Налаштування сертифікатів SSL

VMware vSphere, а саме продукти ESX (i) 4, vCenter 4, VMware Converter Enterprise і VMware Update Manager 4, підтримують SSL v3 і TLS v1 (зазвичай вживається просто «SSL») Якщо SSL включений, то трафік між вузлами віртуальної інфраструктури зашифрований, підписаний і не може бути непомітно змінений ESX (i), як і інші продукти VMware, використовує сертифікати X509 для шифрування переданого по SSL трафіку

У vSphere 4 перевірка сертифікатів включена за замовчуванням, і вони використовуються для шифрування трафіку Однак за замовчуванням ці сертифікати генеруються автоматично під час установки ESX (i) Ця процедура не вимагає від адміністратора якихось дій Але вони не видані центром сертифікації (certificate authority, CA Також іноді згадується в російськомовної документації як «засвідчує центр », УЦ) Такі самоподпісанного сертифікати потенційно уразливі для атак «людина в середині» Тому що для них до того, як починається шифрування трафіку, не проводиться перевірка достовірності самих сертифікатів

При спробі підключення до ESX (i) або vCenter (за допомогою клієнта vSphere або браузера) користувачеві видається відповідне попередження (рис 412), що повідомляє йому про те, що дистанційна система може не бути довіреної і встановити її достовірність не представляється можливим Звичайно, це попередження можна відхилити, можна занести сертифікати всіх керованих систем в список довірених, але це може послабити безпеку інфра структури До того ж, можливо, у вашій організації заборонено використання систем з недовірених сертифікатами (адміністративно або технічно)

Рис 412 Попередження про недовірених сертифікаті

Для вирішення цих проблем вам буде потрібно запросити у довіреної центру сертифікації відповідний сертифікат і замінити ним згенеровані автоматично Довірений центр сертифікації може бути комерційним (Наприклад, VeriSign, Thawte або GeoTrust) або встановлених у вашій мережі (наприклад, Microsoft Windows Server Active Directory Certificate Cervices, AD CS або OpenSSL)

Приблизний план цієї дії виглядає наступним чином

1 Отримання сертифіката для ESX (i), заміна ними згенерованих за замовчуванням сертифікатів

2 Отримання сертифікатів для vCenter 4 і Update Manager 4 Заміна згенерованих за замовчуванням сертифікатів Зверніть увагу на те, що заміна сертифіката для вже встановленого Update Manager можлива лише

з його встановленням заново Це повязано з тим, що він зберігає свої сертифікати у своєму власному форматі, конвертація в який відбувається при установці продукту

Тут не наводяться конкретні інструкції, так як вони сильно залежать від вашої інфраструктури, та й далеко не всім адміністраторам vSphere доведеться займатися цим питанням Однак якщо для вас ця проблема актуальна, рекомендую статтю «Заміна сертифікатів на службах VMware vSphere 4» (http://www virtualizationsecuritygroupru/publikatsii/zamena-sertifikatovhtml або http://link vm4ru/qcegm)

Механізм Host Profiles, що зявився в четвертій версії віртуальної інфраструктури VMware, надає можливість здійснювати настройку серверів ESX або ESXi шаблонами

Що це за налаштування:

Q  Memory reservation – Скільки мегабайт памяті буде зарезервовано для Service Console

Q  Storage Configuration – Настройки підключення сховищ NFS

Q  Networking – Найголовніший, на мою думку, пункт Тут ми можемо вказати, які комутатори, розподілені комутатори, групи портів і інтерфейси VMkernel з Service Console треба створювати З якими настройками IP, VLAN, security, NIC teaming Тобто навіть складну і розгалужену конфігурацію мережі ми можемо створити один раз, а потім через профіль налаштувань перенести на інші сервери

Q  Date and Time – Сервери NTP, тимчасові зони

Q  Firewall – Настройки брандмауера

Q  Security – Додавання локальних користувачів і груп

Q  Service – Настройка служб ntp і vpxa (це агент vCenter) Налаштування на рівні «чи повинні вони запускатися при старті сервера»

Q  Advanced – Деякі з розширених налаштувань

Починаючи з версії 41 через Host Profiles також поширюються наступні налаштування:

Q настройки для Cisco Nexus 1000V

Q порядок іменування PCI-пристроїв (якщо нам важливо, наприклад, яка саме мережева карта має імя vmnic1)

Q пароль root

Q інтеграція з AD

Послідовність дій для роботи з цим механізмом наступна

1 У вас повинен бути повністю настроєний сервер, з якого шаблон і знімається

2 Шаблон призначається на інший сервер або кластер

3 Виконується перевірка відповідності налаштувань серверів шаблоном (hosts compliance)

Host Profiles

4 Налаштування з шаблону застосовуються до серверів з відмінними настройками

Для створення шаблону найпростіше перейтиHome Management ⇒  Host

Profiles (Рис 413)

Рис 413 Створення профілю налаштувань

Запуститься майстер, де ви спочатку виберете, чи хочете імпортувати з файлу шаблон (наприклад, це може бути резервна копія, знадобляться вам після переустановлення vCenter) або створити новий (рис 414)

Вам запропонують вибрати сервер, настройки якого використовуватимуться в шаблоні Потім ви вкажете імя та опис шаблону Після завершення роботи майстра шаблон налаштувань зявиться в списку (рис 415)

На малюнку виділено контекстне меню профілю налаштувань Як ви бачите, прямо звідси можна:

Q змінювати містяться в профілі настройки

Q видалити цей профіль

Q вказати сервери та кластери, на які цей шаблон призначено

Q змінити еталонний сервер

Q оновити профіль – тобто заново вважати настройки з еталонного сервера і занести їх в профіль

Q експортувати цей профіль налаштувань у файл

Цілком імовірно, що відразу після створення шаблону налаштувань вам захочеться його відредагувати перед призначенням на інші сервери Натисніть Edit Profile Ви побачите список налаштувань, якими можна маніпулювати через механізм редагування профілів (рис 416)

Отже, ви створили профіль налаштувань сервера Ви змінили його – наприклад, видаливши з профілю створення якихось елементів віртуальної мережі, які були на еталонному сервері, але які не потрібні на інших серверах Тепер треба цей профіль призначити на інші сервери

Рис 414 Майстер створення профілю налаштувань

Рис 415 Доступні операції з профілем налаштувань

Простий спосіб це зробити – з контекстного меню даного профілю вибрати Attach Host / Cluster У вікні (рис 417) виберіть потрібні сервери та кластери і натисніть кнопку Attach

Host Profiles

Рис 416 Редагування профілю налаштувань

Рис 417 Призначення профілю на сервер або кластер

Передостанній крок – перевірка серверів на відповідність профілю Для цього виділіть профіль, перейдіть на закладкуHosts and Clusters і натисніть посилання Check Compliance Now в правій частині вікна (рис 418) Через короткий час на цій закладці відобразиться ситуація з відповідністю налаштувань

Рис 418 Перевірка на відповідність серверів призначеному профілем налаштувань

Тут ви бачите, що профіль призначений на кластер і два сервери (сервери, очевидно, належать кластеру) Cluster відзначений як Noncompliant, Це означає, що в кластері хоча б один сервер не задовольняє профілем налаштувань Відразу бачимо, що це сервер esx1vm4ru, І, виділивши його, в нижній частині бачимо розбіжність його налаштувань з настройками з профілю

Тепер можна виконати останній крок – ввести сервер в режим обслужи вання (maintenance mode) і застосувати (Apply) профіль налаштувань Обидві дії можна виконати з контекстного меню для сервера на тому ж вікні (рис 419)

Maintenance Mode Нагадаю, що сервер може увійти в режим обслужива ня тільки тоді, коли на ньому не залишається жодної працюючої ВМ – всі вони мігрували або вимкнені Також вас запитають – чи хочете ви перемістити вимкнені і призупинені (suspend) ВМ на інші сервери, – це корисно

Host Profiles

Рис 419 Приведення налаштувань сервера в відповідність профілю налаштувань

для підстраховки на випадок, якщо сервер втратить працездатність після застосування профілю налаштувань

Отже, перевели сервер в режим обслуговування і натиснулиApply для профілю налаштувань Відкриється майстер, який запитає про значеннях унікальних налаштувань, таких як IP-адреси для інтерфейсів VMkernel і подібних (рис 420)

Рис 420 Запит про значення унікальних налаштувань при застосуванні профілю налаштувань до сервера

У нижній частині зазначено, скільки таких налаштувань нам потрібно буде вказати

Тут – одну

Після завершення майстра і виконання операції налаштування ви повинні побачити приблизно таку картину, як на рис 421

Рис 421 Сервери кластера задовольняють призначеному профілем налаштувань

Тут ви бачите, що всі сервери відповідають (Compliant) профілем налаштувань (іноді необхідно заново запустити перевірку відповідності (Compliance Check)) Не забудьте, що тільки що налаштований сервер все ще перебуває в режимі обслуговування – на це вказує його іконка Поки він не вийде з цього режиму, на ньому не можна запускати ВМ Так що викличте для нього контекстне меню і виберіть пункт Exit Maintenance Mode

Все

Hosts Profiles зручно застосовувати:

Q для початкового налаштування інфраструктури Встановили форму ESX (i), один з них налаштували, зняли шаблон – з його допомогою налаштували інші

Q для додавання сервера в інфраструктуру Встановили на нього ESX (i), на-

значили профіль – новий сервер налаштований

Q для автоматизованої перенастроювання Хочемо поміняти, наприклад, конфігурацію віртуальної мережі Поміняли її на еталонному сервері, з якого знімався профіль налаштувань, потім оновили сам профіль, потім з його допомогою поміняли ці налаштування на інших серверах

Q для автоматичної перевірки коректності налаштувань При створенні профілю налаштувань автоматично створюється завдання в планувальнику (Home Management Scheduled tasks), Яка щодня запускає перевірку

відповідності кожному профілю налаштувань для кожного з серверів, на який його призначено Таким чином, якщо на одному з серверів помилково або випадково змінилася настройка (з керованих профілями) – Ви легко зможете це відстежити На жаль, немає можливості налаштувати автоматичне сповіщення по електронній пошті або SNMP Для перегляду поточної ситуації вам необхідно буде зайти на закладку  Hosts and Clusters потрібного профілю налаштувань

Використання SNMP

Q нарешті, для резервного копіювання Наприклад, в силу якихось причин ви прийняли рішення перевстановити ESX (i) на якомусь з серверів Ви зберігаєте його поточні налаштування в профіль і застосовуєте цей профіль до свіжовстановленому ESX (i) на цьому ж сервері

До речі, працювати з профілями налаштувань можна не тільки з розділу Home

Management Host Profiles Пройдіть в Home Inventory Hosts and Clus-

ters, Виділіть сервер або кластер і перейдіть на закладкуProfile Compliance

(Рис 422)

Рис 422 Робота з профілями налаштувань з розділу Hosts and Clusters

Тут або в контекстному меню кластера і серверів можна призначати профілі налаштувань, прибирати призначення, запускати перевірку на відповідність, запускати привид до відповідності

Профілі налаштувань не реплицируются між серверами vCenter в режимі Linked Mode

Джерело: Міхєєв М О Адміністрування VMware vSphere 41 – М: ДМК Пресс, 2011 – 448 с: Ил

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*