OpenManage Integration for VMware vCenter 5.
註、警示與警告 註: 「註」表示可以幫助您更有效地使用產品的重要資訊。 警示: 「警示」表示有可能會損壞硬體或導致資料遺失,並告訴您如何避免發生此類問題。 警告: 「警告」表示可能的財產損失、人身傷害或死亡。 © 2010 - 2021 Dell Inc. 或其子公司。版權所有,翻印必究。Dell、EMC 與其他商標均為 Dell Inc.
目錄 圖.................................................................................................................................................. 5 表.................................................................................................................................................. 6 章 1: 前言........................................................................................................................................ 7 章 2: 本文件使用的詞彙..................................................
產品代碼完整性.................................................................................................................................................................. 23 章 5: 其他組態與管理...................................................................................................................... 24 OpenManage Integration for VMware vCenter (OMIVV) 授權....................................................................................24 保護真實性與完整性.........................................................
圖 1 安全性控制對應......................................................................................................................................................... 10 2 安全性錯誤訊息.........................................................................................................................................................
表 6 1 修訂歷史....................................................................................................................................................................... 7 2 本文件使用的詞彙.......................................................................................................................................................8 3 權限群組............................................................................................................................................................
1 前言 在改善產品線的過程中,Dell EMC 會定期發佈其軟體和硬體的修訂版本。目前使用中的軟體或硬體版本可能不支援本文件中所說明 的某些功能。產品版本資訊會提供產品功能的最新資訊。 如果產品無法正常運作或未按照本文件所說明的方式運作,請聯絡您的 Dell EMC 技術支援專業人員。本文件在發佈時是正確無誤 的。若要確定本文件為最新版本,請前往 https://www.dell.com/support。 用途 本文件包含 OpenManage Integration for VMware vCenter (OMIVV) 的安全性功能與功能資訊。 對象 本文件適用於負責管理 OMIVV 安全性的人員。 修訂歷史 下表顯示本文件的修訂歷史。 表 1. 修訂歷史 修訂版 日期 說明 A00_5.2.0 2020 年 10 月 OpenManage Integration for VMware vCenter 5.2 安全性組態指南初始版本。 A00_5.3.
2 本文件使用的詞彙 表 2.
3 部署模型 在 VMware vCenter 環境中,您可以將 OpenManage Integration for VMware vCenter (OMIVV) 部署為 OVF。 主題: • • 開放虛擬化格式 (OVF) 部署 安全性設定檔 開放虛擬化格式 (OVF) 部署 如果您擁有 VMware vSphere 虛擬機器環境,建議您以開放虛擬化格式 (OVF) 部署 OMIVV。 OVF 部署模型包含一個預先設定的套裝,包含 OMIVV 軟體和執行 OMIVV 軟體的 Linux 作業系統。 OVF 環境也包括預先設定的防火牆,針對 OMIVV 通訊需求與受監視系統所調整。 OVF 使用 OVF 範本檔案部署。如需更多有關將 OMIVV 部署為 OVF 的資訊,請參閱 https://www.dell.com/support 上的 OpenManage Integration for VMware vCenter 5.
4 產品與子系統安全性 主題: • • • • • • • • • • • • 安全性控制對應 認證 登入安全性設定 認證類型與安裝考量 使用者與認證管理 網路安全性 資料安全性 密碼編譯 稽核和紀錄 檢修性 OMIVV 作業系統更新 產品代碼完整性 安全性控制對應 OMIVV 會使用 iDRAC 執行 PowerEdge 伺服器的部署、清查和更新,並從 iDRAC 接收 SNMP 設陷。 OMIVV 的使用者介面為「裝置系統管理」網頁。OMIVV 附掛程式 UI 從 VMware vCenter 用戶端運作,並提供主機硬體監控和管理功 能。 所有系統認證都儲存在 OMIVV 安全儲存裝置中。 下圖顯示 OMIVV 的安全性控制對應: 圖 1.
認證 存取控制 存取控制設定可針對未經授權的存取提供資源保護。VMware vCenter 使用者透過在 VMware vCenter 中設定的適當角色和許可權存 取 OMIVV 附掛程式頁面。會為 OMIVV 裝置的系統管理員帳戶提供 OMIVV 管理主控台和 RESTful 應用程式發展介面的存取許可權。 預設使用者帳戶 OMIVV 包含下列預設使用者帳戶: ● 本機使用者帳戶 ● 唯讀使用者帳戶 ● Root 帳戶 本機使用者帳戶 OMIVV 提供單一的預設本機系統管理使用者帳戶。此內部帳戶的使用者名稱為 admin。 本機系統管理員僅可存取 Dell EMC OMIVV 管理主控台內的所有作業。 第一次部署 OMIVV 時,系統會提示您設定密碼。請按照螢幕上的指示設定密碼。 唯讀使用者帳戶 OMIVV 提供單一的預設本機唯讀使用者帳戶。唯讀帳戶的使用者名稱是 readonly。 系統管理員僅能使用 VM 遠端主控台登入 OMIVV。 此帳戶可在故障診斷期間使用,以檢視重要的裝置狀態和記錄。 第一次部署 OMIVV 時,系統會提示您設定密碼。請按照螢幕上的指示設定密碼。 root 帳戶 OMIV
自動工作階段逾時 閒置瀏覽器工作階段逾時 根據預設,若持續 15 分鐘無活動狀態,OMIVV 工作階段便會逾時,並自動將您登出。 認證類型與安裝考量 vCenter 使用者認證 OMIVV 根據 vCenter 認證以存取附掛程式頁面,並取決於處理 vCenter 作業的 RESTful 應用程式發展介面 。附掛程式頁面和處理 vCenter 作業的 RESTful 應用程式發展介面需要 Dell EMC 註冊時在 vCenter 建立的權限。 註冊新的 vCenter 伺服器 事前準備作業 您的 vCenter 帳戶應具有建立使用者的必要權限。如需必要權限的詳細資訊,請參閱非管理員使用者必須具備的權限 第頁的 13。 關於此工作 您可以在安裝 OMIVV 後,註冊 OMIVV 裝置。OMIVV 使用系統管理員使用者帳戶,或具有 vCenter 操作權限的非系統管理員使用者 帳戶。單一 OMIVV 裝置例項可支援 15 個 vCenter 伺服器 (不論有無連結模式) 和最多 2,000 個 ESXi 主機。 如果您嘗試註冊超過 15 vCenter,則會顯示下列錯誤訊息: 您的授權只允許 個 v
結果 註冊 vCenter 伺服器之後,OMIVV 已註冊為 vCenter 附掛程式,「Dell EMC OpenManage Integration」圖示會顯示在 vSphere 用戶端 中,您可以從其中存取 OMIVV 功能。 註: 針對 OMIVV 裝置的所有 vCenter 作業,OMIVV 會使用註冊使用者的權限,而非登入 VMware vCenter 的使用者或 OMIVV 裝 置本機帳戶的權限。例如:使用者 X 具有必要權限並向 vCenter 註冊 OMIVV;使用者 Y 僅具有 Dell 權限。現在,使用者 Y 可以 登入 vCenter 並可從 OMIVV 觸發韌體更新工作。執行韌體更新工作時,OMIVV 使用使用者 X 的權限,讓主機進入維護模式或重 新啟動主機。 註: 如果要將自訂的認證機構 (CA) 簽署的認證上傳至 OMIVV,請務必先上傳新認證,再進行 vCenter 註冊。如果進行 vCenter 註冊後才上傳新的自訂憑證,vSphere 用戶端就會顯示通訊錯誤。若要修正此問題,請登出後再登入 vCenter。如果問題仍然存 在,請在 vCenter 伺服器上重新啟動 vSp
○ 更新 ● 主機 ○ CIM ■ CIM 互動 ● Host.Config ○ 進階設定 ○ 變更設定 ○ 連線 ○ 維護 ○ 網路組態 ○ 查詢修補程式 ○ 安全性設定檔和防火牆 ● 清查 ○ 新增主機至叢集 ○ 新增獨立主機 ○ 修改叢集 ● Lifecycle Manager:一般權限 ○ 讀取 註: vSphere Lifecycle Manager 一般權限僅適用於 vCenter 7.0 及更新版本。 ● 主機設定檔 ○ 編輯 ○ 檢視 ● 權限 ○ 修改權限 ○ 修改角色 ● 工作階段 ○ 驗證工作階段 ● 工作 ○ 建立 ○ 更新 註: 如果 vCenter 伺服器是用非系統管理員使用者的身份進行註冊以存取任何 OMIVV 功能,則非系統管理員使用者必須具備 Dell 權限。如需指派 Dell 權限的詳細資訊,請參閱將 Dell 權限指派給現有角色 第頁的 14。 將 Dell 權限指派給現有角色 關於此工作 如果 Dell 權限未指派給登入的使用者且該使用者存取 OMIVV 的特定頁面,將會顯示 2000000 錯誤。 您可編輯現有的角色,以指定 Dell 權限。 步驟 1.
如需 vCenter 內可用 OMIVV 角色的詳細資訊,請參閱。 7. 編輯角色名稱,如有需要,另針對所選的角色輸入說明。 8. 按一下完成。 登出後再登入 vCenter。具必要權限的使用者現已可執行 OMIVV 作業。 vCenter 使用者安全性 安全性角色與權限 OpenManage Integration for VMware vCenter 會以加密格式儲存使用者認證。為了防止任何不當的要求,它不會提供任何密碼給用戶 端應用程式。備份資料庫是使用自訂安全性短語完全加密,因此資料不會遭到濫用。 根據預設,「系統管理員」群組中的使用者具備所有權限。系統管理員可以使用 VMware vSphere Web 用戶端中 OpenManage Integration for VMware vCenter 的所有功能。如果您希望由一位具備必要權限的使用者來管理產品,請執行下列步驟: 1. 建立一個具備必要權限的角色。 2. 以該使用者註冊 vCenter Server。 3.
表 3. 權限群組 組群名稱 說明 權限群組 — Dell.Configuration 執行主機相關工作、執行 vCenter 相關工作、設定 SelLog、設定 ConnectionProfile、設定 ClearLed、韌體更新 權限群組 — Dell.Inventory 設定清查、設定保固擷取、設定唯讀 權限群組 — Dell.Monitoring 設定監視、監視 權限群組 — Dell.Reporting (未使用) 建立報告、執行報告 Dell 基礎結構部署角色 此角色包含與 Hypervisor 部署功能相關的權限。 此角色所提供的權限為「設定主機認證設定檔」、「指定識別」和「部署」。 權限群組 — Dell.Deploy-Provisioning 設定主機認證設定檔、指定識別、部署。 關於權限 OpenManage Integration for VMware vCenter 所執行的每個動作都有相關聯的權限。下列各節將列出可用動作及其關聯權限: ● Dell.Configuration.
○ 進行韌體儲存庫設定 ○ 使用暫置功能來設定暫置資料夾及執行更新 ○ 測試網路與儲存庫連線 ● Dell.Deploy-Provisioning.Create Template ○ 設定硬體組態設定檔 ○ 設定 Hypervisor 部署設定檔 ○ 設定連線設定檔 ○ 指定識別 ○ 部署 ● Dell.Configuration.Perform host-related tasks ○ 閃爍 LED、清除 LED ○ 啟動 iDRAC 主控台 ○ 顯示與清除 SEL 記錄 ● Dell.Inventory.Configure Inventory ○ 在 Dell 伺服器管理索引標籤顯示系統清查 ○ 取得儲存裝置詳細資料 ○ 取得電源監視詳細資料 ○ 在連線設定檔頁面建立、顯示、編輯、刪除及測試連線設定檔 ○ 排程、更新及刪除清查排程 ○ 在主機執行清查 使用者與認證管理 預先載入的帳戶 下表說明預先載入的 OMIVV 帳戶: 表 4.
表 5. 預設認證 帳戶 使用者 密碼 Linux 作業系統 root Root 作業系統的 root 密碼是在部署 OMIVV 時 設定。 管理認證 如果您是第一次登入 Dell EMC 管理主控台,請以系統管理員身分登入 (預設使用者名稱是 admin)。 註: 如果您忘記系統管理員密碼,則其無法從 OMIVV 裝置中還原。 變更 OMIVV 裝置密碼 關於此工作 您可以在 vSphere Client 中使用主控台變更 OMIVV 裝置密碼。 步驟 1. 開啟 OMIVV Web 主控台。 2. 在 OpenManage Integration for VMware vCenter 虛擬裝置設定公用程式中,按一下變更管理員密碼。 完成螢幕上的指示以設定密碼。 3. 在目前密碼文字方塊中,輸入目前管理員密碼。 4. 在新密碼文字方塊中輸入新密碼。 5. 在確認新密碼文字方塊中再次輸入新密碼。 6.
連出連接埠 連線至遠端系統時,OMIVV 可使用連出連接埠。 下表列出的連接埠為 OMIVV 連出連接埠。 表 6. 連出連接埠 連接埠號碼 第 4 層通訊協定 服務 7 TCP, UDP ECHO 22 TCP SSH 25 TCP SMTP 53 UDP, TCP DNS 67.
表 7.
產生憑證簽章要求 (CSR) 事前準備作業 依預設,OMIVV 具有自我簽署憑證。如果您需要 OMIVV 的自訂認證機構 (CA) 簽署的憑證,建議您在 vCenter 註冊之前上傳新憑 證。 關於此工作 產生新的 CSR 時,那些使用先前產生的 CSR 而建立的憑證就無法上傳到裝置。若要產生 CSR,請執行下列步驟: 步驟 1. 在裝置管理頁面上,按一下 HTTPS 憑證區域中的產生憑證簽署要求。 隨後便會顯示一則訊息,表明如果產生新要求,則使用先前 CSR 所建立的憑證就無法再上傳到該裝置。若要繼續此要求,按一 下繼續。 2. 如果您繼續此要求,請在產生憑證簽署要求對話方塊中,輸入一般名稱、組織名稱、位置、州名、國家/地區、電子郵件和主旨 替代名稱 (SAN),然後按一下繼續。 註: OMIVV 不支援 SAN 的多個值。 3.
稽核和紀錄 系統管理員使用者可以使用 OMIVV 系統管理主控台,針對所有相關記錄檔產生故障診斷套裝。 如需更多資訊,請參閱建立並下載故障診斷套裝 第頁的 22。 唯讀帳戶可讓使用者讀取裝置在執行階段的各種參數,協助對應用裝置進行故障診斷。如需進階的故障診斷,技術支援可提供針對 特定參數的檢查指南。 註: 只有 OMIVV 系統管理員使用者可以在裝置上執行寫入作業。OMIVV 記錄中無法使用使用者稽核。如需瞭解從 vCenter 附掛 程式執行之 vCenter 作業的詳細資訊,請參閱 vCenter 稽核記錄。若為 RESTful 應用程式發展介面,用戶端必須能夠處理稽核記 錄。 建立並下載故障診斷套裝 關於此工作 故障診斷套裝包含 OMIVV 裝置記錄資訊,此資訊可以用來協助解決問題或將問題傳送到技術支援部門。OMIVV 不會記錄任何的使用 者敏感性資料。 步驟 1. 在支援頁面上,按一下建立並下載故障診斷套裝。 隨即會顯示故障診斷套裝對話方塊。 2. 在故障診斷套裝對話方塊中,按一下建立。 視記錄檔的大小而定,建立套裝可能需要一些時間。 3.
更新會逕行累積,並發佈在「支援」上,OMIVV 使用者會在 vCenter 收到相同的通知。 OMIVV 作業系統更新 我們會定期為 OMIVV 作業系統發佈安全性修補程式和修正程式。 這些修正程式必須透過 RPM 更新套件,安裝在 OMIVV 的現有 OVF 部署上。當可用時,強烈建議您透過 RPM 更新,在 OMIVV 伺服 器上安裝這些安全性修補程式和修正程式。 產品代碼完整性 OMIVV 軟體安裝程式已由 Dell 簽署。建議您確認 OMIVV 安裝程式簽名的真實性。 產品與子系統安全性 23
5 其他組態與管理 主題: • • • OpenManage Integration for VMware vCenter (OMIVV) 授權 保護真實性與完整性 在 OMIVV 中管理備份和還原 OpenManage Integration for VMware vCenter (OMIVV) 授權 OMIVV 的授權有以下兩種類型: ● 評估授權 — OMIVV 應用裝置第一次開機時,評估授權會自動安裝。試用版內含由 OMIVV 所管理之五部主機 (伺服器) 的評估授 權。這個 90 天試用版是隨貨附送的預設授權。 ● 標準授權──您可以購買由 OMIVV 管理的任何數量的主機授權。授權包含產品支援與 OMIVV 裝置更新。標準授權適用於三年或 五年的期間。購買的任何額外授權都會延長現有授權的期間。標準授權會覆寫評估授權。 單一 XML 金鑰的授權持續時間是以原始訂單的銷售日期為基礎。一旦 90 天的寬限期結束,就任何之前即將到期的授權所上傳的任 何新授權,均按此計數反映。 OMIVV 最多可支援 15 個 vCenter 例項。當您將評估授權升級為完整標準授權後,會收到一封關於訂單確認的電子郵件,
