在 VMM 中設定受管理的 VMware 環境安全性
適用於: Virtual Machine Manager 2008, Virtual Machine Manager 2008 R2, Virtual Machine Manager 2008 R2 SP1
本主題說明讓 System Center Virtual Machine Manager (VMM) 管理 VMware Infrastructure 3 (VI3) 環境前應決定的安全性事項,另外也說明如何在 VMM 中設定 VirtualCenter 伺服器與 ESX Server 主機的安全性。VMM 使用 VirtualCenter WebServices API (用於管理)、SFTP 及 HTTPS (用於檔案傳輸作業) 的組合來管理 VMware 環境。
管理 VMware 環境前的準備工作
在整合 VMware 環境與 VMM 之前,您需要決定處理下列安全性問題的方式:
您要以安全模式管理 VMware 環境嗎 (需要依據所有用於通訊的通訊協定驗證每一部 ESX Server 主機)?
VMM 用來與 VirtualCenter 通訊的帳戶為何?
對於執行 ESX Server 非內嵌版本 (VMware® ESX Server 3.5 與 VMware® ESX Server 3.0.2) 之主機與 Windows Server 電腦間的檔案傳輸,是否讓 VMM 在 ESX Server 中使用預設的根認證,或較低權限的虛擬機器委派?
決定是否要以安全模式管理 VMware 環境
將 VirtualCenter 伺服器新增至 VMM 前,請決定是否要在 VMM 中以安全模式管理 VMware 環境。當您將 VirtualCenter 伺服器新增至 VMM 時,VMM 預設會開啟安全模式。如果您的環境不需要該層級的驗證,則可以關閉安全模式。
開啟安全模式 — 當您以安全模式管理 VMware 環境時,VMM 會依據用於通訊的所有通訊協定驗證每一部 ESX Server 主機。在安全模式下,透過 HTTPS 的安全通訊端層 (SSL) (用於內嵌的 ESX Server) 需要驗證憑證,而透過安全殼層 (SSH) 的 SFTP (用於非內嵌的 ESX Server) 則需要驗證主機公開金鑰。VMM 則會擷取和驗證兩者。
如果所有 ESX Server 主機都設定使用憑證授權單位 (CA) 簽署的憑證,您可以毫無障礙地建立 SSL 通道的信任關係。不過,對於非內嵌版本的 ESX Server,如果您使用 VMware 在安裝期間於 ESX Server 主機上建立的自我簽署憑證,則在 VMM 中設定 ESX Server 的安全性時必須驗證憑證。如果管理大量的內嵌 ESX Server 主機,您可能會發現手動複製每部主機中的憑證,再使用指令碼將憑證新增至 VMM 主機 [受信任的人] 憑證存放區是比較方便的做法。如需指示,請參閱本主題稍後討論的如何自動化 ESX Server 主機的憑證登錄。
對於 ESX Server 的非內嵌版本,您還需要將 SSH 公開金鑰新增至 VMM 資料庫。另外,針對此工作,您可以在 VMM 中設定個別主機的安全性時驗證公開金鑰,或使用指令碼更新 VMM 資料庫中所有非內嵌版本 ESX Server 主機的公開金鑰。如需指示,請參閱本主題稍後討論的如何自動化非內嵌版本 ESX Server 主機的公開金鑰輸入。
關閉安全模式 — 對於不需要驗證憑證,或不需要在 VirtualCenter 作業期間驗證 VMM 與 ESX Server 主機間 RSA 公開金鑰的環境,您可以關閉安全模式。
建立用來與 VirtualCenter 通訊的專用帳戶
對於與 VirtualCenter 伺服器的通訊,VMM 需要使用在 VirtualCenter 中具有主機與叢集層級系統管理員權限的帳戶。您可以使用已安裝 VirtualCenter 之電腦中的本機帳戶,或使用 Active Directory 帳戶。基於最佳安全性做法,請建立其他任何使用者或程序未使用的專用帳戶。
決定用於檔案傳輸作業的認證
接下來,您需要針對執行非內嵌版本 ESX Server 的主機與 Windows Server 電腦間的檔案傳輸作業,決定使用的帳戶。許多作業都需要進行這種類型的檔案傳輸,例如使用存放在 VMM 程式庫伺服器的虛擬硬碟建立虛擬機器,或是將 VMware 虛擬機器存放在 VMM 程式庫中。
為了執行這種類型的檔案傳輸,VMM 會直接存取 ESX Server 主機。對於非內嵌版本的 ESX Server,VMM 必須具有 ESX Server 中虛擬機器委派的認證,以取得主機上虛擬機器檔案的必要存取權限。根據預設,ESX Server 會使用主機中的根認證來進行委派。如果不想使用根認證,您可以設定具有較低權限的帳戶來當做虛擬機器委派。
重要
在 VI3 環境中,VMware 將使用虛擬機器委派視為實驗性的做法。在 VMware vSphere 4 中,ESX 和 ESXi 不支援委派使用者的功能。您的唯一選擇是使用根認證。
不論您的選擇為何,都必須執行其他設定以提供 VMM 必要的權限:
如果 ESX Server 將預設的根認證當做虛擬機器委派,您必須在每部 ESX Server 主機啟用 SSH 根登入。如需指示,請參閱 SSH 安全性的指導方針。
若要避免讓 SSH 遠端登入具有高度權限的根目錄,請設定每部 ESX Server 主機的虛擬機器委派帳戶。若要在 ESX Server 主機上執行檔案層級的動作,帳戶必須符合下列需求:
帳戶必須是 ESX Server 中的系統管理員角色成員。
您必須在使用 NFS 資料庫的所有 ESX Server 3i 主機上使用相同的委派使用者 (預設為 vimuser)。
如需設定虛擬機器委派的詳細資訊,請參閱 VMware Documentation (VMware 文件) (https://go.microsoft.com/fwlink/?LinkId=163914)。
注意
在 VirtualCenter 中設定虛擬機器委派認證後,必須重新啟動 ESX Server 主機。這可能導致遺失所有執行中虛擬機器的狀態。若要避免這種情況發生,您應該在變更認證前先關閉或移轉任何執行中的虛擬機器。如需相關程序,請參閱本主題稍後討論的如何變更受管理主機的虛擬機器委派認證。
VMM 會針對內嵌版本的 ESX Server (VMware® ESX Server 3i 與更新版本) 與非內嵌版本的 ESX Server (VMware® ESX Server 3.5 與 VMware® ESX Server 3.0.2) 使用不同的檔案傳輸通訊協定。與 Windows Server Core 相同,為了在主機上取得較完善的安全性,內嵌版本的 ESX Server 會安裝最精簡的程式碼並且沒有本機主控台。
與 ESX Server 主機間的檔案傳輸使用下列通訊協定:
內嵌的 ESX Server — VMM 使用 HTTPS 搭配預設通訊埠 443 來進行檔案傳輸。在安全模式下,使用安全通訊端層 (SSL) 的加密需要驗證憑證。
非內嵌的 ESX Server — VMM 使用 SFTP 搭配預設通訊埠 22。在安全模式下,使用安全殼層 (SSH) 的加密需要驗證 RSA 公開金鑰。
遵循帳戶與驗證的最佳安全性做法
在將 VirtualCenter 伺服器新增至 VMM 並設定 ESX Server 主機的安全性時,請遵循帳戶與驗證的最佳安全性做法:
使用 Active Directory 網域服務 (AD DS) 以在多平台的環境中維護所有系統管理帳戶 — 藉由一致地使用 AD DS,您可以讓單一系統管理員管理所有帳戶,以及將相同的帳戶原則 (密碼長度、到期、分類等) 套用在整個環境中。此外,Active Directory 的 Kerberos 通訊協定實作可提供驗證服務給每個網域中的所有帳戶,讓使用者在通訊時能利用安全的方式互相證明自己的識別。
在 VMM 中接受自我簽署的憑證與 RSA 公開金鑰前,先行驗證 — 當您在安全模式下設定受管理 ESX Server 主機的安全性設定時,VMM 會擷取 Vmware 在安裝 ESX Server 時所建立的自我簽署憑證。如果是 ESX Server 的非內嵌版本,VMM 也會從主機電腦中擷取 RSA 公開金鑰。在 VMM 中設定主機的安全性時,請一律先驗證主機中的憑證與公開金鑰,然後才在 VMM 中更新安全性設定。
或使用 CA 簽署的憑證,而不是自我簽署的憑證 — 為了取得較完善的安全性與管理的便利性,請使用來自受信任 CA 的憑證 (而不是自我簽署的憑證) 來驗證 VirtualCenter 伺服器與 ESX Server 主機。CA 簽署的憑證不需要在 VMM 中驗證。
重要
如果您在 VMM 中管理 VMware vSphere (先前稱為 VMware VirtualCenter 4 或 VI4) 基礎結構,vSphere 預設會驗證主機憑證。在 VirtualCenter 2.5 中,主機憑證檢查預設為關閉狀態。
若要在受管理的 vSphere 基礎結構中啟用檔案傳輸,您可以使用下列任何一種方法:- 在所有 ESX Server 主機上使用 CA 簽署的憑證,並將憑證授權單位伺服器的憑證新增到 VirtualCenter 伺服器上受信任根憑證授權單位的憑證存放區。
- 如果您使用自我簽署憑證,請將每個主機憑證新增到 VirtualCenter 伺服器上受信任根憑證授權單位的憑證存放區。
- 在 VirtualCenter 管理伺服器組態中關閉主機憑證檢查。如需詳細資訊,請參閱 VMware 文件。
整合 VMware 環境與 VMM
決定先前各節描述的安全性事項後,您已準備好將 VirtualCenter 伺服器新增至 VMM,然後再設定 ESX Server 主機的安全性。如果您的規劃允許虛擬機器自助,還需要讓使用者下載 VMware ActiveX 控制項;使用者必須安裝此控制項才能開啟 VMM 自助入口網站。
將 VirtualCenter 伺服器新增至 VMM
VMM 藉由與 VirtualCenter 通訊以在 VMware 環境中執行支援的管理工作。VMM 使用 WebServices 搭配預設通訊埠 443 來進行這些通訊。加密是透過 HTTPS 執行,搭配使用 SSL。
在新增 VirtualCenter 時,您會設定前述所有選項,以指定下列項目:
用來連線至 VirtualCenter 伺服器的 TCP/IP 通訊埠 (預設通訊埠為 443)。
用來連線至 VirtualCenter 伺服器的帳戶認證。
只要帳戶擁有 VirtualCenter 中主機和叢集層級的系統管理權限,您就可以使用本機帳戶或 Active Directory 網域帳戶。這個帳戶不需要是作業系統上的本機系統管理員。您應該使用其他任何使用者或程序並未使用的專屬帳戶。
如果您在 VirtualCenter 伺服器使用自我簽署憑證,必須將憑證匯入到 VMM 伺服器上的「信任人員」憑證存放區以驗證電腦的識別。如果您使用 CA 簽署的憑證,則不需要執行此動作。
注意
此作業需要 VMM 電腦中屬於本機系統管理員群組成員的帳戶。如果 VMM 服務是以網域帳戶的身分執行 (而不是本機系統),則作業必須以該網域帳戶的身分執行。
如需詳細資訊,請參閱如何新增 VMware VirtualCenter 伺服器 (https://go.microsoft.com/fwlink/?LinkID=128560)。
啟用 ESX Server 主機的完整管理
當您將 VMware VirtualCenter 伺服器新增至 VMM 時,VMM 會探索 ESX Server 主機並以 [確定 (有限制)] 狀態將主機新增至 VMM。[確定 (有限制)] 狀態代表 VMM 沒有在主機上執行檔案傳輸的必要資訊。當主機狀態為 [確定 (有限制)] 時,VMM 系統管理員所能執行的管理工作僅限於不需要檔案傳輸的工作。
若要將主機的狀態變更為 [確定] 並啟用 VMM 中的完整管理,您必須提供主機上的虛擬機器委派認證 (先前設定的根帳戶或具有較低權限的帳戶) 給 VMM。此外,如果已啟用安全模式,VMM 就必須能夠以 SSL 憑證識別主機;若為非內嵌版本的 ESX Server,則是以主機的 SSH 公開金鑰識別。
若要提供必要的資訊,請在 VMM 中更新主機的內容。如需詳細資訊,請參閱如何設定主機的通訊認證 (https://go.microsoft.com/fwlink/?LinkID=162973)。
如果您管理多部 ESX Server 主機,利用指令碼將憑證登錄在 VMM 伺服器中或將公開金鑰新增至 VMM 資料庫可節省時間。如需相關程序,請參閱本主題稍後討論的如何自動化 ESX Server 主機的憑證登錄 (適用於憑證登錄) 與如何自動化非內嵌版本 ESX Server 主機的公開金鑰輸入 (適用於將公開金鑰新增至 VMM 資料庫)。
注意
具有內嵌版本之 ESX Server 與使用中 CA 簽署憑證的主機是此項需求的例外。即使在安全模式下,這些主機仍會以 [確定] 狀態新增至 VMM 並啟用完整管理功能。
啟用透過 VMM 自助入口網站存取 VMware 虛擬機器的功能
如果您的規劃允許使用者透過 VMM 自助入口網站管理 VMware 虛擬機器,則必須讓使用者下載及安裝 VMware ActiveX 控制項。必須透過安全的 SSL 通道下載此控制項。VMM 會使用 SSL 連線至 VMware 主機。但是,要確認使用者可下載並安裝 ActiveX 控制項,您必須啟動 VMware 主機電腦上的 SSL。您也可以在用戶端機器上安裝 Virtual Infrastructure 用戶端,該機器也會安裝 ActiveX 控制項,可不須從主機下載 ActveX 控制項。
選擇性設定工作
下列幾節提供自動化憑證與公開金鑰登錄,以及在 ESX Server 主機上變更虛擬機器委派認證的程序。
如何自動化 ESX Server 主機的憑證登錄
下列程序提供可在 VMM 伺服器上自動化多部 ESX Server 主機憑證登錄的範例指令碼。若要登錄憑證,您必須將憑證新增至「信任人員」本機憑證存放區。
在 VMM 上登錄 ESX Server 主機的自我簽署憑證
從每部 ESX Server 主機中手動複製自我簽署的憑證。
若要擷取憑證:
以根使用者身分登入服務主控台。
將目錄變更為 /etc/vmware/hostd/
若要識別憑證檔案,請使用文字編輯器開啟 config.xml 檔案,然後再尋找下列 XML 區段:
<ssl> <!-- The server private key file --> <privateKey>/etc/vmware/ssl/rui.key</privateKey> <!-- The server side certificate file --> <certificate>/etc/vmware/ssl/rui.crt</certificate> </ssl>範例程式碼採用預設的憑證檔案:/etc/vmware/ssl/rui.crt。
複製憑證檔案。
在 VMM 伺服器中,將憑證載入「信任人員」存放區。下列命令會將 host1 的憑證新增至「信任人員」存放區。
>certutil -addstore -enterprise TRUSTEDPEOPLE c:\temp\<host1>\cert.cer注意
此作業需要 VMM 電腦中屬於本機系統管理員群組成員的帳戶。如果 VMM 服務是以網域帳戶的身分執行 (而不是本機系統),則作業必須以該網域帳戶的身分執行。
注意
您也可以藉由在 VMM 系統管理員主控台中更新主機的內容來擷取主機的憑證。如需指示,請參閱如何設定主機的通訊認證 (https://go.microsoft.com/fwlink/?LinkID=162973)。
如何自動化非內嵌版本 ESX Server 主機的公開金鑰輸入
下列程序提供範例程式碼,示範如何在 VMM 中針對執行非內嵌版本 ESX Server (ESX Server 3.5 與 ESX Server 3.0.2) 的主機,自動化公開金鑰輸入。
將非內嵌版本 ESX Server 主機的公開金鑰新增至 VMM
從每部執行 ESX Server 3.5 或 ESX Server 3.0.2 的主機中手動收集公開金鑰。
將 SSH 公開金鑰載入 VMM 資料庫。下列 Windows PowerShell – VMM 指令碼會將 host1 的公開金鑰檔案新增至 VMM 資料庫。
>$c = get-VMMserver localhost >$vmhost = get-VMHost <host1> >$vmhost | associate-vmhost –SshPublicKeyFile C:\<host1>\ssh_host_rsa_key.pub
注意
您也可以藉由在 VMM 系統管理員主控台中更新主機內容以設定主機的認證時,擷取主機的憑證與公開金鑰。如需指示,請參閱如何設定主機的通訊認證 (https://go.microsoft.com/fwlink/?LinkID=162973)。
如何變更受管理主機的虛擬機器委派認證
將 VirtualCenter 伺服器新增至 VMM 後,如果您決定將 ESX Server 主機的虛擬機器委派從預設的根認證變更為具有較低權限的帳戶,請使用下列程序以在進行變更時保護虛擬機器的狀態。如需相關選項的詳細資訊,請參閱本主題稍早討論的決定用於檔案傳輸作業的認證。
注意
變更虛擬機器委派認證後,必須重新啟動 ESX Server 主機。這可能導致遺失所有執行中虛擬機器的狀態。若要避免這種情況發生,請在變更認證前先關閉或移轉虛擬機器。
變更 ESX Server 主機的虛擬機器委派認證
在 ESX Server 主機上關閉或移轉任何執行中的虛擬機器。
在 VirtualCenter 中,重設每部 ESX Server 主機的虛擬機器委派認證。
帳戶必須是 ESX Server 中的系統管理員角色成員。為了管理的便利性,您可以在所有 ESX Server 主機上使用相同的虛擬機器委派。如需設定虛擬機器委派的資訊,請參閱 ESX Server 文件。
重新啟動 ESX Server 主機。
在 VMM 中,使用新虛擬機器委派帳戶的帳戶名稱與密碼來更新每部 ESX Server 主機。若要更新主機的認證,請在 VMM 系統管理員主控台的 [主機] 檢視中,在主機上按一下滑鼠右鍵,然後再按一下 [設定安全性]。