OpenManage Integration for VMware vCenter 5.
註、警示與警告 註: 「註」表示可以幫助您更有效地使用產品的重要資訊。 警示: 「警示」表示有可能會損壞硬體或導致資料遺失,並告訴您如何避免發生此類問題。 警告: 「警告」表示可能的財產損失、人身傷害或死亡。 © 2010 - 2020 Dell Inc. 或其子公司。版權所有,翻印必究。Dell、EMC 與其他商標均為 Dell Inc.
目錄 圖.................................................................................................................................................. 5 表.................................................................................................................................................. 6 章 1: 前言........................................................................................................................................ 7 章 2: 部署模型......................................................
章 4: 其他組態與管理...................................................................................................................... 22 OpenManage Integration for VMware vCenter (OMIVV) 授權....................................................................................22 保護真實性與完整性..........................................................................................................................................................22 在 OMIVV 中管理備份和還原.........................................................
圖 1 安全性控制對應...........................................................................................................................................................9 2 安全性錯誤訊息.........................................................................................................................................................
表 6 1 修訂歷史....................................................................................................................................................................... 7 2 權限群組......................................................................................................................................................................15 3 預先載入的帳戶.............................................................................................................................................
1 前言 在改善產品線的過程中,Dell EMC 會定期發佈其軟體和硬體的修訂版本。目前使用中的軟體或硬體版本可能不支援本文件中所說明 的某些功能。產品版本資訊會提供產品功能的最新資訊。 如果產品無法正常運作或未按照本文件所說明的方式運作,請聯絡您的 Dell EMC 技術支援專業人員。本文件在發佈時是正確無誤 的。若要確定本文件為最新版本,請前往 https://www.dell.com/support 用途 本文件包含 OpenManage Integration for VMware vCenter (OMIVV) 的安全性功能與功能資訊。 對象 本文件適用於負責管理 OMIVV 安全性的人員。 修訂歷史 下表顯示本文件的修訂歷史。 表 1. 修訂歷史 修訂版 日期 說明 A00 2020 年 10 月 OpenManage Integration for VMware vCenter 5.2 安全性組態指南初始版本。 相關說明文件 除了本指南外,您還可以在 https://www.dell.
2 部署模型 在 VMware vCenter 環境中,您可以將 OpenManage Integration for VMware vCenter (OMIVV) 部署為 OVF。 主題: • • 開放虛擬化格式 (OVF) 部署 安全性設定檔 開放虛擬化格式 (OVF) 部署 如果您擁有 VMware vSphere 虛擬機器環境,建議您以開放虛擬化格式 (OVF) 部署 OMIVV。 OVF 部署模型包含一個預先設定的套裝,包含 OMIVV 軟體和執行 OMIVV 軟體的 Linux 作業系統。 OVF 環境也包括預先設定的防火牆,針對 OMIVV 通訊需求與受監視系統所調整。 OVF 使用 OVF 範本檔案部署。如需更多有關將 OMIVV 部署為 OVF 的資訊,請參閱 https://www.dell.com/support 上的 OpenManage Integration for VMware vCenter 5.
3 產品與子系統安全性 主題: • • • • • • • • • • • • 安全性控制對應 認證 登入安全性設定 認證類型與安裝考量 使用者與認證管理 網路安全性 資料安全性 密碼編譯 稽核和紀錄 檢修性 OMIVV 作業系統更新 產品代碼完整性 安全性控制對應 OMIVV 會使用 iDRAC 執行 PowerEdge 伺服器的部署、清查和更新,並從 iDRAC 接收 SNMP 設陷。 OMIVV 的使用者介面為「裝置系統管理」網頁。OMIVV 附掛程式 UI 從 VMware vCenter 用戶端運作,並提供主機硬體監控和管理功 能。 所有系統認證都儲存在 OMIVV 安全儲存裝置中。 下圖顯示 OMIVV 的安全性控制對應: 圖 1.
認證 存取控制 存取控制設定可針對未經授權的存取提供資源保護。VMware vCenter 使用者透過在 VMware vCenter 中設定的適當角色和許可權存 取 OMIVV 附掛程式頁面。會為 OMIVV 裝置的系統管理員帳戶提供 OMIVV 管理主控台存取的許可權。 預設使用者帳戶 OMIVV 包含下列預設使用者帳戶: ● 本機使用者帳戶 ● 唯讀使用者帳戶 ● Root 帳戶 本機使用者帳戶 OMIVV 提供單一的預設本機系統管理使用者帳戶。此內部帳戶的使用者名稱為 admin。 本機系統管理員僅可存取 Dell EMC OMIVV 管理主控台內的所有作業。 第一次部署 OMIVV 時,系統會提示您設定密碼。請按照螢幕上的指示設定密碼。 唯讀使用者帳戶 OMIVV 提供單一的預設本機唯讀使用者帳戶。唯讀帳戶的使用者名稱是 readonly。 系統管理員僅能使用 VM 遠端主控台登入 OMIVV。 此帳戶可在故障診斷期間使用,以檢視重要的裝置狀態和記錄。 root 帳戶 OMIVV 應用裝置擁有作業系統的 root 帳戶。 您無法存取此預設帳戶。技術支援小組會使用 root 帳戶為欄位問題除錯
自動工作階段逾時 閒置瀏覽器工作階段逾時 根據預設,若持續 15 分鐘無活動狀態,OMIVV 工作階段便會逾時,並自動將您登出。 認證類型與安裝考量 vCenter 使用者認證 OMIVV 根據 vCenter 認證以存取附掛程式頁面。附掛程式頁面需要 Dell EMC 註冊時在 vCenter 建立的權限。 註冊新的 vCenter 伺服器 事前準備作業 您的 vCenter 帳戶應具有建立使用者的必要權限。如需必要權限的詳細資訊,請參閱非管理員使用者必須具備的權限 第頁的 12。 關於此工作 您可以在安裝 OMIVV 後,註冊 OMIVV 裝置。OMIVV 使用系統管理員使用者帳戶,或具有 vCenter 操作權限的非系統管理員使用者 帳戶。單一 OMIVV 裝置例項可支援 15 個 vCenter 伺服器和最多 2,000 個 ESXi 主機。 如果您嘗試註冊超過 15 vCenter,則會顯示下列錯誤訊息: 您的授權只允許 個 vCenter,且全都已經註冊。 若要註冊新 vCenter 伺服器,請進行下列步驟: 步驟 1.
結果 註冊 vCenter 伺服器之後,OMIVV 已註冊為 vCenter 附掛程式,「Dell EMC OpenManage Integration」圖示會顯示在 vSphere 用戶端 中,您可以從其中存取 OMIVV 功能。 註: 針對 OMIVV 裝置的所有 vCenter 作業,OMIVV 會使用註冊使用者的權限,而非登入 VMware vCenter 的使用者或 OMIVV 裝 置本機帳戶的權限。 具有必要權限的使用者 X 使用 vCenter 註冊 OMIVV,而使用者 Y 僅具有 Dell 權限。現在,使用者 Y 可以登入 vCenter 並可從 OMIVV 觸發韌體更新工作。執行韌體更新工作時,OMIVV 使用使用者 X 的權限,讓主機進入維護模式或重新啟動主機。 註: 如果要將自訂的認證機構 (CA) 簽署的認證上傳至 OMIVV,請務必先上傳新認證,再進行 vCenter 註冊。如果進行 vCenter 註冊後才上傳新的自訂憑證,vSphere 用戶端就會顯示通訊錯誤。若要解決這個問題,請先取消註冊,然後向 vCenter 重新註冊 裝置。 使用非系統管理帳戶註冊 vCenter 伺
○ 登錄 ○ 取消登錄 ○ 更新 ● 主機 ○ CIM ■ CIM 互動 ● Host.Config ○ 進階設定 ○ 變更設定 ○ 連線 ○ 維護 ○ 網路組態 ○ 查詢修補程式 ○ 安全性設定檔和防火牆 ● 清查 ○ 新增主機至叢集 ○ 新增獨立主機 ○ 修改叢集 ● Lifecycle Manager:一般權限 ○ 讀取 註: vSphere Lifecycle Manager 一般權限僅適用於 vCenter 7.
● ● ● ● ● Dell.Configuration Dell.Deploy-Provisioning Dell.Inventory Dell.Monitoring Dell.Reporting 如需 vCenter 內可用 OMIVV 角色的詳細資訊,請參閱。 7. 編輯角色名稱,如有需要,另針對所選的角色輸入說明。 8. 按一下完成。 登出後再登入 vCenter。具必要權限的使用者現已可執行 OMIVV 作業。 vCenter 使用者安全性 安全性角色與權限 OpenManage Integration for VMware vCenter 會以加密格式儲存使用者認證。為了防止任何不當的要求,它不會提供任何密碼給用戶 端應用程式。備份資料庫是使用自訂安全性短語完全加密,因此資料不會遭到濫用。 根據預設,「系統管理員」群組中的使用者具備所有權限。系統管理員可以使用 VMware vSphere Web 用戶端中 OpenManage Integration for VMware vCenter 的所有功能。如果您希望由一位具備必要權限的使用者來管理產品,請執行下列步驟: 1.
表 2. 權限群組 組群名稱 說明 權限群組 — Dell.Configuration 執行主機相關工作、執行 vCenter 相關工作、設定 SelLog、設定 ConnectionProfile、設定 ClearLed、韌體更新 權限群組 — Dell.Inventory 設定清查、設定保固擷取、設定唯讀 權限群組 — Dell.Monitoring 設定監視、監視 權限群組 — Dell.Reporting (未使用) 建立報告、執行報告 Dell 基礎結構部署角色 此角色包含與 Hypervisor 部署功能相關的權限。 此角色所提供的權限為「設定主機認證設定檔」、「指定識別」和「部署」。 權限群組 — Dell.Deploy-Provisioning 設定主機認證設定檔、指定識別、部署。 關於權限 OpenManage Integration for VMware vCenter 所執行的每個動作都有相關聯的權限。下列各節將列出可用動作及其關聯權限: ● Dell.Configuration.
○ ○ ○ ○ ○ 在韌體更新精靈頁面載入韌體儲存庫和 DUP 檔案資訊 查詢韌體清查 進行韌體儲存庫設定 使用暫置功能來設定暫置資料夾及執行更新 測試網路與儲存庫連線 ● Dell.Deploy-Provisioning.Create Template ○ ○ ○ ○ ○ 設定硬體組態設定檔 設定 Hypervisor 部署設定檔 設定連線設定檔 指定識別 部署 ● Dell.Configuration.Perform host-related tasks ○ 閃爍 LED、清除 LED ○ 啟動 iDRAC 主控台 ○ 顯示與清除 SEL 記錄 ● Dell.Inventory.Configure Inventory ○ ○ ○ ○ ○ ○ 在 Dell 伺服器管理索引標籤顯示系統清查 取得儲存裝置詳細資料 取得電源監視詳細資料 在連線設定檔頁面建立、顯示、編輯、刪除及測試連線設定檔 排程、更新及刪除清查排程 在主機執行清查 使用者與認證管理 預先載入的帳戶 下表說明預先載入的 OMIVV 帳戶: 表 3.
表 4. 預設認證 (續) 帳戶 使用者 密碼 唯讀使用者 唯讀 在部署完成後的初次開機時設定。您可以 在以唯讀使用者的身分登入後,使用標準 Linux 密碼變更命令來變更唯讀使用者密 碼。 Linux 作業系統 root Root 作業系統的 root 密碼是在部署 OMIVV 時 設定。 管理認證 如果您是第一次登入 Dell EMC 管理主控台,請以系統管理員身分登入 (預設使用者名稱是 admin)。 註: 如果您忘記系統管理員密碼,則其無法從 OMIVV 裝置中還原。 變更 OMIVV 裝置密碼 關於此工作 您可以在 vSphere Client 中使用主控台變更 OMIVV 裝置密碼。 步驟 1. 開啟 OMIVV Web 主控台。 2. 在 OpenManage Integration for VMware vCenter 虛擬裝置設定公用程式中,按一下變更管理員密碼。 完成螢幕上的指示以設定密碼。 3. 在目前密碼文字方塊中,輸入目前管理員密碼。 4. 在新密碼文字方塊中輸入新密碼。 5. 在確認新密碼文字方塊中再次輸入新密碼。 6.
網路暴露 在與遠端系統通訊時,OpenManage Integration for VMware vCenter 會使用輸入與連出連接埠。 連出連接埠 連線至遠端系統時,OMIVV 可使用連出連接埠。 下表列出的連接埠為 OMIVV 連出連接埠。 表 5. 連出連接埠 連接埠號碼 第 4 層通訊協定 服務 7 TCP, UDP ECHO 22 TCP SSH 25 TCP SMTP 53 UDP, TCP DNS 67.
表 6.
產生憑證簽章要求 (CSR) 事前準備作業 在註冊 OMIVV 至 vCenter 前,請確認您已上傳 CSR。 關於此工作 產生新的 CSR 時,那些使用先前產生的 CSR 而建立的憑證就無法上傳到裝置。若要產生 CSR,請執行下列步驟: 步驟 1. 在裝置管理頁面上,按一下 HTTPS 憑證區域中的產生憑證簽署要求。 隨後便會顯示一則訊息,表明如果產生新要求,則使用先前 CSR 所建立的憑證就無法再上傳到該裝置。若要繼續此要求,按一 下繼續。 2. 如果您要繼續此要求,請在產生憑證簽署要求對話方塊中,輸入一般名稱、組織、位置、州名、國家/地區和電子郵件等資訊。 按一下繼續。 3.
唯讀帳戶可讓使用者讀取裝置在執行階段的各種參數,協助對應用裝置進行故障診斷。如需進階的故障診斷,技術支援可提供針對 特定參數的檢查指南。 建立並下載故障診斷套裝 事前準備作業 若要產生故障診斷套裝,請確定您已登入系統管理入口網站。 關於此工作 故障診斷套裝包含 OMIVV 裝置記錄資訊,此資訊可以用來協助解決問題或將問題傳送到技術支援部門。OMIVV 不會記錄任何的使用 者敏感性資料。 步驟 1. 在支援頁面上,按一下建立並下載故障診斷套裝。 隨即會顯示故障診斷套裝對話方塊。 2. 在故障診斷套裝對話方塊中,按一下建立。 視記錄檔的大小而定,建立套裝可能需要一些時間。 3. 若要儲存檔案,按一下下載。 檢修性 支援網站 https://www.dell.
4 其他組態與管理 主題: • • • OpenManage Integration for VMware vCenter (OMIVV) 授權 保護真實性與完整性 在 OMIVV 中管理備份和還原 OpenManage Integration for VMware vCenter (OMIVV) 授權 OMIVV 的授權有以下兩種類型: ● 評估授權 — OMIVV 應用裝置第一次開機時,評估授權會自動安裝。試用版內含由 OMIVV 所管理之五部主機 (伺服器) 的評估授 權。這個 90 天試用版是隨貨附送的預設授權。 ● 標準授權──您可以購買由 OMIVV 管理的任何數量的主機授權。授權包含產品支援與 OMIVV 裝置更新。標準授權適用於三年或 五年的期間。購買的任何額外授權都會延長現有授權的期間。 單一 XML 金鑰的授權持續時間是以原始訂單的銷售日期為基礎。一旦 90 天的寬限期結束,就任何之前即將到期的授權所上傳的任 何新授權,均按此計數反映。 OMIVV 最多可支援 15 個 vCenter 例項。當您將評估授權升級為完整標準授權後,會收到一封關於訂單確認的電子郵件,之後即可從 Dell D
