十大安全技巧为您解析VMware vShield

VMware vShield在已经非常安全的vSphere产品之上又增加了一层防护。本文分享十个技巧可以帮助vShield用户避免一些繁琐而耗时的故障。

一、实践造就完美

VMware的安全问题很复杂，而且发生配置错误后带来的成本也很高昂。假设违反了vShield相关规则会直接切断所有到虚拟机的网络流量。所以最好的办法是先在非关键业务主机上进行实践。

二、自启动

设置vShield Manager、Zones和App代理端为主机启动的同时自启动。在Zones和App代理端启动之前，主机端虚拟网络上不会发生任何信息交换。

三、锁定vShield代理

Manager、Zones和App虚拟机对于虚拟机安全和可连接性都是至关重要的，所以最好通过vShield Manager Web界面或命令行工具修改它们的默认密码。同样，也要把Enabledmode的密码修改掉。

不幸的是，vShield Manager和agent 虚拟机上的命令行界面默认管理员密码也是不能修改的。我们必须删除这个用户，然后创建新的--这不会对系统有影响，因为vShield可以通过其它用户（如，nobody 和vs_comm）执行常用操作。好在Enabledmode的密码是可以修改的，可以参考vShield管理员手册（vShield Administration Guide）获取更多信息。

四、安全的vShield访问

在vCenter中只有认证用户才能和vShield Manager及其代理进行交互。如果发生了特殊情况，如突然断电，会失去跟主机之间的联系。

五、注意关键字

在vShield 4.1 Update 1版本中有个奇怪的现象，"any"必须以大写字母形式出现在Zones和App 防火墙规则中。否则，这些规则就无法正常工作。这个明显的漏洞将在下一版中获得修正。

六、删除磁盘操作要当心vShield Manager虚拟机中有一个8GB大小的主虚拟磁盘，还有另一个1MB大小的副虚拟盘。千万不要删除副磁盘，它在配置新的App和Zones代理时要用到。而且包含了很多重要参数，如IP地址信息等。而且在安装vShield App时要通过该磁盘来引导。

七、卸载后要重启

安装vShield不会对宿主机或虚拟机有影响，但是在卸载vShield后必须要重启宿主机。为了从宿主机完全卸载，需要把虚拟机迁移到其它主机或关闭。然后把主机置于维护模式后重启。

需要重启来完全地删除vShield加载到宿主机内存中的内核等信息。卸载过程会删除vSwitch之外的所有其它信息，由于其它模块也在使用，所以无法自动删除，需要重启。

八、不要动VMware Tools

vShield Manager和agent虚拟机中预装了特殊的VMware Tools版本，不要试图升级或删除它。

虚拟应用根据内部运行的程序进行预装和定制化。通常不应该违反正常的升级流程来操作。VMware Tools实际上一组驱动和终端工具，目前已经有和vShield应用协同工作的预装软件版本。我们无法在未经测试的情况下预测新版本可能引发的问题。

九、借助警报系统

vShield自动安装了新的警报模式，可以检测vShield相关的事件和情况。利用这些功能来改善VMware的安全监控现状。

十、检查资源的可用性

保证vShield Manager和agent虚拟机的可用资源，这点很重要。否则，vShield Manager会变得响应迟缓，而导致虚拟机丢失网络连接。

vShield虚拟机预留一定的物理内存空间。不要修改这些参数或减少分配的内存数量。默认情况下是没有预留CPU资源的，不过在资源紧张的主机上，您应该设置1个或1组CPU共享资源来保证它的可用性。