本文件已封存並已停止維護。

強化 VMM 程式庫伺服器

更新日期: 2010年7月

適用於: Virtual Machine Manager 2008, Virtual Machine Manager 2008 R2, Virtual Machine Manager 2008 R2 SP1

本主題說明 System Center Virtual Machine Manager (VMM) 2008 和 Virtual Machine Manager 2008 R2 使用之程式庫伺服器的安全性需求和最佳安全性做法。VMM 透過 VMM 程式庫集中管理用來建立虛擬機器的資源。程式庫是一種資源目錄,存放在已新增至 VMM 的程式庫伺服器中。本主題描述 VMM 用來與程式庫伺服器進行所有類型之通訊的通訊埠與通訊協定、說明 VMM 管理程式庫資源存取的方式,以及提供程式庫伺服器的最佳安全性做法。

連線至程式庫伺服器

下表描述的通訊協定與通訊埠用於程式庫伺服器上 VMM 代理程式與 VMM 伺服器間的通訊,以及用於程式庫伺服器與虛擬機器主機及其他程式庫伺服器間的檔案傳輸。

 

連線類型 通訊協定 預設通訊埠 驗證 加密

程式庫伺服器的 VMM 代理程式至 VMM 伺服器

WS-Management

80

Kerberos

Kerberos

與 Windows Server 主機 (Hyper-V 或 Virtual Server) 間的檔案傳輸

BITS 2.5

433 (最大值:32768)

Kerberos

SSL

與程式庫伺服器間的檔案傳輸

BITS 2.5

443 (最大值:32768)

Kerberos

SSL

與 VMware ESX Server 3i 主機間的檔案傳輸

HTTPS

443

VMM 必須具有主機上的虛擬機器委派認證。在安全模式下,驗證需有憑證。

與 VMware ESX Server 3.5 及 VMware ESX Server 3.0.1 主機間的檔案傳輸

SFTP

22

VMM 必須具有主機上的虛擬機器委派認證。在安全模式下,驗證需有憑證與公開金鑰。

note附註
在將主機叢集或高可用性程式庫伺服器新增至 VMM 2008 時,目標電腦 (也就是在「新增主機精靈」或「新增程式庫伺服器精靈」中指定的叢集節點) 的通訊埠 135 (DCOM 通訊埠) 必須開啟,以讓 VMM 傳送遠端 WMI 呼叫至該電腦。此通訊埠只需要在將叢集新增至 VMM 時開啟。如需詳細資訊,請參閱 Connecting to WMI Remotely Starting with Windows Vista (Windows Vista 之後的遠端 WMI 連線) (http://go.microsoft.com/fwlink/?LinkId=153786)。

note附註
在將脫離命名空間中的高可用性程式庫伺服器新增至不在脫離命名空間的 VMM 伺服器前,您必須將主機叢集的 DNS 尾碼新增至 VMM 伺服器中的 TCP/IP 連線設定。

VMM 代理程式至 VMM 伺服器

為了與程式庫伺服器上的 VMM 代理程式通訊,VMM 使用 WS-Management 通訊協定並搭配通訊埠 80 來加以控制。Kerberos 則是用來驗證與加密。程式庫伺服器必須位在 Active Directory 網域,而且這個網域必須與 VMM 伺服器的網域具有雙向信任關係。

與虛擬機器主機間的檔案傳輸

針對在受管理的 VMware 環境中與 ESX Server 主機間進行檔案傳輸,使用的通訊埠與通訊協定必須與 VMM 用來與 Hyper-V 或 Virtual Server 主機進行檔案傳輸的通訊埠與通訊協定不同。

Hyper-V 與 Virtual Server 主機

對於與 Hyper-V 或 Virtual Server 主機間的檔案傳輸,VMM 使用 BITS 2.5 通訊協定搭配預設通訊埠 433。通訊埠號碼不得超過 32768。加密是使用安全通訊端層 (SSL) 來執行。驗證是以設定通訊時,由 VMM 伺服器傳送之隨機產生的 URL 為基礎。URL 含有利用 Windows 遠端管理 (WinRM) 以加密形式傳輸的工作階段金鑰。

如果程式庫伺服器也做為 VMM 中的虛擬機器主機,則在建立及部署虛擬機器時,VMM 並不會加密從程式庫共用傳到同一部電腦其他位置的本機檔案傳輸。

note附註
如果您已實作其他加密形式 (如 IPsec) 或以其他方式保護虛擬化環境,可以善用 VMM 2008 R2 的新選項以允許個別主機群組與個別程式庫伺服器間的未加密檔案傳輸。允許未加密的檔案傳輸可改善建立及移轉虛擬機器期間的效能。若要在未加密的情況下傳輸檔案,來源和目的電腦都必須允許未加密的檔案傳輸。更新程式庫伺服器的內容後便可使用此選項。如需相關程序,請參閱如何允許程式庫伺服器進行未加密的檔案傳輸

ESX Server 主機

若要在 Windows Server 程式庫伺服器與執行非內嵌版本之 ESX Server (VMware ESX Server 3.5 或 VMware ESX Server 3.0.1) 的主機間執行檔案傳輸作業,VMM 必須具有 ESX Server 中的虛擬機器委派認證。許多作業都需要進行這種類型的檔案傳輸,例如使用存放在 VMM 程式庫伺服器的虛擬硬碟建立虛擬機器,或是將 VMware 虛擬機器存放在 VMM 程式庫中。如需帳戶需求和組態指示,請參閱在 VMM 中設定受管理的 VMware 環境安全性

檔案傳輸的安全性組態會隨著 ESX Server 的版本,以及 VMM 是否以「安全模式」管理 VMware 環境而不同。在安全模式下,VMM 會依據用於通訊的所有通訊協定驗證每一部 ESX Server 主機。檔案傳輸通訊協定、通訊埠及驗證方式會隨著主機上執行的 ESX Server 版本不同而改變。

  • 內嵌的 ESX Server (ESX Server 3i) — VMM 使用 HTTPS 搭配預設通訊埠 443 來進行檔案傳輸。在安全模式下,使用安全通訊端層 (SSL) 的加密需要驗證憑證。

  • 非內嵌的 ESX Server (ESX Server 3.5 與 3.0.1) — VMM 使用 SFTP 搭配預設通訊埠 22。在安全模式下,使用安全殼層 (SSH) 的加密需要驗證 RSA 公開金鑰。

直到輸入 ESX Server 主機的必要安全性資訊之前,VMM 中的主機狀態都是 [確定 (有限制)],而且不會允許必須在主機與程式庫伺服器之間進行檔案傳輸的任何作業。

提供 VMware ESX Server 主機的必要安全性資訊後,您可以將現有的 VMware 範本匯入 VMM 程式庫,以用來在 ESX Server 主機上建立虛擬機器。如需指示,請參閱 VMM 2008 說明中的如何匯入 VMware 範本 (http://go.microsoft.com/fwlink/?LinkID=162956)。

與程式庫伺服器間的檔案傳輸

針對 VMM 程式庫伺服器間檔案傳輸的連線,使用的連線類型與和 Hyper-V 及 Virtual Server 主機間用於檔案傳輸的連線類型相同。如需詳細資訊,請參閱與虛擬機器主機間的檔案傳輸

管理程式庫資源的存取

所有用來建立虛擬機器的資源 (包括虛擬硬碟、ISO映像檔、SysPrep 回應檔案及其他指令碼) 都必須存放在 VMM 程式庫中。也就是說,檔案必須新增至檔案伺服器上的指定程式庫共用,而該檔案伺服器必須已新增至 VMM 成為程式庫伺服器。VMM 會定期 (預設為每小時一次) 為存放在程式庫共用中的檔案編制索引,以及將資源新增至 VMM 資料庫,以在虛擬機器建立期間使用。

下表說明在 VMM 程式庫執行管理工作的必要權限。

 

程式庫工作 帳戶需求

將程式庫伺服器新增至 VMM

屬於檔案伺服器上的本機系統管理員群組成員,同時屬於 VMM 中的系統管理員使用者角色或委派系統管理員角色成員

新增或移除程式庫共用

重新整理程式庫共用或程式庫伺服器

停用或啟用程式庫共用中的個別資源

VMM 中的系統管理員角色,或擁有之範圍包含程式庫伺服器的委派系統管理員角色

將檔案新增至程式庫共用

共用的寫入權限 (在 VMM 外設定)

VMM 中所有使用者角色都會針對在使用者角色範圍內之程式庫伺服器上存放的資源,授與讀取權限:

  • 系統管理員 — 系統管理員使用者角色成員可針對所有 VMM 程式庫伺服器中的所有資源執行所有 VMM 作業。這些作業包括根據存放的資源建立虛擬機器、設定檔及範本。系統管理員使用者角色不會授與將檔案新增至共用的寫入權限。該作業必須在外部執行,且必須在檔案系統中設定權限。

  • 委派系統管理 — 資源必須存放在委派系統管理員角色範圍內的程式庫伺服器上,才能供委派系統管理員使用。委派系統管理員可針對指派之程式庫伺服器上的資源執行所有 VMM 作業。

  • 自助資源 — 虛擬機器範本與 ISO 映像檔必須存放在自助使用者角色中指定的單一程式庫路徑,才能供自助使用者使用。僅當使用者角色允許使用者建立自己的虛擬機器時,使用者才能查看及使用資源。自助使用者只能查看指派給使用者角色的範本,以及存放在指定之程式庫路徑的 ISO 映像。他們不能新增或改變這些資源。為了提升安全性,自助使用者不會知道資源的實體位置。

針對 Hyper-V 虛擬機器啟用共用 ISO 映像檔

若要在 Hyper-V 虛擬機器上啟用共用 ISO 映像檔,您必須執行下列組態設定:

  • 您必須為 VMM 伺服器服務帳戶指定 Active Directory 網域帳戶。

  • 您必須將 ISO 映像存放在 VMM 程式庫。如需詳細資訊,請參閱如何將檔案新增至程式庫 (http://go.microsoft.com/fwlink/?LinkID=162799)。

  • 您必須在程式庫共用上設定共用權限和 NTFS 權限。執行 Hyper-V 的每台伺服器的 VMM 伺服器服務帳戶和機器帳戶必須擁有共用的讀取權限。

  • 若要讓 Hyper-V 虛擬機器在網域環境中存取共用資料夾中的 ISO 檔案,您必須為執行 Hyper-V 的伺服器設定限制委派。請設定執行 Hyper-V 之伺服器的電腦帳戶,以顯示 Common Internet File System (CIFS) 服務類型的委派認證。

note附註
在 VMM 2008 中,不支援自助使用者使用共用 ISO 映像檔。相反地,VMM 會將 ISO 映像檔的複本連接至新的虛擬機器。VMM 2008 R2 支援自助功能的共用 ISO 映像。

如需相關程序,請參閱如何在 VMM 中針對 Hyper-V 虛擬機器啟用共用 ISO 映像

程式庫伺服器的最佳安全性做法

若要強化 VMM 程式庫伺服器的安全性,建議您採用下列做法:

  • 將程式庫伺服器新增至 VMM 時,請使用 SMB 封包簽署或 IPsec 來協助保護代理程式部署程序。當您新增程式庫伺服器時,VMM 會從遠端在受管理的電腦上安裝 VMM 代理程式。VMM 代理程式部署程序會使用伺服器訊息區 (SMB) 通訊埠與遠端程序呼叫 (RPC) 通訊埠 (TCP 通訊埠 135) 以及 DCOM 通訊埠範圍。若要協助保護程序,您可以使用 SMB 封包簽署或 IPSec。

  • 在檔案系統中,限制只有管理用於建立虛擬機器之資源的 VMM 系統管理員,才能取得程式庫共用的存取權。

  • 您可以建立委派系統管理員角色來委派管理組織、地理位置、部門或群組中的程式庫伺服器。您可以建立委派系統管理員角色來委派組織、地理位置、部門或群組中的程式庫伺服器。使用者角色可針對指派之主機群組內或指派之程式庫伺服器上的所有物件提供完整的系統管理權限。您也可以建立委派系統管理員角色,讓一位系統管理員維護組織內的所有程式庫伺服器。

  • 以部署虛擬機器時的嚴謹態度為存放在程式庫之虛擬硬碟、ISO 映像及虛擬機器上的作業系統與應用程式套用更新。因為存放的映像與虛擬機器未使用,自動更新公用程式 (如 Microsoft Update) 不會傳送更新通知。

  • 遵循強化 Windows Server 檔案伺服器的安全性最佳做法。如需在 Windows Server 2008 中扮演檔案服務角色之電腦的安全性指導方針,請參閱 Hardening File Services (強化檔案服務) (http://go.microsoft.com/fwlink/?LinkId=143316)。

另請參閱

 
顯示: