行交互。如果發(fā)生了特殊情況，如突然斷電，會失去跟主機之間的聯(lián)系。

五、注意關(guān)鍵字

在vShield 4.1 Update 1版本中有個奇怪的現(xiàn)象，“any”必須以大寫字母形式出現(xiàn)在Zones和App 防火墻規(guī)則中。否則，這些規(guī)則就無法正常工作。這個明顯的漏洞將在下一版中獲得修正。

六、刪除磁盤操作要當(dāng)心vShield Manager虛擬機中有一個8GB大小的主虛擬磁盤，還有另一個1MB大小的副虛擬盤。千萬不要刪除副磁盤，它在配置新的App和Zones代理時要用到。而且包含了很多重要參數(shù)，如IP地址信息等。而且在安裝vShield App時要通過該磁盤來引導(dǎo)。

七、卸載后要重啟

安裝vShield不會對宿主機或虛擬機有影響，但是在卸載vShield后必須要重啟宿主機。為了從宿主機完全卸載，需要把虛擬機遷移到其它主機或關(guān)閉。然后把主機置于維護模式后重啟。

需要重啟來完全地刪除vShield加載到宿主機內(nèi)存中的內(nèi)核等信息。卸載過程會刪除vSwitch之外的所有其它信息，由于其它模塊也在使用，所以無法自動刪除，需要重啟。

八、不要動VMware Tools

vShield Manager和agent虛擬機中預(yù)裝了特殊的VMware Tools版本，不要試圖升級或刪除它。

虛擬應(yīng)用根據(jù)內(nèi)部運行的程序進行預(yù)裝和定制化。通常不應(yīng)該違反正常的升級流程來操作。VMware Tools實際上一組驅(qū)動和終端工具，目前已經(jīng)有和vShield應(yīng)用協(xié)同工作的預(yù)裝軟件版本。我們無法在未經(jīng)測試的情況下預(yù)測新版本可能引發(fā)的問題。

九、借助警報系統(tǒng)

vShield自動安裝了新的警報模式，可以檢測vShield相關(guān)的事件和情況。利用這些功能來改善VMware的安全監(jiān)控現(xiàn)狀。

十、檢查資源的可用性

保證vShield Manager和agent虛擬機的可用資源，這點很重要。否則，vShield Manager會變得響應(yīng)遲緩，而導(dǎo)致虛擬機丟失網(wǎng)絡(luò)連接。

vShield虛擬機預(yù)留一定的物理內(nèi)存空間。不要修改這些參數(shù)或減少分配的內(nèi)存數(shù)量。默認(rèn)情況下是沒有預(yù)留CPU資源的，不過在資源緊張的主機上，您應(yīng)該設(shè)置1個或1組CPU共享資源來保證它的可用性。

網(wǎng)站標(biāo)題：十大安全技巧為您解析VMwarevShield
標(biāo)題網(wǎng)址：http://m.fisionsoft.com.cn/article/dhpepgd.html