Handbuch zur Server-Konfiguration
Contents
1. VMkernel Virtuelle Maschine Abbildung 10 3 Port Verwendung f r VI Client Datenverkehr mit ESX Server Wenn Sie zwischen dem VirtualCenter Server und dem von VirtualCenter verwalteten Hosts eine Firewall installiert haben m ssen Sie Port 902 und 903 in der Firewall ffnen um folgenden Datenverkehr zu erm glichen m Vom VirtualCenter Server auf die ESX Server Hosts m Direkt vom VI Client und von VI Web Access auf die ESX Server Hosts Weitere Informationen zur Konfiguration der Ports erhalten Sie beim Firewall System administrator Anbindung von ESX Server Hosts ber Firewalls Wenn Sie eine Firewall zwischen zwei ESX Server Hosts eingerichtet haben und Daten bertragungen zwischen den Hosts erm glichen oder mit VirtualCenter Quelle Ziel Aktivit ten wie Datenverkehr im Rahmen von VMware Hochverf gbarkeit HA Migrationen Cloning oder VMotion durchf hren m chten m ssen Sie eine Verbin dung konfigurieren ber die die verwalteten Hosts Daten empfangen k nnen Daf r m ssen Sie folgende Ports freigeben m 902 Server Server Migration und Provisioning Datenverkehr m 2050 5000 f r HA Datenverkehr VMware Inc 191 Handbuch zur Server Konfiguration 192 8000 f r VMotion 8042 8045 f r HA Datenverkehr Weitere Informationen zur Konfiguration der Ports erhalten Sie beim Firewall System administrator Genauere Informationen zu Richtung und Protokollen f r diese Ports finde2. Beschr nkungen Anwenderkategorie Gesamtanzahl der Konten Globale Administratoren 1 Kundenadministratoren 10 Systemadministratoren 0 Unternehmensanwender 0 Tabelle 13 6 Die folgende Tabelle zeigt die Zugriffsberechtigungen f r die Anwender Tabelle 13 6 Anwenderzugriff in einer Implementierung f r mehrere Kunden mit Beschr nkungen Globaler Kundenad Systemad Zugriffsbefugnisse Administrator ministrator ministrator Root Zugriff Ja Nein Nein Servicekonsolenzugriff ber SSH Ja Ja Nein VirtualCenter und VI Web Access Ja Ja Nein Erstellung und nderung von vir Ja Ja Nein tuellen Maschinen Zugriff auf virtuelle Maschinen ber Ja Ja Ja die Konsole Implementierung f r mehrere Kunden ohne Beschr nkungen In dieser Implementierung befinden sich die ESX Server Hosts im gleichen Datacenter und werden f r Anwendungen mehrerer Kunden verwendet Der globale Adminis trator wartet die ESX Server Hosts auf denen mehrere virtuelle Maschinen jeweils f r die einzelnen Kunden ausgef hrt werden Die virtuellen Maschinen der verschiedenen Kunden k nnen sich auf dem gleichen ESX Server Host befinden aber es gibt weniger Beschr nkungen zur gemeinsamen Nutzung von Ressourcen Es gibt einen globalen Administrator und mehrere Kundenadministratoren die die virtuellen Maschinen ihrer jeweiligen Kunden warten Zu dieser Implementierung geh ren auch Systemadministratoren der Kunden die kein ESX Server Konto haben
3. Diese Policy gilt f r alle virtuellen Adapter auf dem vSwitch au er f r diejenigen f r die die Port Gruppe f r die virtuellen Adapter eine Ausnahme von der Policy beschreibt 7 Im Bereich Policy Ausnahmen k nnen Sie ausw hlen ob die Ausnahmen f r die L2 Sicherheits Policy abgelehnt oder angenommen werden sollen m Promiscuous Modus Ablehnen Die Aktivierung des Promiscuous Modus f r den Gast Adapter hat keine Auswirkungen darauf welche Frames vom Adapter empfangen werden Akzeptieren Die Aktivierung des Promiscuous Modus f r den Gast Adapter veranlasst dass alle Frames erkannt werden die ber den vSwitch bertragen werden und die nach der VLAN Policy f r die Port Gruppe an die der Adapter angeschlossen ist zugelassen sind m nderungen der MAC Adresse Ablehnen Wenn die Option nderungen der MAC Adresse auf Ablehnen gesetzt ist und das Gast Betriebssystem ndert die MAC Adresse auf einen anderen Wert als den der in der Konfigurationsdatei vmx angegeben ist werden alle ankommenden Frames verworfen Wenn das Gast Betriebssystem die MAC Adresse wieder auf eine MAC Adresse ndert die in der vmx Konfigurationsdatei angegeben ist wer den alle ankommenden Datenbl cke wieder weitergeleitet VMware Inc Kapitel 3 Erweiterte Netzwerkeigenschaften m Akzeptieren Die nderung der MAC Adresse des Gast Betriebssystems hat den gew nschten Effekt Datenbl cke an die neue MAC Adresse werden empfan
4. VMware Inc 57 Handbuch zur Server Konfiguration 58 7 Klicken Sie auf die Registerkarte NIC Teaming Das Dialogfeld Policy Ausnahmen wird angezeigt Sie k nnen den Failover Befehl auf Port Gruppenebene aussetzen Standardm ig werden neue Adapter f r alle Policys auf Aktiv gesetzt Neue Adapter bertragen den Datenverkehr f r den vSwitch und seine Port Gruppe wenn Sie nichts anderes angeben dy Switcht Eigenschaften Allgemein Sicherheit TiatficSheping NIC Teambidung Lastausglach Routen unter Berucksschtigung des ursprungkchen ID des v tuellen Ports 2 Erfassung von Netzwerk Fadower Nur Verbicungsstahrs r Notify Swiches Ja T Roling Fadowen Nein ha FaloverRehenioge w hlen Sie aktive und Standby Adapter fur dese Port Gruppe In ener Fadover Sihualion werden Standby Adapter in der unten angegebenen Reihenfolge aktiviert Name Geschwindigkeit Aktive Adapter nach 10 vol 192 168 2 96 192 169 2 127 varnecl 100 Yol 197 166 2 96 1 2 109 2 17 Standby Adapter Nicht benutzte Adapter Netzwerke Im Policy Ausnahmen Dialogfeld m Lastenausgleich Geben Sie an wie ein Uplink ausgew hlt werden soll m Anhand der Quelle der Port ID routen Der Uplink wird anhand des virtuellen Ports ausgew hlt an dem der Datenverkehr den virtuellen Switch ansteuert m Anhand des IP Hashs routen Der Uplink wird anhand des Hashs der Ursprungs und Ziel IP Adresse j
5. v3template1 YM 1 VM 1 vmx m Arbeitsverzeichnis der virtuellen Maschine v3template1 YM 1 G st Betriebssysteme Microsoft Windows C Linux C Novell Netware C Solaris C Andere Version Microsoft Windows Server 2003 Standard Edition 2 OK Abbrechen Hilfe Melden Sie sich auf der Servicekonsole an und erlangen Sie Root Privilegien Wechseln Sie in das Verzeichnis um auf die Konfigurationsdatei der virtuellen Maschine zuzugreifen deren Pfad Sie sich in Schritt Schritt 3 notiert haben Die Konfigurationsdateien der virtuellen Maschinen befinden sich im Verzeichnis vmfs volumes lt datastore gt wo es sich beim lt datastore gt um den Namen des Speicher Ger tes handelt auf dem die Dateien der virtuellen Maschine gespei chert sind Wenn beispielsweise die Konfigurationsdatei der virtuellen Maschine die Sie aus dem Dialogfeld Eigenschaften der virtuellen Maschine erhalten haben vol1 vm finance vm finance vmx entspricht wechseln Sie die Ver zeichnisse wie folgt cd vmfs volumes vol1 vm finance Verwenden Sie Nano oder einen anderen Text Editor um die vmx Datei um die folgende Zeile zu erg nzen lt device_name gt allowGuestConnectionControl false Wobei lt device_name gt der Name des Ger tes ist das gesch tzt werden soll z B ethernetl 269 Handbuch zur Server Konfiguration 270 HINWEIS Standardm ig ist Ethernet 0 so konfiguriert dass die Tren
6. 288 Migrieren einer VMFS 2 virtuellen Festplatte auf VMFS 3 auf Seite 291 Anlegen einer Raw Device Mapping Datei im virtuellen Kompatibilit tsmodus auf Seite 292 Auff hren der Attribute eines RDM auf Seite 292 Anlegen einer Raw Device Mapping Datei im physischen Kompatibilit tsmodus auf Seite 293 Anlegen einer Deskriptor Datei f r ein Raw Ger t auf Seite 293 Anzeige der Architektur der virtuellen Festplatte auf Seite 293 Unterst tzte Festplattenformate Beim Erstellen oder Klonen von virtuellen Festplatten k nnen Sie die d diskformat Suboption verwenden um das Format Ihrer Festplatte anzugeben W hlen Sie ein geeignetes Format aus zeroedthick Standardeinstellung Der Speicher den die virtuelle Festplatte ben tigt wird w hrend des Anlegens zugewiesen Alle Daten die auf dem physischen Ger t verbleiben werden nicht w hrend des Anlegens sondern zu einem sp teren Zeitpunkt w hrend der Lese und Schreibvorg nge der virtuellen Maschine gel scht eagerzeroedthick Der Speicher den die virtuelle Festplatte ben tigt wird w hrend des Anlegens zugewiesen Im Gegensatz zum zeroedthick Format werden die verbleibenden Daten auf dem physischen Ger t w hrend des Anlegens gel scht Das Anlegen von Festplatten in diesem Format kann wesentlich l nger dauern als das Anlegen von anderen Festplattentypen thick Der Speicher den die virtuelle Festplatte ben tigt wird w
7. Der Name des Datastores wird im VI Client angezeigt Die Bezeichnung muss in der vorliegenden Instanz der virtuellen Infrastruktur eindeutig sein 8 Klicken Sie auf Weiter Das Dialogfeld Festplatte LUN Formatierung wird angezeigt RE Festplatte LUN Formatierung Das Format Ihres Dateisysbems bestimmt welche Klasse von virtuellen Maschinen unterst tzt wird Ger testandent Aktyeles Festolatten L aysart Eigenschaften Gro e Dateien erfordern eine gro e Blockgr e der Mindestspeicherplatz der von einer Datei belegt Formatierung wird entspricht der Dateisystem Blackgr be Diese Werte werden von VMFY 3 Ciateisystemen bei Bedarf angepasst 255 68 Blockgr e MB Kapazit t M Kapazit t maximieren f 73 4 GB Maximale Diateigr be Hilfe lt Zur ck Abbrechen s 9 ndern Sie bei Bedarf die Werte f r das Dateisystem und die Gr e des Data stores Standardm ig wird der gesamte freie Speicherplatz des Speicherger tes angeboten 10 Klicken Sie auf Weiter Das Dialogfeld bersicht wird angezeigt 11 berpr fen Sie die Daten f r den Datastore und klicken Sie auf Fertig stellen Dadurch wird ein Datastore auf einem hardware initiierten iSCSI Ger t erstellt 12 Scannen Sie nach neuen Speicherger ten Weitere Informationen finden Sie unter Neu scannen auf Seite 131 Konfiguration von software initiiertem iSCSI Speicher Bei der Verwendung von software basiertem iSCSI k nn
8. Raw Device Mapping Eigenschaften 156 Eine RDM Zuordnungsdatei ist eine spezielle Datei auf einem VMFS Volume mit deren Hilfe die Metadaten f r das zugeordnete Ger t verwaltet werden Die Manage ment Software sieht die Zuordnungsdatei als normale Festplattendatei die f r nor male Dateisystemoperationen zur Verf gung steht Die virtuelle Maschine erkennt das zugeordnete Ger t aufgrund der Speicher Virtualisierungs Layer als virtuelles SCSI Ger t VMware Inc Kapitel 8 Raw Device Mapping Zu den wichtigsten Metadaten in der Zuordnungsdatei geh ren der Speicherort des zugeordneten Ger tes Namensaufl sung und der Sperrstatus des zugeordneten Ger ts Virtuelle Maschine 1 Virtuelle Maschine 2 Virtualisierung Virtualisierung Virtuelle i Festplattendatei Sektoren der Speicherort Zuordnungs Festplattendaten Genehmigungen datei Sperren etc Zuordnungsdatei Zugeordnetes Ger t VMFS Datentr ger Abbildung 8 3 Metadaten der Zuordnungsdatei Vergleich des virtuellen und des physischen Kompatibilit tsmodus Der virtuelle Modus f r eine RDM Zuordnung legt die vollst ndige Virtualisierung des zugeordneten Ger tes fest Das Gast Betriebssystem sieht keinen Unterschied zwischen einem zugeordneten Ger t und einer virtuellen Festplattendatei auf einem VMFS Datentr ger Die echten Hardware Merkmale sind verborgen Mit dem vir tuellen Modus k nnen Kunden die Raw Festplatten verwenden die Vorteile von
9. Anwendergruppen http www vmware com vcommunity usergroups html Weitere Informationen zum VMware Technologienetzwerk finden Sie unter http www vmtn net Online und Telefon Support Im Online Support k nnen Sie technische Unterst tzung anfordern Ihre Produkt und Vertragsdaten abrufen und Ihre Produkte registrieren Weitere Informationen finden Sie unter http www vmware com support Kunden mit entsprechenden Vertr gen f r den Telefon Support erhalten auf diese Weise die schnellste Hilfe bei Problemen h chster Priorit t Weitere Informationen finden Sie unter http www vmware com support phone_support html Support Angebote Hier finden Sie Informationen dar ber wie die Support Angebote von VMware Ihnen beim Meistern Ihrer Aufgaben helfen k nnen Weitere Informationen finden Sie unter http www vmware com support services VMware Ausbildungsdienstleistungen VMware Kurse umfassen umfangreiche Praxis bungen Fallstudienbeispiele und Schulungsunterlagen die zur Verwendung als Nachschlagewerke bei der praktischen Arbeit vorgesehen sind Weitere Informationen ber VMware Schulungstleistungen finden Sie unter http mylearn1 vmware com mgrreg index cfm 14 VMware Inc Einf hrung Das Handbuch zur Server Konfiguration beschreibt die Aufgaben die Sie zur Kon figuration des ESX Server Hostnetzwerks des Speichers und der Sicherheitsfunk tionen durchf hren m ssen Au erdem enth lt es bersichten Empfehlunge
10. Definiert die Blockgr e f r das VMFS 3 Dateisystem Die Standard Datei Blockgr e betr gt 1 MB Der lt block_size gt Wert den Sie ein geben muss entweder 1 MB 2 MB 4 MB oder 8 MB betragen Wenn Sie die Gr e angeben m ssen Sie auch die Einheit als Suffix m oder M angeben Die Gr enein heit kann klein oder gro geschrieben werden vmkfstools interpretiert sowohl m als auch M als Megabyte m S setfsname Definiert die Datentr gerbezeichnung eines VMFS Datentr gers f r das VMFS 3 Dateisystem das Sie erstellen Verwenden Sie diese Zusatzoption nur in Verbindung mit der C Option Die Bezeichnung kann bis zu 128 Zeichen lang sein und darf keine Leerstellen am Anfang oder Ende enthalten Wenn Sie die Datentr gerbezeichnung festgelegt haben k nnen Sie sie bei der Angabe des VMFS Datentr gers im Befehl vmkfstools verwenden Sie k nnen die VMware Inc Anhang B Verwendung von vmkfstools Datentr gerbezeichnung auch verwenden wenn Sie in den Konfigurationsdateien der virtuellen Maschine auf den Datentr ger verweisen Der Datentr gername erscheint auch in den Auflistungen die mit dem Linux Befehl ls 1 und als sym bolische Verkn pfung zum VMFS Datentr ger im Verzeichnis vmfs volumes Verwenden Sie den Linux Befehl In sf wenn Sie die VMFS Datentr gerbezeichnungen ndern m chten Beispiel in sf vmfs volumes lt UUID gt vmfs volLumes lt fsName gt lt fsName gt ist die neue Datentr gerbezeichnu
11. F gen Sie am Ende der Zeile folgende Parameter ein remember X Hierbei ist X die Anzahl der alten Kennw rter die ESX Server f r jeden Anwender speichern soll Trennen Sie den vorhergehenden Parameter und remember X durch ein Leerzeichen Speichern Sie die nderungen und schlie en Sie die Datei Wechseln Sie in das Verzeichnis etc security und geben Sie folgenden Befehl ein um eine Nulll ngendatei mit dem Namen opassud zu erstellen touch opasswd Geben Sie folgende Befehle ein chmod 0600 opasswd chown root root etc security opasswd nderung der Standardkomplexit t von Kennw rtern f r das Plug In pam_cracklib so 1 2 VMware Inc Melden Sie sich auf der Servicekonsole an und erlangen Sie Root Privilegien Geben Sie den folgenden Befehl ein esxcfg auth usecrack lt Versuche gt lt Mindestl nge gt lt KB_Bonus gt lt GB_Bonus gt lt Z_Bonus gt lt AZ_Bonus gt Wobei m Versuche die Anzahl der Wiederholungsversuche ist die der Anwender hat bis ESX Server ihn aus dem Kennwort nderungsmodus ausschlie t m Mindestl nge ist die Mindestanzahl von Zeichen die ein Anwender eingeben muss damit das Kennwort angenommen wird Diese Anzahl ist die Gesamt l nge vor der Anwendung jeglicher Zeichenboni 249 Handbuch zur Server Konfiguration 250 Es wird immer mindestens ein Zeichenbonus angewendet daher ist die Kenn wortl nge effektiv ein Zeichen k rzer als im Parameter Mindestl nge ange g
12. ausgew hlte Vorg nge Root Privilegien gew hrt w hrend su Root Privilegien f r alle Vorg nge gew hrt Durch sudo sind au erdem alle Vorg nge besser nachvollziehbar da alle sudo Vorg nge protokolliert werden wohingegen bei su der ESX Server nur protokolliert wird dass der Anwender durch su auf Root umgeschaltet hat Zus tzlich zu den ESX spezifischen Befehlen k nnen Sie ber die Befehlszeilenober fl che der Servicekonsole auch viele Linux und Unix Befehle ausf hren Detaillierte Benutzungshinweise zu Servicekonsolenbefehlen erhalten Sie ber den Befehl man lt command name gt mit dem Sie die Hilfeseiten aufrufen VMware Inc 239 Handbuch zur Server Konfiguration Konfiguration der Servicekonsolen Firewall ESX Server enth lt eine Firewall zwischen der Servicekonsole und dem Netzwerk Damit die Integrit t der Servicekonsole sichergestellt wird hat VMware die Anzahl der stan dardm ig freigegebenen Firewall Ports reduziert Bei der Installation wird die Firewall der Servicekonsole so konfiguriert dass der gesamte eingehende und ausgehende Daten verkehr auf allen Ports au er auf 902 80 443 und 22 blockiert wird Die genannten Ports werden f r die grundlegende Kommunikation mit ESX Server verwendet Durch diese Einstellung ist die Sicherheit f r den ESX Server Host sehr hoch HINWEIS Die Firewall l sst auch Internet Control Message Protocol ICMP Pings und Kom 240 munikation mit DHCP und DNS Clients n
13. Ausf hrung dieses Befehls lange dauern VORSICHT Bei der Ausf hrung dieses Befehls werden alle vorhandenen Daten auf der virtuellen Festplatte gel scht VMware Inc 289 Handbuch zur Server Konfiguration Vergr ern einer schlanken virtuellen Festplatte j inflatedisk Mit dieser Option wird eine schlanke virtuelle Festplatte in eine Eagerzeroedthick Festplatte konvertiert wobei alle bestehenden Daten erhalten bleiben Alle Bl cke die am Anfang nicht zugewiesen wurden werden zugewiesen und gel scht Weitere Informationen zu Festplattenformaten finden Sie unter Unterst tzte Festplattenformate auf Seite 288 L schen einer virtuellen Festplatte U deletevirtualdisk Diese Option l scht Dateien unter dem angegebenen Pfad auf dem VMFS Datentr ger die einer virtuellen Festplatte zugeordnet sind Umbenennen einer virtuellen Festplatte E renamevirtualdisk lt Quelldatei gt lt Zieldatei gt Diese Option benennt eine Datei einer virtuellen Festplatte die in der Pfadangabe der Befehlszeile angegeben wird um Damit diese E Option funktionieren kann m ssen Sie den urspr nglichen Dateinamen oder Dateipfad lt oldName gt und den neuen Datei namen oder Pfadnamen lt newName gt angeben Klonen einer virtuellen oder Raw Festplatte i importfile lt Quelldatei gt d diskformat rdm lt Ger t gt rdmp lt Ger t gt raw lt device gt thin 2gbsparse Diese Option erstellt eine Kopie einer virtuellen
14. Konfiguration der Servicekonsolen Firewall auf Seite 240 Informationen zu Konfiguration und Port Einstellungen w hrend der Installation finden Sie im Installations und Upgrade Handbuch Firewalls in Konfigurationen mit einem VirtualCenter Server Wenn Sie einen VirtualCenter Server verwenden k nnen Sie Firewalls an allen in der Abbildung Abbildung 10 1 gezeigten Punkten installieren HINWEIS Abh ngig vom konkreten Aufbau sind ggf nicht alle in der Abbildung dargestellten Firewalls notwendig oder es sind zus tzliche nicht dargestellte Firewalls n tig 182 VMware Inc Kapitel 10 Absicherung der ESX Server Konfiguration VI Web Access Netzwerkmanagement programm von VI Client Drittanbietern Port 902 Standard http Port 903 https Ports Firewall Port 902 Port 443 Firewall Lizenz VirtualCenter server Server VirtualCenter Port 27010 ankommend Port 27000 ausgehend Firewall Port 903 Port 902 Ports 902 2050 5000 8000 und N 8042 8045 Si ESX Server 1 ESX Server 2 Speicher Abbildung 10 1 Firewallkonfiguration f r ESX Server Netzwerke die ber einen VirtualCenter Server verwaltet werden Netzwerke die ber einen VirtualCenter Server konfiguriert werden k nnen Daten ber verschiedene Typen von Clients erhalten den VI Client VI Web Access und Netzwerk Management Clients von Drittanbietern die SDK als Schnittstelle
15. LUN ausw hlen Wann ein Ger t richte eindeutig k nfiguriert werden kann werden Se aufgefordert ee Partition Suszums hlen 1 Fesholakbe Li Ger testandort Aktus Bezt at Ter t vmhbal 0 15 1 00 GB vmhbal 0 17 1 00 GB vmhbal 0 18 1 00 GE vmhbal 0 19 1 00 GB ymhbal 0 20 1 00 GE vmhba1 0 21 1 00 GE vmhbal 0 22 1 00 GE vmhba1 0 23 1 00 GE mhbal o zz mhbal 0 23 1022 00 M 1022 00 M 1022 00 M 1022 00 M 1022 00 M 1022 00 M 1022 00 M 1022 00 M 1022 00 M 1022 00 M Verf gbar SAN Beraicher 50 06 01 50 06 01 50 06 01 50 06 01 50 06 01 50 06 01 50 06 01 50 06 01 50 06 01 50 06 01 B Ed 00 30 2 60 30 2 60 30 2 60 30 2 60 30 2 60 30 2 0 0 2 60 30 2 60 30 42 60 30 W hlen Sie das iSCSI Ger t aus das Sie f r den Datastore verwenden m chten und klicken Sie auf Weiter Das Aktuelle Festplatten Layout wird angezeigt berpr fen Sie das aktuelle Festplatten Layout und klicken Sie auf Weiter Das Dialogfeld Festplatte LUN Eigenschaften wird angezeigt Geben Sie einen Namen f r den Datastore ein Der Name des Datastores wird im VI Client angezeigt Die Bezeichnung muss in der vorliegenden Instanz der virtuellen Infrastruktur eindeutig sein VMware Inc Kapitel 6 Speicherkonfiguration 8 Klicken Sie auf Weiter Das Dialogfeld Festplatte LUN Formatierung wird angezeigt fi Speicher hinzuf gen Festplatte LUN Formatieru
16. MAC Adressen werden aus drei Teilen erstellt aus der VMware OUI der SMBIOS UUID f r den physischen ESX Server und einem Hash der auf dem Namen der Orga nisation beruht f r die die MAC Adresse generiert wird Wenn die MAC Adtresse generiert wurde ndert sie sich nicht solange die virtuelle Maschine nicht an einen anderen Speicherort verschoben wird z B in ein anderes Verzeichnis auf dem gleichen Server Die MAC Adtesse in der Konfigurationsdatei der virtuellen Maschine wird gespeichert Alle MAC Adtressen die Netzwerkadaptern von laufenden oder angehaltenen virtuellen Maschinen auf einem bestimmten physischen Computer zugewiesen wurden werden kontrolliert Die MAC Adresse einer ausgeschalteten virtuellen Maschine wird nicht gegen die MAC Adtressen von laufenden oder angehaltenen virtuellen Maschinen gepr ft Es ist m glich aber unwahrscheinlich dass beim Hochfahren einer virtuellen Maschine eine andere MAC Adresse angefordert wird Diese Anforderung wird durch einen Konflikt mit einer virtuellen Maschine verursacht die hochgefahren wurde w hrend diese virtuelle Maschine ausgeschaltet war VMware Inc 65 Handbuch zur Server Konfiguration 66 Einstellen von MAC Adressen Um die Begrenzung auf 256 virtuelle Netzwerkadapter pro physischen Computer zu umgehen und m gliche MAC Adressenkonflikte zwischen virtuellen Maschinen zu vermeiden k nnen Systemadministratoren MAC Adressen manuell zuweisen VMware verwendet folgende
17. Positionierung des ESX Server Hosts hinter einer physischen Firewall und durch An schluss der Servicekonsole und der an das Netzwerk angeschlossenen Speicherres sourcen an jeweils einen eigenen virtuellen Switch sch tzen VMware Inc Kapitel 9 Sicherheit f r ESX Server Systeme Sonstige Nachschlagewerke und Informationen zur Sicherheit In folgenden Nachschlagewerken finden Sie zus tzliche Informationen zu Sicherheitsthemen Tabelle 9 1 Sicherheitsnachschlagewerke von VMware im Internet Thema Nachschlagewerk Sicherheitsverfahren von VMware http www vmware com vmtn technology security aktuelle Sicherheitswarnungen Sicherheitsdownloads und themen spezifische Abhandlungen zu Sicherheitsl cken Policy zur Sicherheitsantwort http www vmware com support policies security_response html VMware hat es sich zur Aufgabe gemacht Sie bei der Absicherung Ihrer virtuellen Umgebung zu unter st tzen Damit Sie sicher sein k nnen dass alle Sicher heitsl cken so schnell wie m glich eliminiert werden haben wir die VMware Policy zur Sicherheitsantwort verfasst um unseren Einsatz f r dieses Ziel zu dokumentieren Zertifizierung von VMware http www vmware com security Produkten Wenn Sie den Zertifizierungsstatus bestimmter VMware Produkte suchen f hren Sie auf dieser Site eine Suche nach dem Begriff VMware durch Unterst tzung von http www vmware com support policies Drittanbieter Software VMware
18. Server 182 zur Anbindung der Konsole der virtu ellen Maschine 189 299 Server Configuration Guide 300 Freigeben von Ports in der Servicekonsolen Firewall 242 FTP und Firewall Ports 192 G Gastbetriebssysteme Deaktivierung der Protokollierung 270 272 Deaktivierung von Kopiervorg ngen 266 Sicherheitsempfehlungen 265 Gruppen ndern auf ESX Server Hosts 226 Anzeige von Gruppenverzeichnissen 2 21 Authentifizierung 215 Entfernen von ESX Server Hosts 227 Export eines Gruppenverzeichnisses 2 21 Gruppentabelle f r ESX Server Hosts 220 Hinzuf gen zu ESX Server Hosts 225 H Hinzuf gen Anwender zu ESX Server Hosts 222 Anwender zu Gruppen 226 Fibre Channel Speicher 108 Gruppen zu ESX Server Hosts 225 lokaler SCSI Speicher 104 mittels Hardware ausgel ste iSCSI Speicherung 120 NFS Speicher 135 software initiierter iSCSI Speicher 129 HTTP und HTTPS Firewall Port 187 IQN Bezeichner 112 iSCSI Authentifizierung 204 CHAP 204 Deaktivierung der Authentifizierung 207 Firewall Port f r ESX Server 187 Konfiguration der CHAP Authentifizierung 206 Netzwerk 70 QLogic iSCSl Adapter 204 Schutz bertragender Daten 208 Sicherheit 204 Software Client und Firewall Ports 192 berpr fung der Authentifizierung 205 iSCSI Netzwerk Anlegen einer Servicekonsolen Verbindung 74 Anlegen eines VMkernel Ports 70 ISCSI Speicher Initiatoren 110 ISCSI HBA Alias 116 CH
19. Verwenden Sie die Schaltfl che Zur ck um nderungen vorzunehmen oder klicken Sie auf Fertig stellen um den Assistenten zum Hinzuf gen eines Adapters zu beenden Die Liste der Netzwerkadapter mit den nun dem vSwitch zugewiesenen Adaptern wird erneut angezeigt 10 Klicken Sie auf Schlie en um das Dialogfeld vSwitch Eigenschaften zu verlassen Der Abschnitt Netzwerk auf der Registerkarte Konfiguration zeigt die Netzwerk adapter in ihrer festgelegten Reihenfolge und den gew hlten Kategorien 52 VMware Inc Kapitel 3 Erweiterte Netzwerkeigenschaften Policys f r virtuelle Switches Sie k nnen Policys f r den ganzen vSwitch festlegen indem Sie den vSwitch oben auf der Registerkarte Ports ausw hlen und auf Bearbeiten klicken Wenn Sie eine dieser Einstellungen f r eine bestimmte Port Gruppe ndern m chten markieren Sie diese Port Gruppe und klicken Sie auf Bearbeiten Alle nderungen der Einstellungen f r den ganzen vSwitch werden auf alle Port Gruppen des vSwitches an gewendet ausgenommen hiervon sind die Konfigurationsoptionen die f r die Port Gruppe festgelegt wurden Es gibt folgende Policys f r vSwitches m Sicherheits Policy f r Layer 2 m Traffic Shaping Policy m Policy f r Lastausgleich und Failover Sicherheits Policy f r Layer 2 Layer 2 L2 ist die Daten Link Layer Die drei Elemente der Sicherheits Policy f r Layer 2 sind der Promiscuous Modus nderungen der MAC Adresse und gef lschte be
20. W hlen Sie den vSwitch aus den Sie verwenden m chten oder aktivieren Sie das Optionsfeld Einen virtuellen Switch erstellen um einen neuen vSwitch anzulegen 6 Aktivieren Sie die Kontrollk stchen f r die Netzwerkadapter die Ihr vSwitch verwenden soll Assistent zum Hinzuf gen von Netzwerken E3 YMkernel Netzwerkzugriff YMkernel erreicht Netzwerke durch Uplink Adapter die mit virtuellen Switches verbunden sind W hlen Sie den virtuellen Switch aus der den Netzwerkverkehr f r diese Verbindung handhaben wird Sie k nnen auch einen neuen virtuellen Switch unter Verwendung der unten aufgelisteten freie Netzwerkadapter erstellen Ver t iry gt angstyp Netzwerkzugriff Verbindungseinstellungen a Geschwindigkeit Netzwerke C Einen virtuellen Switch erstellen Verwendung vSwitch0 Geschwindigkeit Vetzwerke FB mnit 10 voll 192 168 2 96 192 168 2 127 FB nic 100 Vol 192 168 2 96 192 168 2 127 C Verwendung _vSwitchO_ Geschwindigkeit Netzwerke C Verwendung _vSwitchi_ Geschwindigkeit Netzwerke xj u t erw Port VMkernel 000 000 000 an 0 t aruppe ger irtwellen Maschine Por Netzwerk der virtuellen Maschi der virtuellen Maschine Poet i uppe d f Netzwerk der virtuellen Maschi Die Auswahlm glichkeiten werden im Bereich Vorschau angezeigt W hlen Sie f r jeden vSwitch Adapter aus sodass die virtuellen Maschin
21. auf Seite 140 m Bearbeiten des Datastore Namens auf Seite 140 m Hinzuf gen von Erweiterungen zu einem Datastore auf Seite 141 m Entfernen eines Datastores auf Seite 139 Pfadverwaltungsaufgaben m So richten Sie die Multipathing Policy ein auf Seite 147 m So deaktivieren Sie einen Pfad auf Seite 149 m So richten Sie den bevorzugten Pfad ein auf Seite 150 102 VMware Inc Speicherkonfiguration Dieses Kapitel enth lt Informationen zur Konfiguration lokaler SCSI Festplatten zum Speichern in Fibre Channel Speichernetzwerken FC SANs zum Speichern mit iSCSI und zu NFS Volumes HINWEIS Zus tzliche Informationen zur Konfiguration von SANS finden Sie im Handbuch zur SAN Konfiguration In diesem Kapitel werden folgende Themen behandelt m Lokaler SCSI Festplattenspeicher auf Seite 104 m Fibre Channel Speicher auf Seite 106 m iSCSI Speicher auf Seite 110 m NAS Netzwerkspeicher auf Seite 132 VMware Inc 103 Handbuch zur Server Konfiguration Lokaler SCSI Festplattenspeicher 104 Die einfachsten Speicher verwenden ein SCSI Ger t wie z B die Festplatte des Systems oder ein externes SCSI Speicherger t Die folgende Abbildung Abbildung 6 1 zeigt eine virtuelle Maschine die einen lokalen SCSI Speicher verwendet ESX Server Virtuelle Maschine lokales D Ethernet SCSI Abbildung 6 1 Lokaler SCSI Speicher In diesem Beispiel einer lokalen Speicherk
22. auf Seite 249 m Das neue Kennwort muss lang und komplex genug sein Die Anforderungen werden durch nderung des Komplexit tsparameter von pam cracklib so mit dem Befehl esxcfg auth konfiguriert Dieser Befehl erm glicht Ihnen die Fest legung der Wiederholungsversuche der Mindestkennwortl nge und verschie dener Zeichenboni Zeichenboni erm glichen es den Anwendern k rzere Kennw rter einzugeben wenn sich mehrere Zeichenarten in einem Kennwort befinden Weitere Informationen zur Konfiguration der Kennwortl nge und der Komplexit t finden Sie unter nderung der Standardkomplexit t von Kennw rtern f r das Plug In pam_cracklib so auf Seite 249 Weitere Informationen zum pam_cracklib so Plug In finden Sie in der Linux Dokumentation HINWEIS Das pam_cracklib so Plug In das unter Linux verwendet wird verf gt ber mehr Parameter als das Plug In f r ESX Server Diese zus tzlichen Parameter k nnen nicht mit esxcfg auth eingerichtet werden 248 VMware Inc Kapitel 12 Sicherheit der Servicekonsole Konfiguration einer Regel zur Wiederverwendung von Kennw rtern 1 2 Melden Sie sich auf der Servicekonsole an und erlangen Sie Root Privilegien Wechseln Sie in der Eingabeaufforderung ber den Befehl cd etc pam d das Verzeichnis ffnen Sie mit nano oder einem anderen Texteditor die Datei system auth Gehen Sie zu der Zeile die mit folgendem Argument beginnt password sufficient lib security ISA pam_unix so
23. die in ESX Server Systemen h ufig auftreten Viele der Installationspunkte f r Firewalls in der Liste und auf der Abbildung sind optional m Zwischen dem Webbrowser und den HTTP und HTTIPS Proxy Servern f r VI Web Access m Zwischen dem VI Client VI Web Access oder einem Netzwerk Management Client von Drittanbietern und dem VirtualCenter Server m Wenn die Anwender ber den VI Client auf virtuelle Maschinen zugreifen zwi schen dem VI Client und dem ESX Server Host Diese Verbindung ist eine andere Verbindung als die zwischen dem VI Client und dem VirtualCenter Server und ben tigt daher einen anderen Port m Wenn die Anwender ber einen Webbrowser auf virtuelle Maschinen zugreifen zwischen dem Webbrowser und dem ESX Server Host Diese Verbindung ist eine andere Verbindung als die zwischen dem VI Web Access Client und dem Virtual Center Server und ben tigt daher andere Ports m Zwischen dem Lizenz Server und dem VirtualCenter Server oder dem ESX Server Host Normalerweise wird der Lizenz Server in Konfigurationen mit einem VirtualCenter Server auf dem gleichen Computer ausgef hrt wie der Virtual Center Server In diesem Fall ist der Lizenz Server ber eine Firewall an das ESX Server Netzwerk angebunden parallel zum VirtualCenter Server nur ber andere Ports In manchen Konfigurationen wird ggf ein externer Lizenz Server verwendet zum Beispiel wenn das Unternehmen alle Lizenzen ber ein einziges f r diesen Zweck ded
24. die Verwendung getrennter physischer Netzwerke umgesetzt werden die zweite Variante ist dabei zu bevorzugen m Ein wichtiger Bestandteil der Absicherung des ESX Systems besteht darin dass die Servicekonsole ber ein eigenes Netzwerk verf gt Die Netzwerkan bindung der Servicekonsole sollte genauso gehandhabt werden wie Ger te f r den Fernzugriff auf Server da die bernahme der Servicekonsole einem Angreifer die vollst ndige Kontrolle ber alle virtuellen Maschinen auf dem System erm glicht m Es ist wichtig dass die VMotion Verbindung ber ein eigenes f r diesen Zweck vorgesehenes Netzwerk verf gt da die Speicherinhalte des Gast Betriebssystems bei der Migration mit VMotion ber das Netzwerk ber tragen werden Einbindung von NAS Datentr gern Die Art und Weise wie der ESX Server 3 0 auf NFS Speicher von ISO Images die als virtuelle CD ROMs f r virtuelle Maschinen verwendet werden zugreift unterscheidet sich von der Weise wie das beim ESX Server 2 x geschah VMware Inc 67 Handbuch zur Server Konfiguration ESX Server 3 0 unterst tzt die VMkernel basierte NFS Einbindung Bei dem neuen Einbindungsmodell wird der NFS Datentr ger mit den ISO Images ber die NFS Funktion des VMkernels eingebunden Alle so eingebundenen NFS Datentr ger wer den im VI Client als Datastores angezeigt Mit dem Konfigurationseditor der virtuellen Maschinen k nnen Sie das Dateisystem der Servicekonsole nach ISO Images durch such
25. die sich nicht im gleichen IP Subnetz wie die Servicekonsole oder das VMkernel befinden Standardm ig ist Statische IP eingestellt 9 Klicken Sie auf OK um die nderungen zu speichern und schlie en Sie das Dia logfeld DNS Konfiguration und Routing 10 Klicken Sie auf Weiter 11 Wenn Sie nderungen vornehmen m chten verwenden Sie die Schaltfl che Zur ck 12 berpr fen Sie die nderungen im Dialogfeld Fertig stellen und klicken Sie auf Fertig stellen Probleml sungen Der folgende Abschnitt f hrt Sie durch die Probleml sungen bei typischen Netzwerk problemen In diesem Abschnitt werden folgende Themen behandelt m Fehlerbehebung bei der Vernetzung der Servicekonsole auf Seite 80 m Probleml sungen Netzwerkadapter Konfiguration auf Seite 82 m Probleml sungen Konfiguration physischer Switches auf Seite 82 m Probleml sungen Port Gruppen Konfiguration auf Seite 82 Fehlerbehebung bei der Vernetzung der Servicekonsole Wenn bestimmte Teile der Netzwerkkonfiguration der Servicekonsole falsch konfi guriert sind k nnen Sie ber den VI Client nicht mehr auf den ESX Server Host zu 80 VMware Inc Kapitel 4 Netzwerk Szenarien und Probleml sung greifen In diesem Fall k nnen Sie die Netzwerkeinstellungen neu konfigurieren in dem Sie direkt auf die Servicekonsole zugreifen F r SSH gibt es folgende Befehle m esxctg vswif l Gibt eine Liste der bestehenden Netzwerkschnittstelle
26. felder zu schlie en So aktivieren Sie einen Pfad Wenn Sie einen Pfad deaktiviert haben z B aus Wartungsgr nden k nnen Sie diesen Pfad ber die unter So deaktivieren Sie einen Pfad auf Seite 149 beschriebenen Schritte aktivieren Sie m ssen allerdings nun das Optionsfeld Aktivieren anklicken Einrichten des bevorzugten Pfads Nur feste Pfadkonventionen Wenn Sie die Pfadkonventionen auf Feststehend setzen verwendet der Server immer den bevorzugten Pfad wenn dieser verf gbar ist VMware Inc 149 Handbuch zur Server Konfiguration So richten Sie den bevorzugten Pfad ein 1 ffnen Sie den Assistenten zum Verwalten von Pfaden indem Sie die unter So zeigen Sie den aktuellen Multipathing Status an auf Seite 145 aufgef hrten Schritte ausf hren Wenn Sie Pfade f r Raw Device Maps verwalten finden Sie weitere Informa tionen unter Pfade verwalten auf Seite 163 Der Assistent zum Pfade verwalten wird angezeigt W hlen Sie unter Pfade den Pfad aus der der bevorzugte Pfad werden soll und klicken Sie anschlie end auf ndern Klicken Sie im Bereich Einstellungen auf Bevorzugt Wenn die Option Bevorzugt nicht verf gbar ist stellen Sie sicher dass die Pfad konventionen auf Feststehend gestellt sind vmhba0 0 0 Pfade verwalten x Pobcu Zul vmhba0 0 0 Pfadstatus ndern x Ver e Pr ferenz Pfad V Bevorzugt Ger Den Verkehr immer ber diesen Pfad leiten falls verf gbar vmi BEE
27. guration eines virtuellen Adapters der an diese Port Gruppe angeschlossen wird beim Konfigurieren eines iSCSI Speichers festlegen m VLAN ID Bezeichnet das VLAN das f r den Netzwerkdatenverkehr der Port Gruppe verwendet wird Assistent zum Hinzuf gen von Netzwerken 1OIx YMkernel Netzwerkzugriff Kennzeichnen Sie VMkennel verbindungen mit Netzwerkbezeichnungen w hrend Sie die Hosts und Datacenters verwalten Verbindungstyp Netzwerkzugriff Verbindungseinstellungen Netzwerkbezeichnung rnel VLAN ID optional 123 v 1 Diese Port Gruppe f r YMotion verwenden IP Einstellungen IP Adresse Subnetz Maske Standard Gateway f r vMkernel Vorschau VMkemel Pos t VMkernel 000 000 000 000 9 Unter IP Einstellungen klicken Sie auf Bearbeiten um den VMkernel Standardgateway f r iSCSI anzugeben Das Dialogfeld DNS und Routing Konfiguration wird angezeigt Auf der Registerkarte DNS Konfiguration ist im Namensfeld standardm ig der Host name eingetragen 72 VMware Inc VMware Inc Kapitel 4 Netzwerk Szenarien und Probleml sung Auch die DNS Server Adressen und die Dom ne die w hrend der Installation an gegeben wurden werden automatisch ausgef llt DNS und Routing Konfiguration DNS Konfiguration Rox ting Host Identifikattian Name esx Dom ne amp nderungen werden erst bei Neustart des Systems wirksam C DNS ServerAdresse automatisch
28. kanonische Pfade 145 Verwalten 147 Multipathing Policy Einstellung 147 Multipathing Status 145 N NAS Einbindung 67 Firewall Port f r ESX Server 187 Nessus 257 Netzwerke Sicherheit 194 301 Server Configuration Guide Netzwerkempfehlungen 67 NFS Delegierter 234 Firewall Ports 192 NFS Speicher Hinzuf gen 135 bersicht 132 NIC Teambildung Definition 22 NIS und Firewall Ports 192 P pam_cracklib so Plug In 246 pam_passwdac so Plug In 250 Pfadausfall 143 Pfade aktiveren 149 bevorzugt 146 149 150 deaktivieren 149 Pfade aktivieren 149 Pfade deaktivieren 149 Pfadkonventionen Feststehend 147 Zuletzt verwendet 147 Port Gruppe Definition 22 Konfigurieren 60 Verwendung 26 Portsicherung bei iSCSI 208 Proxy Dienste ndern 230 und Verschl sselung 228 R Raw Device Mapping siehe RDM 152 Raw Device Map RDM und vmkfstools 164 302 RDM dynamische Namensaufl sung 158 Erstellung 161 f r Cluster 160 physischer Kompatibilit tsmodus 157 bersicht 152 und virtuelle Festplattendateien 160 virtueller Kompatibilit tsmodus 157 Vorteile 153 Ressourcenbegrenzungen und Sicherheit 168 Ressourcengarantien und Sicherheit 168 Rolle Kein Zugriff 218 Rolle Lesezugriff 218 Rollen Administrator 218 Kein Zugriff 218 Lesezugriff 218 Standard 218 und Berechtigungen 218 Root Anmeldung SSH 255 Zugriffsberechtigungen 216 Root log in Delegierter 234 Routing 62 RPMs 257 S Schutz vor b swilliger Ger
29. lt alle Dateien auf dem Dateisystem Vor der Verwendung dieser T Option dein stallieren Sie die VMFS2 und VMFS3 Treiber und installieren Sie den zus tzlichen Dateisystem Treiber fsaux mit der Modul Option fsauxFunction upgrade Verwenden Sie die x upgradetype zeroedthick eagerzeroedthick thin Suboption mit der T Option mM x zeroedthick default Beh lt die Eigenschaften der gro en VMFS 2 Dateien Mit dem zeroedthick Dateiformat wird den Dateien zur k nftigen Nutzung ein Speicherplatz zugewiesen und die nicht verwendeten Daten bl cke werden nicht entfernt VMware Inc Anhang B Verwendung von vmkfstools mM x eagerzeroedthick Entfernt w hrend der Konvertierung unbenutzte Datenbl cke in gro sen Dateien Wenn Sie diese Suboption verwenden dauert das Upgrade unter Umst nden wesentlich l nger als mit den anderen Optionen m x thin Konvertiert gro e VMFS 2 Dateien in kleinere bereitgestellte VMEFS 3 Dateien Im Gegensatz zum Thick File Format erm glicht das Thin Format es den Dateien nicht f r k nftige Nutzungen einen zus tzlichen Speicherplatz zu verwenden sondern stellt den Speicher nach Bedarf zur Verf gung W hrend der Konvertierung werden unverwendete Bl cke der gro en Dateien gel scht W hrend der Konvertierung stellt der Sperr Mechanismus des ESX Servers sicher dass keine lokalen Prozesse auf das VMFS Volume zugreifen das konvertiert wird Sie m ssen gleichzeitig sicherstellen da
30. m Optionen f r virtuelle Festplatten auf Seite 287 m Ger teoptionen auf Seite 294 VMware Inc 283 Handbuch zur Server Konfiguration Dateisystemoptionen Dateisystemoptionen sind Aufgaben die Sie bei der Einrichtung eines VMFS Datei systems ausf hren k nnen Diese Einstellungen gelten nicht f r NFS Sie k nnen einige dieser Aufgaben auch ber den VI Client ausf hren Weitere Informationen finden Sie in folgenden Abschnitten m Erstellen eine VMFS Dateisystems auf Seite 284 m Erweiterung eines bestehenden VMFS 3 Volumens auf Seite 285 m Auflistung der Attribute eines VMFS Datentr gers auf Seite 286 m Upgrade von VMFS 2 auf VMFS 3 auf Seite 286 Erstellen eine VMFS Dateisystems C createfs vmfs3 b blocksize lt block_size gt kK mM S setfsname lt fsName gt Mit dieser Option wird ein VMFS 3 Dateisystem auf der angegebenen SCSI Partition erstellt z B vmnba1 0 0 1 Diese Partition wird die vorgelagerte Partition des Dateisystems HINWEIS VMPFS 2 Dateisysteme sind auf ESX Server 3 schreibgesch tzt Anwender k nnen VMFS 2 Dateisysteme nicht erstellen oder ndern aber die darauf gespeicherten Dateien k nnen angesehen werden Ein Zugriff ber ESX 2 x Hosts auf die VMFS 3 Datei Systeme ist nicht m glich V VORSICHT Beachten Sie dass pro LUN nur ein VMFS Datentr ger m glich ist 284 F r die Option C k nnen Sie folgende Suboptionen angeben m b blocksize
31. m ana a VMware Inc TT Handbuch zur Server Konfiguration 78 Geben Sie unter Eigenschaften der Port Gruppe eine Netzwerkbezeichnung f r die zu erstellende Port Gruppe ein Mit den Netzwerkbezeichnungen k nnen Sie migrationsf hige Verbindungen f r zwei oder mehr Hosts identifizieren Geben Sie im VLAN ID Feld eine Zahl zwischen 1 und 4094 ein Wenn Sie sich nicht sicher sind was hier eingegeben werden muss lassen Sie das Feld frei oder wenden Sie sich an Ihren Netzwerkadministrator Klicken Sie auf Weiter Das Dialogfeld Fertig stellen wird angezeigt R Assistent zum Hinzuf gen von Netzwerken 1 IOIx Fertig zur Weiterbearbeitung Pr fen Sie ob alle neuen und ge nderten virtuellen Switches richtig konfiguriert sind Die Host Vernetzung umfasst die folgenden neuen und ge nderten vSwitches Port Gruppe der virtuellen Maschine Physische Adapter Netzwerk der virtuellen Maschi m Keine Adapter 10 berpr fen Sie die Konfiguration des vSwitches noch einmal und klicken Sie dann auf Fertig stellen Konfigurieren eines VMkernel Ports mit VLAN auf einem Blade Server 1 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration und dann auf Netzwerk Auf der rechten Seite des Bildschirms klicken Sie auf Eigenschaften f r den vSwitch der der Serv
32. r die Adapter ver teilt werden soll Wenn Sie bestimmte Adapter verwenden und andere f r Not f lle reservieren m chten wenn die verwendeten Adapter ausfallen k nnen Sie Adapter mithilfe des Drop Down Men s in zwei Gruppen aufteilen m Aktive Adapter Dieser Adapter wird weiter verwendet wenn die Kon nektivit t des Netzwerkadapters besteht und aktiv ist m Standby Adapter Dieser Adapter wird verwendet wenn die Konnek tivit t eines der aktiven Adapter nicht besteht m Nicht verwendete Adapter Dieser Adapter soll nicht verwendet werden Konfigurieren der Port Gruppe Sie k nnen die folgenden Port Gruppen Konfigurationen ndern 60 Port Gruppen Eigenschaften Gekennzeichnete Netzwerk Policys Bearbeiten der Eigenschaften von Port Gruppen 1 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration und dann auf Netzwerk Klicken Sie auf der rechten Seite des Fensters f r ein Netzwerk auf Eigenschaften Das Dialogfeld vSwitch Eigenschaften wird angezeigt Klicken Sie auf die Registerkarte Ports Markieren Sie eine Port Gruppe und klicken Sie auf Bearbeiten Klicken Sie im Dialogfeld Eigenschaften der Port Gruppe auf die Registerkarte Allgemein um folgende Einstellungen zu ndern m Netzwerkbezeichnung Bezeichnet die Port Gruppe die erstellt wird Gebe
33. w hlen Sie den Gruppennamen aus dem Verzeichnis aus und klicken Sie auf Entfernen Klicken Sie auf OK Entfernen eines Anwenders aus der ESX Server Anwendertabelle 1 2 Melden Sie sich ber den ESX Server Host im VI Client an W hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Anwender amp Gruppen und dann auf Anwender Klicken Sie mit der rechten Maustaste auf den Anwender den Sie entfernen m chten und klicken Sie auf Entfernen vV VORSICHT Entfernen Sie nicht den Root Anwender Verwaltung der Gruppentabelle Sie k nnen Gruppen zur Gruppen Tabelle eines ESX Server Hosts hinzuf gen Grup pen entfernen oder Gruppenmitglieder hinzuf gen oder entfernen Dabei ndern Sie das interne vom ESX Server Host erstellte Gruppenverzeichnis Hinzuf gen einer Gruppe zur ESX Server Gruppentabelle 1 2 VMware Inc Melden Sie sich ber den ESX Server Host im VI Client an W hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Anwender amp Gruppen und denn auf Gruppen 225 Handbuch zur Server Konfiguration 226 4 7 Klicken Sie mit der rechten Maustaste an eine beliebige Stelle in der Tabelle Gruppen und dann auf Hinzuf gen Das Dialogfeld Neue Gruppe erstellen wird angezeigt H Neue Gruppe erstellen x r
34. yet Network Eigenschaften x Allgemein Sicherheit Tralfic Shaping NIC Teambikdung PoligysAusnahmen Zus Aufhebung einer Foley die durch den vituelen Swich definiert ist markieren Sie das nachstehende K stchen Status E Dein Duschschn tiche Bandbreite A Spizerbarbuete Klicken Sie auf die Registerkarte NIC Teaming 61 Handbuch zur Server Konfiguration 8 Markieren Sie das zugeordnete Kontrollk stchen um die Lastausgleichs oder Policys f r die Failover Reihenfolge zu berschreiben Weitere Informationen zu diesen Einstellungen finden Sie unter Policy f r Lastenausgleich und Failover auf Seite 57 Algemen Sicherheit TrafieShaping NIC Teamb dung Poyanne _ _ _ _nn Lastausgleicht 7 Routen unter Ber cksichtigung der urspr nglichen ID des vtuelen Pots Erfassung von Netzwerk Fadoven W fe Bescon Pr lung i Noty Swichex Tl Raling Fadover r 7 Falover Fiehenfolge Reihenfolge f r vSwitch Fadover au er Kraft setzen w hlen Sie aktive und Standby Adaptes f r diese Port Gruppe In einer Fadower Situation werden Standby dapter in der unten angegebenen Rieiheniclge aktimert Netzwerke wmn l 100 Woll 192 168 2 96 192 168 2 127 192 168 2 96 192 168 2 127 9 Klicken Sie auf OK um das Dialogfeld VM Netzwerkeigenschaften zu schlie en DNS und Routing Konfigurieren Sie DNS und Routing ber den VI Client ndern der DNS und Routing
35. 8 Raw Device Mapping Stellen Sie sich die RDM Datei als eine symbolische Verkn pfung zwischen einem VMEFS Volume und einer Raw LUN vor Siehe Abbildung 8 1 Die Zuordnung l sst die LUNs wie Dateien auf einem VMFS Datentr ger aussehen In der Konfiguration der virtuellen Maschine wird auf die Zuordnungsdatei und nicht auf die Raw LUN verwiesen Die RDM Datei enth lt einen Verweis auf die Raw LUN Mithilfe von RDMs ist Folgendes m glich m Migration von virtuellen Maschinen mit VMotion ber Raw LUNs m Hinzuf gen von Raw LUNs zu virtuellen Maschinen mithilfe des VI Clients mM Verwendung von Dateisystemfunktionen wie verteilte Dateisperrung Zugriffs berechtigungen und vereinfachte Namensgebung F r RDMs gibt es zwei Kompatibilit tsmodi m Mit dem Modus Virtuelle Kompatibilit t kann sich ein RDM genau wie eine virtuelle Festplattendatei verhalten Dies umfasst auch die Verwendung von Snapshots m Mit dem Modus Physische Kompatibilit t kann direkt auf das SCSI Ger t zugegriffen werden Dies wird bei Anwendungen eingesetzt die die Steuerung von niedrigeren Ebenen ben tigen Begriffe RDMs k nnen beispielsweise wie folgt beschrieben werden Zuordnen eines Raw Devices zu einem Datastore Zuordnen einer System LUN oder Zuordnen einer Festplattendatei zu einem physischen Festplatten Volume All diese Zuordnungs begriffe beziehen sich auf RDMs Vorteile der Raw Device Mapping RDM bietet mehrer
36. 91 Speichertypen 91 Unterst tzte Speicheradapter 92 Speicherzugriff durch virtuelle Maschinen 92 Anzeige der Speicherinformationen im VI Client 93 Anzeige von Datastores 94 Anzeige der Speicheradapter 95 Grundlegendes zur Benennung von Speicherger ten in der Anzeige 96 VMware Dateisystem 97 VMEFS Versionen 97 4 VMware Inc Inhalt Erstellen und Vergr ern eines VMFS 98 berlegungen beim Erstellen von VMFS 98 VMFS Funktionen f r den gemeinsamen Zugriff 99 Speichern mehrerer virtueller Maschinen auf einem VMFS Volume 99 Gemeinsames Nutzen eines VMFS Volumes durch mehrere ESX Server 100 Konfiguration und Verwaltung von Speicher 101 6 Speicherkonfiguration 103 Lokaler SCSI Festplattenspeicher 104 Hinzuf gen von lokalem SCSI Speicher 104 Fibre Channel Speicher 106 Hinzuf gen von Fibre Channel Speicher 108 iSCSI Speicher 110 iSCSI Speicher 110 iSCSI Initiatoren 110 Namenskonventionen 112 Erkennung von Speicherressourcen 112 iSCSI Sicherheit 113 Konfigurieren von mittels Hardware ausgel ster iSCSI Speicherung 113 Installation des iSCSI Hardware Initiators 114 Anzeige der Eigenschaften des iSCSI Hardware Initiators 114 Konfiguration eines iSCSI Hardware Initiators 115 Hinzuf gen von hardware initiiertem iSCSI Speicher 120 Konfiguration von software initiiertem iSCSI Speicher 121 Anzeige der Eigenschaften des iSCSI Software Initiators 122 Konfiguration eines iSCSI Software Initiators 124 Hinzuf gen von software initiiertem
37. Adapter verwenden Alle virtuellen Maschinen k nnen sich einen virtuellen Switch oder Netzwerkadapter teilen Gemeinsame VMFS Ja Die virtuellen Maschinen k nnen VMFS Partitionen Nutzung gemeinsam nutzen die vmdk Dateien der virtuellen Maschinen k nnen sich auf einer gemeinsamen Parti tion befinden Die virtuellen Maschinen verwenden keine gemeinsamen vmdk Dateien Sicherheitsstufe Hoch Geben Sie Ports f r Dienste wie FTP nach Bedarf frei Speichermehrfachvergabe Ja Der konfigurierte Gesamtspeicher f r die virtuellen f r virtuelle Maschinen Maschinen kann gr er als der physische Gesamt speicher sein Tabelle 13 8 Die folgende Tabelle zeigt wie die Anwenderkonten f r den ESX Server Host eingerichtet werden k nnen Tabelle 13 8 Anwenderkonten in einer Implementierung f r mehrere Kunden ohne Beschr nkungen Anwenderkategorie Globale Administratoren Gesamtanzahl der Konten Kundenadministratoren Systemadministratoren Unternehmensanwender 264 VMware Inc Kapitel 13 Sichere Implementierungen und Sicherheits empfehlungen Tabelle 13 9 Die folgende Tabelle zeigt die Zugriffsberechtigungen f r die Anwender Tabelle 13 9 Anwenderzugriff in einer Implementierung f r mehrere Kunden ohne Beschr nkungen Unter Globaler Kundenad Systemad nehmensan Zugriffsbefugnisse Administrator ministrator ministrator wender Root Zugriff Ja Nein Nein Nein Servicekonsolenzu Ja Ja Nei
38. Administratorengruppe geh ren k nnen sich einzeln anmelden und verf gen ber vollst ndige Zugriffsrechte Das Verfahren zur Konfiguration von Zugriffsberechtigungen direkt auf einem ESX Server Host entspricht dem Verfahren zur Konfiguration von Zugriffsberechtigungen in VirtualCenter Auch die Liste der Privilegien ist auf ESX Server und in VirtualCenter gleich Weitere Informationen zur Konfiguration von Zugriffsberechtigungen und zu den Privilegien die zugewiesen werden k nnen finden Sie in der Einf hrung in die virtuelle Infrastruktur Grundlegendes zu Rollen VirtualCenter und ESX Server gew hren Zugriff auf Objekte nur an die Anwender denen Berechtigungen f r ein Objekt zugewiesen wurden Wenn Sie einem Anwender oder einer Gruppe Zugriffsberechtigungen f r ein Objekt zuweisen geschieht dies durch Zuweisung einer Rolle zum Anwender oder zu der Gruppe Eine Rolle ist eine vordefinierte Sammlung von Privilegien F r ESX Server Hosts gibt es drei Standardrollen Es ist nicht m glich die Privilegien f r diese drei Rollen zu ndern Jede nachfolgende Standardrolle enth lt die Privilegien der vorhergehenden Rolle So bernimmt beispielsweise die Administrator Rolle die Rechte der Lesezugriff Rolle Rollen die Sie selbst anlegen bernehmen keine Rechte aus den Standardrollen Es gibt folgende Standardrollen m Kein Zugriff Anwender denen diese Rolle f r ein bestimmtes Objekt zugewiesen wurde k nnen das Objekt weder anze
39. Agenten die Sie akti vieren m chten Die Spalten Eingehende Ports und Ausgehende Ports zeigen die Ports an die der VI Client f r einen Dienst freigibt die Spalte Protokoll gibt das Protokoll an das der Dienst verwendet und die Spalte Daemon zeigt den Status des Daemons an der dem Dienst zugewiesen wurde 5 Klicken Sie auf OK Absicherung virtueller Maschinen durch VLANs 194 Das Netzwerk geh rt zu den gef hrdetsten Teilen des Systems Ein virtuelles Netzwerk ben tigt daher ebenso wie ein physisches Netzwerk Schutz Wenn das Netzwerk virtu eller Maschinen an ein physisches Netzwerk angeschlossen ist kann es ebenso Sicher heitsl cken aufweisen wie ein Netzwerk das aus physischen Computern besteht Selbst wenn das VM Netzwerk nicht an ein physisches Netzwerk angeschlossen ist kann ein Angriff auf virtuelle Maschinen innerhalb des Netzwerks von anderen virtuellen Ma schinen des Netzwerkes aus erfolgen Die Anforderungen an die Absicherung von virtuellen Maschinen sind oft die gleichen wie f r physische Maschinen Virtuelle Maschinen sind voneinander isoliert Eine virtuelle Maschine kann nicht im Speicher der anderen virtuellen Maschine schreiben oder lesen auf deren Daten zu greifen ihre Anwendungen verwenden usw Im Netzwerk kann jedoch jede virtuelle Maschine oder eine Gruppe von virtuellen Maschinen Ziel eines unerlaubten Zugriffs von anderen virtuellen Maschinen sein und daher weiteren Schutzes durch externe Matsnahmen
40. Angriffe Bei dieser Art von Angriffen erstellt der Angrei fer ein doppelt eingekapseltes Paket in dem sich der VLAN Bezeichner im inneren Tag vom VLAN Bezeichner im u eren Tag unterscheidet Um R ckw rtskom patibilit t zu gew hrleisten entfernen native VLANs standardm ig das u ere Tag von bertragenen Paketen Wenn ein nativer VLAN Switch das u sere Tag entfernt bleibt nur das innere Tag brig welches das Paket zu einem anderen VLAN weiter leitet als im jetzt fehlenden u eren Tag angegeben war Die virtuellen Switches von VMware verwerfen alle doppelt eingekapselten Datenbl cke die eine virtuelle Maschine auf einem f r ein bestimmtes VLAN konfigurierten Port senden m chte Daher sind sie immun gegen diese Art von Angriffen Multicast Brute Force Angriffe Bei diesen Angriffen wird eine gro e Anzahl von Multicast Datenbl cken fast zeitgleich an ein bekanntes VLAN gesendet um den Switch zu berfordern sodass er versehentlich einige Datenbl cke in andere VLANs bertr gt Die virtuellen Switches von VMware erlauben es Datenbl cken nicht ihren richtigen bertragungsbereich VLAN zu verlassen und sind daher gegen diese Art von Angriffen immun Spanning Tree Angriffe Diese Angriffe zielen auf das Spanning Tree Protokoll STP das zur Steuerung der berbr ckung verschiedener Teile des LANs verwendet wird Der Angreifer sendet Pakete der Bridge Protocol Data Unit BPDU in dem Versuch die Netzwerktopol
41. Anwendungen deaktivieren Deaktivierung einer optionalen setgid Anwendung 1 2 Melden Sie sich auf der Servicekonsole an und erlangen Sie Root Privilegien Geben Sie folgenden Befehl ein chmod a g lt path_to_executable gt SSH Sicherheit SSH ist eine h ufig verwendete UNIX und Linux Befehlsshell mit der Sie sich aus der Ferne auf der Servicekonsole anmelden und bestimmte Management und Konfigu rationsaufgaben f r ESX Server durchf hren k nnen SSH wird f r sichere Anmelde vorg nge und Daten bertragungen verwendet weil es einen h heren Schutz als andere Befehlsshells bietet In dieser ESX Server Version wurde die SSH Konfiguration verbessert um eine noch h here Sicherheit zu gew hrleisten Zu diesen Verbes serungen geh ren unter anderem VMware Inc Deaktivierung des SSH Protokolls Version 1 VMware unterst tzt das SSH Protokoll in Version 1 nicht mehr sondern verwendet nun ausschlie lich das Protokoll in Version 2 Version 2 behebt bestimmte Sicherheitsprobleme von Version 1 und bietet eine sicherere Kommunikationsschnittstelle zur Servicekonsole Verbesserte Schl sselqualit t SSH unterst tzt nun nur noch 256 Bit und 128 Bit AES Schl ssel f r Verbindungen 255 Handbuch zur Server Konfiguration 256 Beschr nkte Fernanmeldung als Root Sie k nnen sich nicht mehr aus der Ferne als Root anmelden Sie melden sich stattdessen als Anwender an und verwenden dann entweder den sudo Befehl u
42. ESX Server integriert wurden sowie die Mafsnahmen durch die Sie den ESX Server Host vor Gefahren sch tzen k nnen Zu diesen Ma nahmen geh ren Firewalls die Effektivierung von Sicherheitsfunktionen und virtuellen Switches sowie die Einrichtung von Anwenderauthentifizierung und Anwenderrechten Der Sicher heitsabschnitt enth lt folgende Kapitel Sicherheit f r ESX Server Systeme Stellt die ESX Server Funktionen vor mit denen Sie die Umgebung f r Ihre Daten sichern k nnen und gibt eine sicher heitsbezogene bersicht ber den Systemaufbau Absicherung der ESX Server Konfiguration Erl utert die Konfiguration von Firewall Ports f r ESX Server Hosts und VMware VirtualCenter die Verwendung von virtuellen Switches und VLANs zur Absicherung der Netzwerkisolierung f r virtuelle Maschinen und die Absicherung von iSCSI Speicher VMware Inc Kapitel 1 Einf hrung m Authentifizierung und Anwender Management Erl utert die Einrichtung von Anwendern Gruppen Zugriffsrechten und Rollen zur Steuerung des Zugriffs auf ESX Server Hosts und VirtualCenter Es behandelt auch die Verschl sselung und delegierte Anwender m Sicherheit der Servicekonsole Behandelt die Sicherheitsfunktionen der Servicekonsole und die Konfiguration dieser Funktionen m Sichere Implementierungen und Sicherheits empfehlungen F hrt einige Beispiel Systeme auf um zu verdeutlichen welche Probleme bei der Implemen tierung v
43. Frames mit einer imitierten Quell MAC Adresse senden Daher kann ein Betriebssystem b swillige Angrif fe auf die Ger te in einem Netzwerk durchf hren indem es einen Netzwerkadapter imitiert der vom Empf ngernetzwerk autorisiert wurde Mit den Sicherheitsprofilen f r den virtuellen Switch auf den ESX Server Hosts k nnen Sie sich gegen diese Art von Angriffen sch tzen indem Sie drei Optionen einstellen m MAC Adress nderungen In der Standardeinstellung ist diese Option auf Akzeptieren gesetzt d h dass der ESX Server Host Anfragen die geltende MAC Adresse in eine andere als die urspr nglich zugewiesene Adresse zu n dern akzeptiert Die Einstellungen der Option MAC Adressen nderung beeinflusst den Datenverkehr den eine virtuelle Maschine empf ngt Zum Schutz gegen MAC Imitation k nnen Sie diese Option auf Reject Ablehnen setzen In diesem Fall lehnt der ESX Server Host alle Anfragen die geltende MAC Adresse in eine andere als die urspr nglich zugewiesene Adresse zu ndern ab Stattdessen wird der Port der von dem virtuellen Adapter zum Senden der Anfrage verwendet wird deaktiviert Als Folge erh lt der virtuelle Adapter keine weiteren Datenpakete mehr bis er die geltende MAC Adresse ndert sodass sie mit der urspr nglichen MAC Adresse bereinstimmt Das Gast Betriebssystem erkennt nicht dass die nderung der MAC Adresse nicht angenommen wurde HINWEIS In bestimmten Situationen ist es tats chlich notwendig
44. Gruppeninformakionen Gruppennanme 2 Gruppen Ib optional r Benutzer in dieser Gruppen Benutzername Abbrechen Geben Sie einen Gruppennamen und eine numerische Gruppen ID GID ein Die Angabe der GID ist nicht zwingend erforderlich Wenn Sie keine GID angeben weist der VI Client die n chste verf gbare GID zu Geben Sie die Anwendernamen aller Anwender ein die zur Gruppe geh ren sollen und klicken Sie auf Hinzuf gen Wenn Sie einen nicht vorhandenen Anwendernamen eingeben gibt der VI Client eine Warnmeldung aus und f gt den Anwender nicht zum Verzeichnis Gruppen mitglieder hinzu Klicken Sie auf OK Die Gruppen ID und der Gruppenname den Sie eingegeben haben werden jetzt in der Gruppen Tabelle angezeigt Hinzuf gen oder Entfernen von Gruppenanwendern 1 2 Melden Sie sich ber den ESX Server Host im VI Client an W hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Anwender amp Gruppen und denn auf Gruppen VMware Inc 7 Kapitel 11 Authentifizierung und Anwender Management Klicken Sie mit der rechten Maustaste an eine beliebige Stelle in der Tabelle Gruppen und dann auf Eigenschaften Das Dialogfeld Gruppe bearbeiten wird angezeigt Gruppe bearbeiten adm x Gruppeninform tionen Gruppenname Gruppen ID fj Benutzer in dieser Gruppen rook
45. IDE oder SATA Laufwerken speichern Der ESX 92 Server Host muss ber einen SCSI Speicher einen NAS oder einSAN zum Speichern virtueller Maschinen verf gen Mit dem VI Client greifen Sie auf die Speicherger te zu die dem ESX Server System zugewiesen wurden und implementieren darauf Datastores Weitere Informationen finden Sie unter Speicherkonfiguration auf Seite 103 Unterst tzte Speicheradapter F r den Zugriff auf verschiedene Speichertypen ben tigt das ESX Server System verschiedene Adapter um eine Verbindung zum Speicherger t oder zum Netzwerk aufbauen zu k nnen ESX Server unterst tzt PCI basierte SCSI und iSCSI RAID Fibre Channel und Ethernet Adapter und greift direkt ber die Ger tetreiber im VMkernel darauf zu Speicherzugriff durch virtuelle Maschinen Wenn eine virtuelle Maschine mit virtuellen Festplatten kommuniziert die auf einem Datastore gespeichert sind gibt sie SCSI Befehle aus Da sich die Datastores auf verschiedenen Typen von physischen Speichern befinden k nnen werden diese Befehle je nach Protokoll dass das ESX Server System zur Anbindung an ein Speicherger t verwendet umgewandelt ESX Server unterst tzt die Protokoll Fibre Channel FC Internet SCSI iSCSI und NFS Die Abbildung Abbildung 5 1 zeigt die Unterschiede zwischen den Speichertypen F nf virtuelle Maschinen verwenden unterschiedliche Typen von Speichern VMware Inc Kapitel 5 Speicher Einf hrung ESX Ser
46. Layer oder je nach Aufbau die Clients und die ESX Server Layer gesch tzt sind Diese Firewall bietet einen Grundschutz f r das Netzwerk Die verwendeten Firewall Ports sind die gleichen wie bei der Verwendung eines VirtualCenter Servers m Die Lizenzierung geh rt in dieser Konfiguration zu dem ESX Server Paket dass Sie auf allen ESX Server Hosts installieren Da die Lizenzierung ber den Server abgewickelt wird ist kein getrennter Lizenz Server notwendig Dadurch entf llt die Firewall zwischen dem Lizenz Server und dem ESX Server Netzwerk 186 Kapitel 10 Absicherung der ESX Server Konfiguration HINWEIS Unter bestimmten Umst nden m chten Sie die Lizenzen zentral verwalten Dazu k nnen Sie einen getrennten Lizenz Server verwenden oder den Lizenz Server auf einem der ESX Server Hosts im Netzwerk unterbringen In beiden F llen binden Sie den Lizenz Server wie beim Vorhandensein eines Virtual Center Servers ber eine Firewall an das ESX Server Netzwerk an Dazu werden die Ports verwendet die normalerweise f r die Lizenzierung von virtuellen Ma schinen reserviert sind Bei Konfigurationen die einen anderen als den automa tisch auf dem ESX Server Host installierten Lizenz Server verwenden ist eine zus tzliche Einrichtung notwendig Weitere Informationen zur Lizenzierung finden Sie im Installations und Upgrade Handbuch TCP und UDP Ports f r den Management Zugriff In diesem Abschnitt werden voreingestellte TCP und
47. Maschinen Da das VMkernel ausschlie lich f r die Unterst tzung der virtuellen Maschinen verwendet wird beschr nkt sich die Schnittstelle zum VMkernel auf die Programmierschnitt stelle die zur Verwaltung der virtuellen Maschinen notwendig ist Sicherheit der virtuellen Maschinen Virtuelle Maschinen sind die Beh lter in denen Anwendungen und Gastbetriebs systeme ausgef hrt werden Durch den Systemaufbau sind alle virtuellen Maschinen von VMware voneinander isoliert Die Isolierung der virtuellen Maschine wird vom Gast 168 VMware Inc Kapitel 9 Sicherheit f r ESX Server Systeme Betriebssystem nicht wahrgenommen Selbst ein Anwender mit Systemadministrator rechten f r das Gast Betriebssystem der virtuellen Maschine kann diese Isolierungslayer nicht durchbrechen und auf andere virtuelle Maschinen zugreifen wenn er vom System administrator von ESX Server keine entsprechenden Rechte erhalten hat Durch diese Isolierung k nnen mehrere virtuelle Maschinen gleichzeitig und sicher auf der gleichen Hardware ausgef hrt werden Dabei werden sowohl Hardware Zugriff als auch ununterbrochene Leistung garantiert Wenn zum Beispiel ein Gast Betriebs system in einer virtuellen Maschine abst rzt werden die anderen virtuellen Maschinen auf dem gleichen ESX Server Host weiter ohne Beeintr chtigung ausgef hrt Der Ab sturz des Gast Betriebssystems hat keinen Einfluss auf m Den uneingeschr nkten Zugriff der Anwender auf die anderen
48. Mit dem Virtual Infrastructure VI Client k nnen Sie eine Netzwerkanbindung her stellen Dabei gibt es drei Kategorien die die drei Typen von Netzwerkdiensten widerspiegeln m Virtuelle Maschinen m VMkernel m Servicekonsole In diesem Kapitel werden folgende Themen behandelt Netzwerk Konzepte auf Seite 22 Netzwerkdienste auf Seite 27 Anzeige der Netzwerkinformationen im VI Client auf Seite 27 Netzwerkaufgaben auf Seite 29 Konfiguration virtueller Netzwerke f r virtuelle Maschinen auf Seite 29 Konfiguration des VMkernels auf Seite 33 Konfiguration der Servicekonsole auf Seite 37 VMware Inc 21 Handbuch zur Server Konfiguration Netzwerk Konzepte 22 Es sind bestimmte Grundlagen notwendig um virtuelle Netzwerke vollst ndig zu ver stehen Wenn Sie bisher noch nicht mit ESX Server 3 0 gearbeitet haben empfiehlt VMware Ihnen dringend die Lekt re dieses Abschnittes bersicht Konzepte Ein physisches Netzwerk ist ein Netzwerk von physischen Computern die so mitein ander verbunden sind dass sie untereinander Daten empfangen und versenden k n nen VMware ESX Server wird auf einem physischen Computer ausgef hrt Ein virtuelles Netzwerk ist ein Netzwerk von virtuellen Computern virtuellen Ma schinen die auf einem einzigen physischen Computer ausgef hrt werden Sie sind logisch miteinander verbunden sodass sie untereinander Daten empfangen und ver senden k nnen Vi
49. Mit der Migration mit VMotion kann eine aktivierte virtuelle Maschine von einem ESX Server Host auf einen anderen bertragen werden ohne dass die virtuelle Maschine her untergefahren werden muss F r die optionale VMotion Funktion ist ein eigener Lizenzschl ssel notwendig Virtuelle Switches Mit dem Virtual Infrastructure VI Client k nnen Sie isolierte Netzwerkger te erstel len die virtuelle Switches vSwitches genannt werden Ein vSwitch kann Datenver kehr intern zwischen virtuellen Maschinen und zwischen virtuellen Maschinen und externen Netzwerken steuern HINWEIS Sie k nnen auf einem einzigen Host h chstens 248 vSwitches anlegen VMware Inc 23 Handbuch zur Server Konfiguration Mit virtuellen Switches k nnen Sie die Bandbreite mehrerer Netzwerkadapter kombi nieren und den Datenverkehr darauf verteilen Sie k nnen auch konfiguriert werden um physischen NIC Failover zu gew hrleisten Ein vSwitch t uscht einen physischen Ethernet Switch vor Die Standardanzahl der lo gischen Ports auf einem vSwitch ist 56 Mit ESX Server 3 0 k nnen jedoch vSwitches mit bis zu 1016 Ports erstellt werden An jeden dieser Ports k nnen Sie einen Netzwerkadapter einer virtuellen Maschine anschliefsen Jeder Uplink Adapter der einem vSwitch zuge wiesen wurde verwendet einen Port Jeder logische Port auf dem vSwitch geh rt zu einer Port Gruppe Jedem vSwitch kann mindestens eine Port Gruppe zugewiesen werden Weitere Informationen fin
50. Prozess vmware hostd neu zu starten service mgmt vmware restart Gehen Sie genauso vor wenn Sie einen HITP Dienst in den HTTPS Abschnitt ver schieben f gen Sie dabei jedoch einen Umleitungsbefehl in den HTTP Bereich ein wenn Sie den Dienst verschoben haben F gen Sie den neuen Umleitungsbefehl nach den anderen Umleitungsbefehlen ein und weisen Sie dem Redirect Tag eine eindeutige ID Nummer zu Beispiel Konfiguration von VI Web Access zur Kommunikation ber einen unsicheren Port VI Web Access kommuniziert mit einem ESX Server Host normalerweise ber einen sicheren Port HTTPS 443 Wenn Sie sich in einer vollst ndig vertrauensw rdigen Umgebung befinden k nnen Sie einen unsicheren Port verwenden zum Beispiel HTTP 80 ndern Sie dazu den Bereich Proxy Dienste in der Datei etc vmware hostd config xml wie oben beschrieben Das Ergebnis sieht folgenderma en aus wobei die ge nderten und verschobenen Bereiche fett hervorgehoben sind Der Server Abschnitt f r ui den VI Web Access Dienst wurde in den HTTP Bereich verschoben und der Umleitungsbefehl f r ui wurde entfernt lt ProXySVc gt lt path gt usr lLib vmware hostd libproxysvc so lt path gt lt http gt lt port gt 80 lt port gt lt proxyDatabase gt lt server id 0 gt lt namespace gt lt namespace gt lt host gt localhost lt host gt lt port gt 9080 lt port gt lt server gt lt server id 1 gt lt namespace gt ui lt namespace gt l
51. UDP Ports die f r den Manage ment Zugriff auf den VirtualCenter Server die ESX Server Hosts und andere Netz werkkomponenten verwendet werden aufgef hrt Wenn Netzwerkkomponenten die au erhalb einer Firewall liegen verwaltet werden m ssen muss ggf die Firewall neu konfiguriert werden damit auf die entsprechenden Ports zugegriffen werden kann HINWEIS Sofern nicht anders angegeben sind die in der Tabelle aufgef hrten Ports durch die Servicekonsolenschnittstelle angebunden Tabelle 10 1 TCP und UDP Ports Port 80 Art des Zweck Datenverkehrs HTTP Zugriff Eingehendes TCP Nicht abgesicherter Standard ICP Webport der normalerweise in Verbindung mit Port 443 als Front End zum Zugriff auf ESX Server Netzwerke vom Internet aus verwendet wird Port 80 leitet Datenverkehr auf eine HTTPS Startseite Port 443 um von der Sie die Konsole der virtuellen Maschine aufrufen Verwenden Sie Port 80 f r Verbindungen zu VI Web Access vom Internet 443 HTTPS Zugriff Eingehendes TCP Der Standard SSL Internetport Verwenden Sie Port 443 f r folgende Aufgaben m Verbindung zu VI Web Access vom Internet m VI Web Access und Verbindungen von Netzwerk Management Clients von Drittanbietern an den VirtualCenter Server m Direkter VI Web Access und Zugriff der Netzwerk Manage ment Clients von Drittanbietern auf ESX Server Hosts VMware Inc 187 Handbuch zur Server Konfiguration Tabelle 10 1 TCP und UDP Ports
52. VI Client auf den Host zu greifen ben tigen keinen Shellzugriff 7 Geben Sie die Gruppennamen der Gruppen ein zu denen der Anwender geh ren soll und klicken Sie auf Hinzuf gen Wenn Sie einen nicht vorhandenen Gruppennamen eingeben gibt der VI Client eine Warnmeldung aus und f gt die Gruppe nicht zum Verzeichnis Gruppenmit gliedschaft hinzu 8 Klicken Sie auf OK Das Login und der Anwendername die Sie eingegeben haben werden jetzt in der Anwender Tabelle angezeigt Der VI Client weist dem Anwender die n chste verf g bare Anwender ID zu nderung von Einstellungen eines Anwenders 1 Melden Sie sich ber den ESX Server Host im VI Client an 2 W hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt 3 Klicken Sie auf die Registerkarte Anwender amp Gruppen und dann auf Anwender VMware Inc 223 Handbuch zur Server Konfiguration 4 Klicken Sie mit der rechten Maustaste an eine beliebige Stelle in der Tabelle Benutzer und dann auf Bearbeiten Das Dialogfeld Anwender bearbeiten wird angezeigt H Benutzer bearbeiten daemon x Benutzerintormationen Anmeldung UID Benutzernam daemon Name und UID sind optional f r Benutzernamen l Kennwort ndern Kennwort Best tigen Shell Zugriff l Diesem Benutzer Shell Zugriff erteilen sruppenmitgliedschaft bin daemon adm Ip Gruppe I Abbrechen 5 We
53. VMkernel Ports f r Software iSCSI 1 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventarnfenster aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt 2 Klicken Sie auf die Registerkarte Konfiguration und dann auf Netzwerk 3 Klicken Sie auf den Link Netzwerk hinzuf gen Der Assistent zum Hinzuf gen von Netzwerken wird angezeigt 4 W hlen Sie VMkernel und klicken Sie auf Weiter Damit k nnen Sie den VMkernel der die Dienste f r den iSCSI Speicher ausf hrt an das physische Netzwerk anschlie en Das Dialogfeld Netzwerkzugang wird angezeigt 5 W hlen Sie den vSwitch aus den Sie verwenden m chten oder aktivieren Sie das Optionsfeld Einen virtuellen Switch erstellen 70 VMware Inc 6 VMware Inc Kapitel 4 Netzwerk Szenarien und Probleml sung Aktivieren Sie die Kontrollk stchen f r die Netzwerkadapter die Ihr vSwitch ver wenden soll Assistent zum Hinzuf gen von Netzwerken mifi EJ YMkernel Netzwerkzugriff YMkernel erreicht Netzwerke durch Uplink Adapter die mit virtuellen Switches verbunden sind w hlen Sie den virtuellen Switch aus der den Netzwerkverkehr f r diese Verbindung handhaben wird Sie k nnen auch einen neuen virtuellen Switch unter Verwendung der unten aufgelisteten freie Netzwerkadapter erstellen Ver bins 3 x gstyp Netzwerkzugriff Verbindungseinstellungen C Einen virtuellen Switch erstellen Geschwindigkei
54. VMware Inc Kapitel 2 Vernetzung 11 Klicken Sie auf Weiter Das Dialogfeld Fertig stellen wird angezeigt FG Assistent zum Hinzuf gen von Netzwerken OJ X Fertig zur Weiterbearbeitung Pr fen Sie ob alle neuen und ge nderten virtuellen Switches richtig konfiguriert sind Die Host Vernetzung umfasst die folgenden neuen und ge nderten vSwitches Vorschau Port Gruppe jer tuellen Maschine Physische Adapti r Netzwerk der virtuellen Maschi Q N Keine Adapter lt Zur ck Fertig teten Abbrechen 12 berpr fen Sie die Konfiguration des vSwitches noch einmal und klicken Sie dann auf Fertig stellen HINWEIS Verbinden Sie mindestens zwei Adapter mit einem Switch um Failover NIC Teaming zu aktivieren Wenn ein Uplink Adapter versagt wird der Daten verkehr des Netzwerkes auf einen anderen Adapter der an den Switch ange schlossen ist umgeleitet NIC Teambildung erfordert dass beide Ethernet Ger te auf demselben Ethernet bertragungsgebiet liegen Konfiguration des VMkernels Die Verschiebung einer virtuellen Maschine von einem Host auf einen anderen wird Migration genannt Die Migration einer aktivierten virtuellen Maschine nennt man VMotion Die Migration mit VMotion die zur Verwendung in hochkompatiblen Systemen entwickelt wurde erm glicht es Ihnen virtuelle Maschinen ohne Ausfall zeiten zu verschieben Der Protokollstapel des VMkernel muss richtig eingerichtet sein damit VMotion or
55. aber ber die VM Konsole auf die virtuellen Maschinen zugreifen k nnen um Soft ware zu installieren und andere Wartungsaufgaben auf den virtuellen Maschinen durchzuf hren Au erdem kann eine Gruppe von Unternehmensanwendern ohne Konten die virtuellen Maschinen zur Ausf hrung ihrer Anwendungen verwenden VMware Inc 263 Handbuch zur Server Konfiguration Tabelle 13 7 zeigt wie Sie die Komponenten gemeinsam nutzen und f r den ESX Server Host konfigurieren k nnen Tabelle 13 7 Gemeinsame Komponentennutzung in einer Implementierung f r mehrere Kunden ohne Beschr nkungen Funktion Konfiguration Anmerkungen Servicekonsole auf dem Nein Isolieren Sie die Servicekonsole sodass sie ber ihr gleichen physischen Netz eigenes physisches Netzwerk verf gt werk wie die virtuellen Maschinen Servicekonsole auf dem Nein Isolieren Sie die Servicekonsole sodass sie ber ihr gleichen VLAN wie die eigenes VLAN verf gt Virtuelle Maschinen oder virtuellen Maschinen andere Systemkomponenten wie z B VMotion sollten ein anderes VLAN verwenden Virtuelle Maschinen im Ja Die virtuellen Maschinen nutzen das gleiche physische gleichen physischen Netzwerk Netzwerk Gemeinsame Netzwerk Teilweise Isolieren Sie die Servicekonsole sodass sie ber ihren adapternutzung eigenen virtuellen Switch und virtuellen Netzwerk adapter verf gt Virtuelle Maschinen oder andere Systemkomponenten sollten einen anderen Switch oder
56. am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt 2 Klicken Sie auf die Registerkarte Konfiguration und dann auf Netzwerk 3 Klicken Sie auf der rechten Bildschirmseite auf Netzwerk hinzuf gen Die virtuellen Switches werden als bersicht mit Details angezeigt Vernetzung Aktualisieren Netzwerk hinzuf gen Wetumber vateh vSwakch Entfernen Eigenschaften kal ServiceKongole Eh agp vinin 10 val Laf mnki 100 vol u 4 Klicken Sie auf die Registerkarte Netzwerk hinzuf gen aus der Registerkarte Konfiguration Der Assistent zum Hinzuf gen von Netzwerken wird angezeigt HINWEIS Der Assistent zum Hinzuf gen von Netzwerken wird auch f r neue Ports und Port Gruppen verwendet VMware Inc Kapitel 2 Vernetzung 5 Akzeptieren Sie die Standard Verbindungsart Virtuelle Maschinen Durch die Auswahl der Option Virtuelle Maschinen k nnen Sie ein bezeichnetes Netzwerk hinzuf gen das den Datenverkehr im Netzwerk der virtuellen Ma schinen verarbeitet 6 Klicken Sie auf Weiter Das Dialogfeld Netzwerkzugang wird angezeigt Assistent zum Hinzuf gen von Netzwerken Virtuelle Maschinen Netzwerkzugriff Virtuelle Maschinen erreichen Netzwerke durch Upink Adapter die mit vwirbuellen Swikches verbunden sind w hlen Sie den virtuellen Switch aus der den Netzwerkverkehr f r diese Verbindung handhaben wird Se
57. auch dazu verwenden Dateien wie z B virtuelle Festplatten zu bearbeiten die auf VMFS 2 VMFS 3 und NES gespeichert sind Die meisten vmkfstools Vorg nge k nnen auch ber den VI Client ausgef hrt werden Weitere Informationen zur Verwendung des VI Clients zur Speicherverwaltung finden Sie unter Speicherkonfiguration auf Seite 103 Dieser Anhang behandelt die folgenden Abschnitte m vmkfstools Befehlssyntax auf Seite 282 m vmkfstools Optionen auf Seite 283 m Beispiele f r die Verwendung von vmkfstools auf Seite 295 VMware Inc 281 Handbuch zur Server Konfiguration vmkfstools Befehlssyntax Im Allgemeinen m ssen Sie sich nicht als der Root Benutzer anmelden um die vmkfstools Befehle auszuf hren Manche Befehle jedoch wie zum Beispiel die Befehle zum Dateisystem erfordern eine Root Anmeldung Verwenden Sie mit dem vmkfstools Befehl die folgenden Argumente 282 Bei lt options gt handelt es sich um eine oder mehrere Befehlszeilenoptionen und zugeordnete Argumente die Sie dazu verwenden die Aktivit t anzugeben die vmkfstools ausf hren soll wie beispielsweise die Auswahl des Festplatten formats beim Erstellen einer neuen virtuellen Festplatte Nach der Eingabe dieser Option geben Sie eine Datei oder ein VMFS Dateisystem an auf dem Sie den Vorgang ausf hren m chten indem Sie einen relativen oder absoluten Datei Pfadnamen in der vmfs Hierarchie eingeben lt Partition gt bezeic
58. auf Weiter Das Dialogfeld Disk LUN Festplatte LUN wird angezeigt l Speicher hinzuf gen O X Festmatte LUN ausw hlen Wenn ein Ger t nicht eindeutig konfiguriert werden kann werden Se aufgefordert eine Partition Suzz uns hlen FestplakkayL N SAN Bezeichner erth t L schen Ger t verf gbar SAN Bezeichrier Ger testandort vmhba1 0 15 1022 00 M 50 06 01 50 30 2 vmhba1 0 17 1022 00 M 50 06 01 50 30 2 vmhba1 0 18 1022 00 M 50 06 01 50 30 2 vmhba1 0 19 1022 00 M 50 06 01 50 30 2 vmhba1 0 20 1022 00 M 50 06 01 50 30 2 vmhbal 0 21 1022 00 M 50 06 01 50 30 2 vmhbal l 22 1022 00 M 50 06 01 50 30 2 vmhba1 0 23 1022 00 M 50 06 01 50 30 2 vmhbal 0 22 1022 00 M 50 06 01 50 30 2 vmhba1 0 23 1022 00 M 50 06 01 50 30 2 W hlen Sie das SCSI Ger t aus das Sie f r den Datastore verwenden m chten und klicken Sie auf Weiter Das Aktuelle Festplatten Layout wird angezeigt berpr fen Sie das aktuelle Festplatten Layout und klicken Sie auf Weiter Das Dialogfeld Festplatte LUN Eigenschaften wird angezeigt Geben Sie einen Namen f r den Datastore ein Der Name muss in der vorliegenden Instanz der virtuellen Infrastruktur eindeutig sein 105 Handbuch zur Server Konfiguration 8 10 11 Klicken Sie auf Weiter Das Dialogfeld Festplatte LUN Formatierung wird angezeigt C Speicher hinzuf gen E D x Festplatte LUN Formatierung Das Format Ihres Dateisystems bestimmt welche Klass
59. auszuf hren Versuchen Sie auch so wenige Prozesse wie m glich auf der Servicekonsole auszuf hren Im Idealfall sollten nur die Prozesse Dienste und Agenten ausge f hrt werden die wirklich notwendig sind wie zum Beispiel Antivirenprogram me Backups f r die virtuellen Maschinen usw Verwaltung der ESX Server Hosts ber den VI Client Verwenden Sie den VI Client VI Web Access oder ein Netzwerk Management Programm von Drittanbietern zur Verwaltung der ESX Server Hosts wenn dies m glich ist statt als Root ber die Befehlszeilenoberfl che zu agieren Mit dem VI Client k nnen Sie die Anzahl der Konten die Zugriff auf die Servicekonsole VMware Inc Kapitel 12 Sicherheit der Servicekonsole haben einschr nken Verantwortungen sicher weitergeben und Rollen einrichten damit Administratoren und Anwender keine Funktionen nutzen k nnen die sie nicht ben tigen m Ausschlie liche Verwendung von VMware Quellen f r Aktualisierungen von ESX Server Komponenten auf der Servicekonsole Auf der Servicekonsole werden zur Unterst tzung von notwendigen Management Schnittstellen oder Aufgaben viele Pakete von Drittanbietern wie zum Beispiel der Tomcat Web Dienst ausgef hrt Bei VMware k nnen diese Pakete nur ber eine VMware Quelle aktualisiert werden Wenn Sie einen Download oder Patch aus einer anderen Quelle verwenden k nnen die Sicherheit und die Funktionen der Service konsole gef hrdet werden berpr fen Sie die Inte
60. bed rfen Dies k nnen Sie durch folgende Matsnahmen erreichen m Firewallschutz f r das virtuelle Netzwerk durch Installation und Konfiguration von Software Firewalls auf einigen oder allen virtuellen Maschinen im Netzwerk VMware Inc Kapitel 10 Absicherung der ESX Server Konfiguration HINWEIS Aus Effizienzgr nden k nnen Sie private Ethernet Netzwerke virtueller Maschinen VMware Inc oder Virtuelle Netzwerke einrichten Bei virtuellen Netzwerken installieren Sie eine Software Firewall auf einer virtuellen Maschine am Eingang des virtuellen Netz werks Diese dient als Schutzpufferzone zwischen dem physischen Netzwerk adapter und den brigen virtuellen Maschinen im virtuellen Netzwerk Die Installation einer Software Firewall auf virtuellen Maschinen am Eingang eines virtuellen Netzwerkes ist eine bew hrte Sicherheitsma snahme Da jedoch Software Firewalls die Leistung verlangsamen k nnen sollten Sie Sicherheitsbed rfnisse und Leistungsanforderungen abw gen bevor Sie Software Firewalls auf anderen virtu ellen Maschinen im Netzwerk installieren Weitere Informationen zu virtuellen Netzwerken finden Sie unter Netzwerk Konzepte auf Seite 22 Beibehalten verschiedener Zonen aus virtuellen Maschinen innerhalb eines Hosts auf verschiedenen Netzwerksegmenten Wenn Sie virtuelle Maschinenzonen auf deren eigenen Netzwerksegmenten isolieren minimieren Sie das Risiko eines Datenverlusts aus einer virtuellen Maschinenzone auf
61. den gesam ten Datenverkehr zum und vom darunterliegenden Dateisystem verwendet Der delegierte Standardanwender f r den ESX Server Host ist root Nicht alle NFS Datastores akzeptieren jedoch Root als den delegierten Anwender NFS Administra toren k nnen Datentr ger mit aktiviertem Root Squash exportieren Die Funktion root squash bildet einen Root auf einen Anwender ohne wesentliche Privilegien auf dem NFS Server ab und beschr nkt so die Berechtigungen des Root Anwenders Diese Funktion wird meistens verwendet um unerlaubten Zugriff auf Dateien auf dem NFS Datentr ger zu verhindern Wenn das NFS Volume exportiert wurde w hrend Root Squash aktiviert war kann es sein dass der NFS Server den Zugriff auf den ESX Server Host verbietet Um sicherzustellen dass Sie virtuelle Maschinen ber Ihren Host an legen und verwalten k nnen muss der NFS Administrator die Root Squash Funktion deaktivieren oder den physischen Netzwerkadapter des ESX Server Hosts der Liste der vertrauten Server hinzuf gen Wenn der NFS Administrator keine dieser beiden Aktionen durchf hren m chte k nnen Sie den Delegierten durch die experimentellen ESX Server Funktionen auf eine andere Identit t setzen Diese Identit t muss derjenigen des Inhabers des Verzeich nisses auf dem NFS Server entsprechen Im anderen Fall kann der ESX Server Host keine Vorg nge auf der Dateiebene durchf hren Um einem Delegierten eine andere Identit t anzulegen ben tigen Sie die f
62. die iSCSI Struktur verwenden ist der iSCSI Datenverkehr potenziell dem Missbrauch durch Angreifer der virtuellen Maschinen ausgesetzt Um sicherzustellen dass Angreifer die iSCSI bertragungen nicht abh ren k nnen achten Sie darauf dass keine Ihrer virtuellen Maschinen das iSCSI Speichernetzwerk sehen kann Wenn Sie einen Hardware iSCSI Adapter verwenden erreichen Sie dies indem Sie sicherstellen dass der iSCSI Adapter und der ESX physische Netzwerkadapter nicht versehentlich au erhalb des Hosts durch eine gemeinsame Verwendung des Switch oder in anderer Form verbunden sind Wenn Sie iSCSI direkt ber den ESX Server Host konfigurieren k nnen Sie dies erreichen indem Sie den iSCSI Speicher ber VMware Inc Kapitel 10 Absicherung der ESX Server Konfiguration einen anderen virtuellen Switch konfigurieren als denjenigen der durch Ihre virtuellen Maschinen verwendet wird wie in Abbildung 10 5 dargestellt virtueller Switch wSwikch Service Console Port Physische Adapter b Service Console ci aR vmnic 100 Full vswifO 10 17 80 174 virtueller Switch vSwibchl irtual Machine Port Group Physische Adapter YM Network aR vmnic2 100 Full E 4 virtual machines YLAN ID sherivmn YM G YM GAZ2 newy virtueller Switch wSwikch z YMkermel Port Physische Adapter iSCSI aR vmnici 1000 Full 10 17 95 225 Service Console Port Service Console 2 vas fl 10 17 50 174 Abbildung 10 5 iSCSl Speicher an
63. die Authentifizierung Verwenden Sie diesen Befehl um zwischen den Plug Ins pam_cracklib so und pam_passwdgc so zur Durchsetzung der nderungsregeln f r Kennw rter umzuschalten Mit diesem Befehl k nnen Sie auch die Optionen f r diese beiden Plug Ins zur cksetzen Weitere Informationen finden Sie unter Kennwort Komplexit t auf Seite 246 Diese Funktionen k nnen im VI Client nicht konfiguriert werden esxcfg boot Konfiguriert die Bootstrap Einstellungen Dieser Befehl wird f r den Bootstrap Prozess verwendet und ist nur f r die technische Unterst tzung von VMware vorgesehen Geben Sie diesen Befehl nur auf ausdr ckliche Anweisung eines Vertreters der technischen Unterst tzung von VMware ein Diese Funktionen k nnen im VI Client nicht konfiguriert werden esxcfg dumppart Konfiguriert eine Diagnosepartition oder sucht nach bestehenden Diagnosepartitionen Bei der Installation von ESX Server wird eine Diagnosepartition zur Speicherung von Informationen zur Fehlersuche erstellt wenn ein Systemfehler auftritt Sie m ssen diese Partition nicht manuell anlegen es sei denn Sie stellen fest dass es keine Diagnose Partition f r den Host gibt F r Diagnosepartitionen stehen im VI Client folgende Verwaltungsvorg nge zur Verf gung m Vorhandensein einer Diagnosepartition Klicken Sie auf Storage Speicher gt Hinzuf gen und berpr fen Sie die erste Seite des Assistenten zum Hinzuf gen von Speicher ob dort di
64. eigenen physischen Netz werkadapter die sie mit dem externen Netzwerk 1 verbinden Dieses Netzwerk ist auf Server beschr nkt die vom Unternehmen zum Empfang von Daten von ex VMware Inc VMware Inc Kapitel 9 Sicherheit f r ESX Server Systeme ternen Quellen verwendet werden Das Unternehmen verwendet beispielsweise das Externe Netzwerk 1 um FTP Daten von Anbietern zu empfangen und den An bietern FIP Zugriff auf Daten die auf extern verf gbaren Servern gespeichert sind zu gew hren Zus tzlich zur Verarbeitung der Daten f r die Virtuelle Ma schine 1 verarbeitet das Externe Netzwerk 1 auch Daten f r FIP Server auf anderen ESX Server Hosts am Standort Da sich die virtuelle Maschine 1 keinen virtuellen Switch oder physischen Netzwerk adapter mit anderen virtuellen Maschinen auf dem Host teilt k nnen die anderen virtuellen Maschinen auf dem Host keine Datenpakete in das Netzwerk der virtu ellen Maschine 1 bertragen oder daraus empfangen Dadurch werden Abh ran griffe verhindert da dem Opfer daf r Netzwerkdaten gesendet werden m ssen Au erdem kann der Angreifer dadurch die nat rliche Anf lligkeit von FTP nicht zum Zugriff auf andere virtuelle Maschinen auf dem Host nutzen Die internen virtuellen Maschinen die virtuellen Maschinen 2 5 sind der inter nen Verwendung vorbehalten Diese virtuellen Maschinen verarbeiten und spei chern empfindliche firmeninterne Daten wie medizinische Unterlagen Gerichtsver fahr
65. einem eigenen virtuellen Switch Wenn Sie iSCSI direkt durch den Host und nicht durch den Hardware Adapter konfigurieren m ssen Sie beim Einrichten des virtuellen Netzwerks zwei Netz werkverbindungen f r die Servicekonsole anlegen Dazu konfigurieren Sie die erste Netzwerkverbindung der Servicekonsole auf deren eigenem virtuellen Switch und verwenden diese ausschlie lich f r die Konnektivit t der Management Tools virtueller Switch 0 in der Abbildung Dann konfigurieren Sie die zweite Netzwerk verbindung f r die Servicekonsole damit sie den virtuellen Switch verwendet den Sie f r die iSCSI Konnektivit t nutzen virtueller Switch 2 in der Abbildung Die zweite Servicekonsolen Netzwerkverbindung unterst tzt nur die iSCSI Aktivit ten und Sie sollten Sie nicht f r Management Aktivit ten oder die Management Iool Kommunikation verwenden Wenn Sie eine gewisse Trennung zwischen iSCSI und der Servicekonsole auf dem gemeinsam genutzten virtuellen Switch herstellen m chten k nnen Sie sie auf unterschiedlichen VLANs konfigurieren HINWEIS Konfigurieren Sie nicht den Standard Gateway f r die Servicekonsole auf dem VMware Inc virtuellen Switch den Sie f r die iSCSI Konnektivit t verwenden Konfigurieren Sie ihn stattdessen auf dem virtuellen Switch den Sie f r die Konnektivit t der Management Tools verwenden 209 Handbuch zur Server Konfiguration 210 Zus tzlich zum Schutz durch einen eigenen virtuellen Switch k nnen S
66. ge ffnet Auf der Registerkarte Allgemein werden zus tzliche Merkmale des Software Initiators angezeigt H Eigenschaften des iSCSI Initiators rmhba40 Allgemein Dynamische Erkennung Statische Erkennung CHAP Authentifizierung r 5C5I Eigenschaften ISCSI NMame igm 1995 01 com vrnwareiesx 3145e255 ISCSI Alias BSX Ziel Erkennungsmethaden Targets versenden Software Initist r Eigenschaften Status Aktiviert konfigurieren Schlie en Hilfe FF Sie k nnen den Software Initiator jetzt konfigurieren oder seine Standardmerkmale ndern Konfiguration eines iSCSI Software Initiators W hrend der Konfiguration des iSCSI Software Initiators m ssen Sie den Initiator aktivieren und die Zieladressen und CHAP Parameter des Initiators einrichten Weitere Informationen finden Sie in folgenden Abschnitten m Aktivieren von iSCSI Software Initiatoren auf Seite 125 m Einrichten von Erkennungsadressen f r Software Initiatoren auf Seite 126 m Einrichten von CHAP Parametern f r Software Initiatoren auf Seite 127 Nach der Konfiguration des iSCSI Software Initiators m ssen Sie erneut nach Spei cher Devices scannen damit alle LUNs auf die der Initiator zugreifen kann im Ver zeichnis der f r ESX Server verf gbaren Speicher Devices aufgelistet wird Weitere Informationen finden Sie unter Neu scannen auf Seite 131 VMware Inc Kapitel 6 Speicherkonfiguration Aktiviere
67. hinten in der Zeichenkette verschoben wurden 247 Handbuch zur Server Konfiguration E Das neue Kennwort muss sich vom alten Kennwort durch mehr als nur durch Grof und Kleinschreibung unterscheiden mM Das neue Kennwort muss sich vom alten Kennwort durch mehr als nur durch einige Zeichen unterscheiden m Das neue Kennwort darf nicht in der Vergangenheit verwendet worden sein pam_cracklib so verwendet dieses Kriterium nur wenn Sie eine Regel zur Wiederverwendung von Kennw rtern definiert haben In der Standardeinstellung verwendet ESX Server keine Regeln zur Wieder verwendung von Kennw rtern sodass pam_cracklib so normalerweise eine Kennwort nderung nicht aus diesem Grund ablehnt Sie k nnen jedoch eine solche Regel konfigurieren damit Anwender nicht nur einige wenige Kennw rter abwechselnd verwenden Wenn Sie eine Regel zur Wiederverwendung von Kennw rtern konfigurieren werden die alten Kennw rter in einer Datei gespeichert die pam _cracklib so bei jedem Kennwort nderungsversuch abfragt Die Anzahl der alten Kennw rter die ESX Server speichert wird in der Regel festgelegt Wenn ein Anwender gen gend Kennw rter erstellt hat und somit der in der Regel festgelegte Wert erreicht wird werden die alten Kennw rter aus der Datei anhand ihres Alters gel scht Informa tionen zur Konfiguration der Regel zur Wiederverwendung von Kennw rtern finden Sie unter Konfiguration einer Regel zur Wiederverwendung von Kennw rtern
68. hlen Zugeordnete SAN LUN aus W hlen Sie eine Raw LUN aus der Liste der verf gbaren LUNs aus W hlen Sie einen Datastore aus dem die Raw LUN zugeordnet werden soll VMware Inc Kapitel 8 Raw Device Mapping 9 W hlen Sie Physisch oder Virtuell als Kompatibilit tsmodus aus In Abh ngigkeit der von Ihnen getroffenen Auswahl werden in den nach folgenden Bildschirmen unterschiedliche Optionen angeboten 10 Auf der Seite Erweiterte Optionen spezifizieren k nnen Sie den Node des virtuellen Ger ts ndern und auf Weiter klicken Die Seite Neue virtuelle Maschine fertig zur Weiterbearbeitung wird angezeigt 11 berpr fen Sie die Optionen Ihrer neuen virtuellen Maschine und klicken Sie auf Fertig stellen Der Erstellungsvorgang einer virtuellen Maschine mit einer virtuellen Festplatte mit LUN Zuordnung ist abgeschlossen Verwalten von Pfaden f r eine zugeordnete Raw LUN Sie k nnen den Assistenten zum Verwalten der Pfade dazu verwenden um die Pfade Ihrer Zuordnungsdateien und zugeordneten Raw LUNs zu verwalten Pfade verwalten 1 Melden Sie sich als Administrator oder als Besitzer der virtuellen Maschine an zu der die zugeordnete Festplatte geh ren wird 2 W hlen Sie die virtuelle Maschine aus dem Inventar aus 3 Klicken Sie auf der Registerkarte bersicht auf Einstellungen bearbeiten Das Dialogfeld Eigenschaften der virtuellen Maschinen wird ge ffnet 4 Auf der Hardware Registerkarte w hlen Sie F
69. hrend des Anlegens zugewiesen Bei dieser Art der Formatierung werden alten Daten gel scht die sich auf dem zugewiesenen Speicher befinden k nnen thin Schlank bereitgestellte Ihin provisioned virtuelle Festplatte Im Gegen satz zum Thick Format wird der erforderliche Speicher f r die virtuelle Festplatte nicht w hrend des Anlegens bereitgestellt sondern sp ter in gel schter Form und nach Bedarf rdm Virtueller Kompatibilit tsmodus des Raw Disk Mappings rdmp Physischer Kompatibilit tsmodus Pass Through des Raw Disk Mappings raw Raw Device 2gbsparse Eine Ersatzfestplatte mit h chstens 2 GB Erweiterungsgr e Festplatten in diesem Format k nnen mit anderen VMware Produkten verwendet werden VMware Inc Anhang B Verwendung von vmkfstools HINWEIS Die einzigen Festplattenformate die f r NFS verwendet werden k nnen sind thin V und 2gbsparse Standardm ig werden alle Dateien und virtuellen Festplatten im Thin Format auf NFS Servern gespeichert und die Bl cke bei Bedarf zugewiesen Auf NFS werden keine anderen Optionen auch nicht Raw Device Maps RDM unterst tzt Erstellen einer virtuellen Festplatte c createvirtualdisk lt Gr e gt kK M G a adaptertype buslogic lsilogic lt srcfile gt d diskformat thin zeroedthick thick eagerzeroedthick Diese Option erstellt eine virtuelle Festplatte auf dem angegebenen Pfad auf einem VMFS Datentr ger Sie m ssen die Gr e d
70. iSCSI dient zum Zugriff auf SCSI Ger te und zum Austausch von Datenberichten unter Verwendung von TCP IP ber einen Netzwerkport statt ber eine direkte Verbindung mit dem SCSI Ger t In iSCSI bertragungen werden Raw SCSI Datenbl cke in iSCSI Berichte eingekapselt und an das Ger t oder den Anwender der die Anfrage gestellt hat bertragen iSCSI SANs erm glichen die effiziente Verwendung bestehender Ethernet Infrastruk turen zum Zugriff auf Speicherressourcen durch die ESX Server Hosts die diese Res sourcen dynamisch teilen k nnen Als solche bieten iSCSI SANs eine wirtschaftliche Speicherl sung f r Umgebungen die auf einem gemeinsamen Speicherpool f r ver schiedene Anwender basieren Wie in allen vernetzten Systemen sind auch iSCSI SANs anf llig f r Sicherheitsbedrohungen Wenn Sie iSCSI auf einem ESX Server Host konfigurieren k nnen Sie diese Sicherheitsrisiken durch verschiedene Ma nahmen minimieren HINWEIS Die Anforderungen und Vorgehensweisen f r die Absicherung von iSCSI SANSs 204 hneln denen f r Hardware iSCSI Adapter die Sie f r ESX Server Hosts und f r iSCSI das direkt ber den ESX Server Host konfiguriert wird verwenden Weitere Informationen zur Konfiguration von iSCSI Adaptern und Speichern finden Sie unter iSCSI Speicher auf Seite 110 Im folgenden Abschnitt wird beschrieben wie Sie die Authentifizierung f r iSCSI SANs konfigurieren und wie Sie iSCSI SANs absichern k nnen In diesem A
71. ist sollten Sie es wie jedes Betriebssystem und jede vir tuelle Maschine am Standort vor Viren sch tzen Wenn Sie in Ihrem Unternehmen bereits Antivirenprogramme f r Linux verwenden k nnen Sie diese auch auf der Servicekonsole verwenden Sie k nnen Einbruchs und Rootkit Erkennungs pro gramme von Drittanbietern wie z B Tripwire installieren HINWEIS Antiviren Software kann die Leistung beeinflussen Wenn Sie sich sicher sind dass sich der ESX Server Host in einer vollst ndig vertrauensw rdigen Um gebung befindet k nnen Sie diese Sicherheitsma nahme gegen Leistungs nachteile abw gen Beschr nkung des Anwenderzugriffs Beschr nken Sie zur Verbesserung der Sicherheit den Anwenderzugriff auf die Servicekonsole und setzen Sie Policys f r die Zugriffssicherheit wie z B Kenn wortbeschr nkungen um zum Beispiel Vorgabe der Kennwortl nge Zeitbe schr nkungen f r Kennw rter und Verwendung eines grub Kennworts beim Hochfahren des Hosts Die Servicekonsole hat privilegierten Zugriff auf bestimmte Teile von ESX Server Daher sollten nur vertrauensw rdige Anwender Zugriff darauf erhalten In der Standardeinstellung ist der Root Zugriff beschr nkt wodurch eine SSH Anmel dung als Root nicht m glich ist Wir empfehlen diese Standardeinstellung bei zubehalten Systemadministratoren f r ESX Server sollten sich als normale An wender anmelden und dann sudo verwenden um bestimmte Aufgaben die Root Privilegien erfordern
72. k nnen mehrere Switches zusammengeschlossen werden um gr ere Netzwerke zu bilden Ein virtueller Switch ein sog vSwitch funktioniert hnlich wie ein physischer Ethernet Switch Er wei welche virtuellen Maschinen logisch an welche virtuellen Ports ange schlossen sind und verwendet diese Informationen um Daten an die entsprechende richtige virtuellen Maschine weiterzuleiten Ein vSwitch kann ber physische Ethernet Adapter auch Uplink Adapter an physische Switches angeschlossen werden um vir tuelle und physische Netzwerke zu verbinden Diese Verbindung hnelt der Vernet zung von physischen Switches zur Bildung von gr eren Netzwerken Obwohl ein vSwitch hnlich wie ein physischer Switch funktioniert verf gt er nicht ber alle er weiterten Funktionsmerkmale eines physischen Switches Weitere Informationen zu vSwitches finden Sie unter Virtuelle Switches auf Seite 23 VMware Inc Kapitel 2 Vernetzung Eine Port Gruppe legt Port Konfigurationsoptionen wie z B Bandbreitenbeschr n kungen oder VLAN Tagging Policys f r jeden Port in der Port Gruppe fest Netzwerk dienste werden ber Port Gruppen an vSwitches angeschlossen Die Port Gruppen de finieren wie eine Verbindung ber den vSwitch an das physische Netzwerk vorgenom men wird Normalerweise wird einem vSwitch mindestens eine Port Gruppe zuge wiesen Weitere Informationen zu Port Gruppen finden Sie unter Port Gruppen auf Seite 26 NIC Teaming tr
73. lt server gt lt server id 1 gt lt namespace gt sdk lt namespace gt lt host gt localhost lt host gt lt port gt 8085 lt port gt lt server gt lt server id 2 gt lt namespace gt ui lt namespace gt lt host gt localhost lt host gt lt port gt 8080 lt port gt lt server gt lt server id 3 gt lt namespace gt mob lt namespace gt lt host gt localhost lt host gt lt port gt 8087 lt port gt lt server gt lt proxyDatabase gt https gt lt proxysvc gt 4 Verschieben Sie f r jeden HTTPS Dienst auf den Sie ber HTTP zugreifen wollen folgenden Abschnitt aus dem HTTPS Bereich in den HTTP Bereich lt server id ID_Nummer gt lt namespace gt Dienstdom ne lt namespace gt lt host gt localhost lt host gt lt port gt Port Nummer lt port gt lt server gt Wobei m ID Nummer eine ID Nummer f r das Server ID XML Tag ist ID Nummern m ssen im HTTP Bereich eindeutig sein m Dienstdom ne der Name des Dienstes ist den Sie verschieben z B sdk oder mob m Port Nummer die Nummer des Ports ist der dem Dienst zugewiesen wurde Sie k nnen dem Dienst eine andere Port Nummer zuweisen VMware Inc 231 Handbuch zur Server Konfiguration 232 5 Entfernen Sie dann im HTTP Abschnitt die Umleitungsbefehle lt redirect gt f r die Dienste die Sie verschieben 6 Speichern Sie die nderungen und schlie en Sie die Datei 7 Geben Sie folgenden Befehl ein um den
74. mit dem Host verwenden W hrend des normalen Betriebs wartet VirtualCenter auf bestimmten Ports auf Daten von verwalteten Hosts und Clients VirtualCenter geht auch davon aus das die verwalteten Hosts auf bestimmten Ports auf Daten von VirtualCenter warten Wenn sich zwischen diesen Elementen eine Firewall befindet muss sichergestellt wer den dass in der Firewall Ports f r den Datenverkehr freigegeben wurden VMware Inc 183 Handbuch zur Server Konfiguration 184 Wenn Sie ber einen VirtualCenter Server auf ESX Server Hosts zugreifen wird der VirtualCenter Server normalerweise durch eine Firewall gesch tzt Diese Firewall bie tet einen Grundschutz f r das Netzwerk Ob sich die Firewall zwischen den Clients und dem VirtualCenter Server befindet oder sowohl der VirtualCenter Server als auch die Clients hinter einer gemeinsamen Firewall liegen h ngt vom Netzwerkaufbau ab Wichtig ist es sicherzustellen dass eine Firewall an den Punkten installiert wird die Sie als Eingangspunkte in das ganze System betrachten Firewalls k nnen auch an vielen anderen Zugriffspunkten im Netzwerk installiert wer den Dies h ngt davon ab wie das Netzwerk genutzt werden soll und wie sicher die verschiedenen Ger te sein m ssen Bestimmen Sie die Installationspunkte f r Ihre Fire walls anhand der Sicherheitsrisiken die eine Analyse der Netzwerkkonfiguration erge ben hat Die folgende Liste f hrt verschiedene Installationspunkte f r Firewalls auf
75. oder Ziel unabh ngig davon wo es sich befindet Stellen Sie bei der Konfiguration der iSCSI Initiatoren sicher dass die Namens konven tionen eingehalten werden Die Initiatoren k nnen folgende Formate verwenden m ION iSCSI Qualified Name Kann bis zu 255 Zeichen lang sein und hat das folgende Format iqn lt Jahr Mo gt lt umgekehrter_Dom nenname gt lt eindeutiger_Name gt wobei lt Jahr Mo gt f r das Jahr und den Monat stehen in dem Ihr Dom nenname registriert wurde lt umgekehrter_Domainname gt der offizielle Name Ihrer Dom ne in umgekehrter Reihenfolge und lt eindeutiger_Name gt ist ein beliebiger Name den Sie verwenden m chten z B der Name Ihres Servers Beispiel iqn 1998 01 com mycompany myserver m EUI Extended Unique Identifier Erweiterter eindeutiger Bezeichner Enth lt das eui Pr fix sowie einen Namen aus 16 Zeichen Zum Namen geh ren 24 Bits f r den Firmennamen die von der IEEE zugewiesen wurden und 40 Bits f r einen eindeutigen Bezeichner wie z B die Seriennummer Erkennung von Speicherressourcen Um festzustellen welche Speicher Ressourcen im Netzwerk f r den Zugriff verf gbar sind verwenden die vom ESX Server System unterst tzten iSCSI Initiatoren die fol genden Erkennungsmethoden m Dynamische Erkennung Der Initiator erkennt iSCSI Ziele durch bermittlung einer Targets versenden Anfrage an eine angegebene Zieladresse Geben Sie dazu die Adresse des Zielger tes ein
76. sie immer mindestens zehn Prozent der CPU Ressourcen des ESX Server Hosts erh lt nie jedoch mehr als zwanzig Prozent 170 VMware Inc Kapitel 9 Sicherheit f r ESX Server Systeme Ressourcenreservierungen und begrenzungen sch tzen die virtuellen Maschinen vor Leistungsabf llen wenn eine andere virtuelle Maschine versucht zu viele Ressourcen der gemeinsam genutzten Hardware zu verwenden Wenn zum Beispiel eine virtuelle Maschine auf dem ESX Server Host durch eine Dienstblockade DOS oder verteilte Dienstblockade DDOS au er Gefecht gesetzt wird verhindert eine Ressourcenbe grenzung dass der Angriff so viele Hardware Ressourcen einnimmt dass die anderen virtuellen Maschinen ebenfalls betroffen werden Ebenso stellt eine Ressourcenreser vierung f r jede virtuelle Maschine sicher dass bei hohen Ressourcen Anforderungen durch den DOS Angriff alle anderen virtuellen Maschinen immer noch ber gen gend Kapazit ten verf gen Standardm ig schreibt der ESX Server eine Art der Ressourcen Reservierung vor indem er einen Verteilungsalgorithmus verwendet der die verf gbaren Host Ressour cen zu gleichen Teilen auf die virtuellen Maschinen verteilt und gleichzeitig einen be stimmten Prozentsatz der Ressourcen f r einen Einsatz durch andere System Kompo nenten wie z B die Servicekonsole bereith lt Dieses Standardverhalten bietet einen nat rlichen Schutz gegen DOS und DDOS Angriffe Geben Sie die spezifischen Res sourcen Reserv
77. ssen Zielerkennungsadressen einrichten damit der Software Initiator erkennen kann welche Speicher Ressource auf dem Netzwerk zur Verf gung steht Weitere Informationen finden Sie unter Erkennung von Speicherressourcen auf Seite 112 So richten Sie Zielerkennungsadressen f r den Software lInitiator ein 1 ffnen Sie das Dialogfeld iSCSI Initiator Eigenschaften entsprechend der Anleitung unter Anzeige der Eigenschaften des iSCSI Software Initiators auf Seite 122 2 Klicken Sie auf die Registerkarte Dynamische Erkennung Eigenschaften des iSCSI Initiators vnnhba40 Allgemein Dynamische Erkennung Statische Erkennung CHAP Authentifizierung Targets versenden Informationen zu Zielger ten direkt von den folgenden 15C5I Servern mit dem SendTargets Befehl abrufen 126 VMware Inc Kapitel 6 Speicherkonfiguration Klicken Sie auf Hinzuf gen um ein neues iSCSI Ziel das der ESX Server Host f r eine Targets versenden Session verwenden kann hinzuzuf gen Das Dialogfeld Ziel senden Server hinzuf gen wird angezeigt pH Server al Sendeziele hinzuf gen Targets versenden SCSl Sersrer Fort 3250 i Autkentilizenng muss mogicherwase korfigunert werden s bevor eine Sitzung mit sufgefundenen Targets eingerichtet Abbrechen Hilfe Geben Sie die Server IP Adresse f r Targets versenden ein und klicken Sie auf OK Wenn Sie einen bestimmten Ziel senden Server
78. tetrennung 268 SCSI vmkfstools 281 SDK und Firewall Ports zur Anbindung der Konsole der virtuellen Maschine 189 VMware Inc Servicekonsole Absicherung durch VLANSs und virtu elle Switches 197 Anmeldung 239 direkte Verbindungen 239 Kennwortbeschr nkungen 244 Remote Verbindungen 239 setgid Anwendungen 252 setuid Anwendungen 252 Sicherheit 171 Sicherheitsempfehlungen 238 SSH Verbindungen 255 Servicekonsolenvernetzung Fehlerbehebung 80 Konfiguration 37 setgid Anwendungen 252 setuid Anwendungen 252 sichere Implementierungen 259 Sicherheit Abtast Software 257 Anwender mit direktem Zugriff 214 Anwenderauthentifizierung 211 Anwendermanagment 211 Beispiel DMZ auf einem ESX Serv er Host 173 175 CHAP Authentifizierung 204 Delegierter 234 Empfehlungen f r virtuelle Maschinen 265 ESX Server Architektur 168 gef lschte bertragungen 201 Gruppen 215 ISCSI Speicher 204 Kennwortbeschr nkungen f r den ESX Server Host 244 MAC Adress nderungen 201 PAM Authentifizierung 211 VMware Inc Stichwortverzeichnis Patches 257 Promiscuous Modus 201 Rollen 218 Schl sselqualit t 252 setgid Anwendungen 252 setuid Anwendungen 252 Sicherheitsma nahmen f r die Servicekonsole 171 Sicherheitsstufe der Servicekon solen Firewall 240 Sicherheitszertifikate 228 SSH Verbindungen 255 bersicht ber Anwender Gruppen Zugriffsberechtigungen und Rollen 213 Verschl sselung 228 VirtualCenter Anwender
79. um ein einziges Wolume zu biden beschnebenen LUN bzw physischen Laufwerk gespeichert Kapazit t Ger t Kapazit t wmhbal 0 o 43 83 GB vmhba 0 0 68 36 GB Prim re Partitionen kapaz 1 Linu Native 2 92 GB 2 HPFSINTFS 14 64 GB 3 VMFS 48 83 GB 4 Extended 1 95 GE Logische Partitionen Kapazit t 5 Linux swap 1 95 GB Formatierte Gesamikapazit 48 75 GE Fiara i Schlie en Hilfe 4 Klicken Sie unter Allgemein auf ndern Das Dialogfeld Eigenschaften wird ge ffnet 5 Geben Sie den neuen Datastore Namen ein und klicken Sie auf OK Erweiterung von Datastores Sie k nnen einen Datastore im VMFS Format erweitern indem Sie eine Festplatten partition als Erweiterung einbinden Der Datastore kann sich ber 32 physische Spei chererweiterungen erstrecken Sie k nnen die neuen Erweiterungen f r den Datastore dynamisch erstellen wenn es erforderlich ist neue virtuelle Maschinen auf diesem Datastore zu erstellen oder wenn die virtuellen Maschinen die auf diesem Datastore ausgef hrt werden zus tzlichen Speicherplatz erfordern Hinzuf gen von Erweiterungen zu einem Datastore 1 Melden Sie sich am VI Client an und w hlen Sie einen Server aus dem Inventar aus 2 Klicken Sie auf die Registerkarte Konfiguration und dann auf Speicher SCSI SAN und NFS VMware Inc 141 Handbuch zur Server Konfiguration 3 W hlen Sie den Datastore aus den Sie erweitern m chten und kl
80. virtuellen Maschinen m Den uneingeschr nkten Zugriff der anderen virtuellen Maschinen auf die Res sourcen die sie ben tigen m Die Leistung der anderen virtuellen Maschinen Jede virtuelle Maschine ist von den anderen virtuellen Maschinen die auf der gleichen Hardware ausgef hrt werden isoliert Obwohl sich die virtuellen Maschinen die phy sischen Ressourcen wie CPU Arbeitsspeicher und I O Ger te teilen kann das Gast Betriebssystem einer einzelnen virtuellen Maschine nur die virtuellen Ger te sehen die ihm zur Verf gung gestellt wurden s Abb Abbildung 9 2 Virtuelle Maschine Ressourcen der virtuellen Maschine amp Q CPU Arbeitsspeicher Festplatte Netzwerk und Videokarten d p SCSI Maus CD DVD Tastatur Controller Abbildung 9 2 Isolierung virtueller Maschinen Da das VMkernel die physischen Ressourcen vermittelt und jeder Zugriff auf die physische Hardware ber das VMkernel erfolgt k nnen die virtuellen Maschinen diese Isolierungsstufe nicht umgehen So wie ein Computer mit anderen Computern in einem Netzwerk nur ber eine Netzwerkkarte kommunizieren kann kann eine virtuelle Maschine mit anderen VMware Inc 169 Handbuch zur Server Konfiguration virtuellen Maschinen auf dem gleichen ESX Server Host nur ber einen virtuellen Switch kommunizieren Au erdem kann die virtuelle Maschine mit einem physischen Netzwerk einschlie lich virtueller Maschinen auf anderen ESX Server Hosts
81. virtuellen Netzwerks f r eine virtuelle Maschine notwendig sind Dazu geh ren m Einrichtung einer Verbindungsart f r eine virtuelle Maschine VMware Inc 29 Handbuch zur Server Konfiguration m Hinzuf gen eines virtuellen Netzwerks zu einem neuen oder einem bestehenden vSwitch m Konfiguration der Verbindungseinstellungen f r die Netzwerkbezeichnung und die VLAN ID Bedenken Sie beim Einrichten von Netzwerken mit virtuellen Maschinen ob sie die virtuellen Maschinen des Netzwerks zwischen ESX Server Hosts migrieren m chten Falls ja stellen Sie sicher dass sich beide Hosts in derselben Broadcast Dom ne befin den also im selben Layer 2 Subnet ESX Server unterst tzt die Migration virtueller Maschinen zwischen Hosts unter schiedlicher Broadcast Dom nen deshalb nicht weil eine migrierte virtuelle Maschine m glicherweise Systeme und Ressourcen ben tigen k nnte auf die sie aufgrund der Verschiebung auf ein separates Netzwerk keinen Zugriff mehr h tte Selbst wenn Ihre Netzwerkkonfiguration als HV Umgebung eingerichtet ist oder intelligente Switches enth lt die in der Lage sind dem Bedarf einer virtuellen Maschine auch ber verschie dene Netzwerke hinweg zu entsprechen k nnte es sein dass es in der ARP Tabelle zu Verz gerungen bei der Aktualisierung und der Wiederaufnahme des Netzwerkver kehrs der virtuellen Maschine kommt Erstellung eines virtuellen Netzwerkes f r eine virtuelle Maschine 1 Melden Sie sich
82. von iSCSI Speicher auf Seite 204 Absicherung des Netzwerkes mit Firewalls Sicherheitsadministratoren verwenden Firewalls um das Netzwerk oder ausgew hlte Komponenten innerhalb des Netzwerkes vor unerlaubten Zugriffen zu sch tzen Firewalls kontrollieren den Zugriff auf die Ger te in ihrem Umfeld indem sie alle Kommunikations pfade au er denen die der Administrator explizit oder implizit als zul ssig definiert ab riegeln Dadurch wird die unerlaubte Verwendung der Ger te verhindert Diese Pfade die der Administrator in der Firewall ffnet werden Ports genannt und lassen Datenverkehr zwischen Ger ten auf den beiden Seiten der Firewall passieren In der VM Umgebung k nnen Firewalls in folgenden Varianten auftreten m Physische Maschinen wie z B VirtualCenter Management Server Hosts und ESX Server Hosts mM Zwischen zwei virtuellen Maschinen zum Beispiel zwischen einer virtuellen Maschine die als externer Web Server dient und einer virtuellen Maschine die an das interne Unternehmensnetzwerk angeschlossen ist VMware Inc 181 Handbuch zur Server Konfiguration m Zwischen einem physischen Computer und einer virtuellen Maschine wenn Sie eine Firewall zwischen einen physischen Netzwerkadapter und eine virtuelle Ma schine schalten Die Nutzung von Firewalls in einer ESX Server Konfiguration h ngt davon ab wie Sie das Netzwerk nutzen m chten und wie sicher die einzelnen Komponenten sein m s sen Wenn Sie zum Beis
83. w hlen m Zus tzlichen Speicherplatz auf dem Volume freimachen damit der Schreibvor gang auf die Festplatte fortgesetzt werden kann VMware Inc 133 Handbuch zur Server Konfiguration m Beenden der virtuellen Maschinensitzung Durch das Beenden der Session wird die virtuelle Maschine heruntergefahren Die Abbildung Abbildung 6 4 zeigt eine virtuelle Maschine die ein NFS Volume zur Speicherung ihrer Dateien verwendet Virtuelle Maschine Ethernet NIC NAS Anwendung Abbildung 6 4 NFS Speicher In dieser Konfiguration stellt ESX Server eine Verbindung zum NFS Server her auf dem die virtuellen Festplattendateien gespeichert sind WARNHINWEIS Wenn ESX Server auf eine virtuelle Festplattendatei auf einem A NFS basierten Datastore zugreift wird im gleichen Verzeichnis in dem sich die Festplattendatei befindet eine spezielle ICK XXX Sperrdatei erstellt um zu verhindern dass andere ESX Server Hosts auf diese virtuelle Festplattendatei zugreifen Diese lck XXX Sperr datei sollte nicht gel scht werden da sonst die aktive virtuelle Maschine nicht auf ihre Festplattendatei zugreifen kann NFS Volumes und Delegate Benutzer virtueller Maschinen Wenn Sie virtuelle Maschinen auf einem NFS basierten Datastore erstellen konfi gurieren oder verwalten m chten m ssen Sie einem bestimmten Benutzer dem Delegate Benutzer NFS Zugriffsrechte zuweisen 134 VMware Inc Kapitel 6 Speicherkonfiguration Der Delegate Ben
84. w hrend der Installation zuweisen darf nicht der IP Adresse entsprechen die Sie dem TCP IP Stapel des VMkernel in der Registerkarte Konfiguration gt Netzwerk auf dem VI Client zugewiesen haben Vor der Konfiguration des Software iSCSI f r den ESX Server Host muss ein Fire wall Port durch Aktivierung des iSCSI Software Client Dienstes ge ffnet werden Weitere Informationen finden Sie unter Freigeben von Firewall Ports f r unterst tzte Dienste und Management Agenten auf Seite 192 Im Gegensatz zu anderen VMkernel Diensten verf gt iSCSI ber eine Service konsolenkomponente sodass sowohl die Servicekonsole als auch VMkernel TCP IP Stapel auf Netzwerke zugreifen k nnen m ssen die zum Zugriff auf iSCSI Ziele verwendet werden Einrichtung von VMkernel 1 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration und dann auf Netzwerk Klicken Sie auf den Link Netzwerk hinzuf gen Der Assistent zum Hinzuf gen von Netzwerken wird angezeigt W hlen Sie VMkernel und klicken Sie auf Weiter VMware Inc Kapitel 2 Vernetzung Durch Auswahl der Option VMotion und IP Speicher k nnen Sie das VMkernel das Dienste f r VMotion und IP Speicher NFS oder iSCSI ausf hrt an ein phy sisches Netzwerk anschlie en Das Dialogfeld Netzwerkzugang wird angezeigt 5
85. wird ge ffnet 207 Handbuch zur Server Konfiguration 208 5 6 Aktivieren Sie das Kontrollk stchen CHAP Authentifizierung deaktivieren 1 CHAP Authentifizierung x r Anmeldedaten Die Folgenden CHAP Anmeldedaten verwenden Alle 5SCSI Targets werden mit diesen Anmeldedaten authentifiziert sofern nicht anders angegeben CHAP Name T Intistorname verwenden CHAP Schl ssel CHAP Authentifizierung deaktivieren x Abbrechen Hilfe Klicken Sie auf OK Schutz eines iSCSI SANs Bei der Planung der iSCSI Konfiguration sollten Sie Ma nahmen zur Verbesserung der allgemeinen Sicherheit des iSCSI SANs ergreifen Die iSCSI Struktur ist nur so sicher wie das IP Netzwerk wenn Sie also hohe Sicherheitsstandards bei der Netzwerk einrichtung umsetzen sch tzen Sie auch den iSCSI Speicher Hier sind einige spezifische Vorschl ge zur Absicherung Schutz bertragener Daten Eines der Hauptrisiken bei iSCSI SANs ist dass der Angreifer bertragene Speicherdaten mitschneiden kann VMware empfiehlt dass Sie zus tzliche Ma nahmen ergreifen um zu verhindern dass Angreifer iSCSI Daten sehen k nnen Weder der Hardware iSCSI Adapter noch der ESX Server Host d h der iSCSI Initiator verschl sseln Daten die von den und auf die Ziele bertragen werden wodurch die Daten anf lliger f r Abh r versuche sind Wenn die virtuellen Maschinen die gleichen virtuellen Switches und VLANs wie
86. zeigt das Klonen der Inhalte einer virtuellen Master Festplatte aus dem Vorlage Repository auf eine virtuelle Festplattendatei mit der Bezeichnung myOS vmdk auf dem Dateisystem mit der Bezeichnung myVMFS Sie k nnen die virtuelle Maschine so konfigurieren dass diese virtuelle Festplatte verwendet wird indem Sie die fol genden Zeilen zur Konfigurationsdatei der virtuellen Maschine hinzuf gen scsi0 0 present TRUE scsi0 0 fileName vmfs volumes myVMFS myOS vmdk Erstellen einer Raw Device Mapping vmkfstools r vmfs devices disks vmhba1 3 0 0 foo_rdm vmdk Das Beispiel zeigt die Erstellung einer RDM Datei mit dem Namen foo_rdm vmdk und das Mapping der vmhbal 3 0 0 Raw Festplatte auf diese Datei Sie k nnen eine vir tuelle Maschine so konfigurieren dass sie die Zuordnungsdatei foo_rdm vmdk ver wendet wie auch im vorhergehenden Beispiel Weitere Informationen finden Sie unter Klonen einer virtuellen Festplatte auf Seite 296 Scannen eines Adapters auf nderungen vmkfstools s vmhbal Dieses Beispiel zeigt den Scan des Adapters vmhba1 mit dem bestimmt wird ob neue Ziele oder LUNs hinzugef gt wurden Dieser Befehl stellt auch fest wenn Ziele oder LUNs entfernt wurden VMware Inc Stichwortverzeichnis Symbols neben dem Pfad 146 A Administratorrolle 218 aktueller Multipathing Status 145 ndern Anwender auf ESX Server Hosts 223 Gruppen auf ESX Server Hosts 226 Kennwortverwendungsdauer f r An wen
87. 120 Erstellung auf software initiiertem ISCSI Speicher 129 Hinzuf gen von Erweiterungen 141 Konfiguration auf NFS Datentr gern 135 neu scannen 131 Umbenennen 140 und Dateisysteme 90 Verwaltung 138 Dateisysteme Aktualisierung 139 NFS 91 Verwaltung 138 VMFS 91 Deaktivieren Authentifizierung f r iSCSI Adapter 207 Kopiervorg nge f r Gastbetriebssysteme 266 Protokollierung f r Gastbetriebssysteme 270 272 Deaktivierung SSL f r VI Web Access und SDK 228 Delegierter 234 delegierter Anwender 235 DHCP 43 DNS 62 dynamische Erkennung 112 E Einrichten der CHAP Authentifizierung f r ISCSI Adapter 206 Entfernen Anwender aus Gruppen 226 Anwender von ESX Server Hosts 225 Gruppen von ESX Server Hosts 227 Erweiterungen 141 ESX Server ndern von Proxy Diensten 230 Anwender 211 Architektur und Sicherheitsfunktionen 168 Authentifizierung 211 Authentifizierung f r iSCSI Speicher 204 Befehls bersicht 275 Delegierter 234 Hinzuf gen von Anwendern 222 Hinzuf gen von Gruppen 225 Host Host Firewall Ports 191 Implementierungen und Sicherheit 259 Kennwortbeschr nkungen 244 Schl sselqualit t f r Verbindungen 252 Sicherheit virtueller Switches 197 Sicherheits bersicht 168 VLAN Sicherheit 197 VMware Inc ESX Server Host Kennw rter ndern des Plug Ins 250 Komplexit t 246 Konfiguration der Kennwort Komplexit t 249 Konfiguration von Wiederverwendungsregeln
88. 214 Virtualisierungs Layer 168 Virtuelle Maschinen 168 Virtuelle Netzwerk Layer 173 Virtuelles Netzwerk 194 VLAN Hopping 197 VLANs 194 VMkernel 168 vmware authd 211 VMware Policy 179 Zugriffsberechtigungen 216 Sicherheit f r Layer 2 53 SMB und Firewall Ports 192 SNMP und Firewall Ports 192 software initiierter ISCSI Speicher Hinzuf gen 129 bersicht 121 Speicher Absicherung durch VLANs und virtu elle Switches 197 Adapter 92 303 Server Configuration Guide 304 Anzeige im VI Client 93 Fibre Channel 106 iSCSI 110 Konfigurationsaufgaben 101 Konzepte 88 lokaler SCSI Speicher 104 Multipathing 143 NFS 132 SAN 106 Typen 91 Zugriff durch virtuelle Maschinen 92 Speicheradapter Anzeige im VI Client 95 Fibre Channel 106 ISCSI HBA 116 neu scannen 131 Speicherzugriff 92 SSH ndern der Konfiguration 256 Firewall Ports 192 Sicherheitseinstellungen 255 statische Erkennung 112 T TCP Ports 187 Tomcat Web 171 Traffic Shaping 55 U berpr fung der Authentifizierung f r ISCSI Adapter 205 UDP Ports 187 Unterst tzung von Drittanbieter Software 179 V Vernetzung von virtuellen Maschinen 29 Verschl sselung f r Anwendernamen Kennw rter und Pakete 228 und S 228 VI Client Firewall Ports f r direkte Verbindungen 185 Firewall Ports mit VirtualCenter Server 182 Firewall Ports zur Anbindung zur Konsole der virtuellen Maschine 189 VirtualCenter Server Firewall Ports 182 Zugriffsberechti
89. 249 neue Kennwortkriterien 246 Verwendungsdauer 245 esxcfg Befehle 275 EUI Bezeichner 112 Export von ESX Server Host Anwendern und Gruppen 221 F Failover 57 Failover Pfade Status 145 Failovers mit Fipre Channel Speicher 143 Festlegung der Sicherheitsstufe der Servicekonsolen Firewall 241 Feststehende Pfadkonventionen 147 bevorzugter Pfad 149 Fibre Channel Speicher Hinzuf gen 108 bersicht 106 Firewall Ports Backup Agenten 240 Bestimmung der Sicherheitsstufe der Firewall f r die Servicekonsole 241 CIM 192 direkte Verbindung mit VI Client 185 direkte Verbindung mit VI Web Access 185 VMware Inc Stichwortverzeichnis Festlegung der Sicherheitsstufe der Servicekonsolen Firewall 241 Freigeben beim VI Client 192 Freigeben und Blockieren f r die Servicekonsole 242 FTP 192 f r Management Zugriff 187 Host Host 191 ISCSI Software Client 192 Konfiguration mit einem Virtual Center Server 182 Konfiguration ohne VirtualCenter Server 185 Lizenz Server und VirtualCenter Server 182 Management 192 NFS 192 NIS 192 SDK und die Konsole der virtuellen Maschine 189 Servicekonsole 240 Sicherheitsstufe 240 SMB 192 SNMP 192 SSH 192 bersicht 181 und Verschl sselung 228 unterst tzte Dienste 192 VI Client und die Konsole der virtu ellen Maschine 189 VI Client und VirtualCenter Server 182 VI Web Access und die Konsole der virtuellen Maschine 189 VI Web Access und VirtualCenter
90. 3 2 96 192 168 2 19 2 168 2 96 192 168 2 6 W hlen Sie mindestens einen Adapter aus der Liste aus und klicken Sie auf Weiter VMware Inc 51 Handbuch zur Server Konfiguration 7 Sie k nnen die Netzwerkkarten ordnen indem Sie eine dieser Karten ausw hlen und auf die entsprechenden Schaltfl chen klicken um die Karte nach oben oder unten oder in eine andere Kategorie Aktiv oder Standby zu verschieben m Aktive Adapter Adapter die derzeit durch den vSwitch verwendet werden m Standby Adapter Adapter die dann aktiviert werden wenn einer oder mehrere der aktiven Adapter ausfallen l Assistent f r das Hinzuf gen eines Adapters Mi Failover Reihenfolge Soter Se nichts anderes angeben bernehmen neue Adapter den Datenverkehr f r den virtuellen Switch und dessen Portgruppen Adapter Policy f r Failover Reihenfolge NIC Reihenfolge w hlen Sie aktive und Standby Adapter f r diese Port Gruppe In einer Failover Uberszichk Stustion werden Standby Adapter in der unten angegebenen Reihenfolge aktiviert Konfiguration wSwitch 64 Ports Name Geschwindigkeit Netzwerke Aktive Adapter Na sh unten vmnic 10 Voll 192 168 2 96 192 168 2 el vrmnich 100 voll 192 168 2 96 192 168 2 Standby Adapter Hilfe lt Zur ck Abbrechen BZ 8 Klicken Sie auf Weiter Das Dialogfeld Adapter bersicht wird angezeigt 9 berpr fen Sie die Angaben in diesem Dialogfeld
91. 4 ESX Server und VirtualCenter verf gen ber verschiedene vordefinierte Rollen Sie k nnen jedoch auch neue Rollen erstellen m Sie k nnen Anwender einfacher verwalten wenn Sie sie in Gruppen einteilen Wenn Sie Gruppen erstellen k nnen Sie eine Rolle auf die Gruppe anwenden die dann von allen Anwendern in dieser Gruppe bernommen wird Grundlegendes zu Anwendern Ein Anwender ist eine Person die sich am ESX Server Host oder in VirtualCenter an melden darf Es gibt zwei Kategorien von ESX Server Anwendern Anwender die ber VirtualCenter auf den ESX Server Host zugreifen und Anwender die direkt auf den ESX Server Host zugreifen indem Sie sich ber den VI Client VI Web Access Clients von Drittanbietern oder die Befehlszeile anmelden Die Anwender in diesen beiden Kategorien haben folgenden Hintergrund m VirtualCenter Anwender Autorisierte Anwender f r VirtualCenter sind die Anwender die in der Windows Dom nenliste von VirtualCenter aufgef hrt sind oder lokale Windows Anwender auf dem VirtualCenter Host Mit VirtualCenter k nnen Sie Anwender nicht erstellen entfernen oder ander weitig ndern Um das Anwenderverzeichnis oder Anwenderkennw rter zu ndern m ssen Sie die Programme verwenden mit denen Sie die Windows Dom ne verwalten Alle nderungen die Sie in der Windows Dom ne vornehmen werden in Virtual Center widergespiegelt Da Sie jedoch die Anwender nicht direkt in VirtualCenter verwalten k nnen
92. 7 246 215 3260 ign 1992 04 com emc cx apm000 10 17 246 92 3260 iqr 1992 04 com emc test cx vm 10 17 246 205 3260 ign 1992 08 com netapp sn 5040 7 Um ein Ziel hinzuzuf gen auf das der ESX Server Host zugreifen kann klicken Sie auf Hinzuf gen und geben Sie die Daten des Ziels ein 8 WennSie ein bestimmtes dynamisch erkanntes Ziel ndern oder l schen m chten markieren Sie das Ziel und klicken Sie auf Bearbeiten oder Entfernen HINWEIS Wenn Sie ein dynamisch erkanntes statisches Ziel entfernen kann das Ziel entweder beim n chsten Scan beim Zur cksetzen des HBAs oder durch einen Neustart des Systems erneut zur Liste hinzugef gt werden Einrichten von CHAP Parametern f r Hardware Initiatoren Achten Sie bei der Konfiguration des iSCSI Hardware Initiators darauf dass die CHAP Parameter f r den Initiator aktiviert sind Sollten die Parameter nicht aktiviert sein m ssen Sie diese konfigurieren 118 VMware Inc Kapitel 6 Speicherkonfiguration Weitere Informationen finden Sie unter iSCSI Sicherheit auf Seite 113 Einrichtung der CHAP Parameter f r den Hardware Initiator 1 VMware Inc ffnen Sie das Dialogfeld iSCSI Initiator Eigenschaften entsprechend der An leitung unter Anzeige der Eigenschaften des iSCSI Hardware Initiators auf Seite 114 Klicken Sie auf die Registerkarte CHAP Authentifizierung Die Registerkarte zeigt die Standard CHAP Parameter an 1H Eigenschaften des i5C I Ini
93. AP Authentifizierung 119 CHAP Parameter 116 dynamische Erkennung 116 statische Erkennung 116 ISCSI Speicher Erkennung 112 EUI Bezeichner 112 Hardware initiiert 110 IQN Bezeichner 112 Namenformate 112 VMware Inc Sicherheit 113 software initiiert 110 Isolierung Virtuelle Maschine 168 virtuelle Netzwerk Layer 173 virtuelle Switches 173 VLANs 173 K kanonische Pfade 145 Kennwortbeschr nkungen f r den ESX Server Host 244 Komplexit t 246 Mindestl nge 246 Verwendungsdauer 245 Kompatibilit tsmodi physisch 157 virtuell 157 Konfiguration delegierter Anwender 235 ESX Server Zertifikatsuche 229 Fibre Channel Speicher 108 Kennwort Komplexit t 249 lokaler SCSI Speicher 104 mittels Hardware ausgel ste iSCSI Speicherung 120 RDM 161 software initiierter iSCSI Speicher 129 Wiederverwendungsregeln von Kennw rtern 249 Konfigurieren Multipathing f r Fipre Channel Speicher 147 L Lastausgleich 57 VMware Inc Stichwortverzeichnis Lizenz Server Firewall Ports f r 187 Firewall Ports mit VirtualCenter Server 182 lokaler SCSI Speicher Hinzuf gen 104 bersicht 104 M MAC Adresse Generieren 65 Konfiguration 66 Management Zugriff Firewall Ports 187 mittels Hardware ausgel ste iSCSI Speicherung Hinzuf gen 120 bersicht 113 Multipathing aktive Pfade 145 ausgefallene Pfade 145 Betriebsbereite Pfade 145 deaktivierte Pfade 145 Failover 147 f r Fibre Channel Speicher 143
94. Abschnitten m Zuordnen einer SAN LUN auf Seite 162 m Verwalten von Pfaden f r eine zugeordnete Raw LUN auf Seite 163 VMware Inc 161 Handbuch zur Server Konfiguration 162 Zuordnen einer SAN LUN Wenn Sie einem VMFS Volume eine LUN zuordnen erstellt VirtualCenter eine Zuordnungsdatei RDM die auf die Raw LUN verweist Zwar hat die Zuordnungs datei die Erweiterung VMDK die Datei enth lt jedoch nur beschreibende Festplatten informationen f r die LUN Zuordnung auf dem ESX Server System Die eigentlichen Daten sind auf der LUN gespeichert So ordnen Sie eine SAN LUN zu 1 Melden Sie sich als Administrator oder als Besitzer der virtuellen Maschine zu der die zugeordnete Festplatte geh ren wird an W hlen Sie die virtuelle Maschine aus dem Inventar aus Klicken Sie auf der Registerkarte bersicht auf Einstellungen bearbeiten Das Dialogfeld Eigenschaften der virtuellen Maschinen wird ge ffnet Klicken Sie auf Hinzuf gen Der Assistent zum Hinzuf gen von Hardware wird ge ffnet Assistent zum Hinzuf gen von Hardware Ger tetyp ausw hlen welche Art Ger t m chten Sie der virtuellen Maschine hinzuf gen SENi W hlen Sie den Ger tetyp aus den Sie hinzuf gen m chten Serieller Port 7 Informationen Hilfe lt Zur ck Abbrechen W hlen Sie als Ger t das hinzugef gt werden soll Festplatte aus und klicken Sie auf Weiter W hlen Sie im Fenster Festplatte ausw
95. Aktiviert Diesen Pfad f r Lastverteilung und Failover verf gbar machen C Deaktiviert Keinen Verkehr ber diesen Pfad leiten Klicken Sie zweimal auf OK um Ihre Einstellungen zu speichern und die Dialog felder zu schlie en Die vmkfstools Befehle Die vmkfstools Befehle bieten zus tzliche Funktionen zur Erstellung von Dateien mit einer bestimmten Gr e und zum Import Export von Dateien in das und aus dem Dateisystem der Servicekonsole Au erdem wurde vmkfstools zum Umgang mit gro en Dateien entworfen wodurch die Beschr nkung von 2 GB der manche Standard Datei Dienstprogramme unterliegen berwunden wird 150 Ein Verzeichnis der unterst tzten vmkfstools Befehle finden Sie unter Verwendung von vmkfstools auf Seite 281 VMware Inc Raw Device Mapping Raw Device Mapping RDM liefert der virtuellen Maschine einen Mechanismus f r den direkten Zugriff auf eine LUN auf dem physischen Speichersubsystem nur Fibre Channel oder iSCSI Dieses Kapitel enth lt Informationen ber RDM HINWEIS Informationen ber die Konfiguration von SANs finden Sie im Handbuch zur SAN Konfiguration In diesem Kapitel werden folgende Themen behandelt m Wissenswertes ber Raw Device Mapping auf Seite 152 m Raw Device Mapping Eigenschaften auf Seite 156 m Verwalten zugeordneter LUNs auf Seite 161 VMware Inc 151 Handbuch zur Server Konfiguration Wissenswertes ber Raw Device Mapping 152 RDM is
96. Anwender und der dem Anwender zugewiesenen Rolle f r ein Objekt wie z B einer virtuellen Maschine oder einem ESX Server Host bestehen Zu griffsberechtigungen geben Anwendern das Recht bestimmte Vorg nge auszuf hren und bestimmte Objekte auf einem ESX Server Host oder wenn Anwender von Virtual Center aus arbeiten alle von VirtualCenter verwalteten Objekte zu verwalten Wenn Sie zum Beispiel Speicher f r einen ESX Server Host konfigurieren m chten m ssen Sie ber eine Berechtigung zur Host Konfiguration verf gen Die meisten VirtualCenter und ESX Server Anwender k nnen Objekte des Hosts nur in eingeschr nktem Ma se ndern ESX Server gibt jedoch zwei Anwendern vollst n dige Zugriffsrechte und Berechtigungen f r alle virtuellen Objekte wie z B Datastores Hosts virtuelle Maschinen und Ressourcen Pools dem Root und wenn der Host durch VirtualCenter verwaltet wird dem vpxuser Root und vpxuser verf gen ber folgende Berechtigungen m root Der Root Anwender kann auf dem ESX Server Host auf dem er sich angemeldet hat alle Steuerungsvorg nge wie z B die Verwaltung von Zugriffs berechtigungen die Erstellung von Gruppen und Anwendern Ereignisver waltung usw vornehmen Ein Root Anwender der auf einem ESX Server Host angemeldet ist kann jedoch die Aktivit ten anderer Hosts im ESX Server System nicht beeinflussen Aus Sicherheitsgr nden m chten Sie vielleicht nicht den Root Benutzer in der Ad ministratorenrol
97. Assistenten zum Verwalten von Pfaden zu ffnen Wenn Sie die Pfadkonventionen Feststehend verwenden k nnen Sie erkennen welcher Pfad der bevorzugte Pfad ist Der bevorzugte Pfad ist mit einem Asterisk Zeichen in der vierten Spalte gekennzeichnet vmhb30 0 0 Pfade verwalten Policy Feststehend Bevorzugten Pfad verwenden sofern verf gbar Anderr SAN Bezeichner vrhb30 0 0 BT Sie k nnen den Assistenten zum Verwalten von Pfaden verwenden um die Pfade zu aktivieren oder zu deaktivieren die Multipathing Policy zu konfigurieren oder um den bevorzugten Pfad anzugeben Folgen Sie den folgenden Vorgehensweisen m So richten Sie die Multipathing Policy ein auf Seite 147 m So deaktivieren Sie einen Pfad auf Seite 149 m So aktivieren Sie einen Pfad auf Seite 149 u 50 richten Sie den bevorzugten Pfad ein auf Seite 150 Aktive Pfade ESX Server f hrt in der Regel kein O Lastausgleich ber die Pfade eines bestimmten Speicher Devices durch Zu einem bestimmten Zeitpunkt wird nur ein Einzelpfad zu verwendet um I O an ein Speicher Device auszugeben Der Pfad wird als aktiver Pfad bezeichnet Wenn die Pfadkonventionen eines Speicher Devices auf Feststehend gesetzt wurde w hlt ESX Server den Pfad der als Bevorzugt gekennzeichnet ist als den aktiven Pfad aus Wenn der bevorzugte Pfad deaktiviert wurde oder auf andere Weise nicht verf gbar ist verwendet das ESX Server System ei
98. Au erdem kann ein virtueller Netzwerkadapter genauso wie ein physischer Netz werkadapter so konfiguriert werden dass er Datenbl cke empf ngt die f r andere virtuelle Maschinen bestimmt sind Wenn Sie einen virtuellen Switch f r Ihr Netzwerk erstellen f gen Sie Port Gruppen hinzu um f r die an den Switch angeschlossenen virtuellen Maschinen Speichersysteme usw Policys zu konfigurieren Virtuelle Switches werden ber den VI Client erstellt W hrend des Hinzuf gens eines Ports oder einer Port Gruppe zu einem virtuellen Switch konfiguriert der VI Client ein Sicherheitsprofil f r den Port Mit diesem Sicherheitsprofil k nnen Sie sicherstellen dass ESX Server verhindert dass die Gast Betriebssysteme auf den virtuellen Maschinen andere VMs im Netzwerk imitieren k nnen Diese Sicherheits funktion wurde so implementiert dass das Gast Betriebssystem das f r die Imitation verantwortlich ist nicht erkennt dass diese verhindert wurde Das Sicherheitsprofil bestimmt wie streng der Schutz gegen Imitierungs oder Abfang angriffe auf virtuelle Maschinen sein soll Damit Sie die Einstellungen des Sicherheits profils richtig anwenden k nnen ben tigen Sie Grundkenntnisse dar ber wie vir tuelle Netzwerkadapter Daten bertragungen steuern und wie Angriffe auf dieser Ebene vorgenommen werden Jedem virtuellen Netzwerkadapter wird bei seiner Erstellung eine eindeutige MAC Adresse zugewiesen Diese Adresse wird Urspr nglich zugewie
99. Authentifizierung verwenden Ansonsten optional Erforderlich sudo Macht aus einem allgemeinen Anwender f r bestimmte Vorg nge einen Root Anwender Pfad usr bin sudo Optional VMware Inc 253 Handbuch zur Server Konfiguration Tabelle 12 2 setuid Standardanwendungen Fortsetzung Anwendung unix_chkpwd Zweck und Pfad Unterst tzt Kennwortauthentifizierung Pfad sbin unix_chkpwd Erforderlich oder optional Erforderlich vmkload_app F hrt Aufgaben zur Ausf hrung von vir tuellen Maschinen aus Diese Anwendung befindet sich an zwei Speicherorten an einem Speicherort zur normalen Ver wendung und an einem zur Fehlersuche Pfad f r normale Verwendung usr lib vmware bin vmkload_app Pfad zur Fehlersuche usr lib vmware bin debug vmkload_app In beiden Verzeichnissen erforderlich vmkping Versendet und wartet auf Kontrolldaten pakete auf der Netzwerkschnittstelle N tzlich zur Problemsuche in Netzwerken Pfad usr lib vmware bin vmkping Optional vmware authd Authentifiziert Anwender zur Verwen dung bestimmter VMware Dienste Pfad usr sbin vmware authd Erforderlich vmware vVmx F hrt Aufgaben zur Ausf hrung von virtuellen Maschinen aus Diese Anwen dung befindet sich an zwei Speicherorten an einem Speicherort zur normalen Ver wendung und an einem zur Fehlersuche Pfad f r normale Verwendung usr lib vmware bin vmware vmx Pfad zur Fe
100. C Adresse statisch ist 2 L schen Sie folgende Optionen aus der Konfigurationsdatei der virtuellen Maschine ethernet lt Nummer gt address ethernet lt Nummer gt addressType und ethernet lt Nummer gt generatedAddressOffset 3 berpr fen Sie dass der virtuellen Maschine eine generierte MAC Adresse zugewiesen wurde VMware Inc Kapitel 3 Erweiterte Netzwerkeigenschaften VMware garantiert durch die Verwendung der VMware OUlIs 00 0C 29 und 00 50 56 die nur f r virtuelle Maschinen gelten dass die MAC Adresse niemals mit physischen Hosts in Konflikt ger t Netzwerk Tipps und Empfehlungen In diesem Abschnitt finden Sie Informationen zu folgenden Themen m Netzwerkempfehlungen m Netzwerk Tlipps Netzwerkempfehlungen Ziehen Sie folgende Empfehlungen f r die Konfiguration Ihres Netzwerkes in Betracht E Trennen Sie die Netzwerkdienste voneinander um bessere Sicherheit und h here Leistung zu erreichen Wenn eine bestimmte Gruppe virtueller Maschinen h chste Leistung bieten soll schlie en Sie sie an eine eigene physische NIC an Durch diese Abtrennung kann ein Teil der Gesamtarbeitslast des Netzwerkes gleichm iger ber mehrere CPUs verteilt werden Die isolierten virtuellen Maschinen sind dann besser in der Lage z B den Datenverkehr eines Webclients zu verarbeiten m Die unten aufgef hrten Empfehlungen k nnen entweder durch die Verwendung von VLANs zur Aufteilung eines physischen Netzwerkes in Segmente oder durch
101. Datei kann auch als Metadatendatei bezeichnet werden m Raw LUN Logische Festplatte in einem SAN m Datentr ger bergreifender Datentr ger Ein dynamischer Datentr ger der Speicherplatz auf mehreren physischen Datentr gern belegt aber als ein einziger logischer Datentr ger erscheint m Speicherger t Physische Festplatten oder Speicherarrays die sich entweder innerhalb oder au erhalb des Systems befinden k nnen und an das System entweder direkt oder ber einen Adapter angeschlossen sind m V VMFS VMware File System VMware Dateisystem Hochleistungsf higes Cluster Dateisystem das f r virtuelle Maschinen optimierte Speicher Virtualisierung bietet m Datentr ger Eine logische Speichereinheit die Festplattenspeicher auf einem physischen Ger t einem Teil davon oder bergreifend auf mehreren physischen Ger ten verwendet Speicher bersicht In den meisten Konfigurationen verwendet eine virtuelle Maschine eine virtuelle Festplatte um das Betriebssystem die Programmdateien und andere Daten f r ihren Betrieb zu speichern Eine virtuelle Festplatte ist eine gro e physische Datei die sich so einfach wie jede andere Datei kopieren verschieben archivieren und sichern l sst Virtuelle Festplattendateien sind auf speziell formatierten Datentr gern gespeichert die Datastore genannt werden Ein Datastore kann sich auf den internen direkt angebundenen Speicherger ten des Hosts oder auf Netzwerkspeicherg
102. Datentr gern Erstellen Sie eine Momentaufnahme wenn Sie den Status der virtuellen Maschine beibehalten m chten um beliebig oft zu einem gleichen Status zur ckkehren zu k nnen Verwendung von NFS durch virtuelle Maschinen Das von ESX Server unterst tzte NFS Protokoll erm glicht die Kommunikation zwischen einem NFS Client und einem NFS Server Der Client fordert Informationsanfragen von dem Server ab der das Ergebnis ausgibt ber den in den ESX Server implementierten NFS Client k nnen Sie auf den NFS Server zugreifen und NFS Volumes verwenden um virtuelle Maschinenfestplatten zu speichern ESX Server unterst tzt ber TCP IP nur NES Version 3 Mit dem VI Client k nnen Sie NFS Datentr ger als Datastores konfigurieren Konfigurierte NFS Datastores werden im VI Client angezeigt und k nnen genau wie VMFS basierte Datastores zur Speicherung virtueller Festplattendateien verwendet werden Die von Ihnen auf NFS basierten Datastores erstellten virtuellen Festplatten ver wenden ein Festplattenformat das vom NFS Server vorgegeben wird In der Regel ist dies ein Thin Festplattenformat das eine bedarfsgerechte Speicherplatzzuordnung erfordert Wenn der Speicherplatz auf der virtuellen Maschine w hrend des Schreib vorgangs auf die Festplatte nicht mehr ausreicht erhalten Sie vom Virtual Infra structure Client eine Benachrichtigung dar ber dass zus tzlicher Speicherplatz erfor derlich ist Sie k nnen dann aus den folgenden Optionen
103. Dienste oder Agenten wie z B Speicherger te Backup Agenten oder Management Agenten konfigurieren Wenn Sie zum Beispiel Veritas NetBackup 4 5 als Backup Agenten verwenden m s sen Sie die Ports 13720 13724 13782 und 13783 freigeben die NetBackup f r Client Medien bertragungen Datenbank Backups Anwender Backups oder Wiederher stellungen usw verwendet Informationen zu den f r bestimmte Anwendungen frei zugebenden Ports finden Sie in den Herstellerspezifikationen f r das Ger t den Dienst oder den Agenten Im Weiteren wird erl utert wie die Sicherheitsstufe der Servicekonsole ge ndert wer den kann und wie man Ports f r zus tzliche Ger te Dienste und Agenten freigibt VMware Inc Kapitel 12 Sicherheit der Servicekonsole HINWEIS Jedes Mal wenn Sie die Sicherheitseinstellung senken oder zus tzliche Ports ffnen erh hen Sie das Risiko eines Einbruchs in Ihr Netzwerk W gen Sie genau ab wie wichtig Ihnen Zugriffsrechte im Kontrast zur Sicherheit des Netzwerkes sind nderung der Sicherheitsstufe der Servicekonsole Die nderung der Sicherheitsstufe f r die Servicekonsole besteht aus zwei Teilen Bestimmung des Sicherheitsniveaus der Servicekonsolen Firewall und Zur cksetzen der Einstellungen der Servicekonsolen Firewall Um berfl ssige Schritte zu ver meiden berpr fen Sie immer die Firewalleinstellungen bevor Sie sie ndern Bestimmung der Sicherheitsstufe der Servicekonsolen Firewall 1 Melden
104. Dokumentationen Glossarbegriffe und gele gentliche Hervorhebung lt Name gt Namen von Variablen und Parametern In Grafiken verwendete Abk rzungen In den Grafiken in diesem Handbuch werden die Abk rzungen verwendet die in Tabelle P 3 aufgef hrt sind Tabelle P 3 Abk rzungen Abk rzung Beschreibung VC VirtualCenter VI Virtual Infrastructure Client Server VirtualCenter Server Datenbank VirtualCenter Datenbank Hostn Die von VirtualCenter verwalteten Hosts VM Die virtuellen Maschinen auf einem verwalteten Host Anwender Anwender mit Zugriffsrechten dsk Speicherfestplatte f r den verwalteten Host Datenspeicher Speicher f r den verwalteten Host SAN Datastore des Typs Storage Area Network den sich verwaltete Hosts teilen tmplt Template VMware Inc 13 Handbuch zur Server Konfiguration Technischer Support und Schulungs Ressourcen In den folgenden Abschnitten werden die verschiedenen zur Verf gung stehenden technischen Hilfsmaterialien beschrieben Selbsthilfe Support Mithilfe des VMware Technologienetzwerks VMTN k nnen Sie Tools zur Selbsthilfe und technische Informationen herunterladen Produktinformationen http www vmware com products Technologieinformationen http www vmware com vcommunity technology Dokumentation http www vmware com support pubs VMTN Wissensbasis http www vmware com support kb Diskussionsforen http www vmware com community
105. ESX Server unter Verwendung des VMkernel Netzwerk Stacks implementiert Die vierte Zahl gibt eine Partition auf einer Festplatte oder einer LUN an Wenn ein Datastore die gesamte Festplatte oder LUN belegt fehlt die vierte Zahl Das Beispiel vmhba1 1 3 1 bezieht sich auf die erste Partition auf SCSI LUN 3 SCSI Ziel 1 auf die durch HBA 1 zugegriffen wird Die dritte und vierte Zahl ndern sich nie die ersten beiden Zahlen k nnen sich jedoch ndern Beispielsweise kann sich nach einem Neustart des ESX Server Systems vmhba1 1 3 1 zu vmhba3 2 3 1 ndern der Name bezieht sich jedoch immer noch auf dasselbe physische Ger t Die erste und zweite Zahl k nnen sich aus den folgenden Gr nden ndern m Die erste Zahl der HBA ndert sich wenn auf dem Fibre Channel oder iSCSI Netzwerk ein Ausfall auftritt In diesem Fall muss das ESX Server System f r den Zugriff auf das Speicherger t einen anderen HBA verwenden m Die zweite Zahl das SCSI Ziel ndert sich im Falle von Modifizierungen bei der Zuordnung der Fibre Channel oder iSCSI Ziele die f r den ESX Server Host sichtbar sind VMware Dateisystem Ein Dateisystem ist ein Verfahren f r das Speichern Organisieren Zugreifen auf Navigieren durch und Auslesen von Computerdateien und der in ihnen enthaltenen Daten Dateisysteme k nnen unterschiedliche Formate aufweisen wie z B FAT NTFS HPFS UFS und EXT3 VMware bietet ein spezielles Hochleistungsdateisystem mit der Bezeichnun
106. ESX Server Host wie in Abbildung 9 4 dargestellt VMware Inc 173 Handbuch zur Server Konfiguration 174 ESX Server Virtuelle Maschine 1 Virtuelle Maschine 2 Virtuelle Maschine 3 Virtuelle Maschine 4 Firewall Server Webserver Anwendungsserver Firewall Server virtual switch 3 Hardware WW Netzwerkadapter 2 Externes Netzwerk Internes Nei gt werk Abbildung 9 4 DMZ auf einem ESX Server Host Hardware Netzwerkadapter 1 Diese Konfiguration umfasst vier virtuelle Maschinen die so konfiguriert wurden dass sie eine virtuelle DMZ auf dem virtuellen Switch 2 bilden Die virtuelle Maschine 1 und die virtuelle Maschine 4 f hren Firewalls aus und sind ber virtuelle Switches an virtuelle Adapter angeschlossen Diese beiden Maschinen verf gen ber Multihoming Auf der virtuellen Maschine 2 wird ein Web Server ausgef hrt auf der virtuellen Maschine 3 ein Anwendungs Server Diese beiden Maschinen verf gen ber Singlehoming Der Web Server und der Anwendungs Server befinden sich in der DMZ zwischen den zwei Firewalls Die Verbindung zwischen diesen Elementen ist der virtuelle Switch 2 der die Firewalls mit den Servern verbindet Dieser Switch ist nicht direkt mit Elemen ten au erhalb der DMZ verbunden und wird durch die beiden Firewalls vom externen Datenverkehr abgeschirmt W hrend des Betriebs der DMZ betritt externer Datenverkehr aus dem Internet die virtuelle Maschine 1 ber den Hardware Netzwerkadapter 1 we
107. Ein erneuter Scan wird in folgenden F llen empfohlen m Wenn nderungen an den Speicherfestplatten oder LUNs die dem ESX Server System zur Verf gung stehen vorgenommen wurde VMware Inc 131 Handbuch zur Server Konfiguration m Wenn nderungen an den Speicheradaptern vorgenommen wurden mM Wenn neue Datastores erstellt werden m Wenn bestehende Datastores bearbeitet oder entfernt werden Neu scannen 1 Markieren Sie im VI Client einen Host und klicken Sie auf die Registerkarte Konfiguration 2 W hlen Sie unter Hardware die Option Speicheradapter und klicken Sie oberhalb des Bereichs Speicheradapter auf Neu scannen HINWEIS Sie k nnen auch einen einzelnen Adapter markieren und auf Neu scannen klicken wenn Sie nur diesen Adapter scannen m chten Das Dialogfeld Neu scannen wird ge ffnet Meu Scannen x FF Auf neue Speicher Devices hin scannen Ale Servrer BusAdapter ad neue Speicherger te hin meu Da emeute Scannen aller Adapter kann lange Auer fr Auf neue VMFS Volumes hin scannen Ale bekannten Speicher Devices auf neue VMF S Yolumes die zeit der letzten Scan hanzugel gt wurden hin scannen Das Neuscannen won bekannten Speicher Devices auf neue ateispsterms ist schneller als das Neuscannen von neuen 5peicher Devices ox Abbrechen Hie 3 Wenn neue Festplatten oder LUNs erkannt werden sollen aktivieren Sie Auf neue Speicher Devices hin scannen Wenn neue LUNs erkannt werden werd
108. Fortsetzung Art des Port Zweck Datenverkehrs 902 Datenverkehr zur Authentifizierung f r die Konfiguration von Eingehendes TCP ESX Server Host und virtuellen Maschinen abgehendes UDP Verwenden Sie Port 902 f r folgende Aufgaben VI Client Zugriff auf den VirtualCenter Server m VirtualCenter Server Zugriff auf die ESX Server Hosts m Direkter VI Client Zugriff auf die ESX Server Hosts m FSX Server Hostzugriff auf andere ESX Server Hosts f r Migration und Provisioning 903 Datenverkehr der Remote Steuerung der durch Zugriffe der Eingehendes TCP Anwender auf virtuelle Maschinen auf einem bestimmten ESX Server Host entsteht Verwenden Sie Port 903 f r folgende Aufgaben m VI Client Zugriff auf die Konsolen von virtuellen Maschinen m VI Web Access Client Zugriff auf die Konsolen von virtuellen Maschinen 2049 Daten bertragungen von den NFS Speicherger ten Eingehendes und Dieser Port wird auf der VMkernel Schnittstelle nicht auf der abgehendes TCP Servicekonsolenschnittstelle verwendet 2050 Datenverkehr zwischen ESX Server Hosts f r VMware Hoch Abgehendes TCP 5000 verf gbarkeit HA und den EMC Autostart Manager eingehendes und abgehendes UDP 3260 Daten bertragungen von den iSCSI Speicherger ten Abgehende TCP Dieser Port wird auf der VMkernel Schnittstelle und auf der Servicekonsolenschnittstelle verwendet 8000 Eingehende Anfragen von VMotion Eingehendes und Dieser Port wird auf der VMk
109. Handbuch zur Server Konfiguration Handbuch zur Server Konfiguration Handbuch zur Server Konfiguration berarbeitung 20061027 Artikelnummer VI DEU Q406 314 Die aktuellste technische Dokumentation erhalten Sie auf unserer Website unter http www vmware com support Hier finden Sie auch die neuesten Produkt Aktualisierungen Wenn Sie Kommentare oder Hinweise zu diesem Dokument haben bermitteln Sie Ihr Feedback an docfeedback vmware com 2006 VMware Inc Alle Rechte vorbehalten Gesch tzt durch mindestens eines der US Patente Nr 6 397 242 6 496 847 6 704 925 6 711 672 6 725 289 6 735 601 6 785 886 6 789 156 6 795 966 6 880 022 6 961 941 6 961 806 and 6 944 699 Patente angemeldet VMware das VMware Logo und Design Virtual SMP und VMotion sind eingetragene Marken oder Marken der VMware Inc in den USA und oder anderen L ndern Alle anderen in diesem Dokument erw hnten Bezeichnungen und Namen sind unter Umst nden markenrechtlich gesch tzt VMware Inc 3145 Porter Drive Palo Alto CA 94304 www vmware com 2 VMware Inc Inhalt Einleitung 11 1 Einf hrung 15 Vernetzung 15 Speicher 16 Sicherheit 16 Anh nge 17 Netzwerk 2 Vernetzung 21 Netzwerk Konzepte 22 bersicht Konzepte 22 Virtuelle Switches 23 Port Gruppen 26 Netzwerkdienste 27 Anzeige der Netzwerkinformationen im VIClient 27 Netzwerkaufgaben 29 Konfiguration virtueller Netzwerke f r virtuelle Maschinen 29 Konfiguration des
110. I Speicher so als w re er ber einen SCSI HBA angebunden Die Abbildung Abbildung 6 3 zeigt zwei virtuelle Maschinen die verschiedene Typen von iSCSI Initiatoren verwenden Virtuelle Virtuelle Maschine Maschine Software lInitiator Ethernet NIC Abbildung 6 3 iSCSl Speicher Im ersten Beispiel der iSCSI Speicherkonfiguration verwendet das ESX Server System einen Hardware iSCSI Adapter Dieser spezielle iSCSI Adapter sendet iSCSI Pakete ber ein LAN an eine Festplatte Im zweiten Beispiel verf gt das ESX Server System ber einen Software iSCSI Initiator Unter Verwendung des Software Initiators stellt das ESX Server System die Ver bindung zu einem LAN ber eine vorhandene Netzwerkkarte her VMware Inc 111 Handbuch zur Server Konfiguration HINWEIS Dieser Version von ESX Server unterst tzt die gleichzeitige Verwendung von 112 Hardware und Software iSCSI Initiatoren auf dem gleichen ESX Server System nicht Verwenden Sie daher den Software Initiator nur wenn der iSCSI Daten verkehr ber einen normalen Netzwerkadapter abgewickelt wird nichtjedoch wenn spezielle iSCSI Adapter verwendet werden Namenskonventionen Da SANs sehr gro und komplex werden k nnen verf gen alle iSCSI Initiatoren und Ziele im Netzwerk ber eindeutige und dauerhafte iSCSI Namen Au erdem werden ihnen Zugriffsadressen zugewiesen Der iSCSI Name erm glicht die korrekte Identi fizierung eines bestimmten iSCSI Ger tes Initiator
111. Inc Kapitel 3 Erweiterte Netzwerkeigenschaften Suchen Sie auf der rechten Bildschirmseite den vSwitch den Sie bearbeiten m chten Vernetzung Yirtueller Switch vSssikcht Par Grupps der wiruellan Matchins Netzwerk der virtuellen Maschi Physische Adapter Ei vinica RE mnici 2 Par Gruppes der wiruellan Marchins KI Netzwerk der virtuellen Maschi 2 Par Grupps der wiruellan Matchins I Saryica Konsole 2 Por Grupps der wiruellan PietiPinmi KI YM Network Por Grugpe der wiruellan PietiPini I Service consola Servie Konpolirn Fort T Saryien Konsole 2 D vavahi 192 168 2 119 Virtueller Swikch v5wch _ Fhusische Adapter Keine Adapter Port Grupge der wietizellen Faschire Network Yhlkarmel Port Yrakenruel 192 168 2 101 Yirkweller Switch vawi tchi Fort Grupge der wirtisellen Miegs hiri Fhyzizchs Adap s m vM Network 2 amp E Keine Adapter Aktualisieren hetzwerk hinzuf gen Entfernen Eigenschaften 10 voll 100 woll Entfernen Eigenschaften Enkfernen Eigenschaften 47 Handbuch zur Server Konfiguration 48 Klicken Sie auf Eigenschaften f r diesen vSwitch Das Dialogfeld vSwitch Eigenschaften wird angezeigt vSwitch Eigenschaften 10 Pots Hetzweikadapter bersicht 24 Ports Klicken Sie auf die Registerkarte Ports Markieren Sie den vSwitch in der Liste Konfiguration und klicken Sie auf Bearbe
112. Infrastructure Client VI Client 161 Zuordnen einer SAN LUN 162 Verwalten von Pfaden f r eine zugeordnete Raw LUN 163 Das vmkfstools Dienstprogramm 164 Dateisystemfunktionen 164 Sicherheit 9 Sicherheit f r ESX Server Systeme 167 Architektur und Sicherheitsfunktionen von ESX Server 168 Sicherheit in der Virtualisierungs Layer 168 Sicherheit der virtuellen Maschinen 168 Sicherheit ber die Servicekonsole 171 Sicherheit in der virtuellen Netzwerk Layer 173 Sonstige Nachschlagewerke und Informationen zur Sicherheit 179 6 VMware Inc Inhalt 10 Absicherung der ESX Server Konfiguration 181 Absicherung des Netzwerkes mit Firewalls 181 Firewalls in Konfigurationen mit einem VirtualCenter Server 182 Firewalls in Konfigurationen ohne VirtualCenter Server 185 TCP und UDP Ports f r den Management Zugriff 187 Verbindung zu einem VirtualCenter Server ber eine Firewall 189 Verbindung zur Konsole der virtuellen Maschine ber eine Firewall 189 Anbindung von ESX Server Hosts ber Firewalls 191 Freigeben von Firewall Ports f r unterst tzte Dienste und Management Agenten 19 Absicherung virtueller Maschinen durch VLANs 194 Sicherheitsempfehlungen f r VLANs 197 Schutz durch virtuelle Switches in VLANs 199 Absicherung der Ports virtueller Switches 201 Absicherung von iSCSI Speicher 204 Absicherung von iSCSI Ger ten ber Authentifizierung 204 Schutz eines iSCSI SANs 208 11 Authentifizierung und Anwender Management 211 Absichern von ESX
113. Inventar aus 2 Klicken Sie auf die Registerkarte Konfiguration und klicken Sie unter Hardware auf Speicher SCSI SAN und NES 3 Klicken Sie auf Speicher hinzuf gen Das Dialogfeld Speichertyp ausw hlen wird angezeigt 4 Markieren Sie den Speichertyp Disk LUN Festplatte LUN und klicken Sie auf Weiter Das Dialogfeld Disk LUN Festplatte LUN wird angezeigt Speicher hinzuf gen Festplatte LUN ausw hlen Warn ein Ger t miche eindeutig konfiguriert werden kann werden Se aufgefordert eine Partition pusru hber E Fezie LN Ger testandort Berit vmhbal 0 15 vmhbal 0 17 vmhbal 0 18 vmhbal 0 19 vmhbal 0 20 vmhbal 0 21 vmhbal 0 z2 vrnhbal 0 23 vrnhba1 0 22 vrnhba1 0 23 Yerf gbar SAN Bezeichner 1022 00 M 1022 00 M 1022 00 M 1022 00 M 1022 00 M 10z2 00 M 10zZ2 00 M 10zZ 00M 1022 00 M 1022 00 M 50 086 01 60 30 2 50 086 01 60 30 50 06 01 60 30 50 06 01 60 30 50 06 01 60 30 S0 06 01 60 301 0 06 01 60 308 0 06 01 60 308 50 06 01 60 30 50 06 01 60 30 5 W hlen Sie das iSCSI Ger t aus das Sie f r den Datastore verwenden m chten und klicken Sie auf Weiter Das Aktuelle Festplatten Layout wird angezeigt 120 VMware Inc Kapitel 6 Speicherkonfiguration 6 berpr fen Sie das aktuelle Festplatten Layout und klicken Sie auf Weiter Das Dialogfeld Festplatte LUN Eigenschaften wird angezeigt 7 Geben Sie einen Namen f r den Datastore ein
114. Kennwort nderung esxcfg auth passwarnage lt Anzahl_von_Tagen gt wobei lt Anzahl_von_Tagen gt die Anzahl der Tage ist die ein Anwender vor dem Auslaufen eines Kennwortes Warnhinweise erh lt 245 Handbuch zur Server Konfiguration 246 Aufhebung der Kennwort Standardverwendungsdauer f r einzelne Anwender oder Gruppen 1 Melden Sie sich auf der Servicekonsole an und erlangen Sie Root Privilegien 2 F hren Sie nach Bedarf einen oder mehrere der folgenden Befehle aus m Angabe eines neuen Wertes f r die H chstanzahl von Tagen chage M lt Anzahl_von_Tagen gt lt Benutzername gt m Angabe eines neuen Wertes f r die Mindestanzahl von Tagen chage m lt Anzahl_von_Tagen gt lt Benutzername gt m Angabe eines neuen Wertes f r die Warnhinweiszeit chage W lt Anzahl_von_Tagen gt lt Benutzername gt Weitere Informationen zu diesen und anderen Optionen des chage Befehls erhalten Sie mit dem Befehl man chage Kennwort Komplexit t Standardm ig verwendet ESX Server das Plug In pam_cracklib so zur Festlegung der Regeln die Anwender bei der Erstellung von Kennw rtern beachten m ssen und zur berpr fung der Kennwortqualit t im Erstellungsprozess Das Plug In pam_cracklib so erm glicht es Ihnen Standards festzulegen die alle Kennw rter erf llen m ssen In der Standardeinstellung wendet ESX Server keine Beschr nkungen auf das Root Kennwort an Wenn jedoch andere Anwender als der Root Anwender versuchen ihr Kennw
115. Konfiguration 1 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt 2 Klicken Sie auf die Registerkarte Konfiguration und dort auf DNS und Routing 62 VMware Inc Kapitel 3 Erweiterte Netzwerkeigenschaften 3 Klicken Sie auf der rechten Bildschirmseite auf Eigenschaften 4 Geben Sie auf der Registerkarte DNS Konfiguration die Werte f r Name und Dom ne ein 5 Sie k nnen die Adresse des DNS Servers entweder automatisch beziehen oder eine DNS Server Adresse eingeben HINWEIS DHCP wird nur unterst tzt wenn die Servicekonsole auf den DHCP Server zugreifen kann Anders gesagt f r die Servicekonsole muss eine virtuelle Schnittstelle vswif konfiguriert und an das Netzwerk angeschlossen werden in dem sich der DHCP Server befindet 6 Geben Sie die Dom nen an in denen Hosts gesucht werden sollen DNS und Routing Konfiguration DNS Konfiguration Routing Host Idertifik atior Name les Dom ne amp nderungen werden erst bei Neustart des Systems wirksam C DNS ServerAdresse automatisch abrufen Netzwerkadapter f r Semice Konsole Die folgende DNS Serwer Adresse verwenden Bevorzugter DNS Server 152 1688 2 Alternativer DNS Server l Hosts in den folgenden Dom nen suchen Beispiel site com site org site net VMware Inc 63 Handbuch zur Serve
116. NAS Ger tes Klicken Sie auf das Ger t und dann auf Details gt Eigenschaften Eine vollst ndige Anleitung zur Erstellung und Konfiguration von NAS Datastores erhalten Sie unter Konfiguration von ESX Server zum Zugriff auf NFS Datentr ger auf Seite 135 esxcfg nics Druckt ein Verzeichnis der physischen Netzwerkadapter sowie Informa tionen zum Treiber dem PCI Ger t und dem Verbindungsstatus jeder NIC Sie k nnen diesen Befehl auch verwenden um die Geschwindigkeit und den Duplexmodus eines physischen Netzwerkadapters zu steuern Die Informationen zu den physischen Netzwerkadaptern des Hosts k nnen Sie im VI Client anzeigen indem Sie auf Network Adapters Netzwerk adapter klicken Klicken Sie zur nderung der Geschwindigkeit und des Duplexmodus f r einen physischen Netzwerkadapter im VI Client bei einem virtuellen Switch der dem physischen Netzwerkadapter zugeordnet wurde auf Netzwerk gt Eigenschaften Klicken Sie dann im Dialogfeld Eigenschaften auf Network Adapters Netzwerkadapter gt Bearbeiten und w hlen Sie die Geschwindig keit Duplex aus Weitere Informationen zur nderung der Geschwindigkeit und des Duplexmodus finden Sie unter Konfiguration der Geschwindigkeit des Uplink Netzwerkadapters auf Seite 49 esxcfg resgrp Stellt die Ressourcen Gruppeneinstellungen wieder her und erm glicht die Ausf hrung grundlegender Verwaltungsaufgaben f r Ressourcen Gruppen W hlen Sie einen Ressourcen P
117. Secure FIP SFTP auf SSH zu deaktivieren kommentieren Sie folgende Zeile in der Datei sshd_config aus Subsystem ftp usr libexec openssh sftp server Speichern Sie die nderungen und schlie en Sie die Datei Geben Sie folgenden Befehl ein um den SSHD Dienst neu zu starten service sshd restart VMware Inc Kapitel 12 Sicherheit der Servicekonsole Sicherheitspatches und Sicherheitsl cken Scanner Wenn ein Patch f r ein bestimmtes von LINUX unterst tztes Software Paket das von VMware als Servicekonsolenkomponente angeboten wird zum Beispiel ein Dienst ein Hilfsprogramm oder ein Protokoll verf gbar wird stellt VMware ein Paket f r den RPM Package Manager RPM zur Verf gung mit dem Sie das Software Paket auf ESX Server aktualisieren k nnen Verwenden Sie immer die RPMs die VMware zur Verf gung stellt selbst wenn diese Patches auch von Drittanbietern als RPM angeboten werden Bei der Ver ffentlichung von Patches f r ein Software Paket portiert VMware den Patch grunds tzlich auf eine Version der Software zur ck die auch wirklich stabil ist Durch diese Herangehensweise werden die Chancen verringert dass durch den Patch neue Fehler und Stabilit tsprobleme in die Software integriert werden Da der Patch auf eine bestehende Version der Software aufgespielt wird bleibt die Versionsnummer der Software gleich nur die Patchnummer wird als Suffix angeh ngt Bestimmte Sicherheitsscanner wie Nessus berpr fen zwar die
118. Server Um zu gew hrleisten dass nicht mehrere Server gleichzeitig auf dieselbe virtuelle Maschine zugreifen verf gt VMFS ber eine platteninterne Sperrung Die gemeinsame Nutzung desselben VMFS Volumes durch mehrere ESX Server bietet Ihnen die folgenden Vorteile Sie k nnen virtuelle Maschinen ber mehrere physische Server hinweg verteilen Das bedeutet Sie f hren auf jedem Server einen Mix virtueller Maschinen aus sodass nicht alle zur selben Zeit im selben Bereich einer hohen Nachfrage unterliegen Falls ein Server ausf llt k nnen Sie die virtuellen Maschinen auf einem anderen physischen Server neu starten Im St rfall wird die platteninterne Sperre f r die einzelnen virtuellen Maschinen aufgehoben Mit VMotion k nnen Sie Live Migrationen von virtuellen Maschinen w hrend des laufenden Betriebs von einem physischen Server zu einem anderen durchf hren Mit Consolidated Backup kann ein Proxy Server einen Snapshot einer virtuellen Maschine sichern w hrend diese eingeschaltet wird und in ihren Speicher schreibt und daraus liest VMware Inc Kapitel 5 Speicher Einf hrung Konfiguration und Verwaltung von Speicher Die Kapitel Konfigurieren des Speichers und Verwalten des Speichers in diesem Handbuch enthalten die wichtigsten Konzepte und Aufgaben die bei der Arbeit mit Speicher erforderlich sind Detaillierte Informationen zur Konfiguration von SANs finden Sie im Handbuch der SAN Konfiguration In
119. Server ber Authentifizierung und Zugriffsberechtigungen 211 Anwender Gruppen Zugriffsberechtigungen und Rollen 213 Grundlegendes zu Anwendern 214 Grundlegendes zu Gruppen 215 Grundlegendes zu Zugriffsberechtigungen 216 Grundlegendes zu Rollen 218 Verwaltung von Anwendern und Gruppen auf ESX Server Hosts 219 Anzeige und Export von Anwender und Gruppeninformationen 220 Verwaltung der Anwendertabelle 222 Verwaltung der Gruppentabelle 225 Verschl sselungs und Sicherheitszertifikate f r ESX Server 228 Hinzuf gen von Zertifikaten und Anderungen der Web Proxyeinstellungen des ESX Servers 228 Erneutes Erzeugen von Zertifikaten 233 Delegierte der virtuellen Maschine f r NFS Speicher 234 12 Sicherheit der Servicekonsole 237 Allgemeine Sicherheitsempfehlungen 238 Anmelden an der Servicekonsole 239 Konfiguration der Servicekonsolen Firewall 240 VMware Inc T Handbuch zur Server Konfiguration nderung der Sicherheitsstufe der Servicekonsole 241 Freigeben und Blockieren von Ports in der Servicekonsolen Firewall 242 Kennwortbeschr nkungen 244 Kennwort Verwendungsdauer 245 Kennwort Komplexit t 246 nderung des Kennwort Plug Ins 250 Schl sselqualit t 252 Setuid und setgid Anwendungen 252 setuid Standardanwendungen 253 setgid Standardanwendungen 255 SSH Sicherheit 255 Sicherheitspatches und Sicherheitsl cken Scanner 257 13 Sichere Implementierungen und Sicherheits empfehlungen 259 Sicherheitsma nahmen f r h ufig verwend
120. Server Host auf einer Fibre Channel Festplatte 12 Scannen Sie nach neuen Speicherger ten Weitere Informationen finden Sie unter Neu scannen auf Seite 131 Informationen zur erweiterten Konfiguration wie z B die Verwendung von Multi pathing Masking und Zoning finden Sie im Handbuch zur SAN Konfiguration VMware Inc 109 Handbuch zur Server Konfiguration ISCSI Speicher 110 Dieser Abschnitt enth lt die folgenden Informationen zur Konfiguration von iSCSI Speichern m iSCSI Speicher auf Seite 110 m Konfigurieren von mittels Hardware ausgel ster iSCSI Speicherung auf Seite 113 m Konfiguration von software initiiertem iSCSI Speicher auf Seite 121 Weitere Informationen ber Multipathing finden Sie unter Verwalten von Pfaden f r Fibre Channel und iSCSI auf Seite 143 ISCSI Speicher ESX Server 3 0 unterst tzt die iSCSI Technologie die es dem ESX Server System er m glicht beim Zugriff auf entfernten Speicher ein IP Netzwerk zu verwenden Bei iSCSI werden die SCSI Speicherbefehle die die virtuelle Maschine an ihre virtuelle Festplatte ausgibt in TCP IP Protokoll Pakete umgewandelt und an ein entferntes Ger t das Ziel bertragen auf dem die virtuelle Festplatte gespeichert ist Aus Sicht der virtuellen Maschine erscheint das Ger t als lokal angeschlossenes SCSI Laufwerk Dieser Abschnitt enth lt Informationen ber iSCSI Konzepte sowie folgende weitere Themen m iSCSI Ini
121. Sie sich auf der Servicekonsole an und erlangen Sie Root Privilegien 2 F hren Sie folgende zwei Befehle aus um zu bestimmen ob eingehender und ausgehender Datenverkehr erlaubt oder blockiert wird esxcfg firewall q incoming esxcfg firewall q outgoing 3 Die Ergebnisse bedeuten Folgendes Befehlszeilenausgabe Sicherheitsstufe Incoming ports blocked by default Hoch Outgoing ports blocked by default Incoming ports blocked by default Mittel Outgoing ports not blocked by default Incoming ports not blocked by default Niedrig Outgoing ports not blocked by default Festlegung der Sicherheitsstufe der Servicekonsolen Firewall 1 Melden Sie sich auf der Servicekonsole an und erlangen Sie Root Privilegien 2 F hren Sie je nach Bedarf einen der folgenden Befehle aus m Festlegung der mittleren Sicherheitsstufe f r die Servicekonsolen Firewall esxcfg firewall allowOutgoing blockIncoming m Festlegung der niedrigen Sicherheitsstufe f r die virtuelle Firewall esxcfg firewall allowIncoming allowOutgoing V VORSICHT Der oben stehende Befehl deaktiviert den Schutz durch die Firewall vollst ndig VMware Inc 241 Handbuch zur Server Konfiguration m Festlegung der hohen Sicherheitsstufe f r die Servicekonsolen Firewall esxcfg firewall blockIncoming blockOutgoing 3 Geben Sie folgenden Befehl ein um den Prozess vmware hostd neu zu starten service mgmt vmware restart Die nderung der Sicherh
122. UDP TCP 27000 27010 TCF 302 UDF 21 TCP 111 2049 UDP TCP 3 Klicken Sie auf Firewall gt Eigenschaften Das Dialogfeld Firewall Properties Firewall Eigenschaften wird ge ffnet In diesem Dialogfeld werden alle Dienste und Management Agenten die Sie f r den Host konfigurieren k nnen aufgelistet VMware Inc 193 Handbuch zur Server Konfiguration Firewall Eigenschaften Ioj xi Remote Zugr f i Standardm ig wird verhindert dass Riemote Clients auf Dienste auf diesem Host zugreifen und lokalen Clients wird der Zugriff auf Dienste auf Remote Hosts verwehrt Um Zugriff auf einen Dienst oder Client zu gew hren markieren Sie bitte das entsprechende Kontrollk stchen Au er wenn eine andere Konfiguration vorkegt werden Daemons automatisch gestartet wenn einer ihrer Ports ge ffnet wird und sie werden gestoppt wenn alle ihre Ports geschlossen werden Bezeichnung Eingehende Ports Abgehende Ports Protokolle Daemon a Erforderliche Services Secure Shell SSH Client 22 TCP N A SSH Server 22 TCP Gestartet Simple Network Management Protocol CO SNMP Server 161 162 UDP NJA Nicht gruppiert CIM SLP 427 427 UDP TCP N A VNC Server 5900 5964 TCP NJA VMware Virtuallenter Agent 902 UDP N A Og Comm ault Dynamic 8600 8619 8600 8619 TCP N A C kerberos 749 88 TCP N A NFS Client 111 2049 UDP TCP N A C Tivol Storage Manager Agent 1500 1500 TCP N A x 4 Aktivieren Sie die Kontrollk stchen f r die Dienste und
123. VMES wie z B leistungsf hige Dateisperrung zum Datenschutz und Snapshots zur Vereinfachung von Entwicklungsprozessen nutzen Der virtuelle Modus ist auch besser zwischen Speichern bertragbar als der physische Modus da er das gleiche Verhalten wie virtuelle Festplattendateien aufweist Der physische Modus einer RDM Zuordnung legt eine minimale SCSI Virtualisierung des zugeordneten Ger ts fest wodurch eine optimale Flexibilit t der SAN Manage ment Software erreicht wird Im physischen Modus leitet das VMkernel alle SCSI Befehle bis auf eine Ausnahme an das Ger t weiter Der Befehl REPORT LUNs wird virtualisiert damit das VMkernel die LUN f r die entsprechende virtuelle Maschine VMware Inc 157 Handbuch zur Server Konfiguration isolieren kann Ansonsten sind alle physischen Charakteristika der zu Grunde liegenden Hardware sichtbar Der physische Modus ist f r die Ausf hrung von SAN Management Agenten oder anderer SCSI basierter Software in der virtuellen Maschine bestimmt Mit dem physischen Modus steht auch eine Clusterbildung VM PC f r kosteng nstige Hochverf gbarkeit zur Verf gung Virtuelle Maschine 1 Virtualisierung Virtueller Modus v VMFS Zugeordnetes Ger t Zuordnungsdatei VMFS Datentr ger Virtuelle Maschine 1 Virtualisierung Physischer Modus VMFS Zugeordnetes Ger t Zuordnungsdatei VMFS Datentr ger Abbildung 8 4 Die Modi Virtuelle Kompatibili
124. VMkernels 33 TCP IP Stapel auf Ebene der berwachung der virtuellen 34 Schlussfolgerungen und Richtlinien 34 Konfiguration der Servicekonsole 37 Grundlegende Konfigurationsaufgaben f r die Servicekonsole 37 Verwendung von DHCP f r die Servicekonsole 43 3 Erweiterte Netzwerkeigenschaften 45 Erweiterte Netzwerkaufgaben 46 Konfiguration des virtueller Switch 46 Eigenschaften von virtuellen Switches 46 Bearbeiten der Eigenschaften von virtuellen Switches 46 Policys f r virtuelle Switches 53 VMware Inc Handbuch zur Server Konfiguration Sicherheits Policy f r Layer2 53 Traffic Shaping Policy 55 Policy f r Lastenausgleich und Failover 57 Konfigurieren der Port Gruppe 60 DNS und Routing 62 Einrichten von MAC Adressen 64 Generierung von MAC Adressen 65 Einstellen von MAC Adressen 66 Verwendung von MAC Adressen 66 Netzwerk Tipps und Empfehlungen 67 Netzwerkempfehlungen 67 Einbindung von NAS Datentr gern 67 Netzwerk Tipps 68 4 Netzwerk Szenarien und Probleml sung 69 Netzwerkkonfiguration f r den Software iSCSI Speicher 70 Konfiguration des Netzwerks auf Blade Servern 76 Probleml sungen 80 Fehlerbehebung bei der Vernetzung der Servicekonsole 80 Probleml sungen Netzwerkadapter Konfiguration 82 Probleml sungen Konfiguration physischer Switches 82 Probleml sungen Port Gruppen Konfiguration 82 Speicher 5 Speicher Einf hrung 87 Speicherkonzepte 88 Speicher bersicht 89 Datastores und Dateisysteme 90 Dateisystemformate
125. Versionsnummer nicht jedoch das Patch Suffix wenn sie nach Sicherheitsl cken suchen Daher kann es dazu kommen dass diese Scanner f lschlicherweise melden dass die Software nicht aktuell ist und ungeachtet der Realit t nicht die aktuellsten Sicherheitspatches enth lt Dieses Problem tritt in der Branche h ufig auf und ist nicht auf VMware beschr nkt HINWEIS Einige Sicherheitsscanner sind in der Lage diese Situation korrekt zu verarbeiten aber normalerweise liegen sie um eine Version oder mehr zur ck So bringt die Nessus Version die nach einem Red Hat Patch ver ffentlicht wird diese Fehlmeldungen meistens nicht Es folgt ein Beispiel wie dieses Problem entsteht 1 Sie installieren ESX Server mit OpenSSL Version 0 9 7a wobei 0 9 7a die ur spr ngliche Version ohne Patches ist 2 OpenSSL ver ffentlicht einen Patch der eine Sicherheitsl cke in Version 0 9 7 schlie t Diese Version wird 0 9 7x genannt 3 VMware portiert den Patch OpenSSL 0 9 7x auf die urspr ngliche Version zur ck aktualisiert die Patchnummer und erstellt ein RPM Die OpenSSL Version in dem RPM ist 0 9 7a 1 d h die urspr ngliche Version 0 9 7a enth lt nun Patch 1 4 Sie installieren den RPM 5 Der Sicherheitsscanner bersieht das Suffix 1 und meldet f lschlicherweise dass die Sicherheit f r OpenSSL nicht aktuell ist Wenn Ihr Scanner meldet dass die Sicherheit f r ein Paket nicht aktuell ist f hren Sie die folgenden b
126. Verwendung _vSwitchi_ Geschwindigkek Netzwerke C Verwendung vSwitch2 Geschwindigkeit Netzwerke Vorschau Service Konsole 3 Netzwerk der virtuellen Maschi Hife lt Zur ck Weker gt Abbrechen _Werer gt A 5 W hlen Sie den vSwitch aus den Sie f r den Zugriff auf das Netzwerk verwenden m chten oder markieren Sie Neuen vSwitch erstellen Klicken Sie auf Weiter Wenn unter Neuen virtuellen Switch erstellen keine Adapter angezeigt werden bedeutet dies dass alle Netzwerkadapter im System von vorhandenen vSwitches verwendet werden Weiter Informationen zum Bewegen von Netzwerkadaptern zwischen vSwitches finden Sie unter Hinzuf gen von Uplink Adaptern auf Seite 50 38 VMware Inc Kapitel 2 Vernetzung 6 Unter Port Gruppen Eigenschaften w hlen Sie Netzwerkbezeichnung und VLAN ID aus bzw geben Sie diese ein Assistent zum Hinzuf gen von Netzwerken lOIx Servicekonsole Netzwerkzugriff Kennzeichnen Sie Servicekonsolen Verbindungen mit Netzwerkbezeichnungen w hrend Sie den Host verwalten Netzwerkzugriff Verbindungseinstellungen Netzwerkbezeichnung Bervice Konscle 3 VLAN 1D optional F 1P Einstellungen automatisch abrufen Die folgenden IP Einstellungen IP Adresse Subnetz Maske Stamlard Gateway f r Service Konsole Neuere Ports und Port Gruppen werden im vSwitch Diagramm oben angezeigt 7 Geben Sie die IP Adresse und die Subnetzmaske ein oder
127. X Server verwendet au erdem 1024 Bit RSA f r den Schl sselaustausch Diese Verschl sselungsalgorithmen sind f r folgende Verbindungen Standard m VI Client Verbindungen zu VirtualCenter Server und zum ESX Server Host ber die Servicekonsole m VI Web Access Verbindungen zum ESX Server Host ber die Servicekonsole HINWEIS Da die Verwendung von Verschl sselungstechniken f r VI Web Access vom Webbrowser abh ngig ist den Sie verwenden verwendet dieses Management Tool ggf eine andere Verschl sselung m SDK Verbindungen zu VirtualCenter Server und zum ESX Server m Servicekonsolenverbindungen zu den virtuellen Maschinen ber VMkernel m SSH Verbindungen zum ESX Server Host ber die Servicekonsole Weitere Informationen finden Sie unter SSH Sicherheit auf Seite 255 Setuid und setgid Anwendungen 252 setuid ist ein Kennzeichen mit dem eine Anwendung die Zugriffsberechtigungen eines Anwenders der die Anwendung ausf hrt ndern kann indem es die tats ch liche Anwender ID auf die Anwender ID des Programmbesitzers setzt setgid ist ein Kennzeichen mit dem eine Anwendung die Zugriffsberechtigungen einer Gruppe die die Anwendung ausf hrt ndern kann indem es die tats chliche Gruppen ID auf die Gruppen ID des Programmbesitzers setzt VMware Inc Kapitel 12 Sicherheit der Servicekonsole W hrend der Installation von ESX Server werden standardm ig verschiedene An wendungen installiert die das setuid u
128. Ziel die Pr fsumme vom Inititator erh lt erstellt es aus den gleichen Elementen seine eigene Pr fsumme und vergleicht diese mit dem Pr fsummenwert des Initiators Wenn die Ergebnisse bereinstimmen authen tifiziert das Ziel den Initiator ESX Server unterst tzt die Einweg CHAP Authentifizierung f r iSCSI Er unter st tzt keine bidirektionale CHAP Bei der Einweg CHAP Authentifizierung authen tifiziert das Ziel den Initiator nicht jedoch der Initiator das Ziel Der Initiator verf gt nur ber eine Identifikation die von allen iSCSI Zielen verwendet wird ESX Server unterst tzt die CHAP Authentifizierung nur auf HBA Ebene Die ziel basierte CHAP Authentifizierung bei der verschiedene Identifikationen f r die Ziele erstellt werden k nnen um eine bessere Zielunterscheidung vornehmen zu k nnen wird nicht unterst tzt m Deaktiviert Sie k nnen das iSCSI SAN so konfigurieren dass keine Authen tifizierung verwendet wird Beachten Sie dass der Datenverkehr zwischen Ini tiator und Ziel dennoch rudiment r berpr ft wird da iSCSI Zielger te nor malerweise so eingerichtet sind dass sie nur mit bestimmten Initiatoren kommunizieren Die Deaktivierung einer strengeren Authentifizierung kann zum Beispiel sinnvoll sein wenn sich der iSCSI Speicher an einem Standort befindet und ein dediziertes Netzwerk oder VLAN f r alle iSCSI Ger te erstellt wird Die Pr misse ist hier dass die iSCSI Konfiguration sicher ist weil sie von
129. abe von Nein Nein Ja SCSl Befehlen Unterst tzung von Ja Ja Ja VirtualCenter Snapshots Ja Ja Nein Verteilte Sperrung Ja Ja Ja Clustering Nur CIB CIB CAB 4 Nur N 1 SCSl basierte Software Nein Nein Ja 1 REPORT LUNS wird nicht weitergegeben 2 CIB Cluster auf einem Computer 3 CAB Cluster ber mehrere Computer VMware empfiehlt f r CIB die Verwendung von virtuellen Festplattendateien Verwenden Sie f r CIB RDM im virtuellen Modus wenn die CIB Cluster als CAB Cluster neu konfi guriert werden Weitere Informationen ber das Clustering finden Sie in den Handb chern Einrichtung des Microsoft Cluster Dienstes und Handbuch zum Ressourcen Management N 1 Cluster aus physischen Computern und virtuellen Maschinen Verwalten zugeordneter LUNs Zu den Werkzeugen die f r die Verwaltung zugeordneter LUNs und ihrer RDMs bzw Zuordnungsdateien verf gbar sind geh rt der VI Client von VMware das Dienst programm vmkfstools und die normalen Dateisystemdienstprogramme die in der Servicekonsole verwendet werden Weitere Informationen finden Sie unter folgenden Themen m Virtual Infrastructure Client VI Client auf Seite 161 m Das vmkfstools Dienstprogramm auf Seite 164 m Dateisystemfunktionen auf Seite 164 Virtual Infrastructure Client VI Client Mithilfe des VI Client k nnen Sie eine SAN LUN einem Datastore zuordnen und Pfade zur zugeordneten LUN verwalten Weitere Informationen finden Sie in folgenden
130. abrufen Netzwerkadapter f r Semice Konsole srl r Die folgende DNS ServerAdresse verwenden Bevorzugter DNS Server 132 168 2 Alternativer DNS Server 73 Handbuch zur Server Konfiguration 74 10 11 12 13 Auf der Registerkarte Routing ben tigen die Servicekonsole und das VMkernel jeweils eigene Gateway Angaben Eine Gateway ist zur Anbindung an Computer notwendig die sich nicht im gleichen IP Subnetz wie die Servicekonsole oder das VMkernel befinden H DNS und Routing Konfiguration DNS Konfiguration Routing Service Konsole Standard Gateway Gateway Ger t HINWEIS Die Standard Gateway f r den Port den Sie erstellen muss eingestellt werden Sie m ssen eine g ltige statische IP Adresse angeben um den VMkernel Stapel zu konfigurieren Klicken Sie auf OK um die nderungen zu speichern und schlie en Sie das Dia logfeld DNS und Routing Konfiguration Klicken Sie auf Weiter Wenn Sie nderungen vornehmen m chten verwenden Sie die Schaltfl che Zur ck berpr fen Sie die nderungen im Dialogfeld Fertig stellen und klicken Sie auf Fertig stellen Nach dem Anlegen des VMkernel Ports f r iSCSI m ssen Sie eine Verbindung der Servicekonsole auf demselben vSwitch anlegen auf dem der VMkernel Port ist Anlegen einer Verbindung der Servicekonsole zum iSCSI Software Speicher 1 2 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar
131. aktivieren Sie die DHCP Option IP Einstellung automatisch beziehen f r die IP Adresse und die Subnetzmaske 8 Klicken Sie auf die Schaltfl che Bearbeiten um die Standard Gateway der Servicekonsole einzustellen Weitere Informationen finden Sie unter Einstellung der Standard Gateway auf Seite 41 9 Klicken Sie auf Weiter Das Dialogfeld Fertig stellen wird angezeigt 10 berpr fen Sie die Angaben und klicken Sie auf Fertig stellen Konfiguration der Servicekonsolen Ports 1 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt VMware Inc 39 Handbuch zur Server Konfiguration 2 Klicken Sie auf die Registerkarte Konfiguration und dann auf Netzwerk 3 Suchen Sie auf der rechten Bildschirmseite den vSwitch den Sie bearbeiten m chten und klicken Sie f r diesen vSwitch auf Eigenschaften Das Dialogfeld vSwitch Properties vSwitch Eigenschaften wird angezeigt d Smithi Eigenschaften 0f x Ports Hetzweikadapter Ubersiht 24 Ports SerWine Kondasle 4 Klicken Sie im Dialogfeld vSwitch Properties vSwitch Eigenschaften auf die Registerkarte Ports 5 Markieren Sie die Option Servicekonsole und klicken Sie auf Bearbeiten Es wird eine Warnmeldung angezeigt dass die nderung des Servicekonsolen anschlusses die Verbindungen f r alle Management Agenten
132. ame den Namenskonventionen entspricht sonst er kennen ggf bestimmte Speicherger te den iSCSI Hardware Initiator nicht Geben Sie das iSCSI Alias ein Das Alias ist ein benutzerfreundlicher Name der zur Identifizierung des iSCSI Hardware Initiators verwendet wird W hlen Sie unter Eigenschaften des Hardware Initiators eine der folgenden Optionen aus m IP Einstellungen automatisch abrufen m Die folgende IP Einstellungen verwenden Wenn Sie Die folgende IP Einstellungen verwenden ausgew hlt haben m ssen Sie die folgenden Werte eingeben m IP Adresse m Subnet Maske VMware Inc Kapitel 6 Speicherkonfiguration m Standard Gateway m Bevorzugter DNS Server m Alternativer DNS Server optional 7 Klicken Sie auf OK um Ihre nderungen zu speichern Einrichten von Erkennungsadressen f r Hardware Initiatoren Sie m ssen Zielerkennungsadressen einrichten um den Hardware Initiator in die Lage zu versetzen zu erkennen welche Speicher Ressource auf dem Netzwerk zur Ver f gung stehen Weitere Informationen finden Sie unter Erkennung von Speicherressourcen auf Seite 112 Einrichtung von Zielerkennungsadressen f r den Hardware Initiator 1 ffnen Sie das Dialogfeld iSCSI Initiator Eigenschaften entsprechend der An leitung unter Anzeige der Eigenschaften des iSCSI Hardware Initiators auf Seite 114 2 Klicken Sie im Dialogfeld iSCSI Initiator Eigenschaften auf die Registerkarte Dynamische Erkennung Eigen
133. angezeigt berpr fen Sie das aktuelle Festplatten Layout und klicken Sie auf Weiter Das Dialogfeld Festplatte LUN Eigenschaften wird angezeigt VMware Inc Kapitel 6 Speicherkonfiguration 7 Geben Sie einen Namen f r den Datastore ein Der Name des Datastores wird im VI Client angezeigt und muss in der vor liegenden Instanz der virtuellen Infrastruktur eindeutig sein 8 Klicken Sie auf Weiter Das Dialogfeld Festplatte LUN Formatierung wird angezeigt 7 Speicher hinzuf gen Festplatte LUN Formatierung Das Format Ihres Dateisystems bestimmt welche Klasse won virtuellen Maschinen unterstitzt wird O Fertpeatte UN Ger testandert Maximale Dateigr e aktuel Festolatt Fat Eigenschaften Gro e Dateien erfordern eine gro e Blackgr e der Mindestspeicherplatz der von einer Datei belegt Formatierung wird entspricht der Dateisystem Blockgr e Diese Werte werden von VMFS 3 Disteisystemen bei Bedarf angepasst 255 8 Biockgr e me Kapazit t M Kapazit t madmieren e 7 GE lt Zw ck Abbrechen E 9 ndern Sie bei Bedarf die Werte f r das Dateisystem und die Gr e des Datastores Standardm ig wird der gesamte freie Speicherplatz des Speicherger tes angeboten 10 Klicken Sie auf Weiter Das Dialogfeld Fertig stellen wird angezeigt 11 berpr fen Sie die Daten f r den Datastore und klicken Sie auf Fertig stellen Dieser Prozess erstellt einen Datastore f r den ESX
134. ann je nach Gr e Ihres Unter nehmens der gemeinsamen Nutzung von Daten und Ressourcen durch Au en stehende und der Verwendung eines oder mehrerer Datacenters variieren Zu den folgenden Implementierungen geh ren Policys f r den Anwenderzugriff die gemeinsame Nutzung von Ressourcen sowie Sicherheitsstufen Durch den Vergleich der Implementierungen k nnen Sie die Probleme erkennen die Sie bei der Planung der Sicherheit f r Ihre eigene ESX Server Implementierung beachten m ssen Implementierung Ein Kunde In dieser Implementierung befinden sich die ESX Server Hosts in einem Unternehmen und einem einzigen Datacenter und werden auch dort gewartet ESX Server Ressour cen werden nicht durch au enstehende Anwender genutzt Die ESX Server Hosts werden von einem globalen Administrator unterhalten auf den Hosts werden mehrere virtuelle Maschinen ausgef hrt VMware Inc 259 Handbuch zur Server Konfiguration 260 Die Implementierung l sst Kundenadministratoren nicht zu der globale Adminis trator ist f r die Wartung der verschiedenen virtuellen Maschinen allein verantwort lich Das Unternehmen besch ftigt mehrere Systemadministratoren die keine Konten auf dem ESX Server Host haben und nicht auf ESX Server Programme wie Virtual Center oder Befehlszeilenshells f r den Host zugreifen k nnen Diese Systemadminis tratoren haben ber die VM Konsole auf die virtuellen Maschinen Zugriff sodass Sie Software installieren und an
135. argestellt dass die Ports die der VirtualCenter Server verwendet w hrend er auf Datenverkehr von seinen Clients wartet die Ports 902 VI Client und 443 andere Clients sind Wenn zwischen dem VirtualCenter Server und seinen Clients eine Firewall besteht m ssen Sie eine Verbindung konfigurieren ber die der Virtual Center Server Daten von seinen Clients empfangen kann Geben Sie in der Firewall Port 902 frei damit der VirtualCenter Server Daten von einem VI Client empfangen kann Geben Sie f r Verbindungen zwischen dem VirtualCenter Server und VI Web Access Clients oder Clients von Drittanbietern ber das SDK Port 443 frei Zus tzliche Informationen zur Konfiguration von Ports in einer Firewall erhal ten Sie vom Firewall Systemadministrator Wenn Sie den VI Client verwenden und nicht Port 902 als Port f r den Datenverkehr zwischen VI Client und VirtualCenter Server verwenden m chten k nnen Sie den Port ber die VirtualCenter Einstellungen auf dem VI Client ndern Informationen zur nderung dieser Einstellungen finden Sie im Benutzerhandbuch f r die virtuelle Infrastruktur Verbindung zur Konsole der virtuellen Maschine ber eine Firewall Sowohl bei der Anbindung des Clients an die ESX Server Hosts ber einen Virtual Center Server als auch bei der Verwendung einer direkten Verbindung an den ESX Server Host sind bestimmte Hosts f r die Kommunikation zwischen Administrator bzw Anwender und den Konsolen der virtuellen Masc
136. as virtuelle Netzwerk Die folgende Liste vermittelt Ihnen die Grundlagen zu einigen Angriffsarten gegen die virtuelle Switches und VLANs sch tzen k nnen VMware Inc 199 Handbuch zur Server Konfiguration 200 MAC Flooding Diese Angriffe berschwemmen den Switch mit Datenpaketen die MAC Adressen enthalten die als von verschiedenen Quellen stammend gekennzeichnet wurden Viele Switches verwenden eine assoziative Speicher tabelle CAM Tabelle um die Quelladresse f r jedes Datenpaket zu speichern Wenn die Tabelle voll ist schaltet der Switch ggf in einen vollst ndig ge ffneten Status um in dem alle eingehenden Pakete auf allen Ports bertragen werden sodass der Angreifer den gesamten Datenverkehr des Switches abh ren kann In diesem Fall kann es auch zu Paketlecks in andere VLANs kommen Zwar speichern die virtuellen Switches von VMware eine MAC Adressentabelle aber sie erhalten die MAC Adressen nicht von abh rbaren Datenverkehr und sind daher gegen diese Art von Angriffen immun Angriffe durch 802 1q und ISL Kennzeichnung Bei diesem Angriff werden die Datenbl cke durch den Switch an ein anderes VLAN weitergeleitet indem der Switch durch einen Trick dazu gebracht wird als Trunk zu fungieren und den Datenverkehr an andere VLANs weiterzuleiten Die virtuellen Switches von VMware f hren das dynamische Trunking das f r diese Art des Angriffes notwendig ist nicht aus und sind daher immun Doppelt eingekapselte
137. atei einen Eintrag f r die konfigurierte IP Adresse und die Adresse 127 0 0 1 des lokalen Servers enth lt VMware Inc 81 Handbuch zur Server Konfiguration 82 Probleml sungen Netzwerkadapter Konfiguration Das Hinzuf gen eines neuen Netzwerkadapters kann in bestimmten F llen zum Verlust der Servicekonsolen Konnektivit t und der Verwaltungs und Wartungs freundlichkeit mit dem VI Client f hren was daran liegt dass die Netzwerkadapter neu benannt werden Wenn dies der Fall ist m ssen Sie die betroffenen Netzwerkadapter die die Service konsole nutzen umbenennen Umbenennen der Netzwerkadapter die die Servicekonsole verwenden 1 Melden Sie sich direkt an Ihrer ESX Server Konsole an 2 Verwenden Sie den Befehl esxcfg nics 1 um sich anzeigen zu lassen welche Namen Ihren Netzwerkadaptern zugewiesen wurden 3 Verwenden Sie den Befehl esxcfg vswitch 1 um sich anzeigen zu lassen welche vSwitches sofern berhaupt jetzt den Ger tenamen zugewiesen sind die nicht mehr durch esxcfg nics angezeigt werden 4 Verwenden Sie den Befehl esxcfg vswitch U lt old vmnic name gt lt vswitch gt um Netzwerkadapter zu entfernen die umbenannt worden sind 5 Verwenden Sie den Befehl esxcfg vswitch L lt new vmnic name gt lt vswitch gt um die Netzwerkadapter wieder hinzuzuf gen und geben Sie Ihnen dabei die rich tigen Namen Probleml sungen Konfiguration physischer Switches In manchen F llen kann es bei einem Failov
138. ateisystem VMFS Version 3 VMFS 3 Wenn Ihr Datastore in VMFS 2 formatiert wurde k nnen Sie die auf VMFS 2 gespeicherten Dateien zwar lesen aber nicht verwenden Dazu m ssen Sie die Dateien von VMFS 2 auf VMFS 3 aktualisieren Bei der Aktualisierung von VMFS 2 auf VMFS 3 stellt der Datei Sperrmechanismus von ESX Server sicher dass w hrend der Konvertierung kein Remote ESX Server oder lokale Prozesse auf den VMFS Datentr ger zugreifen ESX Server erh lt alle Dateien auf dem Datastore Vor der Aktualisierung werden als Vorsichtsma nahme folgende Schritte empfohlen m Akzeptieren oder verwerfen Sie alle nderungen an virtuellen Festplatten auf dem VMES 2 Volume f r das ein Upgrade durchgef hrt werden soll VMware Inc 139 Handbuch zur Server Konfiguration 140 Fertigen Sie ein Backup des VMFS 2 Datentr gers den Sie aktualisieren m chten an Stellen Sie sicher dass keine angeschalteten virtuellen Maschinen diesen VMFS 2 Datentr ger verwenden Stellen Sie sicher dass kein anderer ESX Server auf diesen VMFS 2 Datentr ger zugreift Stellen Sie sicher dass der VMFS 2 Datentr ger nicht auf einem anderen ESX Server eingebunden ist VORSICHT 8 Die Konvertierung von VMFS 2 in VMFS 3 ist nicht umkehrbar Nach der Konvertierung des VMFS basierten Datastores in VMFS 3 kann er nicht zur ck in VMFS 2 konvertiert werden m Damit das Upgrade des Dateisystems VMFS 2 m glich ist sollte die Dateiblockgr e nicht be
139. atenmenge die w hrend eines Bursts bei der berschreitung der durchschnittlichen Daten bertragungsrate ber tragen werden kann Policy f r Lastenausgleich und Failover Mit den Lastausgleichs und Failover Policys k nnen Sie festlegen wie der Netzwerk Datenverkehr zwischen den Adaptern verteilt wird und wie der Verkehr neu geroutet wird wenn ein Adapter ausf llt Dazu m ssen Sie die folgenden Parameter konfigurieren m Lastausgleichs Policy Die Lastausgleichs Policy legt fest wie der ausgehende Datenverkehr ber die Netzwerkadapter die dem vSwitch zugewiesen wurden verteilt wird HINWEIS Der eingehende Datenverkehr wird durch die Lastausgleichs Policy auf dem physischen Switch gesteuert m Failover Erkennung Verbindungsstatus Signalpr fung m Reihenfolge der Netzwerkadapter Aktiv Standby Bearbeiten der Policy f r Failover und Lastausgleich 1 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration und dann auf Netzwerk Markieren Sie einen vSwitch und klicken Sie auf Bearbeiten Klicken Sie im Dialogfeld vSwitch Eigenschaften auf die Registerkarte Ports U A Q N Markieren Sie den vSwitch und klicken Sie auf Eigenschaften um die Werte f r Failover und Lastausgleich f r den vSwitch zu bearbeiten Das Dialogfeld Eigenschaften f r den vSwitch wird angezeigt
140. aus Die Konfiguration f r diese virtuelle Maschine wird mit der Registerkarte bersicht angezeigt 2 Klicken Sie auf Einstellungen bearbeiten 3 Klicken Sie auf Optionen gt Erweitert gt Konfigurationsparameter Das Dialogfeld Konfigurationsparameter wird ge ffnet 4 Klicken Sie auf die Schaltfl che Hinzuf gen und geben Sie Folgendes ein m Namenfeld isolation tools log disable m Wertfeld TRUE Das Ergebnis sieht folgenderma en aus 1H Konfigurationsparameter ndern Sie Konfigurationsparameter oder f gen Sie sie f r experimentelle Funktionen bzw gem den Anweisungen des technischen Supports hinzu Eintr ge k nnen nicht entfernt werden Hame r Wert sched mem max unlimited sched swap deriwved ame fs volumes esfafsdl ed4dfsbalNew virtual Machine New virtual Machine scsil 0 redo true vmware tools installstate none vmware tools lastInstallsbtatus resuk unknown isolation tools setinfo disable true 4 gt Zeile hinzuf gen Ok Abbrechen Hilfe EZ 5 Klicken Sie auf OK um das Dialogfeld Konfigurationsparameter zu schlie en und dann noch einmal auf OK um das Dialogfeld Eigenschaften der virtuellen Maschinen zu schlie en 272 VMware Inc VMware Inc Anh nge 273 Handbuch zur Server Konfiguration 274 VMware Inc ESX Befehle zur technischen Unterstutzung Dieser Anhang f hrt die Befehle der Servicekonsole aus die dazu verwendet werden den ESX Server zu konf
141. aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration und dann auf Netzwerk VMware Inc VMware Inc Kapitel 4 Netzwerk Szenarien und Probleml sung Auf der rechten Seite des Bildschirms klicken Sie auf Eigenschaften f r den vSwitch der dem VMkernel Port zugeordnet ist den Sie gerade angelegt haben In der Registerkarte Port klicken Sie auf Hinzuf gen Der Assistent zum Hinzuf gen von Netzwerken wird angezeigt B El Assistent zum Hinzuf gen von Netzwerken Verbindungstyp Netzwerk Hardware l sst sich f r jeden Service der Konnektivit t erfordert partikionseren Verbindungstyp r Verbindungstypen Virtuelle Maschine Ein benanntes Netzwerk zur Handhabung von Netzwerkverkehr von virtuellen Maschinen hinzuf gen C YMkernel Der PAATE PIE Tach Lernen T ci Toloanrden ESS O n LACH re Service Konsole Unterst tzung f r Host Management Traffic hinzuf gen lt Zur ck L weer gt Abbrechen A W hlen Sie als Verbindungsart Servicekonsole und klicken Sie auf Weiter Das Dialogfeld Verbindungseinstellungen wird angezeigt Geben Sie unter Eigenschaften der Port Gruppe eine Netzwerkbezeichnung f r die zu erstellende Port Gruppe ein Assistent zum Hinzuf gen von Netzwerken Servicekonsole Netzwerkzugriff Kennzeichnen Sie Servicekonsolen Verbindungen mit Netzwerkbezeichnungen w hrend Sie d
142. bschnitt werden folgende Themen behandelt m Absicherung von iSCSI Ger ten ber Authentifizierung auf Seite 204 m Schutz eines iSCSI SANSs auf Seite 208 Absicherung von iSCSI Ger ten ber Authentifizierung iSCSI Ger ten k nnen gegen ungewollten Zugriff abgesichert werden indem der ESX Server Host der Initiator vom iSCSI Ger t dem Ziel authentifiziert werden muss wenn der Host versucht auf Daten in der Ziel LUN zuzugreifen Ziel der Authenti fizierung ist es zu berpr fen dass der Inititator das Recht hat auf ein Ziel zuzu greifen Dieses Recht wird bei der Konfiguration der Authentifizierung gew hrt Sie haben zwei M glichkeiten wenn Sie die Authentifizierung f r iSCSI SANs auf dem ESX Server Host einrichten m Challenge Handshake Authentication Protocol CHAP Sie k nnen den iSCSI SAN so konfigurieren dass er CHAP Authentifizierung verwendet Bei der CHAP Authentifizierung sendet das iSCSI Ziel wenn der Initiator mit ihm Kontakt aufnimmt einen vordefinierten ID Wert und einen Zufallswert den Schl ssel an den Initiator Der Initiator erstellt dann einen Einweg Pr fsummen VMware Inc Kapitel 10 Absicherung der ESX Server Konfiguration wert den er an das Ziel sendet Die Pr fsumme enth lt drei Elemente einen vor definierten ID Wert den Zufallswert den das Ziel gesendet hat und einen pri vaten Wert den sog CHAP Schl ssel den sowohl der Initiator als auch das Ziel haben Wenn das
143. ch tzen Die Einrichtung von VLANs sch tzt jedoch weder die Bit bertragungsschicht noch die anderen Schichten Auch bei der Ver wendung von VLANs sollten Sie zus tzlichen Schutz durch Absicherung der Hardware Router Hubs usw und Verschl sselung der Daten bertragungen implementieren VMware Inc 197 Handbuch zur Server Konfiguration 198 VLANs ersetzen die Software Firewalls in den virtuellen Maschinen nicht In den meisten Netzwerkkonfigurationen mit VLANs gibt es auch Software Firewalls Wenn Sie VLANs in Ihr virtuelles Netzwerk implementieren m ssen die Firewalls VLANs erkennen k nnen Stellen Sie sicher dass die VLANs ordnungsgem konfiguriert sind Eine Fehlkonfiguration der Ausstattung und Netzwerk Hardware Firmware oder der Software setzt ein VLAN m glichen VLAN Hopping Angriffen aus VLAN Hopping tritt dann auf wenn ein Angreifer mit autorisiertem Zugriff auf ein VLAN Datenpakete erstellt die die physischen Switches dazu bringen die Pakete in ein anderes VLAN zu bertragen f r das der Angreifer keine Zugriffsberechtigung besitzt Anf lligkeit f r diese Art von Angriffen liegt meist dann vor wenn ein Switch falsch f r den nativen VLAN Betrieb konfiguriert wurde wodurch der Switch nicht gekennzeichnete Pakete empfangen und bertragen kann Um ein VLAN Hopping zu verhindern aktualisieren Sie stets Ihre Ausstattung indem Sie Updates der Hardware und Firmware sofort aufspielen Achten Sie bei der Konfigu
144. chicht vor dem Betriebssystem der virtuellen Maschine Daher k nnen Sie in der virtuellen Maschine selbst Betriebssysteme ausf hren die nicht f r SAN zertifiziert sind F r das Betriebssystem innerhalb der virtuellen Maschine beh lt VMES die interne Dateisystem Semantik bei Dadurch werden das ordnungsgem e Verhalten von Anwendungen und die Datensicherheit f r Anwendungen gew hrleistet die in virtuellen Maschinen ausgef hrt werden Sie k nnen VMFS basierte Datastores im Voraus auf jedem Speicherger t einrichten das Ihr ESX Server erkennt W hlen Sie eine hohe LUN wenn Sie die Absicht haben darauf mehrere virtuelle Maschinen einzurichten Sie K nnen dann virtuelle Maschinen dynamisch hinzuf gen ohne zus tzliche Festplattenkapazit t anfordern zu m ssen Falls jedoch mehr Platz ben tigt wird k nnen Sie das VMFS Volume jederzeit vergr ern auf bis zu 64 TB Informationen dar ber was bei der Erstellung eines VMFS besonders zu beachten ist finden Sie unter berlegungen beim Erstellen von VMFS auf Seite 98 berlegungen beim Erstellen von VMFS Bevor Sie Speicherger te mit VMFS formatieren m ssen Sie zun chst festlegen wie Sie den Speicher f r Ihre ESX Server Systeme einrichten wollen Sie sollten immer nur ein VMFS Volume pro LUN haben Allerdings k nnen Sie entweder ein gro es VMFS Volume oder mehrere kleine einsetzen Mit ESX Server k nnen Sie bis zu 256 VMFS Volumes pro System verwenden die V
145. cht Einige davon k nnen im VI Client ausgef hrt werden m Aktualisierung des Hosts Bei der Aufr stung von ESX Server 2 x auf ESX Server 3 x werden die Bin rdateien aktualisiert Diesen Schritt k n nen Sie nicht ber den VI Client ausf hren Informationen zur Durch f hrung dieser Aktualisierung erhalten Sie im Installations und Upgrade Handbuch m Aktualisierung des Dateisystems Wenn Sie VMFS 2 auf VMFS 3 aktualisieren m chten halten Sie Ihre virtuellen Maschinen an oder fahren Sie sie herunter und klicken Sie dann auf Inventar gt Host gt In den Wartungsmodus wechseln Klicken Sie auf Speicher w hlen Sie ein Speicherger t aus und klicken Sie auf Auf VMFS 3 aktualisieren Sie m ssen diesen Schritt f r jedes Speicherger t ausf hren das Sie aktualisieren m chten m Upgrade der virtuellen Maschinen Um eine virtuelle Maschine von VMS 2 auf VMS 3 zu aktualisieren klicken Sie mit der rechten Maustaste auf die virtuelle Maschine im Inventarfenster und w hlen Sie Upgrade der virtuellen Maschine durchf hren esxcfg vmhbadevs Druckt eine Zuordnung von VMkernel Speicherger ten auf Servicekonsolen ger te Es gibt keine VI Client Entsprechung f r diesen Befehl esxcfg vmknic Erstellt und aktualisiert VMkernel TCP IP Einstellungen f r VMotion NAS und iSCSI Klicken Sie zur Einrichtung von Netzwerkverbindungen von VMotion NFS oder iSCSI im VI Client auf Netzwerk gt Vernetzen W hlen Sie VMkernel aus und folge
146. d dann auf Sicherheitsprofil 5 Klicken Sie auf Delegierte Anwender f r virtuelle Maschinen gt Bearbeiten Das Dialogfeld Delegierte Anwender f r virtuelle Maschinen wird angezeigt EF Delegate f r virtuelle Maschine x Delegate Benutze III Dateien f r vwituele Maschinen mit diesen Anmeldedaten les Benutzer root Wenn der Delegate der virtuellen Maschine ge ndert wird t kann dieser Host erst nach einem Neustart wituelle li Der angegebene Delegate Benutzer wird zum Eigent mer aller Dateien von virtuellen Maschinen im Verzeichnis i In bestimmten F llen k nnen die ne eispiel k nnen ateieigerlumstechte nicht bertragen werden wenn der NFS Server dem Root x Asecen re 6 Geben Sie den Anwendernamen des delegierten Anwenders ein 7 Klicken Sie auf OK 8 Starten Sie den ESX Server Host neu Nach dem Neustart des Hosts wird die Einstellung des delegierten Anwenders sowohl in VirtualCenter als auch im direkt auf dem ESX Server Host ausgef hrten VI Client angezeigt 236 VMware Inc Sicherheit der Servicekonsole Dieses Kapitel enth lt grundlegende Sicherheitsempfehlungen f r die Servicekonsole und erl utert einige der in die Servicekonsole integrierten Sicherheitsfunktionen Die Servicekonsole ist eine Management Schnittstelle f r ESX Server daher ist ihre Sicher heit sehr wichtig Um die Servicekonsole gegen unbefugten Zugriff und Missbrauch zu sch tzen beschr nkt VMware bestimmte Param
147. daemon adm Benutzername Hinzuf gen Entfernen Abbrechen Wenn Sie einen Anwender zu einer Gruppe hinzuf gen m chten geben Sie den Anwendernamen ein und klicken Sie auf Hinzuf gen Wenn Sie einen nicht vorhandenen Anwendernamen eingeben gibt der VI Client eine Warnmeldung aus und f gt den Anwender nicht zum Verzeichnis Gruppen mitglieder hinzu Wenn Sie einen Anwender aus der Gruppe entfernen m chten w hlen Sie den Anwendernamen aus dem Verzeichnis aus und klicken Sie auf Entfernen Klicken Sie auf OK Entfernen einer Gruppe aus der ESX Server Gruppentabelle 1 2 V VMware Inc Melden Sie sich ber den ESX Server Host im VI Client an W hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Anwender amp Gruppen und denn auf Gruppen Klicken Sie mit der rechten Maustaste auf die Gruppe die Sie entfernen m chten und klicken Sie auf Entfernen VORSICHT Entfernen Sie die Root Gruppe nicht 227 Handbuch zur Server Konfiguration Verschl sselungs und Sicherheitszertifikate f r ESX Server 228 Der gesamte Netzwerkverkehr einschlie lich Anwendernamen und Kennw rtern werden von VirtualCenter oder VI Web Access ber eine Netzwerkverbindung ber Port 902 oder 443 an einen ESX Server Host gesendet und standardm ig von ESX Server verschl sselt wenn folgende Beding
148. dass mehrere Adapter in einem Netzwerk die gleiche MAC Adresse haben zum Beispiel wenn Sie Microsoft Netzwerklastausgleich NLB im Unicast Modus verwenden Bei der Verwendung von Microsoft NLB im Standard Multicast Modus haben die Adapter nicht die gleiche MAC Adtresse VMware Inc Kapitel 10 Absicherung der ESX Server Konfiguration m Gef lschte bertragungen In der Standardeinstellung ist diese Option auf Akzeptieren gesetzt d h der ESX Server Host vergleicht die Quell und die geltende MAC Adresse nicht Die Einstellungen der Option Gef lschte ber tragungen ndert den Datenverkehr der von einer virtuellen Maschine versandt wird Zum Schutz gegen MAC Imitation k nnen Sie diese Option auf Reject Ablehnen setzen In diesem Fall vergleicht der ESX Server Host die Quell MAC Adresse die vom Betriebssystem bertragen wird mit der geltenden MAC Adresse des Adap ters um festzustellen ob sie bereinstimmen Wenn die Adressen nicht passen verwirft der ESX Server das Paket Das Gast Betriebssystem erkennt nicht dass der virtuelle Netzwerkadapter die Pakete mit der imitierten MAC Adresse nicht senden kann Der ESX Server Host f ngt alle Pakete mit imitierten Adressen vor der Auslieferung ab Das Gast Betriebssystem geht ggf davon aus das die Pakete verworfen wurden m Betrieb im Promiscuous Modus In der Standardeinstellung ist diese Option auf Ablehnen gesetzt d h der virtuelle Netzwerkadapter kann nicht im Prom
149. den Achten Sie bei der Konfiguration der iSCSI Initiatoren f r das ESX Server System darauf dass CHAP aktiviert ist Weitere Informationen finden Sie unter Absicherung von iSCSI Speicher auf Seite 204 Konfigurieren von mittels Hardware ausgel ster ISCSI Speicherung Mit dem Hardware basierten iSCSI Speicher werden spezielle Adapter von Drittan bietern verwendet die ber TCP IP auf iSCSI Speicher zugreifen k nnen Dieser iSCSI Adapter k mmert sich um die gesamte iSCSI Verarbeitung und Verwaltung f r das ESX Server System Installieren und konfigurieren Sie den iSCSI Hardware Adapter vor der Einrichtung des Datastores auf dem iSCSI Speicherger t Folgende Anleitungen helfen Ihnen bei der Vorbereitung und Einrichtung von Data stores auf die Sie ber die iSCSI Hardware Verbindung zugreifen m Installation des iSCSI Hardware Initiators auf Seite 114 m Anzeige der Eigenschaften des iSCSI Hardware Initiators auf Seite 114 m Konfiguration eines iSCSI Hardware Initiators auf Seite 115 m Hinzuf gen von hard ware initiiertem iSCSI Speicher auf Seite 120 VMware Inc 113 Handbuch zur Server Konfiguration 114 Installation des iSCSI Hardware Initiators Bei ESX Server 3 0 ben tigt das Host System f r iSCSI bertragungen den HBA QLogic QLA4010 iSCSI Weitere Informationen finden Sie im Handbuch der I O Kompatibilit t auf der VMware Website unter www vmware com Weitere Informationen zum E
150. den Sie unter Port Gruppen auf Seite 26 Bevor der Netzwerkzugriff der virtuellen Maschinen konfiguriert werden kann muss mindestens ein vSwitch erstellt worden sein Wenn zwei oder mehr virtuelle Maschinen an den gleichen vSwitch angeschlossen sind wird der Netzwerkdatenverkehr zwischen diesen virtuellen Maschinen lokal gesteuert Wenn ein Uplink Adapter dem vSwitch hinzugef gt ist kann jede virtuelle Maschine auf das externe Netzwerk zugreifen mit dem der Adapter verbunden ist Dies ist unter Abbildung 2 1 angezeigt Virtueller Switch vSwitcht P ki Lee De ri PY SENE MEINE l w VM Network mnicl 100 Voll PD test testi testi test D a a Abbildung 2 1 Verbindungen der virtuellen Switches Im VI Client werden die Einzelheiten des ausgew hlten vSwitch als interaktives Dia gramm dargestellt wie in Abbildung 2 2 angezeigt Die wichtigsten Informationen zu allen vSwitches werden immer angezeigt 24 VMware Inc Kapitel 2 Vernetzung Blaues Sprechblasensymbol Vernetzun Aktualisieren Netzwerk hinzuf gen Virtuelley Switch vSwibchO Entfernen Eigenschaften are d r wiryallar Mazchine Piwsische Adapter tzwerk der virtuellen Maschi 6 D mania 10 Wall EB nici 100 voll Pot ngps der wiryellan Maschine Netzwerk der virtuellen Maschi E Pon Grapp der wiryellan Plazihin U Service Konsole w P n Grapp der winu ll n Maschine M YM Network D a Pon Gruppt d r wiryellen Pa
151. den folgenden Abschnitten sind die Speicheraufgaben erl utert die Sie in ESX Server durchf hren k nnen Lokale SCSI Konfigurationsaufgaben Erstellung eines Datastores auf einer lokalen SCSI Festplatte auf Seite 105 Fibre Channel Aufgaben Erstellung eines Datastores auf einem Fibre Channel Ger t auf Seite 108 Hardware initiierte ISCSI Aufgaben m Anzeige der Eigenschaften des iSCSI Hardware Initiators auf Seite 114 m So richten Sie den iSCSI Namen und die IP Adresse f r den Hardware Initiator ein auf Seite 116 m Einrichtung von Zielerkennungsadressen f r den Hardware Initiator auf Seite 117 m Einrichtung der CHAP Parameter f r den Hardware Initiator auf Seite 119 m Erstellung eines Datastores auf einem hardware initiierten iSCSI Ger t auf Seite 120 Software initiierte ISCSI Aufgaben m Anzeige der Eigenschaften des iSCSI Software Initiators auf Seite 122 m Aktivierung des iSCSI Software Initiators auf Seite 125 m So richten Sie Zielerkennungsadressen f r den Software Initiator ein auf Seite 126 m Einrichtung der CHAP Parameter f r den Software Initiator auf Seite 128 m Erstellung eines Datastores auf einem software initiierten iSCSI Ger t auf Seite 129 NFS Aufgaben Einbindung eines NFS Datentr gers auf Seite 135 VMware Inc 101 Handbuch zur Server Konfiguration Allgemeine Speicheraufgaben m Aktualisierung von VMFS 2 in VMFS 3
152. denen Tagen arbeiten und zwar auf eine bestimmte virtuelle Maschine zugreifen sollen nicht jedoch auf die virtuellen Maschinen des Verkaufsleiters In diesem Fall k nnen Sie eine Gruppe z B Verkaufleilzeit einrichten zu der diese drei Teilzeitangestellten geh ren Maria Thomas und Peter Sie k nnen dann der Gruppe Verkaufleilzeit die Berechtigung zur Interaktion mit nur einem Objekt der virtuellen Maschine A zuweisen Maria Thomas und Peter bernehmen diese Zugriffsberechtigungen und k nnen die virtuelle Maschine A hoch fahren Konsolensitzungen auf der virtuellen Maschine A aufrufen usw Sie k nnen diese Vorg nge jedoch nicht auf den virtuellen Maschinen des Verkaufsleiters durchf hren den virtuellen Maschinen B C und D Die Gruppenverzeichnisse in VirtualCenter und auf dem ESX Server Host stammen aus den gleichen Quellen wie die entsprechenden Anwenderverzeichnisse Wenn Sie mit VirtualCenter arbeiten wird das Gruppenverzeichnis von der Windows Dom ne abgerufen Wenn Sie sich direkt am ESX Server Host angemeldet haben wird das Gruppenverzeichnis aus einer Tabelle abgerufen die vom Host erstellt wird Die Em pfehlungen zur Behandlung von Gruppenverzeichnissen entsprechen den Empfeh lungen f r Anwenderverzeichnisse VMware Inc 215 Handbuch zur Server Konfiguration 216 Grundlegendes zu Zugriffsberechtigungen F r ESX Server und VirtualCenter werden Zugriffsberechtigungen als Zugriffsrollen definiert die aus einem
153. der oder Gruppen 246 Proxy Dienste f r ESX Server 230 Servicekonsolen Kennwort Plug In 250 SSH Konfiguration 256 nderung Kennwortverwendungsdauer f r ESX Server 245 Anwender ndern auf ESX Server Hosts 223 Anwender mit direktem Zugriff 214 Anwendertabelle f r ESX Server Hosts 220 Anzeige von Anwenderverzeichnissen 221 aus einer Windows Dom ne 214 Authentifizierung 214 Entfernen von ESX Server Hosts 225 VMware Inc Export eines Anwenderverzeichnisses 221 Hinzuf gen zu ESX Server Hosts 222 VirtualCenter Anwender 214 Anwendergruppen Zugriff 14 Anzeige von ESX Server Host Anwendern und Gruppen 221 Assistent zum Pfade verwalten 149 Asterisk Zeichen neben Pfad 146 Authentifizieren Anwender 214 Gruppen 215 Authentifizierungsdaemon 211 B Befehls bersicht f r ESX Server 275 Bestimmung der Sicherheitsstufe der Firewall f r die Servicekonsole 241 bevorzugter Pfad 146 149 150 Blade Server Konfigurieren einer Protgruppe f r virtuelle Maschinen 77 Konfigurieren eines VMkernel Ports 78 und virtuelle Netzwerke 76 Blockieren von Ports in der Servicekonsolen Firewall 242 297 Server Configuration Guide C CIM und Firewall Ports 192 D DAS Firewall Port f r ESX Server 187 Datastores Anzeige im VI Client 93 Entfernen 139 Erstellung auf einer SCSI Festplatte 104 Erstellung auf Fibre Channel Ger ten 108 Erstellung auf hardware initiiertem ISCSI Speicher
154. dere Wartungsaufgaben in den virtuellen Maschinen durchf hren k nnen Tabelle 13 1 zeigt wie Sie die Komponenten gemeinsam nutzen und f r den ESX Server Host konfigurieren k nnen Tabelle 13 1 Gemeinsame Komponentennutzung f r die Ein Kunde Implementierung Funktion Konfiguration Anmerkungen Servicekonsole auf dem Nein Isolieren Sie die Servicekonsole sodass sie ber gleichen physischen ihr eigenes physisches Netzwerk verf gt Netzwerk wie die vir tuellen Maschinen Servicekonsole auf dem Nein Isolieren Sie die Servicekonsole sodass sie ber gleichen VLAN wie die ihr eigenes VLAN verf gt Virtuelle Maschinen virtuellen Maschinen oder andere Systemkomponenten wie z B VMotion sollten ein anderes VLAN verwenden Virtuelle Maschinen im Ja Die virtuellen Maschinen nutzen das gleiche gleichen physischen physische Netzwerk Netzwerk Gemeinsame Netzwerk Teilweise Isolieren Sie die Servicekonsole sodass sie ber adapternutzung ihren eigenen virtuellen Switch und virtuellen Netzwerkadapter verf gt Virtuelle Maschinen oder andere Systemkomponenten sollten einen anderen Switch oder Adapter verwenden Die virtuellen Maschinen k nnen sich jedoch einen virtuellen Switch oder Netzwerkadapter teilen Gemeinsame VMFS Ja Alle vmdk Dateien sollten sich auf der gleichen Nutzung VMFS Partition befinden Sicherheitsstufe Hoch Geben Sie Ports f r ben tigte Dienste wie z B FTP nach Bedarf frei Weitere Info
155. deren Hosts oder virtuellen Maschinen au er halb der Gruppe Die Auswahlm glichkeiten werden im Bereich Vorschau angezeigt 8 Klicken Sie auf Weiter Das Dialogfeld Verbindungseinstellungen wird angezeigt VMware Inc 31 Handbuch zur Server Konfiguration 32 9 10 Geben Sie unter Eigenschaften der Port Gruppe eine Netzwerkbezeichnung f r die zu erstellende Port Gruppe ein Assistent zum Hinzuf gen von Netzwerken Virtuelle Maschinen Netzwerkzugriff Verwenden Sie Netzwerkbezeichnungen um gemeinsame Verbindungen zu einem oder mehreren Hosts zu identifizieren die migrationskompsatibel sind Yerbrrdungztye Port Gruppen Eigenschaften Netzer kauf Verbindungseinstellungen Netzwerkbezeichnung Netzwerk der virtuellen Maschine 4 VLAN ID optional Port Gruppe der virtuellen Maschine Netzwerk der virtuellen Maschi amp Mit den Netzwerkbezeichnungen k nnen Sie migrationsf hige Verbindungen f r zwei oder mehr Hosts identifizieren Wenn Sie ein VLAN verwenden geben Sie im Feld VLAN ID eine Zahl zwischen 1 und 4094 ein Wenn Sie sich nicht sicher sind was hier eingegeben werden muss lassen Sie das Feld frei oder wenden Sie sich an Ihren Netzwerkadministrator Wenn Sie 0 eingeben oder das Feld leer lassen kann die Port Gruppe nur ungetag gten nicht VLAN Datenverkehr sehen Wenn Sie 4095 eingeben kann die Port Gruppe jeden Datenverkehr auf einem VLAN sehen und die VLAN Tags bleiben intakt
156. die N chste Die Segmen tierung verhindert mehrere Gefahren Zu diesen Gefahren geh rt auch die Mani pulation des Adressaufl sungsprotokolls ARP wobei der Angreifer die ARP Tabelle so manipuliert dass die MAC und IP Adressen neu zugeordnet werden wodurch der Zugriff auf den Netzwerkdatenverkehr vom und zum Host m glich ist Angreifer verwenden diese ARP Manipulierung f r Dienstblockaden DOS zur bernahme des Zielsystems und zur anderweitigen Beeintr chtigung des virtuellen Netzwerks Eine sorgf ltige Planung der Segmentierung senkt das Risiko von Paket bertra gungen zwischen virtuellen Maschinenzonen und somit Spionageangriffe die vor aussetzen dass dem Opfer Netzwerk Datenverkehr zugestellt wird So kann ein Angreifer auch keinen unsicheren Service in einer virtuellen Maschinenzone akt ivieren um auf andere virtuelle Maschinenzonen im Host zuzugreifen Gegen ver schiedene Sicherheitsrisiken Sie k nnen die Segmentierung mit einer der beiden Methoden herstellen von denen jede andere Vorteile bietet m Verwenden Sie getrennte physische Netzwerkadapter f r Zonen virtueller Maschinen damit die Zonen auch tats chlich voneinander getrennt sind Die Beibehaltung getrennter physischer Netzwerkadapter f r die virtuellen Ma schinenzonen stellt unter Umst nden die sicherste Methode dar und gleich zeitig ist sie am wenigsten anf llig f r Konfigurationsfehler nach dem An legen des ersten Segments m Einrichtung von virt
157. diese vor einer sp teren Fehlkonfiguration sch tzt Zus tzlich zur Einrichtung eines eigenen VLANs oder virtuellen Switches f r die Kommunikation der Management Tools mit der Servicekonsole sollten Sie ein eigenes VLAN oder einen eigenen virtuellen Switch f r VMotion und f r Netz werkspeicher einrichten HINWEIS Wenn Ihre Konfiguration ein iSCSI SAN umfasst das direkt durch den Host und nicht durch den Hardware Adapter konfiguriert wurde sollten Sie einen eigenen virtuellen Switch anlegen der eine gemeinsam genutzte Netzwerk Konnektivit t f r die Servicekonsole und f r iSCSI bietet Diese zweite Netz werkverbindung f r die Servicekonsole besteht zus tzlich zur prim ren Service konsolen Netzwerkverbindung die Sie f r die Kommunikation Ihrer Manage ment Tools verwenden Die zweite Servicekonsolen Netzwerkverbindung unterst tzt nur die iSCSI Aktivit ten und Sie sollten Sie nicht f r Manage ment Aktivit ten oder die Management Tool Kommunikation verwenden Schutz durch virtuelle Switches in VLANs Die virtuellen Switches von VMware sch tzen gegen bestimmte Gefahren von VLANs Durch den Aufbau der virtuellen Switches sch tzen sie VLANs gegen viele Arten von Angriffen die meist auf VLAN Hopping basieren Dieser Schutz garantiert jedoch nicht dass Ihre virtuellen Maschinen gegen andere Arten von Angriffen immun sind So sch tzen virtuelle Switches zum Beispiel nicht das physische Netzwerk vor diesen Angriffen sondern nur d
158. dnungsgem funktioniert LP Speicher bezeichnet jede Art von Speicher die auf TCP IP Netzwerkkommunikation beruht Dazu geh ren iSCSI und NAS f r ESX Server Da diese beiden Speichertypen netzwerkbasiert sind k nnen beide die gleiche Port Gruppe verwenden Die von VMkernel zur Verf gung gestellten Netzwerkdienste iSCSI NFS und VMotion verwenden einen TCP IP Stapel im VMkernel Dieser TCP IP Stapel ist vollst ndig getrennt von dem TCP IP Stapel der in der Servicekonsole verwendet wird Jeder dieser TCP IP Stapel greift durch die Anbindung mindestens eines vSwitches an mindestens eine Port Gruppe auf verschiedene Netzwerke zu VMware Inc 33 Handbuch zur Server Konfiguration TCPI IP Stapel auf Ebene der berwachung der virtuellen Der TCP IP Protokollstapel von VMware VMkernel wurde erweitert und kann jetzt iSCSI NFS und VMotion folgenderma sen verarbeiten iSCSI als Datastore f r virtuelle Maschinen iSCSI zur direkten Einbindung von ISO Dateien die von den virtuellen Maschinen als CD ROMs erkannt werden NES als Datastore f r virtuelle Maschinen NFS zur direkten Einbindung von ISO Dateien die von den virtuellen Maschinen als CD ROMs erkannt werden Migration mit VMotion HINWEIS ESX unterst tzt ber TCP IP nur NFS Version 3 34 Schlussfolgerungen und Richtlinien Beachten Sie sich bei der Konfiguration des VMkernel Netzwerks folgende Richtlinien Die IP Adresse die Sie der Servicekonsole
159. dware Prozessoren Arbertsspeicher Speicher SCSI SAN und NPS Vernetzung Stor age Adapter 10 voll Netzwerkadapter 100 voll Software Eigenschaften Lizenzierte Funktionen Netzwerkbezeichn Service Konsole DNS und Routing VLAN E Keine Virtuelle Maschine hoch herunterfahren Sicher it s charh ofi Promiscuous Modu Ablehnen SicherheRsprofi Mac Adressen nderun Ablehnen Zuweisung von Systemressourcen Gef lschte bertragu Ablehnen Erweiterte Einstellungen Traffic Shaping Durchschnittiche Ban NJA Spitzenbandbreite NjA Burstgr e NJA Failover und Lastausgleich Lastausgleich Port ID Netzwerkausfall Erkennung Nur verbindungsstat Notify Switches 3a Rolling Nein Aktive Adapter vmnici vmnicO Standby Adapter Nicht benutzte Adapte Port Gruppe der virtuellen Maschine Physische Japter 7 netzwerk der virtuellen Maschi 2 eU vmnco 10 voll Loen vmnici 100 voll Port Gruppe der virtuellen Maschins Netzwerk der virtuellen Maschi Port Gruppe der virtuellen Maschin a Service Konsole 2 2 Wenn Sie das Popup Fenster schliefsen m chten klicken Sie auf X Verwendung von DHCP f r die Servicekonsole In den meisten F llen sollten f r die Servicekonsole statische IP Adressen verwendet werden Wenn Ihr DNS Server in der Lage ist der dynamisch generierten IP Adresse den Hostnamen der Servicekonsole zuzuordnen k nnen Sie f r die Servicekonsole auch die dynamische IP Adressierung DHCP verwenden Wenn der DNS Server den Hostnamen nic
160. e vimuser oder der Dele gierte den Sie anlegen ber alle ESX Server Hosts identisch ist die den NFS Datastore verwenden Informationen zum Hinzuf gen von Anwendern erhalten Sie unter Verwaltung der Anwendertabelle auf Seite 222 Konfigurieren Sie einen Delegierten f r virtuelle Maschinen als Teil des Sicher heitsprofils f r den Host hinzu s u Konfigurieren Sie das Sicherheitsprofil ber VirtualCenter oder einen VI Client der direkt auf dem ESX Server Host ausgef hrt wird Diese Aufgabe wird sinn voller ber VirtualCenter ausgef hrt da Sie in einer Session jeden Host nach einander bearbeiten k nnen In diesem Fall handelt es sich bei den Benutzern die Zugriff auf die NFS Volumes haben um diejenigen die in der Windows Dom ne vertreten sind A WARNHINWEIS Die nderung des Delegierten f r einen ESX Server Host ist als experimentell zu verstehen demzufolge unterst tzt VMware diese Form der Implementierung derzeit nicht Die Verwendung dieser Funktion kann zu einem unerwarteten Verhalten f hren nderung des delegierten Anwenders f r virtuelle Maschinen 1 2 VMware Inc Melden Sie sich ber den ESX Server Host im VI Client an W hlen Sie den Server aus dem Inventar aus Die Hardware Konfiguration f r diesen Server wird mit der Registerkarte bersicht angezeigt Klicken Sie auf Wartungsmodus einschalten 235 Handbuch zur Server Konfiguration 4 Klicken Sie auf die Registerkarte un
161. e Option Diagnose aufgef hrt wird Wenn Diagnose nicht zu den Optionen z hlt verf gt ESX Server bereits ber eine Diagnosepartition m Konfiguration einer Diagnosepartition Klicken Sie auf Speicher gt Hinzuf gen gt Diagnose und folgen Sie den Anweisungen des Assistenten 276 VMware Inc Anhang A ESX Befehle zur technischen Unterst tzung Tabelle A 1 Befehle f r die technische Unterst tzung von ESX Server Fortsetzung Servicekonsolenbefehl esxcfg firewall Zweck des Befehls und VI Client Verfahren Konfiguriert die Ports der Servicekonsolen Firewall W hlen Sie zur Konfiguration der Firewall Ports f r unterst tzte Dienste und Assistenten im VI Client die Internet Dienste aus die auf den ESX Server Host zugreifen d rfen Klicken Sie auf Sicherheitsprofil gt Firewall gt Eigenschaften und f gen Sie ber das Dialogfeld Firewall Eigenschaften Dienste hinzu Weitere Informationen zum Hinzuf gen von Diensten und zur Konfiguration von Firewalls finden Sie unter Freigeben von Firewall Ports f r unterst tzte Dienste und Management Agenten auf Seite 192 Sie k nnen den VI Client nicht dazu verwenden nicht unterst tzte Dienste zu konfigurieren Verwenden Sie f r diese Dienste den esxcfg firewall Befehl wie in Konfiguration der Servicekonsolen Firewall auf Seite 240 beschrieben esxcfg info Druckt Informationen zum Status der Servicekonsole des VMkernels verschiedener Untersysteme im virt
162. e Vorteile aber sollte nicht in jeder Situation verwendet werden In der Regel sind virtuelle Festplattendateien aufgrund ihrer Verwaltungs und War tungsfreundlichkeit dem RDM vorzuziehen Wenn Sie jedoch Raw Devices ben tigen m ssen Sie eine RDM Zuordnungsdatei verwenden In der folgenden Liste sind die Vorteile von RDM zusammengefasst m Benutzerfreundliche dauerhafte Namen RDM erm glicht benutzerfreundliche Namen f r zugeordnete Ger te Wenn Sie eine RDM Zuordnung verwenden m ssen Sie nicht den Ger tenamen des Ger ts verwenden Sie verwenden stattdessen den Namen der Zuordnungsdatei zum Beispiel vmfs volumes myVolume myVMDirectory myRawDisk vmdk m Dynamische Namensaufl sung RDM speichert eindeutige Identifikationsdaten f r jedes zugeordnete Ger t Das VMFS Dateisystem ordnet jede RDM Zu ordnung unabh ngig von nderungen der physischen Konfiguration des Servers durch Adapter Hardware nderungen Verzeichniswechsel Ger teverschie bungen usw Ihrem gegenw rtigen SCSI Ger t zu VMware Inc 153 Handbuch zur Server Konfiguration 154 Verteilte Dateisperrung Die RDM Zuordnung erm glicht die Verwendung einer verteilten VMFS Sperrung f r Raw SCSI Ger te Die verteilte Sperrung auf einer RDM Zuordnung erm glicht die Verwendung einer freigegebenen Raw LUN ohne Datenverlustrisiko wenn zwei virtuelle Maschinen auf verschiedenen Servern versuchen auf die gleiche LUN zuzugreifen Dateizugriffsberechtigunge
163. e der Datastore symm 07 aus der Liste der verf gbaren Datastores ausgew hlt Die Detailansicht zeigt Informationen zum ausgew hlten Datastore an Konfigurierte Datastores Datastore Details bersicht Virtuelle Maschinen RessourcenZuweisung Performance Konfiguration Aufgaben Ereignisse Alarmmeldungen Berechtigungen Hardware Speicher Aktualisieren Entfernen Speicher hinzuf gen Prozessoren IdenXfikation Ger t Kapazit t Frei Typ Abakissakfar E vStemplatei vmhba0 0 0 6 675 60 1968 vmfs3 Speicher SCSI SAN und NFS E symm vmfs2 04 vmhbal 2 29 1 299 98 GB 299 98 GB vmfs2 EB symm 11 vmhbal 2 26 1 599 50 GB 528 93 GB vmfs3 SR EB datastore_san vmhba1 0 34 1 3 75 GB 3 13 GB vmfs3 Storage Adapter EB symm 04 vmhba1 2 10 1 599 50 GB 304 50 GB vmfs3 Netzwerkadapter Software Details Eigenschaften Funkti Lizenzierte Funktionen v3templatei 60 7568 Kapazk t DNS und Routing Installationsort vmfs volumes 43cdb525 7 h Virtuelle Maschine hoch herunterfahren 575 09 MB M Verwendet 1P F Sicherheitsprofil 60 1368 E Frei Zuweisung von Systemressourcen Eigenschaften Erweiterungen Erweiterte Einstellungen Volume Bezeichnert v templatei vmhb3a0 0 0 6 60 82 GB Datastore Name v3templatei Formatierte Gesamtkapazit t 60 75 GB Formatierung l uft Dateisystem YMFS 3 17 Blockgr e 1MB Abbildung 5 2 Informationen zu Datastores Sie k nnen alle bestehenden Datastores bearbeiten und versc
164. e der Eigenschaften des iSCSI Software Initiators Der Software iSCSI Adapter den das ESX Server System verwendet um auf software initiierte iSCSI Speicherger te zuzugreifen wird in der Liste der verf gbaren Adapter angezeigt Sie k nnen seine Eigenschaften mit dem VI Client anzeigen Anzeige der Eigenschaften des iSCSI Software Initiators 1 122 Melden Sie sich am VMware VI Client an und w hlen Sie einen Server aus dem Inventar aus Klicken Sie auf die Registerkarte Konfiguration und klicken Sie unter Hardware auf Speicheradapter Ein Verzeichnis der verf gbaren Speicheradapter wird angezeigt VMware Inc VMware Inc Kapitel 6 Speicherkonfiguration W hlen Sie den entsprechenden Software Initiator unter iSCSI Software Adapter iSCSI Software Adapter aus Es werden die Details zu diesem Initiator angezeigt u a das Modell die IP Adresse der iSCSI Name die Zielerkennung das iSCSI Alias und erkannte Ziele Neu scannen Storage Adapter Ger t iSCSI Software Adapter vmhbad Scsi ign 1998 01 com vmware 53c1030 PCI X Fusion MPT Dual Ultra320 SCSI vmhbag A Details vrnhbado Eigenschaften nn 1 Modell iSCSI Software Adapter IP Adresse 15C5I Name lan 1998 01 c0m emare ese alde Erkennungsmethad Targets versenden 5 5I Alas esx Ziele 0 123 Handbuch zur Server Konfiguration 124 4 Klicken Sie auf Eigenschaften Das Dialogfeld iSCSI Initiator Eigenschaften wird
165. e w hrend der Installation angegeben wurden werden automatisch ausgef llt Auf der Registerkarte Routing ben tigen die Servicekonsole und das VMkernel jeweils eigene Gateway Angaben Eine Gateway ist zur Anbindung an Computer notwendig die sich nicht im gleichen IP Subnetz wie die Servicekonsole oder das VMkernel befinden Standardm ig ist Statische IP eingestellt Klicken Sie auf OK um die nderungen zu speichern und das Dialogfeld DNS Konfiguration und Routing zu schlie en Klicken Sie auf Weiter Wenn Sie nderungen vornehmen m chten verwenden Sie die Schaltfl che Zur ck berpr fen Sie die nderungen im Dialogfeld Fertig stellen und klicken Sie auf Fertig stellen Konfiguration der Servicekonsole Sowohl die Servicekonsole als auch das VMkernel verwenden virtuelle Ethernet Adapter zur Anbindung an einen vSwitch und zum Zugriff auf Netzwerke ber diesen vSwitch Grundlegende Konfigurationsaufgaben f r die Servicekonsole Es gibt zwei h ufig auftretende Konfigurations nderungen f r die Servicekonsole Die nderung von Netzwerkkarten NICs und die nderung von Einstellungen f r eine bestehende sich in Verwendung befindende Netzwerkkarte Eine nderung der Servicekonsolenkonfiguration ist nicht zul ssig wenn nur ein Servicekonsolenanschluss vorhanden ist Wenn Sie eine neue Verbindung herstellen m chten m ssen Sie die Netzwerkeinstellungen so ndern dass eine weitere Netz werkkarte verwe
166. e won virtuellen Maschinen unterstitzt wird H Festplatte LM Ger testandsrt Maximale Osteigr e Grobe Dateien erfordern eine gro e Blackgr e der Mindestspeicherplatz der von einer Datei belegt wird entspricht der Dateisystem Blockgr e Diese Werte werden von VMFS 3 Dsteisystemen bei Bedarf angepasst 255 Biockgr e 1m8 Kapazit t M Kapazit t madmieren F 7 GE i gt Hilfe lt Zw ck Abbrechen 2 Passen Sie bei Bedarf das Dateisystem und die Gr sen an Standardm ig wird der gesamte freie Speicherplatz des Speicherger tes angeboten Klicken Sie auf Weiter Das Dialogfeld Fertig zur Weiterbearbeitung wird angezeigt berpr fen Sie die Konfigurationsdaten f r den Datastore und klicken Sie auf Fertig stellen Durch diesen Prozess wird ein Datastore auf einer lokalen SCSI Festplatte auf Ihrem ESX Server Host erstellt Fibre Channel Speicher ESX Server unterst tzt Fibre Channel Adapter ber die ein ESX Server System an ein SAN angebunden werden kann und das somit in der Lage ist die Festplatten Arrays im SAN zu erkennen 106 VMware Inc Kapitel 6 Speicherkonfiguration Die Abbildung Abbildung 6 2 zeigt virtuelle Maschinen die einen Fibre Channel Speicher verwenden ESX Server Virtuelle Maschine Fibre Channel HBA VMFS Fibre Channel Array Abbildung 6 2 Fibre Channel Speicher In dieser Konfiguration ist das ESX Server System mithilfe
167. eben Da pam _cracklib so nur Kennw rter mit mindestens 6 Zeichen annimmt muss der Mindest l nge Parameter so berechnet werden dass die Kennwortl nge nach Abzug der Zeichenboni nicht kleiner als 6 sein kann m KB Bonus ist die Anzahl von Zeichen um die der Parameter Mindestl nge verringert wird wenn im Kennwort mindestens ein Kleinbuchstabe enthalten ist m GB Bonus ist die Anzahl von Zeichen um die der Parameter Mindestl nge verringert wird wenn im Kennwort mindestens ein Gro buchstabe enthalten ist m Z Bonus ist die Anzahl von Zeichen um die der Parameter Mindestl nge verringert wird wenn im Kennwort mindestens eine Ziffer enthalten ist m AZ Bonus ist die Anzahl der Zeichen um die der Parameter Mindestl nge verringert wird wenn der Anwender mindestens ein Sonderzeichen wie z B einen Unterstrich oder einen Bindestrich verwendet Geben Sie die Zeichenbonus Parameter als positive Zahl oder wenn der Anwender keinen Bonus f r diese Zeichenklasse erhalten soll als 0 an Die Zeichenboni werden addiert Je mehr verschiedene Zeichenarten der Anwender eingibt desto weniger Zeichen sind notwendig um ein g ltiges Kennwort zu erstellen Beispiel esxcfg auth usecrack 3 11 1 1 1 2 Mit dieser Einstellung ben tigt ein Anwender der ein Kennwort aus Kleinbuchstaben und einem Unterstrich erstellt acht Zeichen um ein g ltiges Kennwort zu erstellen Wenn der Anwender hingegen alle Zeichenarten Kleinbuchstaben Gro buch
168. echs Byte Jedem Hersteller von Netzwerkadaptern wird ein eindeutiges drei Byte gro es Pr fix zugewiesen das OUI Organizationally Unique Identifier eindeutiger Bezeichner f r Organisationen genannt wird und das der Hersteller zur Generierung von eindeutigen MAC Adressen verwenden kann VMware verf gt ber drei OUlIs m OUI f r generierte MAC Adressen m OUI f r manuell festgelegte MAC Adtressen m OUI f r ltere virtuelle Maschinen dieser OUI wird jedoch bei ESX Server 3 0 nicht mehr verwendet Die ersten drei Byte der MAC Adresse die f r jeden virtuellen Netzwerkadapter gene riert werden haben diesen Wert Der Generierungsalgorithmus f r MAC Adressen erstellt drei weitere Byte Der Algorithmus garantiert eindeutige MAC Adressen in einer Maschine und versucht eindeutige MAC Adressen f r mehrere Maschinen zu erstellen Die Netzwerkadapter f r jede virtuelle Maschine im gleichen Subnetz sollten eindeu tige MAC Adressen haben Im anderen Fall k nnen sie sich unvorhersehbar verhalten Der Algorithmus beschr nkt jederzeit auf allen Servern die Anzahl der laufenden und angehaltenen virtuellen Maschinen Er kann auch nicht alle F lle von gleichen MAC Adressen vermeiden wenn sich virtuelle Maschinen auf unterschiedlichen physischen Computern ein Subnetz teilen Der VMware UUID Universally Unique Identifier universaler eindeutiger Bezeichner generiert MAC Adressen die dann auf Konflikte gepr ft werden Die generierten
169. edes Pakets ausgew hlt Bei Paketen ohne IP wird zur Berechnung des Hashs der Wert verwendet der im Offset eingetragen ist VMware Inc HINWEIS VMware Inc Kapitel 3 Erweiterte Netzwerkeigenschaften m Anhand des MAC Hashs routen Der Uplink wird anhand des Hashs des Ursprungs Ethernets ausgew hlt m FExplizite Failover Reihenfolge verwenden Es wird immer der Uplink ausgew hlt der im Verzeichnis der aktiven Adapter am weitesten oben steht und die Failover Erkennungskriterien erf llt Netzwerk Failover Erkennung Geben Sie die Verfahrensweise zur Ver wendung der Failover Erkennung an m Nur Verbindungsstatus Verl sst sich ausschlie lich auf den vom Netz werkadapter gemeldeten Verbindungsstatus Hierdurch werden Ausf lle wie nicht angeschlossene Kabel oder Betriebsausf lle des physischen Switches erkannt nichtjedoch Konfigurationsfehler wie z B Blockierung eines Ports des physischen Switches durch Spanning Tree Zuweisung zum falschen VLAN oder nicht angeschlossene Kabel auf der anderen Seite des physischen Switches m Signalpr fung Sendet Signale und sucht nach Signalen auf allen NICs im Team und verwendet diese Informationen zus tzlich zum Verbin dungsstatus um einen Verbindungsausfall zu erkennen Dadurch k n nen viele der oben genannten Ausf lle erkannt werden die durch den Verbindungsstatus allein nicht erkannt werden k nnen Notify Switch W hlen Sie Ja oder Nein um Failover an die Switche
170. ehenden Ger te entfernt Wenn Sie alle Adapter scannen m chten verwenden Sie folgenden Befehl esxcfg rescan Sie k nnen die Ergebnisse des Scans mit ls vmfs devices disks anzeigen Beispiel vmkfstools s vmhbal Dieses Beispiel zeigt den Scan des Adapters vmhba1 mit dem bestimmt wird ob neue Ziele oder LUNs hinzugef gt wurden Dieser Befehl stellt auch fest wenn Ziele oder LUNs entfernt wurden Verwaltung der SCSI Reservierungen von LUN L lock reserve release lunreset targetreset busreset lt Ger t gt Mit dieser Option k nnen Sie eine SCSI LUN f r die ausschlie liche Verwendung durch einen ESX Server Host reservieren eine Reservierung aufheben sodass andere Hosts auf die LUN zugreifen k nnen und eine Reservierung zur cksetzen wodurch alle Reservierungen eines Ziels aufgehoben werden VORSICHT Eine Verwendung der Option Lkann den Betrieb der anderen Server auf dem Storage Area Network SAN beeintr chtigen Verwenden Sie die Option Lnur zur Fehlerbehebung beim Clustering Set up Verwenden Sie diese Option nie auf eine LUN mit einem VMFS Volume es sei denn VMware empfiehlt Ihnen ausdr cklich etwas Anderes VMware Inc Anhang B Verwendung von vmkfstools Sie k nnen die Option L auf verschiedene Arten anwenden m L reserve Reserviert die angegebene LUN Nach der Reservierung kann nur der Server der diese LUN reserviert hatte darauf zugreifen Wenn andere Server versuchen auf diese LUN zuzugr
171. eifen erhalten Sie einen Reservierungstehler m L release Hebt die Reservierung der angegebenen LUN auf Alle anderen Server k nnen wieder auf die LUN zugreifen m L lunreset Setzt die angegebene LUN zur ck indem jede Reservierung der LUN zur ckgesetzt und die LUN den anderen Servern wieder zur Verf gung gestellt wird Dies beeinflusst die anderen LUNs auf dem Ger t nicht Wenn eine andere LUN auf dem Ger t reserviert wurde bleibt sie reserviert m L targetreset Setzt das gesamte Target zur ck Dadurch werden die Reser vierungen f r alle LUNs die dem Ziel zugeordnet sind aufgehoben die ent sprechenden LUNs stehen wieder f r alle Server zur Verf gung m L busreset Setzt alle zug nglichen Targets auf dem Bus zur ck Dadurch werden die Reservierungen f r alle LUNs auf die durch den Bus zugegriffen werden kann aufgehoben und die entsprechenden LUNs stehen wieder f r alle Server zur Verf gung Verwenden Sie f r den Parameter lt Ger t gt folgendes Format vmfs devices disks vmhbaA T L P Weitere Informationen finden Sie unter vmkfstools Befehlssyntax auf Seite 282 Beispiele f r die Verwendung von vmkfstools In diesem Abschnitt finden Sie Beispiele f r die Verwendung des Befehls vmkfstools mit den oben beschriebenen Optionen In diesem Abschnitt sind folgende Themen enthalten m Anlegen eines neuen VMFS 3 Dateisystems auf Seite 295 m Hinzuf gen einer Partition zu einem VMFS 3 Datei
172. eines Fibre Channel Adapters mit einem SAN Fabric verbunden das aus Fibre Channel Switches und Speicher Arrays besteht LUNs des Speicher Arrays k nnen nun vom ESX Server System verwendet werden Sie k nnen auf die LUNs zugreifen und einen Datastore erstellen der f r die Speicheranforderungen von ESX Server verwendet werden kann Der Datastore ver wendet das VMFS Format Informationen ber das Konfigurieren des Fibre Channel Speichers finden Sie unter Hinzuf gen von Fibre Channel Speicher auf Seite 108 In den folgenden Dokumenten erhalten Sie zus tzliche Informationen m Informationen ber die Konfiguration von SANs finden Sie im Handbuch zur SAN Konfiguration m Informationen ber unterst tzte SAN Speicher Device f r ESX Server finden Sie im Handbuch der SAN Kompatibilit t m Informationen ber Multipathing f r Fibre Channel HBAs und die Verwaltung dieser Pfade finden Sie unter Verwalten von Pfaden f r Fibre Channel und iSCSI auf Seite 143 VMware Inc 107 Handbuch zur Server Konfiguration 108 Hinzuf gen von Fibre Channel Speicher Scannen Sie den Fibre Channel Adapter vor der Erstellung eines neuen Datastores um neu hinzugef gte LUNs zu erkennen Weitere Informationen finden Sie unter Neu scannen auf Seite 131 Wenn Sie einen Datastore auf einem Fibre Channel Speicher Device erstellen f hrt Sie der Assistent zum Hinzuf gen von Speicher durch die Konfiguration Erstellung eines Datas
173. eiterhin aktiviert bleibt muss Die folgenden CHAP Anmeldedaten verwenden aktiviert sein Um einen neuen CHAP Namen zu verwenden deaktivieren Sie das Kontroll k stchen Initiatornamen verwenden und geben Sie einen anderen Namen ein Geben Sie bei Bedarf einen CHAP Schl ssel an Alle neuen Ziele werden diesen CHAP Schl ssel verwenden um den Initiator zu authentifizieren Bereits bestehende Sitzungen sind davon nicht betroffen Klicken Sie auf OK um Ihre nderungen zu speichern HINWEIS Wenn Sie CHAP deaktivieren werden alle Sitzungen die eine CHAP Authentifizierung erfordern sofort beendet Hinzuf gen von software initiiertem iSCSI Speicher Wenn Sie einen Datastore auf einem Software initiierten SCSI Speicher Device erstellen f hrt Sie der Assistent zum Hinzuf gen von Speicher durch die Konfiguration Erstellung eines Datastores auf einem software initiierten iSCSI Ger t 1 VMware Inc Melden Sie sich am VMware VI Client an und w hlen Sie einen Server aus dem Inventar aus Klicken Sie auf die Registerkarte Konfiguration und klicken Sie unter Hardware auf Speicher SCSI SAN und NES Klicken Sie auf Speicher hinzuf gen Das Dialogfeld Speichertyp ausw hlen wird angezeigt 129 Handbuch zur Server Konfiguration 130 Markieren Sie den Speichertyp Disk LUN Festplatte LUN und klicken Sie auf Weiter Das Dialogfeld Disk LUN Festplatte LUN wird angezeigt Gpreicher hinzuf gen Festnlatte
174. eitsstufe der Servicekonsolen Firewall beeinflusst bestehen de Verbindungen nicht Wenn die Firewall zum Beispiel auf niedriger Sicherheitsstufe ausgef hrt wird und ein Backup auf einem Port ausgef hrt wird den Sie nicht aus dr cklich freigegeben haben beendet eine Erh hung der Sicherheitsstufe auf Hoch das Backup nicht Weil die Firewall so konfiguriert ist dass die Pakete f r zuvor herge stellte Verbindungen durchgelassen werden wird das Backup abgeschlossen und die neue Verbindung freigegeben Anschlie end werden f r diesen Port keine weiteren Verbindungen akzeptiert Freigeben und Blockieren von Ports in der Servicekonsolen Firewall A 242 Wenn Sie Ger te Dienste oder Agenten von Drittanbietern installieren k nnen Sie Ports in der Servicekonsolen Firewall freigeben Bevor Sie Ports f r das Ger t oder den Dienst freigeben konsultieren Sie die Herstellerspezifikationen um zu bestimmen welche Ports freigegeben werden m ssen Wenn Sie einen Port blockieren werden aktive Sitzungen des Dienstes der den Port verwendet nicht automatisch getrennt wenn Sie den Port blockieren Wenn Sie zum Beispiel ein Backup durchf hren und Sie den Port f r den Backup Agenten schlie en wird das Backup fortgesetzt bis es vollst ndig ist und der Agent die Verbindung freigibt Verwenden Sie die folgenden Vorg nge nur wenn Sie Ports f r Dienste oder Agenten freigeben oder blockieren die nicht ber den VI Client konfiguriert w
175. eitstellung der Unternehmenswebsite und anderer web basierter Anwen dungen f r externe Nutzer verwendet werden Das interne Netzwerk 1 ist der Ver bindungskanal den die Marketingabteilung zur Ver ffentlichung von Webseiten auf der Unternehmenswebsite zur Bereitstellung von Downloads und Diensten wie Anwenderforen verwendet 177 Handbuch zur Server Konfiguration 178 Da diese Netzwerke vom externen Netzwerk 1 und vom internen Netzwerk 2 getrennt sind und die virtuellen Maschinen keine gemeinsamen Kontaktpunkte Switches oder Adapter aufweisen besteht kein Angriffsrisiko f r den FTP Server oder die Gruppe interner virtueller Maschinen weder als Ausgangspunkt noch als Ziel Ein Beispiel f r die Konfiguration einer DMZ unter Verwendung von virtuellen Maschinen finden Sie unter Beispiel Erstellung einer Netzwerk DMZ auf einem ESX Server Host auf Seite 173 Wenn die Isolierung der virtuellen Maschinen genau beachtet wird die virtuellen Switches richtig konfiguriert werden und die Netzwerktrennung eingehalten wird k nnen alle drei Zonen virtueller Maschinen auf dem gleichen ESX Server Host unter gebracht werden ohne dass Datenverluste oder Ressourcenangriffe bef rchtet werden m ssen Das Unternehmen erzwingt die Isolierung der VM Gruppen durch die Verwendung mehrerer interner und externer Netzwerke und die Sicherstellung dass die virtuellen Switches und physischen Netzwerkadapter jeder Gruppe von denen anderer Gruppen vo
176. elle Festplatten Layout die Sie f r die Erweiterung verwenden m chten um sicherzustellen dass die Festplatte keine wichtigen Daten enth lt HINWEIS Wenn die Festplatte oder Partition die Sie hinzuf gen m chten vorher forma tiert gewesen war wird sie neu formatiert wodurch alle Dateisysteme und die darin enthaltenen Daten verloren gehen 142 VMware Inc Kapitel 7 Speicherverwaltung 7 Klicken Sie auf Weiter Die Seite Erweiterungsgr e wird angezeigt fa Erweiterung hinzuf gen n a Erweiterungsgr e Geben Se an wie viel Kapazit t der neuen Erweiterung zugewiesen werden soll Ger t erweitern Art ehe Fesipistten aiit Erweiterungsgr fbe Kapanitat M Kapazit t madmieren E 33 GE Hilfe lt Zur ck _wete gt Abbrechen E 8 Geben Sie die Kapazit t der Erweiterung an Standardm ig wird der gesamte freie Speicherplatz des Speicherger tes angeboten 9 Klicken Sie auf Weiter Das Dialogfeld Fertig stellen wird angezeigt 10 berpr fen Sie das vorgeschlagene Layout der Erweiterung und die neue Konfi guration des Datastores und klicken Sie dann auf Fertig stellen Verwalten von Pfaden f r Fibre Channel und iSCSI ESX Server unterst tzt Multipathing um eine dauerhafte Verbindung zwischen der Server Maschine und dem Speicher Device f r den Fall eines Ausfalls eines HBAs eines Switches eines Speicherprozessors SP oder eines Kabels aufrecht zu erhalten Bei Multipat
177. elle Maschinen hochzufahren nicht jedoch sie zu erstellen Die Kombination aus Anwendername Kennwort und Zugriffsberechtigungen wird von VirtualCenter und ESX Server Hosts dazu verwendet Anwender f r den Zugriff zu authentifizieren und sie zur Ausf hrung bestimmter T tigkeiten zu autorisieren Dazu unterhalten VirtualCenter und der ESX Server Host Verzeichnisse autorisierter Anwen der mit ihren Kennw rtern und den ihnen zugewiesenen Zugriffsberechtigungen VirtualCenter und ESX Server Hosts verweigern den Zugriff unter folgenden Umst nden m Ein Anwender der nicht im Anwenderverzeichnis aufgef hrt wird versucht sich anzumelden m Ein Anwender gibt ein falsches Kennwort ein m Ein Anwender ist im Verzeichnis aufgef hrt ihm wurden jedoch keine Zugriffs berechtigungen zugewiesen m Ein Anwender der sich erfolgreich angemeldet hat versucht Vorg nge auszu f hren f r die er keine Berechtigung besitzt Zur Verwaltung von ESX Server Hosts und VirtualCenter geh rt auch die Entwicklung von Anwender und Berechtigungsmodellen d h Grundpl nen zur Behandlung be stimmter Anwenderarten und zur Zuweisung der Zugriffsberechtigungen Beachten Sie bei der Entwicklung von Anwender und Berechtigungsmodellen Folgendes m ESX Server und VirtualCenter verwenden Privilegiengruppen sog Rollen um zu steuern welche Vorg nge bestimmte Anwender oder Gruppen ausf hren d rfen VMware Inc 213 Handbuch zur Server Konfiguration 21
178. ellen Maschinen in einer sicheren Umgebung betrieben werden Virtuelle Switches bieten einen hohen Grad an Sicherheit wenn sie in Verbindung mit anderen blichen Sicherheitsma snahmen wie z B Firewalls verwendet werden ESX Server unter st tzt auch VLANs nach IEEE 802 1q die zum weiteren Schutz des Netzwerkes der virtu ellen Maschinen der Servicekonsole oder der Speicherkonfiguration verwendet werden k nnen Mit VLANs k nnen Sie ein physisches Netzwerk in Segmente aufteilen sodass zwei Computer im gleichen physischen Netzwerk nur dann Pakete untereinander ver senden k nnen wenn sie sich im gleichen VLAN befinden In den folgenden Beispielen wird ein Eindruck davon vermittelt wie Sie virtuelle Switches dazu verwenden k nnen um Sicherheitsma nahmen wie DMZs zu im plementieren und virtuelle Maschinen in verschiedenen Netzwerken auf dem gleichen ESX Server Host zu konfigurieren HINWEIS Eine eingehende Abhandlung dar ber wie virtuelle Switches und VLANs zum Schutz des Netzwerks der virtuellen Maschinen beitragen k nnen sowie Sicherheits empfehlungen f r Netzwerke virtueller Maschinen finden Sie unter Absicherung virtueller Maschinen durch VLANs auf Seite 194 Beispiel Erstellung einer Netzwerk DMZ auf einem ESX Server Host Ein Beispiel f r die Anwendung der ESX Server Isolierung und von virtuellen Netz werkfunktionen zur Umgebungsabsicherung ist die Einrichtung einer entmilitari sierten Zone DMZ auf einem einzigen
179. em zu verhindern kann die F higkeit von VMware Tools beschr nkt werden willk rlich setinfo Meldungen an den ESX Server Host zu schicken HINWEIS VMware Tools sendet auch andere Meldungen aber diese verf gen ber festgelegte Formate und sind daher nicht so gut f r DOS Angriffe geeignet Verhinderung willk rlicher Meldungen von Prozessen des Gast Betriebssystems an den Host 1 Melden Sie sich am VI Client an und w hlen Sie die virtuelle Maschine aus dem Inventar aus Die Konfiguration f r diese virtuelle Maschine wird mit der Registerkarte bersicht angezeigt 2 Klicken Sie auf Einstellungen bearbeiten 3 Klicken Sie auf Optionen gt Erweitert gt Konfigurationsparameter Das Dialogfeld Konfigurationsparameter wird ge ffnet VMware Inc Kapitel 13 Sichere Implementierungen und Sicherheits empfehlungen 4 Klicken Sie auf die Schaltfl che Hinzuf gen und geben Sie Folgendes ein m Namenfeld isolation tools setinfo disable m Wertfeld TRUE Das Ergebnis sieht folgenderma en aus 1H Konfigurationsparameter ndern Sie Konfigurationsparameter oder f gen Sie sie f r experimentelle Funktionen bzw gem den Anweisungen des technischen Supports hinzu Eintr ge k nnen nicht entfernt werden Mare r Wert sched mem max unlimited sched swap derived ame rs rolumes esfafsdl ed4dfsbalNew virtual Machine New virtual Machine scsil 0 redo true vmware tools installstate none vmware tools lastI
180. en HINWEIS Sie k nnen auch ber eine direkte Verbindung mit dem ESX Server Host Rollen 220 erstellen und Zugriffsberechtigungen einrichten Da diese Aufgaben in VirtualCenter in gr erem Umfang und h ufiger durchgef hrt werden finden Sie n here Infor mationen zum Umgang mit Zugriffsberechtigungen und Rollen in der Einf hrung in die virtuelle Infrastruktur Anzeige und Export von Anwender und Gruppeninformationen Anwender und Gruppen werden ber die Registerkarte Anwender und Gruppen im VI Client verwaltet Diese Registerkarte zeigt die Tabelle Anwender oder die Tabelle Gruppenan je nachdem ob Sie auf die Schaltfl che Anwender oder Gruppen klicken Abbildung 11 2 zeigt die Tabelle Anwender an Die Tabelle Gruppen sieht hnlich aus YPrlware ESX Server 3 0 1 30215 bersicht Wirtwelle Maschinen RessoucenZumeisung Performance Kanliguration Berndzer Gruppen 4 Ansicht Benutzer Gruppen UND Benutzer Name 11 operator operator root ragt 4 lp ip 3 adm ade shukdenan shutdown 32 FR Portmapper RPU user 10 UUCH uuop FF prap 37 r 93 nobody Mobody 13 gopher gopher 3 es Fe 74 sshd Priviege separated 55H 12 vimuser vimse I zyme Syme 500 vpau r Y lware Yirkuallenber administration account 7 halt halt 501 zee amp mail mail 53 YESA virbual console memory owner zZ daemon daemon Abbildung 11 2 Anwendertabelle Sie k nnen die Verzeichnisse nach Spalten sor
181. en die als virtuelle CD ROM Laufwerke verwendet werden sollen Netzwerk Tipps Beachten Sie auch die folgenden Netzwerkhinweise m Netzwerkdienste k nnen am einfachsten physisch getrennt und eine bestimmte Gruppe von NICs einem bestimmten Netzwerkdienst zugewiesen werden indem ein vSwitch f r jeden Dienst erstellt wird Wenn das nicht m glich ist k nnen die Dienste auf einem vSwitch voneinander getrennt werden indem sie an Port Gruppen mit unterschiedlichen VLAN IDs angeschlossen werden In jeden Fall sollte der Netzwerkadministrator berpr fen dass die gew hlten Netzwerke oder VLANs vom Rest der Umgebung isoliert sind d h dass keine Router daran ange schlossen sind m Sie k nnen NICs zum vSwitch hinzuf gen oder davon entfernen ohne dass die virtuellen Maschinen oder die Netzwerkdienste hinter diesem vSwitch beeinflusst werden Wenn Sie die gesamte Hardware entfernen k nnen die virtuellen Maschinen immer noch untereinander kommunizieren als w rden sie ins Netz und wieder zur ck gehen Wenn eine NIC verblieben ist k nnen alle virtuellen Maschinen noch auf das physische Netzwerk zugreifen m Verwenden Sie Port Gruppen mit verschiedenen aktiven Adaptergruppen in der Teaming Policy um virtuelle Maschinen in Gruppen einzuteilen Diese Gruppen k nnen unterschiedliche Adapter verwenden wenn alle Adapter funktionsf hig sind Im Fall eines Netzwerk oder Hardware Ausfalls teilen sie sich die Adapter jedoch wieder m Insta
182. en die an diesen Adapter angeschlossen sind auf das richtige Ethernet Segment zugreifen k nnen Wenn unter Neuen virtuellen Switch erstellen keine Adapter angezeigt werden bedeutet dies dass alle Netzwerkadapter im System von vorhandenen vSwitches verwendet werden Sie k nnen entweder einen neuen vSwitch ohne Netzwerkadapter erstellen oder einen Netzwerkadapter ausw hlen der von einem bereits vorhandenen vSwitch verwendet wird Weiter Informationen zum Bewegen von Netzwerkadaptern zwischen vSwitches finden Sie unter Hinzuf gen von Uplink Adaptern auf Seite 50 VMware Inc 35 Handbuch zur Server Konfiguration 36 Klicken Sie auf Weiter Das Dialogfeld Verbindungseinstellungen wird angezeigt W hlen Sie eine Netzwerkbezeichnung und eine VLAN ID unter Eigenschaften der Port Gruppe aus bzw geben Sie diese ein Netzwerkbezeichnung Ein Name der die Port Gruppe bezeichnet die er stellt wird Es handelt sich dabei um die Bezeichnung die Sie bei der Konfi guration von VMkernel Diensten wie VMotion und IP Speicher w hrend der Konfiguration des virtuellen Adapters der an diese Port Gruppe ange schlossen wird festlegen VLAN ID Bezeichnet das VLAN das f r den Netzwerkdatenverkehr der Port Gruppe verwendet wird Aktivieren Sie das Kontrollk stchen Diese Port Gruppe f r VMotion verwenden damit diese Port Gruppe anderen ESX Servern melden kann dass sie die Netz werkverbindung ist an die VMotion Datenverkehr g
183. en Host verwalten Verbindungstyp Port Gruppen Eigenschaften Netzwerkzugriff Yerbindungseinstellungen Netzwerkbezeichnung Service Konsole 2 VLAN ID optional C 1P Einstellungen automatisch abrufen Die folgenden IP Einstellungen IP Adresse 0 0 0 0 Subnetz Maske e 0 0 d4 Standard Gatemay f r Service Konsole 10 17 95 253 Bearbeiten Vorschau Serwice Konsolen Port p Service Konsole 2 vswifO 192 168 2 119 Neuere Ports und Port Gruppen werden im vSwitch Diagramm oben angezeigt 75 Handbuch zur Server Konfiguration 7 Geben Sie die IP Adresse und die Subnetzmaske ein oder aktivieren Sie die DHCP Option IP Einstellung automatisch beziehen f r die IP Adresse und die Subnetzmaske 8 Klicken Sie auf die Schaltfl che Bearbeiten um die Standard Gateway der Servicekonsole einzustellen Siehe Einstellung der Standard Gateway auf Seite 41 9 Klicken Sie auf Weiter Das Dialogfeld Fertig stellen wird angezeigt Assistent zum Hinzuf gen von Netzwerken of x Fertig zur Weiterbearbeitung Pr fen Sie ob alle neuen und ge nderten virtuellen Switches richtig konfiguriert sind Die Host Vernetzung umfasst die Folgenden neuen und ge nderten vSwitches Vorschau Service Konsole webAccess2 z lt Zur ck _Eertig stelen Abbrechen 10 berpr fen Sie die Konfiguration des vSwitches noch einmal und klicken Sie dann auf Fertig stellen Nac
184. en Sie einen normalen Netz werkadapter verwenden um das ESX Server System an ein entferntes iSCSI Ziel im IP Netzwerk anzubinden Der in das VMkernel integrierte Software iSCSI Initiator von ESX Server erm glicht diese Verbindung indem er ber den Protokollstapel mit dem Netzwerkadapter kommuniziert VMware Inc 121 Handbuch zur Server Konfiguration Vor der Konfiguration des software basierten iSCSI Speichers muss die Netzwerkver bindung aktiviert und der iSCSI Software Initiator konfiguriert werden Gehen Sie bei der Vorbereitung und Einrichtung der Datastores die eine Software initiierte iSCSI Verbindung zum Zugriff auf den iSCSI Speicher verwenden wie folgt vor 1 Konfigurieren Sie den TCP IP Protokollstapel des Vmkernels Weitere Informationen finden Sie unter Konfiguration des VMkernels auf Seite 33 und Netzwerkkonfiguration f r den Software iSCSI Speicher auf Seite 70 ffnen Sie einen Firewall Port indem Sie den iSCSI Software Client Dienst aktivieren Siehe Freigeben von Firewall Ports f r unterst tzte Dienste und Management Agenten auf Seite 192 Konfigurieren Sie den iSCSI Software Initiator Siehe Konfiguration eines iSCSI Software Initiators auf Seite 124 Scannen Sie nach neuen iSCSI LUNs Weitere Informationen finden Sie unter Neu scannen auf Seite 131 Richten Sie den Datastore ein Siehe Hinzuf gen von software initiiertem iSCSI Speicher auf Seite 129 Anzeig
185. en Sie im Verzeichnis der Festplatten und LUNs angezeigt 4 Wenn neue Datastores erkannt werden sollen aktivieren Sie Auf neue VMFS Datentr ger scannen Wenn neue Datastores oder VMFS Datentr ger erkannt werden werden sie in der Liste der Datastores angezeigt NAS Netzwerkspeicher Dieser Abschnitt enth lt folgende Informationen zu Network Attached Storage NAS m Gemeinsames Plattenspeichersystem auf Seite 133 m Verwendung von NFS durch virtuelle Maschinen auf Seite 133 m NFS Volumes und Delegate Benutzer virtueller Maschinen auf Seite 134 132 VMware Inc Kapitel 6 Speicherkonfiguration m Konfiguration von ESX Server zum Zugriff auf NFS Datentr ger auf Seite 135 m Erstellung eines NFS basierten Datastores auf Seite 135 ESX Server unterst tzt die Verwendung von Network Attached Storage NAS ber das NFS Protokoll F r bestimmte Anwender ist NFS eventuell eine kosteng nstigere Alternative zu einem SAN Speicher Gemeinsames Plattenspeichersystem ESX Server unterst tzt die folgenden Funktionen eines gemeinsamen Plattenspeicher systems auf NAS Volumes m Verwendung von VMotion Verschieben von aktiven virtuellen Maschinen von einem ESX Server auf einen anderen ohne Unterbrechung des Betriebs m Erstellung von virtuellen Maschinen auf NFS Datentr gern m Booten virtueller Maschinen die auf NFS Datentr gern gespeichert sind m Erstellung von Momentaufnahmen virtueller Maschinen auf NFS
186. en und Betrugsermittlungen Daher m ssen Systemadministratoren f r diese virtuellen Maschinen den h chsten Schutz gew hrleisten Diese virtuellen Maschinen sind ber ihren eigenen virtuellen Switch und phy sischen Netzwerkadapter an das interne Netzwerk 2 angeschlossen Das interne Netzwerk 2 ist der internen Nutzung durch Mitarbeiter wie Reklamationssach bearbeiter firmeneigene Anw lte und andere Sachbearbeiter vorbehalten Die virtuellen Maschinen 2 5 k nnen ber den virtuellen Switch untereinander und ber den physischen Netzwerkadapter mit internen Maschinen an anderen Stellen des internen Netzwerkes 2 kommunizieren Sie k nnen nicht mit Computern oder virtuellen Maschinen kommunizieren die Zugang zu den externen Netz werken haben Wie beim FTP Server k nnen diese virtuellen Maschinen keine Datenpakete an Netzwerke anderer virtueller Maschinen senden oder sie von diesen empfangen Ebenso k nnen die anderen virtuellen Maschinen keine Daten pakete an die virtuellen Maschinen 2 5 schicken oder von diesen empfangen DMZ Die virtuellen Maschinen 6 8 wurden als DMZ konfiguriert die von der Marketingabteilung dazu verwendet wird die externe Website des Unternehmens bereitzustellen Diese Gruppe der virtuellen Maschinen ist dem Externen Netzwerk 2 und dem Internen Netzwerk 1 zugeordnet Das Unternehmen nutzt das Externe Netzwerk 2 zur Unterst tzung der Web Server die von der Marketing und der Finanzabteilung zur Ber
187. en von Pfaden f r Fibre Channel und iSCSI auf Seite 143 Speicheradapter Prozessoren Arbeitsspeicher Speicher SCSI SAN und NFS Vernetzung Storage Adapter Netzwerkadapker r Software Lizenzierte Funktionen DNS und Routing Yirtuelle Maschine boch herunterfahren Sicherheitsprofil Zuweisung van Gyzlennessgunden Erweiterte Einstellungen Art des Adapters Ger t Typ SAN Bezeichner iSCSI Software Adapter vba iSCSI ign 1998 01 com vrasare 53 1030 PCI X Fusion MPT Dual Ultra320 SCSI venhba0 Details vmhbal Model 531030 PCI X Fusion MPT Dual Ultra320 SCSI Ziele zZ SC51 2iel LUNs ausblenden Pfad Kanonischer Pfad Kapazit t LUN ID Yrahbacc c yiihbat 0 0 68 37 GB 1 SC5I Ziel 6 LUNS ausblenden Pfad Kanonischer Pfad Kapazit t LUN ID Details zum Speicheradapter Abbildung 5 3 Informationen zu Speicheradaptern Grundlegendes zur Benennung von Speicherger ten in der Anzeige In VI Client wird der Name eines Speicherger ts als Abfolge von drei oder vier Zahlen angegeben die durch Doppelpunkte getrennt sind z B vmhba1 1 3 1 Dieser Name hat die folgende Bedeutung lt HBA gt lt SCSI target gt lt SCSI LUN gt lt disk partition gt 96 VMware Inc Kapitel 5 Speicher Einf hrung Die Abk rzung vmhba bezieht sich auf verschiedene physische HBAs im ESX Server System Sie kann sich auch auf den virtuellen iSCSI Initiator beziehen den
188. enth lt die Anwenderoberfl che auch kein Anwenderver zeichnis das angezeigt werden kann Nur bei der Auswahl von Anwendern und Gruppen w hrend der Rollenzuweisung stehen Anwender und Gruppenver zeichnisse zur Verf gung Diese nderungen machen sich nur bemerkbar wenn Sie Anwender ausw hlen um deren Zugriffsberechtigungen zu konfigurieren m Anwender mit direktem Zugriff Anwender die direkt auf einem ESX Server Host arbeiten d rfen sind die Anwender die automatisch bei der Installation oder sp ter vom Systemadministrator zur internen Anwenderliste hinzugef gt werden Wenn Sie sich auf dem Host als Administrator anmelden k nnen Sie verschiedene Management Aktivit ten f r diese Anwender ausf hren z B Kennw rter Grup penmitgliedschaft Zugriffsberechtigungen usw ndern Sie k nnen diese Anwen der auch hinzuf gen oder entfernen Die von VirtualCenter gef hrte Anwenderliste ist eine grundlegend andere als die Anwenderliste des ESX Server Hosts Selbst wenn die Anwenderlisten von Host und VirtualCenter die gleichen Anwender zu haben scheinen zum Beispiel einen Anwen der mit dem Namen devuser sollten diese Anwender als verschiedene Anwender be handelt werden die zuf llig den gleichen Namen haben Die Attribute von devuser in VirtualCenter wie Zugriffsberechtigungen Kennw rter usw sind von den Attributen VMware Inc Kapitel 11 Authentifizierung und Anwender Management von devuser auf dem ESX Server Host g
189. er ten befinden Netzwerkspeicherger te sind externe gemeinsam genutzte Speicherger te oder Speicherarrays die sich au erhalb des Systems befinden und auf die mithilfe eines Adapters ber ein Netzwerk zugegriffen wird VMware Inc 89 Handbuch zur Server Konfiguration 90 Das Speichern virtueller Festplatten und anderer wichtiger Bestandteile der virtuellen Maschinen in einem einzigen Datastore der von mehreren physischen Hosts gemeinsam genutzt wird erm glicht m Die Verwendung von Funktionen wie VMware DRS Distributed Resource Scheduling verteilte Ressourcenplanung und VMware HA High Availability Options Optionen f r hohe Verf gbarkeit m Die Verwendung von VMotion f r das Verschieben von aktiven virtuellen Maschinen von einem ESX Server auf einen anderen ohne Unterbrechung des Betriebs m Die Verwendung von Consolidated Backup um Backups effizienter durchzuf hren m Besseren Schutz vor geplanten oder ungeplanten Serverausf llen m Bessere Steuerung des Lastenausgleichs Mit ESX Server k nnen Sie auf viele verschiedene interne und externe physische Speicherger te zugreifen die Sie auch konfigurieren und formatieren und f r Ihre Speicherbed rfnisse verwenden k nnen In dem meisten F llen verwenden Sie zur Arbeit mit dem Speicher VI Client Die folgenden Kapitel enthalten Informationen zum Zugriff und zur Konfiguration der Speicherger te sowie zum Einsatz und zur Verwaltung von Datastores m Speich
190. er Befehle und zur Ausf hrung von Konfigura tionsaufgaben ber den VI Client finden Sie in der Online Hilfe Zus tzliche Informationen zu bestimmten ESX Befehlen erhalten Sie wenn Sie sich auf der Servicekonsole anmelden und sich die man Seiten mit dem Befehl man lt esxctg_Befehlsname gt anzeigen lassen Tabelle A 1 F hrt die Befehle f r den technischen Support f r den ESX Server auf fasst den Zweck jedes Befehls zusammen und bietet eine Alternative zum VI Client Sie VMware Inc 275 Handbuch zur Server Konfiguration k nnen die meisten der VI Client Vorg nge die in der Tabelle aufgef hrt werden erst dann ausf hren wenn Sie einen ESX Server Host aus dem Inventar ausgew hlt und auf die Registerkarte Konfiguration geklickt haben Dies muss vor der Ausf hrung der unten aufgef hrten Prozeduren durchgef hrt werden sofern nichts anderes ange geben wurde Tabelle A 1 Befehle f r die technische Unterst tzung von ESX Server Servicekonsolenbefehl Zweck des Befehls und VI Client Verfahren esxcfg advcfg Konfiguriert erweiterte Optionen f r ESX Server Um die erweiterten Optionen im VI Client zu konfigurieren klicken Sie auf Erweiterte Einstellungen Wenn das Dialogfeld Erweiterte Einstellungen ge ffnet wird verwenden Sie die Liste auf der linken Seite um den Ger tetyp oder die Aktivit t auszuw hlen mit dem der Sie arbeiten m chten und nehmen Sie die entsprechenden Einstellungen vor esxcfg auth Konfiguriert
191. er oder Failback zu einem Verlust der vSwitch Konnektivit t kommen Dies f hrt dazu dass die MAC Adressen die die virtuellen Maschinen verwenden die diesem vSwitch zugeordnet sind auf einem anderen Switch Port erscheinen als zuvor Um dieses Problem zu vermeiden setzen Sie Ihren physischen Swicth auf den Portfast oder Portfast Trunk Modus Probleml sungen Port Gruppen Konfiguration Das Umbenennen einer Port Gruppe bei bereits mit dieser Port Gruppe verbundenen virtuellen Maschinen kann dazu f hren dass die Netzwerkkonfiguration der virtu ellen Maschinen die so konfiguriert sind dass sie sich mit dieser Port Gruppe ver binden nicht mehr stimmt Die Verbindung von virtuellen Netzwerkadaptern mit den Port Gruppen erfolgt ber den Namen und der Name wird in der virtuellen Maschinen Konfiguration gespei chert Das ndern des Namens einer Port Gruppe f hrt nicht zu einer Massen Neu konfiguration aller virtuellen Maschinen die mit dieser Port Gruppe verbunden sind Virtuelle Maschinen die bereits eingeschaltet sind werden weiterhin funktionieren bis sie ausgeschaltet werden da ihre Verbindungen zum Netzwerk bereits hergestellt sind VMware Inc Kapitel 4 Netzwerk Szenarien und Probleml sung Der optimale Ansatz besteht darin ein Umbenennen der Netzwerke nach deren Verwendung zu vermeiden Nach dem Umbenennen einer Port Gruppe m ssen Sie jede zugeordnete virtuelle Maschine die die Servicekonsole verwendet neu konfi gu
192. er virtuellen Festplatte angeben Wenn Sie f r lt Gr e gt einen Wert angeben k nnen Sie die Einheit festlegen indem Sie entweder den Suffix k Kilobyte m Megabyte oder g Gigabyte angeben Die Gr eneinheit kann klein oder gro geschrieben werden vmkfstools interpretiert sowohl k als auch K als Kilobyte Wenn Sie keine Einheit eingeben ist die Standardeinstellung f r vmkfstools Byte F r die c Option k nnen Sie folgende Suboptionen angeben m c Diese Option gibt den Ger tetreiber an der f r die Kommunikation mit den virtuellen Festplatten verwendet wird Sie haben die Auswahl zwischen den SCSI Treibern von BusLogic und LSI Logic m d Bezeichnet die Festplattenformate Eine detaillierte Beschreibung des Fest plattenformats finden Sie unter Unterst tzte Festplattenformate auf Seite 288 Beispiel vmkfstools c 2048m vmfs volumes myVMFS rh6 2 vmdk Dieses Beispiel zeigt die Erstellung einer virtuellen Festplattendatei mit dem Namen rh6 2 vmdk auf dem VMFS Dateisystem mit dem Namen my VMFS Diese Datei stellt eine leere virtuelle Festplatte dar virtuelle Maschinen k nnen darauf zugreifen Initialisierung einer virtuellen Festplatte w writezeros Mit dieser Option wird die virtuelle Festplatte bereinigt indem die gesamten Daten mit Null berschrieben werden In Abh ngigkeit der Gr e Ihrer virtuellen Festplatte und der E A Bandbreite des Ger ts das den Host der virtuellen Festplatte bildet kann die
193. erden k nnen Informationen zur Konfiguration zus tzlicher Ports in VirtualCenter finden Sie unter Freigeben von Firewall Ports f r unterst tzte Dienste und Management Agenten auf Seite 192 WARNHINWEIS VMware Support unterst tzt das ffnen und Blockieren der Firewall Ports nur durch den VI Client oder den esxcfg firewall Befehl wie im Folgenden beschrieben Eine Verwendung anderer Methoden oder Skripte zum Offnen oder Blockieren der Firewall Ports kann zu einem unerwarteten Verhalten f hren Freigabe eines bestimmten Ports in der Servicekonsolen Firewall 1 Melden Sie sich auf der Servicekonsole an und erlangen Sie Root Privilegien 2 Geben Sie folgenden Befehl ein esxcfg firewall openPort lt Portnummer gt tcp udp in out lt Portname gt VMware Inc Kapitel 12 Sicherheit der Servicekonsole Wobei m Port Nummer die vom Hersteller angegebene Port Nummer ist m tcpl udp das Protokoll ist Geben Sie tcp f r TCP Datenverkehr oder udp f r UDP Datenverkehr an m inlout ist die Richtung des Datenverkehrs Geben Sie in an um einen Port f r eingehenden Datenverkehr freizugeben oder out um den Port f r aus gehenden Datenverkehr zu ffnen m Port Name ist ein beschreibender Name Der Name muss nicht eindeutig sein sollte jedoch Sinn ergeben damit der Dienst oder Agent identifiziert werden kann der den Port verwendet Beispiel esxcfg firewall openPort 6380 tcp in Navisphere 3 Geben Sie folgenden Befehl e
194. erkonfiguration auf Seite 103 m Speicherverwaltung auf Seite 137 Der verbleibende Teil des Abschnitts Speicher bersicht befasst sich mit den folgenden Themen m Datastores und Dateisysteme auf Seite 90 m Dateisystemformate auf Seite 91 m Speichertypen auf Seite 91 m Unterst tzte Speicheradapter auf Seite 92 m Speicherzugriff durch virtuelle Maschinen auf Seite 92 Datastores und Dateisysteme Die virtuellen Maschinen von ESX Server speichern ihre virtuellen Festplattendateien auf speziell formatierten logischen Datenbeh ltern die sich auf verschiedenen Arten von physischen Speicherger ten befinden k nnen Ein Datastore kann dazu Festplattenplatz auf einem oder auf mehreren physischen Ger ten verwenden Die Verwaltung des Datastores beginnt mit dem Speicherplatz den die Speicherverwaltung f r das ESX Server System auf verschiedenen Speicherger ten zuweist Der Speicherplatz wird dem ESX Server System als LUNs oder bei Netzwerkspeichern als NFS Datentr ger dargestellt VMware Inc Kapitel 5 Speicher Einf hrung Mit dem VI Client k nnen Sie Datastores erstellen indem Sie auf die verf gbaren LUNs zugreifen und sie formatieren oder indem Sie die NFS Datentr ger einbinden Nach der Erstellung von Datastores k nnen Sie diese dazu verwenden VM Dateien zu speichern Gegebenenfalls k nnen Sie die Datastores auch ndern So k nnen Sie zum Beispiel Erweiterungen f r den Data
195. ernel Schnittstelle nicht auf der abgehendes TCP Servicekonsolenschnittstelle verwendet 8042 Datenverkehr zwischen ESX Server Hosts f r VMware Abgehendes TCP 8045 Hochverf gbarkeit HA und den EMC Autostart Manager eingehendes und abgehendes UDP 27000 X Lizenz bertragungen vom ESX Server an den Lizenz Server Abgehende TCP 27010 Lizenz bertragungen vom Lizenz Server Eingehendes TCP HINWEIS ESX Server und VirtualCenter verwenden intern die Ports 8085 8087 und 9080 F r den ESX Server sind die Ports 8085 8087 und 9080 gesch tzt da sie keine Remote Verbindungen akzeptieren 188 VMware Inc Kapitel 10 Absicherung der ESX Server Konfiguration Zus tzlich zu den aufgef hrten TCP und UDP Ports k nnen Sie andere Ports je nach Ihren Bed rfnissen konfigurieren m Mit VirtualCenter k nnen Sie Ports f r installierte Management Agenten und unterst tzte Dienste wie SSH NFS usw freigeben Informationen zur Konfigu ration anderer Ports f r diese Dienste finden Sie unter Freigeben von Firewall Ports f r unterst tzte Dienste und Management Agenten auf Seite 192 m F randere Dienste und Agenten die f r Ihr Netzwerk notwendig sind k nnen Sie Ports in der Firewall der Servicekonsole ber Befehlszeilenskripte ausf hren Weitere Informationen finden Sie unter Konfiguration der Servicekonsolen Firewall auf Seite 240 Verbindung zu einem VirtualCenter Server ber eine Firewall Wie in Tabelle 10 1 d
196. erpr fungen durch m berpr fen Sie das Patch Suffix um zu bestimmen ob Sie eine Aktualisierung ben tigen VMware Inc 257 Handbuch zur Server Konfiguration m Konsultieren Sie die RPM Dokumentation von VMware bez glich Informationen zu den Patchinhalten m Verwenden Sie folgenden Befehl um die Common Vulnerabilities and Exposures Nummer CVE aus der Sicherheitswarnung im RPM nderungsprotokoll nachzuschlagen rpm q changelog openssl grep lt CVE_Nummer gt Wenn sich die CVE Nummer dort befindet deckt das Paket die Sicherheitsl cke ab 258 VMware Inc Sichere Implementierungen und Sicherheits empfehlungen Dieses Kapitel soll Ihnen eine bessere Vorstellung von der Absicherung von ESX Server in bestimmten Umgebungen vermitteln Dazu wird eine Reihe von ESX Server Imple mentierungen vorgestellt die Ihnen bei der Planung der Sicherheitsfunktionen in Ihrer eigenen Implementierung helfen k nnen Au erdem enth lt dieses Kapitel einige srundlegende Sicherheitsempfehlungen die Sie bei der Erstellung und Konfiguration von virtuellen Maschinen in Betracht ziehen sollten In diesem Kapitel werden folgende Themen behandelt m Sicherheitsmafsnahmen f r h ufig verwendete ESX Server Implementierungen auf Seite 259 m Empfehlungen f r virtuelle Maschinen auf Seite 265 Sicherheitsma nahmen f r h ufig verwendete ESX Server Implementierungen Die Komplexit t von ESX Server Implementierungen k
197. ertifikate l schen Um neue Zertifikate f r den ESX Server Host zu erzeugen 1 Wechseln Sie in das Verzeichnis etc vmware ssl 2 Erstellen Sie Backups aller existierenden Zertifikate indem Sie die folgenden Befehle ausf hren mv rui crt orig rui crt mv rui key orig rui key HINWEIS Wenn Sie Zertifikate erstellen weil Sie versehentlich Zertifikate gel scht haben brauchen Sie den Backup Schritt nicht auszuf hren 3 Geben Sie folgenden Befehl ein um den Prozess vmware hostd neu zu starten service mgmt vmware restart VMware Inc 233 Handbuch zur Server Konfiguration 4 Best tigen Sie dass der ESX Server Host neue Zertifikate erstellt hat indem Sie den folgenden Befehl ausf hren der die Zeitstempel der neuen Zertifikatsdateien mit orig rui crt und orig rui key vergleicht ls la Delegierte der virtuellen Maschine f r NFS Speicher 234 F r die meisten Vorg nge auf virtuellen Maschinen ben tigt ein ESX Server Zugriff auf die Dateien der virtuellen Maschine So muss ESX Server zum Beispiel zum Hoch oder Herun terfahren von virtuellen Maschinen Dateien auf dem Datentr ger auf dem die Dateien der virtuellen Festplatte gespeichert sind erstellen bearbeiten und l schen k nnen Wenn Sie virtuelle Maschinen auf einem NFS Datastore erstellen konfigurieren oder verwalten erfolgt dies durch einen besonderen Anwender den sog delegierten An wender Die Identit t des delegierten Anwenders wird von ESX Server f r
198. erung des Netzwerkes ber virtuelle Switches und VLANes In diesem Abschnitt werden folgende Themen behandelt m Sicherheitsempfehlungen f r VLANs auf Seite 197 m Schutz durch virtuelle Switches in VLANs auf Seite 199 m Absicherung der Ports virtueller Switches auf Seite 201 Sicherheitsempfehlungen f r VLANs ESX Server ist mit einer vollst ndigen VLAN Implementierung nach IEEE 802 1q ausgestattet Wie Sie die VLANs einrichten um Teile eines Netzwerkes abzusichern h ngt von Faktoren wie dem installierten Gast Betriebssystem der Konfiguration der Netzwerk ger te usw ab Zwar kann VMware keine spezifischen Empfehlungen aussprechen wie die VLANs eingerichtet werden sollten folgende Faktoren sollten jedoch ber cksichtigt werden wenn Sie VLANs als Teil der Sicherheitsma snahmen einsetzen m Setzen Sie VLANs im Rahmen eines Sicherheitspakets ein mit VLANs kann effektiv gesteuert werden wo und in welchem Umfang Daten im Netzwerk ber tragen werden Wenn ein Angreifer Zugang zum Netzwerk erlangt wird der Angriff mit hoher Wahrscheinlichkeit nur auf das VLAN beschr nkt das als Zugangspunkt diente wodurch das Risiko f r das gesamte Netzwerk verringert wird VLANs bieten nur dadurch Schutz dass sie steuern wie Daten weitergeleitet und verarbeitet werden nachdem sie die Switches passiert haben und sich im Netzerk befinden Sie k nnen VLANs dazu nutzen Layer 2 des Netzwerkmodells die Sicherungsschicht zu s
199. es 43cdb525 F9c70370 Fb f ODoFiffb2bddvM 1V 1 87 135004 vswp scsi0 0 redo vmware bool internalwersion ymaare bool requiredvwersion Tagi vmware books instalstate mone vmware bool lastInstall tstus resuk unknown 4 Zeile hinzuf gen OK Abbrechen Hilfe E HINWEIS Diese Optionen heben die Einstellungen in der Systemsteuerung von VMware Tools auf dem Gast Betriebssystem auf 6 Klicken Sie auf OK um das Dialogfeld Konfigurationsparameter zu schlie en und dann noch einmal auf OK um das Dialogfeld Eigenschaften der virtuellen Maschinen zu schlie en Entfernung berfl ssiger Hardware Ger te Anwender und Prozesse ohne Befugnisse in der virtuellen Maschine k nnen Hard ware Ger te wie Netzwerkadapter oder CD ROM Laufwerke einbinden oder trennen Angreifer k nnen diese F higkeit auf verschiedene Arten nutzen um die Sicherheit einer virtuellen Maschine anzugreifen So kann zum Beispiel ein Angreifer mit Zugang zu einer virtuellen Maschine folgende Angriffe durchf hren m Eibindung eines nicht verbundenen CD ROM Laufwerks und Zugriff auf Infor mationen auf dem Medium das sich im Laufwerk befindet m Trennung eines Netzwerkadapters um die virtuelle Maschine vom Netzwerk zu isolieren was zu einem Ausfall f hrt VMware Inc 267 Handbuch zur Server Konfiguration Als allgemeine Sicherheitsma nahme sollten Sie Befehle auf dem Registerkarte Konfi guration auf dem VI Client verwenden um alle nic
200. es Benutzers an einem Client Rechner sind die aktivierten Dateien von lokalen Dateien nicht zu unterscheiden Speichertypen Datastores k nnen sich auf verschiedenen Speicherger ten befinden Sie k nnen einen Datastore auf einem direkt an das System angebundenen Speicherger t oder auf einem Netzwerkspeicherger t implementieren ESX Server unterst tzt folgende Typen von Speicherger ten m Lokal Speichert Dateien lokal auf einem internen oder externen SCSI Ger t VMware Inc 91 Handbuch zur Server Konfiguration m Fibre Channel Speichert Dateien extern in einem Speichernetzwerk Storage Area Network SAN Erfordert Fibre Channel Adapter m iSCSI hardware initiiert Speichert Dateien auf externen iSCSI Speicherger ten Auf die Dateien wird unter Verwendung eines hard ware basierten iSCSI HBAs Host Bus Adapter ber ein TCP IP Netzwerk zugegriffen m iSCSI software initiiert Speichert Dateien auf externen iSCSI Speicherger ten Auf die Dateien wird ber ein TCP IP Netzwerk unter Verwendung von software basiertem iSCSI Code im VMkernel zugegriffen Erfordert einen Standardnetzwerkadapter f r die Netzwerkanbindung m Netzwerk Dateisystem Network File System NFS Speichert Dateien auf externen Dateiservern Auf die Dateien wird unter Verwendung des NFS Protokolls ber ein TCP IP Netzwerk zugegriffen Erfordert einen Standardnetzwerkadapter f r die Netzwerkanbindung HINWEIS Sie k nnen virtuelle Maschinen auf
201. esendet werden soll Auf jedem ESX Server Host kann diese Eigenschaft nur f r eine VMotion und IP Speicher Port Gruppe aktiviert werden Wenn diese Eigenschaft f r keine der Port Gruppen aktiviert wurde ist eine VMotion Migration auf diesen Host nicht m glich Assistent zum Hinzuf gen von Netzwerken 1OIx VYMkernel Netzwerkzugriff Kennzeichnen Sie VMkernel verbindungen mit Netzwerkbezeichnungen w hrend Sie die Hosts und Datacenters verwalten Port Gruppen Eigenschaften Netzwerkbezeichnung Ve YLAN ID optional 123 v 1 Diese Port Gruppe f r YMotion verwenden IP Einstellungen IP Adresse 000 000 000 000 Subnetz Maske Standard Gateway f r VMkernel Vorschau VMkernel j W j l 10 Klicken Sie unter IP Einstellungen auf Bearbeiten um die Standard Gateway f r VMkernel f r VMkernel Dienste wie z B VMotion NAS und iSCSI einzurichten VMware Inc Kapitel 2 Vernetzung HINWEIS Die Standard Gateway f r den Port den Sie erstellen muss eingestellt werden 11 12 13 14 VirtualCenter 2 unterscheidet sich hier von VirtualCenter 1 x Sie m ssen zur Konfiguration des VMkernel IP Stapels eine g ltige IP Adresse verwenden keine Pseudoadresse Das Dialogfeld DNS und Routing Konfiguration wird angezeigt Auf der Registerkarte DNS Konfiguration ist im Namensfeld standardm ig der Host name eingetragen Auch die DNS Server Adressen und die Dom ne di
202. estplatte 291 Migrieren einer VMFS 2 virtuellen Festplatte auf VMFS 3 291 Anlegen einer Raw Device Mapping Datei im virtuellen Kompatibilit tsmodus 292 Auff hren der Attribute eines RDM 29 Anlegen einer Raw Device Mapping Datei im physischen Kompatibilit tsmodus 293 Anlegen einer Deskriptor Datei f r ein Raw Ger t 293 Anzeige der Architektur der virtuellen Festplatte 293 Ger teoptionen 294 Scan Adapter 294 Verwaltung der SCSI Reservierungen von LUN 294 Beispiele f r die Verwendung von vmkfstools 295 Anlegen eines neuen VMFS 3 Dateisystems 295 Hinzuf gen einer Partition zu einem VMFS 3 Dateisystem 296 Neue virtuelle Festplatte erstellen 296 Klonen einer virtuellen Festplatte 296 Erstellen einer Raw Device Mapping 296 Scannen eines Adapters auf nderungen 296 Stichwortverzeichnis 297 VMware Inc Handbuch zur Server Konfiguration 10 VMware Inc Einleitung In diesem Vorwort werden die Inhalte des Handbuchs zur Server Konfiguration be schrieben und Hinweise zu technischen und weiterf hrenden VMware Ressourcen gegeben In dieser Einleitung werden folgende Themen behandelt m ber dieses Handbuch auf Seite 11 m lechnischer Support und Schulungs Ressourcen auf Seite 14 ber dieses Handbuch In diesem Handbuch zur Server Konfiguration finden Sie Informationen zur Konfigura tion von ESX Server z B zur Erstellung von virtuellen Switches und Schnittstellen und zur Einrichtung des Netz
203. estplatte aus und klicken Sie auf Pfade verwalten wtian2 Eigenschaften der virtuellen Maschine bersicht M Physische LUN und DatastoreZuordnungsdatei 2044 MB vmhba1 0 40 0 wbe 01 storagel wtian2 wtan2_1 vmdk Node des viruelen Ger ts IT SCSI 0 1 Festplatte 2 Parallel Schnittstelle 1 sc l C ee Q SCO N Kompatibiit tsmodus Festpl te 1 c c Serielle Schnittstelle 1 USB Controller Festplate2 Zugeordnete Raw LUN Pfade verwalten Schaltfl che Pfade verwalten Der Pfade verwalten Assistent wird ge ffnet VMware Inc 163 Handbuch zur Server Konfiguration 164 5 Verwenden Sie den Pfade verwalten Assistenten um Ihre Pfade zu aktivieren oder zu deaktivieren um die Multipath Policy und den vorgezogenen Pfad einzustellen F hren Sie die folgenden Vorgehensweisen aus m So richten Sie die Multipathing Policy ein auf Seite 147 m So deaktivieren Sie einen Pfad auf Seite 149 m So aktivieren Sie einen Pfad auf Seite 149 m So richten Sie den bevorzugten Pfad ein auf Seite 150 Das vmkfstools Dienstprogramm In der Servicekonsole kann f r viele der Operationen die ber den VI Client ausgef hrt werden das Befehlszeilendienstprogramm vmkfstools verwendet werden Zu den typischen f r RDM anwendbaren Operationen geh ren die Befehle zur Erstellung einer Zuordnungsdatei die Abfrage von Zuordnungsinformationen wie Name und Bezeich nung des zugeordneten Ger tes
204. ete ESX Server Implementierungen 259 Implementierung Ein Kunde 259 Implementierung f r mehrere Kunden mit Beschr nkungen 261 Implementierung f r mehrere Kunden ohne Beschr nkungen 263 Empfehlungen f r virtuelle Maschinen 265 Installation von Antiviren Software 265 Deaktivierung von Kopiervorg ngen zwischen Gast Betriebssystem und Remote Steuerung 266 Entfernung berfl ssiger Hardware Ger te 267 Verhinderung von Flooding des ESX Server Hosts durch Prozesse des Gast Betriebssystems 270 Deaktivierung der Protokollierung f r das Gast Betriebssystem 271 Anh nge A ESX Befehle zur technischen Unterst tzung 275 Andere Befehle 280 B Verwendung von vmk fstools 281 vmkfstools Befehlssyntax 282 Suboption v 283 vmkfstools Optionen 283 Dateisystemoptionen 284 Erstellen eine VMFS Dateisystems 284 8 VMware Inc Inhalt Erweiterung eines bestehenden VMFS 3 Volumens 285 Auflistung der Attribute eines VMFS Datentr gers 286 Upgrade von VMFS 2 auf VMFS 3 286 Optionen f r virtuelle Festplatten 287 Unterst tzte Festplattenformate 288 Erstellen einer virtuellen Festplatte 289 Initialisierung einer virtuellen Festplatte 289 Vergr ern einer schlanken virtuellen Festplatte 290 L schen einer virtuellen Festplatte 290 Umbenennen einer virtuellen Festplatte 290 Klonen einer virtuellen oder Raw Festplatte 290 Migrieren der VMware Workstation und der VMware GSX Server virtuellen Maschinen 291 Erweitern einer virtuellen F
205. eter Einstellungen und Aktivit ten der Servicekonsole Diese Beschr nkungen wurden dazu entworfen die Sicherheit f r ESX Server zu erh hen Sie k nnen diese Beschr nkungen lockern um Ihre spezifischen Konfigu rationsbed rfnisse zu erf llen In diesem Fall m ssen Sie aber tats chlich in einer vertrauensw rdigen Umgebung arbeiten und genug andere Sicherheitsma snahmen ergriffen haben um das Netzwerk als Ganzes und die an den ESX Server Host angeschlossenen Ger te zu sch tzen In diesem Kapitel werden folgende Themen behandelt m Allgemeine Sicherheitsempfehlungen auf Seite 238 m Konfiguration der Servicekonsolen Firewall auf Seite 240 m Kennwortbeschr nkungen auf Seite 244 m Schl sselqualit t auf Seite 252 m Setuid und setgid Anwendungen auf Seite 252 m SSH Sicherheit auf Seite 255 m Sicherheitspatches und Sicherheitsl cken Scanner auf Seite 257 VMware Inc 237 Handbuch zur Server Konfiguration Allgemeine Sicherheitsempfehlungen Beachten Sie bei der berpr fung der Servicekonsolensicherheit und der Verwaltung der Servicekonsole folgende Sicherheitsempfehlungen 238 Installation von Antiviren Software Auch wenn Sie einen ESX Server Host betreiben k nnen ohne dass die Service konsole an ein Netzwerk angeschlossen ist erm glichen die meisten Implemen tierungen der Servicekonsole den Netzwerkzugriff Da die Servicekonsole ein voll st ndiges Betriebssystem
206. etrennt Wenn Sie sich im VirtualCenter als devuser anmelden k nnen Sie z B ber die Berechtigung verf gen Dateien aus einem Datastore anzusehen und zu l schen was nicht der Fall sein muss wenn Sie sich auf dem ESX Server Host als devuser anmelden Aufgrund der Verwirrung die doppelte Namen stiften k nnen empfiehlt VMware dass Sie vor der Erstellung von ESX Server Host Anwendern das Anwenderver zeichnis von VirtualCenter berpr fen um zu vermeiden dass Sie Host Anwender erstellen die den gleichen Namen wie VirtualCenter Anwender haben Das Verzeich nis der VirtualCenter Anwender finden Sie im Windows Dom nenverzeichnis Grundlegendes zu Gruppen Bestimmte Anwenderattribute k nnen Sie effektiver verwalten indem Sie Gruppen erstellen Eine Gruppe ist eine Ansammlung von Anwendern die durch gemeinsame Regeln und Berechtigungen verwaltet werden sollen Wenn Sie einer Gruppe Zugriffs berechtigungen zuweisen werden diese von allen Anwendern in der Gruppe ber nommen wodurch Sie die Anwenderprofile nicht einzeln bearbeiten m ssen Daher kann die Verwendung von Gruppen die Zeit zur Implementierung des Berechtigungs modells wesentlich verk rzen und zukunftsorientiert die Skalierbarkeit verbessern Als Administrator m ssen Sie entscheiden wie die Gruppen strukturiert werden sol len um die Sicherheits und Verwendungsziele zu erreichen Sie haben zum Beispiel drei Teilzeitangestellte in der Verkaufsabteilung die an verschie
207. f Eigenschaften W hlen Sie den Port der virtuellen Maschine aus dem Verzeichnis im Dialogfeld Eigenschaften aus und klicken Sie auf Bearbeiten um das Dialogfeld Port Eigenschaften zu ffnen und dessen Einstellungen zu ndern Eine vollst ndige Anleitung zur Erstellung und Aktualisierung von virtuellen Maschinen finden Sie unter Konfiguration virtueller Netzwerke f r virtuelle Maschinen auf Seite 29 Andere Befehle Um bestimmte interne Vorg nge zu unterst tzen enthalten die ESX Server Installationen eine Reihe von Standard Linux Konfigurationsbefehlen wie beispielsweise Befehle zur Konfiguration von Netzwerken und Speichern Eine Verwendung dieser Befehle zur Ausf hrung von Konfigurationstasks kann zu schwerwiegenden Konfigurationskon flikten f hren und auch dazu dass bestimmte ESX Server Funktionen nicht weiter ver wendet werden k nnen Arbeiten Sie immer mit dem VI Client um den ESX Server zu konfigurieren es sei denn die VMware Infrastruktur Dokumentation oder der tech nische Support von VMware erteilen Ihnen andere Anweisungen 280 VMware Inc Verwendung von vmkfstools Sie verwenden das vmkfstools Programm um virtuelle Festplatten Dateisysteme logische Volumen und physische Speicher Ger te auf dem VMware ESX Server anzu legen und einzurichten Mit vmkfstools k nnen Sie das VMware Dateisystem VMDS auf einer physischen Partition auf einer Festplatte anlegen und verwalten Sie k nnen dieses Programm
208. filtern umgehen wenn sie auf ihre virtuelle Festplatte zugreift Diese Art des Mappings eignet sich dann wenn die virtuelle Maschine eigenst ndige SCSI Befehle versenden muss wie beispielsweise dann wenn SAN gest tzte Software auf der virtuellen Maschine ausgef hrt wird Wenn Sie diese Art der Zuordnung aktiviert haben k nnen Sie damit auf die Raw Festplatte wie auf jede andere virtuelle Festplatte zugreifen Bei der Angabe des Werts f r das lt Ger t gt geben Sie 0 f r die Partition an was darauf hinweist dass das gesamte Raw Ger t verwenden wird Verwenden Sie das folgende Format vmfs devices disks vmhbaA T L 0 Weitere Informationen finden Sie unter vmkfstools Befehlssyntax auf Seite 282 Anlegen einer Deskriptor Datei f r ein Raw Ger t Q createrawdevice lt Ger t gt Diese Option erstellt eine Raw Ger te Deskriptordatei auf einem VMFS Datentr ger Diese Option sollte nur mit generischen SCSI Ger ten wie z B Bandlaufwerken verwendet werden Verwenden Sie f r den Parameter lt Ger t gt folgendes Format vmfs devices generic vmhbaA T L P Weitere Informationen finden Sie unter vmkfstools Befehlssyntax auf Seite 282 Anzeige der Architektur der virtuellen Festplatte g geometry lt Quelldatei gt Mit dieser Option werden Informationen zur Architektur einer virtuellen Festplatte angezeigt Die Ausgabe erfolgt in dieser Form Geometrie Informationen C H S wobei C f r die Anzahl de
209. g Statische Erkennung CHAP Authentifizierung CHAP Authentifizierung Standardm ig die folgenden Anmeldedaten f r alle 15C5I Targets verwenden CHAP Name ign 1998 01 com vmnwareivoy174 Schlie en Hilfe p HINWEIS Wenn unter CHAP Name CHAP Name Not Specified Nicht festgelegt angezeigt wird verwendet das iSCSI SAN die CHAP Authentifizierung nicht Klicken Sie auf Schlie en Konfiguration von iSCSI f r die CHAP Authentifizierung 1 Melden Sie sich am VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration und dann auf Speicheradapter Markieren Sie den gew nschten iSCSI Adapter und klicken Sie dann auf Eigenschaften Das Dialogfeld Eigenschaften des iSCSI Initiators wird ge ffnet Klicken Sie auf CHAP Authentifizierung gt Konfigurieren Das Dialogfeld CHAP Authentifizierung wird ge ffnet VMware Inc 5 Kapitel 10 Absicherung der ESX Server Konfiguration Klicken Sie auf Folgende CHAP Identifikatoren verwenden I CHAP Authentifizierung Anmeldedaten i Die Folgenden CHAP Anmeldedaten verwenden Alle 5C51I Targets werden mit diesen Anmeldedaten aukhenkifiziert sofern nicht anders angegeben CHAP Name Initistorname verwenden CHAP Schl ssel nn C CHAP Authentifizierung deaktivieren x Abbrechen Hilfe F hren Sie einen der folgenden Sc
210. g 10 4 einrichten vSwitch Y VLAN A Router a U bertragungs gebiet A vSwitch vSwitch Switch 1 VLAN B bertragungs gebiet B vSwitch Switch 2 Mehrere VLANs vSwitch auf dem gleichen virtuellen Switch VM 12 VM 13 VM 14 VLAN VLAN VLAN Ubertragungs B A B gebiete A und B Abbildung 10 4 Beispiel VLAN Plan VMware Inc Kapitel 10 Absicherung der ESX Server Konfiguration In dieser Konfiguration verwenden alle Angestellten der Buchhaltungsabteilung virtu elle Maschinen im VLAN A die Angestellten der Verkaufsabteilung verwenden die virtuellen Maschinen im VLAN B Der Router leitet die Datenpakete mit Buchhaltungsdaten an die Switches weiter Diese Pakete sind so gekennzeichnet dass sie nur an VLAN A weitergeleitet werden d rfen Daher sind die Daten auf bertragungsgebiet A beschr nkt und k nnen nur an das bertragungsgebiet B weitergeleitet werden wenn der Router entsprechend kon figuriert wurde In dieser VLAN Konfiguration wird verhindert dass Mitarbeiter der Verkaufsab teilung Datenpakete die f r die Buchhaltungsabteilung bestimmt sind abfangen k n nen Die Buchhaltungsabteilung kann auch keine Datenpakete empfangen die f r die Verkaufsabteilung bestimmt sind Beachten Sie dass sich virtuelle Maschinen die an einen gemeinsamen virtuellen Switch angebunden sind dennoch in unterschiedlichen VLANs befinden k nnen Im folgenden Abschnitt finden Sie Vorschl ge zur Absich
211. g VMware File System VMFS das f r die Speicherung virtueller ESX Server Maschinen optimiert wurde In diesem Abschnitt sind Informationen ber VMFS sowie folgende Themen enthalten m VMFS Versionen auf Seite 97 m Erstellen und Vergr ern eines VMFS auf Seite 98 m VMEFS Funktionen f r den gemeinsamen Zugriff auf Seite 99 VMFS Versionen ESX Server bietet die folgenden Versionen dieses Dateisystems m V VMFS2 Dieses Dateisystem wird mit ESX Server Version 2 x erstellt m V VMFS3 Dieses Dateisystem wurde mit ESX Server der Version3 erstellt Zu den Verbesserungen von VMFS3 geh rt die Unterst tzung mehrerer Verzeichnisse Eine virtuelle Maschine muss auf einem VMFS3 Dateisystem eingerichtet sein bevor ein Host mit ESX Server Version 3 sie einschalten kann VMware Inc 97 Handbuch zur Server Konfiguration Tabelle 5 1 Host Zugriff auf VMFS Dateisysteme Host VMFS2 Datastore VMFS3 Datastore Host mit ESX Server Version 2 Lesen Schreiben f hrt VMs aus Kein Zugriff Host mit ESX Server Version3 Nur lesen kopiert VMs Lesen Schreiben f hrt VMs aus 98 Erstellen und Vergr ern eines VMFS VMES l sst sich auf einer Reihe von SCSI basierten Speicherger ten einsetzen einschlie lich Fibre Channel und iSCSI SAN Systemen Eine unter VMFS gespeicherte virtuelle Festplatte erscheint der virtuellen Maschine immer als aktiviertes SCSI Ger t Die virtuelle Festplatte verbirgt eine physische Speichers
212. gen m Gef lschte bertragungen m Ablehnen Alle ausgehenden Datenbl cke bei denen die Quell MAC Adresse sich von der auf dem Adapter eingestellten MAC Adresse unter scheidet werden verworfen m Akzeptieren Eine wird keine Filterung vorgenommen und alle aus gehenden Frames werden weitergeleitet 8 Klicken Sie auf OK Traffic Shaping Policy ESX Server passt den Datenverkehr durch die Aufstellung von Parametern f r drei aus gehende Datenverkehrsmerkmale an durchschnittliche Bandbreite Burstgr e und Spitzenbandbreite Sie k nnen die Werte f r diese Merkmale ber den VI Client ein stellen und somit die Traffic Shaping Policy f r jeden Uplink Adapter festlegen m Die Durchschnittliche Bandbreite legt die Anzahl der Bits pro Sekunde fest die die zul ssige durchschnittliche Datenlast durchschnittlich im Zeitverlauf ber den vSwitch passieren darf m Burstgr e legt die H chstanzahl der Bytes fest die in einem Burst zul ssig sind Wenn ein Burst diesen Wert berschreitet werden bersch ssige Datenpakete f r die sp tere bertragung in die Warteschlange eingereiht Wenn die Warteschlange voll ist werden die Pakete verworfen Wenn Sie Werte f r diese beiden Merkmale festlegen zeigen Sie an was der vSwitch w hrend des Normalbetriebs verarbeiten soll m Die Spitzenbandbreite ist die h chste Bandbreite die der vSwitch bereitstellen kann ohne Pakete verwerfen zu m ssen Wenn der Datenverkehr die festgele
213. gt sowohl die allgemeinen Netzwerkinformationen als auch solche Informationen an die den Netzwerkadaptern eigen sind Gehen Sie wie folgt vor um die Netzwerkinformationen auf dem VI Client anzuzeigen 1 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt 2 Klicken Sie auf die Registerkarte Konfiguration und dann auf Netzwerk Das Netzwerk Fenster zeigt die folgenden Informationen an wie in Abbildung 2 4 dargestellt m Virtuelle Switches m Adapterinformationen zu allen Adaptern m Verbindungsstatus m Nenngeschwindigkeit und Duplex m Servicekonsolen und VMkernel TCP IP Dienste m IP Adresse m Servicekonsole m Name des virtuellen Ger ts m Virtuelle Maschinen m DBetriebsstatus m Verbindungsstatus m Port Gruppe m Netzwerkbezeichnung f r alle drei Typen der Port Konfiguration einheitlich VMware Inc 27 Handbuch zur Server Konfiguration 28 m Anzahl der konfigurierten virtuellen Maschinen m VLAN ID falls vorhanden f r alle drei Typen der Port Konfiguration Hardware IP Adresse vSwitch Aktualisieren Netzwerk hinzuf gen Entfernen Eigenschaften he Adapter EB vmi 10 Voll einheitlich Port Gruppe Prozessoren Arbeitsspeicher er Switch vSwitchO Speicher SCSI SAN und NFS oet Gruppe der virtuellen Machine Vernetzung Netzwerk der virtuellen Maschi Storage Adapter Netz
214. gte Spitzenbandbreite bersteigt werden bersch ssige Pakete f r die sp tere ber tragung wenn der Datenverkehr wieder auf ein normales Ma zur ckgegangen ist und gen gend Reservezyklen zur Verarbeitung der Pakete zur Verf gung stehen in die Warteschlange eingereiht Wenn die Warteschlange voll ist werden die Pakete verworfen Selbst wenn Sie ber Reservebandbreite verf gen weil die Verbindung sich im Leerlauf befindet beschr nkt der Parameter Spitzenband breite die bertragung auf den festgelegten Spitzenwert bis der Datenverkehr zur zul ssigen Durchschnittsdatenlast zur ckkehrt Bearbeiten der Traffic Shaping Policy 1 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt VMware Inc 55 Handbuch zur Server Konfiguration 56 U AeA Q N Klicken Sie auf die Registerkarte Konfiguration und dann auf Netzwerk Markieren Sie einen vSwitch und klicken Sie auf Eigenschaften Klicken Sie im Dialogfeld vSwitch Eigenschaften auf die Registerkarte Ports Markieren Sie den vSwitch und klicken Sie auf Bearbeiten Das Dialogfeld Eigenschaften f r den ausgew hlten vSwitch wird angezeigt Klicken Sie auf die Registerkarte Traffic Shaping Das Dialogfeld Policy Ausnahmen wird angezeigt Wenn Traffic Shaping deakti viert ist sind die einstellbaren Funktionen grau unterlegt Sie k nnen alle Traffic Shaping Fun
215. gungen 216 Virtualisierungs Layer und Sicherheit 168 Virtuelle Maschinen Deaktivierung von Kopiervorg ngen 266 Ger tetrennung verhindern 268 Ressourcenreservierungen und Begrenzungen 168 Sicherheit 168 Sicherheitsempfehlungen 265 virtuelle Maschinen Anlegen eines delegierten Anwenders 235 Beispiel f r Isolierung 173 175 Deaktivierung der Protokollierung 270 272 Delegierter 234 virtuelle Netzwerk Layer und Sicherheit 173 Virtuelle Switches Sicherheit 199 virtuelle Switches Angriffe ber 802 1Q und ISL Kennzeichnung 199 VMware Inc doppelt eingekapselte Angriffe 199 gef lschte bertragungen 201 Implementierungsszenarien 259 MAC Adress nderungen 201 MAC Flooding 199 Multicast Brute Force Angriffe 199 Promiscuous Modus 201 Spanning Tree Angriffe 199 und iSCSI 208 Zufallsdatenblock Angriffe 199 VI Web Access Deaktivierung von SSL 228 Firewall Ports f r die Anbindung der Konsole der virtuellen Maschine 189 Firewall Ports f r direkte Verbindungen 185 Firewall Ports mit VirtualCenter Server 182 und ESX Server Dienste 228 VLAN Definition 22 VLANs Implementierungsszenarien 259 Layer 2 Sicherheit 197 Sicherheit 194 und iSCSI 208 VLAN Hopping 197 VMFS Freigabe 259 vmkfstools 281 VMkernel Definition 22 Konfiguration 33 Sicherheit 168 vmkfstools Dateisystemoptionen 284 Ger teoptionen 294 VMware Inc Stichwortverzeichnis Optionen f r virtuelle Festplatten 287 Synta
216. haben k nnen Sie sicher die Genehmigungen des Root Benutzers l schen oder dessen Rolle in der Form ndern dass seine Rechte begrenzt werden Wenn Sie die Berechtigungen der Root Anwender l schen oder ndern m ssen Sie den neu erstellten Anwender als Anlaufstelle f r die Host Authentifizierung verwenden wenn Sie den Host unter die Verwaltung von VirtualCenter stellen Weitere Informationen zu Rollen finden Sie unter Grundlegendes zu Rollen auf Seite 218 HINWEIS Konfigurationsbefehle die Sie ber die Befehlszeilenoberfl che ausf hren esxcfg Befehle f hren keine Zugriffspr fung durch m vpxuser Dieser Anwender ist VirtualCenter das auf dem ESX Server Host mit Administrator Rechten agiert wodurch es Vorg nge f r diesen Host verwalten kann Der vpxuser wird erstellt wenn der ESX Server Host an VirtualCenter ange bunden wird Diesen Anwender gibt es auf dem ESX Server Host nur wenn der Host ber VirtualCenter verwaltet wird Wenn ein ESX Server Host ber VirtualCenter verwaltet wird hat VirtualCenter Privilegien auf diesem Host So kann VirtualCenter zum Beispiel virtuelle Ma schinen auf Hosts verschieben und Konfigurations nderungen vornehmen die f r die Unterst tzung von virtuellen Maschinen notwendig sind Der Administrator von VirtualCenter kann ber den vpxuser viele der Aufgaben des Root Anwenders auf dem Host durchf hren und Aufgaben planen Vorlagen erstellen und nutzen usw Es gibt jedoch bestimmte V
217. hdem Sie einen VMkernel Port und die Servicekonsolen Verbindung erstellt haben k nnen Sie den iSCSI Software Speicher aktivieren und konfigurieren Weitere Informationen zur Konfiguration von iSCSI Adaptern und Speichern finden Sie unter ISCSI Speicher auf Seite 110 Konfiguration des Netzwerks auf Blade Servern 76 Da Blade Server mitunter nur ber eine begrenzte Anzahl von Netzwerkadaptern verf gen wird es wahrscheinlich erforderlich VLANs f r einen separaten Datenver kehr f r die Servicekonsole VMotion den IP Speicher und verschiedene Gruppen aus VMs zu verwenden VMware Best Practices Methoden empfehlen Ihnen aus Sicher heitsgr nden eigene Netzwerke f r die Servicekonsole und VMotion anzulegen Wenn Sie eigenen vSwitches zu diesem Zweck physische Adapter zuweisen m ssen Sie m g licherweise auf redundante geteamte Verbindungen oder die Isolierung der verschie denen Netzwerk Clients oder auf beides verzichten Mit VLANs k nnen Sie eine Netz werkbereitstellung erreichen ohne mehrere physische Adapter verwenden zu m ssen Damit der Netzwerk Blade eines Blade Servers die ESX Server Port Gruppe mit einem VLAN getaggten Datenverkehr unterst tzt m ssen sie das Blade so konfigurieren dass es 802 1Q unterst tzt und den Port als getaggten Port konfigurieren VMware Inc Kapitel 4 Netzwerk Szenarien und Probleml sung Die Methode zum Konfigurieren eines Ports als getaggten Port ist von Server zu Server verschiede
218. he Merkmale des Initiators angezeigt Eigenschaften des iSCSI Initiators rmhbaD Allgemein Dynamische Erkennung Statische Erkennung CHAP Authentifizierung 5cSI Eigenschaften i5C5I Name ign 2000 04 cam glogic qla4052c 9510629315167 1 iSCSI Alias Ziel Erkennungsmethoden Targets versenden Statisches Ziel r Eigenschaften des Hardware Inikiators Netzwerkschnittstellen Eigenscha Aktuelle imaximale Geschwindigkeit 1024Mb 1024Mb MAl Adresse 00 00 dd 08 67 0c IP Einstellungen IP Adresse 10 17 246 141 Subnetz Maske 255 255 295 0 Standard Gateway 10 17 246 253 DNS Server Bevorzugter Server 10 17 0 2 Alternativer Server 0 0 0 0 Sie k nnen den Hardware Initiator jetzt konfigurieren oder seine Standardmerkmale ndern Konfiguration eines iSCSI Hardware Initiators W hrend der Konfiguration des iSCSI Hardware Initiators m ssen Sie den iSCSI Namen die IP Adressen die Zieladressen und die CHAP Parameter des Initiators einrichten Weitere Informationen finden Sie in folgenden Abschnitten m Einrichten von Namensparametern f r iSCSI Hardware Initiatoren auf Seite 115 m Einrichten von Erkennungsadressen f r Hardware Initiatoren auf Seite 117 m Einrichten von CHAP Parametern f r Hardware Initiatoren auf Seite 118 Nach der Konfiguration des iSCSI Hardware Initiators m ssen Sie erneut nach Speicher Devices scannen damit alle LUNs auf die der Initiator zugreifen kann im Ver
219. hen ist die f r ein Kennwort notwendig sind das nur aus Zeichen einer Zeichenklasse gebildet wird m Ni die Anzahl der Zeichen ist die f r ein Kennwort notwendig sind das aus Zeichen von zwei Zeichenklassen gebildet wird m N2 f r Kennworts tze verwendet wird F r ESX Server sind mindestens drei W rter notwendig um einen Kennwortsatz zu bilden m N3 die Anzahl der Zeichen ist die f r ein Kennwort notwendig sind das aus Zeichen von drei Zeichenklassen gebildet wird m N4 die Anzahl der Zeichen ist die f r ein Kennwort notwendig sind das aus Zeichen von allen vier Zeichenklassen gebildet wird m bereinstimmung die Anzahl der Zeichen ist die in einer Zeichenfolge wiederverwendet wird die aus dem alten Kennwort stammt Wenn pam_passwdgc so eine wiederverwendete Zeichenfolge mit mindestens dieser L nge findet schlie t es diese Zeichenfolge aus dem Qualit tstest aus und verwendet zur Pr fung nur die brigen Zeichen Wenn eine dieser Optionen auf 1 gesetzt wird ignoriert pam _passwdgc so diese Anforderung Wenn eine dieser Optionen auf disabled deaktiviert gesetzt wird lehnt pam_passwdgc so das Kennwort mit einem entsprechenden Merkmal ab Die Werte m ssen in absteigender Reihenfolge verwendet werden ausgenommen hiervon sind 1 und disabled Beispiel esxcfg auth usepamgc disabled 18 1 12 8 In dieser Einstellung werden alle Kennw rter die ein Anwender erstellt und die nur eine Zeichenklasse enthalten abge
220. her und Netzwerkkonfiguration Zielgruppe Dieses Handbuch richtet sich an alle Benutzer die ESX Server 3 installieren und verwenden oder ein Upgrade durchf hren m chten Die Informationen in diesem Handbuch wurden f r erfahrene Administratoren von Windows oder Linux Sys temen geschrieben die mit der Technologie virtueller Maschinen und Datacenter Vorg ngen vertraut sind Feedback zu diesem Dokument Wenn Sie Kommentare oder Hinweise zu diesem Dokument haben bermitteln Sie Ihr Feedback an docfeedback vmware com VMware Infrastructure Dokumentation Die VMware Infrastruktur Dokumentation besteht aus dem Dokumentationssatz f r VirtualCenter und den ESX Server Auf den folgenden Websites haben Sie Zugriff auf die aktuellsten Versionen dieses Handbuchs und anderer Dokumentationen http www vmware com support pubs 12 VMware Inc Konventionen Einleitung Tabelle P 2 sind die in diesem Handbuch verwendeten typographischen Konventionen dargestellt Tabelle P 2 Im Handbuch verwendete Konventionen Schriftart Blau nur online Elemente Querverweise und E Mail Adressen Blau Fettschrift nur online Verkn pfungen Schwarz Fettschrift Elemente der Benutzeroberfl che wie z B Schaltfl chen bezeichnungen und Men elemente Nicht Proportionalschrift Befehle Dateinamen Verzeichnisse und Pfadangaben Nicht Proportionalschrift Benutzereingabe fett Kursiv Titel von
221. hieben Bei der Bearbeitung eines Datastores k nnen Sie seine Bezeichnung ndern Erweiterungen hinzuf gen oder Pfade zu den Speicherger ten ndern Sie k nnen den Datastore auch aktualisieren Weitere Informationen finden Sie unter Speicherverwaltung auf Seite 137 Anzeige der Speicheradapter Der VI Client zeigt alle Speicheradapter an die im System zur Verf gung stehen Um Speicheradapter anzuzeigen klicken Sie auf der Registerkarte Konfiguration des Hosts auf den Link Speicheradapter Sie k nnen sich ber Speicheradapter die folgenden Informationen anzeigen lassen m Bestehende Speicheradapter m Art des Speicheradapters z B Fibre Channel SCSI oder iSCSI m Details zu jedem Adapter wie z B das angebundene Speicherger t und die Target ID Um die Konfigurationseigenschaften eines bestimmten Adapters anzuzeigen markieren Sie den Adapter in der Liste Speicheradapter VMware Inc 95 Handbuch zur Server Konfiguration In Abbildung 5 3 wurde der Fibre Channel Speicheradapter vmhba0 markiert Die Detailansicht gibt Auskunft ber die Anzahl der LUNs an die der Adapter angebunden ist und ber die verwendeten Pfade Wenn Sie die Konfiguration des Pfads ndern wollen markieren Sie den Pfad in der Liste klicken mit der rechten Maustaste auf den Pfad und klicken auf Pfade verwalten Der Assistent Pfade verwalten wird ge ffnet Weitere Informationen zur Verwaltung von Pfaden finden Sie unter Verwalt
222. hinen notwendig Diese Ports unterst tzen verschiedene Client Funktionen verbinden verschiedene Schichten in nerhalb von ESX Server und verwenden verschiedene Authentifizierungsprotokolle Dabei handelt es sich um m Port 902 VirtualCenter Server verwendet diesen Port um Daten an die von VirtualCenter verwalteten Hosts zu senden Auch der VI Client verwendet diesen Port wenn er direkt mit dem ESX Server Host verbunden ist um Management Funktionen f r den Server und seine virtuellen Maschinen durchzuf hren Port 902 ist der Port den der VirtualCenter Server und der VI Client f r verf gbar halten wenn sie Daten an den ESX Server Host senden Bei VMware kann f r diese Verbindungen kein anderer Port konfiguriert werden VMware Inc 189 Handbuch zur Server Konfiguration Port 902 verbindet den VirtualCenter Server oder den Client ber den VMware Authorization Daemon vmware authd der in der Servicekonsole ausgef hrt wird mit dem ESX Server Host Der Authorization Daemon multiplext Daten von Port 902 zur Verarbeitung an den VMware Host Agent vmware hostd m Port 443 Der VI Web Access Client und SDK verwenden diesen Port um Daten an die von VirtualCenter verwalteten Hosts zu senden Der VI Web Access Client und SDK verwenden diesen Port auch wenn sie direkt mit dem ESX Server Host verbunden sind um Management Funktionen f r den Server und seine virtuellen Maschinen durchzuf hren Port 443 ist der Port den der VI Web Acces
223. hing Unterst tzung sind keine speziellen Failover Treiber erforderlich Um Pfad Switching zu unterst tzen verf gt der Server in der Regel ber einen oder mehrere HBAs ber die der Speicher Array unter Verwendung von einem oder mehreren Switches erreicht werden kann Alternativ kann die Konfiguration auch einen HBA und zwei Speicherprozessoren aufweisen sodass der HBA einen anderen Pfad verwenden kann um auf den Festplatten Array zuzugreifen Standardm ig verwenden ESX Server Systeme nur einen Pfad von einem Host zu einer bestimmten LUN zu einer bestimmten Zeit Wenn der durch das ESX Server System verwendete Pfad ausf llt w hlt der Server einen anderen verf gbaren Pfad VMware Inc 143 Handbuch zur Server Konfiguration 144 aus Der Prozess der Erkennung eines ausgefallenen Pfads und der Wechsel auf einen anderen Pfad wird als Pfad Failover bezeichnet Ein Pfad f llt aus wenn einer der Komponenten HBA Kabel Switch Port oder Speicherprozessor gemeinsam mit dem Pfad ausf llt ESX ESX Server Server HBA2 HBA4 Switch Switch Speicher Array Abbildung 7 1 Multipathing Die Abbildung Abbildung 7 1 zeigt dass jeder Server ber mehrere Pfade mit dem Speicher Device verbunden ist Wenn zum Beispiel HBA1 oder die Verbindung zwischen HBAl und dem Switch ausf llt bernimmt HBA2 und stellt eine Verbindung zwischen dem Server und dem Switch zur Verf gung Der Prozess in dem ein HBA f r einen anderen HBA einspring
224. hlersuche usr lib vmware bin debug vmware vmk In beiden Verzeichnissen erforderlich Wenn Sie eine der erforderlichen Anwendungen deaktivieren f hrt dies zu Problemen bei der ESX Server Authentifizierung und beim Betrieb der virtuellen Maschinen Sie k nnen jedoch alle optionalen Anwendungen deaktivieren Deaktivierung einer optionalen setuid Anwendung 1 2 254 Geben Sie folgenden Befehl ein chmod a s lt path_to_executable gt Melden Sie sich auf der Servicekonsole an und erlangen Sie Root Privilegien VMware Inc setgid Kapitel 12 Sicherheit der Servicekonsole Standardanwendungen Es werden standardm ig zwei Anwendungen installiert die das setgid Kennzeichen enthalten Tabelle 12 3 listet die setgid Standardanwendungen auf und zeigt an ob eine Anwendung erforderlich oder optional ist Tabelle 12 3 setgid Standardanwendungen Anwendung Zweck und Pfad Erforderlich oder optional wall Warnt alle Anschl sse dass ein bestimmter Vor Optional gang bevorsteht Diese Anwendung wird durch shutdown und andere Befehle aufgerufen Pfad usr bin wall lockfile F hrt Sperroperationen f r den Dell OM F r Dell OM erforderlich Management Agenten aus ansonsten optional Pfad usr bin lockfile Wenn Sie eine der erforderlichen Anwendungen deaktivieren f hrt dies zu Problemen bei der ESX Server Authentifizierung und beim Betrieb der virtuellen Maschinen Sie k nnen jedoch alle optionalen
225. hmen wenn Sie ESX Server in einer vertrauensw rdigen Umgebung verwenden Wenn Sie VirtualCenter und VI Web Access aktualisieren wird das Zertifikat bei behalten Wenn Sie VirtualCenter und VI Web Access deinstallieren wird das Ver zeichnis in dem sich das Zertifikat befindet nicht von der Servicekonsole gel scht Konfiguration des Web Proxys zur Suche nach Zertifikaten an anderen Speicherorten 1 2 3 VMware Inc Melden Sie sich als Root Anwender auf der Servicekonsole an Wechseln Sie in das Verzeichnis etc vmware hostd ffnen Sie die Datei config xml mit nano oder einem anderen Texteditor und bearbeiten Sie das folgende XML Segment 229 Handbuch zur Server Konfiguration lt ss1l gt lt The server private key file gt lt privateKey gt etc vmware ssl rui key lt privateKey gt lt The server side certificate file gt lt certificate gt etc vmware ssl rui crt lt certificate gt lt ss1 gt 4 Ersetzen Sie etc vmware ssl rui key durch das absolute Verzeichnis zu der per s nlichen Schl sseldatei die Sie von der beglaubigten Zertifikatsbeh rde erhalten haben Dieses Verzeichnis kann sich auf dem ESX Server Host oder auf einem zentra lisierten Computer auf dem die Zertifikate und Schl ssel f r Ihr Unternehmen gespeichert sind befinden HINWEIS Belassen Sie die XML Tags lt privateKey gt und lt privateKey gt an ihrem Platz 5 Ersetzen Sie etc vmware ssl rui crt durch das abso
226. hnet die Festplatten Partitionen Dieses Argument verwendet ein vmhbaA T L P Format in dem es sich bei A T Lund P um Ganzzahlen handelt die den Adapter das Target die LUN und die Partitionsnummer bezeichnen Diese Zahl der Partition muss gr er als Null sein und muss der g ltigen VMFS Partition des Typs fb entsprechen vmhba0 2 3 1 beispielsweise bezieht sich auf die erste Partition auf LUN 3 Target 2 HBA 0 lt device gt bezeichnet Ger te oder logische Volumen Das Argument verwendet einen Pfadnamen im ESX Server Ger te Dateisystem Der Pfadname beginnt mit vmfs devices wobei es sich um den Mount Point des Ger te Dateisystems handelt Verwenden Sie zur Angabe der verschiedenen Ger tetypen die folgenden Formate m vmfs devices disks f r lokale oder SAN basierte Festplatten m vmfs devices lvm f r logische ESX Server Volumen m vmfs devices generic f r generische SCSI Ger te wie zum Beispiel Bandlaufwerke lt path gt bezeichnet ein VMFS Dateisystem oder eine Datei Bei diesem Argument handelt es sich um einen absoluten oder relativen Pfad der einen symbolischen Link zu einem Verzeichnis dem Raw Device Mapping oder eine Datei unter vmfs auff hrt m Um ein VMFS Dateisystem anzugeben verwenden Sie dieses Format vmfs volumes lt file_system_UUID gt oder vmfs volumes lt file_system_label gt VMware Inc Anhang B Verwendung von vmkfstools m Um eine VMFS Datei anzugeben verwenden Sie dieses Forma
227. hritte aus m Wenn der CHAP Name dem iSCSI Adapternamen entsprechen soll aktivieren Sie das Kontrollk stchen Initiatornamen verwenden m Um den CHAP Name nicht mit dem iSCSI Adapternamen zu vergeben d rfen Sie Initiatornamen verwenden nicht ausw hlen und m ssen statt dessen einen Namen von bis zu 255 alphanumerischen Zeichen im Feld CHAP Name eingeben Geben Sie einen CHAP Schl ssel ein der als Teil der Authentifizierung verwendet werden soll Der Schl ssel den Sie eingeben ist eine Zeichenfolge HINWEIS Der VIClient verlangt keine Mindest oder H chstl nge f r den CHAP Schl ssel 8 den Sie eingeben Bestimmte iSCSI Speicherger te fordern jedoch eine Mindest l nge oder beschr nken die Art der verwendbaren Zeichen Weitere Informa tionen zu den Anforderungen der Speicherger te erhalten Sie in der Dokumen tation des Herstellers Klicken Sie auf OK Deaktivierung der iSCSI Authentifizierung 1 VMware Inc Melden Sie sich am VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration und dann auf Speicheradapter Markieren Sie den gew nschten iSCSI Adapter und klicken Sie dann auf Eigenschaften Das Dialogfeld Eigenschaften des iSCSI Initiators wird ge ffnet Klicken Sie auf CHAP Authentifizierung gt Konfigurieren Das Dialogfeld CHAP Authentifizierung
228. ht ben tigten oder ungenutzten Hardware Ger te zu entfernen Zwar erh ht diese Ma nahme die Sicherheit der virtuellen Maschinen aber sie ist keine gute L sung wenn ein gegenw rtig unge nutztes Ger t sp ter reaktiviert werden soll Wenn Sie ein Ger t nicht dauerhaft entfernen m chten k nnen Sie verhindern dass ein Anwender oder Prozess einer virtuellen Maschine das Ger t aus dem Gast Betriebs system heraus einbindet oder trennt Schutz vor dem Trennen von Ger ten durch einen Anwender oder Prozess auf einer virtuellen Maschine 1 Melden Sie sich am VI Client an und w hlen Sie die virtuelle Maschine aus dem Inventar aus Die Konfiguration f r diese virtuelle Maschine wird mit der Registerkarte bersicht angezeigt 2 Klicken Sie auf Einstellungen bearbeiten Das Dialogfeld Eigenschaften der virtuellen Maschine wird ge ffnet 268 VMware Inc 3 VMware Inc Kapitel 13 Sichere Implementierungen und Sicherheits empfehlungen Klicken Sie auf Einstellungen gt Allgemeines und notieren Sie sich den Pfad der im Feld Konfigurationsdatei der virtuellen Maschine angezeigt wird YM 1 Eigenschaften der virtuellen Maschine Iof xi Hardware Optionen Ressourcen ESX 3 x virtual machine Einstellungen bersicht Allgemein yM 1 vMware Tools System Standard Energie Management Standby Erweitert Protokollierung Name der virtuellen Maschine vm 1 m Konfigurationsdatei der virtuellen Maschine
229. ht zur dynamischen IP Adresse zuweisen kann m ssen Sie die numerische IP Adresse der Servicekonsole bestimmen und diese numerische IP Adresse verwenden wenn Sie auf die Webseiten der Schnittstelle zugreifen Diese numerische IP Adresse kann sich ndern wenn DHCP Zuweisungen auslaufen oder wenn das System neu gestartet wird Aus diesem Grund wird die Verwendung von DHCP f r die Servicekonsole nicht empfohlen wenn der DNS Server die Host namen bersetzung nicht durchf hren kann VMware Inc 43 Handbuch zur Server Konfiguration 44 VMware Inc Erweiterte Netzwerkeigenschaften Dieses Kapitel f hrt Sie durch die erweiterten Netzwerkfragen in einer ESX Server Umgebung und durch die Einrichtung und nderung der erweiterten Netzwerkkonfigurationsoptionen In diesem Kapitel werden folgende Themen behandelt VMware Inc Erweiterte Netzwerkaufgaben auf Seite 46 Konfiguration des virtueller Switch auf Seite 46 Konfigurieren der Port Gruppe auf Seite 60 DNS und Routing auf Seite 62 Einrichten von MAC Adressen auf Seite 64 Netzwerk Tipps und Empfehlungen auf Seite 67 45 Handbuch zur Server Konfiguration Erweiterte Netzwerkaufgaben Dieses Kapitel erkl rt wie die folgenden erweiterten Netzwerkaufgaben ausgef hrt werden m Bearbeitung der Port Anzahl f r einen vSwitch auf Seite 46 m Konfiguration der Geschwindigkeit des Uplink Netzwerkadapters auf Seite 49 m H
230. i der Installation auf hoch gesetzt d h alle nach au en gerichteten Ports werden geschlossen und die wenigen freigegebenen nach innen gerichteten Ports sind die Ports die f r die Kommunikation mit Clients wie dem VMware VI Client notwendig sind VMware empfiehlt die Beibehaltung dieser Sicherheitsebene wenn die Servicekonsole nicht an ein vertrauensw rdiges Netzwerk angeschlossen ist VMware Inc 171 Handbuch zur Server Konfiguration m Standardm ig sind alle Ports die nicht spezifisch f r den Management Zugriff auf die Servicekonsole notwendig sind geschlossen Wenn Sie zus tzliche Dienste ben tigen m ssen Sie die jeweiligen Ports freigeben m Standardm ig wird der gesamte Datenverkehr zwischen Clients ber SSL ver schl sselt Die SSL Verbindung verwendet 256 Bit AES Blockverschl sselung und 1024 Bit RSA Schl sselverschl sselung m Der Tomcat Web Dienst der intern von ESX Server zum Zugriff auf die Service konsole ber Webclients wie VMware Virtual Infrastructure Web Access verwen det wird wurde so angepasst dass er nur die f r die Verwaltung und berwa chung ber einen Webclient notwendigen Funktionen ausf hrt Daher ist ESX Server nicht von den Sicherheitsl cken betroffen die f r Tomcat in weiter gefas sten Anwendungsbereichen gemeldet wurden m VMware berwacht alle Sicherheitswarnungen die die Sicherheit der Service konsole beeinflussen k nnen und ver ffentlicht ggf Sicherheitspatche
231. iSCSI Speicher 129 Neu scannen 131 NAS Netzwerkspeicher 132 Gemeinsames Plattenspeichersystem 133 Verwendung von NFS durch virtuelle Maschinen 133 NFS Volumes und Delegate Benutzer virtueller Maschinen 134 Konfiguration von ESX Server zum Zugriff auf NFS Datentr ger 135 Erstellung eines NFS basierten Datastores 135 7 Speicherverwaltung 137 Verwaltung von Datastores und Dateisystemen 138 Hinzuf gen neuer Datastores 138 VMware Inc 5 Handbuch zur Server Konfiguration Entfernen bestehender Datastores 139 Bearbeiten bestehender VMFS basierter Datastores 139 Aktualisierung von Datastores 139 Namens nderung von Datastores 140 Erweiterung von Datastores 141 Verwalten von Pfaden f r Fibre Channel und iSCSI 143 Anzeige des aktiven Multipathing Status 145 Aktive Pfade 146 Einrichten der Multipathing Policys f r LUNs 147 Deaktivieren und Aktivieren von Pfaden 148 Einrichten des bevorzugten Pfads Nur feste Pfadkonventionen 149 Die vmk fstools Befehle 150 8 Raw Device Mapping 151 Wissenswertes ber Raw Device Mapping 152 Begriffe 153 Vorteile der Raw Device Mapping 153 Einschr nkungen der Raw Device Mapping 156 Raw Device Mapping Eigenschaften 156 Vergleich des virtuellen und des physischen Kompatibilit tsmodus 157 Dynamische Namensaufl sung 158 Raw Device Mapping f r Virtuelle Maschinen Cluster 160 Vergleich der Raw Device Mapping mit anderen Arten des SCSI Ger tezugriffs 160 Verwalten zugeordneter LUNs 161 Virtual
232. icekonsole zugeordnet ist In der Registerkarte Port klicken Sie auf Hinzuf gen Der Assistent zum Hinzuf gen von Netzwerken wird angezeigt VMware Inc VMware Inc Kapitel 4 Netzwerk Szenarien und Probleml sung W hlen Sie VMkernel und klicken Sie auf Weiter Damit k nnen Sie das VMkernel das Dienste f r VMotion und IP Speicher NFS oder iSCSI ausf hrt an ein physisches Netzwerk anschlie en Das Dialogfeld Verbindungseinstellungen wird angezeigt W hlen Sie eine Netzwerkbezeichnung und eine VLAN ID unter Eigenschaften der Port Gruppe aus bzw geben Sie diese ein Netzwerkbezeichnung Ein Name der die Port Gruppe bezeichnet die erstellt wird Es handelt sich dabei um die Bezeichnung die Sie bei der Konfi guration von VMkernel Diensten wie VMotion und IP Speicher w hrend der Konfiguration des virtuellen Adapters der an diese Port Gruppe angeschlos sen wird festlegen VLAN ID Bezeichnet das VLAN das f r den Netzwerkdatenverkehr der Port Gruppe verwendet wird Aktivieren Sie das Kontrollk stchen Diese Port Gruppe f r VMotion verwenden damit diese Port Gruppe anderen ESX Servern melden kann dass sie die Netz werkverbindung ist an die VMotion Datenverkehr gesendet werden soll Auf jedem ESX Server Host kann diese Eigenschaft nur f r eine VMotion und IP Speicher Port Gruppe aktiviert werden Wenn diese Eigenschaft f r keine der Port Gruppen aktiviert wurde ist eine VMotion Migration auf d
233. icken Sie auf den Eigenschaften Link Das Dialogfeld Volume Eigenschaften wird angezeigt 4 Klicken Sie unter Erweiterungen auf Erweiterung hinzuf gen Der Assistent zum Hinzuf gen von Erweiterungen wird ge ffnet Erweiterung hinzuf gen Ger t erweitern Wenn ein Ger t nicht eindeutig konfiguriert werden kann werden Sie aufgefordert eine Partition a Ger t erweitern tells Fertelatben Lawvol Ger t Kapazk t Verf gbar SAN Bezeichner un vmhbad 0 43 4 00 Ga 34 er a vmb Di ze 2 9 I nika aa vmhbhan i47 1 00 5 3 0058 BB ne 1 Tree Bel oe reed 3 00 a ER Er SD iin aHREC EN 1 0 GE Mu Dre SEO ch rbb 03 1 00 GE a S0 08 01 050 30 23 04 vrbibal le 1 00 h rer mihai l 4 0 Bu Are 1 a viba 04i 4 00 aa 1 Tidit Erd Te Fe ern iiy 4 0 BU I a 1 Erata a E PR vmhbale ie 35 1 00 5 Er uiig D aHule rd 4 00 GE 3 aha 5 rl vera 3 1 00 GE pi SID npg 0a H mbib50 0 35 4 00 52 a 50 06 01560 30 22 38 04 rbb le 1 0 3 reed rbb ee an nee Aa rn idos ee apa ED en Horde gt E i Pepe rn i 1 00 0 0 Eee rbb ey 1 0058 1022 00 M Toppop rie r rn De 1 00 GE 1022 00 Mi So ee mbbad ln LOGGE Be a AEE ner Han PORR nf DZ 1 00 28 1022 00 Mi eca pn i I via idia ee Tidbdi nti Mha HENK HN ZAA Ka Pe HEISE 5 W hlen Sie die Festplatte aus die Sie als neue Erweiterung hinzuf gen m chten und klicken Sie auf Weiter Das Aktuelle Festplatten Layout wird angezeigt 6 berpr fen Sie das aktu
234. ie auf Eigenschaften Das Dialogfeld Volume Eigenschaften f r diesen Datastore wird ge ffnet Yolume Eigenschaften M Allgemein Format Datastore Name storage Dateisystem VMFS 3 21 Maximale Dateigr e 256 GB Block gr e 1MB Erweiterungen Ger t erweitern Ein VMFS Dateisystem kann mehrere Festplattenpattitionen oder Die Inks ausgew hlte Erweiterung ist auf der unten Erweiterungen umfassen um ein einziges Volume zu bilden beschriebenen LUN bzw physischen Laufwerk gespeichert Erweiterung Ger t t vmhba0 0 0 2 48 83 GB vmhb30 0 0 68 36 GB Prim re Partitionen 1 Linux Native 2 92 GB 2 HPFS NTFS 14 64 GB 3 VMFS 48 83 GB 4 Extended 1 95 GB Logische Partitionen 5 Linux swap 1 95 GB Formatierte Gesamtkapazit t 48 75 GB org Prade vennale Schlie en Hilfe Das Fenster Ger teerweiterung enth lt Informationen ber den Status jedes einzelnen Pfads zum Speicher Device Die folgenden Pfadinformationen werden angezeigt m Aktiv Der Pfad ist aktiv und ist der aktuell verwendete Pfad f r die ber mittlung von Daten m Deaktiviert Der Pfad wurde deaktiviert Daten k nnen nicht bertragen werden m Betriebsbereit Der Pfad ist aktiv er wird jedoch derzeit nicht zum ber tragen von Daten verwendet m Ausgefallen Die Software kann ber diesen Pfad keine Verbindung mit der Festplatte herstellen 145 Handbuch zur Server Konfiguration 146 Klicken Sie auf Pfade verwalten um den
235. ie das iSCSI SAN durch die Konfiguration eines eigenen VLANs f r das iSCSI SAN sch tzen Wenn die iSCSI Struktur sich in einem eigenen VLAN befindet wird sichergestellt dass keine Ger te au er dem iSCSI Adapter Einblick in bertragungen im iSCSI SAN haben Sicherung der iSCSI Port Wenn Sie die iSCSI Ger te ausf hren ffnet der ESX Server Host keine Ports die Netzwerkverbindungen abh ren Dadurch wird die Chance dass ein Angreifer ber ungenutzte Ports in den ESX Server Host ein brechen und Kontrolle ber ihn erlangen kann Daher stellt der Betrieb von iSCSI kein zus tzliches Sicherheitsrisiko f r den ESX Server Host dar Beachten Sie dass auf jedem iSCSI Zielger t mindestens ein freigebener Port f r iSCSI Verbindungen vorhanden sein muss Wenn es Sicherheitsprobleme in der Software des iSCSI Ger tes gibt k nnen die Daten unabh ngig von ESX Server in Gefahr sein Installieren Sie alle Sicherheitspatches des Speicherherstellers und beschr nken Sie die Anzahl der an das iSCSI Netzwerk angeschlossenen Ger te um dieses Risiko zu verringern VMware Inc Authentifizierung und Anwender Management In diesem Kapitel wird erl utert wie ESX Server die Anwenderauthentifizierung vor nimmt und wie Sie Anwender und Gruppenzugriffsberechtigungen einrichten Au erdem werden die Verschl sselung f r Verbindungen zum VI Client zu SDK und zu VI Web Access sowie die Konfigurierung eines delegierten Anwendernamens f r ber
236. iert m ssen Sie ge gebenenfalls grundlegende Aufgaben wie die Einrichtung von Anwendern Gruppen Zugriffsberechtigungen und Rollen vornehmen die Anwenderattribute konfigurieren VMware Inc Kapitel 11 Authentifizierung und Anwender Management eigene Zertifikate erstellen ggf SSL einrichten usw Weitere Informationen zu diesen Themen und Aufgaben finden Sie in diesem Abschnitt der folgende Themengebiete umfasst m Anwender Gruppen Zugriffsberechtigungen und Rollen auf Seite 213 m Verwaltung von Anwendern und Gruppen auf ESX Server Hosts auf Seite 219 m Verschl sselungs und Sicherheitszertifikate f r ESX Server auf Seite 228 m Delegierte der virtuellen Maschine f r NFS Speicher auf Seite 234 Anwender Gruppen Zugriffsberechtigungen und Rollen Der Zugriff auf einen ESX Server Host und dessen Ressourcen wird dann gew hrt wenn sich ein bekannter Anwender mit den entsprechenden Zugriffsberechtigungen auf dem Host mit einem Kennwort anmeldet das dem f r den Anwender gespeicherten Kennwort entspricht VirtualCenter verwendet ein hnliches Verfahren um Anwendern Zugriff zu gew hren VirtualCenter und ESX Server Hosts bestimmen die Zugriffsebene f r einen Anwender anhand der Zugriffsberechtigungen die dem Anwender zuge wiesen wurden So kann zum Beispiel ein Anwender die Berechtigung haben virtuelle Maschinen auf einem Host zu erstellen w hrend ein anderer Anwender zwar die Be rechtigung hat virtu
237. ierungen und Grenzwerte individuell ein wenn Sie das Standardver halten auf Ihre Bed rfnisse so zuschneiden wollen dass die Verteilung ber die ge samte Konfiguration der virtuellen Maschine nicht einheitlich ist Eine Abhandlung zur Verwaltung der Ressourcenzuweisung f r virtuelle Maschinen finden Sie im Handbuch zum Ressourcen Management Sicherheit ber die Servicekonsole Die Servicekonsole von ESX Server 3 0 ist eine eingeschr nkte Linux Version die auf Red Hat Enterprise Linux 3 Aktualisierung 6 RHEL 3 U6 beruht Die Servicekonsole stellt eine Ausf hrungsumgebung f r die berwachung und Verwaltung des gesam ten ESX Server Hosts zur Verf gung Wenn die Servicekonsole auf bestimmte Weise beeintr chtigt wird ist auch die von ihr gesteuerte virtuelle Maschine gef hrdet Um das Risiko eines Angriffs ber die Service konsole zu minimieren wird die Servicekonsole von VMware durch eine Firewall ge sch tzt Weitere Informationen zu dieser Firewall finden Sie unter Konfiguration der Servicekonsolen Firewall auf Seite 240 Neben der Implementierung der Firewall der Servicekonsole verringert VMware die Risiken f r die Servicekonsole auf folgende Weise m FSX Server verf gt nur ber Dienste die zur Verwaltung seiner Funktionen unab dingbar sind die Servicekonsole beschr nkt sich auf die Funktionen die zum Be trieb von ESX Server notwendig sind m Die Standardeinstellung f r die Sicherheit von ESX Server wird be
238. iesen Host nicht m glich Assistent zum Hinzuf gen von Netzwerken Flle x YMkernel Netzwerkzugriff Kennzeichnen Sie VMkernel verbindungen mik Netzwerkbezeichnungen w hrend Sie die Hosts und Datacenters verwalten Port Gruppen Eigenschaften Netzwerkbezeichnung en YLAN ID optional 123 1 Diese Port Gruppe f r YMotion verwenden IP Einstellungen IP Adresse 000 000 000 000 Subnetz Maske 000 000 000 000 Standard Gateway f r vMkernel Bearbeiten Vorschau VMkernel j I j l 79 Handbuch zur Server Konfiguration 8 Klicken Sie unter IP Einstellungen auf Bearbeiten um das Standard Gateway f r VMkernel f r VMkernel Dienste wie z B VMotion NAS und iSCSI einzurichten HINWEIS Die Standard Gateway f r den Port den Sie erstellen muss eingestellt werden VirtualCenter 2 unterscheidet sich hier von VirtualCenter 1 x Sie m ssen zur Konfiguration des VMkernel IP Stapels eine g ltige IP Adresse verwenden keine Pseudoadresse Das Dialogfeld DNS und Routing Konfiguration wird angezeigt Auf der Registerkarte DNS Konfiguration ist im Namensfeld standardm ig der Host name eingetragen Auch die DNS Server Adressen und die Dom ne die w hrend der Installation angegeben wurden werden automatisch ausgef llt Auf der Registerkarte Routing ben tigen die Servicekonsole und das VMkernel jeweils eigene Gateway Angaben Eine Gateway ist zur Anbindung an Computer notwendig
239. ieser Dienste sind gegebenenfalls weitere Schritte notwendig Wenn Sie ein Ger t einen Dienst oder einen Agenten installieren der nicht in der Liste aufgef hrt wurde m ssen Sie ber die Befehlszeile Ports in der Firewall der Service konsole freigeben Weitere Informationen finden Sie unter Konfiguration der Servicekonsolen Firewall auf Seite 240 So erm glichen Sie einem Dienst oder einem Management Agenten den Zugriff auf ESX Server 1 Melden Sie sich am VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt 2 Klicken Sie auf die Registerkarte Konfiguration und dann auf Sicherheitsprofil Der VI Client zeigt ein Verzeichnis der gegenw rtig aktiven eingehenden und ausgehenden Verbindungen mit den entsprechenden Firewall Ports an Sicherheitsprofil Firewall Eingehende Verbindungen FTP Server YNL_ Server EME AAM Chient CIM Server Sicherer Cihl Server CIM SLP 55H Serwer Ausgehende Verbindungen NIS Jlient Telnet Client NTP Llentk SMB Client SSH Llient Software iSCSI Jient EMT AAM Chient CIM SLP VMware Lizenz Qlient Y ware Virkuallenter Agent FTP Llienk NFS Llient Eigenschaften 21 TCP 5900 5964 TCP 2050 5000 8042 8045 TCP UDP 5988 TOP 5989 TOP 427 UDP TCP 22 TCP 111 0 65535 LDP TCP 23 TCP 123 UDF 137 139 445 TCP 22 TCP 3260 TCP 2050 5000 8042 8045 TCP UDP 427
240. igen noch ndern So kann zum Beispiel ein Anwender dem f r eine bestimmte virtuelle Maschine die Rolle Kein Zugriff zugewiesen wurde die virtuelle Maschine nicht in der VI Client Inventar sehen wenn er oder sie sich auf dem ESX Server Host anmeldet Wenn einem Anwender f r ein bestimmtes Objekt diese Rolle zugewiesen wurde kann er oder sie die Registerkarten im VI Client f r das verbotene Objekt ausw hlen aber es wird kein Inhalt angezeigt Wenn der Anwender zum Beispiel keinen Zugriff auf virtuelle Maschinen hat kann er oder sie die Registerkarte Virtual Machines Virtuelle Maschinen anklicken aber er sieht weder das Verzeichnis der virtuellen Ma schinen auf der Registerkarte noch die Statusinformationen die Tabelle ist leer Die Rolle Kein Zugriff ist die Standardrolle die allen Anwendern oder Gruppen die Sie auf einem ESX Server Host erstellen zugewiesen wird Sie k nnen die Rolle neuer Anwender oder Gruppen objektabh ngig mit h heren oder niedrigeren Zu griffsrechten ausstatten VMware Inc Kapitel 11 Authentifizierung und Anwender Management HINWEIS Die einzigen Anwender denen die Rolle Kein Zugriff nicht standardm ig zugewiesen wird sind der Root Anwender und der vpxuser Stattdessen wird ihnen die Administratorenrolle zugewiesen ndern Sie die Rolle f r diese An wender nicht Sie k nnen die Genehmigungen der Root Anwender insgesamt l schen oder deren Rolle auf Kein Zugriff
241. igurieren Die meisten dieser Befehle sind nur f r die Verwen dung durch die technische Unterst tzung vorgesehen und hier nur zu rein informativen Zwecken aufgef hrt In einigen wenigen F llen sind diese Befehle jedoch das einzige Mittel zur Ausf hrung einer bestimmten Konfigurationsaufgabe f r den ESX Server Host Auch wenn die Verbindung zum Host unterbrochen wird bleibt Ihnen nur die Ausf hrung einiger dieser Befehle ber die Befehlszeilenoberfl che zum Beispiel wenn das Netzwerk ausf llt und der Zugriff ber den VI Client daher nicht verf gbar ist HINWEIS Wenn Sie die Befehle in diesem Anhang verwenden m ssen Sie den Befehl service mgmt vmware restart ausf hren um den Prozess vmware hostd neu zu starten und den VI Client und andere Verwaltungs Tools auf die nderungen der Konfiguration aufmerksam zu machen Im Allgemeinen sollten Sie die Ausf hrung der Befehle aus diesem Anhang vermeiden wenn der Host gerade durch den VI Client oder den VirtualCenter Server verwaltet wird Die grafische Benutzeroberfl che des VI Clients ist das bevorzugte Mittel zur Aus f hrung der Konfigurationsaufgaben die in diesem Anhang beschrieben werden Sie k nnen diesen Anhang verwenden wenn Sie wissen m chten welche VI Client Befehle anstelle der Servicekonsolenbefehle verwendet werden k nnen Dieser Anhang fasst die Aktionen die Sie in VI Client durchf hren zusammen bietet jedoch keine vollst ndige Anleitung Details zur Verwendung d
242. im VI Client auf Netzwerk gt Vernetzen W hlen Sie Servicekonsole aus und folgen Sie den Anweisungen des Assistent zum Hinzuf gen von Netz werken Im Schritt Verbindungseinstellungen wird die IP Adressen Subnetzmaske und der Standardgateway der Servicekonsole eingerichtet Wenn Sie die Einstellungen berpr fen m chten klicken Sie auf das blaue Symbol links vom Servicekonsolen Port Wenn Sie eine der Einstellungen bearbeiten m chten klicken Sie f r den entsprechenden Switch auf Eigen schaften W hlen Sie den Servicekonsolen Port aus der Liste des Dialogfelds zu den Switch Eigenschaften aus Klicken Sie auf Bearbeiten um die Eigenschaften des Ports zu ffnen und dessen Einstellungen zu ndern Eine vollst ndige Anleitung zur Erstellung und Aktualisierung der Servicekonsolenverbindung finden Sie unter Konfiguration der Servicekonsole auf Seite 37 esxcfg vswitch Erstellt und aktualisiert die Netzwerkeinstellungen f r virtuelle Maschinen Klicken Sie zur Einrichtung von Netzwerkverbindungen f r eine virtuelle Maschine im VI Client auf Netzwerk gt Vernetzen W hlen Sie Virtuelle Maschine aus und folgen Sie den Anweisungen des Assistent zum Hinzuf gen von Netzwerken Wenn Sie die Einstellungen berpr fen m chten klicken Sie auf das Sprech blasen Symbol links von der gew nschten Port Gruppe der virtuellen Maschine Wenn Sie eine der Einstellungen bearbeiten m chten klicken Sie f r den entsprechenden Switch au
243. in um den Prozess vmware hostd neu zu starten service mgmt vmware restart Blockierung eines bestimmten Ports in der Servicekonsolen Firewall 1 Melden Sie sich auf der Servicekonsole an und erlangen Sie Root Privilegien 2 Geben Sie folgenden Befehl ein esxcfg firewall closePort lt Portnummer gt tcp udp in out lt Portname gt F r den Befehl closePort ist das Argument Port Name optional Beispiel esxcfg firewall closePort 6380 tcp in 3 Geben Sie folgenden Befehl ein um den Prozess vmware hostd neu zu starten service mgmt vmware restart Sie k nnen die Option closepPort verwenden um nur die Ports zu blockieren die Sie mit der Option openPort freigegeben hatten Wenn Sie ein anderes Verfahren verwen det haben um den Port freizugeben m ssen Sie auch das entsprechende Gegenst ck zu dem Verfahren verwenden um ihn zu blockieren So k nnen Sie zum Beispiel den SSH Port 22 nur blockieren indem Sie die eingehende und ausgehende SSH Server Verbindung im VI Client deaktivieren Weitere Informationen zur Freigabe und zur Blockierung von Ports ber den VI Client finden Sie unter Freigeben von Firewall Ports f r unterst tzte Dienste und Management Agenten auf Seite 192 VMware Inc 243 Handbuch zur Server Konfiguration Kennwortbeschr nkungen Wie leicht sich ein Angreifer auf einem ESX Server Host anmelden kann h ngt davon ab wie einfach er eine g ltige Anwendername Kennwort Kombination finden kann Ein b swi
244. in oder aus je nachdem welche Daten in der Exportdatei enthalten sein sollen Klicken Sie mit der rechten Maustaste an eine beliebige Stelle in der Anwender tabelle und w hlen Sie die Option Exportieren Das Dialogfeld Speichern unter wird angezeigt W hlen Sie ein Verzeichnis aus und geben Sie einen Dateinamen ein W hlen Sie den Dateityp aus Folgende Exportformate stehen f r Anwender und Gruppentabellen zur Verf gung m HTML normales HTML oder f r die Verwendung bei CSS Stylesheets formatiertes HTML m XML m Microsoft Excel m CSV Kommagetrennte Werte Klicken Sie auf OK 221 Handbuch zur Server Konfiguration Verwaltung der Anwendertabelle Sie k nnen Anwender zur Anwender Tabelle eines ESX Server Hosts hinzuf gen Anwender entfernen und andere Attribute wie Kennwort und Gruppenmitgliedschaft ndern Dabei ndern Sie das interne vom ESX Server Host erstellte Anwenderverzeichnis Hinzuf gen eines Anwenders zu einer ESX Server Anwendertabelle 1 Melden Sie sich ber den ESX Server Host im VI Client an 2 W hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt 3 Klicken Sie auf die Registerkarte Anwender amp Gruppen und dann auf Anwender 4 Klicken Sie mit der rechten Maustaste an eine beliebige Stelle in der Anwender tabelle und w hlen Sie die Option Hinzuf gen Das Dialogfeld Neuen Anwender hinzuf gen wird angezeigt dH Neuen Benutzer h
245. ines Hosts zum Inventar Wenn Sie der Inventar einen Host hinzuf gen zeigt VI Client alle Datastores an die der Host erkennt m Erstellung auf einem verf gbaren Speicherger t Mithilfe der Option Speicher hinzuf gen k nnen Sie einen neuen Datastore erstellen und konfigurieren Weitere Informationen finden Sie unter Speicherkonfiguration auf Seite 103 Sie k nnen ein Verzeichnis der verf gbaren Datastores anzeigen lassen und ihre Eigenschaften analysieren Um Datastores anzuzeigen klicken Sie auf der Registerkarte Konfiguration des Hosts auf den Link Speicher SCSI SAN und NES Der Speicherabschnitt zeigt f r jeden Datastore eine bersicht an Hier sind folgende Daten zu finden m Zielspeicherger t auf dem sich der Datastore befindet Siehe Grundlegendes zur Benennung von Speicherger ten in der Anzeige auf Seite 96 m Dateisystem das der Datastore verwendet Weitere Informationen finden Sie unter Dateisystemformate auf Seite 91 mM Gesamtkapazit t sowie verwendeter und freier Speicher W hlen Sie den Datastore aus dem Verzeichnis aus wenn Sie zus tzlich Details zu dem Datastore erfahren m chten Der Details Abschnitt enth lt folgende Daten m Speicherort des Datastores m Einzelne Erweiterungen die der Datastore belegt und deren Kapazit t m Pfade die zum Zugriff auf das Speicherger t verwendet werden 94 VMware Inc Kapitel 5 Speicher Einf hrung In Abbildung 5 2 wurd
246. inzuf gen Benutzerinformationen Anmeldung Il 7 I m Mo Benutzernam Name und UID sind optional f r Benutzernamen Kennwort eingeben j Kennwort Best tigen Shell Zugriff Diesem Benutzer Shell Zugriff erteilen Gruppenmikgliedschaft Gruppe Abbrechen 5 Geben Sie eine Anmeldung einen Benutzernamen eine numerische Benutzer ID UID und ein Kennwort ein Die Angabe des Benutzernamens und der UID sind rein optional Wenn Sie keine UID angeben weist der VI Client die n chste verf gbare UID zu 222 VMware Inc Kapitel 11 Authentifizierung und Anwender Management Das Kennwort sollte in L nge und Komplexit t den Anforderungen im Abschnitt Kennwortbeschr nkungen auf Seite 244 entsprechen Der ESX Server Host pr ft nur dann auf eine bereinstimmung des Kennworts wenn Sie zum Plug in pam _passwdgc so gewechselt haben um sich zu authentifizieren Die Kennworteinstellungen im Standard Authentifizierungs Plug In pam_cracklib so werden nicht erzwungen 6 Wenn der Anwender in der Lage sein soll ber eine Befehlsshell auf den ESX Server Host zuzugreifen aktivieren Sie das Kontrollk stchen Zugriff ber Befehlsshell f r diesen Anwender zulassen Im Allgemeinen sollte der Shellzugriff nur ESX Server Host Anwendern gew hrt werden die diesen Zugriff auf den Host ber eine Shell statt ber den VI Client tats chlich ben tigen Anwender die nur ber den
247. inzuf gen von Uplink Adaptern auf Seite 50 m Bearbeiten der Sicherheits Policy f r Layer 2 auf Seite 53 m Bearbeiten der Traffic Shaping Policy auf Seite 55 m Bearbeiten der Policy f r Failover und Lastausgleich auf Seite 57 m Bearbeiten der Eigenschaften von Port Gruppen auf Seite 60 m So setzen Sie die Policys f r bezeichnete Netzwerke au er Kraft auf Seite 61 m ndern der DNS und Routing Konfiguration auf Seite 62 m So richten Sie eine MAC Adresse ein auf Seite 66 Konfiguration des virtueller Switch 46 In diesem Abschnitt werden folgende Themen behandelt m Eigenschaften von virtuellen Switches auf Seite 46 m Policys f r virtuelle Switches auf Seite 53 Eigenschaften von virtuellen Switches Die vSwitch Einstellungen steuern Port Standardeinstellungen f r den ganzen vSwitch diese Port Einstellungen k nnen durch Port Gruppeneinstellungen au er Kraft gesetzt werden Bearbeiten der Eigenschaften von virtuellen Switches Zur Bearbeitung der vSwitch Eigenschaften geh rt m die Konfiguration von Ports m die Konfiguration des Uplink Netzwerkadapters Bearbeitung der Port Anzahl f r einen vSwitch 1 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt 2 Klicken Sie auf die Registerkarte Konfiguration und dann auf Netzwerk VMware Inc 3 VMware
248. irtuelle Maschinen jeweils f r die einzelnen Kunden ausgef hrt werden Die virtuellen Maschinen der verschiedenen Kunden k nnen sich auf dem gleichen ESX Server Host befinden aber der globale Administrator beschr nkt die gemeinsame Nutzung von Ressourcen um die Daten sicherheit zu gew hrleisten Es gibt einen globalen Administrator und mehrere Kundenadministratoren die die virtuellen Maschinen ihrer jeweiligen Kunden warten Zu dieser Implementierung geh ren auch Systemadministratoren der Kunden die kein ESX Server Konto haben aber ber die VM Konsole auf die virtuellen Maschinen zugreifen k nnen um Soft ware zu installieren und andere Wartungsaufgaben auf den virtuellen Maschinen durchzuf hren VMware Inc 261 Handbuch zur Server Konfiguration Tabelle 13 4 zeigt wie Sie die Komponenten gemeinsam nutzen und f r den ESX Server Host konfigurieren k nnen Tabelle 13 4 Gemeinsame Komponentennutzung in einer Implementierung f r mehrere Kunden mit Beschr nkungen Funktion Konfiguration Anmerkungen Servicekonsole auf dem Nein Isolieren Sie die Servicekonsole sodass sie ber gleichen physischen ihr eigenes physisches Netzwerk verf gt Netzwerk wie die vir tuellen Maschinen Servicekonsole auf dem Nein Isolieren Sie die Servicekonsole sodass sie ber gleichen VLAN wie die ihr eigenes VLAN verf gt Virtuelle Maschinen virtuellen Maschinen oder andere Systemkomponenten wie z B VMotion sollten ein anderes VLAN
249. iscuous Modus betrieben werden Der Promiscuous Modus deaktiviert jegliche Empfangsfilterung die der virtuelle Netzwerkadapter normalerweise ausf hren w rde sodass das Gast Betriebssystem den gesamten Datenverkehr aus dem Netzwerk empf ngt Zwar kann der Promiscuous Modus f r die Beobachtung der Netzwerkaktivit ten n tzlich sein aber er ist ein unsicherer Betriebsmodus da jeder Adapter im Promiscuous Modus Zugriff auf alle Pakete hat auch wenn manche Pakete nur f r einen spezifischen Netzwerkadapter bestimmt sind Das bedeutet dass ein Ad ministrator oder Root Anwender in einer virtuellen Maschine rein theoretisch den Datenverkehr der f r andere Gast oder Hostbetriebssysteme bestimmt ist ein sehen kann HINWEIS Unter bestimmten Umst nden ist es notwendig einen virtuellen Switch in den Promiscuous Modus zu setzen zum Beispiel wenn Sie eine Software zur Netz werkeinbruchserkennung oder einen Paketmitschneider verwenden Wenn Sie eine dieser Standardeinstellungen f r einen Port ndern m chten m ssen Sie das Sicherheitsprofil in den Einstellungen des virtuellen Switches im VI Client ndern Informationen zum Bearbeiten dieser Einstellungen finden Sie unter Policys f r virtuelle Switches auf Seite 53 VMware Inc 203 Handbuch zur Server Konfiguration Absicherung von IiSCSI Speicher Zu dem Speicher den Sie f r einen ESX Server Host konfigurieren geh ren ggf Speichernetzwerke SANs die iSCSI verwenden
250. it Number Logische Einheitennummer Die Adresse die jede SCSI Festplatte eindeutig identifiziert die von einem ESX Server System als Speicher verwendet wird Die Bezeichnungen Festplatte und LUN werden h ufig untereinander austauschbar verwendet m Multipathing Eine Technik mit der Sie mehrere Pfade oder ein Element auf diesem Pfad zur bertragung von Daten zwischen dem ESX Server System und seinem fernen Speicher verwenden k nnen Diese redundante Verwendung von physischen Pfaden oder Elementen wie z B Adaptern erm glicht ununterbrochenen Datenverkehr zwischen dem ESX Server System und den Speicherger ten VMware Inc Kapitel 5 Speicher Einf hrung m NAS Network Attached Storage ber das Netzwerk angebundener Speicher Ein spezialisiertes Speicherger t das an ein Netzwerk angeschlossen ist und Dateizugriff f r ESX Server Systeme bietet ESX Server Systeme verwenden das NFS Protokoll um mit NAS Servern zu kommunizieren m NFS Network File System Netzwerk Dateisystem Ein Dateiaustausch protokoll das ESX Server unterst tzt um mit NAS Ger ten zu kommunizieren m Raw Device Raw Festplatte SCSI Ger t das von einer virtuellen Maschine direkt benutzt wird Auf das Ger t kann mittels RDM Zuordnung zugegriffen werden m Raw Device Mapping RDM Eine spezielle Zuordnungsdatei in einem VMEFS Volume die als Proxy f r ein Raw Device arbeitet und SAN LUNs direkt einer virtuellen Maschine zuordnet Die RDM
251. iten Das Dialogfeld vSwitch Eigenschaften wird angezeigt E SCH en nm Algemein Sicherheit Traifie Shaping NIC Teamb dung Eigenschaften des virtuellen Switches Anzahl der Ports 4 nderungen werden erst bei Neustart des Systems wirksam ge erne Klicken Sie auf die Registerkarte Allgemein um die Port Anzahl festzulegen W hlen Sie die Anzahl der Ports die Sie verwenden m chten oder geben Sie sie ein nderungen treten erst in Kraft wenn Sie ESX Server neu starten Klicken Sie auf OK VMware Inc Kapitel 3 Erweiterte Netzwerkeigenschaften Konfiguration der Geschwindigkeit des Uplink Netzwerkadapters 1 VMware Inc Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration und dann auf Netzwerk Markieren Sie einen vSwitch und klicken Sie auf Eigenschaften Klicken Sie im Dialogfeld vSwitch Eigenschaften auf die Registerkarte Netzwerkadapter al vSwibcho Eigenschaften Ah 10 Voll 192 168 Intel Conporation 8254NX Gigabit Ethemet Controller Installationsoat PCI 03 07 0 Treiber e1000 Status Yerbandungsstatus Verbunden Konfigunierte a hiket dn Autonegotiate 10 MB Volkduplex Tats chkche Geschwindigkeit duplex Netzwerke 192 168 2 36 192 168 2 127 Um die eingestellte Geschwindigkeit den Duplexwert eine
252. itergeleitet vom virtuellen Switch 1 und wird von der auf dieser virtuellen Maschine installierten Firewall ber pr ft Wenn die Firewall den Datenverkehr autorisiert wird er an den virtuellen Switch in der DMZ den virtuellen Switch 2 weitergeleitet Da der Web Server und der Anwen dungs Server ebenfalls an diesen Switch angeschlossen sind k nnen sie die externen Anfragen bearbeiten VMware Inc Kapitel 9 Sicherheit f r ESX Server Systeme Der virtuelle Switch 2 ist auch an die virtuelle Maschine 4 angeschlossen Auf dieser virtuellen Maschine schirmt eine Firewall die DMZ vom internen Firmennetzwerk ab Diese Firewall filtert Pakete vom Web Server und vom Anwendungs Server Wenn ein Paket berpr ft wurde wird es ber den virtuellen Switch 3 an den Hardware Netzwerk adapter 2 weitergeleitet Der Hardware Netzwerkadapter 2 ist an das interne Firmen netzwerk angeschlossen Bei der Implementierung einer DMZ auf einem einzigen ESX Server k nnen Sie relativ einfache Firewalls verwenden Obwohl eine virtuelle Maschine in dieser Konfiguration keine direkte Kontrolle ber eine andere virtuelle Maschine aus ben oder auf ihren Speicher zugreifen kann sind die virtuellen Maschinen dennoch ber ein virtuelles Netzwerk verbunden Dieses Netzwerk kann f r die Verbreitung von Viren oder f r andere Angriffe missbraucht werden Virtuelle Maschinen in der DMZ sind genau so sicher oder unsicher wie getrennte physische Computer im gleichen Net
253. itt auf wenn einem vSwitch mehrere Uplink Adapter zugewiesen wer den um ein Team zu bilden Ein Team kann entweder den Datenverkehr zwischen dem physischen und dem virtuellen Netzwerk auf einige oder alle NICs des Teams aufteilen oder als passiver Failover im Falle einer Hardware St rung oder eines Netzwerk ausfalls dienen Mit VLANs kann ein einzelnes physisches LAN Segment weiter aufgeteilt werden sodass Port Gruppen derart voneinander isoliert werden als bef nden sie sich in unter schiedlichen physischen Segmenten Der Standard hierf r ist 802 10 Der VMkernel TCP IP Networking Stack unterst tzt iSCSI NFS und VMotion Virtuelle Maschinen f hren Ihre eigenen System TCP IP Stapel aus und verbinden sich auf Ebene des Ethernets ber virtuelle Switches mit dem VMkernel Zwei neue Funktionen unter ESX Server 3 iSCSI und NFS werden in diesem Kapitel als IP Speicher bezeich net IP Speicher bezeichnet jedwede Art von Speicher der auf TCP IP Netzwerkkom munikation beruht iSCSI kann als Datenspeicher f r virtuelle Maschinen verwendet werden NFS kann als Datenspeicher f r virtuelle Maschinen oder f r die direkte Ein bindung von ISO Dateien die dann von der virtuellen Maschine als CD ROMs er kannt werden verwendet werden HINWEIS In den Netzwerkkapiteln wird beschrieben wie das Netzwerk f r iSCSI und NFS eingerichtet wird Informationen zur Konfiguration des Speichers von iSCSI und NFS finden Sie in den Kapiteln zum Speicher
254. iziertes Ger t steuern m chte In diesem Fall sollte der Lizenz Server ber eine zwischengeschaltete Firewall an den VirtualCenter Server angebunden werden In jedem Fall sind die Ports die f r den Lizenzdatenverkehr verwendet werden unabh ngig von der Anbindung des Lizenz Servers gleich Weitere Informationen zur Lizenzierung finden Sie im Installations und und Upgrade Handbuch m Zwischen dem VirtualCenter Server und den ESX Server Hosts VMware Inc Kapitel 10 Absicherung der ESX Server Konfiguration Zwischen den ESX Server Hosts im Netzwerk Zwar ist der Datenverkehr zwi schen den ESX Server Hosts normalerweise vertrauensw rdig aber Sie k nnen bei bef rchteten Sicherheitsrisiken zwischen den einzelnen Computern dennoch Firewalls zwischen den ESX Server Hosts installieren Wenn Sie Firewalls zwischen ESX Server Hosts verwenden und virtuelle Ma schinen auf einen anderen Server verschieben Cloning durchf hren oder VMotion verwenden m chten m ssen auch Ports in allen Firewalls zwischen Quellhost und Zielhost ge ffnet werden damit Quelle und Ziel miteinander kommunizieren k nnen Zwischen ESX Server Hosts und Peripherieger ten wie z B NFS Speicher Diese Ports sind nicht VMware spezifisch und werden anhand der Spezifikationen f r das jeweilige Netzwerk konfiguriert Informationen zu den Ports die f r diese Kommunikationspfade ge ffnet werden m ssen finden Sie unter I CP und UDP Ports f r den Management Z
255. k nnen auch einen neuen virtuellen Switch unter Verwendung der unten aufgelisteten freie Netzwerkadapter erstellen Ver bindungstyo Netzwerkzugriff C Einen virtuellen Switch erstellen Geschwindigke Netzwerke Verwendung vSwitcho Geschwindigkeit Netzwerke P EB vmnico 10 voll 192 168 2 96 192 168 2 127 FEB vmnici 100 vol 192 168 2 96 192 168 2 127 C Verwendung _vSwitcho_ Geschwindigkeit Netzwerke C Verwendung _vSwitchi1 _ Geschwindigker Netzwerke j Vorschau Port Grupf jer virtuellen Maschine ph Netzwerk der virtuellen Maschi ei mre lt zwock _Weter gt _ _Ab rechen Virtuelle Maschinen greifen ber Uplink Adapter auf physische Netzwerke zu Ein vSwitch kann nur dann Daten in externe Netzwerke bertragen wenn mindestens ein Netzwerkadapter an den vSwitch angeschlossen ist Wenn zwei oder mehr Adapter an einen vSwitch angeschlossen sind werden sie transparent geteamt 7 Klicken Sie auf Virtuellen Switch erstellen Sie k nnen einen neuen vSwitch mit oder ohne Ethernet Adapter erstellen Wenn Sie einen vSwitch ohne physische Netzwerkadapter erstellen ist der Daten verkehr auf diesem vSwitch auf diesen vSwitch beschr nkt Andere Hosts in dem physischen Netzwerk oder in virtuellen Maschinen auf anderen vSwitches k nnen dann keine Daten ber diesen vSwitch versenden oder empfangen Das kann w n schenswert sein wenn eine Gruppe von virtuellen Maschinen untereinander kom munizieren soll nicht jedoch mit an
256. ktionen selektiv auf Port Gruppenebene au er Kraft setzen wenn Traffic Shaping aktiviert ist wicht Eigenschaften Allgemein Sicherheit Traffie Shaping NIC Teambi chung Folc Ausnamen Slatur Deaktiviert r Durchschn tiche Bandbreite IA KB Spitzenbandbreite fi 24 KB s Burstgi e poao KB Es gibt folgende Policys auf die die port gruppenspezifischen Ausnahmen ange wendet werden Diese Policy wird auf alle virtuellen Adapter angewendet die an die Port Gruppe angeschlossen sind nicht jedoch auf den vSwitch selbst m Status Wenn Sie die Policy Ausnahmen im Feld Status aktivieren begren zen Sie den Umfang der Netzwerkbandbreitenzuweisung f r jeden virtuellen Adapter der der betreffenden Port Gruppe zugeordnet ist Wenn Sie die Policy deaktivieren haben die Dienste standardm ig freien ungehinderten Zugang zum physischen Netzwerk Die brigen Felder legen die Parameter f r den Netzwerkdatenverkehr fest m Dwurchschnittliche Bandbreite Ein Wert der ber einen bestimmten Zeitraum gemessen wird m Spitzenbandbreite Ein Wert der die zul ssige H chstbandbreite angibt Dieser Wert muss gr er als die durchschnittliche Bandbreite sein Dieser Parameter begrenzt die H chstbandbreite w hrend eines Bursts VMware Inc Kapitel 3 Erweiterte Netzwerkeigenschaften m Burstgr e Dieser Wert gibt an wie gro s ein Burst sein darf in Kilobyte KB Dieser Parameter steuert die D
257. l wenn der VI Client oder ein Benutzer des VirtualCenters sich mit dem ESX Server Host verbindet startet der sinnet Prozess eine Instanz des VMware Authenti fizierungs Daemon vmware authd der als Proxy dazu verwendet wird Informationen aus dem VMware Host Agenten zu versenden oder jenem zuzustellen VMware Host Der vmware authd Prozess empf ngt einen ankommenden Verbindungsversuch und leitet ihn weiter zum VMware Host Prozess der den Benutzernamen und das Kenn wort des Clients empf ngt und diese zum PAM Modul f r die Authentifizierung weiterleitet Abbildung 11 1 zeigt das Grundprinzip wie ESX Server bertragungen vom VI Client authentifiziert VI Client Management Funktionen Konsole Authentifizierung von Anwendername Kennwort Ticketbasierte Authentifizierung VMkernel virtual machine vmkauthd Abbildung 11 1 Authentifizierung f r VI Client Datenverkehr mit ESX Server Der Prozess vmware authd wird sofort beendet wenn eine Verbindung zu einem VMware Prozess wie vmware hostd hergestellt wurde Alle Authentifizierungsprozesse virtueller Maschinen werden beendet wenn der letzte Anwender die Verbindung trennt ESX Server bertragungen mit VI Web Access und Netzwerk Management Clients von Drittanbietern interagieren w hrend der Authentifizierung direkt mit dem Prozess vmware hostd Diese Verwaltungs Tools umgehen vmware authd Damit die Authentifizierung an Ihrem Standort effizient funktion
258. latte dann einer neuen virtuellen Maschine hinzuf gen die Sie im ESX Server anlegen Migrieren der Workstation und der virtuellen GSX Server Maschinen 1 Importieren Sie eine Workstation oder GSX Server Festplatte in Ihr vmfs volumes myVMFS Verzeichnis 2 Legen Sie im VI Client eine neue virtuelle Maschine an indem Sie die Benutzerdefinierte Konfigurationsoption verwenden 3 Beim Konfigurieren der Festplatte w hlen Sie die Option Vorhandene virtuelle Festplatte verwenden aus und f gen Sie die Workstation oder GSX Server Festplatte hinzu die Sie importiert haben Erweitern einer virtuellen Festplatte X extendvirtualdisk lt Gr e gt kK M G Diese Option erweitert die Gr se einer Festplatte die einer virtuellen Maschine zuge wiesen wurde nachdem die virtuelle Maschine erstellt wurde Die virtuelle Maschine die diese Festplattendatei verwendet muss bei der Eingabe dieses Befehls ausgeschaltet sein Au erdem muss das Gast Betriebssystem in der Lage sein die neue Festplatten gr e zu erkennen und zu verwenden damit es z B das Dateisystem auf der Festplatte aktualisieren kann sodass der zus tzliche Speicherplatz auch genutzt wird Wenn Sie f r Neue Gr e eine Gr e angeben k nnen Sie die Gr eneinheit festlegen indem Sie entweder den Suffix k Kilobyte m Megabyte oder g Gigabyte angeben Die Gr eneinheit kann klein oder gro geschrieben werden vmkfstools interpretiert sowohl k als auch K als Kil
259. le sehen In diesem Fall k nnen Sie die Genehmigungen nach der Installation so ndern dass der Root Anwender keine weiteren Administratorrechte hat oder Sie l schen alle Zugriffsrechte des Root Anwenders ber den VI Client wie im Kapitel Verwaltung der Benutzer Gruppen Berechtigungen und Rollen des Handbuchs f r Systemadministratoren beschrieben Wenn Sie dies tun m ssen Sie auf der Root Ebene zun chst eine andere Genehmigung erteilen die ein anderer Benut zer mit der Rolle des Administrators erh lt Die Zuweisung der Administratorenrolle auf verschiedene Anwender gew hr leistet die Nachvollziehbarkeit und somit die Sicherheit Der VI Client proto kolliert alle Aktionen des Administrators als Ereignisse und gibt Ihnen ein ber wachungsprotokoll aus Sie k nnen diese Funktion zur Verbesserung der Verant wortlichkeiten der verschiedenen Anwender verwenden die f r einen Host als Administratoren handeln Wenn alle Administratoren sich am Host als Root Anwender anmelden k nnen Sie nicht wissen welche Administrator eine Aktion ausgef hrt hat Wenn Sie jedoch mehrere Genehmigungen auf Root Ebene an legen die jeweils einem anderen Anwender oder einer anderen Anwender gruppe zugewiesen sind k nnen Sie die Aktionen jedes Administrators oder jeder Administratorengruppe gut nachvollziehen VMware Inc Kapitel 11 Authentifizierung und Anwender Management Nachdem Sie einen alternativen Administrator Benutzer angelegt
260. lehnt Ein Kennwort mit zwei Zeichenklas sen m sste mindestens 18 Zeichen lang sein ein Kennwort mit drei Zeichenklas sen 12 Zeichen lang und ein Kennwort mit vier Zeichenklassen 8 Zeichen lang Versuche zur Erstellung eines Kennwortsatzes werden ignoriert 251 Handbuch zur Server Konfiguration Schl sselqualit t Die bertragung von Daten ber unsichere Verbindungen stellt ein Sicherheitsrisiko dar da b swillige Anwender Daten scannen k nnen w hrend sie im Netzwerk ber tragen werden Als Schutz dagegen verschl sseln die Netzwerkkomponenten meistens die Daten sodass diese nicht so einfach gelesen werden k nnen Zur Verschl sselung verwendet die Quellkomponente zum Beispiel eine Gateway Algorithmen sog Schl ssel um die Daten zu ndern bevor sie bertragen werden Die Zielkomponenten verwendet dann einen Schl ssel um die Daten zu entschl sseln und sie in ihre ur spr ngliche Form zu bringen Derzeit werden verschiedene Schl ssel verwendet die Sicherheitsebene jedes dieser Chiffren ist unterschiedlich Ein Ma zur Bestimmung der Datenschutzf higkeit eines Schl ssels ist die Schl sselgualit t die Anzahl der Bits im Verschl sselungsschl ssel Je h her diese Anzahl ist desto sicherer ist der Schl ssel Damit die Daten aus und zu externen Netzwerken gesendeten Daten gesch tzt wer den verwendet ESX Server eine der sichersten Blockschl ssel die es derzeit gibt 256 Bit AES Blockverschl sselung ES
261. llieren Sie Firewalls auf virtuellen Maschinen die Datenverkehr zwischen virtuellen Netzwerken mit Uplinks zu physischen Netzwerken und reinen virtuellen Netzwerken ohne Uplinks vermitteln um die empfindlichsten virtuellen Maschinen zu sch tzen 68 VMware Inc Netzwerk Szenarien und Probleml sung Dieses Kapitel beschreibt die allgemeine Netzwerkkonfiguration und Probleml sungs szenarios In diesem Kapitel werden folgende Themen behandelt m Netzwerkkonfiguration f r den Software iSCSI Speicher auf Seite 70 m Konfiguration des Netzwerks auf Blade Servern auf Seite 76 m Probleml sungen auf Seite 80 VMware Inc 69 Handbuch zur Server Konfiguration Netzwerkkonfiguration f r den Software iSCSI Speicher Der Speicher den Sie f r einen ESX Server Host konfigurieren kann ein oder Storage Area Networks SAN umfassen die iSCSI verwenden wobei es sich um ein Mittel zum Zugriff auf die SCSI Ger te und zum Austausch der Datenprotokolle handelt das TCP IP Protokolle ber einen Netzwerk Port und nicht ber einen direkten Anschluss an ein SCSI Ger t einsetzt In iSCSI bertragungen werden Raw SCSI Datenbl cke in iSCSI Berichte eingekapselt und an das Ger t oder den Anwender der die Anfrage ge stellt hat bertragen Bevor Sie den iSCSI Speicher konfigurieren k nnen m ssen Sie einen VMkernel Port f r das iSCSI Netzwerk und die Verbindung der Servicekonsole zum iSCSI Netzwerk anlegen Anlegen eines
262. lliger Anwender kann ein Kennwort auf verschiedene Arten erlangen Zum Beispiel kann er unsicheren Netzwerkdatenverkehr wie z B Telnet oder FTP ber tragungen auf erfolgreiche Anmeldeversuche abh ren Ein anderes h ufig verwendetes Verfahren zum Knacken eines Kennwortes ist die Verwendung eines Kennwortgenerators Kennwortgeneratoren k nnen f r ver schiedene Kennwortangriffe verwendet werden wie z B Brute Force Angriffe bei denen der Generator alle m glichen Zeichenkombinationen bis zu einer bestimmten Kennwortl nge ausprobiert und W rterbuchangriffe bei denen der Generator exis tierende W rter und einfache Abwandlungen existierender W rter ausprobiert Der Einsatz von Beschr nkungen bez glich der L nge der verwendeten Zeichen und der Verwendungsdauer eines Kennwortes kann Angriffe durch Kennwortgeneratoren schwieriger gestalten Je l nger und komplexer ein Kennwort ist desto schwieriger ist es f r einen Angreifer das Kennwort herauszufinden Je fter Anwender ihre Kenn w rter ndern m ssen desto schwieriger ist es ein Kennwort zu finden das mehrmals funktioniert HINWEIS Denken Sie immer an m gliche menschliche Fehler wenn Sie die Kennwort 244 Einschr nkungen umsetzen Wenn Sie Kennw rter setzen die man sich kaum merken kann oder h ufige Kennwort nderungen vorschreiben kann es sein dass die Benutzer ihre Kennw rter aufschreiben m ssen und dadurch deren Sinn verw ssern Zum Schutz der Kennwortda
263. llst ndig getrennt sind Da keiner der virtuellen Switches sich ber mehrere Zonen erstreckt wird das Risiko des Durchsickerns von Daten von einer Zone in eine andere ausgeschaltet Ein virtu eller Switch kann aufbaubedingt keine Datenpakete direkt an einen anderen virtuellen Switch weitergeben Datenpakete k nnen nur unter folgenden Umst nden von einem virtuellen Switch zu einem anderen gelangen m Wenn die virtuellen Switches an das gleiche physische LAN angeschlossen sind m Wenn die virtuellen Switches an eine gemeinsame virtuelle Maschine angeschlossen sind die dann dazu verwendet werden kann Datenpakete zu bertragen In der Beispielkonfiguration wird keine dieser Bedingungen erf llt Wenn berpr ft werden soll dass es keinen gemeinsamen virtuellen Switch Pfad gibt kann dies ber die berpr fung m glicher gemeinsamer Kontaktpunkte im Netzwerkswitchplan im VI Client oder ber VI Web Access geschehen Weitere Informationen zur bersicht ber die virtuellen Switches finden Sie unter Virtuelle Switches auf Seite 23 Zum Schutz der Hardware Ressourcen der virtuellen Maschinen kann der Systemad ministrator eine Reservierung und Begrenzung der Ressourcen f r jede virtuelle Ma schine vornehmen um das Risiko f r DOS und DDOS Angriffe einzuschr nken Der Systemadministrator kann den ESX Server Host und die virtuellen Maschinen au erdem durch die Installation von Software Firewalls an Front und Backend der DMZ durch
264. lute Verzeichnis zu der Zertifikatsdatei die Sie von der beglaubigten Zertifikatsbeh rde erhalten haben vV VORSICHT L schen Sie die urspr nglichen Dateien rui key und rui crt nicht Diese Dateien werden vom ESX Server Host verwendet 6 Speichern Sie die nderungen und schlie en Sie die Datei 7 Geben Sie folgenden Befehl ein um den Prozess vmware hostd neu zu starten service mgmt vmware restart nderung der Sicherheitseinstellungen f r einen Web Proxy Dienst 1 Melden Sie sich als Root Anwender auf der Servicekonsole an 2 Wechseln Sie in das Verzeichnis etc vmware hostd 3 ffnen Sie die Datei config xml mit nano oder einem anderen Texteditor und bearbeiten Sie das folgende XML Segment lt ProXySVc gt lt path gt usr lLib vmware hostd libproxysvc so lt path gt lt http gt lt port gt 80 lt port gt lt proxyDatabase gt lt server id 0 gt lt namespace gt lt namespace gt lt host gt localhost lt host gt lt port gt 9080 lt port gt lt server gt lt redirect id 0 gt ui lt redirect gt 230 VMware Inc Kapitel 11 Authentifizierung und Anwender Management lt redirect id 1 gt mob lt redirect gt lt redirect id 2 gt sdk lt redirect gt lt proxyDatabase gt lt http gt lt https gt lt port gt 443 lt port gt lt proxyDatabase gt lt server id 0 gt lt namespace gt lt namespace gt lt host gt localhost lt host gt lt port gt 9080 lt port gt
265. m bestimmte Vorg nge die Root Privilegien erfordern auszuf hren oder den Befehl su um zum Root Anwender zu werden HINWEIS Der sudo Befehl bietet Sicherheitsvorteile da er die Root Aktivit ten einschr nkt und es erm glicht den m glichen Missbrauch von Root Privilegien zu ber pr fen indem er eine Pr fliste alle Root Aktivit ten die der Anwender durch f hrt anlegt Diese Einstellungen wurden so entworfen dass die Daten die Sie ber SSH an die Servicekonsole bertragen gut gesch tzt werden Wenn diese Konfiguration f r Ihre Bed rfnisse zu streng ist k nnen Sie die Sicherheitsparameter senken nderung der Standard SSH Konfiguration 1 2 Melden Sie sich auf der Servicekonsole an und erlangen Sie Root Privilegien Wechseln Sie in der Eingabeaufforderung ber den Befehl cd etc ssh das Verzeichnis F hren Sie mit nano oder einem anderen Texteditor nach Bedarf einen oder mehrere der folgenden Vorg nge aus m Wenn Sie die Root Fernanmeldung zulassen m chten ndern Sie die Einstellung in der folgenden Zeile der Datei sshd_config auf yes Ja PermitRootLogin no m Um zum urspr nglichen SSH Protokoll Version 1 und 2 zur ckzukehren kommentieren Sie folgende Zeile in der Datei sshd_config aus Protocol 2 m Um SDES Verschl sselung und andere Verschl sselungsarten auch weiterhin zu verwenden kommentieren Sie folgende Zeile in der Datei sshd_config aus Ciphers aes256 cbc aes128 cbc m Um
266. n Die RDM Zuordnung erm glicht Dateizugriffs berechtigungen Die Zugriffsberechtigungen der Zuordnungsdatei werden bei der Offnung der Datei erzwungen um den zugeordneten Datentr ger zu sch tzen Dateisystemoperationen Die RDM Zuordnung erm glicht bei der Arbeit mit einem zugeordneten Volume die Verwendung von Dienstprogrammen des Datei systems wobei die Zuordnungsdatei als Proxy verwendet wird Die meisten Vor s nge die mit einer normalen Datei durchgef hrt werden k nnen k nnen auf die Zuordnungsdatei angewendet werden und werden dann auf das zugeordnete Ger t umgeleitet Snapshots Die RDM Zuordnung erm glicht die Verwendung von Snapshots virtueller Maschinen auf einem zugeordneten Volume HINWEIS Snapshots stehen nicht zur Verf gung wenn die RDM Zuordnung im Modus Physische Kompatibilit t verwendet wird VMotion Die RDM Zuordnung erm glicht die Migration einer virtuellen Maschine mit VMotion Die Zuordnungsdatei arbeitet als Proxy sodass VirtualCenter die virtuelle Maschine mit dem gleichen Mechanismus migrieren kann der f r die Migration von virtuellen Festplattendateien verwendet wird Weitere Informationen finden Sie unter Abbildung 8 2 VMware Inc Kapitel 8 Raw Device Mapping lt _ VMFS Datentr ger gt Zuordnungsdatei Adressaufl sung Zugeordnetes Ger t Abbildung 8 2 VMotion einer virtuellen Maschine ber die Raw Device Mapping m SAN Management Agenten Die RDM Zuordn
267. n Die folgende Liste beschreibt die Konfiguration eines getaggten Ports auf drei der am h ufigsten verwendeten Blade Servern m HRP Blade Setzt das VLAN Tagging auf Aktiviert m Dell PowerEdge Setzt den Port auf Getagged m IBM eServer Blade Center Markieren Sie Tag in der Port Konfiguration Konfigurieren einer Port Gruppe f r virtuelle Maschinen mit VLAN auf einem Blade Server 1 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt 2 Klicken Sie auf die Registerkarte Konfiguration und dann auf Netzwerk 3 Auf der rechten Seite des Bildschirms klicken Sie auf Eigenschaften f r den vSwitch der der Servicekonsole zugeordnet ist 4 Inder Registerkarte Port klicken Sie auf Hinzuf gen Der Assistent zum Hinzuf gen von Netzwerken wird angezeigt 5 W hlen Sie als Verbindungsart Virtuelle Maschinen Standardeinstellung 6 Klicken Sie auf Weiter Das Dialogfeld Verbindungseinstellungen wird angezeigt Virtuelle Maschinen Netzwerk zugriff verwenden Sie Netzwerkbezeichnungen um gemeinsame Verbindungen zu einem oder mehreren Hosts zu identifizieren die migrationskompatibel sind Port Gruppen Eigenschaften Pest zen zus if ye Verbindungseinstellungen Netzwerkbezeichnung VLAN ID optional Vorschau Dor Gruppe du souellen Mia P Physische Adapter Netzwerk der virtuellen Maschi ei RB vmnici
268. n Sie diese Bezeichnung ein wenn Sie einen virtuellen Adapter zu dieser Port Gruppe zuweisen entweder bei der Konfiguration von virtuellen Maschinen oder von VMkernel Diensten wie z B VMotion oder IP Speicher m VLAN ID Gibt das VLAN an das f r den Netzwerkdatenverkehr der Port Gruppe verwendet wird Klicken Sie auf OK um das Dialogfeld vSwitch Eigenschaften zu verlassen VMware Inc Kapitel 3 Erweiterte Netzwerkeigenschaften So setzen Sie die Policys f r bezeichnete Netzwerke au er Kraft 1 7 VMware Inc Um diese Einstellungen f r ein bestimmtes bezeichnetes Netzwerk aufser Kraft zu setzen markieren Sie zuerst das Netzwerk Klicken Sie auf Bearbeiten Klicken Sie auf die Registerkarte Sicherheit Aktivieren Sie das Kontrollk stchen f r das bezeichnete Netzwerk dass Sie au er Kraft setzen m chten Weitere Informationen zu diesen Einstellungen finden Sie unter Sicherheits Policy f r Layer 2 auf Seite 53 wmnetworkewenschnten _ Allgemein Sicherheit Traific Shaping NIC Teambildung Promiscuous blodur F aptehnen inderungen I ablehnen Gel lschte bertragungen F liberen C ok Abbrechen Hate Klicken Sie auf die Registerkarte Traffic Shaping Markieren Sie das Kontrollk stchen um den Aktiviert oder Deaktiviert Status aufer Kraft zu setzen Weitere Informationen zu den Status Einstellungen finden Sie unter Iraffic Shaping Policy auf Seite 55
269. n Nein griff ber SSH VirtualCenter und Ja Ja Nein Nein VI Web Access Erstellung und n Ja Ja Nein Nein derung von virtuellen Maschinen Zugriff auf virtuelle Ja Ja Ja Ja Maschinen ber die Konsole Empfehlungen f r virtuelle Maschinen Beachten Sie bei der Einsch tzung der Sicherheit von virtuellen Maschinen und bei der Verwaltung von virtuellen Maschinen folgende Sicherheitsma snahmen Installation von Antiviren Software Da auf jeder virtuellen Maschine ein Standardbetriebssystem ausgef hrt wird sollten Sie es durch die Installation von Antiviren Software gegen Viren sch tzen Je nach Verwendungszweck der virtuellen Maschine sollte ggf auch eine Firewall installiert werden HINWEIS Firewalls und Antiviren Software k nnen die Virtualisierungsleistung beeinflussen Wenn Sie sich sicher sind dass sich die virtuellen Maschinen in einer vollst ndig vertrauensw rdigen Umgebung befinden k nnen Sie diese beiden Sicherheits ma nahmen gegen Leistungsnachteile abw gen VMware Inc 265 Handbuch zur Server Konfiguration Deaktivierung von Kopiervorg ngen zwischen Gast Betriebssystem und Remote Steuerung Wenn VMware Tools auf einer virtuellen Maschine ausgef hrt wird k nnen Sie Kopier vorg nge mit Kopieren Einf gen zwischen dem Gast Betriebssystem und der Remote Steuerung ausf hren Sobald das Konsolenfenster angebunden wurde k nnen unbefugte Anwender und Prozesse in der virtuellen Maschine auf die Zwische
270. n OUI f r manuell generierte MAC Adressen 00 50 56 Der Adressbereich f r die MAC Adresse lautet 00 50 56 00 00 00 00 50 56 3F FF FF Sie k nnen die Adressen einstellen indem Sie der Konfigurationsdatei der virtuellen Maschine folgende Zeile hinzuf gen ethernet lt Nummer gt address 00 50 56 XX YY ZZ wobei lt number gt die Zahl des Ethernet Adapters angibt XX eine g ltige Hexadezimal zahl zwischen 00 und 3F ist und YY und ZZ g ltige Hexadezimalzahlen zwischen 00 und FF sind Der Wert f r XX darf nicht gr er als 3F sein um Konflikte mit MAC Adressen zu vermeiden die von VMware Workstation und VMware GSX Server generiert werden Der H chstwert f r eine manuell generierte MAC Adresse lautet ethernet lt Nummer gt address 00 50 56 3F FF FF Sie m ssen au erdem folgende Option in der Konfigurationsdatei der virtuellen Maschine setzen ethernet lt Nummer gt addressType static Da virtuelle Maschinen von VMware ESX Server keine willk rlichen MAC Adressen unterst tzen muss das oben genannte Format eingehalten werden Wenn Sie f r Ihre nicht ver nderlichen Adressen einen einzigartigen Wert f r XX YY ZZ festlegen d rften keine Konflikte zwischen den automatisch zugewiesenen und den manuell zugewiesenen MAC Adressen auftreten Verwendung von MAC Adressen Um sich mit MAC Adressen vertraut zu machen richten Sie einfach eine MAC Adresse ein So richten Sie eine MAC Adresse ein 1 Legen Sie fest dass die MA
271. n Sie den Anweisungen des Assistenten zum Hinzuf gen von Netzwerken Definieren Sie die IP Adresse Subnetzmask und den VMkernel Standardgateway im Schritt Verbindungseinstellungen Wenn Sie die Einstellungen berpr fen m chten klicken Sie auf das blaue Symbol links neben dem VMotion iSCSI oder NFS Port Wenn Sie eine der Einstellungen bearbeiten m chten klicken Sie f r den entsprechenden Switch auf Eigenschaften W hlen Sie den Port aus dem Verzeichnis im Dialogfeld Eigenschaften aus und klicken Sie auf Bearbeiten um den das Eigenschaften Dialogfeld zum Port zu ffnen und die Einstellungen f r den Port zu ndern Eine vollst ndige Anleitung zur Erstellung und Aktualisierung von Netz werkverbindungen f r VMotion NFS oder iSCSI finden Sie unter Konfiguration des VMkernels auf Seite 33 VMware Inc 279 Handbuch zur Server Konfiguration Tabelle A 1 Befehle f r die technische Unterst tzung von ESX Server Fortsetzung Servicekonsolenbefehl esxcfg vswif Zweck des Befehls und VI Client Verfahren Erstellt und aktualisiert die Netzwerkeinstellungen der Servicekonsole Dieser Befehl wird verwendet wenn Sie den ESX Server Host aufgrund von Problemen mit der Netzwerkkonfiguration nicht ber den VI Client ver walten k nnen Weitere Informationen finden Sie unter Fehlerbehebung bei der Vernetzung der Servicekonsole auf Seite 80 Klicken Sie zur Einrichtung von Netzwerkverbindungen f r die Servicekonsole
272. n Sie unter ICP und UDP Ports f r den Management Zugriff auf Seite 187 Freigeben von Firewall Ports f r unterst tzte Dienste und Management Agenten Mit dem VI Client k nnen Sie die Firewall der Servicekonsole so konfigurieren dass die allgemein unterst tzten Dienste und installierten Management Agenten akzeptiert werden Wenn Sie das Sicherheitsprofil des ESX Server Hosts in VirtualCenter konfi gurieren werden durch das Hinzuf gen oder Entfernen dieser Dienste oder Agenten automatisch festgelegte Ports freigegeben oder geschlossen damit die Kommunikation mit dem Dienst oder dem Agenten m glich ist Sie k nnen folgende Dienste und Agenten hinzuf gen oder entfernen NIS Client NFS Client unsicherer Dienst SMB Client unsicherer Dienst FTP Client unsicherer Dienst SSH Client Telnet Client unsicherer Dienst NTP Client iSCSI Software Client SSH Server Telnet Server unsicherer Dienst FTP Server unsicherer Dienst NFS Server unsicherer Dienst CIM HTTP Server unsicherer Dienst CIM HTTPS Server SNMP Server Andere unterst tzte Management Agenten die Sie installieren VMware Inc Kapitel 10 Absicherung der ESX Server Konfiguration HINWEIS Die aufgef hrten Dienste und Agenten k nnen sich ndern d h der VI Client kann ggf auch nicht aufgef hrte Dienste und Agenten unterst tzen Au erdem werden nicht alle aufgef hrten Dienste standardm ig installiert Zur Konfiguration und Aktivierung d
273. n der Raw Device Mapping Beachten Sie Folgendes wenn Sie die RDM Zuordnung verwenden m chten m Nicht verf gbar f r Blockger te und bestimmte RAID Ger te Die RDM Zuordnung in der gegenw rtigen Implementierung verwendet zur Identifi zierung des zugeordneten Ger ts eine SCSI Seriennummer Da Blockger te und bestimmte direkt angeschlossene RAID Ger te Seriennummern nicht exportieren k nnen sie nicht in RDM Zuordnungen verwendet werden m Nur f r Volumes in VMFS 2 und VMFS 3 Die RDM Zuordnung erfordert das Format VMFS 2 oder VMFS 3 Unter ESX Server 3 0 kann in das Dateisystem VMEFS 2 nicht geschrieben werden Damit darin gespeicherte Dateien verwendet werden k nnen m ssen Sie es auf VMFS 3 aktualisieren m Keine Snapshots im Modus Physische Kompatibilit t Wenn Sie die RDM Zuordnung im Modus Physische Kompatibilit t verwenden k nnen Sie f r die Festplatte keine Snapshots verwenden Im Modus Physische Kompatibilit t kann die virtuelle Maschine eigene Snapshots oder Spiegelungsoperationen durchf hren Im Modus Virtuelle Kompatibilit t stehen Snapshots jedoch zur Verf gung Wei tere Informationen zu den Kompatibilit tsmodi finden Sie unter Vergleich des virtuellen und des physischen Kompatibilit tsmodus auf Seite 157 m Keine Partitionszuordnung F r die RDM Zuordnung muss das zugeordnete Ger t eine vollst ndige LUN sein Die Abbildung auf eine Partition wird nicht unterst tzt
274. n der Servicekonsole aus Pr fen Sie ob vswifoO vorhanden ist und die aktuelle IP Adresse und Netmask stimmen mM esxcfg vswitch 1 Gibt eine Liste der bestehenden Konfigurationen f r die virtuellen Switches aus Pr fen Sie ob der Uplink Adapter der f r die Servicekonsole konfiguriert wurde mit dem geeigneten physischen Netzwerk verbunden ist m exscfg nics l Gibt eine Liste der aktuellen Netzwerkadapter aus Pr fen Sie ob der Uplink Adapter der f r die Servicekonsole konfiguriert wurde l uft und ob Geschwindigkeit und Duplex stimmen mM esxcfg nics s lt speed gt lt nic gt ndert die Geschwindigkeit eines Netzwerkadapters mM esxcfg nics d lt duplex gt lt nic gt ndert den Duplex eines Netzwerkadapters m esxcfg vswif i lt neue IP Adresse gt vswifX ndert die IP Adresse der Servicekonsole mM esxcfg vswif n lt neue Subnetzmaske gt vswifX ndert die Subnetzmaske der Servicekonsole mM esxcfg vswitch U lt old vmnic gt lt service console vswitch gt Entfernt den Uplink f r die Servicekonsole mM esxcfg vswitch L lt new vmnic gt lt service console vswitch gt ndert den Uplink f r die Servicekonsole Wenn Sie bei esxcfg Befehlen lang warten m ssen kann dies an einer falschen DNS Einstellung liegen Die esxcfg Befehle setzen voraus dass DNS so konfiguriert ist dass die Namensaufl sung des lokalen Servers ordnungsgem funktioniert Dies setzt wiederum voraus dass die etc hosts D
275. n und Grundlagenerl uterungen die Ihnen beim Verst ndnis dieser Aufgaben und bei der Implementierung eines ESX Server Hosts der Ihren Anforderungen entspricht helfen Lesen Sie jedoch vor der Lekt re des Handbuchs zur Server Konfiguration die Einf hrung in die virtuelle Infrastruktur Dort finden Sie eine bersicht ber die Systemarchitekturen und die physischen und virtuellen Ger te aus denen das System einer virtuellen Infra struktur besteht Diese Einf hrung fasst den Inhalt dieses Handbuchs zusammen um Ihnen die Suche nach den Informationen die Sie ben tigen zu erleichtern Dieses Handbuch umfasst folgende Themen m Netzwerkkonfiguration f r ESX Server m Speicherkonfiguration f r ESX Server m Sicherheitsfunktionen von ESX Server m Befehle f r ESX m Der Befehl vmkfstools Vernetzung Die Kapitel zu ESX Server Netzwerken bieten Ihnen ein grundlegendes Verst ndnis der physischen und virtuellen Netzwerkkonzepte eine Beschreibung der Basisaufgaben die Sie erf llen m ssen um die Netzwerkanschl sse Ihres ESX Server Hosts herzu stellen sowie eine Besprechung der erweiterten Netzwerkthemen und aufgaben Der Netzwerkabschnitt enth lt folgende Kapitel VMware Inc 15 Handbuch zur Server Konfiguration 16 Vernetzung Stellt Netzwerkkonzepte vor und f hrt durch Routineaufgaben die zur Konfiguration eines Netzwerkes auf dem ESX Server Host notwendig sind Erweiterte Netzwerkeigenschaften Behandel
276. n von iSCSI Software Initiatoren Damit ESX Server den iSCSI Software Initiator verwenden kann m ssen Sie diesen zuerst aktivieren Aktivierung des iSCSI Software Initiators 1 ffnen Sie das Dialogfeld iSCSI Initiator Eigenschaften entsprechend der An leitung unter Anzeige der Eigenschaften des iSCSI Software Initiators auf Seite 122 2 Klicken Sie auf Konfigurieren Das Dialogfeld Allgemeine Eigenschaften wird ge ffnet Hier finden Sie den Status des Initiators den Standardnamen und das Alias 3 Aktivieren Sie das Kontrollk stchen Aktiviert um den Initiator zu aktivieren Allgemeine Eigenschaften xi M Status V Aktiviert M iSCSI Eigenschaften iSCSI Name fian 1998 01 com vmware esx 3145e255 iSCSI Alias esx 4 Wenn Sie den Standard iSCSI Namen f r den Initiator ndern m chten geben Sie einen neuen Namen ein Stellen Sie sicher dass der Name den Namenskonventionen entspricht sonst er kennen ggf bestimmte Speicherger te den iSCSI Software Initiator nicht Weitere Informationen finden Sie unter Namenskonventionen auf Seite 112 5 Geben Sie ein iSCSI Alias ein oder ndern Sie das bestehende Alias Das Alias ist ein benutzerfreundlicher Name der zur Identifizierung des iSCSI Hardware Initiators verwendet wird 6 Klicken Sie auf OK um Ihre nderungen zu speichern VMware Inc 125 Handbuch zur Server Konfiguration Einrichten von Erkennungsadressen f r Software Initiatoren Sie m
277. nablage der VM Konsole zugreifen Wenn ein Anwender vor der Benutzung der Konsole geheime Infor mationen in die Zwischenablage kopiert macht der Anwender der virtuellen Maschine vielleicht unwissentlich geheime Daten zug nglich Um dies zu verhindern k nnen Sie Kopiervorg nge f r das Gast Betriebssystem deaktivieren Deaktivierung von Kopiervorg ngen zwischen Gast Betriebssystem und Remote Steuerung 1 Melden Sie sich am VI Client an und w hlen Sie die virtuelle Maschine aus dem Inventar aus Die Konfiguration f r diese virtuelle Maschine wird mit der Registerkarte bersicht angezeigt 2 Klicken Sie auf Einstellungen bearbeiten 3 Klicken Sie auf Optionen gt Erweitert gt Konfigurationsparameter Das Dialogfeld Konfigurationsparameter wird ge ffnet 4 Klicken Sie auf die Schaltfl che Hinzuf gen 5 Geben Sie in der Spalte Wert f r Name folgende Werte ein Name Wert solation tools copy enable Falsch solation tools paste enable Falsch solation tools setGUIOptions enable Falsch 266 VMware Inc Kapitel 13 Sichere Implementierungen und Sicherheits empfehlungen Das Ergebnis sieht folgenderma en aus H Konfigurationsparameter ndern Sie Konfigurationsparameter oder f gen Sie sie f r experimentelle Funktionen bzw gem den Anweisungen des technischen Supports hinzu Eintr ge k nnen nicht entfernt werden Hame Wert nyranm YA n wran sched swap derivedhlane rnfsfrolum
278. nd dann auf Schlie en um die Einstellungen zu speichern und zum Dialogfeld Konfiguration zur ckzukehren HINWEIS Bei aktiven passiven Speicher Devices wird die Einstellung Zuletzt verwendet dringend empfohlen Deaktivieren und Aktivieren von Pfaden Falls es erforderlich ist Pfade aus Wartungs oder anderen Gr nden vor bergehend zu deaktivieren k nnen Sie die erforderlichen Schritte ber den Virtual Infrastructure Client ausf hren 148 VMware Inc Kapitel 7 Speicherverwaltung So deaktivieren Sie einen Pfad 1 ffnen Sie den Assistenten zum Verwalten von Pfaden indem Sie die unter So zeigen Sie den aktuellen Multipathing Status an auf Seite 145 aufgef hrten Schritte ausf hren Wenn Sie Pfade f r Raw Device Maps verwalten finden Sie weitere Informationen unter Pfade verwalten auf Seite 163 Der Assistent zum Pfade verwalten wird angezeigt 2 W hlen Sie unter Pfade den zu deaktivierenden Pfad aus und klicken Sie auf Andern vmhba0 0 0 Pfade verwalten x Polcu Zul vmhba0 0 0 Pfadstatus ndern x Ver e Pr ferenz Pfad m Beyorzugt Ger Den Verkehr immer ber diesen Pfad leiten falls verf gbar van Status Aktiviert Diesen Pfad f r Lastverteilung und Failover verf gbar machen Deaktiviert Keinen Verkehr ber diesen Pfad leiten 3 W hlen Sie das Optionsfeld Deaktivieren aus um den Pfad zu deaktivieren 4 Klicken Sie zweimal auf OK um Ihre nderungen zu speichern und die Dialog
279. nd setgid Kennzeichen enthalten Diese An wendungen werden von der Servicekonsole oder ber sie aufgerufen Manche dieser Anwendungen enthalten Hilfsprogramme die zur korrekten Ausf hrung des ESX Server Hosts notwendig sind Andere Anwendungen sind optional erleichtern aber ggf die Wartung und Fehlerbehebung auf dem ESX Server Host und im Netzwerk setuid Standardanwendungen Tabelle 12 2 listet die setuid Standardanwendungen auf und zeigt an ob eine An wendung erforderlich oder optional ist Tabelle 12 2 setuid Standardanwendungen Anwendung crontab Zweck und Pfad Erm glicht es einzelnen Anwendern Cron Auftr ge hinzuzuf gen Pfad usr bin crontab Erforderlich oder optional Optional pam_timestamp_check Unterst tzt Kennwortauthentifizierung Pfad sbin pam timestamp_check Erforderlich passwd Unterst tzt Kennwortauthentifizierung Pfad usr bin passwd Erforderlich ping Versendet und wartet auf Kontrolldatenpakete auf der Netzwerkschnittstelle N tzlich zur Problemsuche in Netzwerken Pfad bin ping Optional pwdb_chkpwd Unterst tzt Kennwortauthentifizierung Pfad sbin pwdb_chkpwd Erforderlich ssh keysign su Zur host basierten Authentifizierung f r sichere SSH Shells Pfad usr libexec openssh ssh keysign Macht durch Anwenderwechsel aus einem allgemeinen Anwender einen Root Anwender Pfad bin su Erforderlich wenn Sie host basierte
280. ndern oder l schen m chten markieren Sie den Server und klicken Sie auf Bearbeiten oder Entfernen Einrichten von CHAP Parametern f r Software Initiatoren Achten Sie bei der Konfiguration des iSCSI Software Initiators darauf dass die CHAP Parameter f r den Initiator aktiviert sind Sollten die Parameter nicht aktiviert sein m ssen Sie diese konfigurieren Weitere Informationen finden Sie unter iSCSI Sicherheit auf Seite 113 VMware Inc 127 Handbuch zur Server Konfiguration Einrichtung der CHAP Parameter f r den Software Initiator 1 _ ffnen Sie das Dialogfeld iSCSI Initiator Eigenschaften entsprechend der An leitung unter Anzeige der Eigenschaften des iSCSI Software Initiators auf Seite 122 2 Klicken Sie auf die Registerkarte CHAP Authentifizierung Die Registerkarte zeigt die Standard CHAP Parameter an 128 VMware Inc 3 Kapitel 6 Speicherkonfiguration Klicken Sie auf Konfigurieren wenn Sie die bestehenden CHAP Parameter ndern m chten Das Dialogfeld CHAP Authentifizierung wird ge ffnet H CHAP Authentifizierung Anmeldedaten Die folgenden CHAP nmeldedaten verwenden Alle i5SCSI Targets werden mit diesen Anmeldedaten authentifiziert sofern nicht anders angegeben HAP Name T Initiatorname verwenden gn 1398 01 com v nwareiesx 3 isch aaan C CHAP Authentifizierung deaktivieren Abbrechen Hilfe Damit CHAP auch w
281. ndet wird Nach der berpr fung der Funktionsf higkeit des neuen Anschlusses kann der alte Anschluss entfernt werden Im Prinzip wird also die Netz werkkarte gewechselt VMware Inc 37 Handbuch zur Server Konfiguration Konfiguration der Netzwerk Servicekonsole 1 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt 2 Klicken Sie auf die Registerkarte Konfiguration und dann auf Netzwerk 3 Klicken Sie auf den Link Netzwerk hinzuf gen Der Assistent zum Hinzuf gen von Netzwerken wird angezeigt 4 W hlen Sie im Dialogfeld Verbindungsarten die Option Servicekonsole und klicken Sie auf Weiter Das Dialogfeld Netzwerkzugriff der Servicekonsole wird angezeigt FE Assistent zum Hinzuf gen von Netzwerken IOIx Servicekonsole Netzwerkzugriff Die Servicekonsole erreicht Netzwerke ber Uplink Adapter de an virtuellen Switches angeschlossen sind w hlen Sie den virtuellen Switch aus der den Netzwerkverkehr f r diese Verbindung handhaben wird Sie k nnen auch einen neuen virtuellen Switch unter Verwendung der unten aufgelisteten freie Netzwerkadapter erstellen C Einen virtuellen Switch erstellen Geschwindigkeit Netzwerke Verwendung vSwitchO Geschwindigkeit Netzwerke FB wich 10 voll 192 168 2 96 192 168 2 127 FB vmi 100 Voll 192 168 2 96 192 168 2 127 C Verwendung _vSwitch0_ Geschwindigker Netzwerke C
282. nen alternativen aktiven Pfad als aktiven Pfad Wenn die Pfadkonventionen eines Speicher Devices auf Zuletzt verwendet stehen w hlt der ESX Server Host einen aktiven Pfad f r das Speicher Device aus um Pfad Thrashing zu verhindern Die Bezeichnung Bevorzugter Pfad wird dabei ignoriert VMware Inc Kapitel 7 Speicherverwaltung Einrichten der Multipathing Policys f r LUNs Die folgenden Multipathing Policys werden derzeit unterst tzt Feststehend Der ESX Server Host verwendet immer den bevorzugten Pfad zur Festplatte wenn dieser Pfad verf gbar ist Wenn nicht ber den bevorzugten Pfad auf die Festplatte zugegriffen werden kann werden die anderen Pfade probiert Dies ist die Standard Policy f r Aktiv Aktiv Speicherger te Zuletzt verwendet Der ESX Server Host verwendet immer den zuletzt ver wendeten Pfad zur Festplatte und zwar so lange bis der Pfad nicht mehr verf g bar ist Dies bedeutet dass der ESX Server Host nicht automatisch zum bevor zugten Pfad zur ckkehrt Zuletzt verwendet ist die Standard Policy f r aktive passive Speicher Devices und wird f r diese Ger te ben tigt Der ESX Server Host stellt die Multipathing Policy automatisch und entsprechend des erkannten Array Modells ein Wenn der erkannte Array nicht unterst tzt wird wird er als aktiv aktiv betrachtet Im Handbuch der SAN Kompatibilit t finden Sie eine Liste der unterst tzten Arrays HINWEIS Es wird davon abgeraten die Einstellung Z
283. ng Das Format Ihres Dateisysbems bestimmt welche Klasse von virtuellen Maschinen unterst tzt wird Ger testandert Aktuelss Festolatten L acut Eigenschaften Gro e Dateien erfordern eine gro e Blockgr e der Mindestspeicherplatz der von einer Datei belegt Formatierung wird entspricht der Dateisystem Blackgr e Diese Werte werden von VMFS 3 Dateisystemen bei Bedarf angepasst 255 68 Blockgr e 1 ME Kapazit t W Kapazit t maximieren f z3 GB r Hasimale ateigr e lt Zur ck Abbrechen E 9 ndern Sie bei Bedarf die Werte f r das Dateisystem und die Gr e des Datastores Standardm ig wird der gesamte freie Speicherplatz des Speicherger tes angeboten 10 Klicken Sie auf Weiter Das Dialogfeld Fertig stellen wird angezeigt 11 berpr fen Sie die Konfigurationsdaten f r den Datastore und klicken Sie auf Fertig stellen Dadurch wird ein Datastore auf einem software initiierten iSCSI Speicherger t erstellt 12 Scannen Sie nach neuen Speicherger ten Weitere Informationen finden Sie unter Neu scannen auf Seite 131 Neu scannen Wenn eine neue LUN ber einen Adapter neu zur Verf gung steht registriert ESX Server dieses neue virtuelle Ger t zur Verwendung durch die virtuellen Maschinen Wenn eine bestehende LUN nicht l nger verwendet wird und nicht mehr da zu sein scheint wird es von der Liste der f r die virtuellen Maschinen zur Verf gung stehenden Ger te entfernt
284. ng die Sie f r die lt UUID gt des VMFS verwenden m chten Beispiel vmkfstools C vmfs3 b 1m S myvmfs vmhbal1 3 0 1 Dieses Beispiel zeigt die Erstellung eines neuen VMFS 3 Dateisystems mit dem Namen myvmfs auf der ersten Partition von Target 3 LUN 0 des vmhba Adapters 1 Die Datei Blockgr e betr gt 1 MB Erweiterung eines bestehenden VMFS 3 Volumens Z extendfs lt Erweiterungsger t gt lt bestehender_VMFS Datentr ger gt Diese Option f gt einem vorher erstellten VMFS Datentr ger lt bestehender VMFS Datentr ger gt eine Erweiterung hinzu Bei jeder Verwendung dieser Option wird der VMFS 3 Datentr ger um eine neue Erweiterung vergr ert sodass der Datentr ger mehrere Partitionen umfasst Ein logischer VMFS 3 Datentr ger kann bis zu 32 phy sische Erweiterung haben V VORSICHT Wenn Sie diese Option ausf hren gehen alle Daten die auf dem SCSI Ger t das unter lt Erweiterungsger t gt angegeben wird gespeichert sind verloren Beispiel vmkfstools Z vmhba 1 2 4 vmhbal 3 0 1 Dieses Beispiel zeigt die Erweiterung eines logischen Dateisystems durch das Hinzu f gen einer neuen Partition Das erweiterte Dateisystem nimmt nun zwei Partitionen ein vmhba1 3 0 1 und vmhba0 1 2 4 In diesem Beispiel ist vmhba1 3 0 1 der Name der bergeordneten Partition VMware Inc 285 Handbuch zur Server Konfiguration Auflistung der Attribute eines VMFS Datentr gers P queryfs h human readable Die
285. ng standardm ig ausgenommen Mindestanzahl von Tagen Die Mindestanzahl von Tagen die zwischen zwei Kennwort nderungen verstreichen muss Die Standardeinstellung lautet 0 d h die Anwender k nnen ihre Kennw rter jederzeit ndern Warnhinweiszeit ESX Server gibt so viele Tage vor Ablauf des Kennwortes einen Hinweis zur Kennwort nderung aus Die Standardeinstellung ist 7 Tage Es wer den bei direkten Anmeldungen an der Servicekonsole oder bei einer Verwendung von SSH stets Warnhinweise angezeigt Sie k nnen diese Einstellungen mit den Befehlsoptionen von esxcfg auth versch rfen oder lockern Verwenden Sie den Befehl chage wenn die Verwendungsdauer f r einen einzelnen Anwender ge ndert werden soll nderung der Kennwort Standardverwendungsdauer f r ESX Server 1 2 VMware Inc Melden Sie sich auf der Servicekonsole an und erlangen Sie Root Privilegien F hren Sie nach Bedarf einen oder mehrere der folgenden Befehle aus m nderung der H chstanzahl von Tagen die ein Anwender sein Kennwort behalten kann esxcfg auth passmaxdays lt Anzahl_von_Tagen gt wobei lt Anzahl_von_Tagen gt die H chstanzahl von Tagen vor Ablauf des Kennwotts ist m nderung der Mindestanzahl von Tagen zwischen zwei Kennwort nderungen esxcfg auth passmindays lt Anzahl_von_Tagen gt wobei lt Anzahl_von_Tagen gt die Mindestanzahl von Tagen zwischen zwei Kennwort nderungen ist m nderung der Hinweiszeit vor einer
286. nn Sie die UID ndern m chten geben Sie im Feld UID eine numerische UID ein Der VI Client weist einem Anwender bei seiner Erstellung die UID zu In den meis ten F llen muss diese Zuweisung nicht ge ndert werden 6 Geben Sie einen neuen Anwendernamen ein 7 Wenn Sie das Kennwort eines Anwenders ndern m chten aktivieren Sie das Kontrollk stchen Kennwort ndern und geben Sie ein neues Kennwort ein Das Kennwort sollte in L nge und Komplexit t den Anforderungen im Abschnitt Kennwortbeschr nkungen auf Seite 244 entsprechen Der ESX Server Host pr ft nur dann auf eine bereinstimmung des Kennworts wenn Sie zum Plug in pam_passwdgc so gewechselt haben um sich zu authentifizieren Die Kennwort einstellungen im Standard Authentifizierungs Plug In pam_cracklib so werden nicht erzwungen 8 Um die Einstellung zu ndern dass Anwender ber eine Befehlsshell auf den ESX Server Host zugreifen kann aktivieren oder deaktivieren Sie das Kontrollk stchen Anwender Shell Zugriff gew hren 224 VMware Inc 10 11 Kapitel 11 Authentifizierung und Anwender Management Wenn Sie den Anwender zu einer anderen Gruppe hinzuf gen m chten geben Sie den Gruppennamen ein und klicken Sie auf Hinzuf gen Wenn Sie einen nicht vorhandenen Gruppennamen eingeben gibt der VI Client eine Warnmeldung aus und f gt die Gruppe nicht zum Verzeichnis Gruppen mitgliedschaft hinzu Wenn Sie einen Anwender aus einer Gruppe entfernen m chten
287. nnen diese Rollen nur verwenden wenn Sie sich direkt ber den VI Client auf dem Host anmelden Wenn Sie ESX Server Hosts ber VirtualCenter verwalten sollten Sie beachten dass die Verwendung von anwenderdefinierten Rollen auf dem Host und im VirtualCenter zu Verwirrung und Missbrauch f hren kann Bei dieser Art der Konfiguration empfiehlt VMware dass Sie nur anwenderdefinierte Rollen in VirtualCenter verwenden Infor mationen zur Erstellung nderung und L schung von Rollen sowie zu den zus tzlich in VirtualCenter verf gbaren Rollen finden Sie im Handbuch zur Systemverwaltung Verwaltung von Anwendern und Gruppen auf ESX Server Hosts Wenn Sie direkt ber einen VI Client mit einem ESX Server Host verbunden sind k nnen Sie Anwender und Gruppen erstellen bearbeiten und l schen Diese Anwen der und Gruppen werden im VI Client angezeigt wenn Sie sich auf dem ESX Server Host anmelden in VirtualCenter stehen Sie jedoch nicht zur Verf gung VMware Inc 219 Handbuch zur Server Konfiguration Im folgenden Abschnitt wird erl utert wie Anwender und Gruppen in einem direkt an den ESX Server Host angeschlossenen VI Client verwaltet werden k nnen Es werden die grundlegenden Aufgaben behandelt die Sie f r Anwender und Gruppen durch f hren k nnen wie zum Beispiel die Anzeige und Sortierung von Informationen und der Export von Berichten Es wird auch gezeigt wie Anwender und Gruppen erstellt bearbeitet und gel scht werden k nn
288. nstallStakus resuk unknown isolation tools setinfo disable true i gt Zeile hinzuf gen ok Abbrechen Hilfe E 5 Klicken Sie auf OK um das Dialogfeld Konfigurationsparameter zu schlie en und dann noch einmal auf OK um das Dialogfeld Eigenschaften der virtuellen Maschinen zu schlie en Deaktivierung der Protokollierung f r das Gast Betriebssystem Virtuelle Maschinen k nnen Informationen zur Fehlerbehebung in eine Protokolldatei der virtuellen Maschine die auf dem VMFS Datentr ger gespeichert wird schreiben Anwender und Prozesse von virtuellen Maschinen k nnen die Protokollierung ent weder absichtlich oder unabsichtlich missbrauchen sodass gro e Datenmengen die Protokolldatei berfluten Mit der Zeit kann die Protokolldatei so genug Speicherplatz im Dateisystem der Servicekonsole belegen um einen Ausfall zu verursachen Um dieses Problem zu verhindern k nnen Sie die Protokollierung f r die Gastbetriebs systeme von virtuellen Maschinen deaktivieren Beachten Sie dass Sie in diesem Fall ggf nicht in der Lage sind entsprechende Protokolle f r die Fehlerbehebung zu sammeln Au erdem leistet VMware keine technische Unterst tzung f r virtuelle Maschinen bei denen die Protokollierung deaktiviert wurde VMware Inc 271 Handbuch zur Server Konfiguration Deaktivierung der Protokollierung f r das Gast Betriebssystem 1 Melden Sie sich am VI Client an und w hlen Sie die virtuelle Maschine aus dem Inventar
289. nung des Ger ts nicht m glich ist Der einzige Grund aus dem Sie veranlasst sein k nnen dies zu n dern ergibt sich dann wenn ein ehemaliger Administrator den lt device_name gt allowGuestConnectionControl auf True gesetzt hat 7 Speichern Sie die nderungen und schlie en Sie die Datei 8 Kehren Sie zum VI Client zur ck und schalten Sie die virtuelle Maschine erst aus und dann wieder an Dazu klicken Sie mit der rechten Maustaste auf die virtuelle Maschine im Inventarfenster und klicken auf Ausschalten und anschlie end auf Einschalten Verhinderung von Flooding des ESX Server Hosts durch Prozesse des Gast Betriebssystems Die Prozesse des Gast BetriebssystemGast Betriebssystems senden ber VMware Tools informative Meldungen an den ESX Server Host Diese Meldungen die setinfo Meldungen genannt werden enthalten normalerweise Name Wert Paare zu Merk malen von virtuellen Maschinen oder Bezeichnern die der Host speichert zum Beispiel ipaddress 10 17 87 224 Eine setinfo Meldung hat kein vorgegebenes Format und kann beliebig lang sein Daher ist die Datenmenge die auf diese Weise an den Host weitergeleitet werden kann unbegrenzt Ein unbeschr nkter Datenstrom bietet Angreifern eine gute M glichkeit ber eine Software die VMware Tools imitiert einen DOS Angriff zu starten indem der Host mit Paketen berflutet wird durch die Ressourcen belegt werden die von den virtuellen Maschinen ben tigt werden Um dieses Probl
290. nur ber einen physischen Netzwerkadapter kommunizieren siehe Abbildung 9 3 ESX Server Virtuelle Maschine Virtuelle Maschine Virtueller Virtueller Netzwerk Netzwerk adapter adapter VMkernel Virtuelle Virtueller Switch Verbindungs verbindet layer virtuelle Maschinen Hardware Netzwerkadapter Verbindet virtuelle Maschinen To mit dem physischen Netzwerl Physisches Netzwerk Abbildung 9 3 Virtuelle Netzwerkanbindung ber virtuelle Switches F r die Isolierung virtueller Maschinen im Netzwerk gelten folgende Regeln m Wenn sich eine virtuelle Maschine keinen virtuellen Switch mit anderen virtuellen Maschinen teilt ist sie von den virtuellen Netzwerken auf dem Host vollst ndig getrennt m Wenn einer virtuellen Maschine kein physischer Netzwerkadapter zugewiesen wurde ist die virtuelle Maschine vollst ndig von physischen Netzwerken getrennt m Wenn Sie zum Schutz einer virtuellen Maschine vor dem Netzwerk die gleichen Sicherheitsma nahmen wie f r normale Computer verwenden Firewalls Anti viren Software usw ist die virtuelle Maschine genau so sicher wie es ein Com puter w re Sie k nnen die virtuelle Maschine au erdem durch die Einrichtung von Ressourcen reservierungen und begrenzungen auf dem ESX Server Host sch tzen So k nnen Sie zum Beispiel eine virtuelle Maschine mit den genau justierbaren Werkzeugen zur Ressourcensteuerung die Ihnen in ESX Server zur Verf gung stehen so konfigurieren dass
291. obyte Wenn Sie keine Einheit eingeben ist die Standard einstellung f r vmkfstools Kilobyte Der Wert Neue Gr e beschreibt die gesamte neue Gr e und nicht nur die beab sichtigte Erweiterung der Festplatte Um beispielsweise eine 4 G virtuelle Festplatte um 1 G zu erh hen geben Sie Folgendes an vmkfstools X 5g Migrieren einer VMFS 2 virtuellen Festplatte auf VMFS 3 M migratevirtualdisk Diese Option konvertiert die angegebene virtuelle Festplattendatei vom Format ESX Server 2 ins Format ESX Server 3 VMware Inc 291 Handbuch zur Server Konfiguration Anlegen einer Raw Device Mapping Datei im virtuellen Kompatibilit tsmodus r createrdm lt Ger t gt Mit dieser Option wird eine Raw Device Mapping RDM Datei auf einem VMFS 3 Volume angelegt und eine Raw Festplatte dieser Datei zugeordnet Nach Herstellung des Mappings k nnen Sie auf die Raw Festplatten zugreifen wie auch auf die nor malen VMES virtuellen Festplatten Die Dateigr e der Zuordnung entspricht der Gr se der Raw Festplatte oder Partition auf die sie verweist Bei der Angabe des Werts f r das lt Ger t gt geben Sie 0 f r die Partition an was darauf hinweist dass die gesamte Raw Festplatte verwenden wird Verwenden Sie das fol gende Format vwmfs devices disks vmhbaA T L 0 Weitere Informationen finden Sie unter vmkfstools Befehlssyntax auf Seite 282 Weitere Informationen zum Konfigurieren von RDM finden Sie unter Ra
292. oder Raw Festplatte die Sie angeben Sie k nnen die d Suboption f r die i Option verwenden Diese Suboption bezeichnet das Festplattenformat f r die Kopie die Sie anlegen Eine detaillierte Beschreibung des Festplattenformats finden Sie unter Unterst tzte Festplattenformate auf Seite 288 HINWEIS Um die ESX Server Redo Protokolls unter Beibehaltung Ihrer Hierarchie zu klonen 290 verwenden Sie den cp Befehl Beispiel vmkfstools i vmfs volumes templates gold master vmdk vmfs volumes myVMFS myOS vmdk Dieses Beispiel zeigt das Klonen der Inhalte einer virtuellen Master Festplatte aus dem Vorlage Repository auf eine virtuelle Festplattendatei mit der Bezeichnung myOS vmdk auf dem Dateisystem mit der Bezeichnung myVMFS Sie k nnen die virtuelle Maschine so konfigurieren dass diese virtuelle Festplatte verwendet wird indem Sie die fol genden Zeilen zur Konfigurationsdatei der virtuellen Maschine hinzuf gen scsi0 0 present TRUE scsi0 0 fileName vmfs volumes myVMFS myOS vmdk VMware Inc Anhang B Verwendung von vmkfstools Migrieren der VMware Workstation und der VMware GSX Server virtuellen Maschinen Sie k nnen den VI Client nicht dazu verwenden virtuelle Maschinen die mit VMware Workstation oder VMware GSX Server angelegt wurden in Ihr ESX Server System zu migrieren Sie k nnen jedoch den vmkfstools i Befehl dazu verwenden die virtuelle Festplatte auf Ihr ESX Server System zu migrieren und diese Festp
293. ogie zu ndern und sich selbst als Root Bridge einzusetzen Als Root Bridge kann der Angreifer dann die Inhalte bertragener Datenbl cke mitschneiden VMware Inc Kapitel 10 Absicherung der ESX Server Konfiguration Die virtuellen Switches von VMware unterst tzen STP nicht und sind daher gegen diese Art von Angriffen immun m Zufallsdatenblock Angriffe Bei diesen Angriffen wird eine gro e Anzahl von Paketen bei denen die Quell und Zieladressen gleich sind die jedoch Felder unterschiedlicher L nge Art und mit verschiedenem Inhalt enthalten versendet Ziel des Angriffes ist es zu erzwingen dass Pakete versehentlich in ein anderes VLAN fehlgeleitet werden Die virtuellen Switches von VMware sind gegen diese Art von Angriffen immun Da mit der Zeit immer neue Sicherheitsgefahren auftreten kann diese Liste m glicher Angriffe nicht vollst ndig sein Konsultieren Sie regelm ig die VMware Sicherheits Ressourcen im Internet http www vmware com vmtn technology security um mehr ber Sicherheit neue Sicherheitswarnungen und die Sicherheitstaktik von VMware zu erfahren Absicherung der Ports virtueller Switches Wie bei physischen Netzwerkadaptern kann ein virtueller Netzwerkadapter Datenbl cke versenden die von einer anderen virtuellen Maschine zu stammen scheinen oder eine andere virtuelle Maschine imitieren damit er Datenbl cke aus dem Netzwerk empfangen kann die f r die jeweilige virtuelle Maschine bestimmt sind
294. olgenden Informationen m Benutzername des Verzeichnisinhabers m Benutzer ID UID des Verzeichnisinhabers m Gruppen ID GID des Verzeichnisinhabers Dann verwenden Sie diese Informationen um die Einstellungen des Delegierten f r den ESX Server Host so zu ndern dass sie mit den Daten des Verzeichnisinhabers bereinstimmen Damit kann der NFS Datastore den ESX Server Host korrekt erkennen Der Delegierte wird global konfiguriert und dieselbe Identit t wird zum Zugriff auf jedes Volume verwendet VMware Inc Kapitel 11 Authentifizierung und Anwender Management Die Einrichtung des delegierten Anwenders auf einem ESX Server Host umfasst folgende Schritte Aus der Tabelle Benutzer amp Gruppen f r einen VI Client der direkt auf einem ESX Server Host ausgef hrt wird haben Sie zwei M glichkeiten m Bearbeiten Sie den Benutzernamen vimuser um die richtige UID und GID einzugeben Bei vimuser handelt es sich um einen Benutzer des ESX Server Hosts der dazu eingerichtet wurde Ihnen die Einrichtung von Delegierten zu vereinfachen Standardm ig hat der vimuser die UID 12 und die GID 20 m F gen Sie einen v llig neuen Benutzer zum ESX Server Host dazu Dazu geben Sie den Delegierten Benutzernamen die UID und GID an Sie m ssen einen dieser Schritte ausf hren und dies unabh ngig davon ob Sie den Host durch eine direkte Verbindung oder VirtualCenter Server verwalten Des Weiteren m ssen Sie sicherstellen dass der Delegiert
295. olume Mindestgr e betr gt dabei jeweils 1 2 GB Die folgenden Gr nde sprechen f r weniger und daf r gr ere VMFS Volumes m Mehr Flexibilit t beim Erstellen virtueller Maschinen ohne beim Speicher Administrator mehr Platz anfordern zu m ssen m Mehr Flexibilit t bei der Gr en nderung virtueller Festplatten dem Erstellen von Snapshots usw m Weniger zu verwaltende VMFS basierte Datastores VMware Inc Kapitel 5 Speicher Einf hrung Die folgenden Gr nde sprechen f r mehr und daf r kleinere VMFS Volumes m Weniger Konkurrenzsituationen auf den einzelnen VMFS aufgrund von Sperren und SCSI Reservierungen m Weniger verschwendeter Speicherplatz m Unterschiedliche Anwendungen k nnten unterschiedliche RAID Charakteristiken erfordern m Mehr Flexibilit t da die Multipathing Richtlinie und gemeinsam genutzte Festplattenbereiche pro LUN festgelegt werden m F r den Einsatz von Microsoft Cluster Service muss jede Cluster Festplatten Ressource in ihrer eigenen LUN eingerichtet sein Unter Umst nden k nnte es sinnvoll sein einige Ihrer Server f r wenige gr ere VMPFS Volumes zu konfigurieren und andere f r mehr und kleinere VMFS Volumes VMFS Funktionen f r den gemeinsamen Zugriff Sie k nnen mehrere virtuelle Maschinen auf einem einzigen VMFS Volume speichern und mehreren ESX Servern den Zugriff darauf gew hren Weitere Informationen finden Sie in folgenden Abschnitten m Speichern mehrerer
296. on ESX Servers beachtet werden m ssen In diesem Kapitel finden Sie au erdem weitere Hinweise zur Verbesserung der Sicherheit von virtuellen Ma schinen Anh nge Das Handbuch zur Server Konfiguration hat zwei Anh nge in denen Sie spezielle Informationen finden die bei der Konfiguration von ESX Server Hosts hilfreich sein k nnen m ESX Befehle zur technischen Unterst tzung Behandelt die Konfigurations befehle f r ESX Server die ber eine Befehlszeilenshell wie SSH eingegeben wer den k nnen Zwar stehen Ihnen diese Befehle zur Verf gung es handelt sich je doch dabei nicht um eine Programmierschnittstelle ber die Skripte erstellt wer den k nnen Diese Befehle k nnen sich ndern VMware unterst tzt keine Anwen dungen und Skripte die auf Konfigurationsbefehlen f r ESX Server beruhen In diesem Anhang finden Sie die entsprechenden Befehle f r Client der virtuellen VMware Infrastruktur VI Client m Verwendung von vmkfstools Behandelt das Dienstprogramm vmkfstools mit dem Sie Verwaltungs und Migrationsaufgaben f r iSCSI Festplatten durch f hren k nnen VMware Inc 17 Handbuch zur Server Konfiguration 18 VMware Inc VMware Inc Netzwerk Handbuch zur Server Konfiguration 20 VMware Inc Vernetzung In diesem Kapitel werden die Netzwerkgrundlagen f r ESX Server Umgebungen sowie die Einrichtung und Konfiguration von Netzwerken in virtuellen Infrastruk turen erl utert
297. onfiguration wird die ESX Server SCSI Karte ber ein Kabel an die Festplatte angeschlossen Auf dieser Festplatte k nnen Sie einen Datastore erstellen der zur Speicherung der Festplattendateien der virtuellen Ma schine verwendet wird Der Datastore der erstellt wird ist im VMFS Format Weitere Informationen zum Konfigurieren des lokalen Speichers auf internen oder externen SCSI Ger ten finden Sie unter Hinzuf gen von lokalem SCSI Speicher auf Seite 104 Hinzuf gen von lokalem SCSI Speicher Beim Laden der Treiber f r die SCSI Speicheradapter erkennt ESX Server die verf g baren SCSI Speicherger te Bevor Sie einen neuen Datastore auf einem SCSI Ger t durchf hren m ssen Sie ggf neu nach Speicherger ten scannen Weitere Informa tionen finden Sie unter Neu scannen auf Seite 131 Wenn Sie einen Datastore auf einem SCSI Speicher Device erstellen f hrt Sie der Assistent zum Hinzuf gen von Speicher durch die Konfiguration VMware Inc Kapitel 6 Speicherkonfiguration Erstellung eines Datastores auf einer lokalen SCSI Festplatte 1 VMware Inc Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Klicken Sie auf die Registerkarte Konfiguration und klicken Sie unter Hardware auf Speicher SCSI SAN und NES Klicken Sie auf Speicher hinzuf gen Das Dialogfeld Speichertyp ausw hlen wird angezeigt Markieren Sie den Speichertyp Disk LUN Festplatte LUN und klicken Sie
298. ool aus dem Inventarfenster aus und klicken Sie auf Einstellungen bearbeiten in der bersicht Registerkarte um die Einstellungen der Ressourcen Gruppe zu ndern esxcfg route Legt die Standard Gatewayroute des VMkernels fest oder ndert sie Um die Standard Gatewayroute des VMkernels im VI Client festzulegen klicken Sie auf DNS und Routing Wenn Sie die Standardroute ndern m chten klicken Sie auf Eigenschaften und aktualisieren Sie die Daten auf beiden Registerkarten im Dialogfeld DNS und Routing Konfiguration 278 VMware Inc Anhang A ESX Befehle zur technischen Unterst tzung Tabelle A 1 Befehle f r die technische Unterst tzung von ESX Server Fortsetzung Servicekonsolenbefehl Zweck des Befehls und VI Client Verfahren esxcfg swiscsi Konfiguriert den Software iSCSI Software Adapter Klicken Sie zur Konfiguration des Software iSCSI Systems im VI Client auf Speicheradapter markieren Sie den iSCSI Adapter den Sie konfigurieren m chten und klicken Sie auf Eigenschaften Konfigurieren Sie den Adapter ber das Dialogfeld Eigenschaften des iSCSI Initiators Eine vollst ndige Anleitung zur Erstellung und Konfiguration von iSCSI Datastores erhalten Sie unter iSCSI Speicher auf Seite 110 esxcfg upgrade Aktualisiert ESX Server von ESX Server 2 x auf ESX Server 3 x Dieser Befehl ist nicht zur allgemeinen Verwendung bestimmt Durch die Aktualisierung von 2 x auf 3 x werden die folgenden drei Ziele errei
299. org nge die als Virtual Center Administrator nicht vorgenommen werden k nnen Diese Aktivit ten zu denen die direkte Erstellung L schung oder Bearbeitung von Anwendern und Gruppen f r ESX Server Hosts geh ren k nnen nur vom Anwender mit Adminis tratoren Genehmigungen direkt auf dem entsprechenden ESX Server Host vorge nommen werden W VORSICHT ndern Sie den vpxuser und seine Berechtigungen nicht Ansonsten kann es zu Problemen bei der Verwaltung des ESX Server Hosts ber VirtualCenter kommen Wenn Sie als Administrator an einem ESX Server Host angemeldet sind k nnen Sie einzelnen Anwendern oder Gruppen die standardm ig bei der Installation von ESX Server oder sp ter manuell zum ESX Server Anwender bzw Gruppenverzeichnis hin zugef gt wurden Zugriffsberechtigungen f r einen ESX Server Host zuweisen Wenn Sie als Administrator in VirtualCenter angemeldet sind k nnen Sie allen Anwendern oder Gruppen im von VirtualCenter bernommenen Windows Dom nenverzeichnis Berechtigungen zuweisen VMware Inc 217 Handbuch zur Server Konfiguration HINWEIS VirtualCenter registriert alle ausgew hlten Anwender oder Gruppen der Windows 218 Dom ne durch den Prozess der Zuweisung von Zugriffsberechtigungen Standardm ig werden allen Anwendern die zur lokalen WindowsAdministratoren gruppe auf dem VirtualCenter Server geh ren die gleichen Zugriffsrechte wie Anwendern mit Administratorenrolle zugewiesen Anwender die zur
300. ort zu ndern m ssen die Kennw rter die sie ausw hlen die Standards von pam _cracklib so erf llen Au erdem k nnen Anwen der Root Anwender ausgenommen nur eine bestimmte Anzahl von Kennwort nderungsversuchen vornehmen bevor pam_cracklib so eine Warnmeldung ausgibt und schlie lich das Dialogfeld zur nderung des Kennworts schlie t Es gibt bei ESX Server folgende Kennwortstandards und Versuchsbeschr nkungen f r pam cracklib so m Mindestl nge Der Mindestl nge Parameter von pam _cracklib so f r ESX Server System wurde auf 9 festgelegt Das bedeutet dass der Anwender min destens 8 Zeichen eingeben muss wenn er nur eine Zeichenklasse Kleinbuch staben Gro buchstaben Zahlen usw verwendet Der Algorithmus f r die Kennwortl nge l sst k rzere Kennw rter zu wenn der Anwender eine Mischung verschiedener Zeichenklassen zul sst Zur Berechnung der tats chlichen Zeichenl nge die ein Anwender eingeben muss um ein g ltiges Kennwort f r eine bestimmte Mindestl ngeneinstellung zu erhalten gilt folgender Kennwortl ngen Algorithmus M CC E VMware Inc Kapitel 12 Sicherheit der Servicekonsole Wobei m NM der Mindestl ngenparameter ist m CC die Anzahl der Zeichenklassen ist die der Anwender f r das Kennwort verwendet m E die Anzahl der Zeichen ist die der Anwender eingeben muss Tabelle 12 1 zeigt wie der Algorithmus funktioniert wenn ein Anwender min destens einen Kleinbuchstaben als Teil de
301. piel ein virtuelles Netzwerk erstellen in dem jede virtuelle Maschine eine andere Benchmark Testsuite f r die gleiche Abteilung ausf hrt ist das Risiko ungewollten Zugriffs von einer virtuellen Maschine auf eine andere minimal So muss die Konfiguration vermutlich keine Firewalls zwischen den virtuellen Maschinen enthalten Um eine St rung der Testl ufe durch einen externen Host jedoch zu ver hindern kann die Konfiguration so eingerichtet werden dass sich eine Firewall am Eingang zum virtuellen Netzwerk befindet um alle virtuellen Maschinen zu sch tzen Dieser Abschnitt demonstriert die Aufstellung von Firewalls f r Konfigurationen mit und ohne VirtualCenter Hier finden Sie auch Informationen zu den Firewall Ports die f r ESX Server Systeme notwendig sind In diesem Abschnitt werden folgende Themen behandelt m Firewalls in Konfigurationen mit einem VirtualCenter Server auf Seite 182 m Firewalls in Konfigurationen ohne VirtualCenter Server auf Seite 185 m ICP und UDP Ports f r den Management Zugriff auf Seite 187 m Verbindung zu einem VirtualCenter Server ber eine Firewall auf Seite 189 m Verbindung zur Konsole der virtuellen Maschine ber eine Firewall auf Seite 189 m Anbindung von ESX Server Hosts ber Firewalls auf Seite 191 m Freigeben von Firewall Ports f r unterst tzte Dienste und Management Agenten auf Seite 192 Informationen zur Firewall der Servicekonsole finden Sie unter
302. r 8 MB hinausgehen Aktualisierung von VMFS 2 in VMFS 3 1 4 Melden Sie sich am VMware VI Client an und w hlen Sie einen Server aus dem Inventar aus Klicken Sie auf die Registerkarte Konfiguration und dann auf Speicher SCSI SAN und NFS Klicken Sie auf den Datastore der das VMFS 2 Format verwendet Speicher Aktualisieren Entfernen Speicher hinzuf gen Identifikation Kapazit t vrnhba0 0 0 2 32 94 GB vmfs3 Details Eigenschaften Klicken Sie auf Upgrade to VMFS 3 Auf VMFS 3 aktualisieren Namens nderung von Datastores Sie k nnen den Namen eines bestehenden VMFS basierten Datastores ndern Bearbeiten des Datastore Namens 1 Melden Sie sich am VMware VI Client an und w hlen Sie einen Server aus dem Inventar aus Klicken Sie auf die Registerkarte Konfiguration und dann auf Speicher SCSI SAN und NFS VMware Inc Kapitel 7 Speicherverwaltung 3 W hlen Sie den Datastore aus dessen Namen Sie bearbeiten m chten und klicken Sie auf den Eigenschaften Link Das Dialogfeld Volume Eigenschaften wird angezeigt U storagei Eigenschaften x Yolume Eigenschaften Allgemein I Forma IT Datastore Name storage Dateisystem VMFS 3 21 Maximale Dateigra e 256 GB Blockgro e 1 MB Erweiterungen Ger t erweitern Ein YMFS Dateisystem kann mehrere Fesiplattenparlilionen oder Die links ausgew hlte Erweiterung ist auf der unten Erweiterungen umfassen
303. r Konfiguration 7 ndern Sie auf der Registerkarte Routing die Standard Gateway nach Bedarf Sie m ssen das Gateway Ger t nur dann angeben wenn die Servicekonsole auf mehr als ein Subnetz zugreifen soll H DNS und Routing Konfiguration DNS Konfiguration Routing Service Konsole Standard Gateway Gateway Ger t 8 Klicken Sie auf OK um das Dialogfeld DNS Konfiguration zu schlie en Einrichten von MAC Adressen 64 F r die von der Servicekonsole dem VMkernel und den virtuellen Maschinen genutz ten virtuellen Netzwerkadaptern werden MAC Adressen generiert In den meisten F llen sind diese MAC Adresse ausreichend In folgenden F llen ist es jedoch ggf notwendig eine MAC Adtresse f r einen virtuellen Netzwerkadapter festzulegen m Virtuelle Netzwerkadapter auf unterschiedlichen physischen Servern verwenden das gleiche Subnetz und ihnen wurde die gleiche MAC Adresse zugewiesen wo durch ein Konflikt entsteht m Sie m chten sicherstellen dass ein virtueller Netzwerkadapter immer die gleiche MAC Adresse hat Die folgenden Abschnitte beschreiben wie MAC Adressen generiert werden und wie Sie die MAC Adtresse f r einen virtuellen Netzwerkadapter festlegen k nnen VMware Inc Kapitel 3 Erweiterte Netzwerkeigenschaften Generierung von MAC Adressen Jedem virtuellen Netzwerkadapter in einer virtuellen Maschine wird eine eindeutige MAC Adresse zugewiesen Eine MAC Adresse ist eine Zahl bestehend aus s
304. r Zylinder H die Anzahl der K pfe und 5 die Anzahl der Sektoren angibt HINWEIS Beim Import von virtuellen Festplatten von VMware Workstation auf ESX Server kann es zu Fehlermeldungen bez glich Diskrepanzen in der Festplattengeometrie kommen Eine Diskrepanz in der Festplattengeometrie kann auch die Ursache von Problemen beim Laden eines Gast Betriebssystems oder bei der Ausf hrung einer neu erstellten virtuellen Maschine sein VMware Inc 293 Handbuch zur Server Konfiguration Ger teoptionen V 294 Mit den Ger teoptionen k nnen Sie Verwaltungsaufgaben f r Ihre physischen Spei cherger te durchf hren mit denen Sie arbeiten Sie k nnen auch die meisten dieser Aufgaben auch ber den VI Client ausf hren In diesem Abschnitt werden folgende Themen behandelt m Scan Adapter auf Seite 294 m Verwaltung der SCSI Reservierungen von LUN auf Seite 294 Scan Adapter s scan lt adapterName gt Diese Option scannt einen bestimmten Adapter auf neu hinzugef gte oder ge nderte Ger te oder LUNs Die Option s kann insbesondere f r Adapter n tzlich sein die an Storage Area Networks SANs angeschlossen sind Wenn ein neues Ger t oder eine neue LUN ber einen Adapter neu zur Verf gung steht registriert ESX Server dieses neue virtuelle Ger t zur Verwendung durch die virtuellen Maschinen Wenn eine bestehende LUN nicht l nger vorhanden ist wird sie von der Liste der f r die vir tuellen Maschinen zur Verf gung st
305. ration Ihrer Anlagen auch stets auf die Einhaltung der Best Practices Ihres H ndlers Bitte bedenken Sie dass die virtuellen Switches von VMware das Konzept nativer VLANs nicht unterst tzen Alle Daten die ber diese Switches bertragen wer den m ssen ordnungsgem gekennzeichnet werden Da es jedoch im Netzwerk auch andere Switches geben kann die f r den nativen VLAN Betrieb konfiguriert wurden k nnen VLANs mit virtuellen Switches dennoch anf llig f r VLAN Hopping sein Wenn Sie VLANs zur Netzwerksicherung verwenden m chten empfiehlt VMware die native VLAN Funktion f r alle Switches zu deaktiveren sofern nicht ein zwingender Grund vorliegt dass einige VLANs im nativen Modus betrieben werden m ssen Wenn Sie ein natives VLAN verwenden m ssen beachten Sie die Konfigurationsrichtlinien des Switch Herstellers f r diese Funktion Richten Sie ein eigenes VLAN bzw einen eigenen virtuellen Switch f r die Kommunikation zwischen den Management Iools und der Servicekonsole ein Sowohlbei der Verwendung eines Management Clients als auch der Befehls zeile werden alle Konfigurationsaufgaben f r ESX Server wie z B Speicher Steuerungsaspekte des Verhaltens virtueller Maschinen oder die Einrichtung von virtuellen Switches oder virtuellen Netzwerken ber die Servicekonsole ausge f hrt Da die Servicekonsole die Steuerungszentrale von ESX Server ist ist ihr Schutz vor Missbrauch besonders wichtig Zwar verwenden die Managemen
306. re initiiertem iSCSI Speicher auf Seite 129 m Erstellung eines NFS basierten Datastores auf Seite 135 VMware Inc Kapitel 7 Speicherverwaltung Entfernen bestehender Datastores Sie k nnen Datastores die Sie nicht mehr verwenden entfernen vV VORSICHT Die Entfernung eines Datastores vom ESX Server System unterbricht die Verbindung zwischen dem System und dem Speicherger t mit dem Data store und h lt alle Funktionen dieses Speicherger tes an Sie k nnen Datastores nicht entfernen wenn sie virtuelle Festplatten einer aktiven virtuellen Maschine enthalten Entfernen eines Datastores 1 Melden Sie sich am VMware VI Client an und w hlen Sie einen Server aus dem Inventar aus 2 Klicken Sie auf die Registerkarte Konfiguration und dann auf Speicher SCSI SAN und NFS 3 Markieren Sie den Datastore den Sie entfernen m chten und klicken Sie auf Entfernen 4 Best tigen Sie dass Sie den Datastore entfernen m chten Bearbeiten bestehender VMFS basierter Datastores Datastores im VMFS Format werden auf SCSI basierten Speicherger ten bereitgestellt Nach der Erstellung eines VMFS basierten Datastores k nnen Sie ihn ndern Weitere Informationen finden Sie in folgenden Abschnitten m Aktualisierung von Datastores auf Seite 139 m Namens nderung von Datastores auf Seite 140 m Erweiterung von Datastores auf Seite 141 Aktualisierung von Datastores ESX Server 3 verf gt ber eine neues D
307. ren aus wodurch die LUNs auf die neuen Ger tenamen umgeleitet werden VMware Inc 159 Handbuch zur Server Konfiguration Raw Device Mapping f r Virtuelle Maschinen Cluster Die Verwendung der RDM Zuordnung ist f r Cluster mit virtuellen Maschinen erforderlich die zur Sicherstellung von Failover auf die gleiche Raw LUN zugreifen m ssen Die Einrichtung ist vergleichbar mit der Einrichtung eines solchen Clusters mit Zugriff auf dieselbe virtuelle Festplattendatei die virtuelle Festplattendatei wird dabei allerdings durch die RDM Zuordnungsdatei ersetzt gemeinsam genutzter Zugriff Adress Zugeordnetes Zuordnungsdatei VMFS Datentr ger aufl sung Ger t Abbildung 8 6 Zugriff aus geclusterten virtuellen Maschinen Weitere Informationen ber das Konfigurieren von Clustering finden Sie in den Handb chern Einrichtung des Microsoft Cluster Dienstes und Handbuch zum Ressourcen Management Vergleich der Raw Device Mapping mit anderen Arten des SCSI Ger tezugriffs Um die Entscheidung zwischen den verschiedenen verf gbaren Zugriffsmodi f r SCSI Ger te zu erleichtern gibt Tabelle 8 1 einen kurzen Vergleich der Funktionen der verschiedenen Modi 160 VMware Inc Kapitel 8 Raw Device Mapping Tabelle 8 1 Verf gbare Funktionen bei virtuellen Festplatten und Raw Device Mapping Virtuelle RDM Virtueller RDM Physischer ESX Server Funktion Festplattendatei Modus Modus Weiterg
308. rheitszertifikat f r die SSL Verbin dungen zu verwenden Der Standardspeicherort f r das Zertifikat ist etc vmware ssl auf dem ESX Server Host Das Zertifikat besteht aus zwei Dateien dem Zertifikat selbst rui crt und der pers nlichen Schl sseldatei rui key Hinzuf gen von Zertifikaten und nderungen der Web Proxyeinstellungen des ESX Servers Beachten Sie beim Hinzuf gen von Zertifikaten zu ESX Server und bei der Planung von Verschl sselung und Anwendersicherheit Folgendes m ESX Server kann Kennworts tze verschl sselte Schl ssel nicht verarbeiten Wenn Sie eine Kennparole einrichten k nnen ESX Server Prozesse nicht richtig aufge rufen werden Vermeiden Sie daher die Verwendung von Zertifikaten die dieses Verfahren verwenden VMware Inc Kapitel 11 Authentifizierung und Anwender Management Sie k nnen den Web Proxy so konfigurieren dass er an einer anderen Stelle als am Standardspeicherort nach Zertifikaten sucht Dies ist hilfreich wenn die Zertifi kate zentral auf einem Computer gespeichert werden sollen damit mehrere Hosts die Zertifikate verwenden k nnen VORSICHT Wenn Sie Zertifikate an einem anderen Speicherort als dem ESX Server Host speichern k nnen Sie auf die Zertifikate nicht zugreifen wenn die Verbindung des Hosts zu dem Computer mit den Zertifikaten getrennt wird Zur Unterst tzung von Verschl sselung f r Anwendernamen Kennw rter und Pakete wird SSL standardm ig f r VI Web Acces
309. rieren um den neuen Port Gruppennamen entsprechend zu ber cksichtigen VMware Inc 83 Handbuch zur Server Konfiguration 84 VMware Inc VMware Inc Speicher Handbuch zur Server Konfiguration 86 VMware Inc Speicher Einf hrung Dieses Kapitel enth lt eine bersicht ber die zur Verf gung stehenden Speicheroptionen f r ESX Server Informationen ber die Konfiguration von SANs finden Sie im Handbuch der SAN Konfiguration In diesem Kapitel werden folgende Themen behandelt VMware Inc Speicherkonzepte auf Seite 88 Speicher bersicht auf Seite 89 Anzeige der Speicherinformationen im VI Client auf Seite 93 VMware Dateisystem auf Seite 97 Konfiguration und Verwaltung von Speicher auf Seite 101 87 Handbuch zur Server Konfiguration Speicherkonzepte 88 Es sind bestimmte Grundlagen notwendig um Speicher vollst ndig zu verstehen m Datastore Formatierter logischer Datenbeh lter analog einem Dateisystem auf einem logischen Volume Der Datastore enth lt die Dateien der virtuellen Maschinen Er kann sich auf verschiedenen Typen von physischen Speichersystemen wie z B SCSI iSCSI Fibre Channel SAN oder NFS befinden Es gibt zwei verschiedene Typen von Datastores VMFS basiert und NFS basiert m Festplattenpartition Ein f r einen bestimmten Zweck abgegrenzter Teil einer Festplatte Im Kontext des Speichers von ESX Server k nnen Festplattenpartitionen a
310. rkarte Routing sind die Servicekonsole und das VMkernel oft nicht an das gleiche Netzwerk angeschlossen und ben tigen daher jeweils eigene Gate way Daten Eine Gateway ist zur Anbindung an Computer notwendig die sich nicht im gleichen IP Subnetz wie die Servicekonsole oder das VMkernel befinden HINWEIS Alle NAS und iSCSI Server m ssen entweder ber den Standard Gateway oder 42 ber dasselbe bertragungsgebiet wie die zugeordneten vSwitches zu erreichen sein Bei der Servicekonsole ist eine Gateway nur notwendig wenn mindestens zwei Netzwerkadapter das gleiche Subnetz verwenden Die Gateway bestimmt welcher Netzwerk Adapter f r die Standardroute verwendet wird Klicken Sie auf die Registerkarte Routing Stellen Sie die Standard Gateway des VMkernels ein VORSICHT Es besteht das Risiko der Fehlkonfiguration wodurch die Anwenderschnittstelle die Anbindung an den Host verlieren kann In diesem Fall muss der Host ber die Befehlszeileneingabe der Servicekonsole neu konfiguriert werden Klicken Sie auf OK um die nderungen zu speichern und das Dialogfeld DNS Konfiguration zu schlie en VMware Inc Kapitel 2 Vernetzung Anzeige von Servicekonsoleninformationen 1 Klicken Sie zur Anzeige von Servicekonsoleninformationen auf das blaue Sprechblasensymbol Blaues Sprechblasensymbol 192 168 2 119 vMware ESX Server 3 0 1 30215 bersicht Virtuelle Maschinen Ressourcen Zuweisung Peromance Har
311. rmationen zu den Sicherheitsstufen finden Sie unter Konfiguration der Servicekonsolen Firewall auf Seite 240 Speichermehrfachver Ja Der konfigurierte Gesamtspeicher f r die gabe f r virtuelle Ma virtuellen Maschinen kann gr er als der schinen physische Gesamtspeicher sein VMware Inc Kapitel 13 Sichere Implementierungen und Sicherheits empfehlungen Tabelle 13 2 Die folgende Tabelle zeigt wie die Anwenderkonten f r den ESX Server Host eingerichtet werden k nnen Tabelle 13 2 Anwenderkonten in einer Ein Kunden Implementierung Anwenderkategorie Gesamtanzahl der Konten Globale Administratoren 1 Kundenadministratoren Systemadministratoren oO I o Unternehmensanwender Tabelle 13 3 Die folgende Tabelle zeigt die Zugriffsberechtigungen f r die Anwender Tabelle 13 3 Anwenderzugriff in einer Ein Kunden Implementierung Zugriffsbefugnisse Globaler Administrator Systemadministrator Root Zugriff Ja Nein Servicekonsolenzugriff ber SSH Ja Nein VirtualCenter und VI Web Access Ja Nein Erstellung und nderung von virtuellen Ja Nein Maschinen Zugriff auf virtuelle Maschinen ber die Ja Ja Konsole Implementierung f r mehrere Kunden mit Beschr nkungen In dieser Implementierung befinden sich die ESX Server Hosts im gleichen Datacenter und werden f r Anwendungen mehrerer Kunden verwendet Der globale Adminis trator wartet die ESX Server Hosts auf denen mehrere v
312. rn zugreifen kann muss es an das Netzwerk angebunden sein Vor der Konfiguration von NFS muss daher zuerst die Netzwerk verbindung f r VMotion und f r den IP Speicher konfiguriert werden Weitere Informationen zur Netzwerkkonfiguration finden Sie unter Konfiguration des VMkernels auf Seite 33 Erstellung eines NFS basierten Datastores Wenn Sie einen Datastore auf einem NFS Datentr ger erstellen f hrt Sie der Assistent zum Hinzuf gen von Speicher durch die Konfiguration Einbindung eines NFS Datentr gers 1 Melden Sie sich am VMware VI Client an und w hlen Sie einen Server aus dem Inventar aus 2 Klicken Sie auf die Registerkarte Konfiguration und klicken Sie unter Hardware auf Speicher SCSI SAN und NES 3 Klicken Sie auf Speicher hinzuf gen Das Dialogfeld Speichertyp ausw hlen wird angezeigt VMware Inc 135 Handbuch zur Server Konfiguration 4 W hlen Sie Network File System NFS als Speichertyp und klicken Sie auf Weiter Das Dialogfeld NFS suchen wird angezeigt Speicher hinzuf gen Keizwerkdateisystem suchen Welcher Freigegpelane Ordnar wird als Yeeane Dstastore verwendet Hetzwerk Dabeieysberm r Eigenschaften ee Beispiels nas nas k cam or 192 168 0 1 Cmdner Beispiel ol volufidatastore s0Ql 7 NFS schreibgesch tzt mounten M batastore Aame MMI 5 Geben Sie den Server Namen den Mount Punkt Ordner und den Datastore Namen ein 6 Klicken Sie auf Weiter Das Dialogfeld NFS be
313. rnetseiten von Drittanbietern und die VMware Wissensbasis regelm ig auf Sicherheitswarnungen Anmelden an der Servicekonsole Obwohl die meisten Konfigurationsvorg nge f r ESX Server ber den VI Client ausgef hrt werden m ssen bestimmte Sicherheitsfunktionen ber die Befehlszeilen oberfl che der Servicekonsole konfiguriert werden Zur Verwendung der Befehls zeilenoberfl che m ssen Sie sich auf dem Host anmelden Wenn Sie direkten Zugriff auf den ESX Server Host haben k nnen Sie sich auf der physischen Konsole auf diesem Computer anmelden Dr cken Sie dazu auf dem Anmeldebildschirm Alt F2 Ver wenden Sie bei Fernverbindungen SSH oder eine andere Fernsteuerungsverbindung um eine Sitzung auf dem Host aufzurufen In beiden F llen sowohl bei der lokalen Anmeldung als auch bei der Anmeldung ber eine Fernverbindung wie SSH m ssen Sie sich mit einem Anwendernamen und einem Kennwort anmelden dass der ESX Server Host erkennt Weitere Informationen zu Anwendernamen und Kennw rtern f r ESX Server Hosts finden Sie unter Verwaltung von Anwendern und Gruppen auf ESX Server Hosts auf Seite 219 Wenn Sie sich auf dem Host anmelden um Vorg nge auszuf hren f r die Root Privi legien notwendig sind sollten Sie sich zuerst als normaler Anwender auf der Service konsole anmelden und dann ber den Befehl su oder den zu bevorzugenden Befehl sudo als Root anmelden Der Befehl sudo erh ht die Sicherheit da er nur f r bestimmte
314. rsicht wird angezeigt 7 berpr fen Sie die Konfigurationsdaten und klicken Sie auf Fertig stellen 136 VMware Inc Speicherverwaltung Dieses Kapitel enth lt Informationen zur Verwaltung bestehender Datastores und Dateisysteme die Datastores bilden Dieses Kapitel enth lt folgende Abschnitte VMware Inc Verwaltung von Datastores und Dateisystemen auf Seite 138 Bearbeiten bestehender VMFS basierter Datastores auf Seite 139 Verwalten von Pfaden f r Fibre Channel und iSCSI auf Seite 143 Die vmkfstools Befehle auf Seite 150 137 Handbuch zur Server Konfiguration Verwaltung von Datastores und Dateisystemen Das ESX Server System verwendet Datastores um alle Dateien die seinen virtuellen Maschinen zugeordnet sind zu speichern Der Datastore ist eine logische Speicher einheit die Festplattenspeicher auf einem physischen Ger t auf einer Festplatten partition oder bergreifend auf mehreren physischen Ger ten verwendet Der Data store kann sich auf verschiedenen Typen von physischen Ger ten wie z B SCSI iSCSI Fibre Channel SANs oder NFS befinden HINWEIS Als Alternative zur Verwendung des Datastores kann Ihre virtuelle Maschine ber 138 einer Zuordnungsdatei RDM als Proxy direkt auf Raw Devices zugreifen Weitere Informationen ber RDM Zuordnungen finden Sie unter Raw Device Mapping auf Seite 151 Weitere Informationen zu Datastores finden Sie unter Datastores und Dateis
315. rtragungen Wenn der Promiscuous Modus nicht aktiviert wurde erkennt der Gastadapter nur Datenverkehr auf seiner eigenen MAC Adresse Im Promiscuous Modus erkennt er alle Datenpakete Standardm ig ist Promiscuous Modus f r die Gastadapter deaktiviert Weitere Informationen zur Sicherheit finden Sie unter Absicherung der Ports virtueller Switches auf Seite 201 Bearbeiten der Sicherheits Policy f r Layer 2 1 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt 2 Klicken Sie auf die Registerkarte Konfiguration und dann auf Netzwerk 3 Klicken Sie f r den vSwitch dessen L2 Sicherheits Policy Sie bearbeiten m chten auf Eigenschaften 4 Klicken Sie im Dialogfeld vSwitch Eigenschaften auf die Registerkarte Ports 5 Markieren Sie vSwitch und klicken Sie auf Bearbeiten VMware Inc 53 Handbuch zur Server Konfiguration 54 6 Klicken Sie im Dialogfeld vSwitch Eigenschaften auf die Registerkarte Sicherheit vSwitch Eigenschaften Allgemein Sicherheit Traffic Shaping NIC Teamb dung 7 PobcyAusnahmen Promiscugus Hodus bemehmen MAL Adressen nderungen Ablehnen Gefilschte berttagungert PP K tehen He In der Standardeinstellung ist die Option Promiscuous Modus auf Ablehnen gesetzt und Anderungen der MAC Adresse und Forced Transmits sind auf Akzeptieren gesetzt
316. rtuelle Maschinen k nnen an die virtuellen Netzwerke angeschlos sen werden die Sie beim Hinzuf gen von Netzwerken erstellen Jedes einzelne virtu elle Netzwerk verf gt ber einen virtuellen Switch Ein virtuelles Netzwerk kann an ein physisches Netzwerk angeschlossen werden indem mindestens ein physischer Ethernet Adapter auch Uplink Adapter genannt dem virtuellen Switch des virtuellen Netzwerks zugewiesen wird Wenn dem virtuellen Switch kein Uplink Adapter zuge wiesen wurden ist der Datenverkehr im virtuellen Netzwerk auf den physischen Host computer beschr nkt Wenn dem virtuellen Switch mindestens ein Uplink Adapter zu gewiesen wurde k nnen die virtuellen Maschinen die an dieses virtuelle Netzwerk angeschlossen sind auch auf die physischen Netzwerke zugreifen die an den Uplink Adapter angeschlossen sind Ein physischer Ethernet Switch verwaltet den Netzwerkdatenverkehr zwischen den Computern auf dem physischen Netzwerk Ein Switch verf gt ber mehrere Ports Jeder dieser Ports kann an einen anderen Computer oder Switch im Netzwerk ange schlossen sein Jeder Port kann je nach Bedarf des angeschlossenen Computers so kon figuriert werden dass er sich auf eine bestimmte Art verh lt Der Switch stellt fest welche Hosts an welche seiner Ports angeschlossen sind und verwendet diese Infor mationen um Daten an den entsprechenden richtigen physischen Computer weiter zuleiten Switches bilden den Kern eines physischen Netzwerks Es
317. rwerb und zur Installation des Adapters finden Sie auf der QLogic Website unter www qlogic com Anzeige der Eigenschaften des iSCSI Hardware Initiators Bevor Sie mit der Konfiguration des iSCSI Hardware Initiators beginnen berpr fen Sie dass der iSCSI HBA ordnungsgem installiert wurde und im Verzeichnis der Adapter die konfiguriert werden k nnen aufgelistet wird Wenn der Initiator installiert wurde k nnen Sie seine Eigenschaften anzeigen Anzeige der Eigenschaften des iSCSI Hardware Initiators 1 Melden Sie sich am VMware VI Client an und w hlen Sie einen Server aus dem Inventar aus 2 Klicken Sie auf die Registerkarte Konfiguration und klicken Sie unter Hardware auf Speicheradapter Ein Verzeichnis der verf gbaren Speicheradapter wird angezeigt In diesem Ver zeichnis befindet sich auch der iSCSI HBA Storage Adapter Hau scanna Ger t SAN Bezelchrier iSCSI Soltware Adapter vmhba40 Jan 1998 01 com vmware 531030 PCI X Fusion MPT Dual Ultra320 SCSI vmhba 3 W hlen Sie unter HBA den Initiator aus den Sie konfigurieren m chten Es werden die Details zu diesem Initiator angezeigt u a das Modell die IP Adresse der iSCSI Name die Zielerkennung das iSCSI Alias und erkannte Ziele 4 Klicken Sie auf Eigenschaften VMware Inc Kapitel 6 Speicherkonfiguration Das Dialogfeld iSCSI Initiator Eigenschaften wird ge ffnet Auf der Registerkarte Allgemein werden zus tzlic
318. s Gleiches gilt auch f r andere Sicherheitsl cken die ESX Server Hosts gef hrden k nnten VMware ver ffentlicht Sicherheits Patches f r RHEL 3 U6 und h her sobald sie zur Verf gung stehen m Unsichere Dienste wie z B FTP und Telnet sind nicht installiert und die Ports f r diese Dienste sind standardm ig geschlossen Da sicherere Dienste wie z B SSH und SFTP leicht verf gbar sind sollten Sie stets auf einen Einsatz der unsicheren Dienste zugunsten der sichereren Alternativen unterlassen Wenn Sie die unsich eren Dienste verwenden m ssen und f r die Servicekonsole einen ausreichenden Schutz hergestellt haben m ssen Sie entsprechend deren Ports ffnen um sie zu unterst tzen m Die Zahl der Anwendungen die die Kennzeichen setuid oder setgid verwenden wurde minimiert Sie k nnen alle setuid oder setgid Anwendungen die f r den Betrieb von ESX Server optional sind deaktivieren Weitere Informationen zu not wendigen und optionalen setuid und setgid Anwendungen finden Sie unter Setuid und setgid Anwendungen auf Seite 252 Genauere Erl uterungen zu diesen Sicherheitsma nahmen und anderen Sicherheitsem pfehlungen f r die Servicekonsole finden Sie unter Sicherheit der Servicekonsole auf Seite 237 Sie k nnen zwar bestimmte Programme die f r RHEL 3 U6 entwickelt wurden in der Servicekonsole installieren und ausf hren dies kann jedoch zu ernsthaften Sicherheits l cken f hren und wird daher nur unter
319. s und Web SDK Verbindungen aktiviert Wenn Sie diese Verbindungen in der Form einstellen m ssen dass die bertragungen nicht verschl sselt werden deaktivieren Sie SSL f r Ihre VI Web Access Verbindung oder die Web SDK Verbindung indem Sie die Verbindung von HTTP auf HTTPS umstellen wie in nderung der Sicherheitseinstellungen f r einen Web Proxy Dienst auf Seite 230 beschrieben Deaktivieren Sie SSL nur dann wenn Sie eine vollst ndig vertrauensw rdige Umgebung f r die Clients ge schaffen haben d h wenn Firewalls installiert wurden und die bertragungen zum und vom Host vollst ndig isoliert sind Die Deaktivierung von SSL kann die Leistung von VI Web Access erh hen da der f r die Verschl sselung notwendige Overhead vermieden wird Um den Missbrauch von ESX Server Diensten wie dem internen Web Server auf dem VI Web Access ausgef hrt wird zu verhindern kann auf die meisten internen ESX Server Dienste nur ber Port 443 den f r HTTPS bertragungen verwendeten Port zugegriffen werden Port 443 dient als Reverse Proxy f r ESX Server Sie k n nen ein Verzeichnis der Dienste auf ESX Server ber die Begr sungsseite von HTTP sehen aber Sie k nnen nur direkt auf diese Dienste zugreifen wenn Sie ber die entsprechenden Berechtigungen verf gen Sie k nnen diese Einstellung ndern sodass auf bestimmte Dienste direkt ber HTTP Verbindungen zugegriffen werden kann VMware empfiehlt dass Sie diese nderung nur vorne
320. s Client und das SDK f r verf gbar halten wenn sie Daten an den ESX Server Host senden Bei VMware kann f r diese Verbindungen kein anderer Port konfiguriert werden Port 443 verbindet den VI Web Access Client oder Netzwerk Management Clients von Drittanbietern ber den Tomcat Web Dienst bzw das SDK mit dem ESX Server Host Diese Prozesse multiplexen Daten von Port 443 zur Verarbeitung an vmware hosto m Port 903 Der VI Client und VI Web Access verwenden diesen Port f r Verbindungen der Maus Tastatur Bildschirmaktivit ten des Gast Betriebs systems auf virtuellen Maschinen Die Anwender interagieren ber diesen Port mit dem Gast Betriebssystem und den Anwendungen der virtuellen Maschine Port 903 ist der Port den der VI Client und VI Web Access f r verf gbar halten wenn sie mit virtuellen Maschinen kommunizieren Bei VMware kann f r diese Funktion kein anderer Port konfiguriert werden Port 903 verbindet den VI Client mit einer bestimmten virtuellen Maschine die auf dem ESX Server Host konfiguriert wurde Abbildung 10 3 zeigt die Beziehungen zwischen VI Client Funktionen Ports und ESX Server Prozessen Der VI Web Access Client verwendet die gleiche Grundstruktur f r seine Kommunikation mit dem ESX Server Host 190 VMware Inc Kapitel 10 Absicherung der ESX Server Konfiguration VI Client Verwaltungsfunktionen f r virtuelle Maschinen Virtuelle Maschinen konsole Port902 Firewall Port 903
321. s Kennwortes eingibt Tabelle 12 1 Ergebnisse des Kennwort Komplexit tsalgorithmus Anzahl der Zeichen Zeichenklassen im Kennwortversuch f r ein g ltiges Andere Kennwort Kleinbuchstaben Gro buchstaben Zahlen Zeichen 8 Ja 7 Ja Ja Ja Ja Ja Ja 6 Ja Ja Ja Ja Ja Ja Ja Ja Ja 5a Ja Ja Ja Ja Das Plug In pam_cracklib so l sst keine Kennw rter mit weniger als sechs Zeichen zu Daher ist zwar die mathematisch korrekte Anforderung f r ein Kennwort mit vier verschiedenen Zeichenklassen f nf Zeichen die tats chliche Anforderung ist jedoch sechs Zeichen Wiederholungsversuche Der Wiederholungsversuchsparameter von pam_cracklib so ist f r ESX Server Systeme auf 3 gesetzt d h dass das Kenn wort nderungsdialogfeld nach drei Versuchen ein g ltiges Kennwort einzu geben von pam_cracklib so geschlossen wird Der Anwender muss eine neue Sitzung zur nderung des Kennwortes ffnen um es erneut zu versuchen pam_cracklib so berpr ft alle Kennwort nderungsversuche damit das Kennwort folgende Qualit tskriterien erf llt VMware Inc Das neue Kennwort darf kein Palindrom sein d h ein Kennwort das von hinten nach vorn und von vorn nach hinten gelesen werden kann wie z B Radar oder Anna Das neue Kennwort darf keine Umkehrung des alten Kennwortes sein Das neue Kennwort darf keine Buchstabenverdrehung sein d h eine Version des alten Kennwortes in dem einer oder mehrere Buchstaben nach vorn oder
322. s Netzwerkadapters zu ndern markieren Sie den Netzwerkadapter und klicken Sie auf Bearbeiten Das Dialogfeld Status wird angezeigt Die Standardeinstellung lautet Autonegotiate die meistens richtig ist Status K nfigurierte Geschwindigkeit duplex autom sush andeln Aulom aushandeln 49 Handbuch zur Server Konfiguration 7 Um die Verbindungsgeschwindigkeit manuell einzustellen w hlen Sie die Geschwindigkeit Duplexeinstellung aus dem Drop Down Men aus Die Verbindungsgeschwindigkeit muss manuell eingestellt werden wenn die Netz werkkarte oder ein physischer Switch die richtige Verbindungsgeschwindigkeit nicht erkennen Anzeichen f r falsch eingestellte Geschwindigkeit Duplex sind niedrige Bandbreite oder v llig fehlende Konnektivit t Der Adapter und der physische Switch Port an den der Adapter angeschlossen ist m ssen auf den gleichen Wert gesetzt werden entweder Auto Auto oder ND ND wobei ND f r die Geschwindigkeit Duplex steht nicht jedoch Auto ND Klicken Sie auf OK Hinzuf gen von Uplink Adaptern 1 50 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration und dann auf Netzwerk Markieren Sie einen vSwitch und klicken Sie auf Eigenschaften Klicken Sie im Dialogfeld vSwitch Eigenschaften auf die Registerkarte Netz
323. s zu melden Wenn Sie Ja w hlen wird jedes Mal wenn eine virtuelle NIC an den vSwitch angeschlossen wird oder der Datenverkehr dieser virtuellen NIC aufgrund eines Failover Ereignisses ber eine andere physische NIC geroutet wird eine Meldung ber das Netzwerk gesendet um die Verweistabelle auf dem phy sischen Switch zu aktualisieren In fast allen F llen ist dies w nschenswert um die Latenzzeiten f r Failover Ereignisse und Migrationen mit VMotion zu minimieren Verwenden Sie diese Option nicht wenn die an die Port Gruppe ange schlossenen virtuellen Maschinen den Netzwerklastausgleich NLB von Microsoft im Unicast Modus verwenden Im Multicast Modus von NLB treten keine Probleme auf Rolling Failover W hlen Sie Ja oder Nein um Rolling Failover zu deaktivieren oder zu aktivieren Diese Option bestimmt wie ein physischer Adapter nach einem Ausfall wieder in den aktiven Betrieb genommen wird Wenn die Option auf Nein gesetzt wurde wird der Adapter sofort nach der Wiederherstellung seiner Funktionsf higkeit aktiviert er ersetzt in diesem Fall den ggf vorhandenen Ersatzadapter der seinen Platz eingenommen hatte Wenn diese Option auf Ja gesetzt wurde bleibt ein ausgefallener Adapter nach der Wiederherstellung 59 Handbuch zur Server Konfiguration seiner Funktionsf higkeit deaktiviert bis der gegenw rtig aktive Adapter ausf llt und ersetzt werden muss m Failover Reihenfolge Geben Sie an wie die Arbeitslast f
324. schaften des iSCSI Initiators vmhba40 Allgemein Dynamische Erkennung Statische Erkennung CHAP Authentifizierung Targets versenden Informationen zu Zielger ten direkt von den folgenden iISCSI Servern mit dem SendTargets Befehl abrufen ISCSI Server 10 17 246 205 3260 3 Klicken Sie auf Hinzuf gen um ein neues iSCSI Ziel das der ESX Server Host f r eine Targets versenden Session verwenden kann hinzuzuf gen Daraufhin wird das Dialogfeld Server als Sendeziele hinzuf gen angezeigt VMware Inc 117 Handbuch zur Server Konfiguration 4 Geben Sie die Daten des Ziels ein und klicken Sie auf OK Nachdem der ESX Server Host eine Targets versenden Session mit dem Zielger t aufgebaut hat werden alle neu erkannten Ziele im Verzeichnis Statische Erkennung angezeigt 5 Um ein bestimmtes Ziel zu ndern oder zu l schen markieren Sie das Ziel und klicken Sie auf Bearbeiten oder Entfernen 6 Klicken Sie auf die Registerkarte Statische Erkennung Die Registerkarte zeigt alle dynamisch erkannten Ziele an Eigenschaften des iSCSI Initiators vmhba40 Allgemein Dynamische Erkennung Statische Erkennung CHAP Authentifizierung Die folgenden Ziele wurden unter Einsatz spezifischer Hosts und ISCSI Namen erkannt iSCSI Server Adresse Target Name 10 17 246 207 3260 ign 1992 08 com netapp sn 8417 10 17 246 207 3260 ign 1992 08 com netapp sn 8417 10 17 246 214 32650 ign 1992 04 com emc cx apmO000 10 1
325. schine a Service console er Korzolen Port I Serwies Konsole 2 vih 192 168 2 119 i e Virtueller Switch wSw chl _ Entfernen Eigenschaften Frost Gruppe der w rt sellen Maschine Phuzische Adapter m Networki Keine Adapter 1 erne Forn kernel 192 168 2 101 Virtueller Switch vswitch Entfernen Eigenschaften Fort Grupgs der w rtgellen Maschine Fhuvzische Adapter G Network mi Keine Adapter Abbildung 2 2 Interaktives Diagramm des virtuellen Switch Klicken Sie auf das blaue Sprechblasensymbol um sich selektiv weitere detailliertere Informationen anzeigen zu lassen Ein Popup Fenster verweist auf die detaillierten Eigenschaften wie in Abbildung 2 3 dargestellt VMware Inc 25 Handbuch zur Server Konfiguration Eigenschaften Netzwerkbezeichn Service Konsole VLAN ID Keine Sicherheit Promiscuous Modu Ablehnen Mac Adressen nderun blehnen Gef lschte bertragu Ablehnen Traffic Shaping Durchschnittliche Ban NJA Spitzenbandbreite N A Burstgr e NJA Failover und Lastausgleich Lastausgleich IP Hash Netzwerkausfall Erkennung Nur Verbindungsstat Notify Switches Ja Rolling Ja Aktive Adapter vmnici Standby Adapter Keine Nicht benutzte Adapte Keine Abbildung 2 3 Detaillierte Eigenschaften des virtuellen Switch Port Gruppen Port Gruppen vereinen mehrere Ports unter einer gemeinsamen Konfiguration und bieten so einen stabilen Ankerpunkt f r virtuelle Maschinen die an bezeichnete Netz
326. se Option listet die Attribute des angegebenen VMFS Datentr gers auf wenn sie in einer Datei oder einem Verzeichnis auf diesem VMFS Datentr ger verwendet werden Zu den aufgelisteten Attributen geh ren die VMFS Version VMFS 2 oder VMFS 3 die Anzahl der Erweiterungen aus denen der jeweilige Datentr ger besteht die Daten tr gerbezeichnung falls vorhanden die UUID und ein Verzeichnis der Ger te namen auf denen sich die Erweiterungen des VMFS Datentr gers befinden HINWEIS Wenn ein Ger t zur Sicherung des VMFS Dateisystems offline geht ndert sich die Anzahl der Erweiterungen und des verf gbaren Speichers entsprechend Sie k nnen die Suboption h f r die P Option verwenden In diesem Fall listet vmkfstools die Kapazit t des Datentr gers in verst ndlicherer Form auf zum Beispiel 5k 12 1M oder 2 1G Upgrade von VMFS 2 auf VMFS 3 Sie k nnen ein Upgrade des Dateisystems VMFS 2 auf VMFS 3 durchf hren vV VORSICHT 8 Die Konvertierung von VMFS 2 in VMFS 3 ist nicht umkehrbar Wenn 286 der VMFS Datentr ger in VMFS 3 konvertiert wurde kann er nicht in das Format VMFS 2 zur ckkonvertiert werden m Damit das Upgrade des Dateisystems VMFS 2 m glich ist sollte die Dateiblockgr e nicht ber 8 MB hinausgehen Verwenden Sie folgende Optionen f r das Upgrade des Dateisystems m T tovmfs3 Xx upgradetype zeroedthick eagerzeroedthick thin Diese Option konvertiert das VMFS 2 Dateisystem in VMFS 3 und erh
327. sene MAC Adresse genannt Obwohl die urspr ngliche MAC Adresse von au erhalb des Gast Betriebs systems neu konfiguriert werden kann kann sie nicht vom Gastbetriebssystem selbst ge ndert werden Au erdem verf gt jeder Adapter ber eine geltende MAC Adresse die VMware Inc 201 Handbuch zur Server Konfiguration 202 eingehenden Netzwerkverkehr mit einer MAC Adtresse die nicht der geltenden MAC Adresse entspricht ausfiltert Das Gast Betriebssystem ist f r die Einstellung der gel tenden MAC Adresse verantwortlich In der Regel stimmen die geltende MAC Adresse und die urspr nglich zugewiesene MAC Adresse berein Beim Versand von Datenpaketen schreibt das Betriebssystem die wirksame MAC Adresse des eigenen Netzwerkadapters in das Feld Quell MAC Adresse des Ethernet Frames Es schreibt auch die MAC Adresse des Empf nger Netzwerkadapters in das Feld Ziel MAC Adresse Der empfangende Adapter akzeptiert Datenpakete nur dann wenn die Ziel MAC Adresse im Paket mit seiner eigenen geltenden MAC Adresse bereinstimmt Bei der Erstellung stimmen die geltende und die urspr nglich zugewiesene MAC Adres se berein Das Betriebssystem der virtuellen Maschine kann die geltenden MAC Adresse jedoch jederzeit auf einen anderen Wert setzen Wenn ein Betriebssystem die geltenden MAC Adresse ndert empf ngt der Netzwerkadapter Netzwerk datenverkehr der f r die neue MAC Adresse bestimmt ist Das Betriebssystem kann jederzeit
328. setzen sofern Sie zun chst auf dem Rootlevel eine Ersatzgenehmigung mit der Administratorrolle anlegen und diese Rolle einem anderen Anwender zuweisen Wenn Sie die Berechtigungen der Root Anwender l schen oder ndern m ssen Sie den neu erstellten Anwender als Anlaufstelle f r die Host Authentifizierung verwenden wenn Sie den Host unter die Ver waltung von VirtualCenter stellen m Lesezugriff Anwender denen diese Rolle f r ein Objekt zugewiesen wurde k nnen den Status des Objekts und Details zum Objekt ansehen In dieser Rolle kann ein Anwender die virtuelle Maschine den Host und die Ressourcen Pool Attribute anzeigen lassen Der Anwender kann jedoch nicht die Remote Steuerung f r einen Host einsehen Alle Vorg nge ber Men s und Symbolleisten sind nicht zugelassen m Administrator Anwender denen diese Rolle f r ein Objekt zugewiesen wurde k nnen alle Vorg nge auf dem Objekt anzeigen und durchf hren Zu dieser Rolle geh ren alle Zugriffsberechtigungen ber die auch die Rolle mit Lesezugriff verf gt Anwenderdefinierte Rollen k nnen Sie mit den Rollenbearbeitungsdienstprogrammen auf dem VI Client erstellen und an Ihre Bed rfnisse anpassen Wenn Sie den VI Client ber VirtualCenter zur Verwaltung der ESX Server Hosts verwenden stehen Ihnen zus tzliche Rollen im VirtualCenter zur Auswahl Auf die Rollen die Sie direkt auf einem ESX Server Host erstellen kann nicht von VirtualCenter aus zugegriffen werden Sie k
329. sodass der Initiator eine Erkennungssitzung mit diesem Ziel aufnehmen kann Das Zielger t antwortet durch die Weiterleitung einer Liste aller zus tzlichen Ziele auf die der Initiator zugreifen kann VMware Inc Kapitel 6 Speicherkonfiguration m Statische Erkennung Wenn das Zielger t der Targets versenden Session die Liste verf gbarer Ziele bermittelt hat erscheinen diese im Verzeichnis Statische Erkennung Diese Liste kann manuell um beliebige zus tzliche Ziele erg nzt oder um nicht ben tigte Ziele reduziert werden Die statische Erkennung steht nur f r hardware initiierten Speicher zur Verf gung ISCSI Sicherheit Da iSCSI die IP Netzwerke zur Anbindung an entfernte Ziele verwendet muss die Sicherheit der Verbindung gew hrleistet werden Das IP Protokoll sch tzt die Daten die es bermittelt nicht selbst und kann auch die Legitimit t der Initiatoren die auf die Ziele im Netzwerk zugreifen nicht berpr fen Zur Sicherstellung der Sicherheit in IP Netzwerken m ssen Sie gesonderte Ma nahmen ergreifen ESX Server unterst tzt das Challenge Handshake Authentication Protocol CHAP das die iSCSI Initiatoren zur Authentifizierung nutzen k nnen Nach Aufnahme der ur spr nglichen Verbindung mit dem Ziel durch den Initiator berpr ft CHAP die Identi t t des Initiators und pr ft den CHAP Schl ssel den sowohl der Initiator als auch das Ziel haben Das kann w hrend der iSCSI Sitzung regelm ig wiederholt wer
330. ss kein Remote ESX Server auf dieses Volume zugreift Die Konvertierung kann mehrere Minuten dauern Die Fertigstellung wird durch die R ckkehr zur Befehlszeileneingabe signalisiert Nach der Konvertierung deinstallieren Sie den fsaux Treiber und installieren Sie die VMFS3 und VMF32 Treiber um den blichen Betrieb wieder aufzunehmen u upgradefinish Diese Option beendet das Upgrade Optionen f r virtuelle Festplatten Bei den Optionen der virtuellen Festplatten handelt es sich um Tasks die Sie w hrend des Einrichtens der Migration und der Verwaltung virtueller Festplatten ausf hren k nnen die auf den Dateisystemen VMFS 2 VMFS 3 und NFS gespeichert sind Sie k nnen auch die meisten dieser Aufgaben auch ber den VI Client ausf hren Weitere Informationen finden Sie in folgenden Abschnitten VMware Inc Unterst tzte Festplattenformate auf Seite 288 Erstellen einer virtuellen Festplatte auf Seite 289 Initialisierung einer virtuellen Festplatte auf Seite 289 Vergr ern einer schlanken virtuellen Festplatte auf Seite 290 L schen einer virtuellen Festplatte auf Seite 290 Umbenennen einer virtuellen Festplatte auf Seite 290 Klonen einer virtuellen oder Raw Festplatte auf Seite 290 Migrieren der VMware Workstation und der VMware GSX Server virtuellen Maschinen auf Seite 291 Erweitern einer virtuellen Festplatte auf Seite 291 287 Handbuch zur Server Konfiguration
331. st tzt wenn VMware dies ausdr cklich an f hrt Wenn eine Sicherheitsl cke in der unterst tzten Konfiguration erkannt wird informiert VMware alle Kunden mit geltenden Support und Wartungsvertr gen und stellt alle notwendigen Patches zur Verf gung HINWEIS Bestimmte Sicherheitsmeldungen von Red Hat betreffen die ESX Server Umgebung nicht In diesem Fall ver ffentlicht VMware keine Warnungen oder Patches 172 VMware Inc Kapitel 9 Sicherheit f r ESX Server Systeme Weitere Informationen zu den VMware Policys f r Sicherheitspatches f r unterst tzte Programme sowie die Policys f r nicht unterst tzte Software finden Sie unter Sonstige Nachschlagewerke und Informationen zur Sicherheit auf Seite 179 Sicherheit in der virtuellen Netzwerk Layer Die virtuelle Netzwerk Layer besteht aus den virtuellen Netzwerkger ten ber die die virtuellen Maschinen und die Schnittstelle der Servicekonsole mit dem Rest des Netz werkes kommunizieren ESX Server verwendet zur Kommunikation zwischen den vir tuellen Maschinen und ihren Anwendern die Konnektivit ts Layer Au erdem ver wenden ESX Server Hosts diese Layer zur Kommunikation mit iSCSI SANs NAS Speicher usw Zur Konnektivit ts Layer geh ren virtuelle Netzwerkadapter und vir tuelle Switches Die Methoden die Sie zur Absicherung eines Netzwerkes von virtuellen Maschinen ver wenden h ngen unter anderem davon ab welches Gast Betriebssystem installiert wurde und ob die virtu
332. staben Zahlen und Sonderzeichen einf gt ben tigt er nur sechs Zeichen nderung des Kennwort Plug Ins F r die meisten Umgebungen ist das Plug In pam_cracklib so zur Durchsetzung einer ordnungsgem en Kennwortqualit t ausreichend Wenn pam_cracklib so jedoch nicht Ihren Bed rfnissen entspricht k nnen Sie auch das Plug In pam_passwdgc so verwenden Sie k nnen das Plug In ber den Befehl esxcfg auth ndern Das Plug In pam_passwdgc so berpr ft die gleichen Kennwortmerkmale wie pam_cracklib so Es bietet jedoch mehr Optionen zur Feinabstimmung der Kennwort qualit t und f hrt f r alle Anwender einschlie lich des Root Anwenders Kennwort qualit tstests durch Die Verwendung von pam_passwdac so ist jedoch auch etwas komplizierter als die Verwendung von pam_cracklib so Weitere Informationen zu diesem Plug In finden Sie in der Linux Dokumentation VMware Inc Kapitel 12 Sicherheit der Servicekonsole HINWEIS Das pam_passwdagc so Plug In das unter Linux verwendet wird verf gt ber mehr Parameter als das Plug In f r ESX Server Diese zus tzlichen Parameter k nnen nicht mit esxcfg auth eingerichtet werden Wechseln zum Plug In pam_passwdac so 1 2 VMware Inc Melden Sie sich auf der Servicekonsole an und erlangen Sie Root Privilegien Geben Sie den folgenden Befehl ein esxcfg auth usepamgc lt NO gt lt N1 gt lt N2 gt lt N3 gt lt N4 gt lt bereinstimmung gt Wobei m NO die Anzahl der Zeic
333. store hinzuf gen oder Datastores umbenennen oder l schen Weitere Informationen zur Verwaltung von Datastores finden Sie unter Verwaltung von Datastores und Dateisystemen auf Seite 138 Dateisystemformate F r Datastores stehen Ihnen folgende Dateisystemformate zur Verf gung m VMFS ESX Server setzt diese Art Dateisystem auf lokalen SCSI Festplatten iSCSI LUNS oder Fibre Channel LUNs ein und erstellt f r jede virtuelle Maschine ein Verzeichnis VMES ist ein Cluster Dateisystem auf das mehrere ESX Server Systeme gleichzeitig zugreifen k nnen HINWEIS ESX Server 3 0 unterst tzt VMES Version 3 VMFS 3 VMFS 3 ist nicht mit ESX Server Versionen vor ESX Server 3 0 r ckw rtskompatibel Wenn Sie VMFS 2 verwenden m ssen Sie es auf VMFS 3 aktualisieren Weitere Informationen zur Aktualisierung von VMFS 2 finden Sie unter Aktualisierung von Datastores auf Seite 139 Weitere Informationen zu VMES finden Sie unter VMware Dateisystem auf Seite 97 Als Alternative zur Verwendung eines VMFS basierten Datastores kann Ihre virtuelle Maschine ber einer Zuordnungsdatei RDM als Proxy direkt auf Raw Devices zugreifen Weitere Informationen ber RDM Zuordnungen finden Sie unter Raw Device Mapping auf Seite 151 m NFS ESX Server kann einen designierten NFS Datentr ger auf einem NFS Server verwenden ESX Server bindet den NFS Datentr ger ein und erstellt f r jede virtuelle Maschine ein Verzeichnis Aus der Sicht d
334. sung eines Vertreters der technischen Unterst tzung von VMware ein Es gibt keine VI Client Entsprechung f r diesen Befehl esxcfg mpath Konfiguriert die Multipath Einstellungen f r Fibre Channel oder iSCSI Festplatten Klicken Sie zur Konfiguration der Multipath Einstellungen f r den Speicher im VI Client auf Speicher W hlen Sie einen Datastore oder eine zugeordnete LUN aus und klicken Sie auf Eigenschaften W hlen Sie ggf im Dialogfeld Eigenschaften die gew nschte Erweiterung aus Klicken Sie dann auf Bereichsger t gt Pfade verwalten und konfigurieren Sie die Pfade ber das Dialogfeld Pfad verwalten VMware Inc 277 Handbuch zur Server Konfiguration Tabelle A 1 Befehle f r die technische Unterst tzung von ESX Server Fortsetzung Servicekonsolenbefehl esxcfg nas Zweck des Befehls und VI Client Verfahren Verwaltet die NAS Einbindung Mit diesem Befehl k nnen Sie NAS Ger te hinzuf gen l schen auflisten oder ihre Attribute ndern Klicken Sie zur Anzeige der NAS Ger te im VI Client auf Speicher und bl t tern Sie durch das Speicherverzeichnis Aus der Speicher Ansicht k nnen Sie au erdem folgende Vorg nge ausf hren m Attribute eines NAS Ger tes anzeigen Markieren Sie das Ger t Sie erhalten die Daten unter Details m Hinzuf gen eines NAS Ger ts Klicken Sie auf Speicher hinzuf gen m L schen eines NAS Ger tes Klicken Sie auf Entfernen m nderung der Attribute eines
335. system auf Seite 296 m Neue virtuelle Festplatte erstellen auf Seite 296 2 Klonen einer virtuellen Festplatte auf Seite 296 Erstellen einer Raw Device Mapping auf Seite 296 m Scannen eines Adapters auf nderungen auf Seite 296 Anlegen eines neuen VMFS 3 Dateisystems vmkfstools C vmfs3 b 1m S myvmfs vmhbal1 3 0 1 Dieses Beispiel zeigt die Erstellung eines neuen VMFS 3 Dateisystems mit dem Namen myvmfs auf der ersten Partition von Ziel 3 LUN 0 des SCSI Adapters 1 Die Dateiblock gr e ist 1MB VMware Inc 295 Handbuch zur Server Konfiguration 296 Hinzuf gen einer Partition zu einem VMFS 3 Dateisystem vmkfstools Z vmhba 1 2 4 vmhbal 3 0 1 Dieses Beispiel zeigt die Erweiterung eines logischen Dateisystems durch das Hinzu f gen einer neuen Partition Das erweiterte Dateisystem nimmt nun zwei Partitionen ein vmhba1 3 0 1 und vmhba0 1 2 4 In diesem Beispiel ist vmhba1 3 0 1 der Name der bergeordneten Partition Neue virtuelle Festplatte erstellen vmkfstools c 2048m vmfs volumes myVMFS myOS vmdk Dieses Beispiel zeigt die Erstellung einer virtuellen 2 GB Festplattendatei mit dem Namen myOS vmdk auf dem VMFS Dateisystem mit dem Namen myVMEFS Diese Datei stellt eine leere virtuelle Festplatte dar virtuelle Maschinen k nnen darauf zugreifen Klonen einer virtuellen Festplatte vmkfstools i vmfs volumes templates gold master vmdk vmfs volumes myVMFS myOS vmdk Dieses Beispiel
336. t vmfs volumes lt file system label file system UUID gt dir myDisk vmdk Sie brauchen nicht den gesamten Pfad anzugeben wenn das aktuelle Arbeitsverzeichnis gleichzeitig das bergeordnete Verzeichnis von myDisk vmdk ist Beispiel vmfs volumes datastorel rh9 vmdk Suboption v Die Suboption v bestimmt die Ausf hrlichkeit der Meldungen in der Befehlsausgabe Das Format f r diese Suboption lautet wie folgt v verbose lt Zahl gt Der Wert lt Zahl gt wird als ganze Zahl von 1 bis 10 angegeben Sie k nnen die Suboption v f r alle vmkfstools Optionen verwenden Wenn die Suboption v f r die Ausgabe einer Option nicht vorgesehen ist ignoriert vmkfstools den Teil v der Befehlszeile HINWEIS Da Sie die Suboption v in jeder vmkfstools Befehlszeile verwenden k nnen wird sie nicht in den Beschreibungen der einzelnen Optionen verwendet vmkfstools Optionen Dieser Abschnitt enth lt eine Liste aller Optionen die f r den Befehl vmkfstools verwendet werden k nnen Einige der Aufgaben in diesem Abschnitt enthalten Optionen die nur f r Anwender mit fortgeschrittenen Kenntnissen bestimmt sind Die Lang und Kurz Ein Buchstaben formen der Optionen sind gleichwertig So sind zum Beispiel die folgenden Befehle identisch vmkfstools createfs vmfs3 blocksize 2m vmhbal 3 0 1 vmkfstools C vmfs3 b 2m vmhbal1 3 0 1 Weitere Informationen finden Sie in folgenden Abschnitten m Dateisystemoptionen auf Seite 284
337. t t und Physische Kompatibilit t Dynamische Namensaufl sung Mit der RDM Zuordnung k nnen sie einem Ger t einen dauerhaften Namen geben indem Sie auf den Namen der Zuordnungsdatei im Unterverzeichnis vmfs verweisen Das Beispiel in Abbildung 8 5 zeigt drei LUN Auf LUN 1 wird ber den Ger tenamen zugegriffen der von der ersten sichtbaren LUN abh ngt LUN 2 ist ein zugeordnetes 158 VMware Inc Kapitel 8 Raw Device Mapping Ger t das von einer RDM Zuordnungsdatei auf LUN 3 verwaltet wird Der Zugriff auf die RDM Zuordnungsdatei erfolgt ber den feststehenden Pfadnamen im Unter verzeichnis vmfs Server Virtuelle Maschine 1 Virtuelle Maschine 2 scsi0 0 name scsi0 0 name vmhba0 0 1 O mydiskdir mymapfile mydiskname vmdk N vmfs volumes myVolume E l myVMDirectory mymapfile 2 S 2 N 2 NO7 Kam Kon 8 V7 L L vmhba0 0 3 0 vmhba0 0 1 0 Zugeordnetes Ger t vmhba0 0 2 0 Abbildung 8 5 Beispiel f r eine Namensaufl sung Alle zugeordneten LUNs werden durch VMES eindeutig bezeichnet die Bezeichnung wird in den internen LUN Datenstrukturen gespeichert Jede nderung des SCSI Pfads z B Ausfall eines Fibre Channel Switches oder das Hinzuf gen eines neuen Host Bus Adapters kann zu einer nderung des vmhba Ger tenamens f hren dazum Namen auch die Pfadangabe Ursprung Ziel LUN geh rt Die dynamische Namensaufl sung gleicht diese nderungen durch die Anpassung der Datenstruktu
338. t wird als HBA Failover bezeichnet Analog dazu bernimmt SP2 bei einem Ausfall von SP1 oder der Verbindung zwischen SP1 und dem Switch und stellt eine Verbindung zwischen dem Switch und dem Speicherger t zur Verf gung Dieser Vorgang wird SP Failover genannt VMware ESX Server unterst tzt ber die Multipathing Funktion sowohl HBA als auch SP Failover Weitere Informationen ber Multipathing finden Sie im Handbuch zur SAN Konfiguration In den folgenden Abschnitten erhalten Sie Informationen ber das Verwalten von Pfaden m Anzeige des aktiven Multipathing Status auf Seite 145 m Aktive Pfade auf Seite 146 m Einrichten der Multipathing Policys f r LUNs auf Seite 147 m Deaktivieren und Aktivieren von Pfaden auf Seite 148 m Einrichten des bevorzugten Pfads Nur feste Pfadkonventionen auf Seite 149 VMware Inc Kapitel 7 Speicherverwaltung Anzeige des aktiven Multipathing Status Verwenden Sie den Virtual Infrastructure Client zum Anzeigen des aktuellen Multi pathing Status So zeigen Sie den aktuellen Multipathing Status an 1 VMware Inc Melden Sie sich am VMware VI Client an und w hlen Sie einen Server aus dem Inventar aus Klicken Sie auf die Registerkarte Konfiguration und klicken Sie unter Hardware auf Speicher SCSI SAN und NES W hlen Sie aus dem Verzeichnis der konfigurierten Datastores den Datastore aus dessen Pfade Sie anzeigen oder konfigurieren m chten und klicken S
339. t Netzwerke Geschwindigkeik Netzwerke 192 168 2 96 192 168 2 127 192 168 2 96 192 168 2 127 Verwendung vSwitchO FB mic 10 voll FB mici 100 vol C Verwendung _vSwitch0_ Geschwindigkeit Netzwerke C Verwendung _vSwitchi _ Geschwindigkeit Netzwerke ai VMkemel Port VMkernel 000 000 000 000 Port Gruppe der virtuellen Maschine Netzwerk der virtuellen Maschi Port Gruppe der virtuellen Maschine Netzwerk der virtuellen Maschi Die Auswahlm glichkeiten werden im Bereich Vorschau angezeigt W hlen Sie f r jeden vSwitch Adapter aus sodass die virtuellen Maschinen die an diesen Adapter angeschlossen sind auf das richtige Ethernet Segment zugreifen k nnen Wenn unter Neuen virtuellen Switch erstellen keine Adapter angezeigt werden bedeutet dies dass alle Netzwerkadapter im System von vorhandenen vSwitches verwendet werden Weiter Informationen zum Bewegen von Netzwerkadapter zwischen vSwitches finden Sie unter Hinzuf gen von Uplink Adaptern auf Seite 50 Klicken Sie auf Weiter Das Dialogfeld Verbindungseinstellungen wird angezeigt 719 Handbuch zur Server Konfiguration 8 W hlen Sie eine Netzwerkbezeichnung und eine VLAN ID unter Eigenschaften der Port Gruppe aus bzw geben Sie diese ein m Netzwerkbezeichnung Ein Name der die Port Gruppe bezeichnet die erstellt wird Es handelt sich dabei um die Bezeichnung die Sie bei der Konfi
340. t eine Zuordnungsdatei in einem VMFS Volume die als Proxy f r ein phy sisches Raw Device fungiert RDM enth lt Metadaten mit denen Plattenzugriffe auf das physische Ger t verwaltet und umgeleitet werden Diese Datei bietet Ihnen die Vor teile des direkten Zugriffs auf das physische Ger t w hrend Sie gleichzeitig einige Vor teile einer virtuellen Festplatte im VMFS Dateisystem beibehalten k nnen Folglich verbindet die Datei die VMFS Verwaltungs und Wartungsfreundlichkeit mit einem Raw Device Zugriff Virtuelle Maschine liest ffnet schreibt VMFS Datentr ger gt Zuordnungsdatei Adress Mapping Ger t aufl sung Abbildung 8 1 Raw Device Mapping Obwohl VMEFS f r die meisten virtuellen Festplattenspeicher empfohlen wird kann es in Einzelf llen erforderlich sein Raw LUNs zu verwenden So ist es beispielsweise in folgenden Situationen erforderlich Raw LUNs zusammen mit RDMs zu verwenden m Wenn in der virtuellen Maschine SAN Snapshot oder andere Layer Anwendungen ausgef hrt werden RDM unterst tzt skalierbare Backup Offloading Systeme die Funktionsmerkmale von SAN verwenden besser m Inallen MSCS Cluster Szenarien die ber mehrere physische Hosts verlaufen in VM VM Clustern und in PC VM Clustern In diesem Fall sollten Cluster Daten und Quorumfestplatten vorzugsweise als RDMs konfiguriert werden und nicht als Dateien auf einem freigegebenen VMFS VMware Inc Kapitel
341. t erweiterte Netzwerkaufgaben wie zum Beispiel die Einrichtung von MAC Adressen die Bearbeitung von virtu ellen Switches und Ports und DNS Routing Au erdem enth lt es Tipps wie die Netzwerkkonfiguration effizienter gestaltet werden kann Netzwerk Szenarien und Probleml sung Beschreibt die allgemeine Netz werkkonfiguration und Probleml sungsszenarios Speicher Das Themengebiet Speicher f r ESX Server beschreibt die Grundlagen zu Speichern die grundlegenden Schritte zur Konfiguration und Verwaltung der Speicher des ESX Server Hosts sowie die Einstellung der Raw Device Mapping Der Abschnitt Spei cher enth lt folgende Kapitel m Speicher Einf hrung Stellt die Speichertypen vor die f r den ESX Server Host konfiguriert werden k nnen m Speicherkonfiguration Erl utert die Konfiguration von lokalem SCSI Speicher Fibre Channel Speicher und iSCSI Speicher Hier werden auch VMFS Speicher und an das Netzwerk angebundene Speicher behandelt m Speicherverwaltung Erl utert die Verwaltung von bestehenden Datastores und der Dateisysteme aus denen die Datastores bestehen m Raw Device Mapping Behandelt die Raw Device Mapping die Konfigu ration dieses Speichertyps und die Verwaltung dieser Raw Device Mapping durch die Einrichtung von Multipathing Failover usw Sicherheit Das Themengebiet Sicherheit f r ESX Server beschreibt die Sicherheitsfunktionen die von VMware in
342. t host gt localhost lt host gt lt port gt 8080 lt port gt lt server gt lt redirect id 0 gt mob lt redirect gt lt redirect id 1 gt sdk lt redirect gt lt proxyDatabase gt lt http gt lt https gt lt port gt 443 lt port gt lt proxyDatabase gt VMware Inc Kapitel 11 Authentifizierung und Anwender Management lt server id 0 gt lt namespace gt lt namespace gt lt host gt localhost lt host gt lt port gt 9080 lt port gt lt server gt lt server id 1 gt lt namespace gt sdk lt namespace gt lt host gt localhost lt host gt lt port gt 8085 lt port gt lt server gt lt server id 2 gt lt namespace gt mob lt namespace gt lt host gt localhost lt host gt lt port gt 8087 lt port gt lt server gt lt proxyDatabase gt lt https gt lt proxysvc gt Erneutes Erzeugen von Zertifikaten Der ESX Server Host erzeugt Zertifikate wenn Sie den Host nach der Installation zum ersten Mal starten Anschlie end sucht bei jedem Neustart des vmware hostd Prozesses das vmware mgmt Skript nach vorhandenen Zertifikatsdateien rui crt und rui key F r den Fall dass es keine findet werden neue Zertifikatsdateien erzeugt Unter gewissen Umst nden kann es sein dass Sie den ESX Server Host dazu zwingen m ssen neue Zertifikate zu erzeugen Typischerweise m ssen Sie nur dann neue Zerti fikate erstellen wenn m Sie den Host Namen ndern m Versehentlich Z
343. t ist m Netzwerke IP Adressen auf die der Netzwerkadapter zugreifen kann Netzwerkaufgaben In diesem Kapitel wird die Ausf hrung der folgenden Netzwerkaufgaben beschrieben m Erstellung eines virtuellen Netzwerkes f r eine virtuelle Maschine auf Seite 30 Einrichtung einer Verbindungsart f r eine virtuelle Maschine Hinzuf gen eines virtuellen Netzwerks zu einem neuen oder einem bestehen den virtuellen Switch Konfiguration der Netzwerkbezeichnung und der Verbindungseinstellungen f r die VLAN ID m Einrichtung von VMkernel auf Seite 34 Einrichtung der Verbindungsart f r das VMkernel Hinzuf gen eines virtuellen Netzwerks zu einem neuen oder einem bestehen den virtuellen Switch Konfiguration der Verbindungseinstellungen f r die Netzwerkbezeichnung die VLAN ID TCP IP und Gateway m Konfiguration der Netzwerk Servicekonsole auf Seite 38 Einrichtung einer Verbindungsart f r die Servicekonsole Hinzuf gen eines virtuellen Netzwerks zu einem neuen oder einem bestehen den virtuellen Switch Konfiguration der Verbindungseinstellungen f r die Netzwerkbezeichnung die VLAN ID DHCP Statische IP und die Gateway m Einstellung der Standard Gateway auf Seite 41 m Anzeige von Servicekonsoleninformationen auf Seite 43 Konfiguration virtueller Netzwerke f r virtuelle Maschinen Der VI Client Assistent zum Hinzuf gen von Netzwerken leitet Sie durch die Schritte die zur Erstellung eines
344. tclients von VMware ESX Server Authentifizierung und Verschl sselung um unerlaubten Zugriff auf die Servicekonsole zu verhindern aber andere Dienste bieten ggf nicht den gleichen Schutz Wenn Angreifer Zugriff auf die Servicekonsole erlangen k nnen sie viele Attribute des ESX Server Hosts neu konfigurieren So k nnen Sie zum Beispiel die gesamte Konfiguration der virtuellen Switches oder die Autorisierungsverfahren usw ndern VMware Inc Kapitel 10 Absicherung der ESX Server Konfiguration Die Netzwerkanbindung f r die Servicekonsole wird ber virtuelle Switches her gestellt Um diese wichtigen ESX Server Komponenten zu sch tzen empfiehlt VMware die Isolierung der Servicekonsole durch eines der folgenden Verfahren m Richten Sie ein VLAN f r die Kommunikation der Management Tools mit der Servicekonsole ein m Konfigurieren Sie den Netzwerkzugang f r die Management Tool Verbin dungen mit der Servicekonsole ber einen einzigen virtuellen Switch und einen oder mehrere Uplink Ports Beide Methoden verhindern dass jemand ohne Zugriff auf das Servicekonsolen VLAN oder den virtuellen Switch den eingehenden und ausgehenden Datenver kehr der Servicekonsole sehen kann Au erdem k nnen so Angreifer keine Pakete an die Servicekonsole senden Alternativ k nnen Sie stattdessen die Service konsole auf einem eigenen physischen Netzwerksegment konfigurieren Die physische Segmentierung bietet eine gewisse zus tzliche Sicherheit da
345. tellt Dies erfolgt insbesondere ber die Sicherheitsaspekte der System Architektur und eine Liste der zus tzlichen Sicherheitsressourcen Dieses Kapitel enth lt folgende Abschnitte m Architektur und Sicherheitsfunktionen von ESX Server auf Seite 168 m Sonstige Nachschlagewerke und Informationen zur Sicherheit auf Seite 179 VMware Inc 167 Handbuch zur Server Konfiguration Architektur und Sicherheitsfunktionen von ESX Server Aus Sicht der Sicherheit besteht VMware ESX Server aus vier Hauptkomponenten der Virtualisierungs Layer den virtuellen Maschinen der Servicekonsole und der virtu ellen Netzwerk Layer Folgende Abbildung Abbildung 9 1 bietet eine bersicht ber diese Komponenten Virtuelle Virtuelle Virtuelle Virtuelle Maschine Maschine Maschine Maschine Virtualisierungslayer VMkernel Virtuelle Verbindungs CPU Arbeitsspeicher Hardware Speicher Netzwerkadapter Abbildung 9 1 Architektur von ESX Server Jede dieser Komponenten und die gesamte Architektur wurden so entworfen dass die Sicherheit des ESX Server Systems als Ganzes gew hrleistet wird Sicherheit in der Virtualisierungs Layer Die Virtualisierungs Layer das sog VMkernel ist ein Kernel das von VMware von Grund auf f r die Ausf hrung von virtuellen Maschinen entworfen wurde Sie kontro lliert die Hardware die von den ESX Server Hosts verwendet wird und plant die Zu weisung von Hardware Ressourcen an die einzelnen virtuellen
346. tenbank gegen Missbrauch wurde Kennwort Shadowing f r ESX Server aktiviert sodass die Kennwort Hashs zugriffsgesch tzt sind Au er dem verwendet ESX Server MD5 Kennwort Hashs die eine h here Kennwortsicher heit bieten und es erm glichen Kennw rter mit einer Mindestl nge von mehr als 8 Zeichen zu fordern ESX Server bietet Kennwortkontrolle auf zwei Ebenen um Kennwort Policys f r Anwen der durchzusetzen und das Risiko des Knackens von Kennw rtern zu begrenzen m Kennwort Verwendungsdauer bestimmt wie lange ein Anwenderkennwort aktiv sein kann bevor der Anwender es ndern muss Dadurch wird sichergestellt dass das Kennwort oft genug ge ndert wird sodass ein Angreifer der ein Kenn wort durch Abh ren oder soziale Kontakte erhalten hat nicht auf ewig auf ESX Server zugreifen kann m Kennwort Komplexit t stellt sicher dass Anwender Kennw rter ausw hlen die f r Kennwortgeneratoren schwer zu bestimmen sind VMware Inc Kapitel 12 Sicherheit der Servicekonsole Kennwort Verwendungsdauer Damit Kennw rter f r die Anwenderanmeldung nicht f r lange Zeitr ume aktiv bleiben werden standardm ig folgende Beschr nkungen f r die Verwendungsdauer von ESX Server auferlegt H chstanzahl von Tagen Die Anzahl von Tagen die ein Anwender ein Kennwort verwenden kann bevor es ge ndert werden muss Die Standard einstellung f r ESX Server ist 90 Tage Das Root Konto und andere Dienstkonten sind von dieser Einstellu
347. tiatoren auf Seite 110 m Namenskonventionen auf Seite 112 m Erkennung von Speicherressourcen auf Seite 112 m iSCSI Sicherheit auf Seite 113 iSCSI Initiatoren Zum Zugriff auf entfernte Ziele verwendet der ESX Server Host iSCSI Initiatoren Die Initiatoren transportieren SCSI Anfragen und Antworten zwischen dem ESX Server System und dem Zielspeicherger t ber das IP Netzwerk ESX Server unterst tzt hardware basierte und software basierte iSCSI Initiatoren m Hardware iSCSI Initiator Ein Drittanbieter HBA mit der Funktion iSCSI f r TCP IP Dieser spezialisierte iSCSI Adapter ist f r die gesamte Verarbeitung und das Management von iSCSI verantwortlich Derzeit unterst tzt ESX Server nur QLogic QLA4010 iSCSI HBA m Software iSCSI Initiator Ein in den VMkernel integrierter Code der es erm g licht das ESX Server System mit dem iSCSI Speicher Device ber Standardnetz werkadapter anzubinden Der Software Initiator k mmert sich um die iSCSI Ver arbeitung und kommuniziert gleichzeitig ber den Protokollstapel mit dem Netz VMware Inc Kapitel 6 Speicherkonfiguration werkadapter Mit dem Software Initiator k nnen Sie die iSCSI Technologie ver wenden ohne spezialisierte Hardware anschaffen zu m ssen HINWEIS Die Gast Betriebssysteme in den virtuellen Maschinen k nnen den iSCSI Speicher nicht direkt erkennen F r die Gast Betriebssysteme erscheint der an das ESX Server System angebundene iSCS
348. tiators vnnhba40 Allgemein Dynamische Erkennung Statische Erkennung CHAP Authentifizierung CHAP Authentifizierung Standardm ig die Folgenden Anmeldedaten f r alle 5C5I Targets verwenden CHAP Kame Ohne n here Angabe CHAP Schl ssel Ohne n here Angabe Konfigurieren Schlie en Hilfe En Klicken Sie auf Konfigurieren wenn Sie die bestehenden CHAP Parameter ndern m chten Das Dialogfeld CHAP Authentifizierung wird ge ffnet Damit CHAP auch weiterhin aktiviert bleibt muss Die folgenden CHAP Anmeldedaten verwenden aktiviert sein Um einen neuen CHAP Namen zu verwenden deaktivieren Sie das Kontrollk stchen Initiatornamen verwenden und geben Sie einen anderen Namen ein Geben Sie bei Bedarf einen CHAP Schl ssel an Alle neuen Ziele werden diesen CHAP Schl ssel verwenden um den Initiator zu authentifizieren 119 Handbuch zur Server Konfiguration 7 Klicken Sie auf OK um Ihre nderungen zu speichern HINWEIS Wenn Sie CHAP deaktivieren werden alle Sitzungen die eine CHAP Authentifizierung erfordern sofort beendet Hinzuf gen von hardware initiiertem iSCSI Speicher Wenn Sie einen Datastore auf einem Hardware initiierten SCSI Speicher Device erstellen f hrt Sie der Assistent zum Hinzuf gen von Speicher durch die Konfiguration Erstellung eines Datastores auf einem hardware initiierten iSCSI Ger t 1 Melden Sie sich am VMware VI Client an und w hlen Sie einen Server aus dem
349. tieren Spalten ein oder ausblenden und die Verzeichnisse in Formate exportieren die Sie zur Erstellung von Berichten oder zur Ver ffentlichung von Anwender oder Gruppenverzeichnissen im Internet verwenden k nnen VMware Inc Kapitel 11 Authentifizierung und Anwender Management Anzeigen und Sortieren von ESX Server Anwendern oder Gruppen 1 2 Melden Sie sich ber den ESX Server Host im VI Client an W hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Anwender amp Gruppen und dann auf Anwender oder Gruppen F hren Sie je nach Bedarf folgende Schritte aus m Wenn Sie die Tabelle nach einer Spalte sortieren m chten klicken Sie auf die entsprechende Spalten berschrift m Wenn Sie eine Spalte ein oder ausblenden m chten klicken Sie mit der rech ten Maustaste auf eine der Spalten berschriften und aktivieren oder deak tivieren Sie den Namen der Spalte die Sie ein oder ausblenden m chten Datenexport aus der ESX Server Anwender oder Gruppentabelle 1 2 VMware Inc Melden Sie sich ber den ESX Server Host im VI Client an W hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Anwender amp Gruppen und dann auf Anwender oder Gruppen Legen Sie die Sortierreihenfolge der Tabelle fest und blenden Sie Spalten e
350. tores auf einem Fibre Channel Ger t 1 Melden Sie sich am VMware VI Client an und w hlen Sie einen Server aus dem Inventar aus Klicken Sie auf die Registerkarte Konfiguration und klicken Sie unter Hardware auf Speicher SCSI SAN und NES Klicken Sie auf Speicher hinzuf gen Das Dialogfeld Speichertyp ausw hlen wird angezeigt Markieren Sie den Speichertyp Disk LUN Festplatte LUN und klicken Sie auf Weiter Das Dialogfeld Disk LUN Festplatte LUN wird angezeigt c Speicher hinzuf gen ISO i Festplatte LUN ausw hlen Wenn ein Ger t nicht eindeutig konfiguriert werden kann werden Se aufgefordert eine Partition suszu hlern E Esstplstbefl Lin SAN Bezeichner enth lt 7 Ger testandort Ger t m kaparita Yerfingbner HAN Ebezeichruer vrahba1 0 15 1 00 GE 1022 00 50 06 01 60 30 z vrahba1 0 17 1 00 GB 1022 00 S0 06 01 50 30 vr hba1 0 18 1 00 GB 1022 00 50 06 01 50 30 vr hba1 0 19 1 00 GB 1022 00 50 06 01 50 30 vr hba1 0 20 1 00 GB 1022 00 50 06 01 50 30 vrahba1 0 21 1 00 GB 1022 00 50 06 01 50 30 vr hbal 0 22 1 00 GB 1022 00 S0 06 01 50 30 vr hba1 0 23 1 00 GB 1022 00 50 06 01 50 30 vrahbal 0 22 1 00 56 1022 00 50 065 01 50 30 vrahba1 0 23 1 00 56 1022 00 50 05 01 650 30 gt W hlen Sie das Fibre Channel Ger t aus das Sie f r den Datastore verwenden m chten und klicken Sie auf Weiter Das aktuelle Festplatten Layout wird
351. tragungen bei NFS Speichern erl utert In diesem Kapitel werden folgende Themen behandelt m Absichern von ESX Server ber Authentifizierung und Zugriffsberechtigungen auf Seite 211 m Verschl sselungs und Sicherheitszertifikate f r ESX Server auf Seite 228 m Delegierte der virtuellen Maschine f r NFS Speicher auf Seite 234 Absichern von ESX Server ber Authentifizierung und Zugriffsberechtigungen ESX Server verwendet die PAM Struktur Pluggable Authentication Modules zur Au thentifizierung wenn Anwender mit VirtualCenter VI Web Access oder der Service konsole auf den ESX Server Host zugreifen Die PAM Konfiguration f r VMware Dienste befindet sich unter etc pam d vmware authd in der die Verzeichnispfade zu Authentifizierungsmodulen gespeichert sind Die Standardinstallation von ESX Server verwendet wie Linux die etc passwd Authentifizierung Sie k nnen ESX Server jedoch aus so konfigurieren dass es eine andere verteilte Authentifizierungsmethode verwendet Wenn Sie statt der Standard implementation von ESX Server ein Authentifizierungsprogramm von Drittanbietern verwenden m chten finden Sie Anleitungen dazu in der Dokumentation des ent sprechenden Anbieters Gegebenenfalls m ssen Sie w hrend der Einrichtung der Au thentifizierung von Drittanbietern die Datei etc pam d vmware authd mit neuen Modulinformationen aktualisieren VMware Inc 211 Handbuch zur Server Konfiguration 212 Jedes Ma
352. trennen kann 40 VMware Inc 6 7 8 Kapitel 2 Vernetzung Klicken Sie auf nderung dieser Verbindung fortsetzen um mit der Konfi guration der Servicekonsole fortzufahren Das Dialogfeld Port Eigenschaften der Servicekonsole wird angezeigt Algemein Sicherheit Trafic Shaping NIC Teamb dung Part Gruppen Eigenschaften Netzwerkbezeichnung IService Konsole YLAN ID optional feine Die Folgenden IP Einstellungen IP Adresse 10 17 80 174 Subnetz Maske 255 255 200 0 o Auen He Bearbeiten Sie die Port Eigenschaften die IP Einstellungen und die verwendeten Policys entsprechend Klicken Sie auf OK Pro TCP IP Stapel kann nur eine Standard Gateway verwendet werden Einstellung der Standard Gateway 1 VMware Inc Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration und dort auf DNS und Routing Das Dialogfeld DNS und Routing wird angezeigt 41 Handbuch zur Server Konfiguration 3 Klicken Sie auf Eigenschaften Das Dialogfeld DNS Konfiguration wird angezeigt Auf der Registerkarte DNS Konfiguration ist im Namensfeld standardm ig der Hostname eingetragen Auch die DNS Server Adressen und die Dom ne die w hrend der Installation angegeben wurden werden automatisch eingetragen Auf der Registe
353. uellen LANs VLANs zur Absicherung des Netzwerkes Da VLANs fast alle Sicherheitsvorteile bieten die auch die Implementation physisch getrennter Netzwerke aufweist ohne dass daf r der Hardware Overhead eines physischen Netzwerkes notwendig ist stellen sie eine ren table L sung zur Verf gung die die Kosten f r die Bereitstellung und War tung zus tzlicher Ger te Kabel usw einsparen kann 195 Handbuch zur Server Konfiguration 196 VLANs sind eine Netzwerkarchitektur nach dem IEEE Standard und verf gen ber spezifische Kennzeichnungsmethoden durch die Datenpakete nur an die Ports weiter geleitet werden die zum VLAN geh ren Wenn das VLAN richtig konfiguriert ist ist es ein zuverl ssiges Mittel zum Schutz einer Gruppe virtueller Maschinen vor zuf l ligem und b swilligem Eindringen Mit VLANs k nnen Sie ein physisches Netzwerk so in Segmente aufteilen dass zwei Computer oder virtuelle Maschinen im Netzwerk nur dann Pakete untereinander aus tauschen k nnen wenn sie zum gleichen VLAN geh ren So geh ren zum Beispiel Buchhaltungsunterlagen und transaktionen zu den wichtigsten vertraulichen internen Informationen eines Unternehmens Wenn in einem Unternehmen die virtuellen Ma schinen der Verkaufs der Logistik und der Buchhaltungsangestellten an das gleiche physische Netzwerk angeschlossen sind k nnen Sie die virtuellen Maschinen f r die Buchhaltungsabteilung sch tzen indem Sie VLANs wie in der Abbildung Abbildun
354. uellen Netzwerk und zur Speicher ressourcen Hardware aus Mit dem VI Client k nnen diese Informationen nicht ausgedruckt werden die meisten Informationen k nnen jedoch ber verschiedene Registerkarten und Funktionen in der Benutzeroberfl che gewonnen werden So k nnen Sie zum Beispiel den Status der virtuellen Maschinen ber die Registerkarte Virtuelle Maschinen berpr fen esxcfg init F hrt interne Initialisierungsroutinen aus Dieser Befehl wird f r den Boots trap Prozess verwendet und Sie sollten ihn unter keinen Umst nden ausf hren Dieser Befehl kann zu Problemen mit dem ESX Server Host f hren Es gibt keine VI Client Entsprechung f r diesen Befehl esxcfg linuxnet Konvertiert beim Start von ESX Server vswif in eth wodurch der Modus Nur Servicekonsole statt der ESX Modus gestartet wird Dieser Befehl wird f r den Bootstrap Prozess verwendet und ist nur f r die technische Unter st tzung von VMware vorgesehen Geben Sie diesen Befehl nur auf ausdr ck liche Anweisung eines Vertreters der technischen Unterst tzung von VMware ein Es gibt keine VI Client Entsprechung f r diesen Befehl esxcfg module Legt die Treiber Parameter fest und ndert die Einstellung welche Treiber w hrend des Hochfahrens geladen werden Dieser Befehl wird f r den Boots trap Prozess verwendet und ist nur f r die technische Unterst tzung von VMware vorgesehen Geben Sie diesen Befehl nur auf ausdr ckliche Anwei
355. uf verschiedenen physischen Speicherger ten reserviert und als Datastores formatiert werden m Erweiterung Im Kontext ESX Server ist eine Erweiterung eine Festplattenpartition auf einem physischen Speicherger t die dynamisch zu einem bestehenden Datastore im VMFS basierten Format hinzugef gt werden kann Ein Datastore kann sich ber mehrere Erweiterungen erstrecken erscheint jedoch ebenso wie ein Speicher aus mehreren Datentr gern wie ein einziger Datentr ger m Failover Pfad Ein redundanter physischer Pfad den das ESX Server System verwenden kann wenn es mit dem Netzwerkspeicher kommuniziert Das ESX Server System verwendet den Failover Pfad wenn eine Komponente die f r die bertragung von Speicherdaten verantwortlich ist ausf llt Weitere Informationen finden Sie unter Multipathing m Fibre Channel FC Eine Hochgeschwindigkeitstechnologie f r die Daten bertragung die ESX Server Systeme zum bertragen von SCSI Verkehr von virtuellen Maschinen auf Speicherger te auf einem SAN verwenden Das Fibre Channel Protocol FCP verpackt SCSI Befehle in Fibre Channel Datenbl cke m iSCSI Internet SCSI Wandelt SCSI Speicherdatenverkehr in TCP Pakete um sodass er ber IP Netzwerke statt ber spezialisierte FC Netzwerke bertragen werden kann Mit einer iSCSI Verbindung kommuniziert das ESX Server System Initiator mit einem entfernten Speicherger t Ziel als w re es eine lokale Festplatte m LUN Logical Un
356. ugriff auf Seite 187 Firewalls in Konfigurationen ohne VirtualCenter Server Wenn die Clients direkt nicht ber den VirtualCenter Server an das ESX Server Netzwerk angebunden werden gestaltet sich die Firewall Anordnung etwas einfacher Firewalls k nnen an jeder der in Abbildung 10 2 abgebildeten Positionen installiert werden HINWEIS Abh ngig vom konkreten Aufbau sind ggf nicht alle in der Abbildung dargestellten VMware Inc Firewalls notwendig oder es sind zus tzliche nicht dargestellte Firewalls n tig 185 Handbuch zur Server Konfiguration VI Client B L ESX Server 1 Port 902 Port 903 Netzwerkmanagement VI Web Access programm von Drittanbietern Port 902 Standard http Port 903 https Ports Firewall Port 443 Firewall Ports 902 2050 5000 8000 und 8042 8045 Be Speicher a ESX Server 2 Abbildung 10 2 Firewallkonfiguration f r ESX Server Netzwerke die direkt ber einen Client verwaltet werden Netzwerke ohne VirtualCenter Server erhalten ihre Daten ber die gleichen Typen von Clients wie Netzwerke mit einem VirtualCenter Server VI Client VI Web Access Clients und Netzwerk Management Clients von Drittanbietern Gr stenteils sind die Anfor derungen der Firewall die gleichen aber es gibt einige markante Unterschiede m Wie bei Konfigurationen mit einem VirtualCenter Server sollten Sie sicherstellen dass die ESX Server
357. uletzt verwendet manuell in Feststehend zu ndern Das System stellt diese Policy f r die Arrays ein f r die diese Einstellung erforderlich ist So richten Sie die Multipathing Policy ein 1 VMware Inc ffnen Sie den Assistenten zum Verwalten von Pfaden indem Sie die unter So zeigen Sie den aktuellen Multipathing Status an auf Seite 145 aufgef hrten Schritte ausf hren Wenn Sie Pfade f r Raw Device Maps verwalten finden Sie weitere Informa tionen unter Pfade verwalten auf Seite 163 Der Assistent zum Pfade verwalten enth lt eine Liste mit verschiedenen Pfaden zur Festplatte sowie die Multipathing Policy f r die Festplatte und den Verbin dungsstatus f r jeden einzelnen Pfad Es zeigt au erdem den bevorzugten Pfad zu der Festplatte an 147 Handbuch zur Server Konfiguration 2 1H vmhba0 0 0 Pfade verwalten EI Pobcy Feststehend Bevorzugten Plad verwenden sofern verf gbar ndern r Pfade SAN Bezeichrier Status Bevorzugt ign 1992 04 com emcicx ap Aktiv Klicken Sie unter Policy auf ndern Das Dialogfeld Policy ausw hlen wird angezeigt 1H vmhba0 0 0 Pfade verwalten Auswahl Policy x Policy C Feststehend Bevorzugten Pfad verwenden sofern verf gbar Zuletzt verwendet Verwenden Sie den zuletzt verwendeten Pfad Abbrechen Hilfe W hlen Sie eine Option aus m Feststehend Zuletzt verwendet Klicken Sie auf OK u
358. und Import und Export einer virtuellen Festplatte Weitere Informationen finden Sie unter Verwendung von vmkfstools auf Seite 281 Dateisystemfunktionen Die meisten Dateisystemfunktionen die in der Servicekonsole ausgef hrt werden k nnen gelten auch f r RDM Zuordnungen ls l Der Befehl ls mit der Option 1 zeigt den Dateinamen und die Zugriffsberechtigungen f r die Zuordnungsdatei sowie die Gr e des zugeordneten Ger tes an du Der Befehl du zeigt den Speicherplatz des zugeordneten Ger tes nicht der Zuord nungsdatei an mv Der Befehl mv benennt die Zuordnungsdatei um beeinflusst jedoch das zugeordnete Ger t nicht cp Mit dem Befehl cp k nnen Sie den Inhalt eines zugeordneten Ger tes kopieren umgekehrt funktioniert dieser Befehl jedoch nicht Sie k nnen keine virtuelle Festplattendatei auf ein zugeordnetes Ger t kopieren Verwenden Sie daf r den vmkfstools Befehl dd Mit dem Befehl dd k nnen Sie Daten vom oder auf das zugeordnete Ger t kopieren VMware empfiehlt Ihnen jedoch aus Gr nden der Effektivit t die vmkfstools Import und Export Befehle zu verwenden VMware Inc VMware Inc Sicherheit 165 Handbuch zur Server Konfiguration 166 VMware Inc Sicherheit f r ESX Server Systeme Bei der Entwicklung von ESX Server war hohe Sicherheit einer der Schwerpunkte Dieser Abschnitt bietet Ihnen eine bersicht dar ber wie VMware die Sicherheit in der ESX Server Umgebung hers
359. ung erm glicht die Ausf hrung bestimmter SAN Management Agenten innerhalb der virtuellen Maschine Au erdem kann jede Software die Zugriff auf ein Ger t ber hardwarespezifische SCSI Befehle ben tigt in einer virtuellen Maschine ausgef hrt werden Diese Art der Software wird auch SCSI Target basierte Software genannt HINWEIS Wenn Sie SAN Management Agenten verwenden m ssen Sie den physischen Kompatibilit tsmodus f r die RDM Zuordnungsdatei ausw hlen VMware kooperiert mit Anbietern von Speicher Management Software damit diese Software in Umgebungen wie ESX Server richtig funktioniert Dies gilt unter anderem f r folgende Anwendungen m SAN Management Software VMware Inc 155 Handbuch zur Server Konfiguration m SRM Speicherressourcen Management Software m Snapshot Software m Replikations Software Diese Software verwendet f r RDM Zuordnungen den Modus Physische Kompa tibilit t damit sie direkt auf die SCSI Ger te zugreifen kann Manche Management Produkte werden besser zentral nicht auf dem ESX Server Computer ausgef hrt w hrend andere problemlos in der Servicekonsole oder in den virtuellen Maschinen funktionieren VMware zertifiziert diese Anwendungen nicht und stellt auch keine Kompatibilit tsmatrix zur Verf gung Wenn Sie wissen m chten ob eine SAN Management Anwendung in einer ESX Server Umgebung unterst tzt wird wenden Sie sich an den Hersteller der SAN Management Software Einschr nkunge
360. ungen vorliegen m SSL ist aktiviert m Der Web Proxy Dienst wurde nicht ge ndert sodass er unverschl sselten Daten verkehr f r den Port durchl sst m Bei der Firewall der Servicekonsole wurde mittlere oder hohe Sicherheit einge stellt Informationen zur Konfiguration der Firewall der Servicekonsole finden Sie unter Konfiguration der Servicekonsolen Firewall auf Seite 240 V VORSICHT Wenn Sie die Firewall deaktivieren indem Sie den Modus Niedrige Sicherheit einstellen k nnen die Anwender ber den unsicheren Port 8080 auf den ESX Server Host zugreifen Jeder der ber Port 8080 auf den ESX Server Host zugreift und ber einen autorisierten Anwendernamen mit dem entsprechenden Kennwort verf gt hat Zugriff auf den Host Die Sicherheitszertifikate f r die Verschl sselung werden von ESX Server erstellt und auf dem Host gespeichert Die Zertifikate die zur Absicherung von VirtualCenter und VI Web Access Sitzungen verwendet werden wurden nicht von einer vertrauens w rdigen Zertifizierungsinstanz unterzeichnet und bieten daher nicht die Authentifi zierungssicherheit die in einer Produktionsumgebung notwendig sein kann So sind beispielsweise selbst unterzeichnete Zertifikate gegen ber Man in the Middle Angriffen empfindlich Wenn Sie verschl sselte Fernverbindungen extern verwenden m chten kann es ggf sinnvoll sein ein Zertifikat von einer beglaubigten Zertifi zierungsinstanz zu erwerben oder ein eigenes Siche
361. ungewolltem Zugriff isoliert ist wie dies auch in einem Fibre Channel SAN der Fall w re Deaktivieren Sie die Authentifizierung grunds tzlich nur dann wenn Sie einen Angriff auf das iSCSI SAN riskieren k nnen oder Probleme beheben m ssen die durch menschliches Versagen entstanden sind ESX Server unterst tzt f r iSCSI weder Kerberos noch Secure Remote Protocol SRP noch Authentifizierungsverfahren mit ffentlichen Schl sseln Au erdem unterst tzt es keine IPsec Authentifizierung und Verschl sselung Mit dem VI Client k nnen Sie bestimmen ob die Authentifizierung derzeit verwendet wird sowie zur Konfiguration der Authentifizierungsverfahren berpr fung des Authentifizierungsverfahrens 1 Melden Sie sich am VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt 2 Klicken Sie auf die Registerkarte Konfiguration und dann auf Speicheradapter VMware Inc 205 Handbuch zur Server Konfiguration 206 5 Markieren Sie den gew nschten iSCSI Adapter und klicken Sie dann auf Eigenschaften Das Dialogfeld Eigenschaften des iSCSI Initiators wird ge ffnet Klicken Sie auf CHAP Authentication CHAP Authentifizierung Wenn unter CHAP Name ein Name angezeigt wird normalerweise der CHAP Initiatorname verwendet das iSCSI SAN die CHAP Authentifizierung s u y Eigenschaften des i5CSI Initiators vmhba40 Allgemein Dynamische Erkennun
362. unterst tzt viele Speichersysteme und Software Agenten wie Backup Agenten System Management Agenten usw Ein Verzeichnis der von ESX Server unterst tzten Agenten Werkzeuge und anderer Software finden Sie durch die Suche nach ESX Server Kompatibilit tshandb chern unter http www vmware com vmtn resources Die Branche bietet mehr Produkte und Konfigura tionen an als VMware testen kann Wenn VMware ein Produkt oder eine Konfiguration nicht in einem Kom patibilit tshandbuch nennt wird die technische Unterst tzung versuchen Ihnen bei Problemen zu helfen kann jedoch nicht garantieren dass das Pro dukt oder die Konfiguration verwendet werden kann Testen Sie die Sicherheitsrisiken f r nicht unterst tzte Produkte oder Konfigurationen immer sorgf ltig VMware Inc 179 Handbuch zur Server Konfiguration 180 VMware Inc Absicherung der ESX Server Konfiguration In diesem Kapitel werden die Mafsnahmen beschrieben mit denen Sie die Umgebung f r Ihre ESX Server Hosts virtuellen Maschinen und iSCSI SANs absichern k nnen Diese Abhandlung konzentriert sich auf den sicherheitsbezogenen Netzwerkkonfigu rations Aufbau und auf die Ma nahmen mit denen Sie die Komponenten in Ihrer Konfiguration vor einem Angriff sch tzen k nnen In diesem Kapitel werden folgende Themen behandelt m Absicherung des Netzwerkes mit Firewalls auf Seite 181 m Absicherung virtueller Maschinen durch VLANs auf Seite 194 m Absicherung
363. ur UDP zu In vertrauensw rdigen Umgebungen kann eine niedrigere Sicherheitsstufe m glich sein In diesem Fall k nnen Sie die Firewall entweder auf mittlere oder niedrige Sicher heit setzen m Mittlere Sicherheit Der gesamte eingehende Datenverkehr wird blockiert aus genommen ist Datenverkehr auf den Standard Ports 902 433 80 und 22 sowie auf allen Ports die Sie freigeben Ausgehender Datenverkehr wird nicht blockiert m Niedrige Sicherheit Weder eingehender noch ausgehender Datenverkehr wird blockiert Diese Einstellung entspricht der Deaktivierung der Firewall Da die standardm ig freigegebenen Ports stark beschr nkt sind m ssen Sie ggf nach der Installation zus tzliche Ports freigeben Ein Verzeichnis der h ufig verwendeten Ports die Sie ggf freigeben m ssen finden Sie unter I CP und UDP Ports f r den Management Zugriff auf Seite 187 Beachten Sie dass Sie durch das Hinzuf gen von unterst tzten Diensten und Manage ment Agenten die zum effektiven Betrieb von ESX Server notwendig sind weitere Ports in der Firewall der Servicekonsole freigeben Dienste und Management Agenten werden ber VirtualCenter hinzugef gt Weitere Informationen hierzu finden Sie unter Freigeben von Firewall Ports f r unterst tzte Dienste und Management Agenten auf Seite 192 Neben den Ports die f r diese Dienste und Agenten freigegeben werden m ssen Sie eventuell andere Ports freigeben wenn Sie bestimmte Ger te
364. utzer f r den ESX Server Host ist standardm ig root Nicht alle NFS Datastores akzeptieren jedoch Root als Delegate Benutzer In einigen F llen ist es m glicherweise angebracht dass der NFS Administrator die Volumes mit aktivierter root squash Option exportiert um die NFS Volumes vor unbefugtem Zugriff zu sch tzen Wenn die Option root squash aktiviert ist behandelt der NFS Server den Root Zugriff wie einen unberechtigten Benutzerzugriff und verweigert m glicher weise den Zugriff des ESX Server Hosts auf Dateien der virtuellen Maschine die auf dem NFS Volume gespeichert sind Sie k nnen dem Delegate Benutzer mithilfe der experimentellen ESX Server Funk tionen eine andere Identit t zuweisen Diese Identit t muss mit der Identit t des In habers des Verzeichnisses auf dem NFS Server bereinstimmen Ansonsten kann der ESX Server Host keine Vorg nge auf Dateiebene durchf hren Weitere Informationen zum Einrichten einer neuen Identit t f r den Delegate Benutzer finden Sie unter Delegierte der virtuellen Maschine f r NFS Speicher auf Seite 234 WARNHINWEIS Das ndern des Delegierten Anwenders f r einen ESX Server Host ist AN experimentell Dar ber hinaus bietet VMware derzeit nur eingeschr nkten Support f r diese Funktion Die Verwendung dieser Funktion kann zu einem unerwarteten und unerw nschten Verhalten f hren Konfiguration von ESX Server zum Zugriff auf NFS Datentr ger Damit NFS auf Daten auf entfernten Serve
365. ver Erforderliche TCP IP Konnektivit t Virtuelle Virtuelle Virtuelle Maschine Maschine Maschine Software Initiator Virtuelle Maschine Virtuelle Maschine lokales Ethernet Fibre Channel Ethernet Ethernet HBA NIC NIC Schl ssel N N I d Daten __ speicher Physisches Laufwerk VMFS Fibre Channel Array Abbildung 5 1 Speichertypen Virtuelle Festplatte HINWEIS Diese Abbildung dient nur zur Veranschaulichung Es handelt sich dabei nicht um eine empfohlene Konfiguration Sie k nnen eine virtuelle Maschine so konfigurieren dass sie auf die virtuellen Festplatten auf den physischen Speicherger ten zugreifen kann Weitere Informationen zur Konfiguration von virtuellen Maschinen finden Sie im Handbuch zur Verwaltung von virtuellen Maschinen Anzeige der Speicherinformationen im VI Client Der VI Client zeigt detaillierte Informationen ber verf gbare Datastores Speicherger te die von den Datastores verwendet werden und ber die Adapterkonfiguration an Weitere Informationen finden Sie in folgenden Abschnitten m Anzeige von Datastores auf Seite 94 m Anzeige der Speicheradapter auf Seite 95 m Grundlegendes zur Benennung von Speicherger ten in der Anzeige auf Seite 96 VMware Inc 93 Handbuch zur Server Konfiguration Anzeige von Datastores Es gibt zwei M glichkeiten dem VI Client Datastores hinzuf gen m Erkennung beim Hinzuf gen e
366. verwenden Virtuelle Maschinen im Teilweise Installieren Sie die virtuellen Maschinen jedes gleichen physischen Kunden auf einem anderen physischen Netz Netzwerk werk Alle physischen Netzwerke sind voneinan der unabh ngig Gemeinsame Netz Teilweise Isolieren Sie die Servicekonsole sodass sie ber werkadapternutzung ihren eigenen virtuellen Switch und virtuellen Netzwerkadapter verf gt Virtuelle Maschinen oder andere Systemkomponenten sollten einen anderen Switch oder Adapter verwenden Die virtuellen Maschinen eines Kunden k nnen den gleichen virtuellen Switch und Netzwerk adapter haben Sie sollten sich jedoch Switch und Adapter nicht mit anderen Kunden teilen Gemeinsame VMFS Nein Jeder Kunde hat seine eigene VMFS Partition die Nutzung vmdk Dateien der virtuellen Maschinen befinden sich ausschlie lich auf dieser Partition Diese Partition kann mehrere LUNs umfassen Sicherheitsstufe Hoch Geben Sie Ports f r Dienste wie FTP nach Bedarf frei Speichermehrfach Ja Der konfigurierte Gesamtspeicher f r die vergabe f r virtuelle virtuellen Maschinen kann gr er als der Maschinen physische Gesamtspeicher sein 262 VMware Inc Kapitel 13 Sichere Implementierungen und Sicherheits empfehlungen Tabelle 13 5 Die folgende Tabelle zeigt wie die Anwenderkonten f r den ESX Server Host eingerichtet werden k nnen Tabelle 13 5 Anwenderkonten in einer Implementierung f r mehrere Kunden mit
367. virtueller Maschinen auf einem VMFS Volume auf Seite 99 m Gemeinsames Nutzen eines VMFS Volumes durch mehrere ESX Server auf Seite 100 Speichern mehrerer virtueller Maschinen auf einem VMFS Volume Sie k nnen mehrere virtuelle Maschinen auf demselben VMFS Volume speichern Jede virtuelle Maschine ist in einem kleinen Satz Dateien eingekapselt und belegt ein eigenes Verzeichnis VMFS unterst tzt die folgenden Datei und Blockgr en sodass Sie auch die datenhungrigsten Anwendungen wie Datenbanken ERP und CRM in virtuellen Maschinen ausf hren k nnen m Maximale Gr e der virtuellen Festplatte 2 TB m Maximale Dateigr e 2 TB m Blockgr e 1 MB bis 8 MB Wenn Sie vorhaben mehrere virtuelle Maschinen auf demselben VMFS Volume zu speichern ber cksichtigen Sie den folgenden Grundsatz Je mehr virtuelle Maschinen sich dasselbe Volume teilen desto gr er ist die potenzielle Leistungsverschlechterung als Folge von I O Konkurrenzsituationen VMware Inc 99 Handbuch zur Server Konfiguration 100 Gemeinsames Nutzen eines VMFS Volumes durch mehrere ESX Server Als Cluster Dateisystem erm glicht es VMFS mehreren ESX Servern parallel auf dasselbe Speichermedium zuzugreifen Sie k nnen bis zu 32 ESX Server mit einem einzigen VMFS Volume verbinden ESX ESX ESX Server A Server B Server C 7 Virtuelle gt Festplatten dateien Abbildung 5 4 Gemeinsames Nutzen eines VMFS Volumes durch mehrere ESX
368. w Device Mapping auf Seite 151 HINWEIS Alle Sperrmechanismen f r VMFS 3 Dateien gelten auch f r 292 Raw Festplatten Zuordnungen Beispiel vmkfstools r vmfs devices disks vmhba1 3 0 0 foo_rdm vmdk Das Beispiel zeigt die Erstellung einer RDM Datei mit dem Namen foo_rdm vmdk und das Mapping der vmhba1 3 0 0 Raw Festplatte auf diese Datei Sie k nnen eine virtuelle Maschine so konfigurieren dass sie die foo_rdm vmdk Mapping Datei verwendet indem Sie die Konfigurationsdatei der virtuellen Maschine um die folgenden Zeilen erg nzen scsi0 0 present TRUE scsi0 09 fileName vmfs volumes myVMFS foo_rdm vmdk Auff hren der Attribute eines RDM q queryrdm lt rdm_Datei gt Mit dieser Option k nnen Sie die Attribute einer Raw Festplatten Zuordnung auflisten Bei Verwendung mit einer RDM lt device gt oder Raw lt device gt Angabe druckt diese Option den vmhba Namen der Raw Festplatte aus auf die das lt device gt verweist das diese Mapping Datei verwendet Diese Option druckt ebenfalls eine bestehende Identifizierungsinformation zur Raw Festplatte aus VMware Inc Anhang B Verwendung von vmkfstools Anlegen einer Raw Device Mapping Datei im physischen Kompatibilit tsmodus z createrdmpassthru lt Ger t gt Mit dieser Option k nnen Sie ein Pass Ihrough Raw Ger t zu einer Datei auf einem VMEFS Datentr ger zuordnen Mit dieser Form des Mappings kann eine virtuelle Maschine das ESX Server SCSI Befehls
369. werkadapter H vowitch Eigenschaften Potts Netzwerkadapter Geschwi Netzwer p Adapterdetails IOV 192 168 Intel Corporation 8254N gt X Gigabit Ethemet Controller Instalationsont PCI 03 07 0 Treiber 1000 Stus Yerbandungsstatus Verbunden Konhgunerte Geschwindigkeit duplex petegi 10 MB Volduplex 192 168 2 36 132168 2127 Hinzuf gen Bearbeiten Erdferner VMware Inc Kapitel 3 Erweiterte Netzwerkeigenschaften 5 Klicken Sie auf Hinzuf gen Der Assistent zum Hinzuf gen eines Adapters wird aufgerufen Sie k nnen einem einzelnen vSwitch mehrere Adapter zuweisen um NIC Teaming zu erzielen Eine solches Team kann den Datenverkehr unter sich auf teilen und Ausfallsicherheit gew hrleisten vV VORSICHT Eine Fehlkonfiguration kann dazu f hren dass der VI Client nicht mehr auf den Host zugreifen kann J Assistent f r das Hinzuf gen eines Adapters Adapterauswahl Neue Adapter k nnen sus einem Pool nicht verwendeter Adapter entnommen oder von einem vorhandenen virtuellen Switch bertragen werden Adapter HICZ Reihenfolge W hlen Sie aus der folgenden Liste einen oder mehrere Adapter aus bersicht Wenn Sie einen Adapter ausw hlen der an einen anderen virtuellen Switch angeschlossen ist so wird er von dem anderen virtuellen Switch entfemt und an diesen virtuellen Switch angeschlossen Name Geschwindigkeit vSswitchO Adapter 192 16
370. werkadapter Software Lizenzierbe Funktionen DNS und Routing Virtuelle Maschine hoch herunterfahren Sicherheitsprofil Zuweisung von Systemressourcen Erweiterte Einstellungen Netz Port Grupfe der virtuellen u Service Konsole Port Gruppe der wirtuellen M u VM Network Port Grupe a Service console p3 Service Konsole 2 4 4 Di E Virtueller Switch _vSwitch0_ Gruppe Ger wertueben Maschine CJ Netzwerk der virtuellen Mas karmnel Por YMkernel Pop up f r VM Netzwerkeigenschaften rk der virtuellen Maschi eR vmnici 100 Voll D D D Entfernen Eigenschaften Keine Adapter Netzwerkadapte Abbildung 2 4 Allgemeine Netzwerkinformationen Gehen Sie wie folgt vor um die Netzwerk Adapterinformationen auf dem VI Client anzuzeigen 1 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Inventar aus Die Seite Hardware Konfiguration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration und anschlie end auf Netzwerkadapter Das Netzwerk Adapter Fenster zeigt die folgenden Informationen an m Ger t Ger tename des Netzwerkadapters m Geschwindigkeit Tats chliche Geschwindigkeit und Duplex des Netzwerkadapters VMware Inc Kapitel 2 Vernetzung m Konfiguriert Konfigurierte Geschwindigkeit und Duplex des Netzwerkadapters m vSwitch vSwitch dem der Netzwerkadapter zugeordne
371. werke angeschlossen sind Jede Port Gruppe wird durch eine Netzwerkbe zeichnung ausgewiesen die f r den vorliegenden Host einzigartig ist Eine VLAN ID die den Datenverkehr der Port Gruppe auf ein logisches Ethernet Segment im phy sischen Netzwerk beschr nkt kann optional zugewiesen werden HINWEIS Sie k nnen auf einem einzigen Host h chstens 512 Port Gruppen anlegen Bezeichnete Netzwerke sind nur dann richtig konfiguriert wenn alle Port Gruppen die die gleiche Netzwerkbezeichnung verwenden den gleichen Datenverkehr sehen k nnen Da ein VLAN die Sichtbarkeit in einem physischen Netzwerk einschr nken kann ist es ggf notwendig die Netzwerkbezeichnung und die VLAN ID Steuerung abzugleichen wenn eine der beiden ge ndert werden Eine VLAN ID kann von mehreren Port Gruppen verwendet werden HINWEIS Damit eine Port Gruppe die Port Gruppen erreichen kann die sich auf anderen VLANs befinden m ssen Sie die VLAN ID auf 4095 einstellen 26 VMware Inc Kapitel 2 Vernetzung Netzwerkdienste Bei ESX Server m ssen zwei Typen von Netzwerkdiensten aktiviert werden m Virtuelle Maschinen mit dem physischen Netzwerk verbinden m Anschluss der VMkernel Dienste zum Beispiel NFS iSCSI oder VMotion an das physische Netzwerk Die Servicekonsole auf der die Verwaltungsdienste ausgef hrt werden wird auto matisch w hrend der Installation von ESX Server eingerichtet Anzeige der Netzwerkinformationen im VI Client Der VI Client zei
372. werkes f r virtuelle Maschinen von VMotion von IP Spei cher und der Servicekonsole Es behandelt au erdem die Konfiguration des Dateisys tems und verschiedener Speichertypen wie z B iSCSI und Fibre Channel Zum Schutz Ihrer ESX Server Installation findet sich au erdem in diesem Handbuch eine Abhand lung zu den Sicherheitsfunktionen die in ESX Server integriert sind und zu den Maf nahmen mit denen ESX Server vor Angriffen gesch tzt werden k nnen Ferner ent halten ist eine Liste mit technischen Unterst tzungsbefehlen f r ESX Server und deren Entsprechung im VI Client sowie eine Beschreibung des Dienstprogramms vmkfstools VMware Inc 11 Handbuch zur Server Konfiguration Verlauf der berarbeitung Dieses Handbuch wird f r jedes Produkt Release berarbeitet bzw immer dann wenn es notwendig ist In einer berarbeiteten Version k nnen sowohl kleinere als auch gr ere nderungen enthalten sein Tabelle P 1 ist der Verlauf der berarbeitung f r dieses Handbuch enthalten Tabelle P 1 Verlauf der berarbeitung berarbeitung Beschreibung 20060615 ESX Server 3 0 und VirtualCenter 2 0 des Handbuchs zur Server Kon figuration f r VMware Infrastructure 3 Dies ist die Erstausgabe dieses Handbuchs 20060925 ESX Server 3 0 1 und VirtualCenter 2 0 1 des Handbuchs zur Server Kon figuration f r VMware Infrastructure 3 Diese Ausgabe enth lt gering f gige Anderungen hinsichtlich der Informationen ber die Speic
373. x 282 bersicht 281 Verwendungsbeispiele 295 VMotion Absicherung durch VLANs und virtu elle Speicher 197 Definition 22 Firewall Port 187 Netzwerkkonfiguration 33 VMware Community Foren Zugriff 14 vSwitch Bearbeiten 46 Definition 22 Policys 53 Verwendung 23 W Wissensbasis Zugriff 14 Z Zertifikate Deaktivierung von SSL f r Vl Web Access und SDK 228 Konfiguration der ESX Server Suche 229 Schl sseldatei 228 Speicherort 228 Zertifikatdatei 228 Zertifizierung 179 Zugriffsberechtigun 216 Zugriffsberechtigungen Root Anwender 216 bersicht 216 und Zugriffsberechtigungen 216 305 Server Configuration Guide VirtualCenter Administrator 216 vpxuser 216 Zuletzt verwendete Pfadkonventionen 147 306 VMware Inc
374. ysteme auf Seite 90 Es gibt zwei M glichkeiten dem VI Client Datastores hinzuf gen m Erkennung beim Hinzuf gen eines Hosts zum Inventar Wenn Sie einen Host zum Inventar hinzuf gen zeigt der VI Client alle Datastores an die der Host erkennt m Erstellung auf einem verf gbaren Speicherger t Sie k nnen mit dem Befehl Speicher hinzuf gen einen neuen Datastore erstellen und konfigurieren Nach der Erstellung von Datastores k nnen Sie diese dazu verwenden VM Dateien zu speichern Gegebenenfalls k nnen Sie die Datastores auch ndern So k nnen Sie zum Beispiel Erweiterungen f r den Datastore hinzuf gen oder Datastores umbenennen oder l schen Weitere Informationen finden Sie in folgenden Abschnitten m Hinzuf gen neuer Datastores auf Seite 138 m Entfernen bestehender Datastores auf Seite 139 Hinzuf gen neuer Datastores Sie k nnen einen Datastore auf einer Fibre Channel iSCSI oder einer lokalen SCSI Festplatte erstellen Sie k n nen auch einen NFS Datentr ger ber eine Netzwerkver bindung einbinden und ihn als VMware Datastore verwenden W hlen Sie zur Erstel lung eines Datastores die Art des Datastores den Sie erstellen m chten Sie haben folgende M glichkeiten m Hinzuf gen von lokalem SCSI Speicher auf Seite 104 m Hinzuf gen von Fibre Channel Speicher auf Seite 108 m Hinzuf gen von hard ware initiiertem iSCSI Speicher auf Seite 120 m Hinzuf gen von softwa
375. zeichnis der f r Ihren ESX Server Host verf gbaren Speicher Devices aufgelistet wird Weitere Informationen finden Sie unter Neu scannen auf Seite 131 Einrichten von Namensparametern f r iSCSI Hardware lnitiatoren Stellen Sie beim Konfigurieren der iSCSI Hardware Initiatoren sicher dass ihre Namen und IP Adressen richtig formatiert sind VMware Inc 115 Handbuch zur Server Konfiguration 116 Weitere Informationen finden Sie unter Namenskonventionen auf Seite 112 So richten Sie den iSCSI Namen und die IP Adresse f r den Hardware Initiator ein 1 ffnen Sie das Dialogfeld iSCSI Initiator Eigenschaften entsprechend der An leitung unter Anzeige der Eigenschaften des iSCSI Hardware Initiators auf Seite 114 Klicken Sie auf Konfigurieren Das Dialogfeld Allgemeine Eigenschaften wird ge ffnet H Allgemeine Eigenschaften N x SC5l Eigenschaften ISCS1 Mame 00 04 com glogie gla40520 981 0629a15167 1 S CSl Alias Eigenschaften des Hardwa re Initiators IP Einstellungen IP Einstellungen automatisch abrufen i Die folgenden IP Einstellungen verwenden IP Adresse 10 17 246 141 Subnetz Maske 255 255 2355 0 Standard Gateway 10 17 z246 253 Beworzugter DNS Server 9 17 00 2 Alternativer DNS Server ei Abbrechen Hilfe Wenn Sie den Standard iSCSI Namen f r den Initiator ndern m chten geben Sie einen neuen Namen ein Stellen Sie sicher dass der N
376. zwerk Beispiel Erstellung mehrerer Netzwerke auf einem ESX Server Host Das ESX Server System wurde so entworfen dass Sie bestimmte Gruppen von virtu ellen Maschinen an das interne Netzwerk anbinden k nnen andere an das externe Netzwerk und wiederum andere an beide Netzwerke und zwar alles im Rahmen des gleichen ESX Server Hosts Diese F higkeit basiert auf der grundlegenden Isolierung von virtuellen Maschinen im Zusammenspiel mit der gut geplanten Verwendung von Funktionen zur virtuellen Vernetzung wie in Abbildung 9 5 dargestellt VMware Inc 175 Handbuch zur Server Konfiguration 176 ESX Server Externes Netzwerk Internes Netzwerk Interner Anwender Interner Firewall Anwender Server Interner Anwender Interner Firewall Anwender Server Physische Netzwerk adapter Externes Internes Externes Internes Netzwerk 1 Netzwerk 2 Netzwerk 2_ Netzwerk 1 Abbildung 9 5 Externe Netzwerke interne Netzwerke und DMZ auf einem ESX Server Host Hier wurde ein ESX Server Host vom Systemadministrator in drei eigenst ndige VM Zonen eingeteilt von denen jede eine bestimmte Funktion erf llt m FIP Server Die virtuelle Maschine 1 wurde mit FIP Software konfiguriert und fungiert als Sammelbecken f r Daten von und an ausw rtige Ressourcen wie z B Formulardaten u von Anbietern Diese virtuelle Maschine ist nur mit dem externen Netzwerk verbunden Sie ver f gt ber ihren eigenen virtuellen Switch und ihren
Download Pdf Manuals
Related Search