随着企业虚拟化部署的不断发展,其关键在于控制管理程序平台的配置和补丁状态,以便于最小化环境中存在的漏洞。幸运的是,VMware公司在其 vSphere基础设施中提供了各种工具,以帮助运行团队进行VMware配置管理和实现VMware补丁管理的最佳实践。在本文中,我们将重点关注两个强大的工具:Host Profiles和VMware Update Manager。虽然这两个工具软件都不是新软件,但是它们都通过vSphere 5的版本升级更新了功能和能力。 Host Profiles本质上是一个用于设计和部署ESX和ESXi管理程序配置镜像的模板创建和管理工具。一般而言,配有旧式服务控制台操作系统的ESX平台要比ESXi系统有着更为复杂的配置。但是,也有很多应当跨平台一致的设置,特别是那些寻求设计和维护内部云计算的企业。vSphere 5已为Host Profiles引入了众多新配置选项,其中包括通过以太网(FCoE)、存储多路径功能以及新设备与内核模块设置对iSCSI和光纤通道的支持。 为安全起见,有很多ESXi设置均应通过Host Profiles进行配置。他们包括如下内容,这里我们按类别和设置名称依次列出。 •网络配置:vSwitch::网络策略配置为vSwitches控制三个内置安全策略。在Host Profiles中设置所有三个(AllowPromiscuous, MacChanges 和 ForgedTransmits)安全策略为“拒绝”或“否”。必须对网络配置:虚拟机端口组和网络配置:主机端口组目录下列出的所有端口组应用相同的配置。 •网络配置:日期和时间配置:时间设置应有列出的特殊网络时间协议(NTP)以确保日志文件中有合适的时间戳。 •网络配置:防火墙配置:默认封锁策略——理想情况下设置“配置固定默认封锁策略”以阻止所选流入与流出的流量。 •网络配置:防火墙配置:规则集配置是你为主机指定特定防火墙规则的控制区域。这些规则不尽相同,但原则上只允许那些正常运行所明确需要的流量。 •安全配置:管理员密码:理想情况下,是“保留管理员密码不变”。在很多环境中,你可使用Active Directory成员来控制用户帐户,而默认管理员帐户应当有一个长期、复杂的密码集。 •安全配置:权限规则:如果在你希望控制访问的主机上有特定组,就应进行设置。 •安全配置:root用户的SSH授权密钥:配置合适的用户公共密钥。 •服务配置:查看这些选项,如果不需要,所有的服务(特别是SSH和其他远程访问服务)都应禁用。 •为系统的Syslog代理输入三个“全局”高级配置选项设置。日志文件1024KB,八个文件循环,在 /scratch/log目录下。这些设置或适用或需修改,但都必须进行配置。 •授权配置:Active Directory配置:应有一个域名集,和一个结合ESXi主机和域名的方法(通常是一个用户名和密码,但也可使用vSphere授权代理)。 •登陆标题:登陆标题文本:配置满足你企业政策的登陆标题。 你可以为一台主机和集群设定一个特定主机配置以便于评估其与配置策略的兼容性,然后应用配置模板。一个新功能是创建基于XML简单“应答文件”和特定主机变化的功能。然后,这些应答文件就可以在使用vSphere自动部署时发布,而该功能可更简单地实现新系统配置。
