VMware vShield在已經非常安全的vSphere產品之上又增加了一層防護。本文分享十個技巧可以幫助vShield用戶避免一些繁瑣而耗時的故障。

一、實踐造就完美

VMware的安全問題很復雜，而且發(fā)生配置錯誤后帶來的成本也很高昂。假設違反了vShield相關規(guī)則會直接切斷所有到虛擬機的網絡流量。所以最好的辦法是先在非關鍵業(yè)務主機上進行實踐。

二、自啟動

設置vShield Manager、Zones和App代理端為主機啟動的同時自啟動。在Zones和App代理端啟動之前，主機端虛擬網絡上不會發(fā)生任何信息交換。

三、鎖定vShield代理

Manager、Zones和App虛擬機對于虛擬機安全和可連接性都是至關重要的，所以最好通過vShield Manager Web界面或命令行工具修改它們的默認密碼。同樣，也要把Enabledmode的密碼修改掉。

不幸的是，vShield Manager和agent 虛擬機上的命令行界面默認管理員密碼也是不能修改的。我們必須刪除這個用戶，然后創(chuàng)建新的--這不會對系統有影響，因為vShield可以通過其它用戶（如，nobody 和vs_comm）執(zhí)行常用操作。好在Enabledmode的密碼是可以修改的，可以參考vShield管理員手冊（vShield Administration Guide）獲取更多信息。

四、安全的vShield訪問

在vCenter中只有認證用戶才能和vShield Manager及其代理進行交互。如果發(fā)生了特殊情況，如突然斷電，會失去跟主機之間的聯系。

五、注意關鍵字

在vShield 4.1 Update 1版本中有個奇怪的現象，“any”必須以大寫字母形式出現在Zones和App 防火墻規(guī)則中。否則，這些規(guī)則就無法正常工作。這個明顯的漏洞將在下一版中獲得修正。

六、刪除磁盤操作要當心vShield Manager虛擬機中有一個8GB大小的主虛擬磁盤，還有另一個1MB大小的副虛擬盤。千萬不要刪除副磁盤，它在配置新的App和Zones代理時要用到。而且包含了很多重要參數，如IP地址信息等。而且在安裝vShield App時要通過該磁盤來引導。

七、卸載后要重啟

安裝vShield不會對宿主機或虛擬機有影響，但是在卸載vShield后必須要重啟宿主機。為了從宿主機完全卸載，需要把虛擬機遷移到其它主機或關閉。然后把主機置于維護模式后重啟。

需要重啟來完全地刪除vShield加載到宿主機內存中的內核等信息。卸載過程會刪除vSwitch之外的所有其它信息，由于其它模塊也在使用，所以無法自動刪除，需要重啟。

八、不要動VMware Tools

vShield Manager和agent虛擬機中預裝了特殊的VMware Tools版本，不要試圖升級或刪除它。

虛擬應用根據內部運行的程序進行預裝和定制化。通常不應該違反正常的升級流程來操作。VMware Tools實際上一組驅動和終端工具，目前已經有和vShield應用協同工作的預裝軟件版本。我們無法在未經測試的情況下預測新版本可能引發(fā)的問題。

九、借助警報系統

vShield自動安裝了新的警報模式，可以檢測vShield相關的事件和情況。利用這些功能來改善VMware的安全監(jiān)控現狀。

十、檢查資源的可用性

保證vShield Manager和agent虛擬機的可用資源，這點很重要。否則，vShield Manager會變得響應遲緩，而導致虛擬機丟失網絡連接。

vShield虛擬機預留一定的物理內存空間。不要修改這些參數或減少分配的內存數量。默認情況下是沒有預留CPU資源的，不過在資源緊張的主機上，您應該設置1個或1組CPU共享資源來保證它的可用性。

【編輯推薦】

1. VMware View 4.5體驗之旅（上）
2. VMware View 4.5體驗之旅（下）
3. 絕處逢生 VMware View 4.5配置管理替代方案出現了！
4. VMware View虛擬桌面遷移：數據存儲注意事項
5. VMware View難管理？四個突破口解決
6. VMware View 4.5安裝 三因素定成敗
7. 為桌面而構建 親密接觸VMware View
8. VMware View進軍iPad市場 通過App Store下載