Merhaba,
Bu bölümde vSphere HA’ın security tarafındaki işleyişini anlatacağım biraz. vSphere HA birkaç güvenlik özellikleri tarafından güçlendirilmiştir. Siz vSphere HA’i açtığınızda aslında arka planda neler olduğunu merak edebilirsiniz, bunun için aşağıdaki yazı size faydalı olacaktır;
Firewall port ve Configuration file:
- vSphere HA; 8182 TCP ve UDP portlarını agent to agent iletişimi için kullanır. Bu port’lar ihtiyaç anında otomatik olarak açılır ve kapatılır. İhtiyaç anında açılır yani.
- vSphere HA; konfigurasyon bilgilerini local storage üzerinde tutar. Eğer local datastore kullanılmaz ise ramdisk üzerinde tutacaktır bu bilgileri. Bu dosyalara yanlızca root user ulaşabilir. Yani dosya izinlerinde sadece root user’a izin verilmiştir.
vSphere HA log dosyalarının buluduğu yer host’ların versiyonlarına göre değişkenlik gösterebilir:
- ESXi 5.x host’lar için, vSphere HA syslog’a yazılır default olarak, yanlız loglar syslog ‘un logları almak için ayarlandığı yere konur. Bu log dosyasının ismi fdm yani fault domain manager’dır.
- Daha eski versiyonlarda ESXi 4.x ve 3.x host’larda; vSphere HA /var/log/vmware/fdm içerisine log’lar yazılır.
- Daha eski versiyonlarda ESX 4.x ve 3.x host’larda; vSphere HA /var/log/vmware/fdm içerisine log’lar yazılır.
vSphere HA secure bağlantı:
vSphere HA agent’i vpxuser account’unu kullanır ve bu account vCenter Server tarafından oluşturulmuştur. Bu account vCenter Server üzerinden host’ları manage eder. vCenter Server random password’lar oluşturarak periyodik olarak bu account’un şifresini değiştirir. Periyodik olarak yapılan password change süresini değiştirmek isterseniz vCenter Server üzerinden VirtualCenter.VimPasswordExpirationInDays parametresinin değerini değiştirebilirsiniz. Bu işlemi yapmak için vSphere Client ile vCenter’a bağlandıktan sonra Administration > vCenter Server Settings > Advanced Settings giriş yapabilirsiniz.
Secure communication:
vCenter Server ve vSphere HA agent’ı arasında yapılan bütün iletişim SSL üzerinden yapılır. Agent to Agent iletişimi election mesajları dışında SSL üzerinden gerçekleşir, election işlemleri UDP üzerinden gerçekleşir.
SSL Sertifikası doğrulaması gereklidir:
vSphere HA, her host için SSL sertifikasına ihtiyaç duyar. Her host ilk boot esnasında self-signed sertifika generate eder. Bu sertifika bir sorun yanında tekrar oluşturulur. Eğer sertifika değişirse; host üzerinde reconfigure işlemini yapmanız gerekir -ki böyle bir durumda zaten size vCenter uyarı verecektir. Eğer host vCenter’dan disconnect duruma gelirse; host tekrar vCenter’a reconnect olduğunda vSphere HA otomatik olarak host’u reconfigure eder böyle bir durumda host üzerindeki sertifika update edilir ve Host’un agent’ı restart edilir. Eğer disconnect olma durumu gerçekleşmez ise vCenter Server, host üzerindeki SSL’sertifika üzerinden doğrulamayı devre dışı bırakır ve vSphere HA yeni sertifika yüklemek için reconfigure eder.
İyi çalışmalar.
