随着企业虚拟化部署的不断发展,其关键在于控制管理程序平台的配置和补丁状态,以便于最小化环境中存在的漏洞。幸运的是,VMware公司在其vSphere基础设施中提供了各种工具,以帮助运行团队进行VMware配置管理和实现VMware补丁管理的最佳实践。在本文中,我们将重点关注两个强大的工具:Host Profiles和VMware Update Manager。虽然这两个工具软件都不是新软件,但是它们都通过vSphere 5的版本升级更新了功能和能力。
Host Profiles本质上是一个用于设计和部署ESX和ESXi管理程序配置镜像的模板创建和管理工具。一般而言,配有旧式服务控制台操作系……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
随着企业虚拟化部署的不断发展,其关键在于控制管理程序平台的配置和补丁状态,以便于最小化环境中存在的漏洞。幸运的是,VMware公司在其vSphere基础设施中提供了各种工具,以帮助运行团队进行VMware配置管理和实现VMware补丁管理的最佳实践。在本文中,我们将重点关注两个强大的工具:Host Profiles和VMware Update Manager。虽然这两个工具软件都不是新软件,但是它们都通过vSphere 5的版本升级更新了功能和能力。
Host Profiles本质上是一个用于设计和部署ESX和ESXi管理程序配置镜像的模板创建和管理工具。一般而言,配有旧式服务控制台操作系统的ESX平台要比ESXi系统有着更为复杂的配置。但是,也有很多应当跨平台一致的设置,特别是那些寻求设计和维护内部云计算的企业。vSphere 5已为Host Profiles引入了众多新配置选项,其中包括通过以太网(FCoE)、存储多路径功能以及新设备与内核模块设置对iSCSI和光纤通道的支持。
为安全起见,有很多ESXi设置均应通过Host Profiles进行配置。他们包括如下内容,这里我们按类别和设置名称依次列出。
•网络配置:vSwitch:<Switch Name>:网络策略配置为vSwitches控制三个内置安全策略。在Host Profiles中设置所有三个(AllowPromiscuous, MacChanges 和 ForgedTransmits)安全策略为“拒绝”或“否”。必须对网络配置:虚拟机端口组和网络配置:主机端口组目录下列出的所有端口组应用相同的配置。
•网络配置:日期和时间配置:时间设置应有列出的特殊网络时间协议(NTP)以确保日志文件中有合适的时间戳。
•网络配置:防火墙配置:默认封锁策略——理想情况下设置“配置固定默认封锁策略”以阻止所选流入与流出的流量。
•网络配置:防火墙配置:规则集配置是你为主机指定特定防火墙规则的控制区域。这些规则不尽相同,但原则上只允许那些正常运行所明确需要的流量。
•安全配置:管理员密码:理想情况下,是“保留管理员密码不变”。在很多环境中,你可使用Active Directory成员来控制用户帐户,而默认管理员帐户应当有一个长期、复杂的密码集。
•安全配置:权限规则:如果在你希望控制访问的主机上有特定组,就应进行设置。
•安全配置:root用户的SSH授权密钥:配置合适的用户公共密钥。
•服务配置:查看这些选项,如果不需要,所有的服务(特别是SSH和其他远程访问服务)都应禁用。
•为系统的Syslog代理输入三个“全局”高级配置选项设置。日志文件1024KB,八个文件循环,在 /scratch/log目录下。这些设置或适用或需修改,但都必须进行配置。
•授权配置:Active Directory配置:应有一个域名集,和一个结合ESXi主机和域名的方法(通常是一个用户名和密码,但也可使用vSphere授权代理)。
•登陆标题:登陆标题文本:配置满足你企业政策的登陆标题。
你可以为一台主机和集群设定一个特定主机配置以便于评估其与配置策略的兼容性,然后应用配置模板。一个新功能是创建基于XML简单“应答文件”和特定主机变化的功能。然后,这些应答文件就可以在使用vSphere自动部署时发布,而该功能可更简单地实现新系统配置。
作者
Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。
相关推荐
-
vsphere可以在pc上安装吗? [ 虚拟化]
-
Iaas这一层要学习vSphere或者openstack吗?
-
VMware CTO承诺vSphere可用OpenStack管理
根据VMware CTO Steve Herrod昨天在OpenStack Summit上的介绍,VMware将会致力于推进OpenStack的Nova项目,该项目允许OpenStack管理vSphere高级功能。
-
强强PK:Hyper-V R2与vSphere功能对比
VMware一直以来都是虚拟化世界里面的龙头老大,但最近因为微软Hyper-V,它的位置好像有些动摇。本文对两家厂商的hypervisor产品的常用功能特性进行了对比。