VMware vShield在已經(jīng)非常安全的vSphere產(chǎn)品之上又增加了一層防護(hù)。本文分享十個(gè)技巧可以幫助vShield用戶避免一些繁瑣而耗時(shí)的故障。

一、實(shí)踐造就完美

VMware的安全問(wèn)題很復(fù)雜，而且發(fā)生配置錯(cuò)誤后帶來(lái)的成本也很高昂。假設(shè)違反了vShield相關(guān)規(guī)則會(huì)直接切斷所有到虛擬機(jī)的網(wǎng)絡(luò)流量。所以最好的辦法是先在非關(guān)鍵業(yè)務(wù)主機(jī)上進(jìn)行實(shí)踐。

二、自啟動(dòng)

設(shè)置vShield Manager、Zones和App代理端為主機(jī)啟動(dòng)的同時(shí)自啟動(dòng)。在Zones和App代理端啟動(dòng)之前，主機(jī)端虛擬網(wǎng)絡(luò)上不會(huì)發(fā)生任何信息交換。

三、鎖定vShield代理

Manager、Zones和App虛擬機(jī)對(duì)于虛擬機(jī)安全和可連接性都是至關(guān)重要的，所以最好通過(guò)vShield Manager Web界面或命令行工具修改它們的默認(rèn)密碼。同樣，也要把Enabledmode的密碼修改掉。

不幸的是，vShield Manager和agent 虛擬機(jī)上的命令行界面默認(rèn)管理員密碼也是不能修改的。我們必須刪除這個(gè)用戶，然后創(chuàng)建新的--這不會(huì)對(duì)系統(tǒng)有影響，因?yàn)関Shield可以通過(guò)其它用戶（如，nobody 和vs_comm）執(zhí)行常用操作。好在Enabledmode的密碼是可以修改的，可以參考vShield管理員手冊(cè)（vShield Administration Guide）獲取更多信息。

四、安全的vShield訪問(wèn)

在vCenter中只有認(rèn)證用戶才能和vShield Manager及其代理進(jìn)行交互。如果發(fā)生了特殊情況，如突然斷電，會(huì)失去跟主機(jī)之間的聯(lián)系。

五、注意關(guān)鍵字

在vShield 4.1 Update 1版本中有個(gè)奇怪的現(xiàn)象，“any”必須以大寫字母形式出現(xiàn)在Zones和App 防火墻規(guī)則中。否則，這些規(guī)則就無(wú)法正常工作。這個(gè)明顯的漏洞將在下一版中獲得修正。

六、刪除磁盤操作要當(dāng)心vShield Manager虛擬機(jī)中有一個(gè)8GB大小的主虛擬磁盤，還有另一個(gè)1MB大小的副虛擬盤。千萬(wàn)不要?jiǎng)h除副磁盤，它在配置新的App和Zones代理時(shí)要用到。而且包含了很多重要參數(shù)，如IP地址信息等。而且在安裝vShield App時(shí)要通過(guò)該磁盤來(lái)引導(dǎo)。

七、卸載后要重啟

安裝vShield不會(huì)對(duì)宿主機(jī)或虛擬機(jī)有影響，但是在卸載vShield后必須要重啟宿主機(jī)。為了從宿主機(jī)完全卸載，需要把虛擬機(jī)遷移到其它主機(jī)或關(guān)閉。然后把主機(jī)置于維護(hù)模式后重啟。

需要重啟來(lái)完全地刪除vShield加載到宿主機(jī)內(nèi)存中的內(nèi)核等信息。卸載過(guò)程會(huì)刪除vSwitch之外的所有其它信息，由于其它模塊也在使用，所以無(wú)法自動(dòng)刪除，需要重啟。

八、不要?jiǎng)覸Mware Tools

vShield Manager和agent虛擬機(jī)中預(yù)裝了特殊的VMware Tools版本，不要試圖升級(jí)或刪除它。

虛擬應(yīng)用根據(jù)內(nèi)部運(yùn)行的程序進(jìn)行預(yù)裝和定制化。通常不應(yīng)該違反正常的升級(jí)流程來(lái)操作。VMware Tools實(shí)際上一組驅(qū)動(dòng)和終端工具，目前已經(jīng)有和vShield應(yīng)用協(xié)同工作的預(yù)裝軟件版本。我們無(wú)法在未經(jīng)測(cè)試的情況下預(yù)測(cè)新版本可能引發(fā)的問(wèn)題。

九、借助警報(bào)系統(tǒng)

vShield自動(dòng)安裝了新的警報(bào)模式，可以檢測(cè)vShield相關(guān)的事件和情況。利用這些功能來(lái)改善VMware的安全監(jiān)控現(xiàn)狀。

十、檢查資源的可用性

保證vShield Manager和agent虛擬機(jī)的可用資源，這點(diǎn)很重要。否則，vShield Manager會(huì)變得響應(yīng)遲緩，而導(dǎo)致虛擬機(jī)丟失網(wǎng)絡(luò)連接。

vShield虛擬機(jī)預(yù)留一定的物理內(nèi)存空間。不要修改這些參數(shù)或減少分配的內(nèi)存數(shù)量。默認(rèn)情況下是沒(méi)有預(yù)留CPU資源的，不過(guò)在資源緊張的主機(jī)上，您應(yīng)該設(shè)置1個(gè)或1組CPU共享資源來(lái)保證它的可用性。

【編輯推薦】

1. VMware View 4.5體驗(yàn)之旅（上）
2. VMware View 4.5體驗(yàn)之旅（下）
3. 絕處逢生 VMware View 4.5配置管理替代方案出現(xiàn)了！
4. VMware View虛擬桌面遷移：數(shù)據(jù)存儲(chǔ)注意事項(xiàng)
5. VMware View難管理？四個(gè)突破口解決
6. VMware View 4.5安裝 三因素定成敗
7. 為桌面而構(gòu)建 親密接觸VMware View
8. VMware View進(jìn)軍iPad市場(chǎng) 通過(guò)App Store下載