Настройка сертификатов SSL

VMware  vSphere,  а именно продукты  ESX(i) 4, vCenter 4, VMware Converter Enterprise и VMware  Update Manager  4, поддерживают SSL v3 и TLS v1 (обычно  употребляется просто «SSL»). Если SSL включен, то трафик между узлами виртуальной инфраструктуры зашифрован, подписан и не может быть незаметно изменен. ESX(i), как и другие продукты  VMware, использует  сертификаты X.509 для шифрования передаваемого по SSL трафика.

В vSphere  4 проверка  сертификатов включена  по умолчанию,  и они используются для шифрования трафика.  Однако  по умолчанию  эти сертификаты генерируются  автоматически во время  установки  ESX(i). Эта процедура  не требует от администратора каких-то  действий. Но они не выданы центром сертификации (certificate authority, CA. Также  иногда  упоминается в русскоязычной документации как «удостоверяющий центр», УЦ). Такие самоподписанные сертификаты потенциально уязвимы для атак «человек в середине». Потому что для них до того, как начинается  шифрование трафика, не производится проверка подлинности самих сертификатов.

При   попытке   подключения  к  ESX(i)  или   vCenter  (с  помощью  клиента vSphere или браузера)  пользователю выдается соответствующее предупреждение (рис. 4.12), сообщающее ему о том, что удаленная система может не являться доверенной  и установить  ее подлинность не представляется возможным.  Конечно, это предупреждение можно отклонить, можно занести  сертификаты всех управляемых систем в список доверенных, но это может ослабить безопасность  инфра структуры. К тому же, возможно, в вашей организации запрещено использование систем с недоверенными сертификатами (административно или технически).

Рис. 4.12. Предупреждение о недоверенном сертификате

Для решения  этих проблем вам потребуется  запросить  у доверенного центра сертификации подходящий сертификат и заменить  им сгенерированные автоматически. Доверенный центр сертификации может быть коммерческим (например, VeriSign, Thawte  или GeoTrust) или установленным в вашей сети (например, Microsoft Windows Server Active Directory Certificate Cervices, AD CS или OpenSSL).

Примерный план этого действия  выглядит  следующим образом.

1.    Получение сертификата для ESX(i), замена ими сгенерированных по умолчанию сертификатов.

2.    Получение  сертификатов для vCenter 4 и Update Manager 4. Замена сгенерированных по умолчанию сертификатов. Обратите внимание на то, что замена сертификата для уже установленного Update Manager возможна лишь

с его переустановкой. Это связано с тем, что он хранит свои сертификаты в своем собственном  формате, конвертация в который происходит при установке продукта.

Здесь  не приводятся конкретные инструкции, так как они сильно зависят  от вашей инфраструктуры, да и далеко не всем администраторам vSphere  придется  заниматься этим вопросом. Однако если для вас эта проблема актуальна, рекомендую статью «Замена  сертификатов на службах VMware  vSphere  4» (http://www. virtualizationsecuritygroup.ru/publikatsii/zamena-sertifikatov.html  или http://link. vm4.ru/qcegm).

4.3.   Host Profiles

Механизм  Host  Profiles,  появившийся в четвертой  версии  виртуальной инфраструктуры VMware, предоставляет возможность осуществлять настройку серверов ESX или ESXi шаблонами.

Что это за настройки:

Q  Memory reservation – сколько мегабайт памяти будет зарезервировано для Service Console;

Q  Storage Configuration – настройки подключения хранилищ NFS;

Q  Networking – самый главный,  по моему мнению, пункт. Здесь  мы можем указать,  какие  коммутаторы,  распределенные коммутаторы,  группы  портов и интерфейсы VMkernel  с Service  Console  надо  создавать.  С какими  настройками IP, VLAN, security, NIC teaming. То есть даже сложную и разветвленную  конфигурацию сети мы можем создать один раз, а затем через профиль  настроек перенести на другие серверы;

Q  Date and Time – серверы NTP, временные зоны;

Q  Firewall – настройки брандмауэра;

Q  Security – добавление локальных  пользователей и групп;

Q  Service – настройка  служб ntp  и vpxa (это  агент vCenter). Настройки на уровне «должны ли они запускаться при старте сервера»;

Q  Advanced – некоторые из расширенных  настроек.

Начиная с версии 4.1 через Host  Profiles также распространяются следующие настройки:

Q  настройки для Cisco Nexus 1000V;

Q  порядок  именования PCI-устройств  (если  нам  важно,  например,  какая именно сетевая карта имеет имя vmnic1);

Q  пароль root;

Q  интеграция с AD.

Последовательность действий для работы с этим механизмом следующая.

1.    У вас должен  быть полностью  настроенный сервер, с которого шаблон  и снимается.

2.    Шаблон назначается на другой сервер или кластер.

3.    Выполняется проверка  соответствия настроек  серверов  шаблону  (host’s compliance).

Host Profiles

4.    Настройки из  шаблона  применяются к  серверам  с отличающимися  настройками.

Для  создания  шаблона  проще  всего перейти  Home ? Management ?  Host

Profiles (рис. 4.13).

Рис. 4.13. Создание профиля настроек

Запустится мастер, где вы сначала выберете, хотите ли импортировать из файла шаблон (например, это может быть резервная  копия, понадобившаяся вам после переустановки vCenter) или создать новый (рис. 4.14).

Вам предложат  выбрать  сервер, настройки которого  будут использоваться в шаблоне. Затем  вы укажете  имя и описание  шаблона. После завершения работы мастера шаблон настроек появится в списке (рис. 4.15).

На рисунке  выделено  контекстное  меню профиля настроек.  Как вы видите, прямо отсюда можно:

Q  изменять  содержащиеся в профиле  настройки;

Q  удалить этот профиль;

Q  указать серверы и кластеры, на которые этот шаблон назначен;

Q  сменить эталонный сервер;

Q  обновить профиль – то есть заново считать настройки с эталонного сервера и занести их в профиль;

Q  экспортировать этот профиль  настроек в файл.

Вполне  вероятно,  что сразу после создания  шаблона  настроек  вам захочется его отредактировать перед назначением на другие серверы. Нажмите Edit Profile. Вы увидите  список настроек,  которыми  можно манипулировать через механизм  редактирования профилей (рис. 4.16).

Итак,  вы создали  профиль  настроек  сервера.  Вы изменили  его – например, удалив из профиля создание каких-то элементов виртуальной сети, которые были на эталонном  сервере, но которые не нужны на прочих серверах. Теперь надо этот профиль  назначить на прочие серверы.

Рис. 4.14. Мастер создания профиля настроек

Рис. 4.15. Доступные операции с профилем настроек

Простой способ это сделать – из контекстного меню данного профиля выбрать Attach Host/Cluster. В появившемся окне (рис. 4.17) выберите нужные серверы и кластеры и нажмите кнопку Attach.

Host Profiles

Рис. 4.16. Редактирование профиля настроек

Рис. 4.17. Назначение профиля на сервер или кластер

Предпоследний шаг – проверка серверов на соответствие профилю. Для этого выделите  профиль,  перейдите на закладку  Hosts and Clusters и нажмите  ссылку Check Compliance Now в правой части окна (рис. 4.18). Через короткое время на этой закладке отобразится ситуация  с соответствием настроек.

Рис. 4.18. Проверка на соответствие серверов назначенному профилю настроек

Здесь  вы видите,  что профиль  назначен  на кластер  и два сервера (серверы,  очевидно, принадлежат кластеру). Cluster отмечен как Noncompliant, это означает, что в кластере хотя бы один сервер не удовлетворяет профилю настроек. Сразу видим, что это сервер esx1.vm4.ru, и, выделив его, в нижней части видим расхождение его настроек с настройками из профиля.

Теперь  можно выполнить последний  шаг – ввести сервер в режим обслужи вания (maintenance mode) и применить  (Apply)  профиль настроек. Оба действия  можно выполнить из контекстного  меню для сервера на том же окне (рис. 4.19).

Maintenance Mode. Напомню,  что сервер может войти  в режим обслужива ния только тогда, когда на нем не остается  ни одной работающей  ВМ – все они мигрированы или выключены. Также вас спросят – хотите ли вы переместить выключенные  и приостановленные (suspend) ВМ на другие серверы, – это полезно

Host Profiles

Рис. 4.19. Приведение настроек сервера в соответствие профилю настроек

для подстраховки  на случай, если сервер потеряет работоспособность после применения профиля настроек.

Итак,  перевели  сервер в режим обслуживания и нажали  Apply для профиля настроек. Откроется мастер, который спросит о значениях уникальных настроек, таких как IP-адреса для интерфейсов VMkernel  и подобных (рис. 4.20).

Рис. 4.20. Запрос о значении уникальных настроек при применении профиля настроек к серверу

В нижней  части указано,  сколько  таких  настроек  нам нужно  будет указать.

Здесь – одну.

После  завершения мастера  и выполнения операции  настройки вы  должны увидеть примерно такую картину, как на рис. 4.21.

Рис. 4.21. Серверы кластера удовлетворяют назначенному профилю настроек

Здесь  вы видите,  что все серверы  соответствуют  (Compliant)  профилю  настроек (иногда необходимо заново запустить  проверку соответствия (Compliance Check)). Не забудьте, что только что настроенный сервер все еще находится  в режиме обслуживания – на это указывает  его иконка.  Пока он не выйдет  из этого режима, на нем нельзя запускать ВМ. Так что вызовите для него контекстное меню и выберите пункт Exit Maintenance Mode.

Все.

Hosts Profiles удобно применять:

Q  для первоначальной настройки инфраструктуры. Установили форму ESX(i), один из них настроили,  сняли шаблон – с его помощью настроили остальные;

Q  для добавления  сервера в инфраструктуру. Установили на него ESX(i), на-

значили  профиль  – новый сервер настроен;

Q  для автоматизированной перенастройки. Хотим поменять, к примеру, конфигурацию  виртуальной сети. Поменяли ее на эталонном  сервере, с которого снимался профиль  настроек, затем обновили сам профиль, затем с его помощью поменяли  эти настройки на прочих серверах;

Q  для автоматической проверки  корректности настроек.  При создании профиля  настроек автоматически создается  задача в планировщике (Home ? Management ? Scheduled tasks), которая  ежедневно  запускает  проверку

соответствия каждому профилю  настроек для каждого из серверов, на который он назначен.  Таким  образом, если на одном из серверов по ошибке или  случайно  изменилась  настройка  (из управляемых профилями) – вы легко сможете это отследить. К сожалению, нет возможности настроить автоматическое оповещение  по электронной почте или SNMP. Для просмотра текущей ситуации  вам необходимо  будет зайти  на закладку  Hosts and Clusters нужного профиля настроек;

Использование SNMP

Q  наконец, для резервного копирования. К примеру, в силу каких-то причин вы приняли решение переустановить ESX(i) на каком-то  из серверов. Вы сохраняете  его текущие настройки в профиль  и применяете этот профиль  к свежеустановленному ESX(i) на этом же сервере.

Кстати, работать с профилями настроек можно не только из раздела Home ?

Management ? Host Profiles. Пройдите  в Home ? Inventory ? Hosts and Clus-

ters, выделите  сервер  или  кластер  и перейдите  на закладку  Profile Compliance

(рис. 4.22).

Рис. 4.22. Работа с профилями настроек из раздела Hosts and Clusters

Здесь или в контекстном меню кластера  и серверов можно назначать профили настроек, убирать назначения, запускать  проверку  на соответствие, запускать  привидение к соответствию.

Профили настроек  не реплицируются между  серверами  vCenter в  режиме Linked Mode.

Источник: Михеев М. О.  Администрирование VMware vSphere 4.1. – М.: ДМК Пресс, 2011. – 448 с.: ил.

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий