vCenter防火墙设置方法,一看就能学会!
部署vCenter Server Appliance之后,您可以参照本文中提供的vCenter防火墙设置方法来配置防火墙,从而保护vSphere环境安全。
什么是vCenter Server Appliance防火墙?
vCenter防火墙是什么?简单来说,vCenter防火墙是一种安全功能,用于保护vCenter Server免受未经授权访问和恶意网络活动的影响,并允许管理员定义安全策略,以允许或阻止特定类型的网络流量。此功能有助于确保只有经过授权的用户和系统才能与vCenter Server进行通信,从而保护vSphere 环境安全。
通常来说,如果您通过vCenter Server访问ESXi主机,则会使用防火墙来保护vCenter Server。此VCSA防火墙按IP或网络(使用CIDR表示法)配置为接受或拒绝所有连接。客户可以创建防火墙规则,允许或阻止特定服务器、主机或虚拟机访问VCSA。
在本文中,我们将向大家详细介绍一下vCenter防火墙设置方法,以及其他的一些安全提示,一起来看看吧!
是否需要编辑vCenter Appliance防火墙?
部署vCenter Server Appliance后,可以使用vSphere网页客户端编辑vCenter防火墙设置并创建防火墙规则。但这么做有必要吗?
事实上,正如VMware建议的做法,对VCSA的访问应该只允许来自受信任的主机或虚拟机,而对其余设备的访问应该被阻止。并且在阻止对VCSA的访问时,应考虑一些第三方VMware备份产品或vROP、SRM等。
有关VMware产品(包括vSphere和vSAN)中所有支持的端口和协议的列表,请参阅VMware端口和协议。
如何编辑vCenter Appliance防火墙设置?
在编辑vCenter设备防火墙设置之前,您需要验证登录到vCenter Server实例的用户是否是vCenter Single Sign-On中SystemConfiguration.Administrators组的成员。
从vCenter 7.0开始,您可以直接单击vCenter Server管理界面中的“防火墙”来编辑防火墙设置。
如果您使用的是旧版本,则请按照以下vCenter防火墙设置方法进行操作:
vCenter 6.7防火墙设置:
主页 > 管理 > 系统配置 > 节点 > 管理 > 防火墙
vCenter 6.5防火墙设置:
主页 > 系统配置 > 节点 > 管理>防火墙
添加VCSA防火墙规则
如果您想要添加VCSA防火墙规则的话,可以按照以下流程进行操作。
步骤1. 通过5480端口登录到您的vCenter Server管理界面,然后点击“防火墙”>“添加”。
步骤2. 选择虚拟机的网络接口,然后输入要应用此规则的网络的IP地址(可以是IPv4或IPv6地址),然后输入子网前缀长度。
步骤3. 从操作下拉菜单中,选择“接受”、“忽略”、“拒绝”或“返回”vCenter Server与指定网络之间的连接。
步骤4. 单击“保存”以应用vCenter防火墙规则。
- 要配置现有的VCSA防火墙规则:单击“编辑”更改设置,然后单击“保存”进行确认。
- 要删除VCSA防火墙规则:选择规则,单击“删除”,然后在提示下再次单击“删除”。
对VCSA防火墙规则重新排序
vCenter设备防火墙规则按规则表中显示的顺序应用。您可以在表中向上或向下移动自定义规则以更改顺序或应用程序。但是请注意,无法移动表底部的默认规则。
步骤1. 选择一个规则,然后点击“重新排序”。
步骤2. 选择想要移动的规则,然后点击“上移”或“下移”,再点击“保存”即可确认更改。
在不使用vCenter Server的情况下配置防火墙
如果您的环境不包括vCenter Server,但您希望使用防火墙来保护ESXi,则可以通过以下方式直接连接到ESXi网络:
- VMware主机客户端
- ESXCLI接口
- vSphere Web Services SDK或vSphere Automation SDK
独立ESXi主机的防火墙要求与vCenter Server Appliance的防火墙要求类似。
监控vCenter Server防火墙
默认情况下,VCSA不记录防火墙(与iptables相关的活动)。如果要监视VCSA防火墙活动,则需要在VCSA的shell上执行这些命令。
# iptables -N LOGGER
# iptables -A LOGGER -j LOG –log-prefix ‘iptable log: ’ ‘ --log-level 7
# iptables -A OUTPUT -j LOGGER
# iptables -I OUTPUT -j LOGGER
# iptables -I INPUT -j LOGGER
# iptables -A LOGGER -j LOG –log-prefix ‘iptable log: ’ ‘ --log-level 7
# iptables -A OUTPUT -j LOGGER
# iptables -I OUTPUT -j LOGGER
# iptables -I INPUT -j LOGGER
在此之后,您可以通过以下命令监控防火墙日志。
# journalctl -k |grep “iptable”
拓展:vCenter Server的其他安全提示
VMware vCenter Server是vSphere环境的主要控制中心。无论您将其安装在Windows还是Linux操作系统上,保持其安全状态都很重要。除了掌握vCenter防火墙设置方法外,这些知识您也需要了解了解:
- 为vCenter Server系统使用静态IP地址和主机名。每个IP地址必须具有有效的内部DNS注册,包括反向名称解析。
- vpxuser帐户的密码将在30天后过期。您可以更改它以符合您的安全策略。
- 确保操作系统的安全修补程序是更新的,并安装防病毒解决方案。
- 不允许用户直接登录到vCenter Server主机。因此,用户只能使用直接在该主机上分配的权限登录。
- 为vCenter Server采用可靠的备份解决方案。VCSA包含一个基于文件的备份功能,用于在发生任何故障后恢复您的环境,您可以在对VCSA执行一些主要操作之前使用它。
请注意,此基于文件的备份功能不保护vCenter管理的虚拟机。如果您希望定期备份虚拟机以避免数据丢失,并快速将虚拟机恢复到可用状态(甚至恢复到其他位置),您可以使用专用的VMware备份解决方案。
轻松备份vCenter管理的大量虚拟机!
为了更加轻松地保护由vCenter管理的大量虚拟机的数据安全,我们推荐大家使用这个专业的虚拟机备份软件——傲梅企业备份旗舰版。它适用于VMware ESXi 6.0及更高版本(也支持免费的ESXi),通过简单的操作为您提供以下优势:
- 自动备份:根据每日/每周/每月计划自动备份,以自动运行备份任务,无需人工干预。
- 集中备份:在中央控制台中批量备份虚拟机,而无需在每个虚拟机上安装代理。
- 热备份:在虚拟机运行时也能轻松执行备份任务,包括操作系统、配置、应用程序、个人数据和系统状态。
- 轻松还原:快速轻松地从任何选定的历史记录版本还原整个虚拟机。
如果您觉得还不错的话可以点击下方按钮进入下载中心下载安装傲梅企业备份旗舰版,然后亲自体验体验吧!
结论
本文主要向介绍了一下vCenter防火墙是什么,并给出了详细的vCenter防火墙设置方法,大家可以通过合理地运用防火墙来保护虚拟环境的安全。
如果您的虚拟机运行着一些关键业务或数据,那么定期备份虚拟机是一件很重要的事情。有了备份在手,能够加强抵御风险的能力,就算真的遇到了难以预料的问题也可以通过备份快速恢复,降低系统中断时间,确保业务连续。
