基于 VM 的安全私有云進行集中管理時需要注意什么

基于VM的安全私有云進行集中管理時需要注意以下這些：

• 使用虛擬機部署vCenterServer和數據庫系統。根據虛擬基礎架構的大小部署一個或多個vCenterServer系統。配置靜態IP地址和主機名稱，以避免與vCenterServer實例的連接中斷。

• 如果可以允許停機一兩分鐘，則使用vSphereHA保護vCenterServer系統。如果無法容忍停機一或兩分鐘以上，可以使用vCenterServerHeartbeat之類的產品或第三方集群解決方案保護vCenterServer系統。VCSA6.5中則自帶了HA方案，使用一個Active/Passive/Witness架構來保護vCenter，一旦vCenter服務發生故障，能夠在5分鐘內把服務切換到備份機。這個服務是VCSA內置的，不需要依賴于任何外部的共享存儲或數據庫。

• 如果為vSphereHA集群啟用了DRS，請禁用vCenterServer虛擬機遷移。對于除包括少量主機的小型基礎架構外的所有基礎架構而言，請勿將vCenterServer數據庫系統和vCenterServer置于相同的系統中。

• 使用數據庫供應商提供的可用性方法，如果數據庫供應商未提供特定的方法，請使用vSphereHA保護數據庫服務器。如果擔心在使用管理界面連接vCenterServer系統或ESXi主機時會有中間人攻擊，請使用證書。如果配置了vCenter鏈接模式（僅限基于Windows的vCenterServer系統）或vSphereFaultTolerance（FT），必須啟用vCenterServer證書檢查。

• 使用自動化方法安裝和配置ESXi主機。為基礎架構服務創建獨立的管理集群。限制具有vCenterServer訪問權限的用戶數量。對具有vCenterServer訪問權限的用戶采用最低特權原則。將vCenterServer系統和托管管理接口的所有服務器（VMwarevSphereClient、vSpherePowerCLI等）添加到目錄服務，然后在目錄服務中創建用戶和組。

• 使用文件夾為需要相似訪問權限的對象分配角色，通過簡化權限分配來簡化管理和增強安全性。在獨立于vCenterServer系統的系統中安裝vCenterServer可選模塊。最好在虛擬機上安裝可選模塊。如果設計包括多個vCenterServer系統，應該配置vCenter鏈接模式。vCenter鏈接模式要求所有vCenterServer系統都是同一個域中的ActiveDirectory成員，或至少是受信任域的成員。

• 快照不是備份解決方案，卻是很有用的撤銷操作解決方案。對于生產環境，建議每個虛擬機對應一個快照和清除策略。盡可能自動執行性能監視，并在超過性能閾值時創建用于通知的警報，但避免采用過于嚴格的vCenterServer警報設置。

回答所涉及的環境：聯想天逸510S、Windows 10。