Handbuch zur Serverkonfiguration für ESX Server 3
Contents
1. 2 Wenn Sie das Popup Fenster schliefsen m chten klicken Sie auf X Verwenden von DHCP f r die Servicekonsole In den meisten F llen sollten f r die Servicekonsole statische IP Adressen verwendet werden Wenn Ihr DNS Server in der Lage ist der dynamisch generierten IP Adresse den Hostnamen der Servicekonsole zuzuordnen k nnen Sie f r die Servicekonsole auch die dynamische IP Adressierung DHCP verwenden Wenn der DNS Server den Hostnamen nicht der dynamischen IP Adresse zuweisen kann m ssen Sie die numerische IP Adresse der Servicekonsole bestimmen und diese numerische IP Adresse verwenden wenn Sie auf den Host zugreifen Die numerische IP Adresse kann sich ndern wenn DHCP Zuweisungen ablaufen oder das System neu gestartet wird Aus diesem Grunde r t VMware davon ab DHCP f r die Servicekonsole zu verwenden es sei denn Ihr DNS Server kann Hostnamen bersetzen VMware Inc 39 Handbuch zur Serverkonfiguration f r ESX Server 3 40 VMware Inc Erweiterte Netzwerkthemen Dieses Kapitel f hrt Sie durch die erweiterten Netzwerkthemen in einer ESX Server 3 Umgebung und durch die Einrichtung und nderung erweiterter Netzwerkkonfigurationsoptionen In diesem Kapitel werden folgende Themen behandelt VMware Inc Eigenschaften und Richtlinien f r virtuelle Switches auf Seite 42 Konfigurieren der Portgruppe auf Seite 60 DNS und Routing auf Seite 64 ICP Segmentierungs Offload und Jum2. 292 VMware Inc Anhang A Befehle f r den technischen Support von ESX Server 3 Tabelle A 1 Befehle f r den technischen Support von ESX Server 3 Fortsetzung Servicekonsolenbefehl esxcfg dumppart Zweck des Befehls und VI Client Verfahren Konfiguriert eine Diagnosepartition oder sucht nach bestehenden Diagnosepartitionen Bei der Installation des ESX Server 3 wird eine Diagnosepartition zur Speicherung von Informationen zur Fehlersuche erstellt wenn ein Systemfehler auftritt Sie m ssen diese Partition nicht manuell anlegen es sei denn Sie stellen fest dass es keine Diagnosepartition f r den Host gibt F r Diagnosepartitionen stehen im VI Client folgende Verwaltungsvorg nge zur Verf gung m Vorhandensein einer Diagnosepartition bestimmen Klicken Sie auf Speicher Storage gt Hinzuf gen Add und berpr fen Sie die erste Seite des Assistenten zum Hinzuf gen von Speicher ob dort die Option Diagnose Diagnostic aufgef hrt wird Wenn Diagnose Diagnostic nicht zu den Optionen z hlt verf gt ESX Server 3 bereits ber eine Diagnosepartition m Fine Diagnosepartition konfigurieren Klicken Sie auf Speicher Storage gt Hinzuf gen Add gt Diagnose Diagnostic und folgen Sie den Anweisungen des Assistenten esxcfg firewall Konfiguriert die Ports der Servicekonsolen Firewall W hlen Sie zur Konfiguration der Firewallports f r unterst tzte Dienste und Assistenten im VI Client die In
3. bersicht ber Netzwerkkonzepte auf Seite 20 Beibehalten verschiedener Zonen aus virtuellen Maschinen innerhalb eines Hosts auf verschiedenen Netzwerksegmenten Wenn Sie virtuelle Maschinenzonen in deren eigenen Netzwerksegmenten isolieren minimieren Sie das Risiko eines Datenverlusts aus einer virtuellen Maschinenzone in die n chste Die Segmentierung verhindert mehrere Gefahren Zu diesen Gefahren geh rt auch die Manipulation des Adressaufl sungsprotokolls ARP wobei der Angreifer die ARP Iabelle so manipuliert dass die MAC und IP Adressen neu zugeordnet werden wodurch ein Zugriff auf den Netzwerkdatenverkehr vom und zum Host m glich ist Angreifer verwenden diese ARP Manipulierung f r Denial of Service Angriffe DOS zur bernahme des Zielsystems und zur anderweitigen Beeintr chtigung des virtuellen Netzwerks Eine sorgf ltige Planung der Segmentierung senkt das Risiko von Paket bertragungen zwischen virtuellen Maschinenzonen und somit von Spionageangriffen die voraussetzen dass dem Opfer Netzwerkdatenverkehr zugestellt wird So kann ein Angreifer auch keinen unsicheren Dienst in einer virtuellen Maschinenzone aktivieren um auf andere virtuelle Maschinenzonen im Host zuzugreifen Sie k nnen die Segmentierung mit einer der beiden folgenden Methoden herstellen von denen jede andere Vorteile bietet VMware Inc Kapitel 10 Absichern einer ESX Server 3 Konfiguration m Verwenden Sie getrennte physische Netzwerkadapt
4. Wenn eine dieser Optionen auf 1 gesetzt wird ignoriert pam_passwdaqc so diese Anforderung Wenn eine dieser Optionen auf disabled gesetzt wird lehnt pam_passwdaqc so das Kennwort mit einem entsprechenden Merkmal ab Die Werte m ssen in absteigender Reihenfolge verwendet werden Ausgenommen hiervon sind 1 und disabled Beispiel esxcfg auth usepamgc disabled 18 1 12 8 261 Handbuch zur Serverkonfiguration f r ESX Server 3 In dieser Einstellung werden alle Kennw rter die ein Benutzer erstellt und die nur eine Zeichenklasse enthalten abgelehnt Ein Kennwort mit zwei Zeichenklassen muss mindestens 18 Zeichen lang sein ein Kennwort mit drei Zeichenklassen 12 Zeichen lang und ein Kennwort mit vier Zeichenklassen 8 Zeichen lang Versuche zur Erstellung eines Kennwortsatzes werden ignoriert Schl sselqualit t 262 Die bertragung von Daten ber unsichere Verbindungen stellt ein Sicherheitsrisiko dar da b swillige Benutzer Daten scannen k nnen w hrend sie im Netzwerk bertragen werden Als Schutz dagegen verschl sseln die Netzwerkkomponenten meistens die Daten sodass diese nicht so einfach gelesen werden k nnen Zur Verschl sselung verwendet die sendende Komponente zum Beispiel ein Gateway oder ein Redirector Algorithmen Algorithmen sog Schl ssel um die Daten zu ndern bevor sie bertragen werden Die Zielkomponente verwendet dann einen Schl ssel um die Daten zu entschl sseln und sie in ihre urspr nglic
5. 2049 Daten bertragungen von den NFS Speicherger ten Ein und Dieser Port wird f r die VMkernel Schnittstelle nicht f r ausgehendes TCP die Servicekonsolenschnittstelle verwendet 2050 2250 Datenverkehr zwischen ESX Server 3 Hosts f r VMware High Ausgehendes TCP Availability HA und EMC Autostart Manager Diese Ports ein und werden von der VMKernel Schnittstelle verwaltet ausgehendes UDP 3260 Daten bertragungen von den iSCSI Speicherger ten Ausgehendes TCP Dieser Port wird f r die VMkernel Schnittstelle und die Servicekonsolenschnittstelle verwendet 5900 5906 RFB Protokoll das von Verwaltungstools wie VNC Ein und verwendet wird ausgehendes TCP 5988 CIM XML bertragungen ber HTTPS Ein und ausgehendes TCP VMware Inc Kapitel 10 Absichern einer ESX Server 3 Konfiguration Tabelle 10 1 TCP und UDP Ports Fortsetzung Art des Port Zweck Datenverkehrs 5989 CIM XML bertragungen ber HTTP Ein und ausgehendes TCP 8000 Eingehende Anforderungen von VMotion Ein und Dieser Port wird f r die VMkernel Schnittstelle nicht f r die ausgehendes TCP Servicekonsolenschnittstelle verwendet 8042 8045 Datenverkehr zwischen ESX Server 3 Hosts f r VMware HA Ausgehendes TCP und EMC Autostart Manager ein und ausgehendes UDP 27000 Lizenz bertragungen vom ESX Server 3 Host an den Ein und Lizenzserver Imgrd exe ausgehendes TCP 27010 Lizenz bertragungen vom ESX
6. 4 7 Klicken Sie auf Hinzuf gen Add Der Assistent zum Hinzuf gen von Hardware wird ge ffnet Assistent zum Hinzuf gen von Hardware Ger tetyp ausw hlen Welche Art von Ger t m chten Sie der virtuellen Maschine hinzuf gen Ger tetyp w hlen Sie den Ger tetyp aus den Sie hinzuf gen m chten Festplatte ausw hlen Festplattenkapazit t Serielle Schnittstelle Information Parallele Schnittstelle El Diskettenlaufwerk u CD DYD Laufwerk Ethernet Adapter Festplatte Erweiterte Optionen Bereit zum Abschlie en lt Zur ck Abbrechen W hlen Sie als Ger t das hinzugef gt werden soll Festplatte Hard Disk aus und klicken Sie auf Weiter Next W hlen Sie Raw Ger tezuordnung Raw Device Mapping und klicken Sie auf Weiter Next Informationen zur Vorgehensweise finden Sie unter Schritt 3 Verwalten von Pfaden f r eine zugeordnete Raw LUN Sie k nnen im Dialogfeld Pfade verwalten Manage Paths die Pfade Ihrer Zuordnungsdateien und zugeordneten Raw LUNs verwalten So verwalten Sie Pfade 1 Melden Sie sich als Administrator oder als Besitzer der virtuellen Maschine an zu der die zugeordnete Festplatte geh ren soll W hlen Sie die virtuelle Maschine in der Bestandsliste aus Klicken Sie auf der Registerkarte bersicht Summary auf Einstellungen bearbeiten Edit Settings Das Dialogfeld Eigenschaften der virtuellen Maschinen Virtual Machine Properties wird g
7. Dieses Beispiel veranschaulicht die Erstellung eines neuen VMFS 3 Dateisystems mit dem Namen myvmfs auf der ersten Partition von Ziel 3 LUN 0 des vmhba Adapters 1 Die Dateiblockgr e betr gt 1 MB Erweitern eines bestehenden VMFS 3 Volumens Z extendfs lt Erweiterungsger t gt lt bestehendes_VMFS Volume gt Diese Option f gt einem vorher erstellten VMFS Volume lt bestehendes VMFS VoLume gt eine Erweiterung hinzu Sie m ssen den vollst ndigen Pfadnamen Beispiel vmfs devices disks vmhba0 1 2 1 und nicht nur den Kurznamen vmhba0 1 2 1 angeben Bei jeder Verwendung dieser Option wird das VMFS 3 Volume um eine neue Erweiterung vergr ert sodass das Volume mehrere Partitionen umfasst Ein logisches VMFS 3 Volume kann bis zu 32 physische Erweiterung aufweisen V VORSICHT Wenn Sie diese Option ausf hren gehen alle Daten verloren die auf dem SCSI Ger t das unter lt Erweiterungsger t gt angegeben wird gespeichert sind Beispiel f r die Erweiterung eines VMFS 3 Volumes vmkfstools Z vmfs devices disks vmhba0 1 2 1 wmfs devices disks vmhbal 3 0 1 Dieses Beispiel erweitert das logische Dateisystem durch Hinzuf gen einer neuen Partition Das erweiterte Dateisystem nimmt nun zwei Partitionen ein vmhbal 3 0 1 und vmhba0 1 2 1 In diesem Beispiel ist vmhbal 3 0 1 der Name der bergeordneten Partition Auflisten der Attribute eines VMFS Volumes P queryfs h human readable Diese Option listet die Attrib
8. m So richten Sie CHAP Parameter f r den Hardware Initiator ein auf Seite 124 m So erstellen Sie einen Datenspeicher auf einem Hardware iSCSI Ger t auf Seite 125 VMware Inc Kapitel 5 Einf hrung in die Speicherung m Konfiguration von Software initiiertem iSCSI Speicher 90 zeigen Sie die Eigenschaften des Software iSCSI Initiators an auf Seite 128 So aktivieren Sie den Software iSCSI Initiator auf Seite 130 90 richten Sie Zielerkennungsadressen f r den Software Initiator ein auf Seite 130 So richten Sie CHAP Parameter f r den Software Initiator ein auf Seite 131 90 erstellen Sie einen Datenspeicher auf einem iSCSI Ger t auf das ber Software Initiatoren zugegriffen wird auf Seite 132 m Konfiguration von NAS Speicher So mounten Sie ein NFS Volume auf Seite 137 m Speicherverwaltung So aktualisieren Sie VMFS 2 in VMFS 3 auf Seite 144 50 ndern Sie den Namen des Datenspeichers auf Seite 144 90 f gen Sie Erweiterungen einem Datenspeicher hinzu auf Seite 145 90 entfernen Sie einen Datenspeicher auf Seite 143 m Pfadverwaltung VMware Inc 90 richten Sie die Multipathing Richtlinie ein auf Seite 152 90 richten Sie den bevorzugten Pfad ein auf Seite 153 So deaktivieren Sie einen Pfad auf Seite 153 107 Handbuch zur Serverkonfiguration f r ESX Server 3 108 VMware Inc Speicherkonfiguration Dieses Kapitel
9. m VMEFS Virtual Machine File System Ein spezielles Hochleistungsdateisystem f r die Speicherung virtueller ESX Server 3 Maschinen VMFS kann von ESX Server 3 auf verschiedenen SCSI basierten lokalen oder Netzwerkspeicherger ten bereitgestellt werden u a auf Fibre Channel und iSCSI SAN Systemen Als Alternative zur Verwendung eines VMFS Datenspeichers kann Ihre virtuelle Maschine ber eine Zuordnungsdatei RDM als Stellvertreter direkt auf Raw Ger te zugreifen Weitere Informationen ber Raw Ger tezuordnungen finden Sie unter Raw Ger tezuordnung auf Seite 155 m NFS Network File System Netzwerkdateisystem Ein Dateisystem auf einem NAS Speicherger t ESX Server 3 unterst tzt NFS Version 3 ber TCP IP ESX Server 3 kann auf ein angegebenes NFS Volume auf einem NFS Server zugreifen ESX Server 3 mountet das NFS Volume und nutzt es f r Speicherzwecke Wenn Sie ber die Servicekonsole auf den ESX Server 3 Host zugreifen werden die VMES und NFS Datenspeicher als getrennte Unterverzeichnisse im Verzeichnis vmfs volumes angezeigt Informationen zur Verwendung der Befehle und Dienstprogramme der Servicekonsole finden Sie unter Verwenden von vmkfstools auf Seite 299 VMFS Datenspeicher Wenn der ESX Server 3 Host auf SCSI basierte Speicherger te wie SCSI iSCSI oder FC SAN zusgreift wird der Speicherplatz ESX Server 3 als LUN angezeigt Eine LUN ist ein logisches Volume das Speicherplatz auf einer einz
10. 299 vmkfstools Befehlssyntax 300 vmkfstools Optionen 301 Unteroption v 301 Dateisystemoptionen 301 Optionen f r virtuelle Festplatten 305 Verwalten der SCSI Reservierungen von LUNs 312 Index 313 VMware Inc ber dieses Handbuch In diesem Handbuch zur Serverkonfiguration f r ESX Server 3 finden Sie Informationen zur Konfiguration von ESX Server 3 z B zur Erstellung virtueller Switches und Ports sowie zur Einrichtung des Netzwerks f r virtuelle Maschinen VMotion IP Speicher und die Servicekonsole Es enth lt ebenfalls Informationen zum Konfigurieren des Dateisystems und verschiedener Speichertypen wie zum Beispiel iSCSI Fibre Channel usw Zum Schutz Ihrer ESX Server 3 Installation enth lt das Handbuch umfassende Informationen zu den in ESX Server 3 enthaltenen Sicherheitsfunktionen und Matsnahmen die zum Schutz vor Angriffen ergriffen werden k nnen Ferner enthalten ist eine Liste mit technischen Unterst tzungsbefehlen f r ESX Server 3 und deren Entsprechung im VI Client sowie eine Beschreibung des Dienstprogramms vmkfstools Das Handbuch zur Serverkonfiguration f r ESX Server 3 gilt f r ESX Server 3 5 Informationen zu ESX Server 3i Version 3 5 finden Sie unter http www vmware com support pubs vi_pubs html Zur Vereinfachung der Erl uterung werden in diesem Buch die folgenden Produktbenennungskonventionen befolgt m F r Themen die f r ESX Server 3 5 spezifisch sind wird in diesem Buch der Begriff ESX
11. 64 Konfigurieren Sie DNS und Routing ber den VI Client So ndern Sie die DNS und Routing Konfiguration 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt 2 Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf DNS und Routing DNS and Routing 3 Klicken Sie auf der rechten Bildschirmseite auf Eigenschaften Properties Geben Sie auf der Registerkarte DNS Konfiguration DNS Configuration die Werte f r Name und Dom ne Domain ein 5 Sie k nnen die Adresse des DNS Servers automatisch beziehen oder eine DNS Server Adresse eingeben HinwE s DHCP wird nur unterst tzt wenn die Servicekonsole auf den DHCP Server zugreifen kann F r die Servicekonsole muss dazu eine virtuelle Schnittstelle vswif konfiguriert und an das Netzwerk angeschlossen werden in dem sich der DHCP Server befindet 6 Geben Sie die Dom nen an in denen Hosts gesucht werden sollen C DNS und Routing Konfiguration DNS Konfiguration Routing Hostidentitikation Name vcyl 4 Dom ne leng ymware com Anderungen werden erst bei Neustart des Systems wirksam C DNS Serveradresse automatisch abrufen De Diie folgende DNS Serveradresse verwenden Bevorzugter DNS Server u Alternatwer DNS Server T Hosts in den folgenden Dom nen suchen Eng Mare Com Be
12. ig ist Ethernet 0 so konfiguriert dass die Trennung des Ger ts nicht m glich ist Der einzige Grund aus dem Sie veranlasst sein k nnen dies zu ndern ergibt sich dann wenn ein vorheriger Administrator lt Ger tename gt allowGuestConnectionControl auf true gesetzt hat Speichern Sie die nderungen und schlie en Sie die Datei Kehren Sie zum VI Client zur ck und schalten Sie die virtuelle Maschine erst aus und dann wieder an Dazu klicken Sie mit der rechten Maustaste auf die virtuelle Maschine im Bestandslistenfenster und klicken auf Ausschalten Power Off und anschlie end auf Einschalten Power On Beschr nken von Schreibvorg ngen des Gastbetriebssystems in den Hostspeicher Die Prozesse des Gastbetriebssystems senden ber VMware Tools Informationsmeldungen an den ESX Server 3 Host Diese Meldungen die setinfo Meldungen genannt werden enthalten normalerweise Name Wert Paare zu Merkmalen virtueller Maschinen oder Bezeichner die der Host speichert zum Beispiel paddress 10 17 87 224 VMware Inc Kapitel 13 Empfehlungen f r den Schutz von Implementierungen Wenn die Datenmenge die als Folge dieser Meldungen auf dem Host gespeichert wird unbegrenzt w re w rde eine unbeschr nkte Daten bertragung einem Angreifer eine Gelegenheit zum Starten eines DoS Angriffs Denial of Service bieten Dazu m sste Code geschrieben werden der VMware Tools imitiert und den Speicher des Hosts mit willk rlichen Konfigurationsd
13. m 443 f r Server zu Server Migration und Bereitstellungsdatenverkehr m 2050 5000 f r HA Datenverkehr m 8000 f r VMotion m 8042 8045 f r HA Datenverkehr Weitere Informationen zur Konfiguration der Ports erhalten Sie beim Firewalladministrator Genauere Informationen zu Richtungsabh ngigkeit und Protokollen f r diese Ports finden Sie unter TCP und UDP Ports f r den Verwaltungszugriff auf Seite 193 ffnen von Firewallports f r unterst tzte Dienste und Verwaltungs Agenten Mit dem VI Client k nnen Sie die Firewall der Servicekonsole so konfigurieren dass die allgemein unterst tzten Dienste und installierten Verwaltungs Agenten akzeptiert werden Wenn Sie das Sicherheitsprofil des ESX Server 3 Hosts in VirtualCenter konfigurieren werden durch das Hinzuf gen oder Entfernen dieser Dienste oder Agenten automatisch festgelegte Ports ge ffnet oder geschlossen damit die Kommunikation mit dem Dienst oder dem Agenten m glich ist Sie k nnen folgende Dienste und Agenten hinzuf gen oder entfernen m NIS Client m NEFS Client unsicherer Dienst m SMB Client unsicherer Dienst m FIP Client unsicherer Dienst m SSH Client m Telnet Client unsicherer Dienst m NTP Client m 1SCSI Software Client VMware Inc Kapitel 10 Absichern einer ESX Server 3 Konfiguration m SSH Server m Telnet Server unsicherer Dienst m FTP Server unsicherer Dienst m INFS Server unsicherer Dienst m CIM HTTP Server unsich
14. 123 Diese Portgruppe f r YMotion verwenden IP Einstellungen IP Adresse 000 000 000 000 Subnetzmaske 000 000 000 000 Standard Gateway f r YMkernel 6 vorschau YMkemel Port Physische Adapter YMkernel 2 7 vmnicl lt Zur ck Weiter gt Abbrechen 9 Klicken Sie unter IP Einstellungen IP Settings auf Bearbeiten Edit um VMkernel Standardgateway VMkernel Default Gateway f r iSCSI anzugeben 78 VMware Inc Kapitel 4 Netzwerkszenarien und Probleml sung Auf der Registerkarte Routing ben tigen die Servicekonsole und der VMkernel jeweils eigene Angaben zum Gateway 0 DNS und Routing Konfiguration D NS Konfigquration Routing Semyicekonsole Standard Gateway Gatewar Ger t YMkermnel Standard Gateway Abbrechen Hilfe HINWEIS Legen Sie ein Standardgateway f r den Port fest den Sie erstellt haben Sie m ssen eine g ltige statische IP Adresse angeben um den VMkernel Stapel zu konfigurieren 10 Klicken Sie auf OK 11 Klicken Sie auf Weiter Next 12 Klicken Sie auf Zur ck Back um nderungen vorzunehmen 13 berpr fen Sie die nderungen im Dialogfeld Bereit zum Abschlie en Ready to Complete und klicken Sie auf Fertig Finish Nach Anlegen des VMkernel Ports f r iSCSI m ssen Sie eine Verbindung der Servicekonsole auf demselben vSwitch anlegen auf dem sich VMkernel Port befindet VMware Inc 79 Handbuch zur Serverkonfiguration f r ESX Se
15. Der Wert lt Zahl gt wird als ganze Zahl von 1 bis 10 angegeben Sie k nnen die Unteroption v f r alle vmkfstoo1ls Optionen verwenden Wenn die Unteroption v f r die Ausgabe einer Option nicht vorgesehen ist ignoriert vmkfstools den Teil v der Befehlszeile HINWEIS Da Sie die Unteroption v in jeder vmkfstools Befehlszeile verwenden k nnen wird sie nicht in den Beschreibungen der einzelnen Optionen verwendet Dateisystemoptionen Mithilfe von Dateisystemoptionen k nnen Sie ein VMFS Dateisystem erstellen Diese Optionen gelten nicht f r NFS Sie k nnen viele dieser Aufgaben auch ber den VI Client ausf hren VMware Inc 301 Handbuch zur Serverkonfiguration f r ESX Server 3 Erstellen eine VMFS Dateisystems C createfs vmfs3 b blocksize lt Blockgr e gt kK mM S setfsname lt fsName gt Mit dieser Option wird ein VMFS 3 Dateisystem auf der angegebenen SCSI Partition erstellt z B vmhba1 0 0 1 Diese Partition wird die vorgelagerte Partition des Dateisystems VMEFS 2 Dateisysteme sind auf ESX Server 3 Hosts schreibgesch tzt Benutzer k nnen VMFS 2 Dateisysteme nicht erstellen oder ndern aber die darauf gespeicherten Dateien lesen Ein Zugriff ber ESX 2 x Hosts auf die VMFS 3 Dateisysteme ist nicht m glich vV VORSICHT Pro LUN ist nur ein VMFS Volume m glich 302 F r die Option C k nnen Sie folgende Unteroptionen angeben m b blocksize Definiert die Blockgr e f r das VMFS 3 Da
16. Empfehlungen f r Benutzerverzeichnisse Grundlegendes zu Berechtigungen F r ESX Server 3 und VirtualCenter werden Berechtigungen als Zugriffsrollen definiert die aus einem Benutzer und der dem Benutzer zugewiesenen Rolle f r ein Objekt wie z B einer virtuellen Maschine oder einem ESX Server 3 Host bestehen Berechtigungen geben Benutzern das Recht bestimmte Vorg nge auszuf hren und bestimmte Objekte auf einem ESX Server 3 Host oder wenn Benutzer von VirtualCenter aus arbeiten alle von VirtualCenter verwalteten Objekte zu verwalten Wenn Sie zum Beispiel Speicher f r einen ESX Server 3 Host konfigurieren m chten m ssen Sie ber eine Berechtigung zur Hostkonfiguration verf gen VMware Inc 225 Handbuch zur Serverkonfiguration f r ESX Server 3 226 Die meisten VirtualCenter und ESX Server 3 Benutzer k nnen Objekte des Hosts nur in eingeschr nktem Matse ndern Benutzer mit der Rolle Administrator haben jedoch Vollzugriff auf alle virtuellen Objekte wie Datenspeicher Hosts virtuelle Maschinen und Ressourcenpools Die Rolle Administrator wird standardm ig dem Root Benutzer gew hrt Wenn VirtualCenter den Host verwaltet hat vpxuser auch Administratorrechte Administratoren haben die folgenden Berechtigungen root Der Root Benutzer kann auf dem ESX Server 3 Host an dem er sich angemeldet hat alle Steuerungsvorg nge wie z B die Verwaltung von Berechtigungen die Erstellung von Gruppen und Benutzern d
17. Fehlerbehebung bei der Vernetzung der Servicekonsole auf Seite 85 Um VMotion NFS oder iSCSI Netzwerkverbindungen im VI Client einzurichten klicken Sie auf Netzwerk Networking gt Netzwerk hinzuf gen Add Networking W hlen Sie Servicekonsole Service Console aus und folgen Sie den Anweisungen des Assistenten zum Hinzuf gen von Netzwerken Im Schritt Verbindungseinstellungen Connection Settings werden die Subnetzmaske der IP Adresse und der Standard Gateway der Servicekonsole eingerichtet Wenn Sie die Einstellungen berpr fen m chten klicken Sie auf das blaue Symbol links neben dem Servicekonsolenport Wenn Sie eine der Einstellungen bearbeiten m chten klicken Sie f r den entsprechenden Switch auf Eigenschaften Properties W hlen Sie den Servicekonsolenport in der Liste im Dialogfeld Eigenschaften Properties des Switches aus Klicken Sie auf Bearbeiten Edit um das Dialogfeld Eigenschaften Properties des Ports zu ffnen und dessen Einstellungen zu ndern Eine vollst ndige Anleitung zur Erstellung und Aktualisierung der Servicekonsolenverbindung finden Sie unter Konfiguration der Servicekonsole auf Seite 34 esxcfg vswitch Erstellt und aktualisiert die Netzwerkeinstellungen f r virtuelle Maschinen Klicken Sie zur Einrichtung von Verbindungen f r eine virtuelle Maschine im VI Client auf Netzwerk Networking gt Netzwerk hinzuf gen Add Networking W hlen Sie Virtuelle Maschine Virtual Ma
18. Kapitel 2 Netzwerke So konfigurieren Sie Servicekonsolenports 1 8 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Netzwerk Networking Suchen Sie rechts auf der Seite nach dem zu bearbeitenden vSwitch und klicken Sie f r diesen vSwitch auf Eigenschaften Properties Klicken Sie im Dialogfeld vSwitch Eigenschaften vSwitch Properties auf die Registerkarte Ports Markieren Sie die Option Servicekonsole Service Console und klicken Sie auf Bearbeiten Edit Es wird eine Warnmeldung angezeigt dass m glicherweise durch ndern der Servicekonsolenverbindung die Verbindungen f r alle Verwaltungs Agenten getrennt werden Klicken Sie auf nderung dieser Verbindung fortsetzen Continue modifying this connection um mit der Konfiguration der Servicekonsole fortzufahren Bearbeiten Sie die Porteigenschaften die IP Einstellungen und die geltenden Richtlinien falls erforderlich Klicken Sie auf OK Pro TCP IP Stapel kann nur ein Standard Gateway konfiguriert werden So legen Sie das Standard Gateway fest 1 VMware Inc Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus der Bestandsliste aus Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wi
19. auf Ablehnen Reject festgelegt MAC Adressen nderungen MAC Address Changes und Gef lschte bertragungen Forged Transmits sind auf Akzeptieren Accept eingestellt Diese Richtlinie gilt f r alle virtuellen Adapter auf dem vSwitch aufser f r diejenigen f r welche die Portgruppe f r die virtuellen Adapter eine Ausnahme von der Richtlinie angibt Im Bereich Richtlinienausnahmen Policy Exceptions k nnen Sie ausw hlen ob die Ausnahmen f r die Schicht 2 Sicherheitsrichtlinie abgelehnt oder angenommen werden sollen E Promiscuous Modus Promiscuous Mode m Ablehnen Reject Die Aktivierung des Promiscuous Modus f r den Gastadapter hat keine Auswirkungen darauf welche Frames vom Adapter empfangen werden m Akzeptieren Accept Bei Aktivierung des Promiscuous Modus f r den Gastadapter werden alle Frames ermittelt die ber den vSwitch bertragen werden und die nach der VLAN Richtlinie f r die an den Adapter angeschlossene Portgruppe zugelassen sind m MAC Adressen nderungen MAC Address Changes m Ablehnen Reject Wenn die Option MAC Adressen nderungen MAC Address Changes auf Ablehnen Reject festgelegt ist und die MAC Adresse des Adapters im Gastbetriebssystem in einen anderen Wert ge ndert wird als in den der in der vmx Konfigurationsdatei angegeben ist werden alle eingehenden Frames verworfen 53 Handbuch zur Serverkonfiguration f r ESX Server 3 54 Wenn das Gastbetriebssystem die MAC Adre
20. festlegen und den bevorzugten Pfad f r die Richtlinie Feststehend Fixed angeben Wenn Sie Pfade f r Raw Ger tezuordnungen verwalten finden Sie weitere Informationen unter So verwalten Sie Pfade auf Seite 168 VMware Inc 151 Handbuch zur Serverkonfiguration f r ESX Server 3 Das Dialogfeld Pfade verwalten Manage Paths enth lt eine Liste mit verschiedenen Pfaden zur Festplatte sowie die Multipathing Richtlinie f r die Festplatte und den Verbindunsgsstatus f r jeden einzelnen Pfad Sie zeigt au erdem den bevorzugten Pfad zu der Festplatte an es wmhba1 0 3 Pfade verwalten Richtlinie Zuletzt verwendet Den zuletzt verwendeten Pfad verwenden Anden Pfade Status Bevorzugt vmhbal 1 3 50 06 01 68 30 20 59 1c vmnhba1 0 3 50 086 01 60 30 20 59 1c vrnhbaz l 3 50 08 01 60 30 20 59 1c gt Tag vrnhbaz 1 3 50 08 01 68 30 20 59 1c gt Tag Aktualisieren ndern Abbrechen Hilfe So richten Sie die Multipathing Richtlinie ein 1 2 Klicken Sie unter Richtlinie Policy auf ndern Change W hlen Sie eine der folgenden Optionen aus m Feststehend Fixed m Zuletzt verwendet Most Recently Used m Round Robin Experimentell Klicken Sie auf OK und dann auf Schlie en Close um die Einstellungen zu speichern und zur Seite Konfiguration Configuration zur ckzukehren HINWEIS VMware empfiehlt die Richtlinie Zuletzt verwendet Most Recently Used f r Aktiv Passiv Speic
21. m Aktualisierung des Hosts Beim Upgrade von ESX Server 2 x auf ESX Server 3 werden die Bin rdateien aktualisiert Diesen Schritt k nnen Sie nicht ber den VI Client ausf hren Informationen zur Durchf hrung dieser Aktualisierung erhalten Sie im Installations und Upgrade Handbuch m Aktualisierung des Dateisystems Wenn Sie VMFS 2 auf VMFS 3 aktualisieren m chten halten Sie Ihre virtuellen Maschinen an oder fahren Sie sie herunter und klicken Sie dann auf Bestandsliste Inventory gt Host gt In den Wartungsmodus wechseln Enter Maintenance Mode Klicken Sie auf Speicher Storage w hlen Sie ein Speicherger t aus und klicken Sie auf Auf VMFS 3 aktualisieren Upgrade to VMFS 3 Sie m ssen diesen Schritt f r jedes Speicherger t ausf hren das Sie aktualisieren m chten m Upgrade der virtuellen Maschinen Um eine virtuelle Maschine von VMS 2 auf VMS 3 zu aktualisieren klicken Sie mit der rechten Maustaste auf die virtuelle Maschine im Bestandslistenfenster und w hlen Sie Virtuelle Maschine aktualisieren Upgrade Virtual Machine esxcfg vmhbadevs Druckt eine Zuordnung von VMkernel Speicherger ten zu Servicekonsolenger ten Es gibt keine VI Client Entsprechung f r diesen Befehl esxcfg vmknic Erstellt und aktualisiert VMkernel TCP IP Einstellungen f r VMotion NAS und iSCSI Um VMotion NFS oder iSCSI Netzwerkverbindungen einzurichten klicken Sie im VI Client auf Netzwerk Networking gt Netzw
22. m Die Zahl der Anwendungen die die Kennzeichen setuid oder setgid verwenden wurde minimiert Sie k nnen alle setuid oder setgid Anwendungen deaktivieren die f r den Betrieb von ESX 3 Server optional sind Weitere Informationen zu notwendigen und optionalen setuid und setgid Anwendungen finden Sie unter setuid und setgid Anwendungen auf Seite 263 Genauere Erl uterungen zu diesen Sicherheitsma snahmen und anderen Sicherheitsempfehlungen f r die Servicekonsole finden Sie unter Sicherheit der Servicekonsole auf Seite 247 Sie k nnen zwar bestimmte Programme die f r RHEL 3 U6 entwickelt wurden in der Servicekonsole installieren und ausf hren dies kann jedoch zu ernsthaften Sicherheitsl cken f hren und wird daher nur unterst tzt wenn VMware dies ausdr cklich anf hrt Wenn eine Sicherheitsl cke in der unterst tzten Konfiguration erkannt wird informiert VMware alle Kunden mit geltenden Support und Wartungsvertr gen und stellt alle notwendigen Patches zur Verf gung HINWEIS Bestimmte Sicherheitsmeldungen von Red Hat betreffen die ESX Server 3 Umgebung nicht In diesem Fall ver ffentlicht VMware keine Warnungen oder Patches Weitere Informationen zu den VMware Richtlinien f r Sicherheitspatches unterst tzter Programme sowie die Richtlinien f r nicht unterst tzte Software finden Sie unter Sonstige Quellen und Informationen zur Sicherheit auf Seite 186 Sicherheit und die virtuelle Netzwerkebene Die
23. nnen die meisten dieser Aufgaben auch ber den VI Client ausf hren L lock reserve release lunreset targetreset busreset lt Ger t gt Mit dieser Option k nnen Sie eine SCSI LUN f r die ausschlie liche Verwendung durch einen ESX Server 3 Host reservieren eine Reservierung aufheben sodass andere Hosts auf die LUN zugreifen k nnen und eine Reservierung zur cksetzen wodurch alle Reservierungen eines Ziels aufgehoben werden VORSICHT Eine Verwendung der Option L kann den Betrieb der anderen Server in einem SAN beeintr chtigen Verwenden Sie die Option L nur zur Fehlerbehebung bei der Einrichtung von Clustern Wenden Sie diese Option nie auf eine LUN mit einem VMFS Volume an es sei denn VMware empfiehlt Ihnen ausdr cklich das Gegenteil Sie k nnen die Option L auf verschiedene Arten anwenden m L reserve Reserviert die angegebene LUN Nach der Reservierung kann nur der Server der diese LUN reserviert hatte darauf zugreifen Wenn andere Server versuchen auf diese LUN zuzugreifen erhalten Sie einen Reservierungstehler m L release Hebt die Reservierung der angegebenen LUN auf Andere Server k nnen wieder auf die LUN zugreifen m L Lunreset Setzt die angegebene LUN zur ck indem jede Reservierung der LUN zur ckgesetzt und die LUN den anderen Servern wieder zur Verf gung gestellt wird Dies beeinflusst die anderen LUNs auf dem Ger t nicht Wenn eine andere LUN auf dem Ger t reserviert wurde bleibt sie re
24. r ESX Server 3 118 m ION iSCSI Qualified Name Kann bis zu 255 Zeichen lang sein und hat das folgende Format iqn lt Jahr Monat gt lt umgekehrter_Dom nenname gt lt eindeutiger_Name gt wobei lt Jahr Mo gt f r das Jahr und den Monat stehen in dem Ihr Dom nenname registriert wurde lt umgekehrter_Dom nennanme gt der offizielle Name Ihrer Dom ne in umgekehrter Reihenfolge ist und lt eindeutiger_Name gt ein beliebiger Name ist den Sie verwenden m chten z B der Name Ihres Servers Beispiel iqn 1998 01 com mycompany myserver m EUI Extended Unique Identifier erweiterter eindeutiger Bezeichner Das eui Pr fix des eindeutigen Bezeichners gefolgt vom Namen mit 16 Zeichen Der Name umfasst 24 Bit f r den von der IEEE zugewiesenen Firmennamen und 40 Bit f r eine eindeutige ID zum Beispiel eine Seriennummer Beispiel eui 0123456789ABCDEF Erkennungsmethoden Um festzustellen welche Speicherressourcen im Netzwerk f r den Zugriff verf gbar sind verwendet das ESX Server 3 System die folgenden Erkennungsmethoden Dynamische Erkennung Wird auch als Ziele senden Erkennungsmethode bezeichnet Immer wenn der Initiator einen angegebenen iSCSI Server kontaktiert wird eine Ziele senden Anforderung an den Server bermittelt Der Server liefert als Antwort eine Liste verf gbarer Ziele an den Initiator zur ck Statische Erkennung Der Initiator f hrt keine Erkennungsaufgaben aus da er im Voraus alle Zi
25. ssen Sie den iSCSI Namen die IP Adresse und die Erkennungsadressen des Initiators einrichten Dar ber hinaus empfiehlt VMware die Einrichtung von CHAP Parametern 120 VMware Inc Kapitel 6 Speicherkonfiguration Nach der Konfiguration des iSCSI Software Initiators m ssen Sie erneut nach Speicherger ten suchen damit alle LUNs auf die der Initiator zugreifen kann in der Liste der Speicherger te angezeigt werden Siehe Starten einer erneuten Pr fung auf Seite 134 Einrichten von Benennungsparametern Stellen Sie beim Konfigurieren der Hardware iSCSI Initiatoren sicher dass ihre Namen und IP Adressen ordnungsgem formatiert sind Siehe Benennungskonventionen auf Seite 117 So konfigurieren Sie den iSCSI Namen Alias und die IP Adresse f r den Hardware Initiator 1 Klicken Sie im Dialogfeld Eigenschaften des iSCSI Initiators iSCSI Initiator Properties auf die Schaltfl che Konfigurieren Configure 2 Um den Standard iSCSI Namen f r den Initiator zu ndern geben Sie einen neuen iSCSI Namen ein Sie k nnen den vom Hersteller angegebenen Standardnamen verwenden Wenn Sie den Standardnamen ndern m chten m ssen Sie sicherstellen dass der neue Name ordnungsgem formatiert ist Andernfalls k nnen einige Speicherger te den Hardware iSCSI Initiator ggf nicht erkennen 3 Geben Sie den iSCSI Alias ein Das Alias ist ein Name der zur Identifizierung des Hardware iSCSI Initiators verwendet wird
26. 22 TCP Ausgehende Yerbindungen CIM SLP 427 UDP TCP Software iSCSI Client 3260 TCP YCE 443 902 TCP YMware Lizenz Client 27000 27010 TCP YMware Virtuallenter Agent 902 UDP Klicken Sie auf Eigenschaften Properties um das Dialogfeld Firewall Eigenschaften Firewall Properties zu ffnen Im Dialogfeld Firewall Eigenschaften Firewall Properties werden alle Dienste und Verwaltungs Agenten aufgelistet die Sie f r den Host konfigurieren k nnen Firewall Eigenschaften Remotezugriff Standardm ig wird verhindert dass Remoteclients auf Dienste auf diesem Host zugreifen und lokalen Clients wird der Zugriff auf Dienste auf Remotehosts verweigert Um Zugriff auf einen Dienst oder Client zu gew hren aktivieren Sie das entsprechende Kontrollk stchen Sofem nicht anders konfiguriert werden Daemons automatisch gestartet wenn einer ihrer Ports ge ffnet wird und sie werden beendet wenn alle ihre Ports geschlossen werden Bezeichnung Eingehende Ports Ausgehende Ports Protokolle Daemon Erforderliche Dienste Secure Shell SSH Client TCP NJA SSH Server 22 TCP wird ausgef hrt Simple Network Management Protocol SNMP Server 161 162 UDP NjA Nicht gruppiert aam 2050 2250 8042 80 2050 2250 8042 80 TCP UDP N A Active Director Kerberos 464 88 TCP NjA CAARC Server 6051 TCP NjA CIM Server 5955 TCP NjA CIM SLP 427 UDP TCP NjA b OK Abbrechen Hilfe VMware Inc Kapitel 10 Absichern einer ESX Ser
27. 443 als Port f r den Datenverkehr zwischen VI Client und VirtualCenter Server verwenden m chten k nnen Sie den Port VMware Inc 195 Handbuch zur Serverkonfiguration f r ESX Server 3 196 ber die VirtualCenter Einstellungen auf dem VI Client ndern Informationen zur nderung dieser Einstellungen finden Sie in Grundlagen der Systemverwaltung Herstellen einer Verbindung mit der VM Konsole ber eine Firewall Sowohl bei der Anbindung des Clients an die ESX Server 3 Hosts ber einen VirtualCenter Server als auch bei der Verwendung einer direkten Verbindung mit dem ESX Server Host sind bestimmte Hosts f r die Kommunikation zwischen Administrator bzw Benutzer und den Konsolen f r virtuellen Maschinen notwendig Diese Ports unterst tzen verschiedene Clientfunktionen verbinden unterschiedliche Ebenen innerhalb von ESX Server 3 und verwenden verschiedene Authentifizierungsprotokolle Sie lauten wie folgt Port 902 Der VirtualCenter Server verwendet diesen Port um Daten an die von VirtualCenter verwalteten Hosts zu senden Port 902 ist der Port den der VirtualCenter Server f r verf gbar h lt wenn Daten an den ESX Server 3 Host gesendet werden VMware unterst tzt keinen anderen Port f r die Konfiguration dieser Verbindung Port 902 verbindet den VirtualCenter Server mit ESX Server 3 Host ber den VMware Authorization Daemon vmware authd Dieser Daemon bertr gt anschlie end Daten an Port 902 zur Verarbeitung
28. Authentifizierung CHAP Authentication gt Konfigurieren Configure Das Dialogfeld CHAP Authentifizierung CHAP Authentication wird ge ffnet Aktivieren Sie das Kontrollk stchen CHAP Authentifizierung deaktivieren Disable CHAP authentication Klicken Sie auf OK Sch tzen eines iSCSI SAN Bei der Planung der iSCSI Konfiguration sollten Sie Ma nahmen zur Verbesserung der allgemeinen Sicherheit des iSCSI SAN ergreifen Die iSCSI Konfiguration ist nur so sicher wie das IP Netzwerk Wenn Sie also hohe Sicherheitsstandards bei der Netzwerkeinrichtung befolgen sch tzen Sie auch den iSCSI Speicher Hier sind einige spezifische Vorschl ge zur Absicherung Sch tzen Sie bertragene Daten Eines der Hauptrisiken bei iSCSI SANss ist dass der Angreifer bertragene Speicherdaten mitschneiden kann VMware empfiehlt zus tzliche Ma nahmen zu ergreifen um zu verhindern dass Angreifer iSCSI Daten sehen k nnen Weder der Hardware iSCSI Adapter noch der ESX Server Host iSCSI Initiator verschl sseln die Daten die zu und von den Zielen bertragen werden wodurch die Daten anf lliger f r Mitschneideangriffe sind VMware Inc VMware Inc Kapitel 10 Absichern einer ESX Server 3 Konfiguration Wenn die virtuellen Maschinen die gleichen virtuellen Switches und VLANs wie die iSCSI Struktur verwenden ist der iSCSI Datenverkehr potenziell dem Missbrauch durch Angreifer der virtuellen Maschinen ausgesetzt Um sicherzustellen
29. Benutzer Interner Benutzer Interner Firewall Benutzer Server Physische Netzwerkadapter EEE GE Externes Internes Externes Internes Netzwerk 1 Netzwerk 2 Netzwerk 2 Netzwerk 1 Hier wurde ein ESX Server Host vom Systemadministrator in drei eigenst ndige virtuelle Maschinenzonen eingeteilt von denen jede eine bestimmte Funktion erf llt 182 VMware Inc Kapitel 9 Sicherheit f r ESX Server 3 Systeme m FTP Server Virtuelle Maschine 1 wurde mit FIP Software konfiguriert und fungiert als Speicherbereich f r Daten zu und von externen Ressourcen wie z B von einem Sprachdienstleister lokalisierte Formulare und Begleitmaterialien Diese virtuelle Maschine ist nur mit dem externen Netzwerk verbunden Sie verf gt ber einen eigenen virtuellen Switch und physischen Netzwerkadapter die sie mit dem externen Netzwerk 1 verbinden Dieses Netzwerk ist auf Server beschr nkt die vom Unternehmen zum Empfang von Daten aus externen Quellen verwendet werden Das Unternehmen verwendet beispielsweise das externe Netzwerk 1 um FIP Daten von Dienstleistern zu empfangen und den Dienstleistern FTP Zugriff auf Daten zu gew hren die auf extern verf gbaren Servern gespeichert sind Zus tzlich zur Verarbeitung der Daten f r die virtuelle Maschine 1 verarbeitet das externe Netzwerk 1 auch Daten f r FIP Server auf anderen ESX Server Hosts am Standort Da sich die virtuelle Maschine 1 keinen virtuellen Switch oder physischen Netzwerk
30. Bereich eine Konfigurationsoption aus m Gesamtes Ger t verwenden Use the entire device W hlen Sie diese Option um die gesamte Festplatte oder LUN einem einzelnen VMFS Datenspeicher zur Verf gung zu stellen VMware empfiehlt das Aktivieren dieser Option WARNUNG Bei Wahl dieser Option werden zuvor auf diesem Ger t gespeicherte Dateisysteme und Daten dauerhaft gel scht m Freien Speicherplatz verwenden Use free space W hlen Sie diese Option um einen VMFS Datenspeicher im verbleibenden freien Speicherplatz auf der Festplatte bereitzustellen 3 Assistent zum Hinzuf gen von Speicher Aktuelles Festplattenlayout Sie k nnen das gesamte Ger t den gesamten freien Speicherplatz oder einen einzelnen Block freien Speicherplatzes partitionieren und formatieren Eestplatte LUN Pr fen Sie das aktuelle Festplattenlayout Ger testandort Aktuelles Festplatten La Ger t Eigenschaften Ivmfs devices disks 100 00 GB vmhba1 0 1 Formatierung Bereit zum Abschlie en Prim re Partitionen F Freier Speicherpla 129 13 GB VMware Diagnose 94 13 MB Anschlie end w hlen Sie eine der folgenden Konfigurationen aus Wir empfehlen die gesamte Festplatte LUN f r ein einziges YMware Dateisystem zu reservieren Zus tzliche Dateisysteme die f r dieses Ger t bereitgestellt werden werden nur unterst tzt wenn sie ausschlie lich von der Servicekonsole verwendet werden C Gesamtes Ger t 136 68 GB verwenden b Warnung Diese
31. Chancen verringert dass durch den Patch neue Fehler und Stabilit tsprobleme in die Software gelangen Da der Patch auf eine bestehende Version der Software aufgespielt wird bleibt die Versionsnummer der Software gleich nur die Patchnummer wird als Suffix angeh ngt Bestimmte Sicherheitssuchprogramme wie Nessus berpr fen zwar die Versionsnummer nicht jedoch das Patch Suffix wenn sie nach Sicherheitsl cken suchen Daher kann es dazu kommen dass diese Suchprogramme f lschlicherweise melden dass die Software nicht aktuell ist und ungeachtet der Realit t nicht die neuesten Sicherheitspatches enth lt Dieses Problem tritt in der IT Branche h ufig auf und ist nicht auf VMware beschr nkt HINWEIS Einige Sicherheitssuchprogramme sind in der Lage diese Situation ordnungsgem abzuhandeln aber normalerweise liegen sie um eine Version oder mehr zur ck So meldet die Nessus Version die nach einem Red Hat Patch ver ffentlicht wird diese Fehlmeldungen meistens nicht VMware Inc 267 Handbuch zur Serverkonfiguration f r ESX Server 3 268 Es folgt ein Beispiel wie dieses Problem entsteht 1 Sie installieren ESX Server 3 mit OpenSSL Version 0 9 7a wobei 0 9 7a die urspr ngliche Version ohne Patches ist OpenSSL ver ffentlicht einen Patch der eine Sicherheitsl cke in Version 0 9 7 schlie t Diese Version wird 0 9 7x genannt VMware portiert den Patch OpenSSL 0 9 7x auf die urspr ngliche Version zur ck akt
32. ESX Server 3 Hosts m Zwischen zwei virtuellen Maschinen beispielsweise zwischen einer virtuellen Maschine die als externer Webserver dient und einer virtuellen Maschine die an das interne Firmennetzwerk angeschlossen ist mM Zwischen einem physischen Computer und einer virtuellen Maschine wenn Sie eine Firewall zwischen einen physischen Netzwerkadapter und eine virtuelle Maschine schalten Die Nutzung von Firewalls in einer ESX Server 3 Konfiguration h ngt davon ab wie Sie das Netzwerk nutzen m chten und wie sicher die einzelnen Komponenten sein m ssen Wenn Sie zum Beispiel ein virtuelles Netzwerk erstellen in dem jede virtuelle Maschine eine andere Benchmark Iestsuite f r die gleiche Abteilung ausf hrt ist das Risiko ungewollten Zugriffs von einer virtuellen Maschine auf eine andere minimal Deshalb ist es f r diese Konfiguration in der Regel nicht erforderlich Firewalls zwischen den virtuellen Maschinen einzurichten Um jedoch eine St rung der Testl ufe durch einen externen Host zu verhindern kann die Konfiguration so eingerichtet werden dass sich eine Firewall am Eingang zum virtuellen Netzwerk befindet um alle virtuellen Maschinen zu sch tzen Dieser Abschnitt demonstriert die Einrichtung von Firewalls f r Konfigurationen mit und ohne VirtualCenter Hier finden Sie auch Informationen zu den Firewallports die f r ESX Server 3 Systeme notwendig sind m Firewalls in Konfigurationen mit einem VirtualCenter Server
33. FF sind Der Wert f r XX darf nicht gr er als 3F sein um Konflikte mit MAC Adtressen zu vermeiden die von VMware Workstation und VMware GSX Server generiert werden Der H chstwert f r eine manuell generierte MAC Adresse lautet ethernet lt Nummer gt address 00 50 56 3F FF FF Sie m ssen au erdem folgende Option in der Konfigurationsdatei der virtuellen Maschine festlegen ethernet lt Nummer gt addressType static Da virtuelle Maschinen von VMware ESX Server 3 keine beliebigen MAC Adressen unterst tzen muss das oben genannte Format eingehalten werden Wenn Sie f r Ihre nicht ver nderlichen Adressen einen eindeutigen Wert f r XX YY ZZ festlegen d rften keine Konflikte zwischen den automatisch zugewiesenen und den manuell zugewiesenen MAC Adressen auftreten Verwenden von MAC Adressen Sie k nnen den Netzwerkkarten einer deaktivierten virtuellen Maschine ber den VI Client statische MAC Adressen zuweisen So richten Sie eine MAC Adresse ein 1 Melden Sie sich am VI Client an und w hlen Sie die virtuelle Maschine in der Bestandsliste aus 2 Klicken Sie auf der Registerkarte bersicht Summary auf Einstellungen bearbeiten Edit Settings 3 W hlen Sie in der Liste Hardware den Netzwerkadapter aus 4 W hlen Sie unter MAC Adresse MAC Address die Option Manuell Manual aus 5 Geben Sie die gew nschte statische MAC Adtesse ein und klicken Sie auf OK Optimale Vorgehensweisen und Tipps f r Netzwerke I
34. Host erstellt werden bevor er als Datenspeicher hinzugef gt wird Diagnose Kein Diagnosedatenspeicher ist konfiguriert oder abrufbar W hlen Sie diese Option um Platz f r Serverfehlerdaten zu reservieren lt Zur ck Abbrechen 4 W hlen Sie Diagnose Diagnostic aus und klicken Sie auf Weiter Next Wenn Diagnose Diagnostic nicht als Option angezeigt wird ist auf dem ESX Server Host bereits eine Diagnosepartition vorhanden Sie k nnen die Diagnosepartition auf dem Host abfragen und durchsuchen indem Sie den Befehl esxcfg dumppart in die Servicekonsole eingeben Siehe Befehle f r den technischen Support von ESX Server 3 auf Seite 291 5 Legen Sie die Art der Diagnosepartition fest m Privater lokaler Speicher Private Local Erstellt die Diagnosepartition auf einer lokalen Festplatte In dieser Partition werden ausschliefslich Fehlerinformationen f r den ESX Server 3 Host gespeichert m PrivaterSAN Speicher Private SAN Storage Erstellt die Diagnosepartition auf einer nicht freigegebenen SAN LUN In dieser Partition werden ausschlie lich Fehlerinformationen f r den ESX Server 3 Host gespeichert m Freigegebener SAN Speicher Shared SAN Storage Erstellt die Diagnosepartition auf einer freigegebenen SAN LUN In dieser Partition auf die mehrere Hosts zugreifen k nnen ggf Fehlerinformationen f r mehrere Host gespeichert werden Klicken Sie auf Weiter Next VMware Inc 139 Handbuch zur Serv
35. Hosts 235 Tabelle Gruppen f r ESX Server Hosts 230 H Hardware initiierter ISCSI Speicher hinzuf gen 125 bersicht 119 Hinzuf gen Benutzer zu ESX Server Hosts 232 Benutzer zu Gruppen 235 Fibre Channel Speicher 114 Gruppen zu ESX Server Hosts 235 Hardware initiierter ISCSI Speicher 125 lokaler SCSI Speicher 110 NFS Speicher 137 Software initiierter ISCSI Speicher 131 HTTP und HTTPS Firewallport 193 Implementierungen f r Sicherheit 269 IQN Bezeichner 117 ISCSI Authentifizierung 214 CHAP 214 Deaktivieren der Authentifizierung 218 Firewallport f r ESX Server 193 Konfigurieren der CHAP Authentifizierung 217 Netzwerk 76 QLogic iSCSI Adapter 214 Sch tzen bertragener Daten 218 Sicherheit 214 Softwareclient und Firewallports 198 berpr fen der Authentifizierung 216 ISCSI Ports sch tzen 218 ISCSI HBA Alias 121 CHAP Authentifizierung 124 CHAP Parameter 121 dynamische Erkennung 121 statische Erkennung 121 ISCSI Netzwerk Erstellen einer Servicekonsolenverbindun g 80 Erstellen eines VMkernel Ports 76 ISCSI Speicher Erkennungsmethoden 118 EUI Bezeichner 117 hardwareinitiiert 116 Initiatoren 116 IQN Bezeichner 117 Namensformate 117 Sicherheit 118 softwareinitiiert 116 Isolierung virtuelle Maschine 174 virtuelle Netzwerkebene 179 virtuelle Switches 179 VLANs 179 K Kanonische Pfade 149 Kein Zugriff Rolle 228 Kennwortbeschr nkungen f r den ESX Server Host 254 Komp
36. Hosts auf Dateien der virtuellen Maschine die auf dem NFS Volume gespeichert sind Sie k nnen dem delegierten Benutzer mithilfe der experimentellen ESX Server 3 Funktionen eine andere Identit t zuweisen Diese Identit t muss mit der Identit t des Besitzers des Verzeichnisses auf dem NFS Server bereinstimmen Ansonsten kann der ESX Server 3 Host keine Vorg nge auf Dateiebene durchf hren Siehe Delegierte VM Benutzer f r NFS Speicher auf Seite 242 vV VORSICHT Das ndern des delegierten Benutzers f r einen ESX Server 3 Host ist experimentell Dar ber hinaus bietet VMware derzeit nur eingeschr nkten Support f r diese Funktion Konfigurieren von ESX Server 3 f r den Zugriff auf NFS Volumes Damit NFS auf Daten auf Remoteservern zugreifen kann muss es an das Netzwerk angebunden sein Vor der Konfiguration von NFS muss daher zuerst die Netzwerkverbindung f r VMotion und den IP Speicher konfiguriert werden Weitere Informationen zur Netzwerkkonfiguration finden Sie unter Netzwerkkonfiguration des VMkernels auf Seite 30 Erstellen eines NFS basierten Datenspeichers Wenn Sie einen Datenspeicher auf einem NFS Volume erstellen f hrt Sie der Assistent zum Hinzuf gen von Speicher durch die Konfiguration So mounten Sie ein NFS Volume 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server 2 Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end un
37. Informationen eines Unternehmens Wenn in einem Unternehmen die virtuellen Maschinen der Verkaufs Logistik und Buchhaltungsmitarbeiter an das gleiche physische Netzwerk angeschlossen sind k nnen Sie die virtuellen Maschinen f r die Buchhaltungsabteilung sch tzen indem Sie VLANs wie in Abbildung 10 4 einrichten VMware Inc 205 Handbuch zur Serverkonfiguration f r ESX Server 3 206 Abbildung 10 4 Beispielplan eines VLAN vSwitch VLANA Router Broadcast Dom ne A vSwitch vSwitch Switch 1 VLAN B Broadcast Dom ne B vSwitch Switch 2 Mehrere VLANs vSwitch auf dem gleichen virtuellen Switch Broadcast Dom nen A und B Bei dieser Konfiguration verwenden alle Mitarbeiter der Buchhaltungsabteilung virtuelle Maschinen im VLAN A die Mitarbeiter der Vertriebsabteilung verwenden die virtuellen Maschinen im VLANB Der Router leitet die Datenpakete mit Buchhaltungsdaten an die Switches weiter Diese Pakete sind so gekennzeichnet dass sie nur an VLAN A weitergeleitet werden d rfen Daher sind die Daten auf die Broadcastdom ne A beschr nkt und k nnen nur an die Broadcastdom ne B weitergeleitet werden wenn der Router entsprechend konfiguriert wurde Bei dieser VLAN Konfiguration wird verhindert dass Mitarbeiter des Vertriebs Datenpakete abfangen k nnen die f r die Buchhaltungsabteilung bestimmt sind Die Buchhaltungsabteilung kann zudem auch keine Datenpakete empfangen die f r den Vertrieb bes
38. Konfiguration l scht das aktuelle Festplattenlayout Alle Dateisysteme und Daten gehen dauerhaft verloren Freien Speicherplatz nutzen 129 13 GB lt Zur ck _werer gt Abbrechen 7 Klicken Sie auf Weiter Next 8 Geben Sie auf der Seite Festplatte LUN Eigenschaften Disk LUN Properties einen Dateispeichernamen ein und klicken Sie auf Weiter Next 9 ndern Sie bei Bedarf die Werte f r das Dateisystem und die Gr e des Datenspeichers Standardm ig wird der gesamte freie Speicherplatz des Speicherger ts zur Verf gung gestellt 10 Klicken Sie auf Weiter Next 126 VMware Inc Kapitel 6 Speicherkonfiguration 11 berpr fen Sie die Informationen zum Datenspeicher und klicken Sie auf Fertig Finish Dadurch wird ein Datenspeicher auf dem hardware initiierten iSCSI Ger t erstellt 12 Klicken Sie auf Aktualisieren Refresh Konfigurieren von Software iSCSI Initiatoren und Speicher Bei der Verwendung von softwarebasiertem iSCSI k nnen Sie einen normalen Netzwerkadapter verwenden um das ESX Server 3 System an ein iSCSI Remoteziel im IP Netzwerk anzubinden Der in den VMkernel integrierte Software iSCSI Initiator von ESX Server 3 erm glicht diese Verbindung indem er ber den Protokollstapel mit dem Netzwerkadapter kommuniziert Bevor Sie Datenspeicher konfigurieren die ber Software Initatoren auf den iSCSI Speicher zugreifen aktivieren Sie die Netzwerkkonnektivit t und konfigurieren Sie a
39. Konfiguration virtueller Maschinen in Betracht ziehen sollten In diesem Kapitel werden folgende Themen behandelt m Sicherheitsma nahmen f r g ngige ESX Server 3 Implementierungen auf Seite 269 m Empfehlungen f r virtuelle Maschinen auf Seite 276 Sicherheitsma nahmen f r g ngige ESX Server 3 Implementierungen Die Komplexit t von ESX Server 3 Implementierungen kann je nach Gr s Ihres Unternehmens der gemeinsamen Nutzung von Daten und Ressourcen durch externe Parteien und der Verwendung eines oder mehrerer Datencenter usw variieren Zu den folgenden Implementierungen geh ren Richtlinien f r den Benutzerzugriff die gemeinsame Nutzung von Ressourcen sowie Sicherheitsstufen Durch den Vergleich der Implementierungen k nnen Sie die Probleme erkennen die Sie bei der Planung der Sicherheit f r Ihre eigene ESX Server 3 Implementierung beachten m ssen VMware Inc 269 Handbuch zur Serverkonfiguration f r ESX Server 3 270 Implementierung f r einen Kunden Bei dieser Implementierung befinden sich die ESX Server 3 Hosts in einem Unternehmen und einem einzelnen Datencenter und werden auch dort verwaltet ESX Server 3 Ressourcen werden nicht durch externe Benutzer genutzt Die ESX Server 3 Hosts werden von einem globalen Administrator verwaltet und auf den Hosts werden mehrere virtuelle Maschinen ausgef hrt Die Implementierung l sst Kundenadministratoren nicht zu und der Standortadminis
40. Port 80 427 Der CIM Client verwendet das Service Location Protocol Ein und Version 2 SLPv2 zum Ermitteln von CIM Servern ausgehendes UDP VMware Inc 193 Handbuch zur Serverkonfiguration f r ESX Server 3 194 Tabelle 10 1 TCP und UDP Ports Fortsetzung Port 443 Art des Zweck Datenverkehrs HTTIPS Zugriff Eingehendes TCP Der Standard SSL Internetport Verwenden Sie Port 443 f r folgende Aufgaben m Verbindung mit VI Web Access aus dem Internet m Herstellen einer Verbindung zwischen VI Web Access und Netzwerkverwaltungs Clients von Drittanbietern mit dem VirtualCenter Server m Direkter Zugriff von VI Web Access und Netzwerkverwaltungs Clients von Drittanbietern auf ESX Server 3 Hosts VI Client Zugriff auf den VirtualCenter Server Direkter VI Client Zugriff auf die ESX Server 3 Hosts WS Verwaltung VMware Update Manager VMware Converter 902 Authentifizierungsdatenverkehr f r ESX Server 3 W hlen Eingehendes TCP Sie Port 902 f r den ESX Server 3 Hostzugriff auf andere ausgehendes UDP ESX Server 3 Hosts f r Migrations und Bereitstellungszwecke 903 Datenverkehr der Remote Steuerung der durch Zugriffe Eingehendes TCP der Benutzer auf virtuelle Maschinen auf einem bestimmten ESX Server 3 Host entsteht Verwenden Sie Port 903 f r folgende Aufgaben m VI Client Zugriff auf die Konsolen virtueller Maschinen m VI Web Access Client Zugriff auf die Konsolen virtueller Maschinen
41. Raw Ger tezuordnung Vergleich der Raw Ger tezuordnung mit anderen M glichkeiten des SCSI Ger tezugriffs Um die Entscheidung zwischen den verschiedenen verf gbaren Zugriffsmodi f r SCSI Ger te zu erleichtern bietet Tabelle 8 1 einen Vergleich der Funktionen in den verschiedenen Modi Tabelle 8 1 Verf gbare Funktionen bei virtuellen Festplatten und Raw Ger tezuordnungen ESX Server 3 Virtuelle Raw Ger tezuordnung Raw Ger tezuordnung Funktionen Festplattendatei Virtueller Modus Physischer Modus Weitergabe von Nein Nein Ja SCSI Befehlen Der Befehl REPORT LUNs wird nicht weitergegeben Unterst tzung von Ja Ja Ja VirtualCenter Snapshots Ja Ja Nein Verteilte Sperrung Ja Ja Ja Clusterbildung Nur systeminterne Systeminterne und N 1 nur VM PC Cluster Cluster system bergreifende Cluster SCSI Ziel basierte Nein Nein Ja Software VMware empfiehlt f r systeminterne Cluster den Einsatz virtueller Festplattendateien Wenn Sie systeminterne Cluster als system bergreifende Cluster rekonfigurieren m chten verwenden Sie f r systeminterne Cluster Raw Ger tezuordnungen Weitere Informationen finden Sie im Handbuch zur Ressourcenverwaltung Verwalten zugeordneter LUNs Zu den Werkzeugen die f r die Verwaltung zugeordneter LUNs und ihrer Raw Ger tezuordnungen verf gbar sind geh ren der VI Client von VMware das Dienstprogramm vmkfstools und die normalen Dienstprogramme des Dateis
42. Ressource www vmware com security communities vmware com community vmtn general security Richtlinie zur Sicherheitsantwort http www vmware com support policies security_response html VMware hat es sich zur Aufgabe gemacht Sie bei der Absicherung Ihrer virtuellen Umgebung zu unterst tzen Damit Sie sicher sein k nnen dass alle Sicherheitsl cken so schnell wie m glich eliminiert werden haben wir die VMware Richtlinie zur Sicherheitsantwort verfasst um unseren Einsatz f r dieses Ziel zu dokumentieren Unterst tzung von Drittanbieter Software http www vmware com support policies VMware unterst tzt viele Speichersysteme und Software Agenten wie Sicherungs Agenten Systemverwaltungs Agenten usw Ein Verzeichnis der von ESX Server 3 unterst tzten Agenten Werkzeuge und anderer Software finden Sie ber das Durchsuchen der ESX Server 3 Kompatibilit tshandb cher unter http www vmware com vmtn resources Die Branche bietet mehr Produkte und Konfigurationen an als VMware testen kann Wenn VMware ein Produkt oder eine Konfiguration nicht in einem Kompatibilit tshandbuch nennt wird der technische Support versuchen Ihnen bei Problemen zu helfen kann jedoch nicht garantieren dass das Produkt oder die Konfiguration verwendet werden kann Testen Sie die Sicherheitsrisiken f r nicht unterst tzte Produkte oder Konfigurationen immer sorgf ltig 186 VMware Inc Absichern einer ESX Server 3 K
43. Route Bridge Falsch Hetzwerk Switch true Host Falsch IaMP aktiviert true Repeater Falsch HINWEIS Da die CDP Hinweise zu Cisco Ger ten in der Regel einmal pro Minute generiert werden kann es zwischen der Aktivierung von CDP f r ESX Server 3 und der Verf gbarkeit von CDP Daten auf dem VI Client zu einer sp rbaren Verz gerung kommen Richtlinien f r virtuelle Switches Sie k nnen Richtlinien f r den gesamten vSwitch festlegen indem Sie den vSwitch oben auf der Registerkarte Ports ausw hlen und auf Bearbeiten Edit klicken Wenn Sie eine dieser Einstellungen f r eine bestimmte Portgruppe au er Kraft setzen m chten markieren Sie diese Portgruppe und klicken Sie auf Bearbeiten Edit Alle nderungen der Einstellungen f r den gesamten vSwitch werden auf alle Portgruppen auf diesem vSwitch angewendet Ausgenommen hiervon sind die Konfigurationsoptionen die von der Portgruppe au er Kraft gesetzt wurden VMware Inc 51 Handbuch zur Serverkonfiguration f r ESX Server 3 Es gibt folgende Richtlinien f r vSwitches mM Schicht 2 Sicherheitsrichtlinie m Traffic Shaping Richtlinie m Richtlinie f r Lastausgleich und Failover Schicht 2 Sicherheitsrichtlinie Schicht 2 ist die Sicherungsschicht Die drei Elemente der Sicherheitsrichtlinie f r Schicht 2 sind der Promiscuous Modus MAC Adressen nderungen und gef lschte bertragungen Im Nicht Promiscuous Modus berwacht der Gastadapter nur Datenver
44. Server 3 unterst tzt eine maximale MTU Gr f se von 9000 NetQueue und Netzwerkleistung 68 NetQueue stellt in ESX Server 3 einen Netzwerkadapter mit mehreren Empfangswarteschlangen bereit Dadurch kann die Verarbeitung auf mehrere CPUs verteilt werden wodurch die Empfangsleistung des Netzwerks verbessert wird NetQueue steht nur auf den folgenden Systemen mit ausgef hrtem Neterion s2io Treiber zur Verf gung Dell 2950 HP DL 585G2 IBM 3850 IBM 3950 So aktivieren Sie NetQueue auf einem ESX Server 3 Host 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Erweiterte Einstellungen Advanced Settings W hlen Sie VMkernel W hlen Sie VMkernel Boot netNetQueueEnable und klicken Sie auf OK Melden Sie sich direkt an der Konsole Ihres ESX Server 3 Hosts an VMware Inc Kapitel 3 Erweiterte Netzwerkthemen 6 Rufen Sie den Befehl esxcfg module e s2io auf um das s2io Modul zu aktivieren 7 Rufen Sie den Befehl esxcfg module s intr_type 2 rx_ring_num 8 s2io auf um NetQueue f r das s2io Modul zu aktivieren 8 Starten Sie den ESX Server 3 Host neu So deaktivieren Sie NetQueue Optionen f r das s2io Modul Melden Sie sich direkt an der Konsole Ihres ESX Server 3 Hosts an und rufen Sie
45. Sie 0 f r die Partition an was darauf hinweist dass das gesamte Raw Ger t verwendet wird W hlen Sie das folgende Format vmfs devices disks vmhbaA T L 0 Siehe vmkfstools Befehlssyntax auf Seite 300 Auff hren der Attribute einer Raw Ger tezuordnung q queryrdm Mit dieser Option k nnen Sie die Attribute einer Raw Festplattenzuordnung auflisten Diese Option druckt den vmhba Namen der Raw Festplatte RDM Die Option druckt ferner weitere Identifikationsdaten wie die Festplatten ID der Raw Festplatte Anzeigen der Architektur der virtuellen Festplatte 9 geometry Mit dieser Option werden Informationen zur Architektur einer virtuellen Festplatte angezeigt Die Ausgabe erfolgt in dieser Form Architekturinformationen C H S wobei C die Anzahl der Zylinder H die Anzahl der K pfe und S die Anzahl der Sektoren angibt HINWEIS Beim Import virtueller Festplatten von VMware Workstation auf einen ESX Server 3 Host kann es zu Fehlermeldungen bez glich Diskrepanzen in der Festplattenarchitektur kommen Eine Diskrepanz in der Festplattenarchitektur kann auch die Ursache von Problemen beim Laden eines Gastbetriebssystems oder bei der Ausf hrung einer neu erstellten virtuellen Maschine sein VMware Inc 311 Handbuch zur Serverkonfiguration f r ESX Server 3 312 Verwalten der SCSI Reservierungen von LUNs Die Option L erm glicht die Ausf hrung von Verwaltungsaufgaben f r physische Speicherger te Sie k
46. Sie auf Optionen Options gt Erweitert Advanced gt Konfigurationsparameter Configuration Parameters Das Dialogfeld Konfigurationsparameter Configuration Parameters wird ge ffnet 4 Klicken Sie auf die Schaltfl che Hinzuf gen Add 5 Geben Sie in der Spalte Wert Value f r Name folgende Werte ein Tabelle 13 10 Konfigurationsparametereinstellungen Feld Name Feld Wert isolation tools copy disable true isolation tools paste disable true isolation tools setGUIOptions enable false VMware Inc 277 Handbuch zur Serverkonfiguration f r ESX Server 3 278 5 Konfigurationsparameter Das Ergebnis sieht folgenderma en aus ndern Sie Konfigurationsparameter oder f gen Sie sie f r experimentelle Funktionen bzw gem den Anweisungen des technischen Supports hinzu Eintr ge k nnen nicht entfernt werden Name deploymentPlatform nyram sched swap derivedlN ame scsi0 0 redo yirtualHW productCompatibility vmware tools internalversion vmwa re tools requiredversion vmware tools installstate vmwa re tools lastInstallStatus resuk tools remindInstall isolation tools copy disable isolation tools paste disable isolation tools setGUIOptions enable wert windows Neue virtuelle Maschine nvram Ivmfs volumes 47de071d d81372e2 38f6 0019b9f05e23 Neue virtuelle Mascl hosted 0 7300 none unknown TRUE true true false Zeile hinzuf gen OK Abbrechen Hilfe HINWEIS D
47. Sie auf Weiter Next Die Seite Aktuelles Festplattenlayout Current Disk Layout wird angezeigt Wenn die zu formatierende Festplatte leer ist zeigt die Seite Aktuelles Festplattenlayout Current Disk Layout automatisch den gesamten Speicherplatz der Festplatte der f r die Konfiguration zur Verf gung steht Wenn die Festplatte nicht leer ist berpr fen Sie im oberen Bereich auf der Seite Aktuelles Festplattenlayout Current Disk Layout das aktuelles Festplattenlayout und w hlen Sie im unteren Bereich eine Konfigurationsoption aus m Gesamtes Ger t verwenden Use the entire device W hlen Sie diese Option um die gesamte Festplatte oder LUN einem einzelnen VMFS Datenspeicher zur Verf gung zu stellen VMware empfiehlt das Aktivieren dieser Option WARNUNG Bei Wahl dieser Option werden zuvor auf diesem Ger t gespeicherte Dateisysteme und Daten dauerhaft gel scht VMware Inc 111 Handbuch zur Serverkonfiguration f r ESX Server 3 112 10 11 m Freien Speicherplatz verwenden Use free space W hlen Sie diese Option um einen VMFS Datenspeicher im verbleibenden freien Speicherplatz auf der Festplatte bereitzustellen Assistent zum Hinzuf gen von Speicher Aktuelles Festplattenlayout Sie k nnen das gesamte Ger t den gesamten freien Speicherplatz oder einen einzelnen Block freien Speicherplatzes partitionieren und formatieren Eestplatte LUN Pr fen Sie das aktuelle Festplattenlayout Ger testan
48. X Fusipn MPT Dual Ultra320 SCSI k t Mm gt VMware Inc 119 Handbuch zur Serverkonfiguration f r ESX Server 3 3 W hlen Sie den zu konfigurierenden Initiator aus Es werden die Details zu diesem Initiator angezeigt u a Modell IP Adresse iSCSI Name Zielerkennung iSCSI Alias und erkannte Ziele 4 Klicken Sie auf Eigenschaften Properties Das Dialogfeld iSCSI Initiator Eigenschaften iSCSI Initiator Properties wird angezeigt Auf der Registerkarte Allgemein General werden zus tzliche Merkmale des Initiators angezeigt e Eigenschaften des i C l Initiators vmhba3 Allgemein Dynamische Erkennung Statische Erkennung CHAP Authentifizierung iSCS1 Eigenschaften isCSI NMame ign 2000 04 corm glogic gla 4010 Ffs20521b01314 SCSI Allas iSCSI_hardware vouigaD0s Zielerkennungsmethoden Ziele senden Skatisches Ziel Eigenschaften von Hard vare Initiator Eigenschaften der Netzwerkschnittstelle Aktuelleimaximale Geschwindigkeit ombi 0z4mb Macl Adresse 00 c0 4d 01 15 32 IP Einstellungen IP Adresse 10 17 74 254 Subnetzmaske 255 255 255 0 Standard satewar 10 17 74 253 DNS Serrer bevorzugter Server Nicht unterst tzt Alternativer Server Nicht unterst tzt konfigurieren Schlielien Hilfe Sie k nnen den Hardware Initiator jetzt konfigurieren oder seine Standardmerkmale ndern Konfiguration eines Hardware iSCSI Initiators W hrend der Konfiguration des Hardware iSCSI Initiators m
49. Zuweisung der Berechtigungen Beachten Sie bei der Entwicklung von Benutzer und Berechtigungsmodellen Folgendes m ESX Server 3 und VirtualCenter verwenden Privilegiengruppen sog Rollen um zu steuern welche Vorg nge bestimmte Benutzer oder Gruppen ausf hren d rfen ESX Server 3 und VirtualCenter bieten verschiedene vordefinierte Rollen Sie k nnen jedoch auch eigene neue Rollen erstellen m Siek nnen Benutzer leichter verwalten wenn Sie sie Gruppen zuordnen Wenn Sie Gruppen erstellen k nnen Sie eine Rolle auf die Gruppe anwenden und diese Rolle wird von allen Benutzern in der Gruppe bernommen VMware Inc 223 Handbuch zur Serverkonfiguration f r ESX Server 3 224 Grundlegendes zu Benutzern Ein Benutzer ist eine Person die sich am ESX Server 3 Host oder an VirtualCenter anmelden darf ESX Server 3 Benutzer werden in zwei Kategorien unterteilt Benutzer die ber VirtualCenter auf den ESX Server 3 Host zugreifen und Benutzer die direkt auf den ESX Server 3 Host zugreifen indem Sie sich ber den VI Client VIWeb Access Clients von Drittanbietern oder eine Befehlsshell anmelden Die Benutzer in diesen beiden Kategorien haben folgenden Hintergrund m VirtualCenter Benutzer Autorisierte Benutzer f r VirtualCenter sind die Benutzer die in der Windows Dom nenliste von VirtualCenter aufgef hrt sind oder lokale Windows Benutzer auf dem VirtualCenter Host In VirtualCenter k nnen Sie Benutzer nicht erstellen ent
50. auf Seite 189 m Firewalls f r Konfigurationen ohne VirtualCenter Server auf Seite 191 m ICP und UDP Ports f r den Verwaltungszugriff auf Seite 193 m Herstellen einer Verbindung mit einem VirtualCenter Server ber eine Firewall auf Seite 195 m Herstellen einer Verbindung mit der VM Konsole ber eine Firewall auf Seite 196 m Verbinden von ESX Server 3 Hosts ber Firewalls auf Seite 198 m ffnen von Firewallports f r unterst tzte Dienste und Verwaltungs Agenten auf Seite 198 VMware Inc Kapitel 10 Absichern einer ESX Server 3 Konfiguration Informationen zur Firewall der Servicekonsole finden Sie unter Konfiguration der Servicekonsolen Firewall auf Seite 249 Informationen zu Konfiguration und Porteinstellungen w hrend der Installation finden Sie im Einrichtungshandbuch Firewalls in Konfigurationen mit einem VirtualCenter Server Wenn Sie einen VirtualCenter Server verwenden k nnen Sie Firewalls an allen in Abbildung 10 1 gezeigten Punkten installieren HINWEIS Abh ngig von der Konfiguration sind ggf nicht alle in der Abbildung dargestellten Firewalls notwendig oder es sind zus tzliche nicht dargestellte Firewalls n tig Abbildung 10 1 Beispiel f r eine Virtual Infrastructure Netzwerkkonfiguration und den Datenfluss N Port 902 Lizenzserver Ports 443 902 und 903 Port 27010 Port 27000 ESX Server 3i Drittanbietertool f r VI Cli
51. authd Erforderlich vmware VvVmx F hrt Aufgaben zur Ausf hrung virtueller Maschinen aus Diese Anwendung befindet sich an zwei Speicherorten an einem Speicherort zur normalen Verwendung und an einem zur Fehlersuche Pfad f r normale Verwendung usr lib vmware bin vmware vmx Pfad zur Fehlersuche usr lib vmware bin debug vmware vmk In beiden Verzeichnissen erforderlich Wenn Sie eine der erforderlichen Anwendungen deaktivieren f hrt dies zu Problemen bei der ESX Server 3 Authentifizierung und beim Betrieb der virtuellen Maschinen Sie k nnen jedoch alle optionalen Anwendungen deaktivieren 264 VMware Inc Kapitel 12 Sicherheit der Servicekonsole So deaktivieren Sie eine optionale setuid Anwendung 1 Melden Sie sich an der Servicekonsole an und rufen Sie Root Berechtigungen ab 2 F hren Sie den folgenden Befehl aus chmod a s lt Pfad zur ausf hrbaren Datei gt setgid Standardanwendungen Es werden standardm ig zwei Anwendungen installiert die das setgid Kennzeichen enthalten Tabelle 12 4 listet die setgid Standardanwendungen auf und zeigt an ob eine Anwendung erforderlich oder optional ist Tabelle 12 4 setgid Standardanwendungen Erforderlich Anwendung Zweck und Pfad oder optional wall Warnt alle Anschl sse dass ein bestimmter Vorgang Optional bevorsteht Diese Anwendung wird durch shutdown und andere Befehle aufgerufen Pfad usr bin wall lockfile F hrt Sperroperationen f r
52. bei denen die Protokollierung deaktiviert wurde So deaktivieren Sie die Protokollierung f r das Gastbetriebssystem 1 Melden Sie sich am VI Client an und w hlen Sie die virtuelle Maschine in der Bestandsliste aus Die Konfiguration f r diese virtuelle Maschine wird auf der Registerkarte bersicht Summary angezeigt 2 Klicken Sie auf Einstellungen bearbeiten Edit Settings 3 Klicken Sie auf Optionen Options gt Erweitert Advanced gt Allgemein General 4 Deaktivieren Sie das Kontrollk stchen Protokollierung aktivieren Enable logging VMware Inc Kapitel 13 Empfehlungen f r den Schutz von Implementierungen Das Ergebnis sieht folgenderma en aus Y vm1 Eigenschaften der virtuellen Maschine Hardware Optionen Ressourcen version der virtuellen Maschine 4 Einstellungen bersicht Einstellungen Allgemeine Optionen vmi vMware Tools Systemstandard Energieverwaltung Standby Protokollierung aktivieren Erweitert Allgemein Normal Debuggen und Statistiken CPU ID Maske Nx Flag f r Gast ei Startoptionen 0 ms Verz gerung Paravirtualisierung Deaktiviert Informationen zum Debuggen erfassen Fibre Channel NPIY Keine Yirtualisierte MMU Automatisch Speicherort der Auslagerungsd Standardeinstellun Beschleunigung deaktivieren Normal ausf hren m Konfigurationsparameter Sie k nnen die erweiterten Konfigurationseinstellungen bearbeiten indem Sie auf die Schaltfl che K
53. den Dell F r Dell OM OM Management Agenten aus erforderlich Pfad usr bin lockfile ansonsten optional Wenn Sie eine der erforderlichen Anwendungen deaktivieren f hrt dies zu Problemen bei der ESX Server 3 Authentifizierung und beim Betrieb der virtuellen Maschinen Sie k nnen jedoch alle optionalen Anwendungen deaktivieren So deaktivieren Sie eine optionale setgid Anwendung 1 Melden Sie sich an der Servicekonsole an und rufen Sie Root Berechtigungen ab 2 F hren Sie den folgenden Befehl aus chmod a s lt Pfad zur ausf hrbaren Datei gt SSH Sicherheit SSH ist eine h ufig verwendete UNIX und Linux Befehlsshell mit der Sie sich aus der Ferne auf der Servicekonsole anmelden und bestimmte Management und Konfigurationsaufgaben f r ESX Server durchf hren k nnen SSH wird f r sichere Anmeldevorg nge und Daten bertragungen verwendet weil es einen h heren Schutz als andere Befehlsshells bietet In dieser ESX Server 3 Version wurde die VMware Inc 265 Handbuch zur Serverkonfiguration f r ESX Server 3 266 SSH Konfiguration verbessert um eine noch h here Sicherheit zu gew hrleisten Zu diesen Verbesserungen geh ren unter anderem Deaktivierung des SSH Protokolls Version 1 VMware unterst tzt das SSH Protokoll in Version 1 nicht mehr sondern verwendet nun ausschlie lich das Protokoll in Version 2 Version 2 behebt bestimmte Sicherheitsprobleme von Version 1 und bietet eine sicherere Kommunikationsschnittst
54. der Netzwerkadapterkonfiguration 86 Fehlerbehebung bei der Konfiguration physischer Switches 86 Fehlerbehebung bei der Portgruppenkonfiguration 87 Speicher 5 Einf hrung in die Speicherung 91 Speicher bersicht 92 Physische Speichertypen 93 Lokaler Speicher 93 Netzwerkspeicher 94 Unterst tzte Speicheradapter 95 Datenspeicher 95 VMFS Datenspeicher 96 NFS Datenspeicher 100 Speicherzugriff durch virtuelle Maschinen 100 Vergleich der Speichertypen 102 Anzeigen der Speicherinformationen im VMware Infrastructure Client 102 Anzeigen von Datenspeichern 103 Anzeigen von Speicheradaptern 104 Grundlegendes zur Benennung von Speicherger ten in der Anzeige 105 Konfigurieren und Verwalten von Speichern 106 4 VMware Inc Inhalt 6 Speicherkonfiguration 109 Lokaler Speicher 110 Hinzuf gen von lokalem Speicher 110 Fibre Channel Speicher 113 Hinzuf gen von Fibre Channel Speicher 114 iSCSI Speicher 116 iSCSI Initiatoren 116 Benennungskonventionen 117 Erkennungsmethoden 118 iSCSI Sicherheit 118 Konfigurieren von Hardware iSCSI Initiatoren und Speicher 119 Konfigurieren von Software iSCSI Initiatoren und Speicher 127 Starten einer erneuten Pr fung 134 Network Attached Storage NAS 135 Verwendung von NES durch virtuelle Maschinen 135 NFS Volumes und delegierte Benutzer f r virtuelle Maschine 136 Konfigurieren von ESX Server 3 f r den Zugriff auf NFS Volumes 137 Erstellen eines NFS basierten Datenspeichers 137 Erstellen einer Diag
55. der zu speichernden Daten unterst tzen Internet SCSI iSCSI Speichert Dateien virtueller Maschinen auf externen iSCSI Speicherger ten iSCSI packt SCSI Speicherdatenverkehr in das TCP IP Protokoll sodass dieser ber standardm ige TCP IP Netzwerke anstatt ber ein spezielles Fibre Channel Netzwerk bertragen werden kann Bei einer iSCSI Verbindung dient der ESX Server 3 Host als Initiator der mit einem Ziel kommuniziert das sich in externen iSCSI Speichersystemen befindet VMware Inc Kapitel 5 Einf hrung in die Speicherung ESX Server 3 unterst tzt folgende Arten von iSCSI Verbindungen m Hardware initiiertes iSCSI Der ESX Server 3 Host verbindet sich ber einen iSCSI HBA eines anderen Anbieters mit einem Speicher m Software initiiertes iSCSI Der ESX Server 3 Host verwendet einen auf Software basierenden iSCSI Initiator im VMkernel f r die Verbindung zum Speicher Bei diesem iSCSI Verbindungstyp ben tigt der Host nur einen Standardnetzwerkadapter zum Herstellen der Netzwerkverbindung m NAS Network Attached Storage ber das Netzwerk angebundener Speicher Speichert Dateien virtueller Maschinen auf externen Dateiservern auf die ber ein standardm iges TCP IP Netzwerk zugegriffen wird Der in ESX Server 3 integrierte NFS Client verwendet das NFS Protokoll Version 3 Network File System um mit den NAS NFS Servern zu kommunizieren F r die Netzwerkverbindung ben tigt der ESX Server 3 Host einen Standardn
56. die Ergebnisse bereinstimmen authentifiziert das Ziel den Initiator ESX Server 3 unterst tzt die unidirektionale CHAP Authentifizierung f r iSCSI Bidirektionales CHAP wird nicht unterst tzt Bei der unidirektionalen CHAP Authentifizierung authentifiziert das Ziel den Initiator nicht jedoch der Initiator das Ziel Der Initiator verf gt nur ber einen Satz von Anmeldedaten der von allen iSCSI Zielen verwendet wird ESX Server 3 unterst tzt die CHAP Authentifizierung nur auf HBA Ebene Die zielbasierte CHAP Authentifizierung bei der verschiedene Anmeldedaten f r die Ziele erstellt werden k nnen um eine bessere Zielunterscheidung vornehmen zu k nnen wird nicht unterst tzt m Deaktiviert Sie k nnen das iSCSI SAN so konfigurieren dass keine Authentifizierung verwendet wird Der Datenverkehr zwischen Initiator und Ziel wird dennoch rudiment r berpr ft da iSCSI Zielger te normalerweise so eingerichtet sind dass sie nur mit bestimmten Initiatoren kommunizieren Die Deaktivierung einer strengeren Authentifizierung kann zum Beispiel sinnvoll sein wenn sich der iSCSI Speicher an einem Standort befindet und ein dediziertes Netzwerk oder VLAN f r alle iSCSI Ger te erstellt wird Die iSCSI Konfiguration ist sicher weil sie von ungewolltem Zugriff isoliert ist wie dies auch in einem Fibre Channel SAN der Fall w re Deaktivieren Sie die Authentifizierung grunds tzlich nur dann wenn Sie einen Angriff auf das iSCSI SAN riski
57. dsk HINWEIS Erweitern Sie nicht die Basisfestplatte einer virtuellen Maschine der Snapshots zugeordnet sind Falls doch k nnen Sie den Snapshot nicht l nger bergeben oder die Basisfestplatte auf ihre urspr ngliche Gr e zur cksetzen VMware Inc 309 Handbuch zur Serverkonfiguration f r ESX Server 3 Migrieren einer VMFS 2 virtuellen Festplatte auf VMFS 3 M migratevirtualdisk Diese Option konvertiert die angegebene virtuelle Festplattendatei vom Format ESX Server 2 ins Format ESX Server 3 Anlegen einer Raw Ger tezuordnung im virtuellen Kompatibilit tsmodus r createrdm lt Ger t gt Mit dieser Option wird eine Raw Ger tezuordnungsdatei auf einem VMFS 3 Volume angelegt und eine Raw Festplatte dieser Datei zugeordnet Nach Herstellung dieser Zuordnung k nnen Sie auf die Raw Festplatten wie auf normale virtuelle VMFS Festplatten zugreifen Die Dateigr e der Zuordnung entspricht der Gr e der Raw Festplatte oder Partition auf die sie verweist Bei der Angabe des Parameters lt Ger t gt geben Sie 0 f r die Partition an was bedeutet dass die gesamte Raw Festplatte verwendet wird W hlen Sie das folgende Format vmfs devices disks vmhbaA T L 0 Weitere Informationen finden Sie unter vmkfstools Befehlssyntax auf Seite 300 Weitere Informationen zum Konfigurieren von Raw Ger tezuordnungen finden Sie unter Raw Ger tezuordnung auf Seite 155 HINWEIS Alle Sperrmechanismen f r VMFS 3 Dateien
58. e R vmnici lt Zur ck _werer gt Abbrechen Neuere Ports und Portgruppen werden im vSwitch Diagramm oben angezeigt VMware Inc Kapitel 4 Netzwerkszenarien und Probleml sung 7 Geben Sie die IP Adresse IP Address und die Subnetzmaske Subnet Mask ein oder aktivieren Sie die DHCP Option IP Einstellung automatisch beziehen Obtain IP setting automatically f r die IP Adresse und die Subnetzmaske Diese IP Adresse muss sich von der f r den VMkernel gew hlten unterscheiden 8 Klicken Sie auf Bearbeiten Edit um Standard Gateway der Servicekonsole Service Console Default Gateway festzulegen Siehe So legen Sie das Standard Gateway fest auf Seite 37 9 Klicken Sie auf Weiter Next 10 berpr fen Sie die ordnungsgem e Konfiguration des vSwitches noch einmal und klicken Sie dann auf Fertig Finish Nachdem Sie einen VMkernel Port und die Servicekonsolenverbindung erstellt haben k nnen Sie den Software iSCSI Speicher aktivieren und konfigurieren Weitere Informationen zur Konfiguration von iSCSI Adaptern und Speichern finden Sie unter iSCSI Speicher auf Seite 116 Konfigurieren des Netzwerks auf Blade Servern Da Blade Server mitunter nur ber eine begrenzte Anzahl an Netzwerkadaptern verf gen ist es ggf erforderlich VLANs f r einen separaten Datenverkehr f r die Servicekonsole VMotion den IP Speicher und verschiedene Gruppen virtueller Maschinen zu verwenden VMware empfiehlt ausdr c
59. en f r die Servicekonsole 252 FTP 198 f r Verwaltungszugriff 193 Herstellen einer Verbindung mit der VM Konsole 196 Host zu Host 198 ISCSI Software Client 198 Konfiguration mit VirtualCenter Server 189 Konfiguration ohne VirtualCenter Server 191 Lizenzserver und VirtualCenter Server 189 NFS 198 NIS 198 ffnen mit dem VI Client 198 SDK und die Konsole f r virtuellen Maschinen 196 Servicekonsole 249 VMware Inc Index Sicherheitsstufe 249 Sicherungs Agenten 249 SMB 198 SNMP 198 SSH 198 bersicht 187 und Verschl sselung 236 unterst tzte Dienste 198 Verwaltung 198 VI Web Access und die Konsole f r virtuelle Maschinen 196 VI Web Access und VirtualCenter Server 189 VI Web Access Direktverbindung 191 VI Client und die Konsole f r virtuelle Maschinen 196 VI Client und VirtualCenter Server 189 VI Client Direktverbindung 191 Freigeben von Ports in der Servicekonsolen Firewall 252 FTP und Firewallports 198 G Gastbetriebssysteme Begrenzen der variablen Informationsgr e 281 Deaktivieren der Protokollierung 282 286 Deaktivieren von Kopier und Einf gevorg ngen 277 Sicherheitsempfehlungen 276 Gruppen ndern auf ESX Server Hosts 235 Anzeigen der Gruppenliste 231 Authentifizierung 225 entfernen von ESX Server Hosts 236 Exportieren einer Gruppenliste 231 315 Handbuch zur Serverkonfiguration f r ESX Server 3 316 hinzuf gen zu In ESX Server
60. iSCSI Speicher ber Hardware Initiatoren kommuniziert wird ein spezieller Adapter eines anderen Anbieters verwendet mit dem Sie ber TCP IP auf den iSCSI Speicher zuzugreifen k nnen Dieser iSCSI Adapter steuert die gesamte iSCSI Verarbeitung und Verwaltung f r das ESX Server 3 System Installieren und konfigurieren Sie den Hardware iSCSI Adapter vor der Einrichtung des Datenspeichers auf einem iSCSI Speicherger t Installieren und Anzeigen eines Hardware iSCSI Initiators Informationen zu den unterst tzen Adaptern finden Sie im Handbuch zur E A Kompatibilit t auf der VMware Webseite unter www vmware com Bevor Sie mit der Konfiguration des Hardware iSCSI Initiators beginnen berpr fen Sie dass der iSCSI HBA ordnungsgem installiert wurde und in der Liste der konfigurierbaren Adapter angezeigt wird Wenn der Initiator installiert wurde k nnen Sie seine Eigenschaften anzeigen So zeigen Sie die Eigenschaften des Hardware iSCSI Initiators an 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server 2 Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end unter Hardware auf Speicheradapter Storage Adapters Der Hardware iSCSI Initiator wird in der Liste der Speicheradapter angezeigt Speicheradapter Erneut pr fen Ger t TYP SAN Bezeichner QLogic QLE406 3 vmhba iSCSI vmhba4 iSCSI QLogic QLA405 E vmhbal Ss ign 2000 04 cam 53c1030 PCI
61. im SAN Konfigurationshandbuch f r Fiber Channel VMware Inc 115 Handbuch zur Serverkonfiguration f r ESX Server 3 ISCSI Speicher ESX Server 3 unterst tzt iSCSI Technologie die es dem ESX Server 3 System erm glicht beim Zugriff auf Remotespeicher ein IP Netzwerk zu verwenden Bei iSCSI werden die SCSI Speicherbefehle die die virtuelle Maschine ihren virtuellen Festplatten erteilt in TCP IP Protokollpakete umgewandelt und an ein Remoteger t bzw Ziel bertragen auf dem die virtuelle Festplatte gespeichert ist Aus Sicht der virtuellen Maschine wird das Ger t als lokal angeschlossenes SCSI Laufwerk angezeigt ISCSI Initiatoren F r den Zugriff auf Remoteziele verwendet der ESX Server 3 Host iSCSI Initiatoren Initiatoren bermitteln SCSI Anforderungen und Antworten zwischen dem ESX Server 3 System und dem Zielspeicherger t ber das IP Netzwerk ESX Server 3 unterst tzt hardwarebasierte und softwarebasierte iSCSI Initiatoren m Hardware iSCSI Initiator Ein Drittanbieter HBA Host Bus Adapter mit der Funktion iSCSI ber TCP IP Dieser spezielle iSCSI Adapter ist f r die gesamte Verarbeitung und Verwaltung von iSCSI verantwortlich m Software iSCSI Initiator Ein in den VMkernel integrierter Code der es erm glicht das ESX Server 3 System mit dem iSCSI Speicherger t ber Standardnetzwerkadapter anzubinden Der Software Initiator bernimmt iSCSI Verarbeitung und kommuniziert gleichzeitig ber den Netzwerk
62. kann In diesem Fall muss der Host ber die Befehlszeile der Servicekonsole neu konfiguriert werden Vergewissern Sie sich dass Ihre Netzwerkeinstellungen ordnungsgem sind bevor Sie nderungen speichern Klicken Sie auf OK VMware Inc Kapitel 2 Netzwerke So zeigen Sie Servicekonsoleninformationen an 1 Klicken Sie zur Anzeige von Servicekonsoleninformationen auf das Infosymbol Infosymbol EEE N TE EEE EEE Konfiguration WERE TE SCHE SUB ES Tree Hardware Netzwerk Prozessoren Arbeitsspeicher virtueller amp fftch vSwitchd Entfernen Eigenschaften Speicher Portgruppe der virtuellen Maschine Physische Adapter Netzwerk VM Nekwnrk 2 Fl al vmnico 100 vol p Sehnde EEE Netzwerkadapter Eigenschaften Er Netzwerkbezeichnung YM Network oftware YLAN ID Keine Lizenzierte Funktionen Sicherheit Uhrzeitkonfiguration Promiscuous Modus Ablehnen DNS und Routing MAC Adressen nderungen Akzeptieren YM starten herunterfahren Gef lschte bertragungen Akzeptieren Speicherort der YM Auslagerungsdatei Traffic Shaping a Durchschnittsbandbreite N A Sicherheitsprofil Spitzenbandbreite Zuteilung von Systemressourcen Burstgr e NjA Erweiterte Einstell ee Failover und Lastausgleich pe Lastausgleich Port ID Netzwerkausfallerkennung Nur Verbindungsstatus Switches benachrichtigen Ja al Failback Ja Aktive Adapter vmnic Standby Adapter Keines a Nicht benutzte Adapter Keines 1 Eigenschaften
63. oder mehrere Befehlszeilenoptionen und die zugeh rigen Argumente mit denen Sie die Aktivit t angeben k nnen die vmkfstools ausf hren soll Hierzu geh rt beispielsweise die Auswahl des Festplattenformats beim Erstellen einer neuen virtuellen Festplatte Nach der Eingabe dieser Option geben Sie eine Datei oder ein VMFS Dateisystem an auf dem Sie den Vorgang ausf hren m chten indem Sie einen relativen oder absoluten Dateipfadnamen in der Hierarchie vmfs eingeben lt Partition gt bezeichnet die Festplattenpartitionen Dieses Argument verwendet ein vmhbaA T L P Format bei dem es sich bei A T L und P um Ganzzahlen handelt die den Adapter das Ziel die LUN und die Partitionsnummer bezeichnen Diese Zahl der Partition muss gr er als Null sein und der g ltigen VMFS Partition des Typs fb entsprechen vmhba0 2 3 1 beispielsweise bezieht sich auf die erste Partition auf LUN 3 Ziel 2 HBA 0 lt device gt bezeichnet Ger te oder logische Volumes Dieses Argument verwendet einen Pfadnamen im ESX Server 3 Ger tedateisystem Der Pfadname beginnt mit vmfs devices wobei es sich um den Mount Punkt des Ger tedateisystems handelt Verwenden Sie zur Angabe der verschiedenen Ger tetypen die folgenden Formate m vmfs devices disks f r lokale oder SAN basierte Festplatten m vmfs devices lLvm f r logische ESX Server 3 Volumes m vmfs devices generic f r generische SCSI Ger te z B Bandlaufwerke lt path gt bezeichnet ein V
64. ping Sendet und wartet auf Kontrolldatenpakete an der Optional Netzwerkschnittstelle N tzlich zur Problemsuche in Netzwerken Pfad bin ping pwdb_chkpwd Unterst tzt Kennwortauthentifizierung Erforderlich Pfad sbin pwdb_chkpwd VMware Inc 263 Handbuch zur Serverkonfiguration f r ESX Server 3 Tabelle 12 3 setuid Standardanwendungen Fortsetzung Anwendung ssh keysign Zweck und Pfad Zur hostbasierten Authentifizierung f r SSH Pfad usr libexec openssh ssh keysign Erforderlich oder optional Erforderlich wenn Sie eine hostbasierte Authentifizierung verwenden Ansonsten optional su Macht durch Benutzerwechsel aus einem allgemeinen Benutzer einen Root Benutzer Pfad bin su Erforderlich sudo Macht aus einem allgemeinen Benutzer f r bestimmte Vorg nge einen Root Benutzer Pfad usr bin sudo Optional unix_chkpwd Unterst tzt Kennwortauthentifizierung Pfad sbin unix_chkpwd Erforderlich vmkload_app F hrt Aufgaben zur Ausf hrung virtueller Maschinen aus Diese Anwendung befindet sich an zwei Speicherorten an einem Speicherort zur normalen Verwendung und an einem zur Fehlersuche Pfad f r normale Verwendung usr lib vmware bin vmkload_app Pfad zur Fehlersuche usr lib vmware bin debug vmkload_app In beiden Verzeichnissen erforderlich vmware authd Authentifiziert Benutzer zur Verwendung bestimmter VMware Dienste Pfad usr sbin vmware
65. stellen VMware empfiehlt das Aktivieren dieser Option WARNUNG Bei Wahl dieser Option werden zuvor auf diesem Ger t gespeicherte Dateisysteme und Daten dauerhaft gel scht 132 VMware Inc Kapitel 6 Speicherkonfiguration m Freien Speicherplatz verwenden Use free space W hlen Sie diese Option um einen VMFS Datenspeicher im verbleibenden freien Speicherplatz auf der Festplatte bereitzustellen 3 Assistent zum Hinzuf gen von Speicher Aktuelles Festplattenlayout Sie k nnen das gesamte Ger t den gesamten freien Speicherplatz oder einen einzelnen Block freien Speicherplatzes partitionieren und formatieren Eestplatte LUN Pr fen Sie das aktuelle Festplattenlayout Ger testandort Aktuelles Festplatten La Ger t Eigenschaften Ivmfs devices disks 100 00 GB vmhba1 0 1 Formatierung Bereit zum Abschlie en Prim re Partitionen p Freier Speicherpla 129 13 GB VMware Diagnose 94 13 MB Anschlie end w hlen Sie eine der folgenden Konfigurationen aus Wir empfehlen die gesamte Festplatte LUN f r ein einziges YMware Dateisystem zu reservieren Zus tzliche Dateisysteme die f r dieses Ger t bereitgestellt werden werden nur unterst tzt wenn sie ausschlie lich von der Servicekonsole verwendet werden C Gesamtes Ger t 136 68 GB verwenden b Warnung Diese Konfiguration l scht das aktuelle Festplattenlayout Alle Dateisysteme und Daten gehen dauerhaft verloren Freien Speicherplatz nutzen 129 13 G
66. t SAN Verwaltungs Agenten Die Raw Ger tezuordnung erm glicht die Ausf hrung bestimmter SAN Verwaltungs Agenten innerhalb einer virtuellen Maschine Au erdem kann jede Software die Zugriff auf ein Ger t ber hardwarespezifische SCSI Befehle ben tigt in einer virtuellen Maschine ausgef hrt werden Diese Art der Software wird auch SCSI Ziel basierte Software genannt HINWEIS Wenn Sie SAN Verwaltungs Agenten verwenden m ssen Sie den physischen Kompatibilit tsmodus f r die Raw Ger tezuordnung ausw hlen N Port ID Virtualisierung NPIV Erm glicht den Einsatz der NPIV Technologie die es einem einzelnen Fibre Channel HBA Port erm glicht sich mit dem Fibre Channel Fabric ber mehrere WWPNs Worldwide Port Names zu verbinden Dadurch kann der HBA Port in Form mehrerer virtueller Ports angezeigt werden die alle ber eine eigene ID und einen eigenen virtuellen Portnamen verf gen Virtuelle Maschinen k nnen anschlie end jeden dieser virtuellen Ports beanspruchen und f r den gesamten zur Raw Ger tezuordnung geh renden Datenverkehr nutzen HINWEIS NPIV wird nur f r virtuelle Maschinen mit Raw Ger tezuordnungsfestplatten unterst tzt Siehe SAN Konfigurationshandbuch f r Fiber Channel 159 Handbuch zur Serverkonfiguration f r ESX Server 3 VMware kooperiert mit Anbietern von Speicherverwaltungssoftware damit deren Software in Umgebungen wie ESX Server 3 ordnungsgem funktioniert Beispiele sind SAN Verwaltu
67. tats chlich ben tigen Benutzer die nur ber den VI Client auf den Host zugreifen ben tigen keinen Shellzugriff Geben Sie die Gruppennamen der Gruppen ein zu denen der Benutzer geh ren soll und klicken Sie auf Hinzuf gen Add Wenn Sie einen nicht vorhandenen Gruppennamen eingeben gibt der VI Client eine Warnmeldung aus und f gt die Gruppe nicht der Liste Gruppenmitgliedschaft Group membership hinzu Klicken Sie auf OK Der Anmeldungs und Benutzername den Sie eingegeben haben wird jetzt in der Tabelle Benutzer Users angezeigt So ndern Sie die Einstellungen f r einen Benutzer 1 2 3 VMware Inc Melden Sie sich ber den ESX Server 3 Host am VI Client an W hlen Sie den Server in der Bestandsliste aus Klicken Sie auf die Registerkarte Benutzer und Gruppen Users amp Groups und dann auf Benutzer Users Klicken Sie mit der rechten Maustaste auf den zu ndernden Benutzer und dann auf Bearbeiten Edit um das Dialogfeld Benutzer bearbeiten Edit User zu ffnen Wenn Sie die UID ndern m chten geben Sie im Feld Benutzer UID eine numerische UID ein Der VI Client weist einem Benutzer bei seiner Erstellung die UID zu In den meisten F llen muss diese Zuweisung nicht ge ndert werden Geben Sie einen neuen Benutzernamen ein 233 Handbuch zur Serverkonfiguration f r ESX Server 3 10 11 Wenn Sie das Kennwort eines Benutzers ndern m chten aktivieren Sie das Kontrollk stchen
68. und VMotion verwenden im VMkernel einen TCP IP Stapel Dieser TCP IP Stapel ist vollst ndig vom TCP IP Stapel getrennt der in der Servicekonsole verwendet wird Jeder dieser TCP IP Stapel greift durch die Anbindung mindestens eines vSwitches an mindestens eine Portgruppe auf verschiedene Netzwerke zu TCP IP Stapel auf VMkernel Ebene Der TCP IP Netzwerkstapel von VMware VMkernel wurde erweitert und kann jetzt iSCSI NFS und VMotion folgenderma en verarbeiten m iSCSI als Datenspeicher f r virtuelle Maschinen m iSCSI zur direkten Einbindung von ISO Dateien die von virtuellen Maschinen als CD ROMs erkannt werden m NFS als Datenspeicher f r virtuelle Maschinen m NFS zur direkten Einbindung von ISO Dateien die von virtuellen Maschinen als CD ROMs erkannt werden VMware Inc Kapitel 2 Netzwerke Migration mit VMotion HINWEIS ESX Server 3 unterst tzt ber TCP IP nur NFS Version 3 Aspekte und Richtlinien f r die Konfiguration Beachten Sie sich bei der Konfiguration des VMkernel Netzwerks folgende Richtlinien Die IP Adresse die Sie der Servicekonsole w hrend der Installation zuweisen darf nicht der IP Adresse entsprechen die Sie dem TCP IP Stapel des VMkernel auf der Registerkarte Konfiguration Configuration gt Netzwerk Networking auf dem VMware Infrastructure Client zugewiesen haben Im Gegensatz zu anderen VMkernel Diensten verf gt iSCSI ber eine Servicekonsolenkomponente sodass sowohl die Servicekons
69. virtuelle Netzwerkebene besteht aus den virtuellen Netzwerkger ten ber die die virtuellen Maschinen und die Schnittstelle der Servicekonsole mit dem Rest des Netzwerks kommunizieren ESX Server verwendet zur Kommunikation zwischen den virtuellen Maschinen und ihren Benutzern die virtuelle Netzwerkebene Au erdem verwenden ESX Server Hosts die virtuelle Netzwerkebene zur Kommunikation mit iSCSI SANs NAS Speicher usw Zur virtuellen Netzwerkebene geh ren virtuelle Netzwerkadapter und virtuelle Switches Die Methoden die Sie zur Absicherung eines Netzwerks von virtuellen Maschinen verwenden h ngen unter anderem davon ab welches Gastbetriebssystem installiert wurde und ob die virtuellen Maschinen in einer sicheren Umgebung betrieben werden Virtuelle Switches bieten einen hohen Grad an Sicherheit wenn sie in Verbindung mit anderen blichen Sicherheitsma nahmen z B Firewalls verwendet werden ESX Server unterst tzt auch VLANs nach IEEE 802 1q die zum weiteren Schutz des Netzwerks der virtuellen Maschinen der Servicekonsole oder der Speicherkonfiguration verwendet werden k nnen Mit VLANs k nnen Sie ein physisches Netzwerk in Segmente aufteilen sodass zwei Computer im gleichen physischen Netzwerk nur dann Pakete untereinander versenden k nnen wenn sie sich im gleichen VLAN befinden VMware Inc 179 Handbuch zur Serverkonfiguration f r ESX Server 3 180 In den folgenden Beispielen wird ein Eindruck vermittelt wie Sie virtuel
70. von ISO Images die virtuellen Maschinen als CD ROMs angezeigt werden m Erstellung von Snapshots virtueller Maschinen Siehe Grundlagen der Systemverwaltung unter www vmware com support pubs Speicherzugriff durch virtuelle Maschinen Wenn eine virtuelle Maschine mit ihrer virtuellen Festplatte kommuniziert die in einem Datenspeicher gespeichert sind ruft sie SCSI Befehle auf Da sich die Datenspeicher auf verschiedenen Arten physischer Speicher befinden k nnen werden diese Befehle je nach Protokoll das das ESX Server 3 System zur Anbindung an ein Speicherger t verwendet umgewandelt ESX Server 3 unterst tzt die Protokolle Fibre Channel FC Internet SCSI iSCSI und NFS Unabh ngig vom Typ des Speicherger ts den ESX Server 3 verwendet wird die virtuelle Festplatte der virtuellen Maschine stets als gemountetes SCSI Ger t angezeigt Die virtuelle Festplatte verbirgt die physische Speicherebene vor dem Betriebssystem der virtuellen Maschine Dadurch k nnen in der virtuellen Maschine auch Betriebssysteme ausgef hrt werden die nicht f r bestimmte Speichersysteme z B SAN zertifiziert sind VMware Inc Kapitel 5 Einf hrung in die Speicherung Abbildung 5 2 zeigt die Unterschiede zwischen den Speichertypen F nf virtuelle Maschinen verwenden unterschiedliche Arten von Speichern Abbildung 5 2 Virtuelle Maschinen mit Zugriff auf verschiedene Speichertypen ESX Server Erfordert TCP IP Konnektivit t Virtuelle Masc
71. wird nicht auf der Seite Speichertyp ausw hlen Select Storage Type angezeigt Wenn Sie w hrend der Installation Erweiterte Partitionierung Advanced Partitioning gew hlt und keine Diagnosepartition angegeben haben m ssen Sie nun eine konfigurieren Weitere Informationen zur Installation von ESX Server 3 finden Sie im Installationshandbuch Installation Guide So erstellen Sie eine Diagnosepartition 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server 2 Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end unter Hardware auf Speicher Storage 3 Klicken Sie auf Speicher hinzuf gen Add Storage VMware Inc Kapitel 6 Speicherkonfiguration Das Dialogfeld Speichertyp ausw hlen Select Storage Type wird angezeigt Assistent zum Hinzuf gen von Speicher Speichertyp ausw hlen M chten Sie ein neues Yolume formatieren oder einen freigegebenen Ordner ber das Netzwerk verwenden Diagnose Partitionstyp _ Ger testandort Festplatte LUN Bereit zum Abschlie en w hlen Sie diese Option wenn Sie einen Datenspeicher oder ein anderes Yolume auf einem Fibre Channel iSCSI oder einer lokalen SCSI Festplatte erstellen m chten Speichertyp Netzwerkdateisystem NFS w hlen Sie diese Option wenn Sie einen freigegebenen Ordner ber eine Netzwerkverbindung so verwenden m chten als ob er ein YMware Datenspeicher w re Ein Mount Punkt muss auf dem
72. zu In ESX Server Hosts 232 in Windows Dom ne 224 Tabelle Benutzer f r ESX Server Hosts 230 VirtualCenter Benutzer 224 Berechtigungen Root Benutzer 225 bersicht 225 und Rechte 225 VirtualCenter Administrator 225 vpxuser 225 Bestimmen der Sicherheitsstufe der Servicekonsolen Firewall 251 Bevorzugter Pfad 151 153 Blade Server Konfigurieren eines VMkernel Ports 83 Konfigurieren von Portgruppen virtueller Maschinen 82 und virtuelle Netzwerke 81 C CIM und Firewallports 198 D DAS Firewallport f r ESX Server 193 Dateisysteme aktualisieren 143 NFS 95 313 Handbuch zur Serverkonfiguration f r ESX Server 3 314 verwalten 142 VMFS 95 Datenspeicher anzeigen im VI Client 102 erneut pr fen 134 erstellen auf SCSI Festplatte 110 erstellen f r Fibre Channel Ger te 114 erstellen in hardwareinitiiertem ISCSI Speicher 125 erstellen in software initiiertem ISCSI Speicher 131 Hinzuf gen von Erweiterungen 145 konfigurieren auf NFS Volumes 137 umbenennen 144 und Dateisysteme 95 verwalten 142 Deaktivieren Authentifizierung f r iSCSI Adapter 218 Begrenzen der variablen Informationsgr e f r Gastbetriebssystem 281 Kopier und Einf gevorg nge f r Gastbetriebssysteme 277 Protokollierung f r Gastbetriebssysteme 282 286 SSL f r VIWeb Access und SDK 238 Delegierter Benutzer 242 244 DHCP 39 DNS 64 Dynamische Erkennung 118 E Einrichten der CHAP Authentif
73. zur SAN Speicherkompatibilit t Informationen zu Multipathing f r Fibre Channel HBAs und die Verwaltung von Pfaden finden Sie unter Verwalten mehrerer Pfade auf Seite 146 Hinzuf gen von Fibre Channel Speicher Pr fen Sie den Fibre Channel Adapter vor der Erstellung eines neuen Datenspeichers auf einem Fibre Channel Ger t erneut um ggf neu hinzugef gte LUNs zu erkennen Siehe Starten einer erneuten Pr fung auf Seite 134 Wenn Sie einen Datenspeicher auf einem Fibre Channel Speicherger t erstellen f hrt Sie der Assistent zum Hinzuf gen von Speicher durch die Konfiguration So erstellen Sie einen Datenspeicher auf einem Fibre Channel Ger t 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end unter Hardware auf Speicher Storage Klicken Sie auf Speicher hinzuf gen Add Storage Markieren Sie den Speichertyp Festplatte LUN Disk LUN und klicken Sie auf Weiter Next W hlen Sie das Fibre Channel Ger t aus das Sie f r den Datenspeicher verwenden m chten und klicken Sie auf Weiter Next Die Seite Aktuelles Festplattenlayout Current Disk Layout wird angezeigt Wenn die zu formatierende Festplatte leer ist zeigt die Seite Aktuelles Festplattenlayout Current Disk Layout automatisch den gesamten Speicherplatz der Festplatte der f r die Konfiguration zur Verf gung ste
74. zur Serverkonfiguration f r ESX Server 3 208 Virtuelle Switches von VMware unterst tzen nicht das Konzept nativer VLANs Alle Daten die ber diese Switches bertragen werden m ssen ordnungsgem gekennzeichnet werden Da es jedoch im Netzwerk auch andere Switches geben kann die f r den nativen VLAN Betrieb konfiguriert wurden k nnen VLANs mit virtuellen Switches dennoch anf llig f r VLAN Hopping sein Wenn Sie VLANs zur Netzwerksicherung verwenden m chten empfiehlt VMware die native VLAN Funktion f r alle Switches zu deaktivieren sofern nicht ein zwingender Grund vorliegt dass einige VLANs im nativen Modus betrieben werden m ssen Wenn Sie ein natives VLAN verwenden m ssen beachten Sie die Konfigurationsrichtlinien des Switches Herstellers f r diese Funktion Richten Sie ein eigenes VLAN bzw einen eigenen virtuellen Switch f r die Kommunikation zwischen den Verwaltungsprogrammen und der Servicekonsole ein Sowohl bei der Verwendung eines Verwaltungs Clients als auch der Befehlszeile werden alle Konfigurationsaufgaben f r ESX Server 3 z B Speicher Steuerungsaspekte des Verhaltens virtueller Maschinen oder die Einrichtung virtueller Switches oder Netzwerke ber die Servicekonsole ausgef hrt Da die Servicekonsole die Steuerungszentrale von ESX Server 3 ist hat ihr Schutz vor Missbrauch oberste Priorit t Die Verwaltungsclients von VMware ESX Server 3 verwenden Authentifizierung und Verschl sselung um eine
75. zur Serverkonfiguration f r ESX Server 3 enth lt Anh nge in denen Sie spezielle Informationen finden die beim Konfigurieren eines ESX Server 3 Hosts hilfreich sein k nnen Befehle f r den technischen Support von ESX Server 3 Behandelt die Konfigurationsbefehle f r ESX Server 3 die ber eine Befehlszeilenshell wie SSH eingegeben werden k nnen Zwar stehen Ihnen diese Befehle zur Verf gung es handelt sich jedoch dabei nicht um eine API ber die Skripts erstellt werden k nnen Diese Befehle k nnen ge ndert werden und VMware unterst tzt keine Anwendungen und Skripts die sich auf Befehle f r die ESX Server 3 Konfiguration st tzen In diesem Anhang finden Sie die Entsprechungen dieser Befehle f r den VMware Infrastructure Client Verwenden von vmkfstools Behandelt das Dienstprogramm vmkfstools mit dem Sie Verwaltungs und Migrationsaufgaben f r iSCSI Festplatten durchf hren k nnen VMware Inc VMware Inc Netzwerk Handbuch zur Serverkonfiguration f r ESX Server 3 18 VMware Inc Netzwerke In diesem Kapitel werden die Netzwerkgrundlagen f r ESX Server 3 Umgebungen sowie die Einrichtung und Konfiguration von Netzwerken in virtuellen Infrastrukturen erl utert Mit dem VMware Infrastructure VI Client k nnen Sie eine Netzwerkanbindung herstellen Dabei gibt es drei Kategorien die die drei Typen von Netzwerkdiensten widerspiegeln m Virtuelle Maschinen m V VMkernel m Servicekonsole
76. 4 Geben Sie unter Eigenschaften von Hardware Initiator Hardware Initiator Properties alle ben tigen Angaben ein 5 Klicken Sie auf OK um Ihre nderungen zu speichern 6 Starten Sie den Server neu damit die nderungen wirksam werden Einrichten von Erkennungsadressen f r Hardware Initiatoren Sie m ssen Zielerkennungsadressen einrichten damit der Hardware Initiator erkennen kann welche Speicherressourcen im Netzwerk zur Verf gung stehen Verwenden Sie dazu die dynamische oder statische Erkennung Siehe Erkennungsmethoden auf Seite 118 Bei der dynamischen Erkennung bergibt ein bestimmter iSCSI Server eine Liste mit Zielen an Ihren ESX Server 3 zur ck VMware Inc 121 Handbuch zur Serverkonfiguration f r ESX Server 3 122 So richten Sie Zielerkennungsadressen mithilfe der dynamischen Erkennung ein Klicken Sie im Dialogfeld iSCSI Initiator Eigenschaften iSCSI Initiator Properties auf die Registerkarte Dynamische Erkennung Dynamic Discovery Eigenschaften des iSCSI Initiators vmhba32 MBX Allgemein Dynamische Erkennung Statische Erkennung CHAP Authenkifizierung Ziele senden Rufen Sie Informationen zu Zielger ten direkt von den folgenden iScsSl Servern mit dem SendTargets Befehl ab SlS Serwer 10 17 246 209 3280 Schlie en Hilfe Klicken Sie auf Hinzuf gen Add um einen neuen iSCSI Server hinzuzuf gen den der ESX Server 3 Host f r eine dynamische Erkennungssitzung verw
77. AN ID Kennzeichnet das VLAN das f r den Netzwerkdatenverkehr der Portgruppe verwendet wird Klicken Sie auf OK VMware Inc Kapitel 3 Erweiterte Netzwerkthemen So setzen Sie Richtlinien f r bezeichnete Netzwerke au er Kraft 1 Um die Netzwerkrichtlinien eines bestimmten bezeichneten Netzwerks au er Kraft zu setzen w hlen Sie das Netzwerk aus klicken Sie auf Bearbeiten Edit und anschlie end auf die Registerkarte Sicherheit Security 2 Aktivieren Sie das Kontrollk stchen f r das bezeichnete Netzwerk das Sie au er Kraft setzen m chten Weitere Informationen zu diesen Einstellungen finden Sie unter Schicht 2 Sicherheitsrichtlinie auf Seite 52 gt VM Network Eigenschaften Allgemein Sicherheit Traffic Shaping NIC Gruppierung Richtlinienausnahmen Promiscuous Modus V kzeptieren v MAC Adressen nderungen Gef lschte bertragungen B Abbrechen Hilfe 3 Klicken Sie auf die Registerkarte Traffic Shaping Traffic Shaping 4 Aktivieren Sie das Kontrollk stchen neben Status und w hlen Sie Aktiviert Enabled oder Deaktiviert Disabled aus VMware Inc 61 Handbuch zur Serverkonfiguration f r ESX Server 3 62 Weitere Informationen zu den Statuseinstellungen finden Sie unter Lraffic Shaping Richtlinie auf Seite 54 VM Network Eigenschaften Allgemein Sicherheit Traffic Shaping NIC Gruppierung Richtlinienausnahmen Zur u erkraftsetzung einer Ri
78. Abbildung 10 3 zeigt die Beziehungen zwischen VI Client Funktionen Ports und ESX Server 3 Prozessen Der VI Web Access Client verwendet f r seine Kommunikation mit dem ESX Server 3 Host dieselbe Grundzuordnung Abbildung 10 3 Port Verwendung f r VI Clientdatenverkehr mit ESX Server 3 VI Client virtual machine management functions virtual machine console Port443 firewall Port903 VMkernel vmkauthd Wenn Sie zwischen dem VirtualCenter Server und dem von VirtualCenter verwalteten Hosts eine Firewall installiert haben m ssen Sie die Ports 443 und 903 in der Firewall ffnen um folgenden Datenverkehr zuzulassen m Vom VirtualCenter Server zu ESX Server 3 Hosts m Direkt vom VI Client und von VI Web Access zu den ESX Server 3 Hosts Weitere Informationen zur Konfiguration der Ports erhalten Sie beim Firewalladministrator VMware Inc 197 Handbuch zur Serverkonfiguration f r ESX Server 3 198 Verbinden von ESX Server 3 Hosts ber Firewalls Wenn Sie eine Firewall zwischen zwei ESX Server 3 Hosts eingerichtet haben und Daten bertragungen zwischen den Hosts erm glichen oder mit VirtualCenter Quell Ziel Aktivit ten wie Datenverkehr im Rahmen von VMware High Availability HA Migrationen Klonen oder VMotion durchf hren m chten m ssen Sie eine Verbindung konfigurieren ber die die verwalteten Hosts Daten empfangen k nnen Daf r m ssen Sie folgende Ports freigeben
79. Adapterdetails Ken Adapter ausgew hlt Treiber Speicherort Abbrechen Hilfe VMware Inc 57 Handbuch zur Serverkonfiguration f r ESX Server 3 58 7 Unter Richtlinienausnahmen Policy Exceptions m Lastausgleich Load Balancing Geben Sie an wie ein Uplink ausgew hlt werden soll Anhand der Quelle der Port ID routen Route based on the originating port ID Der Uplink wird anhand des virtuellen Ports ausgew hlt an dem der Datenverkehr den virtuellen Switch ansteuert Anhand des IP Hashs routen Route based on ip hash Der Uplink wird anhand eines Hashs der Quell und Ziel IP Adresse jedes Pakets ausgew hlt Bei Nicht IP Paketen wird zur Berechnung des Hashs der Wert verwendet der im Offset eingetragen ist Anhand des Quell MAC Hashs routen Route based on source MAC hash Der Uplink wird anhand eines Hashs des Quell Ethernets ausgew hlt Explizite Failover Reihenfolge verwenden Use explicit failover order Es wird immer der Uplink ausgew hlt der an erster Stelle der Liste der aktiven Adapter steht und die Failover Erkennungskriterien erf llt HINWEIS F r eine IP basierte Gruppierung ist es erforderlich dass der physische Switch mit etherchannel konfiguriert wird Bei allen anderen Optionen muss etherchannel deaktiviert sein m Netzwerk Failover Erkennung Network Failover Detection Geben Sie die Verfahrensweise zur Verwendung der Failover Erkennung an Nur Verbindung
80. B lt Zur ck _werer gt Abbrechen 7 Klicken Sie auf Weiter Next 8 Geben Sie auf der Seite Festplatte LUN Eigenschaften Disk LUN Properties einen Dateispeichernamen ein und klicken Sie auf Weiter Next 9 ndern Sie bei Bedarf die Werte f r das Dateisystem und die Gr e des Datenspeichers Standardm ig wird der gesamte freie Speicherplatz des Speicherger ts zur Verf gung gestellt 10 Klicken Sie auf Weiter Next 11 berpr fen Sie die Informationen zum Datenspeicher und klicken Sie auf Fertig Finish Dadurch wird ein Datenspeicher auf einem Software iSCSI Speicherger t erstellt 12 Klicken Sie auf Aktualisieren Refresh VMware Inc 133 Handbuch zur Serverkonfiguration f r ESX Server 3 Starten einer erneuten Pr fung F hren Sie nach folgenden Ereignissen eine erneute Pr fung durch Wenn nderungen an den Speicherfestplatten oder den f r das ESX Server 3 System verf gbaren LUNs vorgenommen wurden Wenn Anderungen an Speicheradaptern vorgenommen werden Wenn Sie einen neuen Datenspeicher hinzuf gen oder einen vorhandenen entfernen Wenn Sie einen vorhandenen Datenspeicher neu konfigurieren z B wenn Sie eine neue Erweiterung hinzuf gen HINWEIS Nachdem Sie alle Pfade zu einer LUN maskiert haben pr fen Sie erneut alle Adapter mit Pfaden zur LUN um die Konfiguration zu aktualisieren So f hren Sie eine erneute Pr fung aus 1 134 W hlen Sie im VI Client einen H
81. C Adresse senden Daher kann ein Betriebssystem b swillige Angriffe auf die Ger te in einem Netzwerk durchf hren indem es einen Netzwerkadapter imitiert der vom Empf ngernetzwerk autorisiert wurde Mit den Sicherheitsprofilen f r den virtuellen Switch auf den ESX Server 3 Hosts k nnen Sie sich gegen diese Art von Angriffen sch tzen indem Sie drei Optionen einstellen m MAC Adress nderungen In der Standardeinstellung ist diese Option auf Akzeptieren Accept festgelegt d h dass der ESX Server 3 Host Anforderungen die geltende MAC Adtresse in eine andere als die urspr nglich zugewiesene Adresse zu ndern akzeptiert Die Einstellung der Option MAC Adressen nderungen MAC Address Changes beeinflusst den Datenverkehr den eine virtuelle Maschine empf ngt Zum Schutz gegen MAC Imitation k nnen Sie diese Option auf Ablehnen Reject einstellen In diesem Fall lehnt der ESX Server 3 Host alle Anforderungen die geltende MAC Adresse in eine andere als die urspr nglich zugewiesene Adresse zu ndern ab Stattdessen wird der Port der von dem virtuellen Adapter zum Senden der Anforderung verwendet wird deaktiviert Als Folge erh lt der virtuelle Adapter keine weiteren Datenpakete mehr bis er die geltende MAC Adresse ndert sodass sie mit der urspr nglichen MAC Adresse bereinstimmt Das Gastbetriebssystem erkennt nicht dass die nderung der MAC Adresse nicht angenommen wurde VMware Inc Kapitel 10 Absichern einer E
82. CHAP Name ign 1998 01 com vmware localhost Schlie en Hilfe HINWEIS Wenn unter CHAP Name CHAP Name Keine Angabe Not Specified angezeigt wird verwendet das iSCSI SAN nicht die CHAP Authentifizierung Klicken Sie auf Schlie en Close VMware Inc Kapitel 10 Absichern einer ESX Server 3 Konfiguration So konfigurieren Sie iSCSI f r die CHAP Authentifizierung 1 VMware Inc Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Klicken Sie auf die RegisterkarteKonfiguration Configuration und anschlie end auf Speicheradapter Storage Adapters Markieren Sie den gew nschten iSCSI Adapter und klicken Sie dann auf Eigenschaften Properties Das Dialogfeld Eigenschaften des iSCSI Initiators SCSI Initiator Properties wird ge ffnet Klicken Sie auf CHAP Authentifizierung CHAP Authentication gt Konfigurieren Configure Das Dialogfeld CHAP Authentifizierung CHAP Authentication wird ge ffnet Klicken Sie auf Folgende CHAP Anmeldeinformationen verwenden Use the following CHAP credentials CHAP Authentifizierung Anmeldedaten i Die folgenden CHAP Anmeldedaten verwenden Alle i5c51 ziele werden unter Yerwendung dieser Anmeldedaten authentifiziert sofern nicht anders angegeben CHAF Name Inikiator hame verwenden CHAP Schl ssel CHAr Authentifizierung deaktivieren Abbrechen F hren Sie einen der folgenden Schritte aus m Wen
83. Das Dialogfeld Neuen Benutzer hinzuf gen Add New User wird angezeigt Neuen Benutzer hinzuf gen Benutzerinformationen Benutzer Benutzername Benutzername und UID sind optional Kennwort eingeben Kennwort Best tigen Shell Zugriff Diesem Benutzer Shell Zugriff erteilen Gruppenmitgliedschaft x Abbrechen Geben Sie eine Anmeldung einen Benutzernamen eine numerische Benutzer ID und ein Kennwort ein Die Angabe des Benutzernamens und der ID sind optional Wenn Sie keine Benutzer ID angeben weist der VI Client die n chste verf gbare Benutzer ID zu VMware Inc 8 Kapitel 11 Authentifizierung und Benutzerverwaltung Das Kennwort muss hinsichtlich L nge und Komplexit t den Anforderungen im Abschnitt Kennwortbeschr nkungen auf Seite 254 entsprechen Der ESX Server 3 Host pr ft nur dann die Einhaltung der Kennwortrichtlinien wenn Sie zu Authentifizierungszwecken zum Plug In pam_passwdaqc so gewechselt sind Die Kennworteinstellungen im Standardauthentifizierungs Plug In pam_cracklib so werden nicht erzwungen Wenn der Benutzer in der Lage sein soll ber eine Befehlsshell auf den ESX Server 3 Host zuzugreifen aktivieren Sie das Kontrollk stchen Diesem Benutzer Shell Zugriff erteilen Grant shell access to this user Im Allgemeinen sollte der Shellzugriff nur ESX Server 3 Host Benutzern erteilt werden die diesen Zugriff auf den Host ber eine Shell statt ber den VI Client
84. Datenspeicher verwendet und zum Status der einzelnen Pfade angezeigt Die folgenden Pfadinformationen werden ggf angezeigt m Aktiv Active Der Pfad ist aktiv und ist der aktuell verwendete Pfad f r die bermittlung von Daten m Deaktiviert Disabled Der Pfad wurde deaktiviert sodass keine Daten bertragen werden k nnen m Standby Der Pfad funktioniert wird jedoch derzeit nicht zum bertragen von Daten verwendet m Besch digt Broken Die Software kann ber diesen Pfad keine Verbindung mit der Festplatte herstellen VMware Inc Kapitel 7 Speicherverwaltung 5 Klicken Sie auf Pfade verwalten Manage Paths um das Dialogfeld Pfade verwalten Manage Paths zu ffnen Wenn Sie die Pfadrichtlinie Feststehend Fixed verwenden k nnen Sie erkennen welcher Pfad der bevorzugte Pfad ist Der bevorzugte Pfad ist mit einem Sternchen in der vierten Spalte gekennzeichnet CH wmhba0 0 0 Pfade verwalten Richtlinie Feststehend bevorzugten Ffad verwenden sofern verf gbar ndern Pfade Statys Bevorzugt mhba0o 0 0 Aktualisieren Anderrn Abbrechen Hilfe Sie k nnen das Dialogfeld Pfade verwalten Manage Paths verwenden um die Pfade zu aktivieren oder zu deaktivieren die Multipathing Richtlinie zu konfigurieren oder den bevorzugten Pfad anzugeben Einrichten von Multipathing Richtlinien f r LUNs Im Dialogfeld Pfade verwalten Manage Paths k nnen Sie die Multipathing Richtlinie
85. FS Dateispeicher f r mehrere ESX Server 3 Hosts Stellen Sie bei der Verwendung von SATA Speicher sicher dass die SATA Laufwerke ber unterst tzte SATA SAS Dual Controller angeschlossen sind Verschiedene SAS Speichersysteme unterst tzen den gemeinsamen Zugriff auf dieselben LUNs und deshalb auf dieselben VMFS Dateispeicher f r mehrere ESX Server 3 Hosts Informationen zu unterst tzten lokalen Speicherger ten finden Sie im Handbuch zur E A Kompatibilit t unter www vmware com support pubs vi_pubs html Netzwerkspeicher Netzwerkspeicherger te sind externe Speicherger te oder Arrays auf denen der ESX Server 3 Host Dateien virtueller Maschinen extern speichert Der ESX Server 3 Host greift auf diese Ger te ber ein Hochgeschwindigkeitsnetzwerk zu ESX Server 3 unterst tzt folgende Netzwerkspeichertechnologien Fibre Channel FC Speichert Dateien virtueller Maschinen extern in einem FC Speichernetzwerk Storage Area Network SAN Ein FC SAN ist ein spezielles Hochgeschwindigkeitsnetzwerk das Ihre ESX Server 3 Hosts mit Hochleistungsspeicherger ten verbindet Das Netzwerk nutzt das Fibre Channel Protokoll zur bertragung von SCSI Datenverkehr virtueller Maschinen au FC SAN Ger te F r den Anschluss an das FC SAN muss der ESX Server 3 Host mit Fibre Channel HBAs Hostbusadaptern und au er Sie arbeiten mit Fibre Channel Direktverbindungsspeicher mit Fibre Channel Switches ausgestattet sein die die Weiterleitung
86. Gruppe virtueller Maschinen untereinander nicht jedoch mit anderen Hosts oder virtuellen Maschinen au erhalb der Gruppe kommunizieren soll nderungen werden im Bereich Vorschau Preview angezeigt Klicken Sie auf Weiter Next Geben Sie unter Eigenschaften der Portgruppe Port Group Properties eine Netzwerkbezeichnung f r die zu erstellende Portgruppe ein Assistent zum Hinzuf gen von Netzwerken Yirtuelle Maschinen Yerbindungseinstellungen Mit den Netzwerkbezeichnungen k nnen Sie migrationsf hige Verbindungen f r zwei oder mehr Hosts kennzeichnen Verbindungstyp Portgruppeneigenschaften Netzwerkzugriff Verbindungseinstellungen Netzwerkbezeichnung virtual Machine Network bersicht YLAN ID optional Vorschau Portgruppe der virtuellen Maschine Physische Adapter Yirtual Machine Network Q N eR vmnici lt Zur ck Weiter gt Abbrechen Mit den Netzwerkbezeichnungen k nnen Sie migrationsf hige Verbindungen f r zwei oder mehr Hosts kennzeichnen Wenn Sie ein VLAN verwenden geben Sie im Feld VLAN ID eine Zahl zwischen 1 und 4094 ein Wenn Sie sich nicht sicher sind was hier eingegeben werden muss lassen Sie das Feld frei oder wenden Sie sich an Ihren Netzwerkadministrator Wenn Sie 0 eingeben oder das Feld frei lassen kann die Portgruppe nur nicht gekennzeichneten Nicht VLAN Datenverkehr sehen Wenn Sie 4095 eingeben 29 Handbuch zur Serverkonfiguration f r ESX Server 3
87. Handbuch zur Serverkonfiguration f r ESX Server 3 ESX Server 3 5 und VirtualCenter 2 5 E vmware Handbuch zur Serverkonfiguration f r ESX Server 3 Handbuch zur Serverkonfiguration f r ESX Server 3 berarbeitung 20080410 Artikelnummer VI DEU Q208 479 Die neueste technische Dokumentation finden Sie auf unserer Webseite unter http www vmware com support Auf der VMware Webseite finden Sie auch die neuesten Produktaktualisierungen Falls Sie Anmerkungen zu dieser Dokumentation haben senden Sie diese bitte an docfeedback vmware com 2006 2008 VMware Inc Alle Rechte vorbehalten Gesch tzt durch mindestens eines der US Patente Nr 6 397 242 6 496 847 6 704 925 6 711 672 6 725 289 6 735 601 6 785 886 6 789 156 6 795 966 6 880 022 6 944 699 6 961 806 6 961 941 7 069 413 7 082 598 7 089 377 7 111 086 7 111 145 7 117 481 7 149 843 7 155 558 7 222 221 7 260 815 7 260 820 7 269 683 7 275 136 7 277 998 7 277 999 7 278 030 7 281 102 und 7 290 253 weitere Patente sind angemeldet VMware das VMware Logo und Design Virtual SMP und VMotion sind eingetragene Marken oder Marken der VMware Inc in den USA und oder anderen L ndern Alle anderen in diesem Dokument erw hnten Bezeichnungen und Namen sind unter Umst nden markenrechtlich gesch tzt VMware Inc 3401 Hillview Ave Palo Alto CA 94304 www vmware com 2 VMware Inc Inhalt ber dieses Handbuch 9 1 Einf hrung 13 Netzwerk 14 S
88. In diesem Kapitel werden folgende Themen behandelt m bersicht ber Netzwerkkonzepte auf Seite 20 m Aktivieren von Netzwerkdiensten auf Seite 24 m Anzeigen der Netzwerkinformationen im VI Client auf Seite 25 m Konfiguration virtueller Netzwerke f r virtuelle Maschinen auf Seite 27 m Netzwerkkonfiguration des VMkernels auf Seite 30 m Konfiguration der Servicekonsole auf Seite 34 VMware Inc 19 Handbuch zur Serverkonfiguration f r ESX Server 3 bersicht ber Netzwerkkonzepte 20 Es sind bestimmte Grundlagen notwendig um virtuelle Netzwerke vollst ndig zu verstehen Wenn Sie bisher noch nicht mit ESX Server 3 gearbeitet haben empfiehlt VMware Ihnen dringend die Lekt re dieses Abschnittes Ein physisches Netzwerk ist ein Netzwerk aus physischen Computern die so miteinander verbunden sind dass sie untereinander Daten empfangen und versenden k nnen VMware ESX Server 3 wird auf einem physischen Computer ausgef hrt Ein virtuelles Netzwerk ist ein Netzwerk aus virtuellen Computern virtuellen Maschinen die auf einem einzelnen physischen Computer ausgef hrt werden Diese sind logisch miteinander verbunden sodass sie untereinander Daten empfangen und versenden k nnen Virtuelle Maschinen k nnen an die virtuellen Netzwerke angeschlossen werden die Sie beim Hinzuf gen eines Netzwerks erstellen Jedes einzelne virtuelle Netzwerk verf gt ber einen virtuellen Switch Ein virtuelles Net
89. Ja Ja NAS ber NFS Ja Ja NFS Nein Nein Ja Ja Anzeigen der Speicherinformationen im VMware Infrastructure Client Der VI Client zeigt detaillierte Informationen ber verf gbare Datenspeicher Speicherger te die von den Datenspeichern verwendet werden und die Adapterkonfiguration an Weitere Informationen finden Sie in folgenden Abschnitten Anzeigen von Datenspeichern auf Seite 103 Anzeigen von Speicheradaptern auf Seite 104 Grundlegendes zur Benennung von Speicherger ten in der Anzeige auf Seite 105 102 VMware Inc Kapitel 5 Einf hrung in die Speicherung Anzeigen von Datenspeichern Es gibt folgende M glichkeiten dem VI Client Datenspeicher hinzuf gen m Erkennung sobald ein Host der Bestandsliste hinzugef gt wird Wenn Sie der Bestandsliste einen Host hinzuf gen zeigt der VI Client alle Datenspeicher an die dem Host zur Verf gung stehen m Erstellung auf einem verf gbaren Speicherger t ber den Befehl Speicher hinzuf gen Add Storage k nnen Sie einen neuen Datenspeicher erstellen und konfigurieren Siehe Speicherkonfiguration auf Seite 109 Sie k nnen ein Verzeichnis der verf gbaren Datenspeicher anzeigen und ihre Eigenschaften analysieren Um Datenspeicher anzuzeigen klicken Sie auf dem Host auf der Registerkarte Konfiguration Configuration auf Speicher Storage Der Abschnitt Speicher Storage zeigt f r jede Datenbank eine bersicht an Hier sind folgende Date
90. Kennwort ndern Change Password und geben Sie ein neues Kennwort ein Das Kennwort muss hinsichtlich L nge und Komplexit t den Anforderungen im Abschnitt Kennwortbeschr nkungen auf Seite 254 entsprechen Der ESX Server 3 Host pr ft nur dann die Einhaltung der Kennwortrichtlinien wenn Sie zu Authentifizierungszwecken zum Plug In pam_passwdqc so gewechselt sind Die Kennworteinstellungen im Standardauthentifizierungs Plug In pam_cracklib so werden nicht erzwungen Um die Einstellung zu ndern dass Benutzer ber eine Befehlsshell auf den ESX Server 3 Host zugreifen k nnen aktivieren oder deaktivieren Sie das Kontrollk stchen Diesem Benutzer Shell Zugriff erteilen Grant shell access to this user Wenn Sie den Benutzer einer anderen Gruppe hinzuf gen m chten geben Sie den Gruppennamen ein und klicken Sie auf Hinzuf gen Add Wenn Sie einen nicht vorhandenen Gruppennamen eingeben gibt der VI Client eine Warnmeldung aus und f gt die Gruppe nicht der Liste Gruppenmitgliedschaft Group membership hinzu Zum Entfernen des Benutzers w hlen Sie den Gruppennamen in der Liste aus und klicken auf Entfernen Remove Klicken Sie auf OK So entfernen Sie einen Benutzer aus der ESX Server 3 Tabelle Benutzer 1 2 3 V 234 Melden Sie sich ber den ESX Server Host 3 am VI Client an W hlen Sie den Server in der Bestandsliste aus Klicken Sie auf die Registerkarte Benutzer und Gruppen Users amp Groups
91. MFS Dateisystem oder eine Datei Bei diesem Argument handelt es sich um einen absoluten oder relativen Pfad der einen symbolischen Link zu einem Verzeichnis einer Raw Ger tezuordnung oder einer Datei unter vmfs auff hrt m Um ein VMFS Dateisystem anzugeben verwenden Sie dieses Format vmfs volumes lt Dateisystem UUID gt oder vmfs volumes lt Dateisystembezeichnung gt VMware Inc Anhang B Verwenden von vmkfstools m Um eine VMFS Datei anzugeben verwenden Sie dieses Format vmfs volumes lt Dateisystembezeichnung Dateisystem UUID gt dir myDisk vmdk Sie brauchen nicht den gesamten Pfad anzugeben wenn das aktuelle Arbeitsverzeichnis gleichzeitig das bergeordnete Verzeichnis von myDisk vmdk ist Beispiel wmfs volumes datastorel rh9 vmdk vmkfstools Optionen Dieser Abschnitt enth lt eine Liste aller Optionen die mit dem Befehl vmkfstools verwendet werden k nnen Einige der Aufgaben in diesem Abschnitt enthalten Optionen die nur f r Benutzer mit fortgeschrittenen Kenntnissen bestimmt sind Die Lang und Kurzformen mit einem Buchstaben der Optionen sind gleichwertig So sind zum Beispiel die folgenden Befehle identisch vmkfstools createfs vmfs3 blocksize 2m vmhbal 3 0 1 vmkfstools C vmfs3 b 2m vmhba1 3 0 1 Unteroption v Die Unteroption v bestimmt die Ausf hrlichkeit der Meldungen in der Befehlsausgabe Das Format f r diese Unteroption lautet wie folgt v verbose lt Zahl gt
92. Mware Inc YMkernel 2 123 X Diese Portgruppe f r YMotion verwenden 000 000 000 000 000 000 000 000 LECEE En Physische Adapter vmnicl lt Zur ck Weiter gt Abbrechen 33 Handbuch zur Serverkonfiguration f r ESX Server 3 10 11 12 13 Klicken Sie unter IP Einstellungen IP Settings auf Bearbeiten Edit um Standard Gateway f r VMkernel VMkernel Default Gateway f r VMkernel Dienste wie VMotion NAS und iSCSI einzurichten HINWEIS Legen Sie ein Standard Gateway f r den Port fest den Sie erstellt haben VirtualCenter 2 verh lt sich anders als VirtualCenter 1 x Sie m ssen eine g ltige IP Adresse und keine Pseudoadresse angeben um den VMkernel IP Stapel zu konfigurieren Auf der Registerkarte DNS Konfiguration DNS Configuration ist im Namensfeld standardm ig der Hostname eingetragen Auch die DNS Server Adressen und die Dom ne die w hrend der Installation angegeben wurden werden automatisch ausgef llt Auf der Registerkarte Routing ben tigen die Servicekonsole und der VMkernel jeweils eigene Gateway Angaben Ein Gateway ist zur Anbindung an Computer notwendig die sich nicht im gleichen IP Subnetz wie die Servicekonsole oder der VMkernel befinden Statische IP Einstellungen sind voreingestellt Klicken Sie auf OK und dann auf Weiter Next Wenn Sie nderungen vornehmen m chten verwenden Sie die Schaltfl che Zur ck Back berpr fen Sie die nderu
93. Name gt var run vmware proxy webserver lt pipeName gt lt serverNamespace gt lt serverNamespace gt lt e gt lt e id 1 gt lt _type gt vim ProxyService NamedPipeServiceSpec lt _type gt lt accessMode gt httpsWithRedirect lt accessMode gt lt pipeName gt var run vmware proxy sdk lt pipeName gt lt serverNamespace gt sdk lt serverNamespace gt lt e gt lt e id 2 gt lt _type gt vim ProxyService LocalServiceSpec lt _type gt lt accessMode gt httpsWithRedirect lt accessMode gt lt port gt 8080 lt port gt lt serverNamespace gt uil lt serverNamespace gt lt e gt lt e id 3 gt lt _type gt vim ProxyService NamedPipeServiceSpec lt _type gt lt accessMode gt httpsOnly lt accessMode gt lt pipeName gt var run vmware proxy vpxa lt pipeName gt lt serverNamespace gt vpxa lt serverNamespace gt lt e gt lt e id 4 gt lt _type gt vim ProxyService NamedPipeServiceSpec lt _type gt lt accessMode gt httpsWithRedirect lt accessMode gt lt pipeName gt var run vmware proxy sdk lt pipeName gt lt serverNamespace gt mob lt serverNamespace gt lt e gt lt e id 5 gt lt _type gt vim ProxyService LocalServiceSpec lt _type gt lt Use this mode for secure deployment gt lt lt accessMode gt httpsWithRedirect lt accessMode gt gt lt Use this mode for insecure deployment gt lt accessMode gt httpAndHttps lt accessMode gt lt port gt 8889 lt port gt lt
94. O auf virtueller Maschinenebene zu aktivieren m ssen Sie vorhandene virtuelle Netzwerkadapter vom Typ vmxnet oder Flexibel durch Netzwerkadapter vom Typ VMXnet erweitert ersetzen Dadurch kann sich die MAC Adresse des virtuellen Netzwerkadapters ndern So aktivieren Sie die TSO Unterst tzung f r eine virtuelle Maschine 1 10 11 12 Melden Sie sich am VI Client an und w hlen Sie die virtuelle Maschine in der Bestandsliste aus Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt Klicken Sie auf der Registerkarte bersicht Summary auf Einstellungen bearbeiten Edit Settings W hlen Sie in der Liste Hardware den Netzwerkadapter aus Notieren Sie sich die Netzwerkeinstellungen und die MAC Adresse des Netzwerkadapters Klicken Sie auf Entfernen Remove um den Netzwerkadapter aus der virtuellen Maschine zu entfernen Klicken Sie auf Hinzuf gen Add W hlen Sie Ethernet Adapter Ethernet Adapter und klicken Sie auf Weiter Next W hlen Sie unter Adaptertyp Adapter Type die Option Vmxnet erweitert Enhanced vmxnet aus W hlen Sie die Netzwerkeinstellungen und MAC Adresse des alten Netzwerkadapters aus und klicken Sie auf Weiter Next Klicken Sie auf Fertig Finish Klicken Sie auf OK Wenn die virtuelle Maschine nicht auf die Aktualisierung von VMware Tools bei jeder Aktivierung eingestellt ist m ssen Sie VMware Tools manuell aktualisi
95. Optionen Netzwerkbezeichnung Network Label und VLAN ID aus bzw geben Sie diese ein Assistent zum Hinzuf gen von Netzwerken Servicekonsole Yerbindungseinstellungen Kennzeichnen Sie Servicekonsolen Verbindungen mit Netzwerkbezeichnungen w hrend Sie den Host verwalten Yerbindungst Portgruppeneigenschaften Netzwerkzugriff Yerbindungseinstellungen Netzwerkbezeichnung Servicekonsole 3 bersicht YLAN ID optional IP Einstellungen automatisch abrufen Die folgenden IP Einstellungen verwenden IP Adresse i Subnetzmaske A Standard Gateway f r Servicekonsole Bearbeiten Vorschau Servicekonsolenport Physische Adapter Servicekonsole 3 Q i ER mnico Portgruppe der virtuellen Maschine YM Network YMkemel Port YMkernel 172 16 19 36 lt Zur ck Weiter gt Abbrechen Neuere Ports und Portgruppen werden im vSwitch Diagramm oben angezeigt 7 Geben Sie die IP Adresse IP Address und die Subnetzmaske Subnet Mask ein oder aktivieren Sie IP Einstellung automatisch beziehen Obtain IP setting automatically f r die IP Adresse und die Subnetzmaske 8 Klicken Sie auf die Schaltfl che Bearbeiten Edit um Standard Gateway der Servicekonsole Service Console Default Gateway festzulegen Siehe So legen Sie das Standard Gateway fest auf Seite 37 9 Klicken Sie auf Weiter Next 10 berpr fen Sie die Angaben und klicken Sie auf Fertig Finish 36 VMware Inc
96. SSL verschl sselt Die SSL Verbindung verwendet eine 256 Bit AES Blockverschl sselung und 1024 Bit RSA Schl sselverschl sselung Der Webdienst Tomcat der intern von ESX Server 3 zum Zugriff auf die Servicekonsole ber Webclients wie Virtual Infrastructure Web Access verwendet wird wurde so angepasst dass er nur die f r die Verwaltung und berwachung ber einen Webclient notwendigen Funktionen ausf hrt Daher ist ESX Server 3 nicht von den Sicherheitsl cken betroffen die f r Tomcat in weiter gefassten Anwendungsbereichen gemeldet wurden VMware berwacht alle Sicherheitswarnungen die die Sicherheit der Servicekonsole beeinflussen k nnen und ver ffentlicht ggf Sicherheitspatches Gleiches gilt auch f r andere Sicherheitsl cken die ESX Server 3 Hosts gef hrden k nnten VMware ver ffentlicht Sicherheitspatches f r RHEL 3 U6 und h her sobald sie zur Verf gung stehen Unsichere Dienste wie z B FTP und Telnet sind nicht installiert und die Ports f r diese Dienste sind standardm ig geschlossen Da sicherere Dienste wie SSH und SFTP leicht verf gbar sind sollten Sie stets auf einen Einsatz der unsicheren Dienste zugunsten der sichereren Alternativen verzichten Wenn Sie die unsicheren Dienste verwenden m ssen und f r die Servicekonsole einen ausreichenden Schutz hergestellt haben m ssen Sie entsprechend deren Ports ffnen um sie zu unterst tzen VMware Inc Kapitel 9 Sicherheit f r ESX Server 3 Systeme
97. SX Server 3 Konfiguration HINWEIS In bestimmten Situationen ist es tats chlich notwendig dass mehrere Adapter in einem Netzwerk die gleiche MAC Adtresse haben zum Beispiel wenn Sie des Microsoft Netzwerklastenausgleichs im Unicast Modus verwenden Bei Verwendung von des Microsoft Netzwerklastenausgleichs im Standard Multicast Modus haben die Adapter nicht die gleiche MAC Adresse m Gef lschte bertragungen In der Standardeinstellung ist diese Option auf Akzeptieren Accept festgelegt d h der ESX Server 3 Host vergleicht die Quell und die geltende MAC Adtesse nicht Die Einstellung der Option Gef lschte bertragungen Forged Trasmits ndert den Datenverkehr der von einer virtuellen Maschine versandt wird Zum Schutz gegen MAC Imitation k nnen Sie diese Option auf Ablehnen Reject einstellen In diesem Fall vergleicht der ESX Server 3 Host die Quell MAC Adresse die vom Betriebssystem bertragen wird mit der geltenden MAC Adresse des Adapters um festzustellen ob sie bereinstimmen Wenn die Adressen nicht passen verwirft der ESX Server 3 das Paket Das Gastbetriebssystem erkennt nicht dass der virtuelle Netzwerkadapter die Pakete mit der imitierten MAC Adresse nicht senden kann Der ESX Server 3 Host f ngt alle Pakete mit imitierten Adressen vor der bermittlung ab Das Gastbetriebssystem geht ggf davon aus dass die Pakete verworfen wurden m Betrieb im Promiscuous Modus In der Standardeinstellung ist diese Option au
98. Server 3 verwendet m F r Themen die f r ESX Server 3i Version 3 5 spezifisch sind wird in diesem Buch der Begriff ESX Server 31 verwendet m F r Themen die f r beide Produkte gelten wird in diesem Buch der Begriff ESX Server verwendet VMware Inc 9 Handbuch zur Serverkonfiguration f r ESX Server 3 m Wenn die Bestimmung einer bestimmten Version f r die Erl uterung wichtig ist wird in diesem Buch f r das jeweilige Produkt der folgende Name samt Version angegeben m Wenn sich die Erl uterung auf alle Versionen von ESX Server for VMware Infrastructure 3 bezieht wird in diesem Buch der Begriff ESX Server 3 x verwendet Zielgruppe Dieses Handbuch richtet sich an alle Benutzer die ESX Server 3 installieren verwenden oder aktualisieren m chten Die Informationen in diesem Handbuch wurden f r erfahrene Administratoren von Windows oder Linux Systemen geschrieben die mit der Technologie virtueller Maschinen und Datencenter Vorg ngen vertraut sind Feedback zu diesem Dokument VMware freut sich ber Ihre Vorschl ge zum Verbessern der Dokumentation Bitte senden Sie Ihre Kommentare und Vorschl ge an docfeedback vmware com Dokumentation zu VMware Infrastructure Die Dokumentation zu VMware Infrastructure umfasst die kombinierte Dokumentation zu VMware VirtualCenter und ESX Server In Abbildungen verwendete Abk rzungen In den Grafiken in diesem Handbuch werden die in Ta
99. Server 3 Host an den Ein und Lizenzserver vmwarelm exe ausgehendes TCP Zus tzlich zu den aufgef hrten TCP und UDP Ports k nnen Sie andere Ports je nach Ihren Bed rfnissen konfigurieren m Mit dem VI Client k nnen Sie Ports f r installierte Verwaltungs Agenten und unterst tzte Dienste wie SSH NFS usw freigeben Informationen zur Konfiguration anderer Ports f r diese Dienste finden Sie unter ffnen von Firewallports f r unterst tzte Dienste und Verwaltungs Agenten auf Seite 198 m F r andere Dienste und Agenten die f r Ihr Netzwerk notwendig sind k nnen Sie in der Servicekonsole weitere Firewall Ports ffnen indem Sie Befehlszeilenskripts ausf hren Siehe Konfiguration der Servicekonsolen Firewall auf Seite 249 Herstellen einer Verbindung mit einem VirtualCenter Server ber eine Firewall Der Standardport siehe Tabelle 10 1 der von VirtualCenter Server zum berwachen der von seinen Clients ausgehenden Daten bertragung verwendet wird ist Port 443 Wenn zwischen dem VirtualCenter Server und seinen Clients eine Firewall vorhanden ist m ssen Sie eine Verbindung konfigurieren ber die der VirtualCenter Server Daten von seinen Clients empfangen kann Damit der VirtualCenter Server Daten von einem Client empfangen kann ffnen Sie Port 443 Zus tzliche Informationen zur Konfiguration von Ports in einer Firewall erhalten Sie vom Firewalladministrator Wenn Sie den VI Client verwenden und nicht Port
100. Sie auf die Registerkarte Konfiguration Configuration und dann auf Sicherheitsprofil Security Profile VMware Inc 7 8 Kapitel 11 Authentifizierung und Benutzerverwaltung Klicken Sie auf Delegierter f r virtuelle Maschine Virtual Machine Delegate gt Bearbeiten Edit Das Dialogfeld Delegierter f r virtuelle Maschine Virtual Machine Delegate wird angezeigt Geben Sie den Benutzernamen des delegierten Benutzers ein Klicken Sie auf OK Starten Sie den ESX Server 3 Host neu Nach dem Neustart des Hosts wird die Einstellung des delegierten Benutzers sowohl in VirtualCenter als auch im direkt auf dem ESX Server 3 Host ausgef hrten VI Client angezeigt VMware Inc 245 Handbuch zur Serverkonfiguration f r ESX Server 3 246 VMware Inc Sicherheit der Servicekonsole Dieses Kapitel enth lt grundlegende Sicherheitsempfehlungen f r die Servicekonsole und erl utert einige der in die Servicekonsole integrierten Sicherheitsfunktionen Die Servicekonsole ist eine Verwaltungsschnittstelle f r ESX Server 3 Daher ist ihre Sicherheit sehr wichtig Um die Servicekonsole gegen unbefugten Zugriff und Missbrauch zu sch tzen beschr nkt VMware bestimmte Parameter Einstellungen und Aktivit ten der Servicekonsole Diese Beschr nkungen wurden dazu entworfen die Sicherheit f r ESX Server 3 zu erh hen Sie k nnen diese Beschr nkungen lockern um Ihre spezifischen Konfigurationsbed rfnisse zu erf llen In diese
101. Sie ggf im Dialogfeld Eigenschaften Properties die gew nschte Erweiterung aus Klicken Sie dann auf Ger t erweitern Extent Device gt Pfade verwalten und konfigurieren Sie die Pfade ber das Dialogfeld Pfad verwalten Manage Paths esxcfg nas Verwaltet die NAS Mounts Mit diesem Befehl k nnen Sie NAS Ger te hinzuf gen l schen auflisten oder ihre Attribute ndern Klicken Sie zur Anzeige der NAS Ger te im VI Client auf Speicher Storage und scrollen Sie durch die Speicherliste In der Ansicht Speicher Storage k nnen Sie au erdem folgende Vorg nge ausf hren m Attribute eines NAS Ger ts anzeigen Klicken Sie auf das Ger t und berpr fen Sie die Informationen unter Details m NAS Ger t hinzuf gen Klicken Sie auf Speicher hinzuf gen Add Storage NAS Ger t l schen Klicken Sie auf Entfernen Remove Attribute eines NAS Ger ts ndern Klicken Sie auf das Ger t und dann auf Details gt Eigenschaften Properties Eine vollst ndige Anleitung zur Erstellung und Konfiguration von NAS Datenspeichern finden Sie unter Konfigurieren von ESX Server 3 f r den Zugriff auf NFS Volumes auf Seite 137 294 VMware Inc Anhang A Befehle f r den technischen Support von ESX Server 3 Tabelle A 1 Befehle f r den technischen Support von ESX Server 3 Fortsetzung Servicekonsolenbefehl Zweck des Befehls und VI Client Verfahren esxcfg nics Druckt eine Liste der physischen Netzwerkadapter so
102. Speichervorg nge srundlegend vermittelt Au erdem werden die grundlegenden erforderlichen Aufgaben zum Konfigurieren und Verwalten des Speichers f r ESX Server 3 beschrieben und das Einrichten von Raw Ger tezuordnungen erl utert Der Abschnitt zu Speichereinstellungen enth lt die folgenden Kapitel Einf hrung in die Speicherung Stellt die Speichertypen vor die f r den ESX Server 3 Host konfiguriert werden k nnen Speicherkonfiguration Erl utert die Konfiguration von lokalem SCSI Speicher Fibre Channel Speicher und iSCSI Speicher Dar ber hinaus werden der VMES Speicher Virtual Machine File System und NAS Speicher Network Attached Storage ber das Netzwerk angebundener Speicher behandelt Speicherverwaltung Erl utert die Verwaltung bestehender Datenspeicher und der Dateisysteme aus denen die Datenspeicher bestehen Raw Ger tezuordnung Behandelt die Raw Ger tezuordnung die Konfiguration dieses Speichertyps und die Verwaltung von Raw Ger tezuordnungen durch Einrichtung von Multipathing Failover usw VMware Inc Kapitel 1 Einf hrung Sicherheit In den Kapiteln zur ESX Server 3 Sicherheit werden Sicherheitsma nahmen erl utert die von VMware in ESX Server 3 integriert wurden Au erdem werden Mafsnahmen beschrieben mit denen Sie den ESX Server 3 Host vor Sicherheitsrisiken sch tzen k nnen Zu diesen Mafsnahmen z hlen das Einrichten von Firewalls die Ausnutzung der Sicherheitsfunktionen vi
103. Switch verwendet m Standby Adapter Standby Adapters Adapter die aktiv werden wenn einer oder mehrere der aktiven Adapter ausfallen Assistent zum Hinzuf gen eines Adapters Failorer Reihenfolge Sofern Sie nichts anderes angeben bernehmen neue Adapter den Datenverkehr f r den virtuellen Switch und dessen Portgruppen Adapter Richtlinie f r Failover Reihenfolge NIC Reihenfolge w hlen Sie aktive und Standby Adapter f r diese Portgruppe Bei bersicht einem Failover werden Standby Adapter in der unten angegebenen Reihenfolge aktiviert Konfiguration bersicht Switch 64 Forts Mame Geschwindigkeit Netzwerke Hach oben Aktive Adapter Bez EB vmnic 100 Yoll 172 16 19 1 172 16 19 2 Nach unten Ei vrrnicl down Standby Adapter lt Zur ck _ weiter gt _ abbrechen Klicken Sie auf Weiter Next berpr fen Sie die Informationen auf der Seite Adapter bersicht Adapter Summary klicken Sie auf Zur ck Back wenn Sie Eintr ge ndern m chten und klicken Sie schlie lich auf Fertig Finish Die Liste der Netzwerkadapter mit den nun dem vSwitch zugewiesenen Adaptern wird erneut angezeigt Klicken Sie auf Schlie en Close um das Dialogfeld vSwitch Eigenschaften vSwitch Properties zu schlie en Der Abschnitt Netzwerk Networking auf der Registerkarte Konfiguration Configuration zeigt die Netzwerkadapter in ihrer festgelegten Reihenfolge und den gew hlten Kategorien VMware In
104. Volume zugreift Die Konvertierung kann mehrere Minuten dauern Die Fertigstellung wird durch die R ckkehr zur Befehlszeileneingabe signalisiert Nach der Konvertierung deinstallieren Sie den fsaux Treiber und installieren Sie die vmfs3 und vmfs2 Treiber um den normalen Betrieb wiederaufzunehmen u upgradefinish Diese Option beendet das Upgrade Optionen f r virtuelle Festplatten Mithilfe von Optionen f r virtuelle Festplatten k nnen Sie in VMFS 2 VMFS 3 und NFS Dateisystemen gespeicherte virtuelle Festplatten einrichten migrieren und verwalten Sie k nnen die meisten dieser Aufgaben auch ber den VI Client ausf hren Unterst tzte Festplattenformate Beim Erstellen oder Klonen einer virtuellen Festplatte k nnen Sie mit der Unteroption d diskformat das Format der Festplatte angeben W hlen Sie eines der folgenden Formate aus VMware Inc zeroedthick Standardeinstellung Der Speicher den die virtuelle Festplatte ben tigt wird w hrend des Anlegens zugewiesen Alle Daten die auf dem physischen Ger t verbleiben werden nicht w hrend des Anlegens sondern zu einem sp teren Zeitpunkt w hrend der ersten Schreibvorg nge der virtuellen Maschine gel scht Die virtuelle Maschine liest keine veralteten Daten von der Festplatte eagerzeroedthick Der Speicher den die virtuelle Festplatte ben tigt wird w hrend des Anlegens zugewiesen Im Gegensatz zum zeroedthick Format werden die verbleibenden Daten auf
105. a virtual switch keine Adapter angezeigt werden bedeutet dies dass alle Netzwerkadapter im System von vorhandenen vSwitches verwendet werden Weitere Informationen zum Verschieben von Netzwerkadaptern zwischen vSwitches finden Sie unter So f gen Sie Uplink Adapter hinzu auf Seite 45 HINWEIS Verwenden Sie iSCSI nicht bei 100 MB Netzwerkadaptern Klicken Sie auf Weiter Next W hlen Sie unter Eigenschaften der Portgruppe Port Group Properties eine Netzwerkbezeichnung und eine VLAN ID aus bzw geben Sie diese ein Netzwerkbezeichnung Network Label Ein Name der die Portgruppe bezeichnet die erstellt wird Es handelt sich dabei um die Bezeichnung die Sie bei der Konfiguration eines virtuellen Adapters der an diese Portgruppe angeschlossen wird beim Konfigurieren eines iSCSI Speichers festlegen 77 Handbuch zur Serverkonfiguration f r ESX Server 3 VLAN ID VLAN ID Bezeichnet das VLAN das f r den Netzwerkdatenverkehr der Portgruppe verwendet wird VLAN IDs sind nicht erforderlich Falls Sie nicht wissen ob sie ben tigt werden wenden Sie sich an den Netzwerkadministrator 3 Assistent zum Hinzuf gen von Netzwerken YMkernel Yerbindungseinstellungen Kennzeichnen Sie YMkernel Verbindungen mit Netzwerkbezeichnungen w hrend Sie die Hosts und Datencenter verwalten Yerbindungst Portgruppeneigenschaften Netzwerkzugriff Yerbindungseinstellungen Netzwerkbezeichnung vMkernel 2 bersicht YLAN ID optional
106. adapter mit anderen virtuellen Maschinen auf dem Host teilt k nnen die anderen virtuellen Maschinen auf dem Host keine Datenpakete in das Netzwerk der virtuellen Maschine 1 bertragen oder daraus empfangen Dadurch werden Spionageangriffe verhindert da dem Opfer daf r Netzwerkdaten gesendet werden m ssen Au erdem kann der Angreifer dadurch die nat rliche Anf lligkeit von FIP nicht zum Zugriff auf andere virtuelle Maschinen auf dem Host nutzen m Die internen virtuellen Maschinen die virtuellen Maschinen 2 bis 5 sind der internen Verwendung vorbehalten Diese virtuellen Maschinen verarbeiten und speichern vertrauliche firmeninterne Daten wie medizinische Unterlagen juristische Dokumente und Betrugsermittlungen Daher m ssen Systemadministratoren f r diese virtuellen Maschinen den h chsten Schutz gew hrleisten Diese virtuellen Maschinen sind ber ihren eigenen virtuellen Switch und physischen Netzwerkadapter an das interne Netzwerk 2 angeschlossen Das Interne Netzwerk 2 ist der internen Nutzung durch Mitarbeiter wie Reklamationssachbearbeiter firmeninterne Anw lte und andere Sachbearbeiter vorbehalten VMware Inc 183 Handbuch zur Serverkonfiguration f r ESX Server 3 184 Die virtuellen Maschinen 2 bis 5 k nnen ber den virtuellen Switch untereinander und ber den physischen Netzwerkadapter mit internen Maschinen an anderen Stellen des internen Netzwerks 2 kommunizieren Sie k nnen nicht mit Computern oder virtuelle
107. ader voran Siehe ICP Segmentierungs Offload und Jumbo Frames auf Seite 65 ber die Migration mit VMotion kann eine aktivierte virtuelle Maschine von einem ESX Server 3 Host auf einen anderen bertragen werden ohne dass die virtuelle VMware Inc 21 Handbuch zur Serverkonfiguration f r ESX Server 3 22 Maschine heruntergefahren werden muss F r die optionale VMotion Funktion ist ein eigener Lizenzschl ssel notwendig Virtuelle Switches Die VMware Infrastructure erm glicht die Verwendung des Virtual Infrastructure VI Clients oder Steuerung von SDK APIs um isolierte Netzwerkger te zu erstellen die virtuelle Switches vSwitches genannt werden Ein vSwitch kann Datenverkehr intern zwischen virtuellen Maschinen und zwischen virtuellen Maschinen und externen Netzwerken steuern HINWEIS Sie k nnen auf einem einzelnen Host maximal 127 vSwitches einrichten Mit virtuellen Switches k nnen Sie die Bandbreite mehrerer Netzwerkadapter kombinieren und den Datenverkehr darauf verteilen Diese Switches k nnen auch konfiguriert werden um ein physisches Failover von Netzwerkkarten zu gew hrleisten Ein vSwitch bildet einen physischen Ethernet Switch ab Die Standardanzahl der logischen Ports auf einem vSwitch ist 56 Mit ESX Server 3 k nnen jedoch vSwitches mit bis zu 1016 Ports erstellt werden An jeden dieser Ports k nnen Sie einen Netzwerkadapter einer virtuellen Maschine anschlie en Jeder Uplink Adapter der mit einem
108. aktives Diagramm des virtuellen Switches Infosymbol DMetzwerk Aktualisieren Netzwerk hinzuf gen irkueller Swibch Swsibcho Entfernen Eigenschaften Portgruppe der virtuellen Maschine Physische Adapter RA ym Mebwwork eE vmnic 100 Wall a GO 4 virkuelle Maschinen YLAN ID Wins s32 DE YinzEs Serwer EE x64 DE YM Marketing 1 YM GA 2 Sermvicekonsolenport g Service Console vzfo 172 16 19 160 0 BEP 9 virtueller Switch vSwwibch1 Entfernen Eigenschaften Phwsische Adapter wMikermel FPort e E vmnici 1000 woall iSCSI 172 16 19 54 Servicekonsolenport ka Serwicekonsole vsealfl 172 16 19 77 VMware Inc 23 Handbuch zur Serverkonfiguration f r ESX Server 3 Klicken Sie auf das Infosymbol um weitere detailliertere Informationen anzuzeigen Ein Popup Fenster verweist auf die detaillierten Eigenschaften siehe Abbildung 2 3 Abbildung 2 3 Detaillierte Eigenschaften des virtuellen Switches Eigenschaften Hetzwerkbezeichnung YM Network YLAR ID Keine Sicherheit Promiscuous Modus Ablehnen MACL Adressen nderungen Akzeptieren gef lschte bertragungen Akzeptieren Traffic 5haping Burchschnittsbandbreite MiA Spitzenbandbreite MJA Burstgr e MiA Failover und Lastausgleich Lastausgleich Port ID hetzwerkausfallerkennung Mur Yerbindungsstatus Switches benachrichtigen Ja Failback Ja Aktive Adapter vrnnico Standby Adapter keines Micht benutzte Adapter Keines Portgru
109. an die entsprechenden Empf nger Port 443 Der VI Client der VI Web Access Client und das SDK verwenden diesen Port um Daten an die von VirtualCenter verwalteten Hosts zu senden Der VI Client der VI Web Access Client und das SDK verwenden diesen Port auch wenn sie direkt mit dem ESX Server 3 Host verbunden sind um Verwaltungsfunktionen f r den Server und seine virtuellen Maschinen durchzuf hren Port 443 ist der Port den die Clients f r verf gbar halten wenn Daten an den ESX Server 3 Host gesendet werden VMware unterst tzt f r diese Verbindungen nur diesen Port Port 443 verbindet Clients mit dem ESX Server 3 Host ber den Webdienst Tomcat oder das SDK vmware hostd bertr gt anschliefsend Daten an Port 443 zur Verarbeitung an die entsprechenden Empf nger Port 903 Der VI Client und VI Web Access verwenden diesen Port f r Verbindungen der Maus Iastatur Bildschirmaktivit ten des Gastbetriebssystems auf virtuellen Maschinen Die Benutzer interagieren ber diesen Port mit dem Gastbetriebssystem und den Anwendungen der virtuellen Maschine Port 903 ist der Port den der VI Client und VI Web Access f r verf gbar VMware Inc Kapitel 10 Absichern einer ESX Server 3 Konfiguration halten wenn sie mit virtuellen Maschinen kommunizieren F r diese Aufgabe unterst tzt VMware nur diesen Port Port 903 verbindet den VI Client mit einer bestimmten virtuellen Maschine die auf dem ESX Server 3 Host konfiguriert wurde
110. an welche virtuellen Ports angeschlossen sind und verwendet diese Informationen um Daten an die entsprechende richtige virtuellen Maschine weiterzuleiten Ein vSwitch kann ber physische Ethernet Adapter auch Uplink Adapter an physische Switches angeschlossen werden um virtuelle und physische Netzwerke zu verbinden Diese Verbindung hnelt der Vernetzung physischer Switches zur Bildung gr erer Netzwerke Obwohl ein vSwitch hnlich wie ein physischer Switch funktioniert VMware Inc Kapitel 2 Netzwerke verf gt er nicht ber alle erweiterten Funktionsmerkmale eines physischen Switches Siehe Virtuelle Switches auf Seite 22 Eine Portgruppe legt Port Konfigurationsoptionen z B Bandbreitenbeschr nkungen oder VLAN Tagging Richtlinien f r jeden Port in der Portgruppe fest Netzwerkdienste werden ber Portgruppen an vSwitches angeschlossen Portgruppen definieren wie eine Verbindung ber den vSwitch an das physische Netzwerk erfolgt Normalerweise wird einem vSwitch mindestens eine Portgruppe zugewiesen Siehe Portgruppen auf Seite 24 NIC Gruppierung tritt auf wenn einem vSwitch mehrere Uplink Adapter zugewiesen werden um eine Gruppe zu bilden Eine Gruppe kann entweder den Datenverkehr zwischen dem physischen und dem virtuellen Netzwerk auf einige oder alle Netzwerkkarten der Gruppe aufteilen oder ein passives Failover im Falle einer Hardwarest rung oder eines Netzwerkausfalls bereitstellen Mit VLANs kann ei
111. andenen Benutzernamen eingeben gibt der VI Client eine Warnmeldung aus und f gt den Benutzer nicht zum Verzeichnis Benutzer in dieser Gruppe Users in this group hinzu Klicken Sie auf OK Die Gruppen ID und der Gruppenname den Sie eingegeben haben werden jetzt in der Tabelle Gruppen Groups angezeigt So werden Benutzer einer Gruppe hinzugef gt oder aus dieser entfernt 1 2 3 VMware Inc Melden Sie sich ber den ESX Server 3 Host am VI Client an W hlen Sie den Server in der Bestandsliste aus Klicken Sie auf die Registerkarte Benutzer und Gruppen Users amp Groups und dann auf Gruppen Groups Klicken Sie mit der rechten Maustaste auf die zu ndernde Gruppe und dann auf Bearbeiten Edit um das Dialogfeld Gruppe bearbeiten Edit Group zu ffnen 235 Handbuch zur Serverkonfiguration f r ESX Server 3 7 Zum Hinzuf gen eines Benutzers zu dieser Gruppe geben Sie den Benutzernamen ein und klicken auf Hinzuf gen Add Wenn Sie einen nicht vorhandenen Benutzernamen eingeben gibt der VI Client eine Warnmeldung aus und f gt den Benutzer nicht zum Verzeichnis Benutzer in dieser Gruppe Users in this group hinzu Wenn Sie einen Benutzer aus der Gruppe entfernen m chten w hlen Sie den Benutzernamen aus dem Verzeichnis aus und klicken Sie auf Entfernen Remove Klicken Sie auf OK So entfernen Sie eine Gruppe aus der ESX Server 3 Tabelle Gruppen 1 2 3 V Melden Sie sich ber den ESX S
112. apping aus und klicken Sie anschlie end auf Weiter Next 3 W hlen Sie in der Liste der SAN Festplatten bzw LUNs eine Raw LUN auf auf welche die virtuelle Maschine direkt zugreifen soll Weitere Informationen zum Konfigurieren von SAN Speicher finden Sie im SAN Konfigurationshandbuch f r Fiber Channel und im SAN Konfigurationshandbuch f r iSCSI 4 W hlen Sie einen Datenspeicher f r die Raw Ger tezuordnungsdatei aus Sie k nnen die Raw Ger tezuordnungsdatei im selben Datenspeicher ablegen in dem sich die Konfigurationsdatei der virtuellen Maschine befindet oder einen anderen Datenspeicher ausw hlen HINWEIS Um VMotion f r virtuelle Maschinen mit aktivierter NPIV zu verwenden m ssen sich die Raw Ger tezuordnungsdateien der virtuellen Maschinen im selben Datenspeicher befinden Bei aktivierter NPIV ist Storage VMotion bzw VMotion zwischen Datenspeichern nicht m glich 166 VMware Inc Kapitel8 Raw Ger tezuordnung 5 W hlen Sie den Kompatibilit tsmodus aus m Im physischen Kompatibilit tsmodus Physical compatibility kann das Gastbetriebssystem direkt auf die Hardware zugreifen Der physische Kompatibilit tsmodus bietet sich an wenn Sie SAN f hige Anwendungen in der virtuellen Maschine einsetzen Eine virtuelle Maschine die f r den physischen Kompatibilit tsmodus f r die Raw Ger tezuordnung konfiguriert ist kann jedoch weder geklont noch in eine Vorlage umgewandelt noch migriert werden wenn f r di
113. are Inc 149 Handbuch zur Serverkonfiguration f r ESX Server 3 150 W hlen Sie in der Liste der konfigurierten Datenspeicher den Datenspeicher aus dessen Pfade Sie anzeigen oder konfigurieren m chten Im Detailbereich werden alle Pfade angezeigt ber die auf den Datenspeicher zugegriffen wird eingeschlossen der Status aktiv besch digt oder deaktiviert Klicken Sie auf Eigenschaften Properties Das Dialogfeld Volume Eigenschaften Volume Properties f r den ausgew hlten Datenspeicher wird ge ffnet Yolume Eigenschaften Allgemein Format Datenspeichemame shared_50 Dateisystem WMFS 3 21 Maximale Dateigrolle 256 GB ahe 1 ME Blockgro e Erweiterungen Speichererweiterung Ein YPFS Dateisystem kann mehrere Festplattenpartitionen oder Die auf der linken Seite ausgew hlte Erweiterung ist auf der LUN Erweiterungen umfassen um ein einziges logisches Yolume zu bzw auf der physischen Festplatte gespeichert die unten bilden beschrieben wird Erweiterung Kapazit t Ger t 2 mhba1 0 3 1 49 99 GE vmhbal 0 3 50 00 GB Prim re Partitionen 1 vFRS 49 99 GB Pfadauswahl Zuletzt verwendet Pfade vmhbal 1 3 Tag lI er ur a alit ki Formatierte Gesamtkapazitat 43 75 GB Erweiterung hinzufugen Aktualisieren Ffade verwalten Schlie en Hilfe Unter Ger t erweitern Extent Device finden Sie Informationen zur Multipathing Richtlinie die der ESX Server 3 Host f r den Zugriff auf den
114. are Host Agent vmware hostd her Der Prozess vmware hostd empf ngt den Benutzernamen und das Kennwort vom Client und leitet diese Daten zum PAM Modul weiter damit die Authentifizierung erfolgt Abbildung 11 1 zeigt ein einfaches Beispiel wie ESX Server 3 bertragungen vom VI Client authentifiziert Abbildung 11 1 Authentifizierung f r VI Client Datenverkehr mit ESX Server 3 VI Client Fin Ei Mm Armen Aanname Verwaltungsfunktionen Konsole Ticketbasierte Authentifizierung Authentifizierung mit Benutzernamel f ESX Server Software Servicekonsole VMkernel S Virtuelle Maschine vmkauthd ESX Server Authentifizierungstransaktionen mit VI Web Access und Netzwerkverwaltungsclients anderer Anbieter hneln direkten Interaktionen mit dem Prozess vmware hostd Damit die Authentifizierung an Ihrem Standort effizient funktioniert m ssen Sie gegebenenfalls grundlegende Aufgaben wie die Einrichtung von Benutzern Gruppen Berechtigungen und Rollen vornehmen die Benutzerattribute konfigurieren eigene Zertifikate erstellen ggf SSL einrichten usw VMware Inc Kapitel 11 Authentifizierung und Benutzerverwaltung Informationen zu Benutzern Gruppen Berechtigungen und Rollen Der Zugriff auf einen ESX Server Host und dessen Ressourcen wird dann gew hrt wenn sich ein bekannter Benutzer mit den entsprechenden Berechtigungen auf dem Host mit einem Kennwort anmeldet das dem f r den Benutzer gespeiche
115. arteschlange voll ist werden die Pakete verworfen Wenn Sie Werte f r diese beiden Merkmale festlegen geben Sie an was der vSwitch w hrend des Normalbetriebs voraussichtlich verarbeiten soll m Die Spitzenbandbreite Peak Bandwidth ist die h chste Bandbreite die der vSwitch bieten kann ohne Pakete verwerfen zu m ssen Wenn der Datenverkehr die festgelegte Spitzenbandbreite bersteigt werden berz hlige Pakete f r eine sp tere bertragung zur Warteschlange hinzugef gt Sobald der Datenverkehr wieder auf den Durchschnittswert zur ckgegangen ist und ausreichende Kapazit ten zur Verf gung stehen werden die Pakete in der Warteschlange verarbeitet Wenn die Warteschlange voll ist werden die Pakete verworfen Selbst wenn Sie ber Reservebandbreite verf gen weil die Verbindung sich im Leerlauf befindet beschr nkt der Parameter Spitzenbandbreite die bertragung auf den festgelegten Spitzenwert bis der Datenverkehr zur zul ssigen Durchschnittsdatenlast zur ckkehrt VMware Inc Kapitel 3 Erweiterte Netzwerkthemen So bearbeiten Sie die Traffic Shaping Richtlinie 1 VMware Inc Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Netzwerk Networking W hlen Sie einen vSwitch und klicken Sie
116. artet und kurz vor dessen Herunterfahren beendet Ebenso wie Automatisch starten wenn ein Port ge ffnet ist und stoppen wenn alle Ports geschlossen werden Start automatically if any ports are open and stop when all ports are closed bedeutet diese Option dass der Dienst regelm ig versucht seine Aufgaben zu erledigen z B beim NTP Dienst das Kontaktieren des angegebenen NTP Servers Wenn der Port geschlossen war sp ter jedoch ge ffnet wird beginnt der Client unmittelbar mit der Erledigung seiner Aufgaben Manuell starten und stoppen Start and stop manually Der Host bernimmt die vom Benutzer festgelegten Diensteinstellungen unabh ngig davon welche Ports offen oder geschlossen sind Wenn ein Benutzer den NTP Dienst startet wird dieser Dienst so lange ausgef hrt bis der Host ausgeschaltet wird Wenn der Dienst gestartet und der Host ausgeschaltet wird wird der Dienst als Teil des Herunterfahrens beendet Sobald der Host jedoch eingeschaltet wird wird auch der Dienst erneut gestartet sodass der vom Benutzer festgelegte Status beibehalten bleibt So konfigurieren Sie das Verh ltnis von Dienststart und Firewallkonfiguration 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Klicken Sie auf die Registerkarte Konfiguration Configuration und dann auf Sicherheitsprofil Security Profile Der VI Client zeigt eine Liste der gegenw rtig aktiven eingehenden und ausgehenden Verbi
117. at ausgef hrt Bei VMware d rfen diese Pakete nur ber eine VMware Quelle aktualisiert werden Wenn Sie einen Download oder Patch aus einer anderen Quelle verwenden k nnen die Sicherheit und die Funktionen der Servicekonsole gef hrdet werden berpr fen Sie die Internetseiten von Drittanbietern und die VMware Wissensdatenbank regelm ig auf Sicherheitswarnungen VMware Inc Kapitel 12 Sicherheit der Servicekonsole Anmelden an der Servicekonsole Obwohl die meisten Konfigurationsvorg nge f r ESX Server 3 ber den VI Client ausgef hrt werden m ssen bestimmte Sicherheitsfunktionen ber die Befehlszeilenoberfl che der Servicekonsole konfiguriert werden Zur Verwendung der Befehlszeilenoberfl che m ssen Sie sich am Host anmelden Wenn Sie direkten Zugriff auf den ESX Server 3 Host haben k nnen Sie sich an der physischen Konsole auf diesem Computer anmelden Dr cken Sie dazu auf dem Anmeldebildschirm ALT F2 Verwenden Sie bei Remoteverbindungen mit der Konsole SSH oder eine andere Remotesteuerungsverbindung um eine Sitzung auf dem Host zu starten In beiden F llen sowohl bei der lokalen Anmeldung als auch bei der Anmeldung ber eine Fernverbindung wie SSH m ssen Sie sich mit einem Benutzernamen und einem Kennwort anmelden den das der ESX Server 3 Host erkennt Weitere Informationen zu Benutzernamen und Kennw rtern f r ESX Server 3 Hosts finden Sie unter Verwalten von Benutzern und Gruppen auf ESX Server 3 Hosts
118. aten auff llt wodurch Speicherplatz belegt wird der von den virtuellen Maschinen ben tigt wird Um dies zu vermeiden ist die Konfigurationsdatei mit diesen Name Wert Paaren auf eine maximale Gr e von 1 MB beschr nkt 1 MB sollte in den meisten F llen ausreichen Sie k nnen diesen Wert jedoch bei Bedarf ndern Sie k nnen beispielsweise diesen Wert erh hen wenn gro e Mengen von Kundendaten in der Konfigurationsdatei gespeichert werden Um das Speicherlimit von GuestInfo zu ndern legen Sie das Attribut tools setInfo sizeLimit in der vmx vmx Datei fest Das Standardlimit ist 1 MB welches auch gilt wenn das Attribut sizeLimit nicht vorhanden ist So ndern Sie das variable Speicherlimit des Gastbetriebssystems 1 Melden Sie sich am VI Client an und w hlen Sie die virtuelle Maschine in der Bestandsliste aus Die Konfiguration f r diese virtuelle Maschine wird auf der Registerkarte bersicht Summary angezeigt 2 Klicken Sie auf Einstellungen bearbeiten Edit Settings 3 Klicken Sie auf Optionen Options gt Erweitert Advanced gt Konfigurationsparameter Configuration Parameters Das Dialogfeld Konfigurationsparameter Configuration Parameters wird ge ffnet 4 Wenn das Attribut zur Gr enbegrenzung nicht vorhanden ist klicken Sie auf Zeile hinzuf gen Add Row und geben Sie Folgendes ein m Feld Name tools setInfo sizeLimit m Feld Wert lt Anzahl der Bytes gt Wenn das Gr enlimi
119. auf Eigenschaften Properties Klicken Sie im Dialogfeld vSwitch Eigenschaften vSwitch Properties auf die Registerkarte Ports W hlen Sie den vSwitch und klicken Sie auf Bearbeiten Edit Klicken Sie auf die Registerkarte Traffic Shaping Traffic Shaping Wenn Traffic Shaping deaktiviert ist werden die einstellbaren Funktionen abgeblendet dargestellt Sie k nnen ausgew hlte Traffic Shaping Funktionen auf Portgruppenebene au er Kraft setzen wenn Traffic Shaping aktiviert ist gt vSwitchO Eigenschaften Allgemein Sicherheit Traffic Shaping NIC Gruppierung Richtlinienausnahmen Status Deaktiviert v Durchschnittliche Bandbreite KBit s Spitzenbandbreite KBit s Burstgr e KB Abbrechen Hife Diese Richtlinie wird in diesem Fall auf alle virtuellen Adapter angewendet die an der Portgruppe angeschlossen sind jedoch nicht auf den gesamten vSwitch 55 Handbuch zur Serverkonfiguration f r ESX Server 3 56 Status Wenn Sie die Richtlinienausnahmen im Feld Status aktivieren begrenzen Sie die zugeteilte Netzwerkbandbreite f r alle mit der betreffenden Portgruppe verkn pften virtuellen Adapter Wenn Sie die Richtlinie deaktivieren besteht f r Dienste standardm ig eine uneingeschr nkte Verbindung zum physischen Netzwerk Die brigen Felder legen die Parameter f r den Netzwerkdatenverkehr fest m Durchschnittsbandbreite Average Bandwidth ist ein Wert der ber einen bestimmte
120. auf Seite 230 Wenn Sie sich auf dem Host anmelden um Vorg nge auszuf hren f r die Root Berechtigungen notwendig sind sollten Sie sich zuerst als normaler Benutzer an der Servicekonsole anmelden und dann ber den Befehl su oder den zu bevorzugenden Befehl sudo als Root anmelden Der Befehl sudo erh ht die Sicherheit da er nur f r bestimmte ausgew hlte Vorg nge Root Berechtigungen gew hrt w hrend su Root Berechtigungen f r alle Vorg nge gew hrt Bei Verwenden von sudo sind au erdem alle Vorg nge besser nachvollziehbar da alle sudo Vorg nge protokolliert werden wohingegen bei Verwenden von su ESX Server 3 nur protokolliert dass der Benutzer durch su auf Root umgeschaltet hat Zus tzlich zu den ESX spezifischen Befehlen k nnen Sie ber die Befehlszeilenoberfl che der Servicekonsole auch viele Linux und UNIX Befehle ausf hren Detaillierte Hinweise zu Servicekonsolenbefehlen erhalten Sie ber den Befehl man lt Befehlsname gt mit dem Sie die Hilfeseiten aufrufen Konfiguration der Servicekonsolen Firewall ESX Server 3 bietet eine Firewall zwischen der Servicekonsole und dem Netzwerk Damit die Integrit t der Servicekonsole sichergestellt ist hat VMware die Anzahl an standardm ig freigegebenen Firewall Ports reduziert Bei der Installation wird die Firewall der Servicekonsole so konfiguriert dass der gesamte ein und ausgehende Datenverkehr auf allen Ports au er auf 902 443 80 und 22 blockiert wird Die genannt
121. belle 1 aufgef hrten Abk rzungen verwendet Tabelle 1 Abk rzungen Abk rzung Beschreibung VE VirtualCenter VM Virtuelle Maschine VI Client VMware Infrastructure Client server VirtualCenter Server database VirtualCenter Datenbank hostn Verwaltete VirtualCenter Hosts VM Virtuelle Maschinen auf einem verwalteten Host VMware Inc ber dieses Handbuch Tabelle 1 Abk rzungen Fortsetzung Abk rzung Beschreibung user Benutzer mit Zugriffsberechtigungen dsk Speicherfestplatte f r den verwalteten Host datastore Speicher f r den verwalteten Host SAN Datenspeicher vom Typ Storage Area Network der von verwalteten Hosts gemeinsam genutzt wird tmplt Vorlage Technischer Support und Schulungsressourcen In den folgenden Abschnitten werden die verf gbaren technischen Supportressourcen beschrieben Unter der folgenden Adresse haben Sie Zugang zu den neuesten Versionen dieses Handbuchs und anderen B chern http www vmware com support pubs Online und Telefon support Im Online Support k nnen Sie technische Unterst tzung anfordern Ihre Produkt und Vertragsdaten abrufen und Produkte registrieren Weitere Informationen finden Sie unter http www vmware com support Kunden mit entsprechenden Support Vertr gen erhalten ber den telefonischen Support die schnellste Hilfe bei Problemen der Priorit tsstufe 1 Weitere Informationen finden Sie unter http www vmware com su
122. bo Frames auf Seite 65 NetQueue und Netzwerkleistung auf Seite 68 Einrichten von MAC Adressen auf Seite 69 Optimale Vorgehensweisen und Tipps f r Netzwerke auf Seite 71 41 Handbuch zur Serverkonfiguration f r ESX Server 3 Eigenschaften und Richtlinien f r virtuelle Switches 42 In diesem Abschnitt werden die Konfiguration der Eigenschaften virtueller Switches und die Netzwerkrichtlinien behandelt die auf der Ebene virtueller Switches konfiguriert werden Eigenschaften virtueller Switches Die vSwitch Einstellungen steuern Portstandardeinstellungen f r den gesamten vSwitch die durch Portgruppeneinstellungen f r jeden Switch au er Kraft gesetzt werden k nnen Bearbeiten der Eigenschaften virtueller Switches Zur Bearbeitung der vSwitch Eigenschaften geh rt u a m die Konfiguration von Ports m die Konfiguration der Uplink Netzwerkadapter So bearbeiten Sie die Anzahl der Ports f r einen vSwitch 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt 2 Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Netzwerk Networking VMware Inc Kapitel 3 Erweiterte Netzwerkthemen 3 Suchen Sie auf der rechten Seite den vSwitch den Sie bearbeiten m chten Netzwerk Aktualisieren Netzwerk virtueller Switch wSwikch Entfe
123. c Kapitel 3 Erweiterte Netzwerkthemen Cisco Discovery Protocol Mit dem Cisco Discovery Protocol CDP k nnen Administratoren von ESX Server 3 den Cisco Switchport bestimmen mit dem ein bestimmter vSwitch verbunden ist Wenn CDP f r einen bestimmten vSwitch aktiviert ist K nnen Sie im VI Client Eigenschaften des Cisco Switches anzeigen z B Ger te ID Softwareversion und Zeitlimit ber die Befehlszeilenschnittstelle der Servicekonsole k nnen Sie CDP aktivieren So aktivieren Sie CDP 1 2 Melden Sie sich direkt an der Konsole Ihres ESX Server 3 Hosts an Geben Sie den Befehl esxcfg vswitch b lt vSwitch gt ein um den aktuellen CDP Modus f r den vSwitch anzuzeigen Ist CDP deaktiviert wird der Modus als down angezeigt Geben Sie den Befehl esxcfg vswitch B lt mode gt lt vSwitch gt ein um den CDP Modus zu ndern Es folgen die m glichen CDP Modi m down CDP ist deaktiviert m listen ESX Server 3 erkennt und zeigt Informationen zum verkn pften Cisco Switchport an die jedoch dem Administrator des Cisco Switches nicht zur Verf gung stehen mM advertise ESX Server 3 stellt dem Cisco Switch Administrator Informationen zum vSwitch zur Verf gung ohne jedoch Informationen zum Cisco Switch zu erkennen bzw anzuzeigen m both ESX Server 3 erkennt und zeigt Informationen zum verkn pften Cisco Switch an die dem Administrator des Cisco Switches zur Verf gung gestellt werden So zeigen Sie Cisco S
124. ch bzw VMkernel Schnittstelle aktiviert werden Pr fen Sie vor der Aktivierung von Jumbo Frames bei Ihrem Hardwarehersteller ob Ihre physischen Netzwerkadapter Jumbo Frames unterst tzen So erstellen Sie einen f r Jumbo Frames aktivierten vSwitch 1 Melden Sie sich direkt an der Konsole Ihres ESX Server 3 Hosts an 2 Geben Sie den Befehl esxcfg vswitch m lt MTU gt lt vSwitch gt ein um die MTU Gr e f r den vSwitch festzulegen Dieser Befehl legt die MTU f r alle Uplinks auf diesem vSwitch fest Die MTU Gr e muss auf die gr te MTU Gr s aller virtuellen Netzwerkadapter festgelegt werden die mit dem vSwitch verbunden sind 3 Rufen Sie den Befehl esxcfg vswitch l auf um eine Liste der vSwitches auf dem Host anzuzeigen und pr fen Sie ob die Konfiguration des vSwitches ordnungsgem ist VMware Inc 67 Handbuch zur Serverkonfiguration f r ESX Server 3 So erstellen Sie eine f r Jumbo Frames aktivierte VMkernel Schnittstelle 1 2 Melden Sie sich direkt an der Konsole Ihres ESX Server 3 Hosts an Geben Sie den Befehl esxcfg vmknic a i lt IP Adresse gt n lt Netzmaske gt m lt MTU gt lt Portgruppenname gt ein um eine VMkernel Verbindung mit Jumbo Frame Unterst tzung herzustellen Rufen Sie den Befehl esxcfg vmknic l auf um eine Liste der VMkernel Schnittstellen anzuzeigen und pr fen Sie ob die Konfiguration der f r Jumbo Frames aktivierten Schnittstelle ordnungsgem ist HINWEIS ESX
125. ch zur Einrichtung eines eigenen VLAN oder virtuellen Switches f r die Kommunikation der Verwaltungsprogramme mit der Servicekonsole sollten Sie ein eigenes VLAN oder einen eigenen virtuellen Switch f r VMotion und f r Netzwerkspeicher einrichten Wenn Ihre Konfiguration ein iSCSI SAN umfasst das direkt ber den Host und nicht durch den Hardware Adapter konfiguriert wurde sollten Sie einen eigenen virtuellen Switch einrichten der eine gemeinsam genutzte Netzwerkkonnektivit t f r die Servicekonsole und f r iSCSI bietet Diese zweite Netzwerkverbindung f r die Servicekonsole besteht zus tzlich zur prim ren Servicekonsolen Netzwerkverbindung die Sie f r die Kommunikation Ihrer Verwaltungsprogramme verwenden Die zweite Servicekonsolen Netzwerkverbindung unterst tzt nur die iSCSI Aktivit ten und Sie sollten Sie nicht f r Verwaltungsaktivit ten oder die Verwaltungsprogrammkommunikation verwenden Schutz durch virtuelle Switches in VLANs Die virtuellen Switches von VMware sch tzen gegen bestimmte Bedrohungen der VLAN Sicherheit Durch den Aufbau der virtuellen Switches sch tzen sie VLANs gegen viele Arten von Angriffen die meist auf VLAN Hopping basieren Dieser Schutz garantiert jedoch nicht dass Ihre virtuellen Maschinen gegen andere Arten von Angriffen immun sind So sch tzen virtuelle Switches zum Beispiel nicht das physische Netzwerk vor diesen Angriffen sondern nur das virtuelle Netzwerk Die folgende Liste vermittelt Ih
126. cher entsprechen Siehe iSCSI Sicherheit auf Seite 118 So richten Sie CHAP Parameter f r den Hardware Initiator ein 1 Klicken Sie im Dialogfeld iSCSI Initiator Eigenschaften iSCSI Initiator Properties auf die Registerkarte CHAP Authentifizierung CHAP Authentication Auf der Registerkarte werden die standardm igen CHAP Parameter falls vorhanden angezeigt 3 Eigenschaften des iSCSI Initiators vnhba32 A Allgemein Dynamische Erkennung Statische Erkennung CHAP Authentifizierung CHAF Authentifizierung Standardm ig die folgenden Anmeldedaten f r alle SC5I Ziele verwenden CHAP Rame ioxstorage Schlie en Hilfe 2 Um die vorhandenen CHAP Parameter zu ndern klicken Sie auf Konfigurieren Configure 124 VMware Inc Kapitel 6 Speicherkonfiguration Damit CHAP auch weiterhin aktiviert bleibt aktivieren Sie Folgende CHAP Anmeldeinformationen verwenden Use the following CHAP credentials Geben Sie einen neuen CHAP Namen ein oder w hlen Sie Initiator Namen verwenden Use initiator name Geben Sie ggf einen CHAP Schl ssel an Alle neuen Ziele verwenden diesen CHAP Schl ssel um den Initiator zu authentifizieren Klicken Sie auf OK um Ihre nderungen zu speichern HINWEIS Wenn Sie CHAP deaktivieren bleiben bestehende Sitzungen aktiv bis Sie den ESX Server 3 Host neu starten oder das Speichersystem eine Abmeldung erzwingt Anschlie end k nnen Sie sich nicht mehr mit Ziel
127. chine aus und folgen Sie den Anweisungen des Assistenten zum Hinzuf gen von Netzwerken Add Network Wizard Wenn Sie die Einstellungen berpr fen m chten klicken Sie auf das Sprechblasen Symbol links neben der gew nschten Portgruppe der virtuellen Maschine Wenn Sie eine der Einstellungen bearbeiten m chten klicken Sie f r den entsprechenden Switch auf Eigenschaften Properties W hlen Sie den Port der virtuellen Maschine in der Liste im Dialogfeld Eigenschaften Properties des Switches aus und klicken Sie auf Bearbeiten Edit um das Dialogfeld Eigenschaften Properties des Ports zu ffnen und dessen Einstellungen zu ndern Eine vollst ndige Anleitung zur Erstellung und Aktualisierung von virtuellen Maschinen finden Sie unter Konfiguration virtueller Netzwerke f r virtuelle Maschinen auf Seite 27 VMware Inc 297 Handbuch zur Serverkonfiguration f r ESX Server 3 Andere Befehle Um bestimmte interne Vorg nge zu unterst tzen enthalten die ESX Server 3 Installationen eine Reihe standardm iger Linux Konfigurationsbefehle wie beispielsweise Befehle zur Konfiguration von Netzwerken und Speichern Eine Verwendung dieser Befehle zur Ausf hrung von Konfigurationsaufgaben kann einerseits zu schwerwiegenden Konfigurationskonflikten f hren und andererseits auch dazu dass bestimmte ESX Server 3 Funktionen nicht mehr verwendet werden k nnen Arbeiten Sie immer mit dem VI Client um ESX Server 3 zu konfigurie
128. chine gef hrdet Um das Risiko eines Angriffs ber die Servicekonsole zu minimieren wird die Servicekonsole von VMware durch eine Firewall gesch tzt Weitere Informationen zu dieser Firewall finden Sie unter Konfiguration der Servicekonsolen Firewall auf Seite 249 VMware Inc 177 Handbuch zur Serverkonfiguration f r ESX Server 3 178 Neben der Implementierung der Firewall der Servicekonsole verringert VMware die Risiken f r die Servicekonsole auf folgende Weise ESX Server 3 f hrt nur Dienste aus die zur Verwaltung seiner Funktionen unabdingbar sind Die Servicekonsole beschr nkt sich auf die Funktionen die zum Betrieb von ESX Server 3 notwendig sind Die Standardeinstellung f r die Sicherheit von ESX Server 3 wird bei der Installation auf hoch gesetzt d h alle nach au en gerichteten Ports werden geschlossen und die wenigen freigegebenen nach innen gerichteten Ports sind die Ports die f r die Kommunikation mit Clients wie dem VMware Virtual Infrastructure Client notwendig sind VMware empfiehlt die Beibehaltung dieser Sicherheitseinstellung wenn die Servicekonsole nicht an ein vertrauensw rdiges Netzwerk angeschlossen ist Standardm ig sind alle Ports die nicht spezifisch f r den Verwaltungszugriff auf die Servicekonsole notwendig sind geschlossen Wenn Sie zus tzliche Dienste ben tigen m ssen Sie die jeweiligen Ports ffnen Standardm ig wird der gesamte Datenverkehr zwischen Clients per
129. chtlinie die durch den virtuellen Switch definiert ist aktivieren Sie das nachstehende Kontrollk stchen Status IV Deaktiviert v Durchschnittiche Bandbreite f4 n2400 KBit s Spitzenbandbreite 102400 KBits Burstgr e Abbrechen Hilfe Klicken Sie auf die Registerkarte NIC Gruppierung NIC Teaming VMware Inc 7 VMware Inc Kapitel 3 Erweiterte Netzwerkthemen AktivierenSie das entsprechende Kontrollk stchen um die Richtlinien f r den Lastausgleich oder die Failover Reihenfolge aufer Kraft zu setzen Weitere Informationen zu diesen Einstellungen finden Sie unter Richtlinie f r Lastausgleich und Failover auf Seite 56 VM Network Eigenschaften Allgemein Sicherheit Traffic Shaping MIC Gruppierung Richtlinenausnahmen Laztenausgleich m Anhand der Quelle der Port ID routern r Hetzwerk Falower Ermittlung m Nur Yerbindurgsstatus r r r Switches benachrichten ne m Failback Failswer Reihenfolge Reihenfolge f r vSwitch Failower au er Kraft setzen Wahlen Sie aktive und Standby Adapter f r diese Portgruppe Bei einem Failover werden Standby Adapter in der unten angegebenen Reihenfolge aktiviert Did Standby Adapter Nicht verwendete Adapter Aktive Adapter Adapterdetails Ken Adapter ausgew hlt Treiber Speicherort Abbrechen Hilfe Klicken Sie auf OK 63 Handbuch zur Serverkonfiguration f r ESX Server 3 DNS und Routing
130. chwindigkeits Duplex Einstellungen sind niedrige Bandbreite oder v llig fehlende Verbindung Der Adapter und der physische Switchport an den der Adapter angeschlossen ist m ssen auf den gleichen Wert gesetzt werden entweder Auto Auto oder ND ND wobei ND f r die Geschwindigkeit Duplex steht nicht jedoch Auto ND 7 Klicken Sie auf OK So f gen Sie Uplink Adapter hinzu 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt 2 Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Netzwerk Networking 3 W hlen Sie einen vSwitch und klicken Sie auf Eigenschaften Properties VMware Inc 45 Handbuch zur Serverkonfiguration f r ESX Server 3 4 Klicken Sie im Dialogfeld Eigenschaften Properties auf die Registerkarte Netzwerkadapter Network Adapters 3 vSwitch0 Eigenschaften Ports Netzwerkadapter Netzwerkadapter Geschwi berwac Adapterdetails EB vmnicd 100 Yoll 172 16 Broadcom Corporation Broadcom Net treme Il BCM5708 Speicherort PCI 04 00 0 Treiber bnx2 Status Yerbindungsstatus Yerbunden Konfiqurierte Geschwindigkeit Duplex Autom aushandeln Tats chliche Geschwindigkeit Duplex 100 MB Yollduplex Netzwerke 172 16 19 1 172 16 19 127 Hinzuf gen Bearbeiten Entfernen a 5 Klicken Sie auf Hinzuf gen Ad
131. cken Sie auf Netzwerk hinzuf gen Add Networking 4 W hlen Sie VMkernel aus und klicken Sie auf Weiter Next Das Dialogfeld Netzwerkzugriff Network Access wird angezeigt Auf dieser Seite k nnen Sie den VMkernel der die Dienste f r den iSCSI Speicher ausf hrt an das physische Netzwerk anschlie en 5 W hlen Sie den vSwitch aus den Sie verwenden m chten oder klicken Sie auf Einen virtuellen Switch erstellen Create a virtual switch 76 VMware Inc 6 VMware Inc Kapitel 4 Netzwerkszenarien und Probleml sung Aktivieren Sie die Kontrollk stchen f r die Netzwerkadapter die Ihr vSwitch verwenden soll Assistent zum Hinzuf gen von Netzwerken YMkernel Netzwerkzugriff YMkernel erreicht Netzwerke durch Uplink Adapter die mit virtuellen Switches verbunden sind Verbindungstyp Netzwerkzugriff Einen virtuellen Switch erstellen Yerbindungseinstellungen bersicht C Yerwendung vSwitchO MB vmnicd 100 Yoll 172 16 19 1 172 16 19 127 C Yerwendung vSwitch1 DB vmnic C Yerwendung vSwitch2 Vorschau YMkemel Port Physische Adapter YMkernel 2 N Keine Adapter lt Zur ck Weiter gt Abbrechen Die Auswahlm glichkeiten werden im Bereich Vorschau Preview angezeigt W hlen Sie f r jeden vSwitch Adapter aus sodass die virtuellen Maschinen die an diese Adapter angeschlossen sind auf das ordnungsgem e Ethernet Segment zugreifen k nnen Wenn unter Einen virtuellen Switch erstellen Create
132. d Der Assistent zum Hinzuf gen eines Adapters wird aufgerufen Sie k nnen einem einzelnen vSwitch mehrere Adapter zuweisen um NIC Gruppierung zu bewirken Eine solche Gruppe kann den Datenverkehr gemeinsam verarbeiten und Ausfallsicherheit gew hrleisten VORSICHT Eine Fehlkonfiguration kann dazu f hren dass der VI Client nicht mehr auf den Host zugreifen kann 46 VMware Inc Kapitel 3 Erweiterte Netzwerkthemen Assistent zum Hinzuf gen eines Adapters Adapterauswahl Neue Adapter k nnen aus einem Pool nicht verwendeter Adapter entnommen oder von einem vorhandenen virtuellen Switch bertragen werden Adapter NIC Reihenfolge w hlen Sie einen oder mehrere Adapter aus der Liste Bei Auswahl eines bersicht Adapters der mit einem anderen virtuellen Switch verbunden ist wird dieser daraus entfernt und zu diesem Switch hinzugef gt Name Geschwindigkeit Netzwerk Freie Adapter 08 vmnic down lt Zur ck _wete gt _ Abbrechen 6 W hlen Sie mindestens einen Adapter in der Liste aus und klicken Sie auf Weiter Next VMware Inc 47 Handbuch zur Serverkonfiguration f r ESX Server 3 48 10 Sie k nnen die Netzwerkkarten anordnen indem Sie eine dieser Karten ausw hlen und auf die entsprechenden Schaltfl chen klicken um die Karte nach oben oder unten oder in eine andere Kategorie Aktiv Active oder Standby zu verschieben m Aktive Adapter Active Adapters Adapter die der v
133. dass Angreifer die iSCSI bertragungen nicht berwachen k nnen achten Sie darauf dass keine Ihrer virtuellen Maschinen das iSCSI Speichernetzwerk sehen kann Wenn Sie einen Hardware iSCSI Adapter verwenden erreichen Sie dies indem Sie sicherstellen dass der iSCSI Adapter und der physische Netzwerkadapter des ESX Server 3 nicht versehentlich au erhalb des Hosts durch eine gemeinsame Verwendung des Switches oder in anderer Form verbunden sind Wenn Sie iSCSI direkt ber den ESX Server 3 Host konfigurieren k nnen Sie dies erreichen indem Sie den iSCSI Speicher ber einen anderen virtuellen Switch konfigurieren als denjenigen der durch Ihre virtuellen Maschinen verwendet wird siehe Abbildung 10 5 Abbildung 10 5 ISCSI Speicher an einem eigenen virtuellen Switch virtueller Switch vSwitchO Entfernen Eigenschaften Portgruppe der virtuellen Maschine Physische Adapter bA YM Network EB vmnico 100 vol El 4 virtuelle Maschinen YLAN IC win P x32 DE wingka Server EE x64 DE YM Marketing 1 YM QA 2 Serwicekonsolenport Service Console vgwifD 172 16 19 160 D pepe virtueller Switch wSwikchi Entfernen Eigenschaften ikemel Port Physische Adapter iSCSI eR vmnici 1000 Yol m 172 16 19 54 Serwicekonsolenport Servicekonsole vaauifl 172 16 19 77 Wenn Sie iSCSI direkt ber den Host und nicht ber den Hardware Adapter konfigurieren m ssen Sie beim Einrichten des virtuellen Netz
134. dcast Dom nen deshalb nicht weil eine migrierte virtuelle Maschine m glicherweise Systeme und Ressourcen ben tigen k nnte auf die sie aufgrund der Verschiebung in ein separates Netzwerk keinen Zugriff mehr h tte Selbst wenn Ihre Netzwerkkonfiguration als Hochverf gbarkeitsumgebung VMware Inc 27 Handbuch zur Serverkonfiguration f r ESX Server 3 28 eingerichtet ist oder intelligente Switches enth lt die in der Lage sind dem Bedarf einer virtuellen Maschine auch in verschiedenen Netzwerken zu entsprechen k nnte es sein dassesin der ARP Tabelle Address Resolution Protocol zu Verz gerungen bei der Aktualisierung und der Wiederaufnahme des Netzwerkverkehrs der virtuellen Maschine kommt Virtuelle Maschinen greifen ber Uplink Adapter auf physische Netzwerke zu Ein vSwitch kann nur dann Daten in externe Netzwerke bertragen wenn mindestens ein Netzwerkadapter an den vSwitch angeschlossen ist Wenn zwei oder mehr Adapter an einen vSwitch angeschlossen sind werden sie transparent gruppiert So erstellen Sie ein virtuelles Netzwerk f r eine virtuelle Maschine 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Netzwerk Networking Virtuelle Switches werden in einer bersicht angezeig
135. dem physischen Ger t w hrend des Anlegens gel scht Das Anlegen von Festplatten in diesem Format kann wesentlich l nger dauern als das Anlegen anderer Festplattentypen thick Der Speicher den die virtuelle Festplatte ben tigt wird w hrend des Anlegens zugewiesen Bei dieser Art der Formatierung werden die alte Daten gel scht die sich ggf im zugewiesenen Speicher befinden Dieses Format darf nur vom Root Benutzer erstellt werden thin Schlank bereitgestellte virtuelle Festplatte Im Gegensatz zum Thick Format wird der erforderliche Speicher f r die virtuelle Festplatte nicht w hrend des Anlegens bereitgestellt sondern sp ter in gel schter Form und nach Bedarf 305 Handbuch zur Serverkonfiguration f r ESX Server 3 306 m rdm Virtueller Kompatibilit tsmodus f r die Raw Ger tezuordnung m rdmp Physischer Kompatibilit tsmodus Pass Through f r die Raw Ger tezuordnung mE raw Raw Ger t m 2gbsparse Eine Ersatzfestplatte mit h chstens 2 GB Erweiterungsgr s Festplatten in diesem Format k nnen mit anderen VMware Produkten verwendet werden Sie k nnen jedoch Ersatzfestplatten auf einem ESX Server Host erst einschalten nachdem Sie die Festplatte mithilfe von vmkfstools in einem kompatiblen Format thick oder thin erneut importiert haben m monoflat Eine monolithische Ersatzfestplatte im Flat Format Festplatten in diesem Format k nnen mit anderen VMware Produkten verwendet werden m monofla
136. den Befehl esxcfg module s s21o auf Einrichten von MAC Adressen F r die von der Servicekonsole dem VMkernel und den virtuellen Maschinen genutzten virtuellen Netzwerkadapter werden MAC Adressen generiert In den meisten F llen sind diese MAC Adressen geeignet In folgenden F llen ist es jedoch ggf notwendig eine MAC Adresse f r einen virtuellen Netzwerkadapter festzulegen m Virtuelle Netzwerkadapter auf unterschiedlichen physischen Servern verwenden das gleiche Subnetz und ihnen wurde die gleiche MAC Adresse zugewiesen wodurch ein Konflikt entsteht m Sie m chten sicherstellen dass ein virtueller Netzwerkadapter immer die gleiche MAC Adresse hat Die folgenden Abschnitte beschreiben wie MAC Adtressen generiert werden und wie Sie die MAC Adtresse f r einen virtuellen Netzwerkadapter festlegen k nnen Generierung von MAC Adressen Jedem virtuellen Netzwerkadapter in einer virtuellen Maschine wird eine eindeutige MAC Adresse zugewiesen Eine MAC Adtresse ist eine aus sechs Byte bestehende Zahl Jedem Hersteller von Netzwerkadaptern wird ein eindeutiges drei Byte gro es Pr fix zugewiesen das OUI Organizationally Unique Identifier eindeutiger Bezeichner f r Organisationen genannt wird und das der Hersteller zur Generierung eindeutiger MAC Adressen verwenden kann VMware bietet die folgenden drei OUlIs m OUI f r generierte MAC Adressen m OUI f r manuell festgelegte MAC Adressen m OUI f r ltere virtuelle Masc
137. dieser Konfiguration stellt ESX Server 3 eine Verbindung zum NFS Server her auf dem die virtuellen Festplattendateien gespeichert sind WARNUNG Wenn ESX Server 3 auf eine virtuelle Festplattendatei auf einem A NFS basierten Datenspeicher zugreift wird im gleichen Verzeichnis in dem sich die Festplattendatei befindet eine spezielle Lck XXX Sperrdatei erstellt um zu verhindern dass andere ESX Server 3 Hosts auf diese virtuelle Festplattendatei zugreifen Diese Lck XXX Sperrdatei darf nicht gel scht werden da sonst die aktive virtuelle Maschine nicht auf ihre virtuelle Festplattendatei zugreifen kann NFS Volumes und delegierte Benutzer f r virtuelle Maschine Wenn Sie virtuelle Maschinen in einem NFS basierten Datenspeicher erstellen konfigurieren oder verwalten m chten m ssen Sie einem bestimmten Benutzer dem delegierten Benutzer NFS Zugriffsrechte zuweisen 136 VMware Inc Kapitel 6 Speicherkonfiguration Der delegierte Benutzer f r den ESX Server 3 Host ist standardm ig root Nicht alle NFS Volumes akzeptieren jedoch Root als delegierten Benutzer In einigen F llen ist es m glicherweise angebracht dass der NFS Administrator die Volumes mit aktivierter Option root squash exportiert um die NFS Volumes vor unbefugtem Zugriff zu sch tzen Wenn die Option root squash aktiviert ist behandelt der NFS Server den Root Zugriff wie einen unberechtigten Benutzerzugriff und verweigert m glicherweise den Zugriff des ESX Server 3
138. dort Aktuelles Festplatten La Ger t Eigenschaften Ivmfsidevicesidisks 136 70 GB vrhba0 0 0 Formatierung Bereit zum Abschlie en Prim re Partitionen Linux native 94 13 MB Linux native 4 57 GB Freier Speicherpla 129 13 GB Linux swap 533 41 MB Linux native 1 94 GB vMware Diagnose 94 13 MB Anschlie end w hlen Sie eine der folgenden Konfigurationen aus Wir empfehlen die gesamte Festplatte LUN f r ein einziges YMware Dateisystem zu reservieren Zus tzliche Dateisysteme die f r dieses Ger t bereitgestellt werden werden nur unterst tzt wenn sie ausschlie lich von der Servicekonsole verwendet werden C Gesamtes Ger t 136 68 GB verwenden b Warnung Diese Konfiguration l scht das aktuelle Festplattenlayout Alle Dateisysteme und Daten gehen dauerhaft verloren Freien Speicherplatz nutzen 129 13 GB lt Zur ck _weter gt Abbrechen Klicken Sie auf Weiter Next Geben Sie auf der Seite Festplatte LUN Eigenschaften Disk LUN Properties einen Dateispeichernamen ein und klicken Sie auf Weiter Next Die Seite Festplatte LUN Formatierung Disk LUN Formatting wird angezeigt Passen Sie bei Bedarf das Dateisystem und die Gr sen an Standardm ig wird der gesamte freie Speicherplatz des Speicherger ts angeboten Klicken Sie auf Weiter Next berpr fen Sie im Fenster Fertig zur Weiterbearbeitung Ready to Complete die Informationen zur Datenspeicherkonfiguration und klicken Sie auf Fer
139. dung virtueller Maschinen finden Sie unter Beispiel Erstellen einer Netzwerk DMZ auf einem einzelnen ESX Server Host auf Seite 180 Wenn die Isolierung der virtuellen Maschinen genau beachtet wird die virtuellen Switches ordnungsgem konfiguriert werden und die Netzwerktrennung eingehalten wird k nnen alle drei Zonen virtueller Maschinen auf dem gleichen ESX Server Host untergebracht werden ohne dass Datenverluste oder Ressourcenmissbr uche bef rchtet werden m ssen Das Unternehmen erzwingt die Isolierung der virtuellen Maschinengruppen durch die Verwendung mehrerer interner und externer Netzwerke und die Sicherstellung dass die virtuellen Switches und physischen Netzwerkadapter jeder Gruppe von denen anderer Gruppen vollst ndig getrennt sind VMware Inc Kapitel 9 Sicherheit f r ESX Server 3 Systeme Da keiner der virtuellen Switches sich ber mehrere Zonen erstreckt wird das Risiko des Durchsickerns von Daten von einer Zone in eine andere ausgeschaltet Ein virtueller Switch kann aufbaubedingt keine Datenpakete direkt an einen anderen virtuellen Switch weitergeben Datenpakete k nnen nur unter folgenden Umst nden von einem virtuellen Switch zu einem anderen gelangen m Wenn die virtuellen Switches an das gleiche physische LAN angeschlossen sind m Wenn die virtuellen Switches an eine gemeinsame virtuelle Maschine angeschlossen sind die dann dazu verwendet werden kann Datenpakete zu bertragen In der Beispielk
140. e ffnet VMware Inc Kapitel8 Raw Ger tezuordnung Klicken Sie auf der Hardware auf Festplatte Hard Disk und dann auf Pfade verwalten Manage Paths Im Dialogfeld Pfade verwalten Manage Paths k nnen Sie Ihre Pfade aktivieren oder deaktivieren eine Multipathing Richtlinie festlegen und den bevorzugten Pfad angeben Folgen Sie den folgenden Vorgehensweisen m So richten Sie die Multipathing Richtlinie ein auf Seite 152 m So richten Sie den bevorzugten Pfad ein auf Seite 153 m So deaktivieren Sie einen Pfad auf Seite 153 Das Dienstprogramm vmkfstools In der Servicekonsole kann f r viele der Operationen die ber den VI Client ausgef hrt werden das Befehlszeilendienstprogramm vmkfstools verwendet werden Zu den typischen Operationen f r die Raw Ger tezuordnung geh ren die Befehle zur Erstellung einer Zuordnungsdatei die Abfrage von Zuordnungsinformationen wie Name und Bezeichnung des zugeordneten Ger ts und Import und Export einer virtuellen Festplatte Siehe Verwenden von vmkfstools auf Seite 299 Dateisystemfunktionen Die meisten Dateisystemfunktionen die in der Servicekonsole ausgef hrt werden k nnen k nnen auf Raw Ger tezuordnungen angewendet werden Tabelle 8 2 In der Servicekonsole aufgerufene Befehle Befehl Beschreibung ls l Zeigt den Datennamen und die Zugriffsberechtigungen der Zuordnungsdatei sowie die L nge des zugeordneten Ger ts du Zeigt de
141. e Beschreibung der Festplattenformate finden Sie unter Unterst tzte Festplattenformate auf Seite 305 VMware Inc Anhang B Verwenden von vmkfstools Beispiel der Erstellung einer virtuellen Festplatte vmkfstools c 2048m vmfs volumes myVMFS rh6 2 vmdk Dieses Beispiel zeigt die Erstellung einer virtuellen Festplattendatei mit 2 GB und dem Namen rh6 2 vmdk im VMFS Dateisystem mit dem Namen myVMFS Diese Datei stellt eine leere virtuelle Festplatte dar auf die virtuelle Maschinen zugreifen k nnen Initialisieren einer virtuellen Festplatte w writezeros Mit dieser Option wird die virtuelle Festplatte bereinigt indem die gesamten Daten mit Nullen berschrieben werden In Abh ngigkeit der Gr e Ihrer virtuellen Festplatte und der E A Bandbreite des Ger ts das als Host der virtuellen Festplatte dient kann die Ausf hrung dieses Befehls lange dauern V VORSICHT Bei der Ausf hrung dieses Befehls werden alle vorhandenen Daten auf der virtuellen Festplatte gel scht Vergr ern einer virtuellen Festplatte im Thin Format j inflatedisk Mit dieser Option wird eine virtuelle Festplatte vom Typ thin in den Typ eagerzeroedthick konvertiert wobei alle bestehenden Daten erhalten bleiben Alle Bl cke die nicht bereits nicht zugewiesen wurden werden zugewiesen und gel scht Siehe Unterst tzte Festplattenformate auf Seite 305 L schen einer virtuellen Festplatte U deletevirtualdisk Diese Option l sc
142. e Ger te au er dem iSCSI Adapter Einblick in bertragungen im iSCSI SAN haben m Sch tzen Sie die iSCSI Ports Wenn Sie die iSCSI Ger te ausf hren ffnet der ESX Server 3 Host keine Ports die Netzwerkverbindungen berwachen Dadurch wird die Chance dass ein Angreifer ber ungenutzte Ports in den ESX Server 3 Host einbrechen und Kontrolle ber ihn erlangen kann Daher stellt der Betrieb von iSCSI kein zus tzliches Sicherheitsrisiko f r den ESX Server 3 Host dar Beachten Sie dass auf jedem iSCSI Zielger t mindestens ein freigegebener TCP Port f r iSCSI Verbindungen vorhanden sein muss Wenn es Sicherheitsprobleme in der Software des iSCSI Ger ts gibt k nnen die Daten unabh ngig von ESX Server 3 in Gefahr sein Installieren Sie alle Sicherheitspatches des Speicherherstellers und beschr nken Sie die Anzahl der an das iSCSI Netzwerk angeschlossenen Ger te um dieses Risiko zu verringern 220 VMware Inc Authentifizierung und Benutzerverwaltung In diesem Kapitel wird erl utert wie ESX Server 3 die Benutzerauthentifizierung vornimmt und wie Sie Benutzer und Gruppenberechtigungen einrichten Au erdem werden die Verschl sselung f r Verbindungen zum VI Client zum SDK und zu VIWeb Access sowie die Konfigurierung eines delegierten Benutzernamens f r bertragungen bei NFS Speichern erl utert In diesem Kapitel werden folgende Themen behandelt m Absichern von ESX Server 3 ber Authentifizierung und Berechtigu
143. e Migration die Festplatte kopiert werden muss m Im virtuellen Kompatibilit tsmodus Virtual compatibility kann sich die Raw Ger tezuordnung wie eine virtuelle Festplatte verhalten sodass Sie Funktionen wie Snapshots Klonen usw verwenden k nnen 6 W hlen Sie den Knoten des virtuellen Ger ts aus 7 Wenn Sie Unabh ngiger Modus Independent w hlen aktivieren Sie eine der folgenden Optionen m Dauerhaft Persistent nderungen werden sofort und permanent auf die Festplatte geschrieben m Nicht dauerhaft Nonpersistent Auf die Festplatte geschriebene nderungen werden beim Herunterfahren oder Wiederherstellen eines Snapshots verworfen 8 Klicken Sie auf Weiter Next 9 berpr fen Sie auf der Seite Bereit zum Abschlie en der neuen virtuellen Maschine Ready to Complete New Virtual Machine Ihre Angaben 10 Klicken Sie auf Fertig Finish um die virtuelle Maschine zu erstellen Sie k nnen eine Raw Ger tezuordnung auch einer vorhandenen virtuellen Maschine hinzuf gen So f gen Sie eine Raw Ger tezuordnung zu einer virtuellen Maschine hinzu 1 Klicken Sie im VI Client in der Navigationsleiste auf Bestandsliste Inventory und erweitern Sie die Liste bei Bedarf 2 W hlen Sie die virtuelle Maschine in der Bestandsliste aus 3 Klicken Sie auf der Registerkarte bersicht Summary auf Einstellungen bearbeiten Edit Settings VMware Inc 167 Handbuch zur Serverkonfiguration f r ESX Server 3 168
144. e Zertifikate verwenden k nnen VORSICHT Zertifikate die an einem anderen Speicherort als auf dem ESX Server 3 Host gespeichert werden sind unbrauchbar wenn der Host keine Netzwerkverbindung hat Ist die Zertifikatspr fung aktiviert k nnen Sie keine sicheren Verbindungen mit G sten einrichten Zur Unterst tzung von Verschl sselung f r Benutzernamen Kennw rter und Pakete wird SSL standardm ig f r VI Web Access und VMware Infrastructure SDK Verbindungen aktiviert Wenn Sie diese Verbindungen so konfigurieren m chten dass bertragungen nicht verschl sselt werden deaktivieren Sie SSL f r Ihre VI Web Access bzw VMware Infrastructure SDK Verbindung indem Sie die Verbindung von HTTPs auf HTIP umstellen siehe So ndern Sie Sicherheitseinstellungen f r einen Web Proxy Dienst auf Seite 240 Deaktivieren Sie SSL nur dann wenn Sie eine vollst ndig vertrauensw rdige Umgebung f r die Clients geschaffen haben d h Firewalls wurden installiert und die bertragungen zum und vom Host sind vollst ndig isoliert Die Deaktivierung von SSL kann die Leistung verbessern da der f r die Verschl sselung notwendige Verarbeitungsaufwand nicht anf llt Um den Missbrauch von ESX Server 3 Diensten wie dem internen Webserver auf dem VI Web Access ausgef hrt wird zu verhindern kann auf die meisten internen ESX Server 3 Dienste nur ber Port 443 den f r HTTPS bertragungen verwendeten Port zugegriffen werden Port 443 dient al
145. edoch weder die Bit bertragungsschicht noch die anderen Schichten Auch bei der Verwendung von VLANs sollten Sie zus tzlichen Schutz durch Absicherung der Hardware Router Hubs usw und Verschl sselung der Daten bertragungen implementieren VLANs ersetzen Softwarefirewalls in den Konfigurationen virtueller Maschinen nicht In den meisten Netzwerkkonfigurationen mit VLANs gibt es auch Softwarefirewalls Wenn Sie VLANs in Ihr virtuelles Netzwerk implementieren m ssen die Firewalls VLANs erkennen k nnen Stellen Sie sicher dass die VLANs ordnungsgem konfiguriert sind Eine Fehlkonfiguration der Ausstattung und Netzwerkhardware firmware oder software setzt ein VLAN m glichen VLAN Hopping Angriffen aus VLAN Hopping tritt dann auf wenn ein Angreifer mit autorisiertem Zugriff auf ein VLAN Datenpakete erstellt die die physischen Switches dazu bringen die Pakete in ein anderes VLAN zu bertragen f r das der Angreifer keine Zugriffsberechtigung besitzt Anf lligkeit f r diese Art von Angriffen liegt meist dann vor wenn ein Switch falsch f r den nativen VLAN Betrieb konfiguriert wurde wodurch der Switch nicht gekennzeichnete Pakete empfangen und bertragen kann Um ein VLAN Hopping zu verhindern aktualisieren Sie stets Ihre Umgebung indem Sie Updates der Hardware und Firmware sofort aufspielen Achten Sie bei der Konfiguration Ihrer Umgebung auch stets auf die Einhaltung der Empfehlungen des Herstellers 207 Handbuch
146. efehle in diesem Anhang vermeiden wenn der Host gegenw rtig durch den VI Client oder den VirtualCenter Server verwaltet wird Die grafische Benutzeroberfl che des VI Clients ist die bevorzugte Umgebung zur Ausf hrung der Konfigurationsaufgaben die in diesem Anhang beschrieben werden Sie k nnen diesen Anhang verwenden wenn Sie wissen m chten welche VI Client Befehle anstelle der Servicekonsolenbefehle verwendet werden k nnen Dieser Anhang bietet eine bersicht der Aktionen die Sie im VI Client durchf hren k nnen bietet jedoch keine vollst ndigen Anleitungen Details zur Verwendung der Befehle und zur Ausf hrung von Konfigurationsaufgaben ber den VI Client finden Sie in der Onlinehilfe Zus tzliche Informationen zu bestimmten ESX Server 3 Befehlen erhalten Sie wenn Sie sich an der Servicekonsole anmelden und ber den Befehl man lt esxcfg_Befehlsname gt die entsprechenden Manpages anzeigen lassen VMware Inc 291 Handbuch zur Serverkonfiguration f r ESX Server 3 Tabelle A 1 f hrt die Befehle f r den technischen Support f r ESX Server 3 auf fasst den Zweck jedes Befehls zusammen und bietet eine Alternative zum VI Client Sie k nnen die meisten der VI Client Aktionen die in der Tabelle aufgef hrt werden erst dann ausf hren wenn Sie einen ESX Server 3 Host in der Bestandsliste ausgew hlt und auf die Registerkarte Konfiguration Configuration geklickt haben Dies muss vor der Ausf hrung der unten aufgef hrt
147. eichersysteme unterst tzen redundante Verbindungspfade um Fehlertoleranz zu gew hrleisten Siehe Verwalten mehrerer Pfade auf Seite 146 Wenn mehrere ESX Server 3 Hosts an die lokale Speichereinheit angeschlossen sind k nnen Sie im nicht gemeinsamen Nutzungsmodus auf Speicher LUNs zugreifen Der nicht gemeinsame Nutzungsmodus l sst nicht zu dass mehrere ESX Server 3 Hosts gleichzeitig auf denselben VMFS Datenspeicher zugreifen Es gibt jedoch verschiedene SAS Speichersysteme die einen gemeinsamen Zugriff auf mehrere ESX Server 3i Hosts bieten Diese Art des Zugriffs erm glicht mehreren ESX Server 3i Hosts auf denselben VMEFS Dateispeicher auf einer LUN zuzugreifen Siehe Gemeinsames Nutzen eines VMEFS Volumes durch mehrere ESX Server 3 Systeme auf Seite 99 ESX Server 3 unterst tzt verschiedene interne und externe lokale Speicherger te einschlie lich SCSI IDE SATA und SAS Speichersystemen Unabh ngig vom gew hlten Speichertyp verbirgt ESX Server 3 eine physische Speicherebene vor den virtuellen Maschinen VMware Inc 93 Handbuch zur Serverkonfiguration f r ESX Server 3 94 Beachten Sie beim Einrichten des lokalen Speichers Folgendes Virtuelle Maschinen k nnen nicht auf IDE ATA Laufwerken gespeichert werden Verwenden Sie lokalen internen und externen SATA Speicher nur im nicht gemeinsamen Nutzungsmodus SATA Speicher unterst tzt nicht die gemeinsame Nutzung derselben LUNs und deshalb nicht denselben VM
148. eien der virtuellen Maschine gespeichert sind Wenn beispielsweise die Konfigurationsdatei der virtuellen Maschine die Sie im Dialogfeld Eigenschaften der virtuellen Maschine Virtual Machine Properties abgerufen haben voll1 vm finance vm finance vmx ist wechseln Sie die Verzeichnisse wie folgt cd vmfs volumes vol1 vm finance Verwenden Sie zum Begrenzen der Protokollgr e Nano oder einen anderen Text Editor um die vmx Datei um die folgende Zeile zu erg nzen log rotateSize lt Maximalgr e gt lt Maximalgr e gt ist die maximale Dateigr e in Bytes Um beispielsweise die Datei auf 100 KB zu begrenzen geben Sie 100000 ein 285 Handbuch zur Serverkonfiguration f r ESX Server 3 286 6 Verwenden Sie zum Begrenzen der Anzahl der Protokolldateien Nano oder einen anderen Text Editor um die vmx Datei um die folgende Zeile zu erg nzen log keepOld lt Gew nschte Anzahl an Dateien gt lt Gew nschte Anzahl an Dateien gt ist die Anzahl an Dateien die auf dem Server gespeichert bleiben Um beispielsweise 10 Protokolldateien zu speichern und anschlie end mit dem L schen der ltesten und Erstellen neuer Dateien zu beginnen geben Sie 10 ein Die Protokollierung kann auch vollst ndig deaktiviert werden Beachten Sie dass Sie in diesem Fall ggf nicht in der Lage sind entsprechende Protokolle f r die Fehlerbehebung zu sammeln Au erdem leistet VMware keine technische Unterst tzung f r virtuelle Maschinen
149. eindeutig sein sollte jedoch aussagekr ftig sein damit der Dienst oder Agent identifiziert werden kann der den Port verwendet Beispiel esxcfg firewall openPort 6380 tcp in Navisphere 3 Geben Sie folgenden Befehl ein um den Prozess vmware hostd neu zu starten service mgmt vmware restart So blockieren Sie einen bestimmten Port in der Servicekonsolen Firewall 1 Melden Sie sich an der Servicekonsole an und rufen Sie Root Berechtigungen ab 2 F hren Sie den folgenden Befehl aus esxcfg firewall closePort lt Portnummer gt tcp udp in out lt Portname gt F r den Befehl closePort ist das Argument Portname optional Beispiel esxcfg firewall closePort 6380 tcp in 3 Geben Sie folgenden Befehl ein um den Prozess vmware hostd neu zu starten service mgmt vmware restart Sie k nnen die Option closePort verwenden um nur die Ports zu blockieren die Sie mit der Option openPort freigegeben hatten Wenn Sie ein anderes Verfahren verwendet haben um den Port freizugeben m ssen Sie auch das entsprechende Gegenst ck zu dem Verfahren verwenden um ihn zu blockieren So k nnen Sie zum Beispiel den SSH Port 22 nur blockieren indem Sie die ein und ausgehende SSH Server Verbindung im VI Client deaktivieren Weitere Informationen zur Freigabe und Blockierung von Ports ber den VI Client finden Sie unter ffnen von Firewallports f r unterst tzte Dienste und Verwaltungs Agenten auf Seite 198 VMware Inc 253 Handbuch zur S
150. einen ESX Server 3 Host konfigurieren kann ein oder mehrere SANs Speichernetzwerke umfassen die iSCSI verwenden iSCSI ist ein Instrument f r den Zugriff auf SCSI Ger te und zum Austausch von Datens tzen indem das TCP IP Protokoll ber einen Netzwerkport und nicht ber einen direkten Anschluss an ein SCSI Ger t eingesetzt wird In iSCSI bertragungen werden Raw SCSI Datenbl cke in iSCSI Datens tze eingekapselt und an das Ger t oder den Benutzer das der die Anforderung gestellt hat bertragen iSCSI SANs erm glichen die effiziente Verwendung bestehender Ethernet Infrastrukturen zum Zugriff auf Speicherressourcen durch ESX Server 3 Hosts die diese Ressourcen dynamisch teilen k nnen Deshalb bieten iSCSI SANS eine wirtschaftliche Speicherl sung f r Umgebungen die auf einem gemeinsamen Speicherpool f r verschiedene Benutzer basieren Wie in allen vernetzten Systemen sind auch iSCSI SANs anf llig f r Sicherheitsverletzungen Wenn Sie iSCSI auf einem ESX Server 3 Host konfigurieren k nnen Sie diese Sicherheitsrisiken durch verschiedene Ma nahmen minimieren HINWEIS Die Anforderungen und Vorgehensweisen f r die Absicherung von iSCSI SANs hneln denen f r Hardware iSCSI Adapter die Sie f r ESX Server 3 Hosts und f r iSCSI das direkt ber den ESX Server 3 Host konfiguriert wird verwenden Weitere Informationen zur Konfiguration von iSCSI Adaptern und Speichern finden Sie unter iSCSI Speicher auf Seite 116 Absich
151. einen Kunden Zugriffsumfang Standortadministratorr Systemadministrator Root Zugriff Ja Nein Servicekonsolenzugriff ber SSH Ja Nein VirtualCenter und VI Web Access Ja Nein Erstellung und nderung virtueller Ja Nein Maschinen Zugriff auf virtuelle Maschinen ber die Ja Ja Konsole VMware Inc 271 Handbuch zur Serverkonfiguration f r ESX Server 3 Eingeschr nkte Implementierung f r mehrere Kunden In dieser Implementierung befinden sich die ESX Server 3 Hosts im gleichen Datencenter und werden f r Anwendungen mehrerer Kunden verwendet Der Standortadministrator verwaltet die ESX Server 3 Hosts auf denen mehrere virtuelle Maschinen jeweils f r die einzelnen Kunden ausgef hrt werden Die virtuellen Maschinen der verschiedenen Kunden k nnen sich auf dem gleichen ESX Server 3 Host befinden doch der Standortadministrator beschr nkt die gemeinsame Nutzung von Ressourcen um die Datensicherheit zu gew hrleisten Es gibt einen Standortadministrator und mehrere Kundenadministratoren die die virtuellen Maschinen ihrer jeweiligen Kunden verwalten Zu dieser Implementierung geh ren auch Systemadministratoren der Kunden die kein ESX Server 3 Konto haben doch ber die VM Konsole auf die virtuellen Maschinen zugreifen k nnen um Software zu installieren und andere Verwaltungsaufgaben in den virtuellen Maschinen durchzuf hren Tabelle 13 4 zeigt wie Sie die Komponenten gemeinsam nutzen und f r den ESX Ser
152. el Gatewayroute sowie zum Hinzuf gen Entfernen und Auflisten statischer Routen Um die Standard Gatewayroute des VMkernels im VI Client festzulegen klicken Sie auf DNS und Routing DNS and Routing Wenn Sie die Standardroute ndern m chten klicken Sie auf Eigenschaften Properties und aktualisieren Sie die Daten auf beiden Registerkarten im Dialogfeld DNS und Routing Konfiguration DNS and Routing Configuration esxcfg swiscsi Konfiguriert den Software iSCSI Software Adapter Klicken Sie zur Konfiguration des Software iSCSI Systems im VI Client auf Speicheradapter Storage Adapters markieren Sie den iSCSI Adapter den Sie konfigurieren m chten und klicken Sie auf Eigenschaften Properties Konfigurieren Sie den Adapter im Dialogfeld Eigenschaften des iSCSI Initiators iSCSI Initiator Properties Eine vollst ndige Anleitung zur Erstellung und Konfiguration von iSCSI Datenspeichern finden Sie unter iSCSI Speicher auf Seite 116 VMware Inc 295 Handbuch zur Serverkonfiguration f r ESX Server 3 Tabelle A 1 Befehle f r den technischen Support von ESX Server 3 Fortsetzung Servicekonsolenbefehl esxcfg upgrade Zweck des Befehls und VI Client Verfahren Aktualisiert ESX Server von ESX Server 2 x auf ESX Server 3 Dieser Befehl ist nicht zur allgemeinen Verwendung bestimmt Durch das Upgrade von 2 x auf 3 x werden die folgenden Aufgaben ausgef hrt Einige davon k nnen im VI Client ausgef hrt werden
153. ele kennt die kontaktiert werden und deren IP Adressen und Dom nennamen f r die Kommunikation mit ihnen verwendet Die statische Erkennungsmethode steht nur zur Verf gung wenn ber Hardware Initiatoren auf den iSCSI Speicher zugegriffen wird ISCSI Sicherheit Da iSCSI die IP Netzwerke zur Anbindung an Remoteziele verwendet muss die Sicherheit der Verbindung gew hrleistet werden Das IP Protokoll sch tzt die Daten die es bermittelt nicht selbst und kann auch die Legitimit t der Initiatoren die auf die Ziele im Netzwerk zugreifen nicht berpr fen Zur Sicherstellung der Sicherheit in IP Netzwerken m ssen Sie gesonderte Ma nahmen ergreifen VMware Inc Kapitel 6 Speicherkonfiguration ESX Server 3 unterst tzt das Challenge Handshake Authentication Protocol CHAP das die iSCSI Initiatoren zur Authentifizierung nutzen k nnen Nach der ersten Verbindung mit dem Ziel durch den Initiator berpr ft CHAP die Identit t des Initiators und pr ft den CHAP Schl ssel der von Initiator und Ziel gemeinsam genutzt wird Das kann w hrend der iSCSI Sitzung regelm ig wiederholt werden Wenn Sie iSCSI Initiatoren f r Ihr ESX Server 3 System konfigurieren berpr fen Sie ob der iSCSI Speicher CHAP unterst tzt Falls ja muss das Protokoll f r Ihre Initiatoren aktiviert werden Siehe Absichern von iSCSI Speicher auf Seite 214 Konfigurieren von Hardware iSCSI Initiatoren und Speicher Wenn Ihr ESX Server 3 mit dem
154. elle zur Servicekonsole Verbesserte Schl sselqualit t SSH unterst tzt nun nur noch 256 Bit und 128 Bit AES Schl ssel f r Verbindungen Beschr nkte Fernanmeldung als Root Eine Remoteanmeldung als Root Benutzer ist nicht mehr m glich Sie melden sich stattdessen als Benutzer an und verwenden dann entweder den Befehl sudo um bestimmte Vorg nge die Root Berechtigungen erfordern auszuf hren oder den Befehl su um zum Root Benutzer zu werden HINWEIS Der Befehl sudo bietet Sicherheitsvorteile da er die Root Aktivit ten einschr nkt und erm glicht den m glichen Missbrauch von Root Berechtigungen zu berpr fen indem er eine Pr fliste alle Root Aktivit ten anlegt die der Benutzer durchf hrt Diese Einstellungen wurden so entworfen dass die Daten die Sie ber SSH an die Servicekonsole bertragen gut gesch tzt werden Wenn diese Konfiguration f r Ihre Bed rfnisse zu streng ist k nnen Sie die Sicherheitsparameter senken So ndern Sie die SSH Standardkonfiguration 1 2 Melden Sie sich an der Servicekonsole an und rufen Sie Root Berechtigungen ab Wechseln Sie in der Eingabeaufforderung ber den Befehl cd etc ssh das Verzeichnis F hren Sie in einem Texteditor nach Bedarf einen oder mehrere der folgenden Vorg nge aus m Wenn Sie die Root Remote Anmeldung zulassen m chten ndern Sie die Einstellung in der folgenden Zeile der Datei sshd_config in yes PermitRootLogin no m Um zum urspr nglich
155. elnen physischen Festplatte oder auf einer Vielzahl von Festplatten in einem Festplattenarray anzeigt Eine einzelne LUN kann aus dem gesamten Speicherplatz auf der Speicherfestplatte bzw im Array bzw aus einem Teil des Speicherplatzes erstellt werden der Partition genannt wird Die LUN die Festplattenspeicher auf mehreren physischen Festplatten oder Partitionen belegt wird auf dem ESX Server 3 Host weiterhin als ein logisches Volume angezeigt ESX Server 3 kann LUNs als VMFS Datenspeicher formatieren VMFS Datenspeicher dienen haupts chlich als Ablagen f r virtuelle Maschinen Sie k nnen mehrere virtuelle Maschinen auf demselben VMFS Volume speichern Jede virtuelle Maschine ist in einem Satz Dateien gekapselt und belegt ein eigenes Verzeichnis F r das Betriebssystem innerhalb der virtuellen Maschine beh lt VMFS die interne Dateisystemsemantik bei Dadurch wird das ordnungsgem f s Verhalten von Anwendungen und die Datensicherheit f r Anwendungen gew hrleistet die in virtuellen Maschinen ausgef hrt werden VMware Inc Kapitel 5 Einf hrung in die Speicherung Dar ber hinaus k nnen Sie in VMFS Datenspeichern andere Dateien speichern z B Vorlagen virtueller Maschinen und ISO Images VMES unterst tzt die folgenden Datei und Blockgr f sen sodass Sie auch die datenhungrigsten Anwendungen wie Datenbanken ERP und CRM in virtuellen Maschinen ausf hren k nnen m Maximale Gr e der virtuellen Festplatte 2 TB mit einer Bl
156. en Ports werden f r die grundlegende Kommunikation mit ESX Server 3 verwendet Durch diese Einstellung ist die Sicherheitsstufe f r den ESX Server 3 Host sehr hoch VMware Inc 249 Handbuch zur Serverkonfiguration f r ESX Server 3 250 HINWEIS Die Firewall l sst auch Internet Control Message Protocol ICMP Pings und Kommunikation mit DHCP und DNS Clients nur UDP zu In vertrauensw rdigen Umgebungen kann eine niedrigere Sicherheitsstufe m glich sein In diesem Fall k nnen Sie die Firewall entweder auf mittlere oder niedrige Sicherheit setzen m Mittlere Sicherheit Der gesamte eingehende Datenverkehr wird blockiert ausgenommen ist Datenverkehr auf den Standard Ports 902 433 80 und 22 sowie auf allen Ports die Sie freigeben Ausgehender Datenverkehr wird nicht blockiert m Niedrige Sicherheit Weder eingehender noch ausgehender Datenverkehr wird blockiert Diese Einstellung entspricht der Deaktivierung der Firewall Da die standardm ig freigegebenen Ports stark beschr nkt sind m ssen Sie ggf nach der Installation zus tzliche Ports freigeben Eine Liste h ufig verwendeter Ports die Sie ggf freigeben m ssen finden Sie unter TCP und UDP Ports f r den Verwaltungszugriff auf Seite 193 Durch Hinzuf gen unterst tzter Dienste und Verwaltungs Agenten die zum effektiven Betrieb von ESX Server 3 notwendig sind werden weitere Ports in der Firewall der Servicekonsole freigegeben Dienste und Verwaltungs Ag
157. en Prozeduren durchgef hrt werden sofern nichts anderes angegeben ist Tabelle A 1 Befehle f r den technischen Support von ESX Server 3 Servicekonsolenbefehl esxcfg advcfg Zweck des Befehls und VI Client Verfahren Konfiguriert erweiterte Optionen f r ESX Server 3 Um die erweiterten Optionen im VI Client zu konfigurieren klicken Sie auf Erweiterte Einstellungen Advanced Settings Wenn das Dialogfeld Erweiterte Einstellungen Advanced Settings ge ffnet wird w hlen Sie in der Liste auf der linken Seite den Ger tetyp oder die Aktivit t aus mit dem der Sie arbeiten m chten und nehmen Sie die entsprechenden Einstellungen vor esxcfg auth Konfiguriert die Authentifizierung Verwenden Sie diesen Befehl um zwischen den Plug Ins pam_cracklib so und pam_passwdaqc so zur Durchsetzung der nderungsregeln f r Kennw rter umzuschalten Mit diesem Befehl k nnen Sie auch die Optionen f r diese beiden Plug Ins zur cksetzen Weitere Informationen finden Sie unter Kennwortkomplexit t auf Seite 256 Diese Funktionen k nnen nicht im VI Client konfiguriert werden esxcfg boot Konfiguriert die Bootstrap Einstellungen Dieser Befehl wird f r den Bootstrap Prozess verwendet und ist nur f r den technischen Support von VMware vorgesehen Geben Sie diesen Befehl nur auf ausdr ckliche Anweisung eines Vertreters des technischen Suports von VMware ein Diese Funktionen k nnen nicht im VI Client konfiguriert werden
158. en SSH Protokoll Version 1 und 2 zur ckzukehren kommentieren Sie folgende Zeile in der Datei sshd_config aus Protocol 2 VMware Inc Kapitel 12 Sicherheit der Servicekonsole m Um 3DES Verschl sselung und andere Verschl sselungsarten auch weiterhin zu verwenden kommentieren Sie folgende Zeile in der Datei sshd_config aus Ciphers aes256 cbc aes128 cbc m Um Secure FTP SFTP auf SSH zu deaktivieren kommentieren Sie folgende Zeile in der Datei sshd_config aus Subsystem ftp usr libexec openssh sftp server 4 Speichern Sie die nderungen und schlie en Sie die Datei 5 Geben Sie folgenden Befehl ein um den SSHD Dienst neu zu starten service sshd restart Sicherheitspatches und Software zum Suchen nach Sicherheitsl cken Wenn ein Patch f r ein bestimmtes von LINUX unterst tztes Softwarepaket das von VMware als Servicekonsolenkomponente angeboten wird zum Beispiel ein Dienst ein Hilfsprogramm oder ein Protokoll verf gbar wird stellt VMware ein Paket f r den RPM Package Manager RPM zur Verf gung mit dem Sie das Softwarepaket auf ESX Server 3 aktualisieren k nnen Verwenden Sie immer die RPMs die VMware zur Verf gung stellt selbst wenn diese Patches auch von Drittanbietern als RPM angeboten werden Bei der Ver ffentlichung von Patches f r ein Softwarepaket portiert VMware den Patch grunds tzlich auf eine Version der Software zur ck die auch wirklich stabil ist Durch diese Herangehensweise werden die
159. en Server in der Bestandsliste aus Klicken Sie auf die Registerkarte Benutzer und Gruppen Users amp Groups und dann auf Benutzer Users oder Gruppen Groups Legen Sie die Sortierreihenfolge der Tabelle fest und blenden Sie Spalten ein oder aus je nachdem welche Daten in der Exportdatei enthalten sein sollen Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle in der Tabelle Benutzer und klicken Sie auf Exportieren Export Das Dialogfeld Speichern unter Save As wird angezeigt W hlen Sie einen Pfad geben Sie einen Dateinamen ein und w hlen Sie den Dateityp aus Klicken Sie auf OK Verwalten der Tabelle Benutzer Sie k nnen Benutzer zur Tabelle Benutzer Users eines ESX Server 3 Hosts hinzuf gen Benutzer entfernen und andere Benutzerattribute wie Kennwort und Gruppenmitgliedschaft ndern Durch diese Aktivit ten ndern Sie die interne vom ESX Server 3 Host verwaltete Benutzerliste VMware Inc 231 Handbuch zur Serverkonfiguration f r ESX Server 3 232 So f gen Sie einen Benutzer der ESX Server 3 Tabelle Benutzer hinzu 1 2 Melden Sie sich ber den ESX Server 3 Host am VI Client an W hlen Sie den Server in der Bestandsliste aus Klicken Sie auf die Registerkarte Benutzer und Gruppen Users amp Groups und dann auf Benutzer Users Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle der Tabelle Benutzer Users und klicken Sie auf Hinzuf gen Add
160. en Sie eine Regel zur Wiederverwendung von Kennw rtern 1 2 Melden Sie sich an der Servicekonsole an und rufen Sie Root Berechtigungen ab Wechseln Sie an der Eingabeaufforderung ber den Befehl cd etc pam d das Verzeichnis Bearbeiten Sie die Datei system auth mithilfe eines Texteditors Gehen Sie zu der Zeile die mit folgendem Argument beginnt password sufficient lib security ISA pam_unix so F gen Sie am Ende der Zeile folgende Parameter ein remember X Hierbei ist X die Anzahl der alten Kennw rter die f r jeden Benutzer gespeichert werden soll Trennen Sie den vorhergehenden Parameter und remember X durch ein Leerzeichen Speichern Sie die nderungen und schlie en Sie die Datei Wechseln Sie in das Verzeichnis etc security und geben Sie folgenden Befehl ein um eine Nulll ngendatei mit dem Namen opasswd zu erstellen touch opasswd Geben Sie die folgenden Befehle ein chmod 0600 opasswd chown root root etc security opasswd So ndern Sie Standardkomplexit t von Kennw rtern f r das Plug In pam_cracklib so 1 2 VMware Inc Melden Sie sich an der Servicekonsole an und rufen Sie Root Berechtigungen ab Geben Sie den folgenden Befehl ein esxcfg auth usecrack lt Wiederholungen gt lt Mindestl nge gt lt KB_Bonus gt lt GB_Bonus gt lt Z_Bonus gt lt AZ_Bonus gt hierbei gilt m Der Wert f r Wiederholungen gibt die Anzahl der zul ssigen Wiederholungsversuche an nach deren b
161. en Sie einen neuen Namen ein Stellen Sie sicher dass der eingegebene Name ordnungsgem formatiert ist Andernfalls k nnen einige Speicherger te den Software iSCSI Initiator ggf nicht erkennen Siehe Benennungskonventionen auf Seite 117 4 Klicken Sie auf OK um Ihre nderungen zu speichern Einrichten von Erkennungsadressen f r Software Initiatoren Sie m ssen Zielerkennungsadressen einrichten damit der Softwareware Initiator erkennen kann welche Speicherressourcen im Netzwerk zur Verf gung stehen HINWEIS F r Software Initatoren steht nur die dynamische Erkennungsmethode zur Verf gung Siehe Erkennungsmethoden auf Seite 118 So richten Sie Zielerkennungsadressen f r den Software Initiator ein 1 Klicken Sie im Dialogfeld iSCSI Initiator Eigenschaften iSCSI Initiator Properties auf die Registerkarte Dynamische Erkennung Dynamic Discovery 2 Klicken Sie auf Hinzuf gen Add um ein neues iSCSI Ziel hinzuzuf gen das der ESX Server 3 Host f r eine dynamische Erkennungssitzung verwenden kann 3 Geben Sie die Server IP Adresse f r Ziele senden Send Targets ein und klicken Sie auf OK 4 Wenn Sie einen bestimmten Ziele senden Server ndern oder l schen m chten markieren Sie den Server und klicken Sie auf Bearbeiten Edit oder Entfernen Remove VMware Inc Kapitel 6 Speicherkonfiguration Einrichten von CHAP Parametern f r Software Initiatoren Pr fen Sie beim Konfigurieren Ihre
162. en Switches aus Pr fen Sie ob der Uplink Adapter der f r die Servicekonsole konfiguriert wurde mit dem gew nschten physischen Netzwerk verbunden ist exscfg nics l Gibt eine Liste der aktuellen Netzwerkadapter aus Pr fen Sie ob der Uplink Adapter der f r die Servicekonsole konfiguriert wurde aktiv ist und Geschwindigkeit und Duplex stimmen esxcfg nics s lt Geschwindigkeit gt lt Netzwerkkarte gt ndert die Geschwindigkeit eines Netzwerkadapters esxcfg nics d lt Duplex gt lt Netzwerkkarte gt ndert den Duplex eines Netzwerkadapters esxcfg vswif i lt neue IP Adresse gt vswifX ndert die IP Adresse der Servicekonsole 85 Handbuch zur Serverkonfiguration f r ESX Server 3 mM esxcfg vswif n lt neue Subnetzmaske gt vswifX ndert die Subnetzmaske der Servicekonsole mM esxcfg vswitch U lt old vmnic gt lt service console vswitch gt Entfernt den Uplink f r die Servicekonsole mM esxcfg vswitch L lt new vmnic gt lt service console vswitch gt ndert den Uplink f r die Servicekonsole Wenn Sie bei esxcfg Befehlen lange warten m ssen kann dies an einer falschen DNS Einstellung liegen Die esxcfg Befehle setzen voraus dass DNS so konfiguriert ist dass die Namensaufl sung des lokalen Servers ordnungsgem funktioniert Dies setzt wiederum voraus dass die Datei etc hosts einen Eintrag f r die konfigurierte IP Adresse und die localhost Adresse 127 0 0 1 enth lt Fehlerbehebun
163. en verbinden die CHAP erfordern Hinzuf gen von iSCSI Speicher auf den ber Hardware Initiatoren zugegriffen werden kann Wenn Sie einen Datenspeicher auf einem SCSI Speicherger t erstellen auf das ber einen Hardware Initiator zugegriffen werden kann f hrt Sie der Assistent zum Hinzuf gen von Speicher durch die Konfiguration So erstellen Sie einen Datenspeicher auf einem Hardware iSCSI Ger t 1 VMware Inc Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end unter Hardware auf Speicher Storage Klicken Sie auf Speicher hinzuf gen Add Storage Markieren Sie den Speichertyp Festplatte LUN Disk LUN und klicken Sie auf Weiter Next W hlen Sie das iSCSI Ger t aus das Sie f r den Datenspeicher verwenden m chten und klicken Sie auf Weiter Next Die Seite Aktuelles Festplattenlayout Current Disk Layout wird angezeigt Wenn die zu formatierende Festplatte leer ist zeigt die Seite Aktuelles Festplattenlayout Current Disk Layout automatisch den gesamten Speicherplatz der Festplatte der f r die Konfiguration zur Verf gung steht 125 Handbuch zur Serverkonfiguration f r ESX Server 3 6 Wenn die Festplatte nicht leer ist berpr fen Sie im oberen Bereich auf der Seite Aktuelles Festplattenlayout Current Disk Layout das aktuelle Festplattenlayout und w hlen Sie im unteren
164. enden kann Geben Sie in das Dialogfeld Server als Sendeziele hinzuf gen Add Send Targets Server die IP Adresse des iSCSI Servers ein und klicken Sie auf OK Nachdem der ESX Server 3 Host die dynamische Erkennungssitzung mit diesem Server eingerichtet hat antwortet der Server mit dem Bereitstellen einer Liste mit Zielen die Ihrem ESX Server 3 Host zur Verf gung stehen Die Namen und IP Adressen dieser Ziele werden auf der Registerkarte Statische Erkennung Static Discovery angezeigt Um die IP Adresse des iSCSI Servers zu ndern oder den Server zu entfernen w hlen Sie die IP Adresse aus und klicken auf Bearbeiten Edit oder Entfernen Remove Bei Hardware Initiatoren k nnen Sie neben der dynamischen Erkennungsmethode auch die statische Erkennung verwenden bei der Sie die IP Adressen und iSCSI Namen der zu kontaktierenden Ziele manuell eingeben VMware Inc Kapitel 6 Speicherkonfiguration So richten Sie Zielerkennungsadressen mithilfe der statischen Erkennung ein 1 VMware Inc Klicken Sie im Dialogfeld iSCSI Initiator Eigenschaften iSCSI Initiator Properties auf die Registerkarte Statische Erkennung Static Discovery Wenn Sie zuvor die dynamische Erkennungsmethode verwendet haben werden auf der Registerkarte alle Ziele angezeigt die der iSCSI Server dem ESX Server 3 Host bereitstellt E Eigenschaften des i C5l Initiators vmhba32 Allgemein Dynamische Erkennung Statische Erkennung CHAF Authentifizier
165. endet 146 Portgruppe Definition 20 konfigurieren 60 verwenden 24 317 Handbuch zur Serverkonfiguration f r ESX Server 3 318 Proxy Dienste ndern 240 und Verschl sselung 236 R Raw Ger tezuordnung Dynamische Namensaufl sung 163 erstellen 165 Ger tezuordnungen 156 mit Cluster 164 physischer Kompatibilit tsmodus 161 und virtuelle Festplattendateien 165 und vmkfstools 169 virtueller Kompatibilit tsmodus 161 Raw Ger tezuordnungen bersicht 156 Vorteile 157 Rechte und Berechtigungen 225 Ressourcenbegrenzung und Sicherheit 174 Ressourcengarantien und Sicherheit 174 Richtlinie zur Unterst tzung von Drittanbieter Software 186 Rollen Administrator 228 Kein Zugriff 228 Nur Lesen 228 Standard 228 und Berechtigungen 228 Root Anmeldung Berechtigungen 225 Delegierter Benutzer 242 SSH 265 Round Robin Pfadrichtlinie 147 Routing 64 RPMs 267 S Schicht 2 Sicherheit 52 Schlie en von Ports in der Servicekonsolen Firewall 252 SCSI vmkfstools 299 SDL und Firewallports zum Herstellen einer Verbindung mit der VM Konsole 196 Servicekonsole absichern mit VLANs und virtuellen Switches 207 Anmeldung 249 Direkte Verbindungen 249 Empfehlungen f r den Schutz 248 Kennwortbeschr nkungen 254 Remoteverbindungen 249 setgid Anwendungen 263 setuid Anwendungen 263 Sicherheit 177 SSH Verbindungen 265 Servicekonsole Netzwerk Fehlerbehebung 85 Konfiguration 34 setgid Anwendungen 263 setuid Anwendun
166. ent die Netzwerkverwaltung VI Web Access Firewall Port 443 Firewall VirtualCenter Server VirtualCenter Ports 443 902 und 903 Port 902 2050 5000 8000 und 8042 8045 De Speicher ESX Server 3 VMware Inc 189 Handbuch zur Serverkonfiguration f r ESX Server 3 Netzwerke die ber einen VirtualCenter Server konfiguriert werden k nnen Daten ber verschiedene Typen von Clients erhalten den VI Client VI Web Access und Netzwerkverwaltungs Clients von Drittanbietern die ber das SDK eine Schnittstelle zum Host einrichten W hrend des normalen Betriebs wartet VirtualCenter an bestimmten Ports auf Daten von verwalteten Hosts und Clients VirtualCenter geht auch davon aus dass die verwalteten Hosts an bestimmten Ports auf Daten von VirtualCenter warten Wenn sich zwischen diesen Elementen eine Firewall befindet muss sichergestellt werden dass Firewall Ports f r den Datenverkehr ge ffnet wurden Wenn Sie ber einen VirtualCenter Server auf ESX Server Hosts zugreifen wird der VirtualCenter Server normalerweise durch eine Firewall gesch tzt Diese Firewall bietet einen Grundschutz f r das Netzwerk Ob sich die Firewall zwischen den Clients und dem VirtualCenter Server befindet oder sowohl der VirtualCenter Server als auch die Clients hinter einer gemeinsamen Firewall liegen h ngt vom Netzwerkaufbau ab Wichtig ist es sicherzustellen dass eine Firewall an den Punkten install
167. enten werden ber VirtualCenter hinzugef gt siehe ffnen von Firewallports f r unterst tzte Dienste und Verwaltungs Agenten auf Seite 198 Neben den Ports die f r diese Dienste und Agenten freigegeben werden m ssen Sie eventuell andere Ports freigeben wenn Sie bestimmte Ger te Dienste oder Agenten z B Speicherger te Sicherungs oder Verwaltungs Agenten konfigurieren Wenn Sie zum Beispiel Veritas NetBackup 4 5 als Sicherungs Agenten verwenden m ssen Sie die Ports 13720 13724 13782 und 13783 freigeben die NetBackup f r Client Medien bertragungen Datenbanksicherungen Benutzersicherungen und wiederherstellungen usw verwendet Informationen zu den f r bestimmte Anwendungen freizugebenden Ports finden Sie in den Herstellerspezifikationen f r das Ger t den Dienst oder den Agenten ndern der Sicherheitsstufe der Servicekonsole Die nderung der Sicherheitsstufe f r die Servicekonsole umfasst zwei Schritte Bestimmen der Sicherheitsstufe der Servicekonsolen Firewall und Zur cksetzen der Einstellungen der Servicekonsolen Firewall Um berfl ssige Schritte zu vermeiden berpr fen Sie immer die Firewalleinstellungen bevor Sie sie ndern Jedes Mal wenn Sie die Sicherheitseinstellung senken oder zus tzliche Ports ffnen erh hen Sie das Risiko eines Eindringens in Ihr Netzwerk W gen Sie genau ab wie wichtig Ihnen Zugriffsrechte im Kontrast zur Sicherheit des Netzwerks sind VMware Inc Kapi
168. enth lt Informationen zur Konfiguration lokaler SCSI Speicherger te sowie zur Fibre Channel SAN iSCSI und NAS Speicherung HINWEIS Weitere Informationen zum Konfigurieren von SANs finden Sie im SAN Konfigurationshandbuch f r Fiber Channel und im SAN Konfigurationshandbuch f r iSCSI In diesem Kapitel werden folgende Themen behandelt VMware Inc Lokaler Speicher auf Seite 110 Fibre Channel Speicher auf Seite 113 ISCSI Speicher auf Seite 116 Starten einer erneuten Pr fung auf Seite 134 Network Attached Storage NAS auf Seite 135 Erstellen einer Diagnosepartition auf Seite 138 109 Handbuch zur Serverkonfiguration f r ESX Server 3 Lokaler Speicher 110 Der lokale Speicher verwendet ein SCSI Ger t wie z B die Festplatte des ESX Server 3 Hosts oder ein externes dediziertes Speichersystem das direkt an den ESX Server 3 Host angeschlossen ist Abbildung 6 1 zeigt eine virtuelle Maschine die einen lokalen SCSI Speicher verwendet Abbildung 6 1 Lokaler Speicher ESX Server Virtuelle Maschine Lokales SCSI Bei diesem Beispiel einer lokalen Speichertopologie verwendet der ESX Server 3 Host eine einzelne Verbindung um eine Festplatte anzuschlie en Auf dieser Festplatte k nnen Sie einen VMFS Datenspeicher erstellen der zur Speicherung der Festplattendateien der virtuellen Maschine verwendet wird Wenngleich diese Speicherkonfiguration m glich ist wird sie nich
169. enzierte Funktionen A storage 129 00 GB Kapazit t Uhrzeitkonfiguration Speicherort wmfs volumes 47de0 1d d A DNS und Routing 20 9066 M verwendet YM starten herunterfahren 108 10 amp 68 E Frei Speicherort der YM Auslagerungsdatei Pfadauswahl l Sicherheitsprofil Feststehend Eigenschaften Erweiterungen Zuteilung von Systemressourcen Volume Bezeichnung storage vmhba0 0 0 2 129 17 i i Datenspeichername storage Erwekerte Einstellungen Pfade Formatierte Gesamtkapazit t 129 00 Gesamt 1 Formatierung Besch digt 0 Dateisystem YMFS 3 31 Deaktiviert 0 Blockgr e 1 MB Sie k nnen vorhandene Datenspeicher aktualisieren und entfernen sowie die Eigenschaften eines VMFS Datenspeichers ndern Bei der Bearbeitung oder Neukonfiguration eines VMFS Datenspeichers k nnen Sie seine Bezeichnung ndern ihn aktualisieren Erweiterungen hinzuf gen oder Pfade zu Speicherger ten ndern Siehe Speicherverwaltung auf Seite 141 Anzeigen von Speicheradaptern Der VI Client zeigt alle Speicheradapter an die im System zur Verf gung stehen Um Speicheradapter anzuzeigen klicken Sie auf dem Host auf der Registerkarte Konfiguration Configuration auf Speicheradapter Storage Adapters Sie k nnen zu Speicheradaptern die folgenden Informationen anzeigen m Vorhandene Speicheradapter m Art des Speicheradapters z B Fibre Channel SCSI oder iSCSI m Details zu jedem Adapter z B das angebundene Speicherge
170. er sollten diese Benutzer als verschiedene Benutzer behandelt werden die zuf llig den gleichen Namen haben Die Attribute von devuser in VirtualCenter wie Berechtigungen Kennw rter usw sind von den Attributen von devuser auf dem ESX Server 3 Host getrennt Wenn Sie sich an VirtualCenter als devuser anmelden k nnen Sie z B ber die Berechtigung verf gen Dateien aus einem Datenspeicher anzusehen und zu l schen was nicht der Fall sein muss wenn Sie sich auf dem ESX Server 3 Host als devuser anmelden VMware Inc Kapitel 11 Authentifizierung und Benutzerverwaltung Aufgrund der Verwirrung die doppelte Namen stiften k nnen empfiehlt VMware dass Sie vor der Erstellung von ESX Server 3 Host Benutzern das Benutzerverzeichnis von VirtualCenter berpr fen um doppelte Namen zu vermeiden Das Verzeichnis der VirtualCenter Benutzer finden Sie im Windows Dom nenverzeichnis Grundlegendes zu Gruppen Bestimmte Benutzerattribute k nnen Sie effektiver verwalten indem Sie Gruppen erstellen Eine Gruppe ist eine Zusammenstellung von Benutzern die durch gemeinsame Regeln und Berechtigungen verwaltet werden sollen Wenn Sie einer Gruppe Berechtigungen zuweisen werden diese von allen Benutzern in der Gruppe bernommen wodurch Sie die Benutzerprofile nicht einzeln bearbeiten m ssen Daher kann die Verwendung von Gruppen die Zeit zur Implementierung des Berechtigungsmodells wesentlich verk rzen und k nftig die Ska
171. er 2 Speicher Netzwerke ohne VirtualCenter Server erhalten ihre Daten ber die gleichen Typen von Clients wie Netzwerke mit einem VirtualCenter Server VI Client VI Web Access Clients und Netzwerkverwaltungs Clients von Drittanbietern Gr tenteils sind die Anforderungen der Firewall die gleichen aber es gibt einige markante Unterschiede m Wie bei Konfigurationen mit einem VirtualCenter Server sollten Sie sicherstellen dass die ESX Server Ebene oder je nach Konfiguration die Clients und die ESX Server 3 Ebene gesch tzt sind Diese Firewall bietet einen Grundschutz f r das Netzwerk Die verwendeten Firewallports sind die gleichen wie bei der Verwendung eines VirtualCenter Servers m Die Lizenzierung geh rt in dieser Konfiguration zu dem ESX Server 3 Paket das Sie auf allen ESX Server 3 Hosts installieren Da die Lizenzierung ber den Server abgewickelt wird ist kein getrennter Lizenzserver notwendig Dadurch entf llt die Firewall zwischen dem Lizenzserver und dem ESX Server 3 Netzwerk 192 VMware Inc Kapitel 10 Absichern einer ESX Server 3 Konfiguration HINWEIS Unter bestimmten Umst nden sollen Sie Lizenzen zentral verwaltet werden Dazu k nnen Sie einen getrennten Lizenzserver verwenden oder den Lizenzserver auf einem der ESX Server 3 Hosts im Netzwerk unterbringen In beiden F llen binden Sie den Lizenzserver wie beim Vorhandensein eines VirtualCenter Servers ber eine Firewall an das ESX Server 3 Netzw
172. er 2 weitergeleitet Der Hardware Netzwerkadapter 2 ist an das interne Firmennetzwerk angeschlossen Bei der Implementierung einer DMZ auf einem einzelnen ESX Server k nnen Sie relativ einfache Firewalls verwenden Obwohl eine virtuelle Maschine in dieser Konfiguration keine direkte Kontrolle ber eine andere virtuelle Maschine aus ben oder auf ihren Speicher zugreifen kann sind die virtuellen Maschinen dennoch ber ein virtuelles Netzwerk verbunden Dieses Netzwerk kann f r die Verbreitung von Viren oder f r andere Angriffe missbraucht werden Die virtuellen Maschinen in der DMZ sind ebenso sicher wie getrennte physische Computer die an dasselbe Netzwerk angeschlossen sind Beispiel Erstellen mehrerer Netzwerke auf einem einzelnen ESX Server Host Das ESX Server System wurde so entworfen dass Sie bestimmte Gruppen virtueller Maschinen an das interne Netzwerk anbinden k nnen andere an das externe Netzwerk und wiederum andere an beide Netzwerke und zwar alles auf demselben ESX Server Host Diese F higkeit basiert auf der grundlegenden Isolierung virtueller Maschinen im Zusammenspiel mit der berlegt geplanten Nutzung von Funktionen zur virtuellen Vernetzung siehe Abbildung 9 5 VMware Inc 181 Handbuch zur Serverkonfiguration f r ESX Server 3 Abbildung 9 5 Konfigurierte externe Netzwerke interne Netzwerke und DMZ auf einem ESX Server Host ESX Server Externes Netzwerk Internes Netzwerk Interner Benutzer Interner
173. er Netzwerkadapter zugewiesen wurde ist die virtuelle Maschine vollst ndig von physischen Netzwerken getrennt m Wenn Sie zum Schutz einer virtuellen Maschine vor dem Netzwerk die gleichen Sicherheitsma nahmen wie f r normale Computer verwenden Firewalls Antiviren Software usw ist die virtuelle Maschine genau so sicher wie es ein Computer w re 176 VMware Inc Kapitel 9 Sicherheit f r ESX Server 3 Systeme Sie k nnen die virtuelle Maschine au erdem durch die Einrichtung von Ressourcenreservierungen und einschr nkungen auf dem ESX Server Host sch tzen So k nnen Sie zum Beispiel eine virtuelle Maschine mit den detaillierten Werkzeugen zur Ressourcensteuerung die Ihnen in ESX Server zur Verf gung stehen so konfigurieren dass sie immer mindestens zehn Prozent der CPU Ressourcen des ESX Server Hosts erh lt nie jedoch mehr als zwanzig Prozent Ressourcenreservierungen und einschr nkungen sch tzen die virtuellen Maschinen vor Leistungsabf llen wenn eine andere virtuelle Maschine versucht zu viele Ressourcen der gemeinsam genutzten Hardware zu verwenden Wenn zum Beispiel eine virtuelle Maschine auf dem ESX Server Host durch eine Denial Of Service DoS oder Distributed Denial of Service DDoS Angriff au er Gefecht gesetzt wird verhindert eine Einschr nkung dass der Angriff so viele Hardware Ressourcen einnimmt dass die anderen virtuellen Maschinen ebenfalls betroffen werden Ebenso stellt eine Ressourcenreservieru
174. er Vorteile des direkten Zugriffs auf ein physisches Ger t w hrend Sie gleichzeitig verschiedene Vorteile einer virtuellen Festplatte im VMFS Dateisystem nutzen k nnen Folglich verbindet die Datei die VMEFS Verwaltungs und Wartungsfreundlichkeit mit einem Raw Ger tezugriff Raw Ger tezuordnungen k nnen beispielsweise wie folgt beschrieben werden Zuordnen eines Raw Ger ts zu einem Datenspeicher Zuordnen einer System LUN oder Zuordnen einer Festplattendatei zu einem physischen Festplatten Volume All diese Zuordnungsbegriffe beziehen sich auf Raw Ger tezuordnungen Abbildung 8 1 Raw Ger tezuordnung Virtuelle Maschine liest schreibt Adressaufl sung Zugeordnetes Ger t Zuordnungsdatei Obwohl VMFS f r die meisten virtuellen Festplattenspeicher von VMware empfohlen wird kann es in Einzelf llen erforderlich sein Raw LUNs oder logische Festplatten in einem SAN zu verwenden So ist es beispielsweise in folgenden Situationen erforderlich Raw LUNs zusammen mit zu Raw Ger tezuordnungen zu verwenden m Wenn in der virtuellen Maschine ein SAN Snapshot oder auf Ebenen basierende Anwendungen ausgef hrt werden Die Raw Ger tezuordnung unterst tzt Systeme zur Auslagerung von Datensicherungen indem SAN eigene Funktionen verwendet werden VMware Inc Kapitel8 Raw Ger tezuordnung m Inallen MSCS Clusterszenarien die sich ber mehrere physische Hosts erstrecken in Virtuell zu Virtue
175. er f r Zonen virtueller Maschinen damit die Zonen auch tats chlich voneinander getrennt sind Die Beibehaltung getrennter physischer Netzwerkadapter f r die virtuellen Maschinenzonen stellt unter Umst nden die sicherste Methode dar und gleichzeitig ist sie am wenigsten anf llig f r Konfigurationsfehler nach dem Anlegen des ersten Segments m Richten Sie virtuelle LANs VLANs zur Absicherung des Netzwerks ein Da VLANs fast alle Sicherheitsvorteile bieten die auch die Implementierung physisch getrennter Netzwerke aufweist ohne dass daf r der Mehraufwand an Hardware eines physischen Netzwerks notwendig ist stellen sie eine rentable L sung zur Verf gung die die Kosten f r die Bereitstellung und Wartung zus tzlicher Ger te Kabel usw einsparen kann VLANs sind eine Netzwerkarchitektur nach dem IEEE Standard und verf gen ber spezifische Kennzeichnungsmethoden durch die Datenpakete nur an die Ports weitergeleitet werden die zum VLAN geh ren Wenn das VLAN ordnungsgem konfiguriert ist ist es ein zuverl ssiges Mittel zum Schutz einer Gruppe virtueller Maschinen vor zuf lligem und b swilligem Eindringen Mit VLANs k nnen Sie ein physisches Netzwerk so in Segmente aufteilen dass zwei Computer oder virtuelle Maschinen im Netzwerk nur dann Pakete untereinander austauschen k nnen wenn sie zum gleichen VLAN geh ren So geh ren zum Beispiel Buchhaltungsunterlagen und transaktionen zu den wichtigsten vertraulichen internen
176. er und entweder dem VirtualCenter Server oder dem ESX Server 3 Host Normalerweise wird der Lizenzserver in Konfigurationen mit einem VirtualCenter Server auf dem gleichen Computer ausgef hrt wie der VirtualCenter Server In diesem Fall ist der Lizenzserver ber eine Firewall an das ESX Server 3 Netzwerk angebunden parallel zum VirtualCenter Server nur ber andere Ports In einigen Konfigurationen wird ggf ein externer Lizenz Server verwendet zum Beispiel wenn das Unternehmen alle Lizenzen ber ein einzelnes f r diesen Zweck reserviertes Ger t steuern m chte In diesem Fall sollte der Lizenzserver ber eine zwischengeschaltete Firewall an den VirtualCenter Server angebunden werden Unabh ngig von der Anbindung des Lizenzservers sind die Ports die f r den Lizenzdatenverkehr verwendet werden in jedem Fall gleich Weitere Informationen zur Lizenzierung finden Sie im Einrichtungshandbuch m Zwischen dem VirtualCenter Server und den ESX Server 3 Hosts m Zwischen den ESX Server 3 Hosts im Netzwerk Zwar ist der Datenverkehr zwischen den ESX Server 3 Hosts normalerweise vertrauensw rdig Sie k nnen jedoch bei bef rchteten Sicherheitsrisiken zwischen den einzelnen Computern dennoch Firewalls zwischen den ESX Server 3 Hosts installieren Wenn Sie Firewalls zwischen ESX Server 3 Hosts verwenden und virtuelle Maschinen auf einen anderen Server verschieben klonen oder VMotion verwenden m chten m ssen auch Ports in allen Firewalls zw
177. erbindung zwischen VI Clients und VirtualCenter Nachfolgende Daten bertragungen werden nicht verschl sselt Um die von Zertifikaten in ESX Server 3 gebotene Sicherheit vollst ndig zu aktivieren m ssen Sie die Zertifikatspr fung aktivieren und neue Zertifikate installieren So aktivieren Sie die Zertifikatspr fung 1 Melden Sie sich ber den VI Client an einem VirtualCenter Server an 2 Klicken Sie auf Verwaltung Administration gt VirtualCenter Managementserver Konfiguration Virtual Center Management Server Configuration Das Dialogfeld VirtualCenter Managementserver Konfiguration Virtual Center Management Server Configuration wird angezeigt 3 Klicken Sie im linken Bereich auf SSL Einstellungen SSL Settings und aktivieren Sie das Kontrollk stchen Hostzertifikate pr fen Check host certificates 4 Klicken Sie auf OK Um die Vorteile der Zertifikatspr fung voll nutzen zu k nnen m ssen Sie neue Zertifikate installieren Die Anfangszertifikate werden von ESX Server erstellt und auf dem Host gespeichert Die Zertifikate die zur Absicherung von VirtualCenter und VI Web Access Sitzungen verwendet werden wurden nicht von einer vertrauensw rdigen Zertifizierungsstelle signiert und bieten daher nicht die Authentifizierungssicherheit die in einer Produktionsumgebung notwendig sein kann So sind beispielsweise selbst signierte Zertifikate anf llig f r Man in the Middle Angriffe Wenn Sie verschl sselte Remoteverbindu
178. eren Siehe das Basishandbuch f r Systemadministratoren F r eine VMkernel Schnittstelle ist TSO standardm ig aktiviert Wenn TSO f r eine bestimmte VMkernel Schnittstelle deaktiviert sein sollte besteht die einzige M glichkeit zur Aktivierung von TSO im L schen dieser VMkernel Schnittstelle und ihrer erneuten Erstellung mit aktivierter TSO VMware Inc Kapitel 3 Erweiterte Netzwerkthemen So pr fen Sie ob TSO f r eine VMkernel Schnittstelle aktiviert ist 1 Melden Sie sich direkt an der Konsole Ihres ESX Server 3 Hosts an 2 Geben Sie den Befehl esxcfg vmknic l ein um eine Liste der VMkernel Schnittstellen einzublenden Jede f r TSO aktivierte VMkernel Schnittstelle muss in der Liste mit TSO MSS auf 40960 eingestellt angezeigt werden Wenn TSO f r eine bestimmte VMkernel Schnittstelle nicht aktiviert ist besteht die einzige M glichkeit zur Aktivierung von TSO im L schen dieser VMkernel Schnittstelle und ihrer erneuten Erstellung Siehe Netzwerkkonfiguration des VMkernels auf Seite 30 Aktivieren von Jumbo Frames Mithilfe von Jumbo Frames kann ESX Server 3 gr ere Frames an das physische Netzwerk senden Das Netzwerk muss Jumbo Frames durchg ngig unterst tzen damit diese Technologie eingesetzt werden kann Jumbo Frames bis zu 9 KB 9000 Bytes werden unterst tzt iSCSI mit Jumbo Frames wird nicht unterst tzt Jumbo Frames muss ber die Befehlszeilenschnittstelle Ihres ESX Server 3 Hosts f r jede vSwit
179. eren k nnen oder Probleme beheben m ssen die durch menschliches Versagen entstanden sind ESX Server 3 unterst tzt f r iSCSI weder Kerberos noch Secure Remote Protocol SRP noch Authentifizierungsverfahren mit ffentlichen Schl sseln Au erdem unterst tzt es keine IPsec Authentifizierung und Verschl sselung Mit dem VI Client k nnen Sie bestimmen ob die Authentifizierung derzeit verwendet wird und das Authentifizierungsverfahren konfigurieren VMware Inc 215 Handbuch zur Serverkonfiguration f r ESX Server 3 216 So berpr fen Sie das Authentifizierungsverfahren 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Speicheradapter Storage Adapters Markieren Sie den zu berpr fenden iSCSI Adapter und klicken Sie dann auf Eigenschaften Properties Das Dialogfeld Eigenschaften des iSCSI Initiators SCSI Initiator Properties wird ge ffnet Klicken Sie auf CHAP Authentifizierung CHAP Authentication Wenn unter CHAP Name CHAP Name ein Name angezeigt wird normalerweise der iSCSI Initiatorname verwendet das iSCSI SAN die CHAP Authentifizierung i Eigenschaften des i SCSI Initiators vmhba32 Allgemein Dynamische Erkennung Statische Erkennung CHAP Authentifizierung CHAP Authentifizierung Standardm ig die folgenden Anmeldedaten f r alle iSCSI Ziele verwenden
180. erer Dienst m CIM HTITPS Server m SNMP Server m Syslog Client m Andere unterst tzte Verwaltungs Agenten die Sie installieren HINWEIS Die aufgef hrten Dienste und Agenten k nnen sich ndern d h der VI Client kann ggf auch nicht aufgef hrte Dienste und Agenten unterst tzen Au erdem werden nicht alle aufgef hrten Dienste standardm ig installiert Zur Konfiguration und Aktivierung dieser Dienste sind gegebenenfalls weitere Schritte erforderlich Wenn Sie ein Ger t einen Dienst oder einen Agenten installieren der nicht in der Liste aufgef hrt wurde m ssen Sie ber die Befehlszeile Ports in der Firewall der Servicekonsole freigeben Siehe Konfiguration der Servicekonsolen Firewall auf Seite 249 So erm glichen Sie einem Dienst oder Verwaltungs Agenten den Zugriff auf ESX Server 3 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server 2 Klicken Sie auf die Registerkarte Konfiguration Configuration und dann auf Sicherheitsprofil Security Profile VMware Inc 199 Handbuch zur Serverkonfiguration f r ESX Server 3 200 Der VI Client zeigt eine Liste der gegenw rtig aktiven eingehenden und ausgehenden Verbindungen mit den entsprechenden Firewallports an e EEEE Konfiguration EEA Et ee et Sicherheitsprofil Firewall Aktualisieren Eigenschaften Eingehende verbindungen CIM SLP 427 UDP TCP Sicherer CIM Server 5989 TCP CIM Server 5988 TCP SSH Server
181. erf gbaren Speicheroptionen f r ESX Server 3 und erl utert die Konfiguration Ihres ESX Server 3 Systems f r die Nutzung und Verwaltung verschiedener Speichertypen Informationen zu bestimmten Aktivit ten die ein Speicheradministrator ggf f r Speicherarrays ausf hren muss finden Sie im SAN Konfigurationshandbuch f r Fiber Channel und SAN Konfigurationshandbuch f r iSCSI In diesem Kapitel werden folgende Themen behandelt VMware Inc Speicher bersicht auf Seite 92 Physische Speichertypen auf Seite 93 Unterst tzte Speicheradapter auf Seite 95 Datenspeicher auf Seite 95 Vergleich der Speichertypen auf Seite 102 Anzeigen der Speicherinformationen im VMware Infrastructure Client auf Seite 102 Konfigurieren und Verwalten von Speichern auf Seite 106 91 Handbuch zur Serverkonfiguration f r ESX Server 3 Speicher bersicht Eine virtuelle Maschine in ESX Server 3 verwendet eine virtuelle Festplatte um das Betriebssystem die Programmdateien und andere Daten f r ihren Betrieb zu speichern Eine virtuelle Festplatte ist eine grofe physische Datei bzw Zusammenstellung von Dateien die sich so einfach wie jede andere Datei kopieren verschieben archivieren und sichern l sst Zum Speichern virtueller Festplattendateien und Bearbeiten der Dateien ben tigt ESX Server 3 dediziert zugewiesenen Speicherplatz ESX Server 3 nutzt Speicherplatz auf einer Vielzahl physischer Spe
182. erk an Dazu werden die Ports verwendet die normalerweise f r die Lizenzierung virtueller Maschinen reserviert sind Bei Konfigurationen die einen anderen als den automatisch auf dem ESX Server 3 Host installierten Lizenzserver verwenden ist eine zus tzliche Einrichtung notwendig Weitere Informationen zur Lizenzierung finden Sie im Einrichtungshandbuch TCP und UDP Ports f r den Verwaltungszugriff In diesem Abschnitt werden voreingestellte TCP und UDP Ports behandelt die f r den Verwaltungszugriff auf den VirtualCenter Server die ESX Server 3 Hosts und andere Netzwerkkomponenten verwendet werden Wenn Netzwerkkomponenten die au erhalb einer Firewall liegen verwaltet werden m ssen muss ggf die Firewall neu konfiguriert werden damit auf die entsprechenden Ports zugegriffen werden kann HINWEIS Sofern nicht anders angegeben sind die in Tabelle 10 1 aufgef hrten Ports durch die Servicekonsolenschnittstelle angebunden Tabelle 10 1 TCP und UDP Ports Art des Port Zweck Datenverkehrs 80 HTTP Zugriff Eingehendes TCP Nicht abgesicherter standardm iger TCP Webport der normalerweise in Verbindung mit Port 443 als Front End f r den Zugriff auf ESX Server Netzwerke aus dem Internet verwendet wird Port 80 leitet Datenverkehr auf eine HTTPS Startseite Port 443 um von der Sie die Konsole der virtuellen Maschine aufrufen Verwenden Sie Port 80 f r Verbindungen zu VI Web Access aus dem Internet WS Management verwendet
183. erk hinzuf gen Add Networking W hlen Sie VMkernel aus und folgen Sie den Anweisungen des Assistent zum Hinzuf gen von Netzwerken Definieren Sie die IP Adresse Subnetzmask und den VMkernel Standardgateway im Schritt Verbindungseinstellungen Connection Settings Wenn Sie die Einstellungen berpr fen m chten klicken Sie auf das blaue Symbol links neben dem VMotion iSCSI oder NFS Port Wenn Sie eine der Einstellungen bearbeiten m chten klicken Sie f r den entsprechenden Switch auf Eigenschaften Properties W hlen Sie den Port in der Liste im Dialogfeld Eigenschaften Properties aus und klicken Sie auf Bearbeiten Edit um das Dialogfeld Eigenschaften Properties des Ports zu ffnen und die Einstellungen des Ports zu ndern Eine vollst ndige Anleitung zur Erstellung und Aktualisierung von Netzwerkverbindungen f r VMotion NFS oder iSCSI finden Sie unter Netzwerkkonfiguration des VMkernels auf Seite 30 296 VMware Inc Anhang A Befehle f r den technischen Support von ESX Server 3 Tabelle A 1 Befehle f r den technischen Support von ESX Server 3 Fortsetzung Servicekonsolenbefehl Zweck des Befehls und VI Client Verfahren esxcfg vswif Erstellt und aktualisiert die Netzwerkeinstellungen der Servicekonsole Dieser Befehl wird verwendet wenn Sie den ESX Server 3 Host aufgrund von Problemen mit der Netzwerkkonfiguration nicht ber den VI Client verwalten k nnen Weitere Informationen finden Sie unter
184. erkonfiguration f r ESX Server 3 6 W hlen Sie das Ger t das Sie f r die Diagnosepartition verwenden m chten und klicken Sie auf Weiter Next 7 berpr fen Sie die Konfigurationsinformationen f r die Partition und klicken Sie auf Fertig Finish 140 VMware Inc Speicherverwaltung Dieses Kapitel enth lt Informationen zur Verwaltung bestehender Datenspeicher und Dateisysteme die Datenspeicher enthalten In diesem Kapitel werden folgende Themen behandelt m Verwalten von Datenspeichern auf Seite 142 m Bearbeiten von VMFS Datenspeichern auf Seite 143 m Verwalten mehrerer Pfade auf Seite 146 m Die vmkfstools Befehle auf Seite 154 VMware Inc 141 Handbuch zur Serverkonfiguration f r ESX Server 3 Verwalten von Datenspeichern Das ESX Server 3 System nutzt Datenspeicher um alle Dateien die seinen virtuellen Maschinen zugeordnet sind zu speichern Der Datenspeicher ist eine logische Speichereinheit die Festplattenspeicher auf einem physischen Ger t auf einer Festplattenpartition oder bergreifend auf mehreren physischen Ger ten verwendet Der Datenspeicher kann sich auf verschiedenen Typen physischer Ger te wie SCSI iSCSI Fibre Channel SANs oder NFS befinden HINWEIS Als Alternative zur Verwendung des Datenspeichers kann Ihre virtuelle Maschine ber eine Zuordnungsdatei RDM direkt auf Raw Ger te zugreifen Siehe Raw Ger tezuordnungseigenschaften auf Seite 161 Weitere Info
185. erkonfiguration f r ESX Server 3 Tabelle 13 8 zeigt wie die Benutzerkonten f r den ESX Server 3 Host eingerichtet werden k nnen Tabelle 13 8 Benutzerkonten in einer Implementierung f r einen Kunden Benutzerkategorie Gesamtanzahl an Konten Standortadministratoren 1 Kundenadministratoren 10 Systemadministratoren 0 Unternehmensbenutzer 0 Tabelle 13 9 Die folgende Tabelle zeigt die Zugriffsberechtigungen f r die Benutzer Tabelle 13 9 Benutzerzugriff in einer unbeschr nkten Implementierung f r mehrere Kunden Standort Kunden System Unternehmens Zugriffsumfang administrator administrator administrator benutzer Root Zugriff Ja Nein Nein Nein Servicekonsolenzugriff Ja Ja Nein Nein ber SSH VirtualCenter und VI Ja Ja Nein Nein Web Access Erstellung und Ja Ja Nein Nein nderung virtueller Maschinen Zugriff auf virtuelle Ja Ja Ja Ja Maschinen ber die Konsole Empfehlungen f r virtuelle Maschinen 276 Ergreifen Sie bei der berpr fung der Sicherheit virtueller Maschinen und ihrer Verwaltung folgende Sicherheitsma nahmen Installieren von Antivirensoftware Da auf jeder virtuellen Maschine ein Standardbetriebssystem ausgef hrt wird sollten Sie es durch die Installation von Antivirensoftware gegen Viren sch tzen Je nach Verwendungszweck der virtuellen Maschine sollte ggf auch eine Firewall installiert werden VMware Inc Kapitel 13 Empfehlungen f r den Schutz vo
186. ern von iSCSI Ger ten ber Authentifizierung iSCSI Ger te k nnen gegen ungewollten Zugriff abgesichert werden indem der ESX Server 3 Host der Initiator vom iSCSI Ger t dem Ziel authentifiziert werden muss wenn der Host versucht auf Daten in der Ziel LUN zuzugreifen Ziel der Authentifizierung ist es zu berpr fen dass der Initiator das Recht hat auf ein Ziel zuzugreifen Dieses Recht wird bei der Konfiguration der Authentifizierung gew hrt Sie haben zwei M glichkeiten wenn Sie die Authentifizierung f r iSCSI SANs auf dem ESX Server 3 Host einrichten 214 VMware Inc Kapitel 10 Absichern einer ESX Server 3 Konfiguration m Challenge Handshake Authentication Protocol CHAP Sie k nnen das iSCSI SAN so konfigurieren dass die CHAP Authentifizierung verwendet wird Bei der CHAP Authentifizierung sendet das iSCSI Ziel wenn der Initiator mit ihm Kontakt aufnimmt einen vordefinierten ID Wert und einen Zufallswert den Schl ssel an den Initiator Der Initiator erstellt dann einen unidirektionalen Pr fsummenwert den er an das Ziel sendet Die Pr fsumme enth lt drei Elemente einen vordefinierten ID Wert den Zufallswert den das Ziel gesendet hat und einen privaten Wert den sog CHAP Schl ssel den sowohl der Initiator als auch das Ziel haben Wenn das Ziel die Pr fsumme vom Initiator erh lt erstellt es aus den gleichen Elementen seine eigene Pr fsumme und vergleicht diese mit dem Pr fsummenwert des Initiators Wenn
187. ers nlichen Schl sseldatei die Sie von der vertrauensw rdigen Zertifizierungsstelle erhalten haben Dieser Pfad kann sich auf dem ESX Server 3 Host oder auf einem zentralen Computer befinden auf dem die Zertifikate und Schl ssel f r Ihr Unternehmen gespeichert sind HINWEIS Belassen Sie die XML Tags lt privateKey gt und lt privateKey gt an ihrem Platz Ersetzen Sie etc vmware ssl rui crt durch den absoluten Pfad zur Zertifikatsdatei die Sie von der vertrauensw rdigen Zertifizierungsstelle erhalten haben VORSICHT L schen Sie die urspr nglichen Dateien rui key und rui crt nicht Der ESX Server Host verwendet diese Dateien Speichern Sie die nderungen und schlie en Sie die Datei Geben Sie folgenden Befehl ein um den Prozess vmware hostd neu zu starten service mgmt vmware restart 239 Handbuch zur Serverkonfiguration f r ESX Server 3 So ndern Sie Sicherheitseinstellungen f r einen Web Proxy Dienst 1 2 240 Melden Sie sich als Root Benutzer an der Servicekonsole an Wechseln Sie zum Verzeichnis etc vmware hostd Bearbeiten Sie die Datei proxy xml mithilfe eines Texteditors Der Inhalt der Datei sind meist so aus lt ConfigRoot gt lt EndpointList gt lt _length gt 6 lt _length gt lt _type gt vim ProxyService EndpointSpec lt _type gt lt e id 0 gt lt _type gt vim ProxyService NamedPipeServiceSpec lt _type gt lt accessMode gt httpsWithRedirect lt accessMode gt lt pipe
188. erschreiten ESX Server 3 den Benutzer aus dem Kennwort nderungsmodus ausschlie t 259 Handbuch zur Serverkonfiguration f r ESX Server 3 260 m Die Mindestl nge ist die Mindestanzahl an Zeichen die ein Benutzer eingeben muss damit das Kennwort angenommen wird Diese Anzahl ist die Gesamtl nge vor der Anwendung jeglicher Zeichenboni Es wird immer mindestens ein Zeichenbonus angewendet Daher ist die Kennwortl nge effektiv ein Zeichen k rzer als im Parameter Mindest L nge angegeben Da das Plug In pam_cracklib so nur Kennw rter mit mindestens 6 Zeichen akzeptiert muss der Parameter Mindest l nge so berechnet werden dass die Kennwortl nge nach Abzug der Zeichenboni nicht kleiner als 6 sein kann m KB_Bonus ist die Anzahl an Zeichen um die der Parameter Mindestl nge verringert wird wenn im Kennwort mindestens ein Kleinbuchstabe enthalten ist m GB_Bonus ist die Anzahl an Zeichen um die der Parameter Mindestl nge verringert wird wenn im Kennwort mindestens ein Gro buchstabe enthalten ist m Z_Bonus ist die Anzahl an Zeichen um die der Parameter Mindestl nge verringert wird wenn im Kennwort mindestens eine Ziffer enthalten ist m AZ_Bonus ist die Anzahl der Zeichen um die der Parameter Mindest l nge verringert wird wenn der Benutzer mindestens ein Sonderzeichen wie z B einen Unterstrich oder einen Bindestrich verwendet Geben Sie die Zeichenbonusparameter als positive Zahl oder wenn der Benutzer keinen Bonu
189. erver 3 Host am VI Client an W hlen Sie den Server in der Bestandsliste aus Klicken Sie auf die Registerkarte Benutzer und Gruppen Users amp Groups und dann auf Gruppen Groups Klicken Sie mit der rechten Maustaste auf die Gruppe die Sie entfernen m chten und klicken Sie auf Entfernen Remove VORSICHT Entfernen Sie nicht den Root Benutzer Verschl sselungs und Sicherheitszertifikate f r ESX Server 3 ESX Server unterst tzt SSL Version 3 und TLS Version 1 die anschlie end als SSL Secure Socket Layer bezeichnet werden SSL dient der Absicherung von Daten bertragungen Ist SSL aktiviert bleiben Daten so vertraulich dass sie nicht gelesen und so gesch tzt dass sie nicht unbemerkt w hrend der bertragung ge ndert werden k nnen S mtlicher Netzwerkdatenverkehr wird verschl sselt 236 solange die folgenden Bedingungen gelten Der Web Proxy Dienst wurde nicht so ge ndert dass er unverschl sselten Datenverkehr f r den Port durchl sst Bei der Firewall der Servicekonsole wurde die mittlere oder hohe Sicherheit eingestellt Informationen zur Konfiguration der Firewall der Servicekonsole finden Sie unter Konfiguration der Servicekonsolen Firewall auf Seite 249 VMware Inc Kapitel 11 Authentifizierung und Benutzerverwaltung SSL ist nicht standardm ig aktiviert sodass der Netzwerkdatenverkehr erst verschl sselt wird nachdem Sie diese Funktion aktiviert haben SSL sch tzt die einleitende V
190. erverkonfiguration f r ESX Server 3 Kennwortbeschr nkungen 254 Wie m helos sich ein Angreifer an einem ESX Server 3 Host anmelden kann h ngt davon ab wie schnell er eine g ltige Benutzername Kennwort Kombination finden kann Ein b swilliger Benutzer kann sich ein Kennwort auf verschiedene Arten verschaffen Zum Beispiel kann er unsicheren Netzwerkdatenverkehr wie z B Telnet oder FTP bertragungen auf erfolgreiche Anmeldeversuche berwachen Ein anderes h ufig verwendetes Verfahren zum Knacken eines Kennwortes ist die Verwendung eines Kennwortgenerators Kennwortgeneratoren k nnen f r verschiedene Kennwortangriffe verwendet werden z B Brute Force Angriffe bei denen der Generator alle m glichen Zeichenkombinationen bis zu einer bestimmten Kennwortl nge ausprobiert und W rterbuchangriffe bei denen der Generator existierende W rter und einfache Abwandlungen existierender W rter ausprobiert Der Einsatz von Beschr nkungen bez glich der L nge der verwendeten Zeichen und der Verwendungsdauer eines Kennwortes kann Angriffe durch Kennwortgeneratoren schwieriger gestalten Je l nger und komplexer ein Kennwort ist desto schwieriger ist es f r einen Angreifer das Kennwort herauszufinden Je fter Benutzer ihre Kennw rter ndern m ssen desto schwieriger ist es ein Kennwort zu finden das mehrmals funktioniert HINWEIS Denken Sie immer an m gliche menschliche Fehler wenn Sie die Kennworteinschr nkungen festlege
191. eschr nkungen f r die Verwendungsdauer von ESX Server 3 auferlegt H chstanzahl von Tagen Die Anzahl an Tagen die ein Benutzer ein Kennwort verwenden kann bevor es ge ndert werden muss Die Standardeinstellung f r ESX Server 3 ist 90 Tage Das Konto root und andere Dienstkonten sind von dieser Einstellung standardm ig ausgenommen Mindestanzahl von Tagen Die Mindestanzahl von Tagen die zwischen zwei Kennwort nderungen verstreichen muss Die Standardeinstellung lautet 0 d h die Benutzer k nnen ihre Kennw rter jederzeit ndern Warnhinweiszeit ESX Server 3 gibt eine bestimmte Anzahl an Tagen vor Ablauf des Kennwortes einen Hinweis zur Kennwort nderung Die Standardeinstellung ist 7 Tage Es werden bei direkten Anmeldungen an der Servicekonsole oder bei einer Verwendung von SSH stets Warnhinweise angezeigt Sie k nnen diese Einstellungen mit den Befehlsoptionen von esxcfg auth versch rfen oder lockern Verwenden Sie den Befehl chage wenn die Verwendungsdauer f r einen einzelnen Benutzer ge ndert werden soll So ndern Sie die Standardverwendungsdauer von Kennw rtern f r ESX Server 3 1 2 VMware Inc Melden Sie sich an der Servicekonsole an und rufen Sie Root Berechtigungen ab F hren Sie nach Bedarf einen oder mehrere der folgenden Befehle aus m So ndern Sie die H chstanzahl von Tagen die ein Benutzer sein Kennwort behalten kann esxcfg auth passmaxdays lt Anzahl der Tage gt wobei lt A
192. essourcenreservierung und einschr nkungen 174 Sicherheit 174 320 Sicherheitsempfehlungen 276 Veerhindern der Ger tetrennung 279 virtuelle Maschinen Beispiel f r die Isolierung 180 181 Virtuelle Netzwerkebene und Sicherheit 179 Virtuelle Switches Angriffe durch 802 1q und ISL Kennzeichnung 209 Doppelt eingekapselte Angriffe 209 Gef lschte bertragungen 211 Implementierungsszenarien 269 MAC Adressen nderungen 211 MAC Flooding 209 Multicast Brute Force Angriffe 209 Promiscuous Modus 211 Sicherheit 209 Spanning Tree Angriffe 209 und iSCSI 218 Zufallsdatenblock Angriffe 209 VLAN Definition 20 VLANs Implementierungsszenarien 269 Schicht 2 Sicherheit 207 Sicherheit 203 und iSCSI 218 VLAN Hopping 207 VMFS gemeinsam nutzen 269 vmkfstools 299 VMkernel Definition 20 konfigurieren 30 Sicherheit 174 vmkfstools Dateisystemoptionen 301 Optionen f r virtuelle Festplatten 305 VMware Inc Index Syntax 300 bersicht 299 VMotion absichern mit VLANs und virtuellen Switches 207 Definition 20 Firewallport 193 Netzwerkkonfiguration 30 vSwitch Definition 20 Richtlinien 51 verwenden 22 Z Zertifikate Deaktivieren von SSL f r VI Web Access und SDK 238 Konfigurieren von ESX Server Suchen 239 Schl sseldatei 236 Speicherort 236 Zertifikatsdatei 236 Zertifizierung 186 Zugriff auf Speicher 100 Zuletzt verwendet Pfadrichtlinie 146 VMware Inc 321 Handbuch zur Serverkonfig
193. et oder beendet werden kann Diese Konfiguration umfasst Optionen welche das ffnen der entsprechenden Ports ber cksichtigen und startet und beendet den NTP Dienst anschlie end basierend auf diesen Bedingungen Es sind mehrere Konfigurationsoptionen m glich die alle auch f r den SSH Server gelten HINWEIS Die in diesem Abschnitt beschriebenen Einstellungen gelten nur f r die ber den VI Client oder Anwendungen konfigurierten Diensteinstellungen die mithilfe des VMware Infrastructure SDK erstellt wurden Konfigurationen ber andere Tools z B das Dialogfeld esxcfg firewall oder Konfigurationsdateien in etc init d sind von diesen Einstellungen nicht betroffen m Automatisch starten wenn ein Port ge ffnet ist und stoppen wenn alle Ports geschlossen werden Start automatically if any ports are open and stop when all ports are closed Die von VMware empfohlene Standardeinstellung f r diese Dienste Falls ein beliebiger Port ge ffnet ist versucht der Client die zum betreffenden Dienst geh renden Netzwerkressourcen zu kontaktieren Wenn einige Ports ge ffnet sind der Port f r einen bestimmten Dienst jedoch geschlossen ist misslingt der Versuch Wird der zugeh rige Port jedoch ge ffnet beginnt der Dienst seine Aufgaben zu erledigen VMware Inc 201 Handbuch zur Serverkonfiguration f r ESX Server 3 202 Mit dem Host starten und stoppen Start and stop with host Der Dienst wird kurz nach dem Starten des Hosts gest
194. etzwerk hinzuf gen Prozessoren Arbeitsspeicher Yktueller Switch vSwitcho Entfernen Eigenschaften Speicher Portgruppe der virtueljen Maschine Physische Adapter b Kawak KA yM Network eR vmnico 100 voll p f 8 virtuelle Maschinen YLAN ID Speicheradapter 5 Netzwerkadapter a Software i i Servicekonsolenport Lizenzierte Funktionen I Service Console Q Uhrzeitkonfiguration vswif0 172 16 28 132 un DNS und Routing YM starten herunterfahren Speicherort der YM Auslagerungsdatei Virtueller Switch vawitchi Entfernen Eigenschaften Sicherheitsprofil Serwicekonsolenport Physische Adapter Zuteilung von Systemressourcen Service Console 2 EB vmnici 100 Vol pa Erweiterte Einstellungen vswifl 172 16 16 111 YMkermel Port vmotion 172 16 16 200 Pop up Men f r VM Netzwerkeigenschaften Netzwerkadapter So zeigen Sie die Netzwerkadapterinformationen auf dem VI Client an 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt 26 VMware Inc Kapitel 2 Netzwerke 2 Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Netzwerkadapter Network Adapters Das Netzwerkadapterfenster zeigt die folgenden Informationen an m Ger t Device Name des Netzwerkadapters m Geschwindigkeit Speed Tats chliche Geschwindigkeit und Duplex des Netz
195. etzwerkadapter Siehe Handbuch zur SAN Speicherkompatibilit t unter www vmware com pdf vi3_san_guide pdf Unterst tzte Speicheradapter F r den Zugriff auf verschiedene Speichertypen ben tigt das ESX Server 3 System ggf verschiedene Adapter um eine Verbindung zum Speicherger t oder Netzwerk aufbauen zu k nnen ESX Server 3 unterst tzt mit SCSI iSCSI RAID Fibre Channel und Ethernet verschiedene Adapterklassen ESX Server 3 greift auf die Adapter direkt ber Ger tetreiber im VMkernel zu Informationen zu von ESX Server 3 unterst tzten Adaptertypen finden Sie im Handbuch zur E A Kompatibilit t unter www vmware com support pubs vi_pubs html Datenspeicher Mit dem VI Client greifen Sie auf verschiedene Arten von Speicherger ten zu die der ESX Server 3 Host erkennt um darauf Datenspeicher bereitzustellen Datenspeicher sind besondere logische Container analog zu Dateisystemen bei denen Angaben zu den einzelnen Speicherger ten verborgen bleiben und die ein einheitliches Modell f r die Speicherung der Dateien virtueller Maschinen bieten Datenspeicher k nnen auch zum Speichern von ISO Images Vorlagen virtueller Maschinen und Disketten Images genutzt werden Siehe Grundlagen der Systemverwaltung unter www vmware com support pubs VMware Inc 95 Handbuch zur Serverkonfiguration f r ESX Server 3 96 Je nach Typ des verwendeten Speichers k nnen ESX Server 3 Datenspeicher die folgenden Dateisystemformate aufweisen
196. f Ablehnen Reject festgelegt d h der virtuelle Netzwerkadapter kann nicht im Promiscuous Modus betrieben werden Der Promiscuous Modus deaktiviert jegliche Empfangsfilterung die der virtuelle Netzwerkadapter normalerweise ausf hren w rde sodass das Gastbetriebssystem den gesamten Datenverkehr aus dem Netzwerk empf ngt Zwar kann der Promiscuous Modus f r die Nachverfolgung von Netzwerkaktivit ten n tzlich sein aber er ist ein unsicherer Betriebsmodus da jeder Adapter im Promiscuous Modus Zugriff auf alle Pakete hat auch wenn manche Pakete nur f r einen spezifischen Netzwerkadapter bestimmt sind Das bedeutet dass ein Administrator oder Root Benutzer in einer virtuellen Maschine rein theoretisch den Datenverkehr der f r andere Gast oder Hostbetriebssysteme bestimmt ist einsehen kann HINWEIS Unter bestimmten Umst nden ist es notwendig einen virtuellen Switch in den Promiscuous Modus zu setzen zum Beispiel wenn Sie eine Software zur Netzwerkeinbruchserkennung oder einen Paketmitschneider verwenden Wenn Sie eine dieser Standardeinstellungen f r einen Port ndern m chten m ssen Sie das Sicherheitsprofil in den Einstellungen des virtuellen Switches im VI Client ndern Informationen zum Bearbeiten dieser Einstellungen finden Sie unter Richtlinien f r virtuelle Switches auf Seite 51 VMware Inc 213 Handbuch zur Serverkonfiguration f r ESX Server 3 Absichern von iSCSI Speicher Der Speicher den Sie f r
197. f r ESX Server 3 204 Virtuelle Maschinen sind voneinander isoliert Eine virtuelle Maschine kann weder Lese noch Schreiboperationen im Speicher der anderen virtuellen Maschine ausf hren noch auf deren Daten zugreifen ihre Anwendungen verwenden usw Im Netzwerk kann jedoch jede virtuelle Maschine oder eine Gruppe virtueller Maschinen Ziel eines unerlaubten Zugriffs von anderen virtuellen Maschinen sein und daher weiteren Schutzes durch externe Ma nahmen bed rfen Dies k nnen Sie durch folgende Ma nahmen erreichen Hinzuf gen von Firewallschutz f r das virtuelle Netzwerk durch Installation und Konfiguration von Softwarefirewalls auf einigen oder allen virtuellen Maschinen im Netzwerk Aus Effizienzgr nden k nnen Sie private Ethernet Netzwerke virtueller Maschinen oder Virtuelle Netzwerke einrichten Bei virtuellen Netzwerken installieren Sie eine Softwarefirewall auf einer virtuellen Maschine am Eingang des virtuellen Netzwerks Diese dient als Schutzpufferzone zwischen dem physischen Netzwerkadapter und den brigen virtuellen Maschinen im virtuellen Netzwerk Die Installation einer Softwarefirewall auf virtuellen Maschinen am Eingang eines virtuellen Netzwerks ist eine bew hrte Sicherheitsma snahme Da jedoch Softwarefirewalls die Leistung verlangsamen k nnen sollten Sie Sicherheitsbed rfnisse und Leistungsanforderungen abw gen bevor Sie Softwarefirewalls in anderen virtuellen Maschinen im Netzwerk installieren Siehe
198. fernen oder anderweitig ndern Um das Benutzerverzeichnis oder Benutzerkennw rter zu ndern m ssen Sie die Programme verwenden mit denen Sie die Windows Dom ne verwalten Alle nderungen die Sie an der Windows Dom ne vornehmen werden von VirtualCenter bernommen Da Sie jedoch die Benutzer nicht direkt in VirtualCenter verwalten k nnen enth lt die Benutzeroberfl che auch kein Benutzerverzeichnis das angezeigt werden kann Nur bei der Auswahl von Benutzern und Gruppen w hrend der Rollenzuweisung stehen Benutzer und Gruppenverzeichnisse zur Verf gung Die nderungen werden nur sichtbar wenn Sie Benutzer zum Konfigurieren von Berechtigungen ausw hlen m Benutzer mit direktem Zugriff Benutzer die zum direkten Arbeiten auf einem ESX Server 3 Host autorisiert sind werden der internen Benutzerliste standardm ig bei der Installation oder nach der Installation von einem Systemadministrator hinzugef gt Wenn Sie sich auf dem Host als Administrator anmelden k nnen Sie verschiedene Management Aktivit ten f r diese Benutzer ausf hren z B Kennw rter Gruppenmitgliedschaft Berechtigungen usw ndern Au erdem k nnen Sie Benutzer hinzuf gen und entfernen Die von VirtualCenter gef hrte Benutzerliste ist eine grundlegend andere als die Benutzerliste des ESX Server 3 Hosts Selbst wenn die Benutzerlisten von Host und VirtualCenter die gleichen Benutzer zu haben scheinen zum Beispiel einen Benutzer mit dem Namen devus
199. folgenden Konfigurationen aus Wir empfehlen die gesamte Festplatte LUN f r ein einziges VMware Dateisystem zu reservieren Zus tzliche Dateisysteme die f r dieses Ger t bereitgestellt werden werden nur unterst tzt wenn sie ausschlie lich von der Servicekonsole verwendet werden C Gesamtes Ger t 136 68 GB verwenden Warnung Diese Konfiguration l scht das aktuelle Festplattenlayout Alle Dateisysteme und Daten gehen dauerhaft verloren Freien Speicherplatz nutzen 129 13 GB lt Zur ck _weter gt Abbrechen 7 Klicken Sie auf Weiter Next 8 Geben Sie auf der Seite Festplatte LUN Eigenschaften Disk LUN Properties einen Dateispeichernamen ein und klicken Sie auf Weiter Next Die Seite Formatierung von Festplatte LUN Disk LUN Formatting wird angezeigt 9 ndern Sie bei Bedarf die Werte f r das Dateisystem und die Gr e des Datenspeichers Standardm ig wird der gesamte freie Speicherplatz des Speicherger ts zur Verf gung gestellt 10 Klicken Sie auf Weiter Next 11 berpr fen Sie auf der Seite Bereit zum Abschlie en Ready to Complete die Informationen zur Datenspeicherkonfiguration und klicken Sie auf Fertig Finish Dieser Prozess erstellt einen Datenspeicher f r den ESX Server 3 Host auf einer Fibre Channel Festplatte 12 Klicken Sie auf Aktualisieren Refresh Informationen zur erweiterten Konfiguration z B die Verwendung von Multipathing Masking und Zoning finden Sie
200. ft f r keine der 83 Handbuch zur Serverkonfiguration f r ESX Server 3 84 Portgruppen aktiviert wurde ist eine VMotion Migration auf diesen Host nicht m glich 9 Assistent zum Hinzuf gen von Netzwerken YMkernel Yerbindungseinstellungen Kennzeichnen Sie YMkernel Verbindungen mit Netzwerkbezeichnungen w hrend Sie die Hosts und Datencenter verwalten Yerbindungst Portgruppeneigenschaften Netzwerkzuariff Yerbindungseinstellungen Netzwerkbezeichnung YMkernel 2 bersicht YLAN ID optional 123 Diese Portgruppe f r YMotion verwenden IP Einstellungen IP Adresse 000 000 000 000 Subnetzmaske 000 000 000 000 Standard Gateway f r YMkernel Vorschau YMkemel Port Physische Adapter YMkernel 2 vmnici lt Zur ck Weiter gt Abbrechen Klicken Sie unter IP Einstellungen IP Settings auf Bearbeiten Edit um Standard Gateway f r VMkernel VMkernel Default Gateway f r VMkernel Dienste wie VMotion NAS und iSCSI einzurichten HINWEIS Legen Sie ein Standardgateway f r den Port fest den Sie erstellt haben VirtualCenter 2 verh lt sich anders als VirtualCenter 1 x Sie m ssen eine g ltige IP Adresse und keine Pseudoadresse angeben um den VMkernel IP Stapel zu konfigurieren Auf der Registerkarte DNS Konfiguration DNS Configuration ist im Namensfeld standardm ig der Hostname eingetragen Auch die DNS Server Adressen und die Dom ne die w hrend der Installation a
201. ftware iSCSI Speicher auf Seite 76 m Konfigurieren des Netzwerks auf Blade Servern auf Seite 81 m Fehlerbehebung auf Seite 85 VMware Inc 75 Handbuch zur Serverkonfiguration f r ESX Server 3 Netzwerkkonfiguration f r Software iSCSI Speicher Der Speicher den Sie f r einen ESX Server 3 Host konfigurieren kann ein oder mehrere SANs Speichernetzwerke umfassen die iSCSI Speicher verwenden iSCSI ist ein Instrument f r den Zugriff auf SCSI Ger te und zum Austausch von Datens tzen indem das TCP IP Protokoll ber einen Netzwerkport und nicht ber einen direkten Anschluss an ein SCSI Ger t eingesetzt wird Bei iSCSI bertragungen werden Raw SCSI Datenbl cke in iSCSI Datens tze gekapselt und an das Ger t oder den Benutzer bertragen das der die Anforderung gestellt hat HINWEIS In ESX Server 3 5 steht Software initiiertes iSCSI ber 10GigE Netzwerkadapter nicht zur Verf gung Bevor Sie den iSCSI Speicher konfigurieren k nnen m ssen Sie einen VMkernel Port f r das iSCSI Netzwerk und die Verbindung der Servicekonsole zum iSCSI Netzwerk anlegen So legen Sie einen VMkernel Port f r Software iSCSI an 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt 2 Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Netzwerk Networking 3 Kli
202. g bei der Netzwerkadapterkonfiguration Das Hinzuf gen eines neuen Netzwerkadapters kann in bestimmten F llen zum Verlust der Netzwerkverbindung der Servicekonsole sowie der Verwaltbarkeit mit dem VI Client f hren da Netzwerkadapter umbenannt wurden Wenn dies der Fall ist m ssen Sie die betroffenen Netzwerkadapter die die Servicekonsole nutzen umbenennen So benennen Sie Netzwerkadapter ber die Servicekonsole um 1 Melden Sie sich direkt an der Konsole Ihres ESX Server 3 Hosts an 2 Verwenden Sie den Befehl esxcfg nics L um anzuzeigen welche Namen Ihren Netzwerkadaptern zugewiesen wurden 3 Verwenden Sie den Befehl esxcfg vswitch L um anzuzeigen welche vSwitches sofern vorhanden jetzt den Ger tenamen zugewiesen sind die nicht mehr durch esxcfg nics angezeigt werden 4 Verwenden Sie den Befehl esxcfg vswitch U lt old vmnic name gt lt vswitch gt um Netzwerkadapter zu entfernen die umbenannt worden sind 5 Verwenden Sie den Befehl esxcfg vswitch L lt new vmnic name gt lt vswitch gt um die Netzwerkadapter mit ordnungsgem en Namen wieder hinzuzuf gen Fehlerbehebung bei der Konfiguration physischer Switches In manchen F llen kann bei einem Failover oder Failback die Verbindung zum vSwitch getrennt werden Dadurch werden die MAC Adressen die von diesem vSwitch 86 VMware Inc Kapitel 4 Netzwerkszenarien und Probleml sung zugeordneten virtuellen Maschinen verwendet werden auf einem anderen Switchpo
203. ge einzusetzen Als Root Bridge kann der Angreifer dann die Inhalte bertragener Datenbl cke mitschneiden Die virtuellen Switches von VMware unterst tzen STP nicht und sind daher gegen diese Art von Angriffen immun VMware Inc Kapitel 10 Absichern einer ESX Server 3 Konfiguration m Zufallsdatenblock Angriffe Bei diesen Angriffen wird eine gro e Anzahl an Paketen bei denen die Quell und Zieladressen gleich sind die jedoch Felder unterschiedlicher L nge Art und mit verschiedenem Inhalt enthalten versendet Ziel des Angriffes ist es zu erzwingen dass Pakete versehentlich in ein anderes VLAN fehlgeleitet werden Die virtuellen Switches von VMware sind gegen diese Art von Angriffen immun Da mit der Zeit immer neue Sicherheitsgefahren auftreten kann diese Liste m glicher Angriffe nicht vollst ndig sein Konsultieren Sie regelm ig die VMware Sicherheitsressourcen im Internet http www vmware com support security html um mehr ber Sicherheit neue Sicherheitswarnungen und die Sicherheitstaktik von VMware zu erfahren Absichern der Ports virtueller Switches Wie bei physischen Netzwerkadaptern kann ein virtueller Netzwerkadapter Datenbl cke versenden die von einer anderen virtuellen Maschine zu stammen scheinen oder eine andere virtuelle Maschine imitieren damit er Datenbl cke aus dem Netzwerk empfangen kann die f r die jeweilige virtuelle Maschine bestimmt sind Au serdem kann ein virtueller Netzwerkadapter ge
204. gelten auch f r Raw Ger tezuordnungen Beispiel der Erstellung einer Raw Ger tezuordnung im virtuellen Kompatibilit tsmodus vmkfstools r vmfs devices disks vmhbal 3 0 0 my_rdm vmdk Das Beispiel zeigt die Erstellung einer Raw Ger tezuordnungsdatei mit dem Namen my_rdm vmdk bei dem die Raw Festplatte vmhba1 3 0 0 dieser Datei zugeordnet wird Sie k nnen eine virtuelle Maschine so konfigurieren dass sie die Zuordnungsdatei my_rdm vmdk verwendet indem Sie die Konfigurationsdatei der virtuellen Maschine um die folgenden Zeilen erg nzen scsi0 0 present TRUE scsi0 0 fileName vmfs volumes myVMFS my_rdm vmdk 310 VMware Inc Anhang B Verwenden von vmkfstools Anlegen einer Raw Ger tezuordnung im physischen Kompatibilit tsmodus z createrdmpassthru lt Ger t gt Mit dieser Option k nnen Sie einer Datei auf einem VMFS Volume ein Pass Ihrough Raw Ger t zuordnen Bei dieser Zuordnung kann eine virtuelle Maschine die ESX Server 3 SCSI Befehlsfilterung umgehen wenn sie auf ihre virtuelle Festplatte zugreift Diese Art der Zuordnung eignet sich dann wenn die virtuelle Maschine systeminh rente SCSI Befehle versenden muss wie beispielsweise dann wenn SAN gest tzte Software auf der virtuellen Maschine ausgef hrt wird Nachdem Sie diese Art der Zuordnung aktiviert haben k nnen Sie damit auf die Raw Festplatte wie auf jede andere virtuelle Festplatte zugreifen Bei der Angabe des Parameters lt Ger t gt geben
205. gen Der Benutzer kann jedoch nicht die Remotekonsole eines Hosts anzeigen Alle Vorg nge ber die Men s und Symbolleisten sind nicht zugelassen m Administrator Benutzer denen diese Rolle f r ein Objekt zugewiesen wurde k nnen s mtliche Vorg nge auf ein Objekt anwenden und diese anzeigen Zu dieser Rolle geh ren alle Berechtigungen ber die auch die Rolle Nur Lesen Read Only verf gt Benutzerdefinierte Rollen k nnen Sie mit den Rollenbearbeitungsdienstprogrammen auf dem VI Client erstellen und an Ihre Anforderungen anpassen Wenn Sie den mit VirtualCenter verbundenen VI Client zur Verwaltung der ESX Server 3 Hosts verwenden stehen Ihnen in VirtualCenter zus tzliche Rollen zur Auswahl Auf die Rollen die Sie direkt auf einem ESX Server 3 Host erstellen kann nicht innerhalb von VirtualCenter zugegriffen werden Sie k nnen diese Rollen nur verwenden wenn Sie sich direkt ber den VI Client am Host anmelden Wenn Sie ESX Server 3 Hosts ber VirtualCenter verwalten beachten Sie dass die Verwendung benutzerdefinierter Rollen auf dem Host und in VirtualCenter zu Verwirrung und Missbrauch f hren kann Bei dieser Art der Konfiguration empfiehlt VMware benutzerdefinierte Rollen nur in VirtualCenter zu verwenden Informationen zum Erstellen ndern und L schen von Rollen sowie zu den zus tzlich in VirtualCenter verf gbaren Rollen finden Sie in Grundlagen der Systemverwaltung VMware Inc 229 Handbuch zur Serverkonfigurati
206. gen 263 Sicherheit Beispiel DMZ auf einem einzelnen ESX Server Host 180 181 Benutzer mit direktem Zugriff 224 Benutzerauthentifizierung 221 Benutzerverwaltung 221 Berechtigungen 225 CHAP Authentifizierung 214 Delegierter Benutzer 242 Empfehlungen f r virtuelle Maschinen 276 ESX Server Architektur 173 Gef lschte bertragungen 211 VMware Inc Gruppen 225 ISCSI Speicher 214 Kennwortbeschr nkungen f r den ESX Server Host 254 MAC Adressen nderungen 211 PAM Authentifizierung 221 Patches 267 Promiscuous Modus 211 Rollen 228 Schl sselqualit t 262 Servicekonsole Sicherheitsma nahmen 1 77 Servicekonsolen Firewall Sicherheitsstufe 249 setgid Anwendungen 263 setuid Anwendungen 263 Sicherheitszertifikate 236 SSH Verbindungen 265 bersicht ber Benutzer Gruppen Berechtigungen und Suchsoftware 267 Verschl sselung 236 VirtualCenter Benutzer 224 Virtualisierungsebene 174 virtuelle Maschinen 174 virtuelle Netzwerkebene 179 virtuelles Netzwerk 203 VLAN Hopping 207 VLANs 203 VMkernel 174 vmware authd 221 VMware Richtlinie 186 Rollen 223 SMB und Firewallports 198 SNMP und Firewallports 198 Software initiierter ISCSI Speicher hinzuf gen 131 bersicht 127 Speicher VMware Inc Index absichern mit VLANs und virtuellen Switches 207 Adapter 95 anzeigen im VI Client 102 Fibre Channel 113 iSCSI 116 Konfigurationsaufgaben 106 lokaler SCSI 110 NFS 135 SAN 113 Typen 93 Zugriff f r v
207. genen LUN eingerichtet sein m Bessere Leistung Unter Umst nden kann es sinnvoll sein einige Ihrer Server f r wenige gr ere VMEFS Volumes zu konfigurieren und andere f r mehr und kleinere VMFS Volumes 98 VMware Inc Kapitel 5 Einf hrung in die Speicherung Gemeinsames Nutzen eines VMFS Volumes durch mehrere ESX Server 3 Systeme Als Clusterdateisystem erm glicht VMFS mehreren ESX Server 3 Hosts parallel auf denselben VMFS Datenspeicher zuzugreifen Sie k nnen bis zu 32 Hosts mit einem einzelnen VMFS Volume verbinden Abbildung 5 1 Gemeinsames Nutzen eines VMFS Volumes durch mehrere ESX Server 3 Hosts ESX ESX ESX Server A Server B Server C Festplatte 1_ Virtuelle Festplatten dateien _ Festplatte 2 _ _ Festplatte 3 Um zu gew hrleisten dass nicht mehrere Server gleichzeitig auf dieselbe virtuelle Maschine zugreifen verf gt VMFS ber eine festplatteninterne Sperrung Die gemeinsame Nutzung desselben VMFS Volumes durch mehrere ESX Server 3 Hosts bietet Ihnen die folgenden Vorteile m Sie k nnen VMware Distributed Resource Scheduling und VMware High Availability einsetzen Sie k nnen virtuelle Maschinen auf mehrere physische Server verteilen Sie k nnen also auf jedem Server eine Kombination virtueller Maschinen ausf hren sodass nicht alle zur selben Zeit im selben Bereich einer hohen Nachfrage unterliegen Falls ein Server ausf llt k nnen Sie die virtuellen Maschine
208. h am VI Client an und w hlen Sie die virtuelle Maschine in der Bestandsliste aus Die Konfiguration f r diese virtuelle Maschine wird auf der Registerkarte bersicht Summary angezeigt Klicken Sie auf Einstellungen bearbeiten Edit Settings Klicken Sie auf Optionen Options gt Erweitert Advanced gt Konfigurationsparameter Configuration Parameters Das Dialogfeld Konfigurationsparameter Configuration Parameters wird ge ffnet VMware Inc Kapitel 13 Empfehlungen f r den Schutz von Implementierungen 4 Klicken Sie auf die Schaltfl che Hinzuf gen Add und geben Sie Folgendes ein m Feld Name isolation tools setinfo disable m Feld Wert true Das Ergebnis sieht folgenderma en aus Konfigurationsparameter ndern Sie Konfigurationsparameter oder f gen Sie sie f r experimentelle Funktionen bzw gem den Anweisungen des technischen Supports hinzu Eintr ge k nnen nicht entfernt werden Name deploymentPlatform nyram sched swap derivedN ame scsi0 0 redo yirtualHW productCompatibility vmware tools internalversion vmware tools requiredversion vmware tools installstate vmware tools lastInstallStatus resuk tools remindInstall isolation tools setinfo disable wert windows Neue virtuelle Maschine nvram vrmfs volumes 47de07 1d d81372e2 38f6 0019b9f05e23 Neue virtuelle Mas hosted 0 7300 none unknown TRUE true t Zeile hinzuf gen OK Abbrechen Hilfe 5 Klic
209. he Form zu bringen Derzeit werden verschiedene Schl ssel verwendet Die Sicherheitsebene jedes dieser Schl ssel ist unterschiedlich Ein Ma zur Bestimmung der Datenschutzf higkeit eines Schl ssels ist die Schl sselqualit t d h die Anzahl der Bits im Verschl sselungsschl ssel Je h her diese Anzahl ist desto sicherer ist der Schl ssel Damit die Daten aus und zu externen Netzwerken gesendeten Daten gesch tzt werden verwendet ESX Server 3 einen der sichersten Blockschl ssel den es derzeit gibt die 256 Bit AES Blockverschl sselung ESX Server 3 verwendet au erdem 1024 Bit RSA f r den Schl sselaustausch Diese Verschl sselungsalgorithmen sind f r folgende Verbindungen Standard m VIClient Verbindungen zu VirtualCenter Server und zum ESX Server 3 Host ber die Servicekonsole m VI Web Access Verbindungen zum ESX Server 3 Host ber die Servicekonsole HINWEIS Da die Verwendung von Verschl sselungstechniken f r VI Web Access vom Web Browser abh ngig ist den Sie verwenden verwendet dieses Verwaltungsprogramm ggf eine andere Verschl sselung m SDK Verbindungen zu VirtualCenter Server und zum ESX Server 3 m Servicekonsolenverbindungen zu den virtuellen Maschinen ber VMkernel m SSH Verbindungen zum ESX Server 3 Host ber die Servicekonsole Weitere Informationen finden Sie unter SSH Sicherheit auf Seite 265 VMware Inc Kapitel 12 Sicherheit der Servicekonsole setuid und setgid Anwendungen set
210. henswert um die Wartezeiten f r Failover Ereignisse und Migrationen mit VMotion zu minimieren HINWEIS Verwenden Sie diese Option nicht wenn die an die Portgruppe angeschlossenen virtuellen Maschinen den Netzwerklastausgleich NLB von Microsoft im Unicast Modus verwenden Im Multicast Modus mit NLB treten keine Probleme auf Failback W hlen Sie Ja Yes oder Nein No um Failback zu deaktivieren oder zu aktivieren Diese Option bestimmt wie ein physischer Adapter nach einem Ausfall wieder in den aktiven Betrieb genommen wird Wenn die Option auf Nein No gesetzt wurde wird der Adapter sofort nach der Wiederherstellung seiner Funktionsf higkeit aktiviert Er ersetzt in diesem Fall den ggf vorhandenen Ersatzadapter der seinen Platz eingenommen hatte Wenn diese Option auf Ja Yes gesetzt wurde bleibt ein ausgefallener Adapter nach der Wiederherstellung seiner Funktionsf higkeit deaktiviert bis der gegenw rtig aktive Adapter ausf llt und ersetzt werden muss Failover Reihenfolge Failover Order Geben Sie an wie die Verarbeitungslast f r die Adapter verteilt werden soll Wenn Sie bestimmte Adapter verwenden und andere f r Notf lle reservieren m chten sollten die verwendeten Adapter ausfallen k nnen Sie Adapter mithilfe des Dropdown Men s in zwei Gruppen aufteilen m Aktive Adapter Active Adapters Dieser Adapter wird weiter verwendet wenn die Netzwerkadapterverbindung hergestellt und aktiv ist m Standby Adap
211. herger te Wenn Sie die Pfadrichtlinie auf Feststehend Fixed festlegen geben Sie den bevorzugten Pfad an den der Host falls verf gbar verwenden soll 152 VMware Inc Kapitel 7 Speicherverwaltung So richten Sie den bevorzugten Pfad ein 1 W hlen Sie unter Pfade Paths den Pfad aus der der bevorzugte Pfad werden soll und klicken Sie anschlie end auf ndern Change 2 Klicken Sie im Bereich Einstellungen Preference auf Bevorzugt Preferred Wenn die Option Bevorzugt Preferred nicht verf gbar ist stellen Sie sicher dass die Pfadrichtlinie Path Policy auf Feststehend Fixed festgelegt ist 3 Klicken Sie zweimal auf OK um Ihre Einstellungen zu speichern und die Dialogfelder zu schlie en Deaktivieren von Pfaden Im VI Client k nnen Sie Pfade aus Wartungs und anderen Gr nden vor bergehend deaktivieren So deaktivieren Sie einen Pfad 1 W hlen Sie unter Pfade Paths den Pfad aus den Sie deaktivieren m chten und klicken Sie anschlie end auf ndern Change 2 W hlen Sie Deaktivieren Disabled aus um den Pfad zu deaktivieren vmhba0 0 0 Pfadstatus ndern Einstellung F Den Datenverkehr immer uber diesen Pfad leiten talle verf gbar Status Aktiviert Diesen Pfad f r Lastenausgleich und Failover verf gbar machen Deaktiviert Keinen Daterwerkehr uber diesen Pfad leiten abbrechen Hilfe 3 Klicken Sie zweimal auf OK um Ihre Einstellungen zu speichern und d
212. herheit der Servicekonsole 247 Allgemeine Sicherheitsempfehlungen 248 Anmelden an der Servicekonsole 249 Konfiguration der Servicekonsolen Firewall 249 Andern der Sicherheitsstufe der Servicekonsole 250 Freigeben und Blockieren von Ports in der Servicekonsolen Firewall 252 Kennwortbeschr nkungen 254 Kennwortverwendungsdauer 255 Kennwortkomplexit t 256 Andern des Kennwort Plug Ins 260 Schl sselqualit t 262 setuid und setgid Anwendungen 263 setuid Standardanwendungen 263 setgid Standardanwendungen 265 SSH Sicherheit 265 Sicherheitspatches und Software zum Suchen nach Sicherheitsl cken 267 13 Empfehlungen f r den Schutz von Implementierungen 269 Sicherheitsma nahmen f r g ngige ESX Server 3 Implementierungen 269 Implementierung f r einen Kunden 270 Eingeschr nkte Implementierung f r mehrere Kunden 272 Beschr nkte Implementierung f r mehrere Kunden 274 Empfehlungen f r virtuelle Maschinen 276 Installieren von Antivirensoftware 276 Deaktivieren von Kopier und Einf gevorg ngen zwischen Gastbetriebssystem und Remotekonsole 277 Entfernung berfl ssiger Hardwareger te 278 Beschr nken von Schreibvorg ngen des Gastbetriebssystems in den Hostspeicher 280 Konfigurieren der Protokollierungsebenen f r das Gastbetriebssystem 283 VMware Inc T Handbuch zur Serverkonfiguration f r ESX Server 3 Anh nge A Befehle f r den technischen Support von ESX Server 3 291 Andere Befehle 298 B Verwenden von vmkfstools
213. hine Virtuelle Virtuelle Virtuelle Maschine Maschine Maschine Lokales Ethernet Software Initiator Virtuelle Maschine Fibre Channel Ethernet Ethernet HBA NiE NIC Schl ssel gt N A Physisches Laufwerk Pa 4 Ay A I Datenspeicher A b Virtuelle Festplatte Fibre Channel Array NAS Appliance HINWEIS Diese Abbildung dient nur zur Veranschaulichung Es handelt sich nicht um eine empfohlene Konfiguration VMware Inc 101 Handbuch zur Serverkonfiguration f r ESX Server 3 Vergleich der Speichertypen In Tabelle 5 1 werden die Netzwerkspeichertechnologien verglichen die ESX Server 3 unterst tzt Tabelle 5 1 Von ESX Server 3 unterst tzter Netzwerkspeicher Technologie Protokolle Fibre Channel FC SCSI bertragungen Schnittstelle Blockzugriff f r FC HBA Daten LUN iSCSI IP SCSI Blockzugriff f r m iSCSI HBA Hardware initiiertes iSCSI Daten LUN m Netzwerkkarte Software initiiertes iSCSI NAS IP NFS Datei kein direkter Netzwerkkarte LUN Zugriff In Tabelle 5 2 werden die ESX Server 3 Funktionen verglichen welche die verschiedenen Speichertypen unterst tzen Tabelle 5 2 Von Speichertypen unterst tzte ESX Server 3 Funktionen Starten Raw VM VMware HA Speichertyp von VMs VMotion Datenspeicher Ger tezuordnung Cluster und DRS VCB SCSI Ja Nein VMES Nein Nein Nein Ja Fibre Channel Ja Ja VMFS Ja Ja Ja Ja iSCSI Ja Ja VMES Ja Nein
214. hinen wird jedoch bei ESX Server 3 nicht mehr verwendet VMware Inc 69 Handbuch zur Serverkonfiguration f r ESX Server 3 70 Die ersten drei Byte der MAC Adtresse die f r jeden virtuellen Netzwerkadapter generiert werden umfassen die OUI Der Generierungsalgorithmus f r MAC Adressen erstellt drei weitere Byte Der Algorithmus garantiert eindeutige MAC Adressen innerhalb einer Maschine und versucht eindeutige MAC Adressen maschinen bergreifend zu erstellen Die Netzwerkadapter f r jede virtuelle Maschine im gleichen Subnetz m ssen eindeutige MAC Adressen haben Andernfalls k nnen sie sich unvorhersehbar verhalten Der Algorithmus beschr nkt jederzeit auf allen Servern die Anzahl laufender und angehaltener virtueller Maschinen Er kann auch nicht alle F lle identischer MAC Adressen vermeiden wenn sich virtuelle Maschinen auf unterschiedlichen physischen Computern ein Subnetz teilen Der VMware UUID Universally Unique Identifier universaler eindeutiger Bezeichner generiert MAC Adressen die dann auf Konflikte gepr ft werden Die generierten MAC Adressen bestehen aus drei Teilen der VMware OUI der SMBIOS UUID f r den physischen ESX Server 3 Computer und einem Hash der auf dem Namen der Entit t beruht f r welche die MAC Adresse generiert wird Nachdem die MAC Adtresse generiert wurde ndert sie sich nicht solange die virtuelle Maschine nicht an einen anderen Speicherort verschoben wird z B in ein anderes Verzeich
215. hnung und eine VLAN ID aus bzw geben Sie diese ein m Netzwerkbezeichnung Network Label Ein Name der die Portgruppe Kapitel 2 Netzwerke bezeichnet die erstellt wird Es handelt sich dabei um die Bezeichnung die Sie bei der Konfiguration von VMkernel Diensten wie VMotion und IP Speicher w hrend der Konfiguration des virtuellen Adapters der an diese Portgruppe angeschlossen wird festlegen m VLAN ID Kennzeichnet das VLAN das f r den Netzwerkdatenverkehr der Portgruppe verwendet wird 9 Aktivieren Sie Diese Portgruppe f r VMotion verwenden Use this port group for VMotion damit diese Portgruppe anderen ESX Servern melden kann dass sie als Netzwerkverbindung dient an die VMotion Datenverkehr gesendet werden soll Auf jedem ESX Server 3 Host kann diese Eigenschaft nur f r eine VMotion und IP Speicher Portgruppe aktiviert werden Wenn diese Eigenschaft f r keine der Portgruppen aktiviert wurde ist eine VMotion Migration auf diesen Host nicht m glich Assistent zum Hinzuf gen von Netzwerken YMkernel Yerbindungseinstellungen Kennzeichnen Sie YMkernel Verbindungen mit Netzwerkbezeichnungen w hrend Sie die Hosts und Datencenter verwalten Yerbindungst Portgruppeneigenschaften Netzwerkzugriff Yerbindungseinstellungen Netzwerkbezeichnung bersicht YLAN ID optional IP Einstellungen IP Adresse Subnetzmaske Standard Gateway f r YMkernel Vorschau YMkemel Port YMkernel 2 V
216. hrfach vernetzt Auf der virtuellen Maschine 2 wird ein Web Server auf der virtuellen Maschine 3 ein Anwendungs Server ausgef hrt Diese beiden Maschinen sind einfach vernetzt VMware Inc Kapitel 9 Sicherheit f r ESX Server 3 Systeme Der Webserver und der Anwendunsgsserver befinden sich in der DMZ zwischen den zwei Firewalls Die Verbindung zwischen diesen Elementen ist der virtuelle Switch 2 der die Firewalls mit den Servern verbindet Dieser Switch ist nicht direkt mit Elementen au erhalb der DMZ verbunden und wird durch die beiden Firewalls vom externen Datenverkehr abgeschirmt W hrend des Betriebs der DMZ betritt externer Datenverkehr aus dem Internet die virtuelle Maschine 1 ber den Hardware Netzwerkadapter 1 weitergeleitet vom virtuellen Switch 1 und wird von der auf dieser virtuellen Maschine installierten Firewall berpr ft Wenn die Firewall den Datenverkehr autorisiert wird er an den virtuellen Switch in der DMZ den virtuellen Switch 2 weitergeleitet Da der Webserver und der Anwendungsserver ebenfalls an diesen Switch angeschlossen sind k nnen sie die externen Anforderungen bearbeiten Der virtuelle Switch 2 ist auch an die virtuelle Maschine 4 angeschlossen Auf dieser virtuellen Maschine schirmt eine Firewall die DMZ vom internen Firmennetzwerk ab Diese Firewall filtert Pakete vom Web und Anwendungsserver Wenn ein Paket berpr ft wurde wird es ber den virtuellen Switch 3 an den Hardware Netzwerkadapt
217. ht Wenn die Festplatte nicht leer ist berpr fen Sie im oberen Bereich auf der Seite Aktuelles Festplattenlayout Current Disk Layout das aktuelles Festplattenlayout und w hlen Sie im unteren Bereich eine Konfigurationsoption aus m Gesamtes Ger t verwenden Use the entire device W hlen Sie diese Option um die gesamte Festplatte oder LUN einem einzelnen VMEFS Datenspeicher zur Verf gung zu stellen VMware empfiehlt das Aktivieren dieser Option WARNUNG Bei Wahl dieser Option werden zuvor auf diesem Ger t gespeicherte Dateisysteme und Daten dauerhaft gel scht 114 VMware Inc Kapitel 6 Speicherkonfiguration m Freien Speicherplatz verwenden Use free space W hlen Sie diese Option um einen VMFS Datenspeicher im verbleibenden freien Speicherplatz auf der Festplatte bereitzustellen Assistent zum Hinzuf gen von Speicher Aktuelles Festplattenlayout Sie k nnen das gesamte Ger t den gesamten freien Speicherplatz oder einen einzelnen Block freien Speicherplatzes partitionieren und formatieren Eestplatte LUmN Pr fen Sie das aktuelle Festplattenlayout Ger testandort Aktuelles Festplatten La Ger t Eigenschaften Ivmfs devices disks 136 70 GB vmhba0 0 0 Formatierung Bereit zum Abschlie en Prim re Partitionen Linux native 94 13 MB Linux native 4 37 GB Freier Speicherpla 129 13 GB Linux swap 533 41 MB Linux native 1 94 GB vMware Diagnose 94 13 MB Anschlie end w hlen Sie eine der
218. ht Dateien unter dem angegebenen Pfad auf dem VMFS Volume die einer virtuellen Festplatte zugeordnet sind Umbenennen eines virtuellen Laufwerks E renamevirtualdisk lt alter Name gt lt neuer Name gt Diese Option benennt eine Datei einer virtuellen Festplatte um die in der Pfadangabe der Befehlszeile angegeben wird Sie k nnen den urspr nglichen Dateinamen oder pfad f r lt alter Name gt und den neuen Dateinamen oder pfad f r lt neuer Name gt angeben VMware Inc 307 Handbuch zur Serverkonfiguration f r ESX Server 3 Klonen einer virtuellen oder Raw Festplatte i importfile lt Quelldatei gt d diskformat rdm lt Ger t gt rdmp lt Ger t gt raw lt Ger t gt thin 2gbsparse monosparse monoflat Diese Option erstellt eine Kopie einer virtuellen oder Raw Festplatte die Sie angeben Sie k nnen die Unteroption d f r die Option i verwenden Diese Unteroption bezeichnet das Festplattenformat f r die Kopie die Sie anlegen Siehe Unterst tzte Festplattenformate auf Seite 305 Nur Root Benutzer d rfen eine virtuelle oder Raw Festplatte klonen HINWEIS Um die ESX Server 3 Redo Protokolle unter Beibehaltung ihrer Hierarchie zu klonen verwenden Sie den Befehl cp Beispiel f r das Klonen einer virtuellen Festplatte vmkfstools i vmfs volumes templates gold master vmdk vmfs volumes myVMFS myOS vmdk Dieses Beispiel veranschaulicht das Klonen der Inhalte einer virtuellen Master Festplatte aus de
219. iche MAC Adresse von au erhalb des Gastbetriebssystems neu konfiguriert werden kann kann sie nicht vom VMware Inc 211 Handbuch zur Serverkonfiguration f r ESX Server 3 212 Gastbetriebssystem selbst ge ndert werden Au erdem verf gt jeder Adapter ber eine geltende MAC Adresse die eingehenden Netzwerkverkehr mit einer MAC Adresse die nicht der geltenden MAC Adresse entspricht herausfiltert Das Gastbetriebssystem ist f r die Einstellung der geltenden MAC Adresse verantwortlich In der Regel stimmen die geltende MAC Adresse und die urspr nglich zugewiesene MAC Adresse berein Beim Versand von Datenpaketen schreibt das Betriebssystem die geltende MAC Adresse des eigenen Netzwerkadapters in das Feld mit der Quell MAC Adresse des Ethernet Frames Es schreibt auch die MAC Adtresse des Empf nger Netzwerkadapters in das Feld mit der Ziel MAC Adtresse Der empfangende Adapter akzeptiert Datenpakete nur dann wenn die Ziel MAC Adresse im Paket mit seiner eigenen geltenden MAC Adresse bereinstimmt Bei der Erstellung stimmen die geltende und die urspr nglich zugewiesene MAC Adresse berein Das Betriebssystem der virtuellen Maschine kann die geltenden MAC Adresse jedoch jederzeit auf einen anderen Wert setzen Wenn ein Betriebssystem die geltenden MAC Adresse ndert empf ngt der Netzwerkadapter Netzwerkdatenverkehr der f r die neue MAC Adresse bestimmt ist Das Betriebssystem kann jederzeit Frames mit einer imitierten Quell MA
220. icherger te so z B die internen und externen Speicherger te Ihres Hosts oder an das Netzwerk angeschlossene Speicherger te Das Speicherger t ist eine physische Festplatte oder ein Festplattenarray das f r spezifische Aufgaben zum Speichern und Sch tzen von Daten reserviert ist ESX Server 3 kann Speicherger te auf die Zugriff besteht erkennen und als Datenspeicher formatieren Der Datenspeicher ist ein spezieller logischer Container hnlich einem Dateisystem auf einem logischen Volume in dem ESX Server 3 virtuelle Festplattendateien und andere Dateien ablegt in denen wesentliche Komponenten einer virtuellen Maschine gekapselt werden Die Datenspeicher werden auf verschiedenen Ger ten bereitgestellt wobei Angaben zu den einzelnen Speicherungsprodukten verborgen bleiben und bieten ein einheitliches Modell f r die Speicherungen der Dateien virtueller Maschinen Mit dem VI Client k nnen Sie Datenspeicher im Vorfeld auf allen Speicherger ten einrichten die Ihr ESX Server 3 erkennt Die folgenden Kapitel enthalten Informationen zum Zugriff auf die und zur Konfiguration der Speicherger te sowie zum Erstellen und Verwalten von Datenspeichern m Speicherkonfiguration auf Seite 109 m Speicherverwaltung auf Seite 141 Nachdem Sie die Datenspeicher erstellt haben k nnen Sie die Dateien virtueller Maschinen darin speichern Weitere Informationen zum Erstellen virtuellen Maschinen finden Sie unter Grundlagen der Syste
221. ie Dialogfelder zu schlie en VMware Inc 153 Handbuch zur Serverkonfiguration f r ESX Server 3 Die vmkfstools Befehle Zus tzlich zum VI Client k nnen Sie das Dienstprogramm vmkfstools einsetzen um physische Speicherger te zu verwalten und VMFS Datenspeicher und Volumes auf Ihrem ESX Server 3 Host zu erstellen und zu bearbeiten Eine Liste unterst tzter vmkfstools Befehle finden Sie unter Verwenden von vmkfstools auf Seite 299 154 VMware Inc Raw Ger tezuordnung Die Raw Ger tezuordnung bietet virtuellen Maschinen einen Mechanismus f r den direkten Zugriff auf eine LUN im physischen Speichersubsystem nur Fibre Channel oder iSCSI Dieses Kapitel enth lt Informationen zu Raw Ger tezuordnungen In diesem Kapitel werden folgende Themen behandelt m Wissenswertes zur Raw Ger tezuordnung auf Seite 156 m Raw Ger tezuordnungseigenschaften auf Seite 161 m Verwalten zugeordneter LUNs auf Seite 165 VMware Inc 155 Handbuch zur Serverkonfiguration f r ESX Server 3 Wissenswertes zur Raw Ger tezuordnung 156 Zur Raw Ger tezuordnung geh rt eine Zuordnungsdatei in einem getrennten VMEFS Volume die als Stellvertreter f r ein physisches Raw Ger t fungiert das direkt von einer virtuellen Maschine verwendet wird Die Raw Ger tezuordnungsdatei enth lt Metadaten mit denen Festplattenzugriffe auf das physische Ger t verwaltet und umgeleitet werden Die Datei bietet Ihnen einige d
222. ie unter Konfiguration der Servicekonsole auf Seite 34 Anzeigen der Netzwerkinformationen im VI Client Der VI Client zeigt sowohl die allgemeinen Netzwerkinformationen als auch solche Informationen an die spezifisch f r Netzwerkadapter sind So zeigen Sie allgemeine Netzwerkinformationen auf dem VI Client an 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt 2 Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Netzwerk Networking Das Netzwerkfenster zeigt die folgenden Informationen an siehe Abbildung 2 4 m Virtuelle Switches m Adapterinformationen zu allen Adaptern m Verbindungsstatus m Nenngeschwindigkeit und Duplex m Servicekonsolen und VMkernel TCP IP Dienste IP Adresse m Servicekonsole Name des virtuellen Ger ts m Virtuelle Maschinen m DBetriebsstatus m Verbindungsstatus VMware Inc 25 Handbuch zur Serverkonfiguration f r ESX Server 3 m Portgruppe m Netzwerkbezeichnung f r alle drei Typen der Port Konfiguration einheitlich m Anzahl der konfigurierten virtuellen Maschinen m VLAN ID falls vorhanden f r alle drei Typen der Port Konfiguration einheitlich Abbildung 2 4 Allgemeine Netzwerkinformationen Portgruppe IP Adresse vSwitch Hardware Netzwerk Aktualisieren N
223. ie Benutzer bei der Erstellung von Kennw rtern beachten m ssen und zur berpr fung der Kennwortqualit t im Erstellungsprozess Das Plug In pam_cracklib so erm glicht es Ihnen Standards festzulegen die alle Kennw rter erf llen m ssen In der Standardeinstellung wendet ESX Server 3 keine Beschr nkungen auf das Root Kennwort an Wenn jedoch andere Benutzer als der Root Benutzer versuchen ihr Kennwort zu ndern m ssen die Kennw rter die sie ausw hlen die Standards von pam_cracklib so erf llen Au erdem k nnen Benutzer Root Benutzer ausgenommen nur eine bestimmte Anzahl an Kennwort nderungsversuchen vornehmen bevor pam_cracklib so eine Warnmeldung ausgibt und schlie lich das Dialogfeld zur nderung des Kennwortes schlie t Es gelten f r ESX Server 3 folgende Kennwortstandards und Versuchsbeschr nkungen f r pam_cracklib so m Mindestl nge Der Mindestl ngenparameter von pam_cracklib so f r ESX Server 3 Systeme ist auf 9 festgelegt Dies bedeutet dass der Benutzer mindestens acht Zeichen eingeben muss wenn nur eine Zeichenklasse verwendet wird Kleinbuchstaben Gro buchstaben Zahlen oder Sonderzeichen Der Algorithmus f r die Kennwortl nge l sst k rzere Kennw rter zu wenn der Benutzer eine Mischung verschiedener Zeichenklassen zul sst Zur Berechnung der tats chlichen Zeichenl nge die ein Benutzer eingeben muss um ein g ltiges VMware Inc Kapitel 12 Sicherheit der Servicekonsole Kennwort f r e
224. ie Ereignisverwaltung usw vornehmen Ein Root Benutzer der auf einem ESX Server 3 Host angemeldet ist kann jedoch die Aktivit ten anderer Hosts in der bergeordneten ESX Server 3 Bereitstellung nicht beeinflussen Aus Sicherheitsgr nden sollten Sie dem Root Benutzer nicht die Rolle Administrator gew hren In diesem Fall k nnen Sie die Berechtigungen nach der Installation so ndern dass der Root Benutzer keine weiteren Administratorrechte hat oder Sie l schen alle Zugriffsrechte des Root Benutzers ber den VI Client wie im Kapitel Verwalten von Benutzern Gruppen Berechtigungen und Rollen von Grundlagen der Systemverwaltung beschrieben Wenn Sie dies tun m ssen Sie auf der Root Ebene zun chst eine andere Genehmigung erteilen die ein anderer Benutzer mit der Rolle des Administrators erh lt Die Zuweisung der Administratorenrolle auf verschiedene Benutzer gew hrleistet die Nachvollziehbarkeit und somit die Sicherheit Der VI Client protokolliert alle Aktionen des Administrators als Ereignisse und gibt ein berwachungsprotokoll aus Sie k nnen diese Funktion zur Verbesserung der Verantwortlichkeit der verschiedenen Benutzer verwenden die f r einen Host als Administrator fungieren Wenn alle Administratoren sich am Host als Root Benutzer anmelden k nnen Sie nicht wissen welcher Administrator eine Aktion ausgef hrt hat Wenn Sie jedoch mehrere Berechtigungen auf Root Ebene anlegen die jeweils einem anderen Benutzer oder e
225. ie die Eigenschaften des Software iSCSI Initiators an 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server 2 Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end unter Hardware auf Speicheradapter Storage Adapters Ein Verzeichnis der verf gbaren Speicheradapter wird angezeigt 3 W hlen Sie unter iSCSI Software Adapter iSCSI Software Adapter den verf gbaren Software Initiator aus Wird der Initiator aktiviert werden dazugeh rige Details angezeigt u a Modell IP Adresse iSCSI Name Erkennungsmethoden iSCSI Alias und erkannte Ziele speicheradapter Erneut pr fen S l Bezeichner er t LSI1068 3 vmhbal SCSI blockieren iSCSI Software Adapter 4 mhbas ign 1998 01 com vrnw are Typ Details mhba32 Eigenschaften Modell iSCSI Software Adapter IP Adresse SCSI Name ign 1998 01 com ymware localhost 50e8b Erkennungsmethoden Ziele sender SCSI Alias localhost localdomain ziele i 128 VMware Inc Kapitel 6 Speicherkonfiguration 4 Klicken Sie auf Eigenschaften Properties Das Dialogfeld iSCSI Initiator Eigenschaften iSCSI Initiator Properties wird angezeigt Auf der Registerkarte Allgemein General werden zus tzliche Merkmale des Software Initiators angezeigt er Eigenschaften des i C51 Initiators vmhba32 Allgemein Dynamische Erkennung Statische Erkennung CHAP Authentifizierung i5C51 Eigen
226. ient Entsprechung f r diesen Befehl VMware Inc 293 Handbuch zur Serverkonfiguration f r ESX Server 3 Tabelle A 1 Befehle f r den technischen Support von ESX Server 3 Fortsetzung Servicekonsolenbefehl Zweck des Befehls und VI Client Verfahren esxcfg linuxnet Konvertiert beim Start von ESX Server 3 vswif in eth wodurch der Modus Nur Servicekonsole anstelle des ESX Modus gestartet wird Dieser Befehl wird f r den Bootstrap Prozess verwendet und ist nur f r den technischen Support von VMware vorgesehen Geben Sie diesen Befehl nur auf ausdr ckliche Anweisung eines Vertreters des technischen Supports von VMware ein Es gibt keine VI Client Entsprechung f r diesen Befehl esxcfg module Legt die Treiberparameter fest und ndert die Einstellung welche Treiber w hrend des Hochfahrens geladen werden Dieser Befehl wird f r den Bootstrap Prozess verwendet und ist nur f r den technischen Support von VMware vorgesehen Geben Sie diesen Befehl nur auf ausdr ckliche Anweisung eines Vertreters des technischen Supports von VMware ein Es gibt keine VI Client Entsprechung f r diesen Befehl esxcfg mpath Konfiguriert die Multipath Einstellungen f r Fibre Channel oder iSCSI Festplatten Klicken Sie zur Konfiguration der Multipath Einstellungen f r den Speicher im VI Client auf Speicher Storage W hlen Sie einen Datenspeicher oder eine zugeordnete LUN aus und klicken Sie auf Eigenschaften Properties W hlen
227. iert wird die Sie als Eingangspunkte in das ganze System betrachten Firewalls k nnen auch an vielen anderen Zugriffspunkten im Netzwerk installiert werden Dies h ngt davon ab wie das Netzwerk genutzt werden soll und wie sicher die verschiedenen Ger te sein m ssen Bestimmen Sie die Einsatzorte f r Ihre Firewalls anhand der Sicherheitsrisiken die eine Analyse der Netzwerkkonfiguration ergeben hat Die folgende Liste f hrt verschiedene Einsatzorte f r Firewalls auf die in ESX Server 3 Implementierungen h ufig auftreten Viele der Einsatzorte f r Firewalls in der Liste und Abbildung 10 1 sind optional m Zwischen dem Webbrowser und den HTTP und HTIPS Proxyservern f r VI Web Access m Zwischen dem VI Client VI Web Access oder einem Netzwerkverwaltungs Client von Drittanbietern und dem VirtualCenter Server m Wenn die Benutzer ber den VI Client auf virtuelle Maschinen zugreifen zwischen dem VI Client und dem ESX Server 3 Host Diese Verbindung ist ein Zusatz zu der Verbindung zwischen dem VI Client und dem VirtualCenter Server und ben tigt einen anderen Port m Wenn die Benutzer ber einen Webbrowser auf virtuelle Maschinen zugreifen zwischen dem Webbrowser und dem ESX Server 3 Host Diese Verbindung unterscheidet sich von der zwischen dem VI Web Access Client und dem VirtualCenter Server und ben tigt daher andere Ports 190 VMware Inc Kapitel 10 Absichern einer ESX Server 3 Konfiguration m Zwischen dem Lizenzserv
228. iese Optionen heben die Einstellungen in der Systemsteuerung von VMware Tools auf dem Gastbetriebssystem auf Klicken Sie auf OK um das Dialogfeld Konfigurationsparameter Configuration Parameters zu schliefsen und dann noch einmal auf OK um das Dialogfeld Eigenschaften der virtuellen Maschinen Virtual Machine Properties zu schliefsen Entfernung berfl ssiger Hardwareger te Benutzer und Prozesse ohne Berechtigungen f r die virtuelle Maschine k nnen Hardwareger te wie Netzwerkadapter oder CD ROM Laufwerke einbinden oder trennen Angreifer k nnen diese F higkeit auf verschiedene Arten nutzen um die Sicherheit einer virtuellen Maschine zu gef hrden So kann zum Beispiel ein Angreifer mit Zugang zu einer virtuellen Maschine folgende Angriffe durchf hren Einbinden eines nicht verbundenen CD ROM Laufwerks und Zugriff auf Informationen auf dem Medium das sich im Laufwerk befindet Trennen eines Netzwerkadapters um die virtuelle Maschine vom Netzwerk zu isolieren was zu einem Ausfall f hrt VMware Inc Kapitel 13 Empfehlungen f r den Schutz von Implementierungen Als allgemeine Sicherheitsma nahme sollten Sie Befehle auf der Registerkarte Konfiguration Configuration auf dem VI Client verwenden um alle nicht ben tigten oder ungenutzten Hardwareger te zu entfernen Zwar erh ht diese Ma nahme die Sicherheit der virtuellen Maschinen aber sie ist keine gute L sung wenn ein gegenw rtig ungenutztes Ger t sp
229. igt VMware Inc 97 Handbuch zur Serverkonfiguration f r ESX Server 3 HINWEIS Sie k nnen kein VMFS Volume neu formatieren das ein ESX Server Remotehost verwendet Falls Sie es dennoch versuchen wird eine entsprechende Warnung eingeblendet in welcher der Name des verwendeten Volumes und die MAC Adtresse einer Hostnetzwerkkarte angegeben sind die diese verwendet Diese Warnung wird auch im VMkernel und in vmkwarning Protokolldateien angezeigt Aspekte beim Erstellen von VMFS Datenspeichern Bevor Sie Speicherger te mit einem VMFS Datenspeicher formatieren m ssen Sie zun chst festlegen wie Sie den Speicher f r Ihre ESX Server 3 Systeme einrichten wollen Die folgenden Gr nde sprechen f r weniger und daf r gr ere VMFS Volumes m Mehr Flexibilit t beim Erstellen virtueller Maschinen ohne beim Speicheradministrator mehr Speicherplatz anfordern zu m ssen m Mehr Flexibilit t bei der Gr en nderung virtueller Festplatten dem Erstellen von Snapshots usw m Weniger zu verwaltende VMFS Datenspeicher Die folgenden Gr nde sprechen f r mehr und daf r kleinere VMFS Volumes m Weniger falsch genutzter Speicherplatz m Unterschiedliche Anwendungen k nnten unterschiedliche RAID Merkmale erfordern m Mehr Flexibilit t da die Multipathing Richtlinie und gemeinsam genutzte Festplattenfreigaben pro LUN festgelegt werden F r den Einsatz von Microsoft Clusterdienst muss jede Clusterfestplattenressource in ihrer ei
230. im Modus Physische Kompatibilit t Wenn Sie die Raw Ger tezuordnung im Modus Physische Kompatibilit t verwenden k nnen Sie f r die Festplatte keine Snapshots verwenden Im Modus Physische Kompatibilit t kann die virtuelle Maschine eigene Snapshots oder Spiegelungsoperationen durchf hren Im Modus Virtuelle Kompatibilit t stehen dagegen Snapshots zur Verf gung Siehe Vergleich des virtuellen und mit dem physischen Kompatibilit tsmodus auf Seite 161 m Keine Partitionszuordnung F r die Raw Ger tezuordnung muss das zugeordnete Ger t eine vollst ndige LUN sein Die Zuordnung zu einer Partition wird nicht unterst tzt 160 VMware Inc Kapitel8 Raw Ger tezuordnung Raw Ger tezuordnungseigenschaften Eine Raw Ger tezuordnung ist eine spezielle Datei auf einem VMFS Volume mit deren Hilfe die Metadaten f r das zugeordnete Ger t verwaltet werden Die Verwaltungssoftware erkennt die Zuordnungsdatei als normale Festplattendatei die f r normale Dateisystemoperationen zur Verf gung steht Die virtuelle Maschine erkennt das zugeordnete Ger t aufgrund der Speichervirtualisierungsebene als virtuelles SCSI Ger t Zu den wichtigsten Metadaten in der Zuordnungsdatei geh ren der Speicherort Namensaufl sung und der Sperrstatus des zugeordneten Ger ts Abbildung 8 3 Metadaten der Zuordnungsdatei Virtuelle Maschine 1 Virtuelle Maschine 1 Virtualisierung Virtualisierung Virtuelle Z
231. ine bestimmte Mindestl ngeneinstellung zu erhalten gilt folgender Kennwortl ngenalgorithmus M CC E wobei m NM der Mindestl ngenparameter ist m CC die Anzahl an Zeichenklassen ist die der Benutzer f r das Kennwort verwendet m E die Anzahl an Zeichen ist die der Benutzer eingeben muss Tabelle 12 2 zeigt wie der Algorithmus funktioniert wenn ein Benutzer mindestens einen Kleinbuchstaben als Teil des Kennwortes eingibt Das Plug In pam_cracklib so l sst keine Kennw rter mit weniger als sechs Zeichen zu Daher ist zwar die mathematisch korrekte Anforderung f r ein Kennwort mit vier verschiedenen Zeichenklassen f nf Zeichen die tats chliche Anforderung ist jedoch sechs Zeichen Tabelle 12 2 Ergebnisse des Kennwortkomplexit tsalgorithmus Zeichenklassen im Kennwortversuch Anzahl an Zeichen f r Andere ein g ltiges Kennwort Kleinbuchstaben Gro buchstaben Zahlen Zeichen 8 Ja 7 Ja Ja Ja Ja Ja Ja 6 Ja Ja Ja Ja Ja Ja Ja Ja Ja 5 Ja Ja Ja Ja m Wiederholungen Der Wiederholungsparameter von pam_cracklib so f r ESX Server 3 Systeme ist auf 3 festgelegt Wenn der Benutzer bei drei Versuchen kein g ltiges Kennwort eingibt schlie t pam_cracklib so das Dialogfeld zur Kennwort nderung Der Benutzer muss eine neue Sitzung zur nderung des Kennwortes ffnen um es erneut zu versuchen pam_cracklib so berpr ft alle Kennwort nderungsversuche damit das Kennwort folgende Qualit tskriterien erf llt VM
232. iner anderen Benutzergruppe zugewiesen sind k nnen Sie die Aktionen jedes Administrators oder jeder Administratorengruppe gut nachvollziehen Nachdem Sie einen alternativen Administrator Benutzer angelegt haben k nnen Sie sicher die Berechtigungen des Root Benutzers l schen oder dessen Rolle in der Form ndern dass seine Rechte begrenzt werden Wenn Sie die Berechtigungen des Root Benutzers l schen oder ndern m ssen Sie den neu erstellten Benutzer als Ausgangspunkt f r die Hostauthentifizierung verwenden sobald der Host von Ihnen unter die Verwaltung von VirtualCenter gestellt wird Siehe Grundlegendes zu Rollen auf Seite 228 VMware Inc Kapitel 11 Authentifizierung und Benutzerverwaltung HINWEIS Konfigurationsbefehle die Sie ber die Befehlszeilenoberfl che ausf hren esxcfg Befehle f hren keine Zugriffspr fung durch Selbst wenn Sie die Berechtigungen des Root Benutzers einschr nken wirkt sich dies nicht auf die Befehle aus die er ber die Befehlszeilenschnittstelle ausf hren kann m vpxuser Dieser Benutzer ist VirtualCenter das mit Administratorrechten auf dem ESX Server 3 Host agiert wodurch es Vorg nge f r diesen verwalten kann vpxuser wird erstellt wenn der ESX Server 3 Host an VirtualCenter angebunden wird Diesen Benutzer gibt es auf dem ESX Server 3 Host nur wenn der Host ber VirtualCenter verwaltet wird Wenn ein ESX Server 3 Host ber VirtualCenter verwaltet wird hat VirtualCenter Adm
233. inistratorrechte auf diesem Host So kann VirtualCenter zum Beispiel virtuelle Maschinen auf Hosts verschieben und Konfigurations nderungen vornehmen die f r die Unterst tzung virtueller Maschinen notwendig sind Der Administrator von VirtualCenter kann ber vpxuser viele der Aufgaben des Root Benutzers auf dem Host durchf hren und Aufgaben planen Vorlagen erstellen und nutzen usw Es gibt jedoch bestimmte Vorg nge die Sie als VirtualCenter Administrator nicht ausf hren k nnen Diese Aktivit ten zu denen die direkte Erstellung L schung oder Bearbeitung von Benutzern und Gruppen f r ESX Server 3 Hosts geh ren k nnen nur von einem Benutzer mit Administratorrechten direkt auf dem entsprechenden ESX Server 3 Host vorgenommen werden VORSICHT ndern Sie vpxuser und die dazugeh rigen Berechtigungen nicht Ansonsten kann es zu Problemen bei der Verwaltung des ESX Server Hosts ber VirtualCenter kommen Wenn Sie die Rolle Administrator auf einem ESX Server 3i Host haben k nnen Sie einzelnen Benutzern und Gruppen auf diesem Host Berechtigungen zuweisen Wenn Sie als Administrator an VirtualCenter angemeldet sind k nnen Sie allen Benutzern oder Gruppen im von VirtualCenter bernommenen Windows Dom nenverzeichnis Berechtigungen zuweisen VirtualCenter registriert alle ausgew hlten Benutzer oder Gruppen der Windows Dom ne durch den Prozess der Zuweisung von Berechtigungen Standardm ig werden allen Benutzern die zur lokalen G
234. irtuelle Maschinen 100 Speicheradapter anzeigen im Vl Client 104 erneut pr fen 134 Fibre Channel 113 iSCSI HBA 121 SSH ndern der Konfiguration 266 Firewallports 198 Sicherheitseinstellungen 265 Statische Erkennung 118 Sternchen neben dem Pfad 151 T TCP Ports 193 Tomcat Webdienst 177 Traffic Shaping 54 U berpr fen der Authentifizierung f r ISCSI Adapter 216 UDP Ports 193 V Verhindern der b swilligen Ger tetrennung 279 Verschl sselung f r Benutzernamen Kennw rter und Pakete 236 319 Handbuch zur Serverkonfiguration f r ESX Server 3 und Aktivieren und Deaktivieren von SSL 236 Verwaltungszugriff Firewallports 193 VI Web Access Deaktivieren von SSL 238 Firewallports f r Direktverbindung 191 Firewallports mit VirtualCenter Server 189 Firewallports zum Herstellen einer Verbindung mit der VM Konsole 196 und ESX Server Dienste 236 VI Client Firewallports f r Direktverbindung 191 Firewallports mit VirtualCenter Server 189 Firewallports zum Herstellen einer Verbindung mit der VM Konsole 196 VirtualCenter Server Berechtigungen 225 Firewallports 189 Virtualisierungsebene und Sicherheit 174 Virtuelle Maschine Netzwerke 27 Virtuelle Maschinen Begrenzen der variablen Informationsgr e 281 Deaktivieren der Protokollierung 282 286 Deaktivieren von Kopier und Einf gevorg ngen 277 Delegierter Benutzer 242 konfigurieren eines delegierten Benutzers 244 R
235. ischen Quell und Zielhost ge ffnet werden damit Quelle und Ziel miteinander kommunizieren k nnen m Zwischen ESX Server 3 Hosts und Netzwerkspeicher z B NFS oder iSCSI Speicher Diese Ports sind nicht VMware spezifisch und werden anhand der Spezifikationen f r das jeweilige Netzwerk konfiguriert Informationen zu den Ports die f r diese Kommunikationspfade ge ffnet werden m ssen finden Sie unter I CP und UDP Ports f r den Verwaltungszugriff auf Seite 19 Firewalls f r Konfigurationen ohne VirtualCenter Server Wenn die Clients direkt d h nicht ber einen VirtualCenter Server an das ESX Server 3 Netzwerk angebunden werden gestaltet sich die Firewallkonfiguration etwas einfacher Firewalls k nnen an jeder der in Abbildung 10 2 gezeigten Stellen installiert werden HINWEIS Abh ngig von der Konfiguration sind ggf nicht alle in Abbildung 10 2 dargestellten Firewalls notwendig oder es sind zus tzliche nicht dargestellte Firewalls n tig VMware Inc 191 Handbuch zur Serverkonfiguration f r ESX Server 3 Abbildung 10 2 Firewallkonfiguration f r ESX Server 3 Netzwerke die direkt ber einen Client verwaltet werden VI Web Access Drittanbietertool f r VI Client die Netzwerkverwaltung HTTP HTTP Port 902 Standardports Port 903 firewall Port 902 Port 903 Port 443 Firewall Port 902 2050 5000 8000 und ESX Server 1 Bs 8042 8045 ji ESX Serv
236. ispiel site com site org site net Abbrechen Hilfe VMware Inc Kapitel 3 Erweiterte Netzwerkthemen 7 ndern Sie auf der Registerkarte Routing die Informationen zum Standard Gateway nach Bedarf W hlen Sie ein Gateway Ger t nur dann aus wenn die Servicekonsole auf mehr als ein Subnetz zugreifen soll C DNS und Routing Konfiguration DNS Konfiguration Routing Sericekonsale Standard Gateway Gatewar Gerat Ybkermel Standard Gateway Abbrechen Hilfe 8 Klicken Sie auf OK TCP Segmentierungs Offload und Jumbo Frames Unterst tzung f r TCP Segmentation Offload TSO und Jumbo Frames wurden dem TCP IP Stapel in ESX Server 3 Version 3 5 hinzugef gt Jumbo Frames m ssen auf Serverebene ber die Befehlszeilenschnittstelle aktiviert werden indem die MTU Gr e f r jeden vSwitch konfiguriert wird TSO ist f r die VMkernel Schnittstelle standardm ig aktiviert muss jedoch auf virtueller Maschinenebene aktiviert werden Aktivieren von TSO TSO Unterst tzung ber den Netzwerkadapter VMXnet erweitert steht f r virtuelle Maschinen mit den folgenden Gastbetriebssystemen zur Verf gung m Microsoft Windows 2003 Enterprise Edition mit Service Pack 2 32 Bit und 64 Bit m Red Hat Enterprise Linux 4 64 Bit VMware Inc 65 Handbuch zur Serverkonfiguration f r ESX Server 3 66 Red Hat Enterprise Linux 5 32 Bit und 64 Bit SuSE Linux Enterprise Server 10 32 Bit und 64 Bit Um TS
237. izierung f r ISCSI Adapter 217 Einzelne Ausfallstelle 110 Entfernen Benutzer aus Gruppen 235 Benutzer von ESX Server Hosts 234 Gruppen von ESX Server Hosts 236 Erweiterungen 145 ESX Server ndern von Proxy Diensten 240 Architektur und Sicherheitsfunktionen 173 Authentifizierung 221 Authentifizierung f r iSCSI Speicher 214 Befehlsreferenz 291 Benutzer 221 Delegierter Benutzer 242 Hinzuf gen von Benutzern 232 Hinzuf gen von Gruppen 235 Host zu Host Firewallports 198 Implementierungen und Sicherheit 269 Kennwortbeschr nkungen 254 Schl sselqualit t f r Verbindungen 262 bersicht ber die Sicherheit 173 virtueller Switch Sicherheit 207 VLAN Sicherheit 207 ESX Server Host Kennw rter ndern des Plug Ins 260 Komplexit t 256 Konfigurieren der Kennwortkomplexit t 259 Konfigurieren von Regeln zur Wiederverwendung von Kennw rtern 259 neue Kennwortkriterien 256 Verwendungsdauer 255 esxcfg Befehle 291 EUI Bezeichner 117 Exportieren von ESX Server Host VMware Inc Benutzern und Gruppen 231 F Failover 56 Failover Pfade Status 150 Festlegen der Sicherheitsstufe der Servicekonsolen Firewall 251 Feststehend Pfadrichtlinie 146 Fibre Channel Speicher hinzuf gen 114 bersicht 113 Firewallports Bestimmen der Sicherheitsstufe der Servicekonsolen Firewall 251 CIM 198 Festlegen der Sicherheitsstufe der Servicekonsolen Firewall 251 freigeben und schlie
238. kann die Portgruppe jeden Datenverkehr in einem VLAN sehen und die VLAN Kennzeichen bleiben intakt 10 Klicken Sie auf Weiter Next 11 berpr fen Sie die ordnungsgem e Konfiguration des vSwitches noch einmal und klicken Sie dann auf Fertig Finish HINWEIS Verbinden Sie mindestens zwei Adapter mit einem Switch um ein Failover NIC Gruppierung zu aktivieren Wenn ein Uplink Adapter versagt wird der Datenverkehr des Netzwerks auf einen anderen Adapter der an den Switch angeschlossen ist umgeleitet Die NIC Gruppierung erfordert dass sich beide Ethernet Ger te in derselben Ethernet Broadcast Dom ne befinden Netzwerkkonfiguration des VMkernels 30 Die Verschiebung einer virtuellen Maschine von einem Host auf einen anderen wird Migration genannt Die Migration einer aktivierten virtuellen Maschine wird als VMotion bezeichnet Die Migration mit VMotion die f r den Einsatz zwischen hochkompatiblen Systemen entwickelt wurde erm glicht es Ihnen virtuelle Maschinen ohne Ausfallzeiten zu migrieren Der Protokollstapel des VMkernel muss ordnungsgem eingerichtet sein damit VMotion funktioniert IP Speicher bezeichnet jede Art von Speicher die auf TCP IP Netzwerkkommunikation beruht Dazu geh ren iSCSI und NFS f r ESX Server 3 Da diese beiden Speichertypen netzwerkbasiert sind k nnen beide die gleiche VMkernel Schnittstelle und Portgruppe verwenden Die von VMkernel zur Verf gung gestellten Netzwerkdienste iSCSI NFS
239. karte Konfiguration Configuration und anschlie end auf Netzwerk Networking Klicken Sie auf auf der rechten Seite des Bildschirms auf Eigenschaften Properties f r den vSwitch der der Servicekonsole zugeordnet ist Klicken Sie auf der Registerkarte Ports auf Hinzuf gen Add W hlen Sie VMkernel aus und klicken Sie auf Weiter Next ber diese Option k nnen Sie den VMkernel der Dienste f r VMotion und IP Speicher NFS oder iSCSI ausf hrt an ein physisches Netzwerk anschlie en W hlen Sie unter Eigenschaften der Portgruppe Port Group Properties eine Netzwerkbezeichnung und eine VLAN ID aus bzw geben Sie diese ein Netzwerkbezeichnung Network Label Ein Name der die Portgruppe bezeichnet die erstellt wird Es handelt sich dabei um die Bezeichnung die Sie bei der Konfiguration von VMkernel Diensten wie VMotion und IP Speicher w hrend der Konfiguration des virtuellen Adapters festlegen der an diese Portgruppe angeschlossen wird VLAN ID VLAN ID Bezeichnet das VLAN das f r den Netzwerkdatenverkehr der Portgruppe verwendet wird Aktivieren Sie Diese Portgruppe f r VMotion verwenden Use this port group for VMotion damit diese Portgruppe einem anderen ESX Server 3 Host melden kann dass sie als Netzwerkverbindung dient an die VMotion Datenverkehr gesendet werden soll Auf jedem ESX Server 3 Host kann diese Eigenschaft nur f r eine VMotion und IP Speicher Portgruppe aktiviert werden Wenn diese Eigenscha
240. kebene 179 Sonstige Quellen und Informationen zur Sicherheit 186 10 Absichern einer ESX Server 3 Konfiguration 187 Absichern des Netzwerks mit Firewalls 187 Firewalls in Konfigurationen mit einem VirtualCenter Server 189 Firewalls f r Konfigurationen ohne VirtualCenter Server 191 TCP und UDP Ports f r den Verwaltungszugriff 193 Herstellen einer Verbindung mit einem VirtualCenter Server ber eine Firewall 195 Herstellen einer Verbindung mit der VM Konsole ber eine Firewall 196 Verbinden von ESX Server 3 Hosts ber Firewalls 198 ffnen von Firewallports f r unterst tzte Dienste und Verwaltungs Agenten 198 Absichern virtueller Maschinen durch VLANs 203 Sicherheitsempfehlungen f r vSwitches und VLANs 207 Schutz durch virtuelle Switches in VLANs 209 Absichern der Ports virtueller Switches 211 Absichern von iSCSI Speicher 214 Absichern von iSCSI Ger ten ber Authentifizierung 214 Sch tzen eines iSCSI SAN 218 6 VMware Inc Inhalt 11 Authentifizierung und Benutzerverwaltung 221 Absichern von ESX Server 3 ber Authentifizierung und Berechtigungen 221 Informationen zu Benutzern Gruppen Berechtigungen und Rollen 223 Verwalten von Benutzern und Gruppen auf ESX Server 3 Hosts 230 Verschl sselungs und Sicherheitszertifikate f r ESX Server 3 236 Hinzuf gen von Zertifikaten und ndern der Web Proxyeinstellungen von ESX Server 3 238 Erneutes Erzeugen von Zertifikaten 242 Delegierte VM Benutzer f r NFS Speicher 242 12 Sic
241. kehr an seiner eigenen MAC Adresse Im Promiscuous Modus kann dieser alle Datenpakete berwachen Per Voreinstellung ist Promiscuous Modus f r die Gastadapter deaktiviert Weitere Informationen zur Sicherheit finden Sie unter Absichern der Ports virtueller Switches auf Seite 211 So bearbeiten Sie die Sicherheitsrichtlinie f r Schicht 2 1 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus der Bestandsliste aus Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt 2 Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Netzwerk Networking 3 Klicken Sie f r den vSwitch dessen Schicht 2 Sicherheitsrichtlinie Sie bearbeiten m chten auf Eigenschaften Properties 4 Klicken Sie im Dialogfeld vSwitch Eigenschaften Properties auf die Registerkarte Ports 5 W hlen Sie das vSwitch Element und klicken Sie auf Bearbeiten Edit 52 VMware Inc 6 VMware Inc Kapitel 3 Erweiterte Netzwerkthemen Klicken Sie im Dialogfeld Eigenschaften Properties des vSwitches auf die Registerkarte Sicherheit Security vSwitchO Eigenschaften Allgemein Sicherheit Traffic Shaping NIC Gruppierung Richtlinienausnahmen Promiscuous Modus blehnen x MAC Adressen nderungen Akzeptieren x Gef lschte bertragungen Akzeptieren x In der Standardeinstellung ist die Option Promiscuous Modus Promiscuous Mode
242. ken Sie auf OK um das Dialogfeld Konfigurationsparameter Configuration Parameters zu schlie en und dann noch einmal auf OK um das Dialogfeld Eigenschaften der virtuellen Maschinen Virtual Machine Properties zu schlie en Konfigurieren der Protokollierungsebenen f r das Gastbetriebssystem Virtuelle Maschinen k nnen Informationen zur Fehlerbehebung in eine Protokolldatei der virtuellen Maschine schreiben die auf dem VMFS Volume gespeichert wird Benutzer und Prozesse virtueller Maschinen k nnen die Protokollierung entweder absichtlich oder unabsichtlich missbrauchen sodass gro e Datenmengen die Protokolldatei berfluten Mit der Zeit kann die Protokolldatei so genug Speicherplatz im Dateisystem der Servicekonsole belegen um einen Ausfall zu verursachen VMware Inc 283 Handbuch zur Serverkonfiguration f r ESX Server 3 Um dieses Problem zu verhindern k nnen Sie die Protokollierung f r die Gastbetriebssysteme virtueller Maschinen deaktivieren Mit diesen Einstellungen k nnen die Gesamtgr e und die Anzahl der Protokolldateien begrenzt werden Normalerweise wird bei jedem Neustart eines Hosts eine neue Protokolldatei erstellt sodass die Datei relativ schnell wachsen kann Sie k nnen jedoch daf r sorgen dass die Erstellung neuer Protokolldateien fter erfolgt indem Sie die maximale Gr e der Protokolldateien begrenzen Wenn Sie die Gesamtgr e der Protokolldaten beschr nken m chten empfiehlt VMware das Speichern v
243. klich aus Sicherheitsgr nden eigene Netzwerke f r die Servicekonsole und VMotion anzulegen Wenn Sie getrennten vSwitches zu diesem Zweck physische Adapter zuweisen m ssen Sie m glicherweise auf redundante gruppierte Verbindungen oder die Isolierung der verschiedenen Netzwerkclients oder auf beides verzichten Mit VLANs k nnen Sie eine Netzwerksegmentierung erreichen ohne mehrere physische Adapter verwenden zu m ssen Damit der Netzwerk Blade eines Blade Servers die ESX Server 3 Portgruppe mit VLAN getaggtem Datenverkehr unterst tzt m ssen sie das Blade so konfigurieren dass es 802 1Q unterst tzt und den Port als getaggten Port konfigurieren Die Methode zum Konfigurieren eines Ports als getaggten Port ist von Server zu Server verschieden Die folgende Liste beschreibt die Konfiguration eines ggetaggten Ports auf drei der am h ufigsten verwendeten Blade Server VMware Inc 81 Handbuch zur Serverkonfiguration f r ESX Server 3 82 HP Blade Setzen Sie VLAN Tagging VLAN Tagging f r den Port auf Aktiviert enabled Dell PowerEdge Setzen Sie den Port auf Getaggt Tagged IBM eServer Blade Center W hlen Sie in der Portkonfiguration Kennzeichnung Tag aus So konfigurieren Sie eine Portgruppe f r virtuelle Maschinen mit VLAN auf einem Blade Server 1 10 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configurati
244. le Switches dazu verwenden k nnen um Sicherheitsma nahmen wie DMZs zu implementieren und virtuelle Maschinen in verschiedenen Netzwerken auf dem gleichen ESX Server Host zu konfigurieren HINWEIS Eine eingehende Abhandlung dar ber wie virtuelle Switches und VLANs zum Schutz des Netzwerks der virtuellen Maschinen beitragen k nnen sowie Sicherheitsempfehlungen f r Netzwerke virtueller Maschinen finden Sie unter Absichern virtueller Maschinen durch VLANs auf Seite 203 Beispiel Erstellen einer Netzwerk DMZ auf einem einzelnen ESX Server Host Ein Beispiel f r die Anwendung der ESX Server Isolierung und virtueller Netzwerkfunktionen zur Umgebungsabsicherung ist die Einrichtung einer so genannten demilitarisierten Zone DMZ auf einem einzelnen ESX Server Host siehe Abbildung 9 4 Abbildung 9 4 Konfigurierte DMZ auf einem einzelnen ESX Server Host ESX Server Virtual Machine 1 Virtual Machine 2 Virtual Machine 3 Virtual Machine 4 firewall server web server application server firewall server hardware network adapter 1 hardware network W adapter 2 External Network Internal Network Diese Konfiguration umfasst vier virtuelle Maschinen die so konfiguriert wurden dass sie eine virtuelle DMZ auf dem virtuellen Switch 2 bilden Die virtuelle Maschine 1 und die virtuelle Maschine 4 f hren Firewalls aus und sind ber virtuelle Switches an virtuelle Adapter angeschlossen Diese beiden virtuellen Maschinen sind me
245. le physischen Charakteristika der zu Grunde liegenden Hardware sichtbar Der physische Modus ist f r die Ausf hrung von SAN Verwaltungs Agenten oder anderer SCSI Ziel basierter Software in der virtuellen Maschine bestimmt Der physische Modus erm glicht auch zum kosteng nstigen Erzielen einer hohen Verf gbarkeit die Bildung von VM PC Clustern Abbildung 8 4 Die Modi Virtuelle Kompatibilit t und Physische Kompatibilit t Virtuelle Maschine 1 Virtualisierung Virtueller Modus v VMFS Zuordnungsdatei Zugeordnetes Ger t Virtuelle Maschine 1 ae Physischer Modus VMFS Zuordnungsdatei Zugeordnetes Ger t VMware Inc Kapitel8 Raw Ger tezuordnung Dynamische Namensaufl sung Mit der Raw Ger tezuordnung k nnen Sie einem Ger t einen dauerhaften Namen geben indem Sie auf den Namen der Zuordnungsdatei im Unterverzeichnis vmfs verweisen Das Beispiel in Abbildung 8 5 zeigt drei LUNs Auf LUN 1 wird ber den Ger tenamen zugegriffen der von der ersten sichtbaren LUN abh ngt LUN 2 ist ein zugeordnetes Ger t das von einer Raw Ger tezuordnung auf LUN 3 verwaltet wird Der Zugriff auf die Raw Ger tezuordnung erfolgt ber den feststehenden Pfadnamen im Unterverzeichnis vmfs Abbildung 8 5 Beispiel einer Namensaufl sung Virtuelle Maschine 1 Virtuelle Maschine 2 scsi0 0 name scsi0 0 name vmhba0 0 1 O mydiskdir mymapfile mydiskname vmdk DRG vmfs volumes myV
246. lexit t 256 Mindestl nge 256 Verwendungsdauer 255 Kompatibilit tsmodi physisch 161 virtuell 161 VMware Inc Konfigurieren delegierter Benutzer 244 ESX Server Zertifikatssuchen 239 Fibre Channel Speicher 114 Hardware initiierter ISCSI Speicher 125 Kennwortkomplexit t 259 lokaler SCSI Speicher 110 Multipathing f r Fibre Channel Speicher 151 Raw Ger tezuordnung 165 Regeln zur Wiederverwendung von Kennw rtern 259 Software initiierter ISCSI Speicher 131 L Lastausgleich 56 Lizenzserver Firewallports f r 193 Firewallports mit VirtualCenter Server 189 Lokaler SCSI Speicher hinzuf gen 110 bersicht 110 M MAC Adresse generieren 69 konfigurieren 70 Multipathing aktive Pfade 150 ausgefallene Pfade 150 deaktivierte Pfade 150 Failover 151 kanonische Pfade 149 Standby Pfade 150 verwalten 151 Multipathing Richtlinie einrichten 152 VMware Inc Index Multipathing Status 149 N NAS Firewallport f r ESX Server 193 mounten 72 Nessus 267 Netzwerke Sicherheit 203 NFS Delegierte Benutzer 242 Firewallports 198 NFS Speicher hinzuf gen 137 bersicht 135 NIC Gruppierung Definition 20 NIS und Firewallports 198 Nur lesen Rolle 228 O Optimale Vorgehensweisen f r Netzwerke 72 P pam_cracklib so Plug In 256 pam_passwdqc so Plug In 260 Pfadausfall 146 Pfade bevorzugt 151 153 Pfade verwalten Dialogfeld 153 Pfadrichtlinien Feststehend 146 Round Robin 147 Zuletzt verw
247. lient k nnen Sie auf den NFS Server zugreifen und NFS Volumes zum Speichern verwenden ESX Server 3 unterst tzt ausschlie lich NFS Version 3 ber TCP IP Mit dem VI Client k nnen Sie NFS Volumes als Datenspeicher konfigurieren Konfigurierte NFS Datenspeicher werden im VI Client angezeigt und k nnen genau wie VMFS basierte Datenspeicher zur Speicherung virtueller Festplattendateien verwendet werden Die von Ihnen in NFS basierten Datenspeichern erstellten virtuellen Festplatten verwenden ein Festplattenformat das vom NFS Server vorgegeben wird In der Regel ist dies ein Thin Festplattenformat das eine bedarfsgerechte Speicherplatzzuordnung erfordert Wenn der Speicherplatz auf der virtuellen Maschine w hrend des Schreibvorgangs auf die Festplatte nicht mehr ausreicht erhalten Sie vom VI Client eine Benachrichtigung dar ber dass zus tzlicher Speicherplatz erforderlich ist Sie k nnen dann aus den folgenden Optionen w hlen m Zus tzlichen Speicherplatz auf dem Volume freimachen damit der Schreibvorgang auf die Festplatte fortgesetzt werden kann m Beenden der virtuellen Maschinensitzung Durch Beenden der Sitzung wird die virtuelle Maschine heruntergefahren VMware Inc 133 Handbuch zur Serverkonfiguration f r ESX Server 3 Abbildung 6 4 zeigt eine virtuelle Maschine die ein NFS Volume zur Speicherung ihrer Dateien verwendet Abbildung 6 4 NFS Speicher Virtuelle Maschine Ethernet NIC NAS Appliance In
248. lierbarkeit verbessern Als Administrator m ssen Sie entscheiden wie die Gruppen strukturiert werden sollen um die Sicherheits und Verwendungsziele zu erreichen Sie haben zum Beispiel drei Teilzeitkr fte in der Vertriebsabteilung die an verschiedenen Tagen arbeiten und zwar auf eine bestimmte virtuelle Maschine zugreifen sollen nicht jedoch auf die virtuellen Maschinen des Vertriebsleiters In diesem Fall k nnen Sie eine Gruppe z B Vertrieb Teilzeit einrichten zu der diese drei Teilzeitkr fte geh ren Maria Thomas und Peter Sie k nnen dann der Gruppe VertriebTeilzeit die Berechtigung zur Interaktion mit nur einem Objekt der Virtuellen Maschine A zuweisen Maria Thomas und Peter bernehmen diese Berechtigungen und k nnen die Virtuelle Maschine A hochfahren Konsolensitzungen auf der Virtuellen Maschine A aufrufen usw Sie k nnen diese Vorg nge jedoch nicht auf den virtuellen Maschinen des Vertriebsleiters durchf hren den virtuellen Maschinen B C und D Die Gruppenverzeichnisse in VirtualCenter und auf dem ESX Server 3 Host stammen aus den gleichen Quellen wie die entsprechenden Benutzerverzeichnisse Wenn Sie mit VirtualCenter arbeiten wird das Gruppenverzeichnis von der Windows Dom ne abgerufen Wenn Sie direkt an einem ESX Server 3 Host angemeldet sind wird die Liste der Benutzergruppen aus einer Tabelle aufgerufen die vom Host verwaltet wird Die Empfehlungen zur Behandlung von Gruppenverzeichnissen entsprechen den
249. ll Clustern und in Physisch zu Virtuell Clustern In diesem Fall sollten Clusterdaten und Quorumfestplatten vorzugsweise als Raw Ger tezuordnungen konfiguriert werden und nicht als Dateien auf einem freigegebenen VMFS Stellen Sie sich eine Raw Ger tezuordnung als eine symbolische Verkn pfung zwischen einem VMFS Volume und einer Raw LUN vor siehe Abbildung 3 1 Die Zuordnung zeigt die LUNs wie Dateien auf einem VMFS Volume an In der Konfiguration der virtuellen Maschine wird auf die Raw Ger tezuordnung und nicht auf die Raw LUN verwiesen Die Raw Ger tezuordnung enth lt einen Verweis auf die Raw LUN Mithilfe von Raw Ger tezuordnungen ist Folgendes m glich m Migrieren virtueller Maschinen mit VMotion ber Raw LUNs m Hinzuf gen von Raw LUNs zu virtuellen Maschinen mithilfe des VI Clients m Verwenden von Dateisystemfunktionen wie verteilte Dateisperrung Berechtigungen und Benennung F r Raw Ger tezuordnungen gibt es zwei Kompatibilit tsmodi m Mit dem Modus Virtuelle Kompatibilit t kann sich eine Raw Ger tezuordnung ebenso wie eine virtuelle Festplattendatei verhalten Dies umfasst auch die Verwendung von Snapshots m Im Modus Physische Kompatibilit t k nnen Anwendungen die eine hardwaren here Steuerung ben tigen direkt auf das SCSI Ger t zugreifen Vorteile von Raw Ger tezuordnungen Eine Raw Ger tezuordnung bietet mehrere Vorteile sollte aber nicht st ndig verwendet werden In der Regel sind vi
250. lt des vorliegenden Handbuchs sodass Sie die ben tigten Informationen schneller auffinden k nnen In diesem Handbuch werden die folgenden Themen behandelt m Netzwerkkonfigurationen f r ESX Server 3 m Speicherkonfigurationen f r ESX Server 3 m Sicherheitsfunktionen von ESX Server 3 m ESX Server 3 Befehlsreferenz m Der Befehl vmkfstools VMware Inc 13 Handbuch zur Serverkonfiguration f r ESX Server 3 Netzwerk Die Kapitel zu ESX Server 3 Netzwerken bieten Ihnen eine grundlegende Vermittlung der Konzepte physischer und virtueller Netzwerke eine Beschreibung der Basisaufgaben die Sie erf llen m ssen um die Netzwerkverbindungen Ihres ESX Server Hosts herzustellen sowie eine Erl uterung erweiterter Netzwerkthemen und aufgaben Der Abschnitt zu Netzwerken enth lt die folgenden Kapitel Netzwerke Stellt Netzwerkkonzepte vor und f hrt durch Routineaufgaben die zur Konfiguration eines Netzwerks auf dem ESX Server 3 Host notwendig sind Erweiterte Netzwerkthemen Behandelt erweiterte Netzwerkaufgaben wie zum Beispiel die Einrichtung von MAC Adtressen die Bearbeitung virtueller Switches und Ports und das DNS Routing Dar ber hinaus erhalten Sie Tipps wie Sie die Effizienz der Netzwerkkonfiguration steigern k nnen Netzwerkszenarien und Probleml sung Beschreibt allgemeine Netzwerkkonfigurations und Probleml sungsszenarien Speicher In den Kapiteln zu den Speichereinstellungen f r ESX Server 3 werden
251. ltipathing k nnen Sie mit einem ESX Server 3 Host arbeiten der ber zwei HBAs verf gt Der ESX Server 3 Host wird ber zwei Kabel an das lokale Speichersystem mit zwei Ports angeschlossen Bei dieser Konfiguration k nnen Sie die Fehlertoleranz sicherstellen sollte eines der Verbindungselemente zwischen dem ESX Server 3 Host und dem lokalen Speichersystem ausfallen Um Pfad Switching mit Fibre Channel SAN zu unterst tzen verf gt der ESX Server 3 Host in der Regel ber mindestens zwei HBAs ber die das Speicherarray unter Verwendung eines oder mehrerer Switches erreicht werden kann Alternativ kann die Konfiguration auch einen HBA und zwei Speicherprozessoren aufweisen sodass der HBA einen anderen Pfad verwenden kann um auf das Festplatten Array zuzugreifen Abbildung 7 1 zeigt dass jeder Server ber mehrere Pfade mit dem Speicherger t verbunden ist Wenn zum Beispiel HBA1 oder die Verbindung zwischen HBA1 und dem Switch ausf llt bernimmt HBA2 und stellt eine Verbindung zwischen dem Server und dem Switch zur Verf gung Der Prozess in dem ein HBA f r einen anderen HBA einspringt wird als HBA Failover bezeichnet VMware Inc 147 Handbuch zur Serverkonfiguration f r ESX Server 3 148 Abbildung 7 1 Fibre Channel Multipathing ESX ESX Server Server Speicher Array Analog dazu bernimmt SP2 bei einem Ausfall von SP1 oder der Verbindung zwischen SP1 und dem Switch und stellt eine Verbindung zwischen dem Switch u
252. lung ist der Root Zugriff beschr nkt wodurch eine SSH Anmeldung Secure Shell als Root nicht m glich ist Wir empfehlen diese Standardeinstellung beizubehalten Administratoren von ESX Server 3 Systemen sollten sich als normale Benutzer anmelden m ssen und dann den Befehl sudo ausf hren um bestimmte Aufgaben die Root Berechtigungen erfordern auszuf hren Versuchen Sie auch so wenige Prozesse wie m glich auf der Servicekonsole auszuf hren Im Idealfall sollten nur die wichtigen Prozesse Dienste und Agenten ausgef hrt werden z B Antivirenprogramme Sicherungen virtueller Maschinen usw Verwalten Sie ESX Server 3 Hosts ber den VI Client Verwenden Sie den VI Client VI Web Access oder wenn dies m glich ist ein Netzwerkverwaltungsprogramm eines anderen Anbieters zur Verwaltung der ESX Server 3 Hosts anstatt als Root Benutzer ber die Befehlszeilenoberfl che zu agieren Mit dem VI Client k nnen Sie die Anzahl an Konten die Zugriff auf die Servicekonsole haben einschr nken Zust ndigkeiten sicher weitergeben und Rollen einrichten damit Administratoren und Benutzer keine Funktionen nutzen k nnen die sie nicht ben tigen Verwendung Sie nur VMware Quellen f r Aktualisierungen von ESX Server 3 Komponenten die auf der Servicekonsole ausgef hrt werden Auf der Servicekonsole werden zur Unterst tzung erforderlicher Verwaltungsschnittstellen oder aufgaben viele Pakete anderer Anbieter zum Beispiel der Web Dienst Tomc
253. m Dateisystem Entladen Sie vor der Konvertierung die vmfs2 und vmfs3 Treiber und laden Sie den zus tzlichen Dateisystemtreiber fsaux mit der Moduloption fsauxFunction upgrade Sie m ssen zum Angeben des Upgrade Iyps die Unteroption x upgradetype auf eine der folgenden Varianten festlegen m x zeroedthick default Beh lt die Eigenschaften der gro en VMEFS 2 Dateien bei Mit dem Dateiformat zeroedthick wird den Dateien zur k nftigen Nutzung ein Speicherplatz zugewiesen und die nicht verwendeten Datenbl cke werden nicht entfernt m x eagerzeroedthick Entfernt w hrend der Konvertierung ungenutzte Datenbl cke in gro en Dateien Wenn Sie diese Unteroption verwenden dauert das Upgrade unter Umst nden wesentlich l nger als bei den anderen Optionen m x thin Konvertiert gro e VMFS 2 Dateien in kleinere bereitgestellte VMEFS 3 Dateien Im Gegensatz zum Format thick erm glicht das Thin Format es den Dateien nicht f r k nftige Nutzungen einen zus tzlichen Speicherplatz zu verwenden sondern stellt den Speicher nach Bedarf zur Verf gung W hrend der Konvertierung werden unverwendete Bl cke der thick Dateien gel scht VMware Inc Anhang B Verwenden von vmkfstools W hrend der Konvertierung stellt der Dateisperrmechanismus von ESX Server 3 sicher dass keine lokalen Prozesse auf das VMFS Volume zugreifen das konvertiert wird Sie m ssen gleichzeitig sicherstellen dass kein ESX Server Remotehost auf dieses
254. m Fall m ssen Sie aber tats chlich in einer vertrauensw rdigen Umgebung arbeiten und gen gend andere Sicherheitsma nahmen ergriffen haben um das Netzwerk als Ganzes und die an den ESX Server 3 Host angeschlossenen Ger te zu sch tzen In diesem Kapitel werden folgende Themen behandelt m Allgemeine Sicherheitsempfehlungen auf Seite 248 m Konfiguration der Servicekonsolen Firewall auf Seite 249 m Kennwortbeschr nkungen auf Seite 254 m Schl sselqualit t auf Seite 262 m setuid und setgid Anwendungen auf Seite 263 m SSH Sicherheit auf Seite 265 m Sicherheitspatches und Software zum Suchen nach Sicherheitsl cken auf Seite 267 VMware Inc 247 Handbuch zur Serverkonfiguration f r ESX Server 3 Allgemeine Sicherheitsempfehlungen 248 Beachten Sie bei der berpr fung der Servicekonsolensicherheit und der Verwaltung der Servicekonsole folgende Sicherheitsempfehlungen Beschr nken Sie den Benutzerzugriff Beschr nken Sie zur Verbesserung der Sicherheit den Benutzerzugriff auf die Servicekonsole und legen Sie weitere Sicherheitsbeschr nkungen fest wie z B Kennwortrestriktionen Vorgabe der Kennwortl nge Zeitbeschr nkung der Kennw rter Verwendung eines grub Kennworts beim Hochfahren des Hosts Die Servicekonsole hat privilegierten Zugriff auf bestimmte Teile von ESX Server 3 Daher sollten nur vertrauensw rdige Benutzer Zugriff darauf erhalten In der Standardeinstel
255. mmen die Anzahl alter Kennw rter die ESX Server 3 speichert Wenn ein Benutzer gen gend Kennw rter erstellt hat und somit der in der Regel festgelegte Wert erreicht wird werden die alten Kennw rter anhand ihres Alters aus der Datei gel scht Informationen zur Konfiguration der Regel zur Wiederverwendung von Kennw rtern finden Sie unter So konfigurieren Sie eine Regel zur Wiederverwendung von Kennw rtern auf Seite 259 m Das neue Kennwort muss lang und komplex genug sein Die Anforderungen werden durch nderung des Komplexit tsparameter von pam_cracklib so mit dem Befehl esxcfg auth konfiguriert Dieser Befehl erm glicht Ihnen die Festlegung der Wiederholungsversuche der Mindestkennwortl nge und verschiedener Zeichenboni Zeichenboni erm glichen es den Benutzern k rzere Kennw rter einzugeben wenn sich mehrere Zeichenarten in einem Kennwort befinden Weitere Informationen zur Konfiguration von Kennwortl nge und Komplexit t finden Sie unter So ndern Sie Standardkomplexit t von Kennw rtern f r das Plug In pam_cracklib so auf Seite 259 Weitere Informationen zum Plug In pam_cracklib so finden Sie in der Linux Dokumentation 258 VMware Inc Kapitel 12 Sicherheit der Servicekonsole HINWEIS Das in Linux verwendete Plug In pam_cracklib so bietet mehr Parameter als die Parameter die von ESX Server 3 unterst tzt werden Sie k nnen diese zus tzlichen Parameter nicht in esxcfg auth angeben So konfigurier
256. mverwaltung 92 VMware Inc Kapitel 5 Einf hrung in die Speicherung Physische Speichertypen Die Verwaltung des ESX Server 3 Datenspeichers beginnt mit dem Speicherplatz den der Speicheradministrator auf verschiedenen Speicherger ten zuweist ESX Server 3 unterst tzt folgende Typen von Speicherger ten m Lokal Dateien virtueller Maschinen werden auf internen oder externen Speicherger ten oder Arrays gespeichert die ber eine Direktverbindung an den ESX Server 3 Host angeschlossen sind m Vernetzt Dateien virtueller Maschinen werden auf internen oder externen Speicherger ten oder Arrays gespeichert die sich au erhalb des ESX Server 3 Hosts befinden Der Host kommuniziert mit den vernetzten Ger ten ber ein Hochgeschwindigkeitsnetzwerk Lokaler Speicher Lokale Speicherger te k nnen interne Festplatte innerhalb des ESX Server 3 Hosts oder externe Speichersysteme au erhalb des Hosts sein die direkt mit dem Host verbunden sind Lokale Speicherger te ben tigen kein Speichernetzwerk f r die Kommunikation mit dem ESX Server 3 Ben tigt werden lediglich ein an das Speicherger t angeschlossenes Kabel und falls erforderlich ein kompatibler HBA im ESX Server 3 Host In der Regel k nnen mehrere ESX Server 3 Hosts an ein einzelnes lokales Speichersystem angeschlossen werden Die tats chliche Anzahl der Hosts die Sie anschlie en h ngt vom Typ des Speicherger ts und der verwendeten Topologie ab Viele lokale Sp
257. n d o 8 SCSI Controller Maus CD DVD Tastatur Da VMkernel die physischen Ressourcen vermittelt und jeder Zugriff auf die physische Hardware ber VMkernel erfolgt k nnen die virtuellen Maschinen diese Isolierungsebene nicht umgehen VMware Inc 175 Handbuch zur Serverkonfiguration f r ESX Server 3 So wie ein Computer mit anderen Computern in einem Netzwerk nur ber eine Netzwerkkarte kommunizieren kann kann eine virtuelle Maschine mit anderen virtuellen Maschinen auf dem gleichen ESX Server Host nur ber einen virtuellen Switch kommunizieren Au erdem kann die virtuelle Maschine mit einem physischen Netzwerk einschlie lich virtueller Maschinen auf anderen ESX Server Hosts nur ber einen physischen Netzwerkadapter kommunizieren siehe Abbildung 9 3 Abbildung 9 3 Virtuelle Netzwerkanbindung ber virtuelle Switches ESX Server Virtuelle Maschine Virtuelle Maschine Virtueller Virtueller Netzwerkadapter Netzwerkadapter VMkernel Virtuelle Virtueller Switch Netzwerkebene Verbindet virtuelle Maschinen Hardware Netzwerkadapter l Verbindet virtuelle Maschinen yy mit dem physischen Netzwerk Physisches Netzwerk F r die Isolierung virtueller Maschinen im Netzwerk gelten folgende Regeln m Wenn sich eine virtuelle Maschine keinen virtuellen Switch mit anderen virtuellen Maschinen teilt ist sie von den virtuellen Netzwerken auf dem Host vollst ndig getrennt m Wenn einer virtuellen Maschine kein physisch
258. n Maschinen auf dem System erm glicht m Esist wichtig dass die VMotion Verbindung ber ein eigenes f r diesen Zweck vorgesehenes Netzwerk verf gt da die Speicherinhalte des Gastbetriebssystems bei der Migration mit VMotion ber das Netzwerk bertragen werden Mounten von NFS Volumes Die Weise wie der ESX Server 3 auf NFS Speicher von ISO Images zugreift die als virtuelle CD ROMs f r virtuelle Maschinen verwendet werden unterscheidet sich von der Weise wie das in ESX Server 2 x geschah ESX Server 3 unterst tzt das VMkernel basierte NFS Mounting Bei dem neuen Modell wird das NFS Volume mit den ISO Images ber die NFS Funktion des VMkernels gemounted Alle so gemounteten NFS Volumes werden im VI Client als Datenspeicher angezeigt Mit dem Konfigurations Editor der virtuellen Maschine k nnen Sie das Dateisystem der Servicekonsole nach ISO Images durchsuchen die als virtuelle CD ROM Laufwerke verwendet werden sollen VMware Inc Kapitel 3 Erweiterte Netzwerkthemen Netzwerktipps Beachten Sie auch die folgenden Netzwerktipps VMware Inc Um Netzwerkdienste physisch zu trennen und eine bestimmte Gruppe von Netzwerkkarten einem bestimmten Netzwerkdienst zuzuweisen erstellen Sie einen vSwitch f r jeden Dienst Wenn das nicht m glich ist k nnen die Dienste auf einem vSwitch voneinander getrennt werden indem sie Portgruppen mit unterschiedlichen VLAN IDs zugeordnet werden In jedem Fall sollte der Netzwerkadminist
259. n Properties Klicken Sie auf die Registerkarte Netzwerkadapter Network Adapters 3 vSwitch0 Eigenschaften Ports Netzwerkadapter Netzwerkadapter Geschwi berwac Adapterdetails 100 voll 172 16 Broadcom Corporation Broadcom Net treme II BCM5708 Speicherort PCI 04 00 0 Treiber bns2 Status Verbindungsstatus Verbunden Konfigurierte Geschwindigkeit Duplex Autom aushandeln Tats chliche Geschwindigkeit Duplex 100 MB Yollduplex Netzwerke 172 16 19 1 172 16 19 127 Hinzuf gen Bearbeiten Entfernen we VMware Inc Kapitel 3 Erweiterte Netzwerkthemen 5 Um die eingestellte Geschwindigkeit den Duplexwert eines Netzwerkadapters zu ndern markieren Sie den Netzwerkadapter und klicken Sie auf Bearbeiten Edit Das Dialogfeld Status wird angezeigt Die Standardeinstellung lautet Autom aushandeln Autonegotiate die meistens richtig ist Status K anfigurierte Geschwindigkeit Duplex Autom aushandeln kai Autom aushandeln 10 MB Halbduplex 10 MB Yollduplex 100 MB Halbduplex 100 ME Yollduplex 1000 ME Yollduplex 6 Um die Verbindungsgeschwindigkeit manuell einzustellen w hlen Sie die Geschwindigkeits Duplexeinstellung im Dropdown Men aus Die Verbindungsgeschwindigkeit muss manuell eingestellt werden wenn die Netzwerkkarte oder ein physischer Switch die ordnungsgem f se Verbindungsgeschwindigkeit nicht erkennen Anzeichen f r falsche Ges
260. n Sicherheitsprofil Pfad Kanonischer Pfad Typ Kapazit t LUN ID Zuteilung von Systemressourcen vmhba0 0 0 ymhb 9n n En 136 73 GB 0 E Pfade verwalten Erweiterte Einstellungen M amp gt Grundlegendes zur Benennung von Speicherger ten in der Anzeige Im VI Client wird der Name eines Speicherger ts als Abfolge von drei oder vier Zahlen angegeben die durch Doppelpunkte getrennt sind z B vmhba1 1 3 1 Dieser Name hat die folgende Bedeutung lt HBA gt lt SCSI Ziel gt lt SCSI LUN gt lt Festplattenpartition gt Die Abk rzung vmhba bezieht sich auf verschiedene physische HBAs im ESX Server 3 System Sie kann sich auch auf den virtuellen iSCSI Initiator beziehen den ESX Server 3 unter Verwendung des VMkernel Netzwerkstapels implementiert Die vierte Zahl gibt eine Partition auf einer Festplatte an die ein VMEFS Datenspeicher belegt Das Beispiel vmhbal 1 3 1 bezieht sich auf die erste Partition auf SCSI LUN 3 SCSI Ziel 1 auf die ber HBA 1 zugegriffen wird VMware Inc 105 Handbuch zur Serverkonfiguration f r ESX Server 3 Die dritte und vierte Zahl ndern sich nie die ersten beiden Zahlen k nnen sich jedoch ndern Beispielsweise kann sich nach einem Neustart des ESX Server 3 Systems vmhbal1 1 3 1in vmhba3 2 3 1 ndern Der Name bezieht sich jedoch immer noch auf dasselbe physische Ger t Die erste und zweite Zahl k nnen sich aus den folgenden Gr nden ndern m Dieerste Zahl der HBA ndert sich
261. n Wenn Sie Kennw rter verlangen die man sich kaum merken kann oder h ufige nderungen vorschreiben kann es sein dass die Benutzer ihre Kennw rter aufschreiben m ssen und dadurch das gew nschte Ziel aushebeln Zum Schutz der Kennwortdatenbank gegen Missbrauch wurde Kennwort Shadowing f r ESX Server 3 aktiviert sodass die Kennwort Hashes zugriffsgesch tzt sind Au erdem verwendet ESX Server 3 MD5 Kennwort Hashes die eine h here Kennwortsicherheit bieten und es erm glichen Kennw rter mit einer Mindestl nge von mehr als 8 Zeichen anzufordern ESX Server 3 bietet eine Kennwortkontrolle auf zwei Ebenen um Kennwortrichtlinien f r Benutzer durchzusetzen und das Risiko des Knackens von Kennw rtern zu begrenzen mE Kennwortverwendungsdauer Diese Einstellungen bestimmen wie lange ein Benutzerkennwort aktiv sein kann bevor der Benutzer es ndern muss Dadurch wird sichergestellt dass das Kennwort oft genug ge ndert wird sodass ein Angreifer der ein Kennwort durch Ausspionieren oder soziale Kontakte erhalten hat nicht auf unbestimmte Zeit auf ESX Server 3 zugreifen kann m Kennwortkomplexit t Diese Einstellung stellt sicher dass Benutzer Kennw rter ausw hlen die f r Kennwortgeneratoren schwer zu bestimmen sind VMware Inc Kapitel 12 Sicherheit der Servicekonsole Kennwortverwendungsdauer Damit Kennw rter f r die Benutzeranmeldung nicht f r lange Zeitr ume aktiv bleiben werden standardm ig folgende B
262. n Implementierungen HINWEIS Softwarefirewalls und Antivirensoftware k nnen die Virtualisierungsleistung beeinflussen Wenn Sie sich sicher sind dass sich die virtuellen Maschinen in einer vollst ndig vertrauensw rdigen Umgebung befinden k nnen Sie diese beiden Sicherheitsmafsnahmen gegen Leistungsvorteile abw gen Deaktivieren von Kopier und Einf gevorg ngen zwischen Gastbetriebssystem und Remotekonsole Wenn VMware Tools auf einer virtuellen Maschine ausgef hrt wird k nnen Sie Kopier und Einf gevorg nge zwischen dem Gastbetriebssystem und der Remotekonsole ausf hren Sobald das Konsolenfenster den Eingabefokus hat k nnen unbefugte Benutzer und Prozesse in der virtuellen Maschine auf die Zwischenablage der Konsole der virtuellen Maschine zugreifen Wenn ein Benutzer vor der Verwendung der Konsole vertrauliche Informationen in die Zwischenablage kopiert macht der Benutzer der virtuellen Maschine ggf unwissentlich vertrauliche Daten zug nglich Um dies zu verhindern k nnen Sie Kopier und Einf gevorg nge f r das Gastbetriebssystem deaktivieren So deaktivieren Sie Kopier und Einf gevorg nge zwischen Gastbetriebssystem und Remotekonsole 1 Melden Sie sich am VI Client an und w hlen Sie die virtuelle Maschine in der Bestandsliste aus Die Konfiguration f r diese virtuelle Maschine wird auf der Registerkarte bersicht Summary angezeigt 2 Klicken Sie auf Einstellungen bearbeiten Edit Settings 3 Klicken
263. n Maschinen kommunizieren die Zugang zu den externen Netzwerken haben Wie beim FIP Server k nnen diese virtuellen Maschinen keine Datenpakete an Netzwerke anderer virtueller Maschinen senden oder sie von diesen empfangen Ebenso k nnen die anderen virtuellen Maschinen keine Datenpakete an die virtuellen Maschinen 2 bis 5 senden oder von diesen empfangen DMZ Die virtuellen Maschinen 6 bis 8 wurden als DMZ konfiguriert die von der Marketingabteilung dazu verwendet wird die externe Webseite des Unternehmens bereitzustellen Diese Gruppe virtueller Maschinen ist dem externen Netzwerk 2 und dem internen Netzwerk 1 zugeordnet Das Unternehmen nutzt das externe Netzwerk 2 zur Unterst tzung der Webserver die von der Marketing und der Finanzabteilung zur Bereitstellung der Unternehmenswebseite und anderer webbasierter Anwendungen f r externe Nutzer verwendet werden Das interne Netzwerk 1 ist der Verbindungskanal den die Marketingabteilung zur Ver ffentlichung von Webseiten auf der Unternehmenswebseite zur Bereitstellung von Downloads und Diensten wie Benutzerforen verwendet Da diese Netzwerke vom externen Netzwerk 1 und internen Netzwerk 2 getrennt sind und die virtuellen Maschinen keine gemeinsamen Kontaktpunkte Switches oder Adapter aufweisen besteht kein Angriffsrisiko f r den FIP Server oder die Gruppe interner virtueller Maschinen weder als Ausgangspunkt noch als Ziel Ein Beispiel f r die Konfiguration einer DMZ unter Verwen
264. n Sie das zu aktualisierende VMFS 2 Volume m Stellen Sie sicher dass das VMFS 2 Volume nicht von aktiven virtuellen Maschinen verwendet wird m Stellen Sie sicher dass kein anderer ESX Server Host auf das VMFS 2 Volume zugreift VMware Inc 143 Handbuch zur Serverkonfiguration f r ESX Server 3 VORSICHT Die Konvertierungsvorgang von VMFS 2 in VMFS 3 ist nicht umkehrbar Nach der Konvertierung des VMFS basierten Datenspeichers in VMFS 3 ist eine R ckkonvertierung in VMFS 2 nicht mehr m glich Damit das Upgrade des Dateisystems VMFS 2 m glich ist sollte die Dateiblockgr f e nicht ber 8 MB hinausgehen So aktualisieren Sie VMFS 2 in VMFS 3 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server 2 Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Speicher Storage 3 W hlen Sie den Datenspeicher der das VMFS 2 Format verwendet Storage Refresh Remove Add Storage Identification Device Capacity Free Type 29 06 GE 17 92 GB vwmfs2 mhbal 1 0 1 33 75 GB 2 26 G6 wmfs3 Details Upgrade to YMFS 3 Properties 4 Klicken Sie auf Auf VMFS 3 aktualisieren Upgrade to VMFS 3 5 F hren Sie auf allen Hosts auf denen der Datenspeicher angezeigt wird eine erneute Pr fung durch ndern des Namens von Datenspeichern Der Name eines vorhandenen VMFS basierten Datenspeichers kann ge ndert werden So ndern Sie den Namen des Daten
265. n Zeitraum gemessen wird m Spitzenbandbreite Peak Bandwidth ist ein Wert der die zul ssige H chstbandbreite angibt und mindestens genauso grof s wie die Durchschnittsbandbreite sein muss Dieser Parameter schr nkt die H chstbandbreite w hrend eines Bursts ein m Burstgr e Burst Size ist ein Wert der angibt wie gro ein Burst sein darf in Kilobyte KB Dieser Parameter steuert die Datenmenge die w hrend eines Bursts bertragen werden kann Richtlinie f r Lastausgleich und Failover Mit den Lastausgleichs und Failover Richtlinien k nnen Sie festlegen wie der Netzwerkdatenverkehr zwischen den Adaptern verteilt wird und wie der Verkehr neu geroutet wird wenn ein Adapter ausf llt Dazu m ssen Sie die folgenden Parameter konfigurieren Die Lastausgleichsrichtlinie Load Balancing policy legt fest wie der ausgehende Datenverkehr ber die Netzwerkadapter verteilt wird die einem vSwitch zugewiesen wurden HINWEIS Der eingehende Datenverkehr wird durch die Lastausgleichsrichtlinie auf dem physischen Switch gesteuert Failover Erkennung Failover Detection Verbindungsstatus und Signalpr fung Reihenfolge der Netzwerkadapter Network Adapter Order Aktiv Standby So bearbeiten Sie die Richtlinie f r Failover und Lastausgleich 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird ange
266. n auf einem anderen physischen Server neu starten Im St rfall wird die festplatteninterne Sperre f r die einzelnen virtuellen Maschinen aufgehoben Weitere Informationen zu VMware DRS und VMware HA finden Sie im Handbuch zur Ressourcenverwaltung unter www vmware com support pubs VMware Inc 99 Handbuch zur Serverkonfiguration f r ESX Server 3 100 m Mit VMotion k nnen Sie w hrend des laufenden Systembetriebs Migrationen virtueller Maschinen von einem physischen Server auf einen anderen durchf hren Weitere Informationen zu VMotion finden Sie in Grundlagen der Systemverwaltung unter www vmware com support pubs m Mit VMware Consolidated Backup kann ein VCB Proxy genannter Proxy Server einen Snapshot einer virtuellen Maschine sichern w hrend diese eingeschaltet ist und Daten in ihren Speicher schreibt und in diesem liest Weitere Informationen zu VMware Consolidated Backup finden Sie im Sicherungshandbuch f r virtuelle Maschinen unter www vmware com support pubs NFS Datenspeicher ESX Server 3kann auf ein ausgew hltes NFS Volume auf einem NAS Server zugreifen dieses Volume mounten und es f r Speicherzwecke nutzen Mithilfe von NFS Volumes k nnen Sie virtuelle Maschinen ebenso wie mithilfe von VMFS Datenspeichern speichern und starten ESX Server unterst tzt auf NFS Volumes die folgenden Funktionen zur gemeinsamen Speichernutzung m Verwendung von VMotion m Verwendung von VMware DRS and VMware HA m Mounten
267. n der CHAP Name dem iSCSI Adapternamen entsprechen soll aktivieren Sie das Kontrollk stchen Initiatornamen verwenden Use initiator name m Um den CHAP Namen nicht mit dem iSCSI Adapternamen zu vergeben d rfen Sie nicht Initiatornamen verwenden Use initiator name ausw hlen und m ssen stattdessen einen Namen mit bis zu 255 alphanumerischen Zeichen in das Feld CHAP Name CHAP Name eingeben Geben Sie einen CHAP Schl ssel ein der als Teil der Authentifizierung verwendet werden soll Der Schl ssel den Sie eingeben ist eine Zeichenfolge 217 Handbuch zur Serverkonfiguration f r ESX Server 3 218 8 Der VI Client verlangt keine Mindest oder H chstl nge f r den CHAP Schl ssel den Sie eingeben Bestimmte iSCSI Speicherger te fordern jedoch eine Mindestl nge oder beschr nken die Art der verwendbaren Zeichen Weitere Informationen zu den Anforderungen der Speicherger te erhalten Sie in der Dokumentation des Herstellers Klicken Sie auf OK So deaktivieren Sie die iSCSI Authentifizierung 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Speicheradapter Storage Adapters Markieren Sie den gew nschten iSCSI Adapter und klicken Sie dann auf Eigenschaften Properties Das Dialogfeld Eigenschaften des iSCSI Initiators SCSI Initiator Properties wird ge ffnet Klicken Sie auf CHAP
268. n diesem Abschnitt finden Sie Informationen zu folgenden Themen m Optimale Vorgehensweisen f r Netzwerke m Netzwerktipps VMware Inc 71 Handbuch zur Serverkonfiguration f r ESX Server 3 72 Optimale Vorgehensweisen f r Netzwerke Ziehen Sie folgende optimale Vorgehensweisen f r die Konfiguration Ihres Netzwerks in Betracht Trennen Sie die Netzwerkdienste voneinander um mehr Sicherheit und eine h here Leistung zu erreichen Wenn eine bestimmte Gruppe virtueller Maschinen h chste Leistung bieten soll schliefsen Sie sie an eine eigene physische Netzwerkkarte an Durch diese Abtrennung kann ein Teil der Gesamtarbeitslast des Netzwerks gleichm iger auf mehrere CPUs verteilt werden Die isolierten virtuellen Maschinen sind dann beispielsweise besser in der Lage den Datenverkehr eines Webclients zu verarbeiten Die unten aufgef hrten Empfehlungen k nnen entweder durch die Verwendung von VLANs zur Aufteilung eines physischen Netzwerks in Segmente oder durch die Verwendung getrennter physischer Netzwerke umgesetzt werden die zweite Variante ist dabei zu bevorzugen m Ein wichtiger Bestandteil der Absicherung des ESX Server 3 Systems besteht darin dass die Servicekonsole ber ein eigenes Netzwerk verf gt Die Netzwerkanbindung der Servicekonsole sollte genauso gehandhabt werden wie Ger te f r den Fernzugriff auf Server da die bernahme der Servicekonsole einem Angreifer die vollst ndige Kontrolle ber alle virtuelle
269. n einzelnes physisches LAN Segment weiter aufgeteilt werden sodass Portgruppen derart voneinander isoliert werden als bef nden sie sich in unterschiedlichen physischen Segmenten Der Standard ist 802 10 Der VMkernel TCP IP Netzwerkstapel unterst tzt iSCSI NFS und VMotion Virtuelle Maschinen f hren TCP IP Stapel ihrer eigenen Systeme aus und verbinden sich auf Ethernet Ebene ber virtuelle Switches mit dem VMkernel Zwei neue Funktionen in ESX Server 3 iSCSI und NFS werden in diesem Kapitel als IP Speicher bezeichnet IP Speicher bezeichnet jedwede Art von Speicher der auf TCP IP Netzwerkkommunikation beruht iSCSI kann als Datenspeicher f r virtuelle Maschinen verwendet werden NFS kann als Datenspeicher f r virtuelle Maschinen oder f r die direkte Einbindung von ISO Dateien die dann von der virtuellen Maschine als CD ROMs erkannt werden verwendet werden HINWEIS In den Netzwerkkapiteln wird beschrieben wie das Netzwerk f r iSCSI und NES eingerichtet wird Informationen zur Konfiguration des Speichers von iSCSI und NES finden Sie in den Kapiteln zum Speicher TCP Segmentation Offload TSO erm glicht einem TCP IP Stapel das Senden sehr gro er Datenbl cke bis zu 64 KB obgleich die maximale bertragungseinheit Maximum Transmission Unit MTU der Schnittstelle kleiner ist Der Netzwerkadapter trennt anschlie end den gro en Datenblock in Datenbl cke mit MTU Gr e und stellt eine angepasste Kopie der einleitenden TCP IP He
270. n erstellt der Angreifer ein doppelt eingekapseltes Paket in dem sich der VLAN Bezeichner im inneren Tag vom VLAN Bezeichner im u eren Tag unterscheidet Um R ckw rtskompatibilit t zu gew hrleisten entfernen native VLANs standardm ig das u ere Tag von bertragenen Paketen Wenn ein nativer VLAN Switch das u ere Tag entfernt bleibt nur das innere Tag brig welches das Paket zu einem anderen VLAN weiterleitet als im jetzt fehlenden u eren Tag angegeben war Die virtuellen Switches von VMware verwerfen alle doppelt eingekapselten Datenbl cke die eine virtuelle Maschine auf einem f r ein bestimmtes VLAN konfigurierten Port senden m chte Daher sind sie immun gegen diese Art von Angriffen Multicast Brute Force Angriffe Bei diesen Angriffen wird eine gro e Anzahl an Multicast Datenbl cken fast zeitgleich an ein bekanntes VLAN gesendet um den Switch zu berfordern sodass er versehentlich einige Datenbl cke in andere VLANs bertr gt Die virtuellen Switches von VMware erlauben es Datenbl cken nicht ihren richtigen bertragungsbereich VLAN zu verlassen und sind daher gegen diese Art von Angriffen immun Spanning Tree Angriffe Diese Angriffe zielen auf das Spanning Tree Protokoll STP das zur Steuerung der berbr ckung verschiedener Teile des LANs verwendet wird Der Angreifer sendet Pakete der Bridge Protocol Data Unit BPDU in dem Versuch die Netzwerktopologie zu ndern und sich selbst als Root Brid
271. n soll Assistent zum Hinzuf gen von Netzwerken YMkernel Netzwerkzugriff YMkernel erreicht Netzwerke durch Uplink Adapter die mit virtuellen Switches verbunden sind Yerbindungstyp Netzwerkzugriff Einen virtuellen Switch erstellen Yerbindungseinstellungen bersicht C Yerwendung vSwitchO DE vmnicd 100 Yoll 172 16 19 1 172 16 19 127 C Yerwendung vSwitchi DB vmnici C Yerwendung vSwitch2 Vorschau YMkemel Port Physische Adapter yMkernel 2 i Keine Adapter lt Zur ck Weiter gt Abbrechen Die Auswahlm glichkeiten werden im Bereich Vorschau Preview angezeigt W hlen Sie f r jeden vSwitch Adapter aus sodass die virtuellen Maschinen oder sonstigen Dienste die an diesen Adapter angeschlossen sind auf das richtige Ethernet Segment zugreifen k nnen Wenn unter Neuen virtuellen Switch erstellen Create a new virtual switch keine Adapter angezeigt werden bedeutet dies dass alle Netzwerkadapter im System von vorhandenen vSwitches verwendet werden Sie k nnen entweder einen neuen vSwitch ohne Netzwerkadapter erstellen oder einen Netzwerkadapter ausw hlen der von einem bereits vorhandenen vSwitch verwendet wird Weitere Informationen zum Verschieben von Netzwerkadaptern zwischen vSwitches finden Sie unter So f gen Sie Uplink Adapter hinzu auf Seite 45 7 Klicken Sie auf Weiter Next 32 VMware Inc 8 W hlen Sie unter Eigenschaften der Portgruppe Port Group Properties eine Netzwerkbezeic
272. n unerlaubten Zugriff auf die Servicekonsole zu verhindern Andere Dienste bieten jedoch ggf nicht den gleichen Schutz Wenn Angreifer Zugriff auf die Servicekonsole erlangen k nnen sie viele Attribute des ESX Server 3 Hosts neu konfigurieren So k nnen Sie zum Beispiel die gesamte Konfiguration der virtuellen Switches oder die Autorisierungsverfahren usw ndern Die Netzwerkanbindung f r die Servicekonsole wird ber virtuelle Switches hergestellt Um diese wichtigen ESX Server 3 Komponenten zu sch tzen empfiehlt VMware die Isolierung der Servicekonsole durch eines der folgenden Verfahren m Richten Sie ein VLAN f r die Kommunikation der Verwaltungsprogramme mit der Servicekonsole ein m Konfigurieren Sie den Netzwerkzugang f r die Verwaltungsprogrammverbindungen mit der Servicekonsole ber einen einzelnen virtuellen Switch und einen oder mehrere Uplink Ports VMware Inc Kapitel 10 Absichern einer ESX Server 3 Konfiguration Beide Methoden verhindern dass jemand ohne Zugriff auf das Servicekonsolen VLAN oder den virtuellen Switch den ein und ausgehenden Datenverkehr der Servicekonsole verfolgen kann Au erdem k nnen so Angreifer keine Pakete an die Servicekonsole senden Alternativ k nnen Sie stattdessen die Servicekonsole in einem eigenen physischen Netzwerksegment konfigurieren Die physische Segmentierung bietet eine gewisse zus tzliche Sicherheit da diese vor einer sp teren Fehlkonfiguration sch tzt Zus tzli
273. n vom zugeordneten Ger t belegten Speicherplatz jedoch nicht die Zuordnungsdatei an mv Benennt die Zuordnungsdatei um ohne das zugeordnete Ger t zu beeinflussen cp Kopiert den Inhalt eines zugeordneten Ger ts Sie k nnen eine virtuelle Festplattendatei nicht auf ein zugeordnetes Ger t kopieren Verwenden Sie statt dessen den Befehl vmkfstools dd Kopiert Datei auf oder von einem zugeordneten Ger t VMware empfiehlt Ihnen die Import und Export Befehle in vmkfstools zu verwenden VMware Inc 169 Handbuch zur Serverkonfiguration f r ESX Server 3 170 VMware Inc VMware Inc Sicherheit 171 Handbuch zur Serverkonfiguration f r ESX Server 3 172 VMware Inc Sicherheit f r ESX Server 3 Systeme Bei der Entwicklung von ESX Server war hohe Sicherheit einer der Schwerpunkte Dieser Abschnitt bietet Ihnen eine bersicht dar ber wie VMware Sicherheit in der ESX Server Umgebung gew hrleistet Dies erfolgt insbesondere ber die Sicherheitsaspekte der Systemarchitektur und eine Liste zus tzlicher Sicherheitsressourcen Dieses Kapitel umfasst die folgenden Abschnitte m Architektur und Sicherheitsfunktionen von ESX Server 3 auf Seite 173 m Sonstige Quellen und Informationen zur Sicherheit auf Seite 186 Architektur und Sicherheitsfunktionen von ESX Server 3 Aus Sicht der Sicherheit besteht VMware ESX Server 3 aus vier Hauptkomponenten der Virtualisierungsebene den virtuellen Maschinen der Serviceko
274. n zu finden m Das Zielspeicherger t auf dem sich der Datenspeicher befindet Siehe Grundlegendes zur Benennung von Speicherger ten in der Anzeige auf Seite 105 m Die Art des Dateisystems das der Datenspeicher verwendet Siehe Datenspeicher auf Seite 95 m Die Gesamtkapazit t sowie der belegte und freie Speicher W hlen Sie den Datenspeicher in der Liste aus wenn Sie zus tzlich Details erfahren m chten Der Abschnitt Details enth lt folgende Informationen m Den Speicherort des Datenspeichers m Einzelne Erweiterungen aus denen der Datenspeicher besteht samt Kapazit t VMFS Datenspeicher m Pfade die zum Zugriff auf das Speicherger t verwendet werden VMFS Datenspeicher VMware Inc 103 Handbuch zur Serverkonfiguration f r ESX Server 3 104 In Abbildung 5 3 wurde der Datenspeicher symm 07 in der Liste der verf gbaren Datenspeicher ausgew hlt Der Bereich Details zeigt Informationen zum ausgew hlten Datenspeicher Abbildung 5 3 Informationen zu Datenspeichern Konfigurierte Datenspeicher Datenspeicherdetails Erste Schritte bersicht Virtuelle Maschinen MAessourcenzuteilung Leistung Konfiguration Aufgatien amp Ereignisse Alarme Berechtigungen Hardware N Aktyalisieren Entfernen Speicher hinzuf gen PIE TEE OR FA storage vmhba0 0 0 2 129 00 GB 108 10 GB vmfs3 Speicher Netzwerk Speicheradapter Netzwerkadapter Software Details Eigenschaften Liz
275. nauso wie ein physischer Netzwerkadapter so konfiguriert werden dass er Datenbl cke empf ngt die f r andere virtuelle Maschinen bestimmt sind Wenn Sie einen virtuellen Switch f r Ihr Netzwerk erstellen f gen Sie Portgruppen hinzu um f r die an den Switch angeschlossenen virtuellen Maschinen Speichersysteme usw Richtlinien zu konfigurieren Virtuelle Ports werden ber den VI Client erstellt W hrend des Hinzuf gens eines Ports oder einer Portgruppe zu einem virtuellen Switch konfiguriert der VI Client ein Sicherheitsprofil f r den Port Mit diesem Sicherheitsprofil k nnen Sie sicherstellen dass ESX Server 3 verhindert dass die Gastbetriebssysteme auf den virtuellen Maschinen andere Computer im Netzwerk imitieren k nnen Diese Sicherheitsfunktion wurde so implementiert dass das Gastbetriebssystem welches f r die Imitation verantwortlich ist nicht erkennt dass diese verhindert wurde Das Sicherheitsprofil bestimmt wie streng der Schutz gegen Imitierungs oder Abfangangriffe auf virtuelle Maschinen sein soll Damit Sie die Einstellungen des Sicherheitsprofils richtig anwenden k nnen ben tigen Sie Grundkenntnisse dar ber wie virtuelle Netzwerkadapter Daten bertragungen steuern und wie Angriffe auf dieser Ebene vorgenommen werden Jedem virtuellen Netzwerkadapter wird bei seiner Erstellung eine eindeutige MAC Adresse zugewiesen Diese Adresse wird Urspr nglich zugewiesene MAC Adresse genannt Obwohl die urspr ngl
276. nd dem Speicherger t zur Verf gung Dieser Vorgang wird SP Failover genannt VMware ESX Server 3 unterst tzt ber die Multipathing Funktion sowohl das HBA als auch das SP Failover Siehe SAN Konfigurationshandbuch f r Fiber Channel Multipathing mit iSCSI SAN Bei der iSCSI Speicherung nutzt ESX Server 3 die in das IP Netzwerk integrierte Multipathing Unterst tzung mit deren Hilfe das Netzwerk das Routing ausf hren kann siehe Abbildung 7 2 ber die dynamische Erkennung erhalten iSCSI Initiatoren eine Liste mit Zieladressen welche die Initiatoren als mehrere Pfade zu iSCSI LUNs zu Failover Zwecken nutzen k nnen VMware Inc Kapitel 7 Speicherverwaltung Abbildung 7 2 iSCSI Multipathing ESX ESX Server Server Software HBA2 Initiator IP Netzwerk SP SP H ISCSI Speicher Zus tzlich zum Software initiierten iSCSI k nnen Sie mit der NIC Gruppierung arbeiten damit das Multipathing ber die Netzwerkschicht im VMkernel erfolgt Siehe Netzwerk auf Seite 17 Siehe SAN Konfigurationshandbuch f r iSCSI Anzeigen des aktiven Multipathing Status Verwenden Sie den VI Client zum Anzeigen des aktuellen Multipathing Status So zeigen Sie den aktuellen Multipathing Status an 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server 2 Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end unter Hardware auf Speicher Storage VMw
277. nd virtuellen Netzwerkadapter verf gt Virtuelle Maschinen oder andere Systemkomponenten sollten einen anderen Switch oder Adapter verwenden Die virtuellen Maschinen k nnen sich jedoch einen virtuellen Switch oder Netzwerkadapter teilen Gemeinsame Ja Alle vmdk Dateien sollten sich in der gleichen VMFS Nutzung VMPFRS Partition befinden VMware Inc Kapitel 13 Empfehlungen f r den Schutz von Implementierungen Tabelle 13 1 Gemeinsame Komponentennutzung bei einer Implementierung f r einen Kunden Fortsetzung Funktion Konfiguration Anmerkungen Sicherheitsstufe Hoch Geben Sie Ports f r ben tigte Dienste wie FTP nach Bedarf frei Weitere Informationen zu den Sicherheitsstufen finden Sie unter Konfiguration der Servicekonsolen Firewall auf Seite 249 Speichermehrfachvergabe Ja f r virtuelle Maschinen Der konfigurierte Gesamtspeicher f r die virtuellen Maschinen kann gr er als der physische Gesamtspeicher sein Tabelle 13 2 zeigt wie die Benutzerkonten f r den ESX Server 3 Host eingerichtet werden k nnen Tabelle 13 2 Benutzerkonten bei einer Implementierung f r einen Kunden Benutzerkategorie Gesamtanzahl an Konten Standortadministratoren 1 Kundenadministratoren Systemadministratoren oO I o Unternehmensbenutzer Tabelle 13 3 Die folgende Tabelle zeigt die Zugriffsberechtigungen f r die Benutzer Tabelle 13 3 Benutzerzugriff in einer Implementierung f r
278. ndungen mit den entsprechenden Firewallports an finen Ressoursenzutelung Leistung Konfiguration Aufgaben amp Ereignisse Alarme Berechtigungen Zuordnungen Sicherheitsprofil Firewall Aktualisieren Eigenschaften Eingehende Verbindungen CIM SLP 427 UDP TCP Sicherer CIM 5erver 5984 TCP CIM Server 5966 TCP SSH Server 22 TCF Ausgehende Verbindungen CIM SLP 427 UDP TCP Saftware SC5T Cient 3260 TCP CB 443 902 TCP VMware Lizenz Clent 27000 27010 TCP VMware Yirtuallenter Agent 92 UDF VMware Inc Kapitel 10 Absichern einer ESX Server 3 Konfiguration 3 Klicken Sie auf Eigenschaften Properties Im Dialogfeld Firewall Eigenschaften Firewall Properties werden alle Dienste und Verwaltungs Agenten aufgelistet die Sie f r den Host konfigurieren k nnen 3 Firewall Eigenschaften Remotezugriff Standardm ig wird verhindert dass Remoteclients auf Dienste auf diesem Host zugreifen und lokalen Clients wird der Zugriff auf Dienste auf Remotehosts verweigert Um Zugriff auf einen Dienst oder Client zu gew hren aktivieren Sie das entsprechende Kontrollk stchen Sofern nicht anders konfiguriert werden Daemons automatisch gestartet wenn einer ihrer Ports ge ffnet wird und sie werden beendet wenn alle ihre Ports geschlossen werden Bezeichnung Eingehende Ports Ausgehende Ports Protokolle Daemon Erforderliche Dienste Secure Shell SSH Client TCP NJA SSH Server 22 TCP Wird ausgef hrt Simple Netwo
279. nen die Grundlagen zu einigen Angriffsarten gegen die virtuelle Switches und VLANs sch tzen k nnen VMware Inc MAC Flooding Diese Angriffe berschwemmen den Switch mit Datenpaketen die MAC Adressen enthalten die als von verschiedenen Quellen stammend gekennzeichnet wurden Viele Switches verwenden eine assoziative Speichertabelle CAM Tabelle um die Quelladresse f r jedes Datenpaket zu speichern Wenn die Tabelle voll ist schaltet der Switch ggf in einen vollst ndig ge ffneten Status um in dem alle eingehenden Pakete auf allen Ports bertragen werden sodass der Angreifer den gesamten Datenverkehr des Switches verfolgen kann In diesem Fall kann es auch zu Paketlecks in andere VLANs kommen 209 Handbuch zur Serverkonfiguration f r ESX Server 3 210 Zwar speichern die virtuellen Switches von VMware eine MAC Adtressentabelle aber sie erhalten die MAC Adressen nicht von erkennbarem Datenverkehr und sind daher gegen diese Art von Angriffen immun Angriffe durch 802 1q und ISL Kennzeichnung Bei diesem Angriff werden die Datenbl cke durch den Switch an ein anderes VLAN weitergeleitet indem der Switch durch einen Trick dazu gebracht wird als Trunk zu fungieren und den Datenverkehr an andere VLANs weiterzuleiten Die virtuellen Switches von VMware f hren das dynamische Trunking das f r diese Art des Angriffs notwendig ist nicht aus und sind daher immun Doppelt eingekapselte Angriffe Bei dieser Art von Angriffe
280. ng f r jede virtuelle Maschine sicher dass bei hohen Ressourcenanforderungen durch den DoS Angriff alle anderen virtuellen Maschinen immer noch ber gen gend Kapazit ten verf gen Standardm ig schreibt der ESX Server eine Art der Ressourcenreservierung vor indem er einen Verteilungsalgorithmus verwendet der die verf gbaren Hostressourcen zu gleichen Teilen auf die virtuellen Maschinen verteilt und gleichzeitig einen bestimmten Prozentsatz der Ressourcen f r einen Einsatz durch andere Systemkomponenten wie z B die Servicekonsole bereith lt Dieses Standardverhalten bietet einen nat rlichen Schutz gegen DoS und DDoS Angriffe Geben Sie die spezifischen Ressourcenreservierungen und Grenzwerte individuell ein wenn Sie das Standardverhalten auf Ihre Bed rfnisse so zuschneiden wollen dass die Verteilung ber die gesamte Konfiguration der virtuellen Maschine nicht einheitlich ist Eine Erl uterung der Verwaltung der Ressourcenzuweisung f r virtuelle Maschinen finden Sie im Handbuch zur Ressourcenverwaltung Sicherheit und die Servicekonsole Die Servicekonsole von ESX Server 3 ist eine eingeschr nkte Linux Version die auf Red Hat Enterprise Linux 3 Aktualisierung 8 RHEL 3 U8 beruht Die Servicekonsole stellt eine Ausf hrungsumgebung f r die berwachung und Verwaltung des gesamten ESX Server 3 Hosts zur Verf gung Wenn die Servicekonsole auf bestimmte Weise beeintr chtigt wird ist auch die von ihr gesteuerte virtuelle Mas
281. ngegeben wurden werden automatisch eingetragen Auf der Registerkarte Routing ben tigen die Servicekonsole und der VMkernel jeweils eigene Angaben zum Gateway Ein Gateway ist zur Anbindung an Computer notwendig die sich nicht im gleichen IP Subnetz wie die Servicekonsole oder der VMkernel befinden Statische IP Einstellungen sind standardm ig festgelegt Klicken Sie auf OK VMware Inc 10 11 12 Kapitel 4 Netzwerkszenarien und Probleml sung Klicken Sie auf Weiter Next Klicken Sie auf Zur ck Back um nderungen vorzunehmen berpr fen Sie die nderungen im Dialogfeld Bereit zum Abschlie en Ready to Complete und klicken Sie auf Fertig Finish Fehlerbehebung Der folgende Abschnitt f hrt Sie durch die Fehlerbehebung bei typischen Netzwerkproblemen Fehlerbehebung bei der Vernetzung der Servicekonsole Wenn bestimmte Teile der Netzwerkkonfiguration der Servicekonsole falsch konfiguriert sind k nnen Sie ber den VI Client nicht mehr auf den ESX Server 3 Host zugreifen In diesem Fall k nnen Sie die Netzwerkeinstellungen neu konfigurieren indem Sie direkt auf die Servicekonsole zugreifen und folgenden Befehle aufrufen VMware Inc esxcfg vswif l Gibt eine Liste der bestehenden Netzwerkschnittstellen der Servicekonsole aus Pr fen Sie ob vswif vorhanden ist und die aktuelle IP Adresse und Netzmaske stimmen esxcfg vswitch l Gibt eine Liste der bestehenden Konfigurationen f r die virtuell
282. ngen auf Seite 221 m Verschl sselungs und Sicherheitszertifikate f r ESX Server 3 auf Seite 236 m Delegierte VM Benutzer f r NFS Speicher auf Seite 242 Absichern von ESX Server 3 ber Authentifizierung und Berechtigungen ESX Server verwendet die PAM Struktur Pluggable Authentication Modules zur Authentifizierung wenn Benutzer ber den VI Client VI Web Access oder die Servicekonsole auf den ESX Server 3 Host zugreifen Die PAM Konfiguration f r VMware Dienste befindet sich unter etc pam d vmware authd in der die Verzeichnispfade zu Authentifizierungsmodulen gespeichert sind Die Standardinstallation von ESX Server 3 verwendet wie Linux die etc passwd Authentifizierung Sie k nnen ESX Server 3 jedoch auch so konfigurieren dass eine andere verteilte Authentifizierungsmethode verwendet wird Wenn Sie statt der Standardimplementierung von ESX Server 3 ein Authentifizierungsprogramm eines anderen Anbieters verwenden m chten finden Sie Anleitungen dazu in der VMware Inc 221 Handbuch zur Serverkonfiguration f r ESX Server 3 222 Dokumentation des entsprechenden Anbieters Gegebenenfalls m ssen Sie w hrend der Einrichtung der Authentifizierung eines anderen Anbieters die Datei etc pam d vmware authd mit neuen Modulinformationen aktualisieren Immer wenn sich ein VI Client oder VirtualCenter Benutzer mit einem ESX Server 3 Host verbindet stellt der Prozess xinetd eine Verbindung mit dem Prozess VMw
283. ngen extern verwenden m chten kann es ggf sinnvoll sein ein Zertifikat von einer vertrauensw rdigen Zertifizierungsstelle zu erwerben oder ein eigenes Sicherheitszertifikat f r die SSL Verbindungen zu verwenden Bei Verwenden des selbst signierten Zertifikats erhalten Clients eine Warnmeldung zum Zertifikat Um dieses Problem zu beheben installieren Sie ein von einer anerkannten Zertifizierungsstelle signiertes Zertifikat Der Standardspeicherort f r das Zertifikat ist etc vmware ssl auf dem ESX Server 3 Host Das Zertifikat besteht aus zwei Dateien dem Zertifikat selbst rui crt und der pers nlichen Schl sseldatei rui key VMware Inc 237 Handbuch zur Serverkonfiguration f r ESX Server 3 238 Hinzuf gen von Zertifikaten und ndern der Web Proxyeinstellungen von ESX Server 3 Beachten Sie beim Hinzuf gen von Zertifikaten zu ESX Server 3 und bei der Planung von Verschl sselung und Benutzersicherheit Folgendes Vermeiden Sie das Einrichten von Zertifikaten unter Verwendung von Kennworts tzen ESX Server 3 kann Kennworts tze verschl sselte Schl ssel nicht verarbeiten Wenn Sie einen Kennwortsatz einrichten k nnen ESX Server 3 Prozesse nicht ordnungsgem starten Sie k nnen den Web Proxy so konfigurieren dass er an einer anderen Stelle als am Standardspeicherort nach Zertifikaten sucht Dies ist hilfreich wenn die Zertifikate zentral auf einem Computer gespeichert werden sollen damit mehrere Hosts di
284. ngen im Dialogfeld Bereit zum Abschlie en Ready to Complete und klicken Sie auf Fertig Finish Konfiguration der Servicekonsole 34 Die Servicekonsole und der VMkernel verwenden virtuelle Ethernet Adapter zur Anbindung an einen vSwitch und zum Zugriff auf Netzwerke ber diesen vSwitch Grundlegende Konfigurationsaufgaben f r die Servicekonsole Es gibt zwei bliche Konfigurations nderungen f r die Servicekonsole ndern von Netzwerkkarten NICs und von Einstellungen f r eine vorhandene verwendete Netzwerkkarte Eine Anderung der Servicekonsolenkonfiguration ist nicht zul ssig wenn nur eine Servicekonsolenverbindung vorhanden ist Wenn Sie eine neue Verbindung herstellen m chten m ssen Sie die Netzwerkeinstellungen so ndern dass eine weitere Netzwerkkarte verwendet wird Nach der berpr fung der Funktionsf higkeit der neuen Verbindung kann die alte Verbindung entfernt werden Im Prinzip wechseln Sie also zu einer neuen Netzwerkkarte HINWEIS In ESX Server 3 k nnen Sie maximal 16 Servicekonsolenports erstellen VMware Inc Kapitel 2 Netzwerke So konfigurieren Sie die Servicekonsole f r den Netzwerkbetrieb 1 VMware Inc Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Net
285. ngssoftware Software zur Verwaltung von Speicherressourcen Snapshot Software Replikationssoftware Diese Software verwendet f r Raw Ger tezuordnungen den Modus Physische Kompatibilit t damit sie direkt auf SCSI Ger te zugreifen kann Verschiedene Verwaltungsprodukte werden besser zentral nicht auf dem ESX Server 3 Computer ausgef hrt w hrend andere problemlos in der Servicekonsole oder in den virtuellen Maschinen funktionieren VMware zertifiziert diese Anwendungen nicht und stellt auch keine Kompatibilit tsmatrix zur Verf gung Wenn Sie wissen m chten ob eine SAN Verwaltungsanwendung in einer ESX Server 3 Umgebung unterst tzt wird wenden Sie sich an den Hersteller Einschr nkungen der Raw Ger tezuordnung Beachten Sie Folgendes wenn Sie die Raw Ger tezuordnung verwenden m chten m Nicht verf gbar f r Block und bestimmte RAID Ger te Die Raw Ger tezuordnung in der gegenw rtigen Implementierung verwendet zur Identifizierung des zugeordneten Ger ts eine SCSI Seriennummer Da Block und bestimmte direkt angeschlossene RAID Ger te Seriennummern nicht exportieren k nnen sie nicht in Raw Ger tezuordnungen verwendet werden m Nur f r Volumes mit VMFS 2 und VMFS 3 Die Raw Ger tezuordnung erfordert das Format VMFS 2 oder VMFS 3 Unter ESX Server 3 ist das Dateisystem VMFS 2 schreibgesch tzt Aktualisieren Sie es auf VMFS 3 um die in VMFS 2 gespeicherten Dateien nutzen zu k nnen m Keine Snapshots
286. nis auf dem gleichen Server Die MAC Adresse in der Konfigurationsdatei der virtuellen Maschine wird gespeichert Alle MAC Adressen die Netzwerkadaptern laufender oder angehaltener virtueller Maschinen auf einer abgeschalteten physischen Maschine zugewiesen wurden werden nicht im Abgleich mit MAC Adressen laufender oder angehaltener virtueller Maschinen gepr ft Es ist m glich aber unwahrscheinlich dass beim Hochfahren einer virtuellen Maschine eine andere MAC Adresse angefordert wird Diese Anforderung wird durch einen Konflikt mit einer virtuellen Maschine verursacht die hochgefahren wurde w hrend diese virtuelle Maschine ausgeschaltet war Festlegen von MAC Adressen Um die Begrenzung auf 256 virtuelle Netzwerkadapter pro physischem Computer zu umgehen und m gliche MAC Adressenkonflikte zwischen virtuellen Maschinen zu vermeiden k nnen Systemadministratoren MAC Adressen manuell zuweisen VMware verwendet folgenden OUI f r manuell generierte MAC Adressen 00 50 56 Der Adressbereich f r die MAC Adresse lautet 00 50 56 00 00 00 00 50 56 3F FF FF Sie k nnen die Adressen festlegen indem Sie der Konfigurationsdatei der virtuellen Maschine folgende Zeile hinzuf gen ethernet lt Nummer gt address 00 50 56 XX YY ZZ VMware Inc Kapitel 3 Erweiterte Netzwerkthemen wobei lt Nummer gt die Zahl des Ethernet Adapters angibt XX eine g ltige Hexadezimalzahl von 00 bis 3F ist und YY und ZZ g ltige Hexadezimalzahlen von 00 bis
287. nosepartition 138 7 Speicherverwaltung 141 Verwalten von Datenspeichern 142 Bearbeiten von VMFS Datenspeichern 143 Aktualisieren von Datenspeichern 143 ndern des Namens von Datenspeichern 144 Hinzuf gen von Erweiterungen zu Datenspeichern 145 Verwalten mehrerer Pfade 146 Multipathing mit lokalem Speicher und Fibre Channel SANs 147 Multipathing mit iSCSI SAN 148 Anzeigen des aktiven Multipathing Status 149 Einrichten von Multipathing Richtlinien f r LUNs 151 Deaktivieren von Pfaden 153 Die vmkfstools Befehle 154 8 Raw Ger tezuordnung 155 Wissenswertes zur Raw Ger tezuordnung 156 Vorteile von Raw Ger tezuordnungen 157 Einschr nkungen der Raw Ger tezuordnung 160 Raw Ger tezuordnungseigenschaften 161 Vergleich des virtuellen und mit dem physischen Kompatibilit tsmodus 161 VMware Inc 5 Handbuch zur Serverkonfiguration f r ESX Server 3 Dynamische Namensaufl sung 163 Raw Ger tezuordnung f r Cluster aus virtuellen Maschinen 164 Vergleich der Raw Ger tezuordnung mit anderen M glichkeiten des SCSI Ger tezugriffs 165 Verwalten zugeordneter LUNs 165 VMware Infrastructure Client 165 Das Dienstprogramm vmkfstools 169 Dateisystemfunktionen 169 Sicherheit 9 Sicherheit f r ESX Server 3 Systeme 173 Architektur und Sicherheitsfunktionen von ESX Server 3 173 Sicherheit und die Virtualisierungsebene 174 Sicherheit und virtuelle Maschinen 174 Sicherheit und die Servicekonsole 177 Sicherheit und die virtuelle Netzwer
288. nschlie end den iSCSI Initator Einrichten des iSCSI Speichers auf den ber Software Initatoren zugegriffen werden kann F hren Sie zur Vorbereitung und Einrichtung von Datenspeichern die Software Initatoren f r den Zugriff auf das iSCSI Speicherger t verwenden die folgenden Schritte aus 1 Erstellen Sie einen VMkernel Port f r die Verarbeitung des iSCSI Netzwerkbetriebs Siehe Netzwerkkonfiguration des VMkernels auf Seite 30 und Netzwerkkonfiguration f r Software iSCSI Speicher auf Seite 76 2 Konfigurieren Sie eine Servicekonsolenverbindung f r softwarebasiertes iSCSI Siehe ffnen von Firewallports f r unterst tzte Dienste und Verwaltungs Agenten auf Seite 198 3 Konfigurieren Sie den Software iSCSI Initiator Siehe Konfigurieren eines Software iSCSI Initiators auf Seite 129 4 Suchen Sie erneut nach neuen iSCSI LUNs Siehe Starten einer erneuten Pr fung auf Seite 134 5 Richten Sie den Datenspeicher ein Siehe Hinzuf gen von iSCSI Speicher auf den ber Software Initiatoren zugegriffen werden kann auf Seite 131 VMware Inc 127 Handbuch zur Serverkonfiguration f r ESX Server 3 Anzeigen der Eigenschaften von Software iSCSI Initiatoren Der Software iSCSI Adapter den das ESX Server 3 System verwendet um auf iSCSI Speicherger te zuzugreifen wird in der Liste der verf gbaren Adapter angezeigt Dessen Eigenschaften k nnen Sie mit dem VI Client anzeigen So zeigen S
289. nsole Beschr nkte Implementierung f r mehrere Kunden Bei dieser Implementierung befinden sich die ESX Server 3 Hosts im gleichen Datencenter und werden f r Anwendungen mehrerer Kunden verwendet Der Standortadministrator verwaltet die ESX Server 3 Hosts auf denen mehrere virtuelle Maschinen jeweils f r die einzelnen Kunden ausgef hrt werden Die virtuellen Maschinen der verschiedenen Kunden k nnen sich auf dem gleichen ESX Server 3 Host befinden doch es gibt weniger Beschr nkungen zur gemeinsamen Nutzung von Ressourcen Es gibt einen Standortadministrator und mehrere Kundenadministratoren die die virtuellen Maschinen ihrer jeweiligen Kunden verwalten Zu dieser Implementierung geh ren auch Systemadministratoren der Kunden die kein ESX Server 3 Konto haben doch ber die VM Konsole auf die virtuellen Maschinen zugreifen k nnen um Software zu installieren und andere Verwaltungsaufgaben in den virtuellen Maschinen durchzuf hren Au erdem kann eine Gruppe von Unternehmensbenutzern ohne Konten die virtuellen Maschinen zur Ausf hrung ihrer Anwendungen verwenden 274 VMware Inc Kapitel 13 Empfehlungen f r den Schutz von Implementierungen Tabelle 13 7 zeigt wie Sie die Komponenten gemeinsam nutzen und f r den ESX Server 3 Host konfigurieren k nnen Tabelle 13 7 Gemeinsame Komponentennutzung in einer unbeschr nkten Implementierung f r mehrere Kunden Funktion Konfiguration Anmerkungen Ser
290. nsole und der virtuellen Netzwerkebene Abbildung 9 1 bietet eine bersicht ber diese Komponenten VMware Inc 173 Handbuch zur Serverkonfiguration f r ESX Server 3 Abbildung 9 1 ESX Server 3 Architektur Virtuelle Virtuelle Virtuelle Virtuelle Maschine Maschine Maschine Maschine D Virtualisierungsebene VMkernel Virtuelle Netzwerkebene CPU Arbeitsspeicher Hardware uf Speicher Netzwerkadapter Jede dieser Komponenten und die gesamte Architektur wurden so entworfen dass die Sicherheit des ESX Server 3 Systems als Ganzes gew hrleistet wird Sicherheit und die Virtualisierungsebene Die Virtualisierungsebene bzw VMkernel ist ein Kernel der von VMware f r die Ausf hrung virtueller Maschinen entworfen wurde Diese Ebene steuert die Hardware die von den ESX Server Hosts verwendet wird und plant die Zuweisung von Hardwareressourcen an die einzelnen virtuellen Maschinen Da VMkernel ausschlie lich zur Unterst tzung virtueller Maschinen verwendet wird beschr nkt sich die Schnittstelle zu VMkernel auf die API die zur Verwaltung der virtuellen Maschinen notwendig ist Sicherheit und virtuelle Maschinen Virtuelle Maschinen sind die Container in denen Anwendungen und Gastbetriebssysteme ausgef hrt werden Alle virtuellen Maschinen von VMware sind voneinander isoliert Virtuelle Maschinen sind so konzipiert dass sie alle Benutzer innerhalb des Gastbetriebssystems ungeachtet von deren Berechtigungen enthal
291. nten delegierten Benutzer verwenden Die Identit t des delegierten Benutzers wird von ESX Server 3i f r den gesamten Datenverkehr zum und vom zugrunde liegenden Dateisystem verwendet Der delegierte Benutzer ist experimentell und wird nicht offiziell unterst tzt Der delegierte Benutzer f r den ESX Server 3 Host ist standardm ig root Nicht alle NFS Datenspeicher akzeptieren jedoch Root als delegierten Benutzer NFS Administratoren k nnen Volumes mit aktivierter Option root squash root squashing exportieren Die Funktion root squash ordnet den Root Benutzer einem Benutzer ohne wesentliche Berechtigungen auf dem NFS Server zu und beschr nkt so die Berechtigungen des Root Benutzers Diese Funktion dient meistens dazu unerlaubte Zugriffe auf Dateien auf dem NFS Volume zu verhindern Wenn das NFS Volume mit aktivierter Option root squash exportiert wurde kann es sein dass der NFS Server den Zugriff auf den ESX Server 3 Host verweigert Um sicherzustellen dass Sie virtuelle Maschinen ber Ihren Host anlegen und verwalten k nnen muss der NFS Administrator die Funktion Root Squash deaktivieren oder den physischen Netzwerkadapter des ESX Server 3 Hosts der Liste der vertrauten Server hinzuf gen Wenn der NFS Administrator keine dieser beiden Aktionen durchf hren m chte k nnen Sie den delegierten Benutzer durch die experimentellen ESX Server 3 Funktionen auf eine andere Identit t setzen Diese Identit t muss mit der Identit t des Be
292. nzahl der Tage gt die H chstanzahl von Tagen vor Ablauf des Kennwotts ist m So ndern Sie die Mindestanzahl von Tagen zwischen zwei Kennwort nderungen esxcfg auth passmindays lt Anzahl der Tage gt wobei lt Anzahl der Tage gt die Mindestanzahl von Tagen zwischen zwei Kennwort nderungen ist m So ndern Sie die Hinweiszeit vor einer Kennwort nderung esxcfg auth passwarnage lt Anzahl der Tage gt 255 Handbuch zur Serverkonfiguration f r ESX Server 3 256 wobei lt Anzahl der Tage gt die Anzahl der Tage ist die ein Benutzer vor dem Auslaufen eines Kennwortes Warnhinweise erh lt So heben Sie die Standardverwendungsdauer von Kennw rtern f r einzelne Benutzer oder Gruppen auf 1 Melden Sie sich an der Servicekonsole an und rufen Sie Root Berechtigungen ab 2 F hren Sie nach Bedarf einen oder mehrere der folgenden Befehle aus m So geben Sie einen neuen Wert f r die H chstanzahl von Tagen an chage M lt Anzahl der Tage gt lt Benutzername gt m So geben Sie einen neuen Wert f r die Mindestanzahl von Tagen an chage m lt Anzahl der Tage gt lt Benutzername gt m So geben Sie einen neuen Wert f r die Warnhinweiszeit an chage W lt Anzahl der Tage gt lt Benutzername gt Weitere Informationen zu diesen und anderen Optionen des Befehls chage erhalten Sie ber den Befehl man chage Kennwortkomplexit t Standardm ig verwendet ESX Server das Plug In pam_cracklib so zur Festlegung der Regeln d
293. ockgr se von 8 MB m Maximale Dateigr e 2 TB mit einer Blockgr e von 8 MB m Blockgr e 1 MB Standard 2 MB 4 MB und 8 MB Erstellen und Vergr ern von VMFS Datenspeichern Mit dem VI Client k nnen Sie einen VMFS Datenspeicher im Vorfeld auf allen SCSI basierten Speicherger ten einrichten die Ihr ESX Server 3 erkennt Mit ESX Server 3 k nnen Sie bis zu 256 VMFS Datenspeicher pro System bei einer Volume Mindestgr e von 1 2 GB verwenden HINWEIS Ordnen Sie jeder LUN stets nur einen VMFS Datenspeicher zu Informationen zum Erstellen von VMFS Datenspeichern auf SCSI basierten Speicherger ten finden Sie in den folgenden Abschnitten m Hinzuf gen von lokalem Speicher auf Seite 110 m Hinzuf gen von Fibre Channel Speicher auf Seite 114 m Hinzuf gen von iSCSI Speicher auf den ber Hardware Initiatoren zugegriffen werden kann auf Seite 125 Nachdem Sie den VMFS Datenspeicher erstellt haben k nnen Sie seine Eigenschaften bearbeiten Siehe Bearbeiten von VMFS Datenspeichern auf Seite 143 Wenn Ihr VMFS Datenspeicher mehr Speicherplatz ben tigt k nnen Sie durch Hinzuf gen einer Erweiterung das VMFS Volume auf bis zu 64 TB dynamisch vergr ern Eine Erweiterung ist eine LUN auf einem physischen Speicherger t die einem vorhandenen VMFS Datenspeicher dynamisch hinzugef gt werden kann Der Datenspeicher kann sich ber mehrere Erweiterungen erstrecken und wird dennoch als einzelnes Volume angeze
294. ole als auch VMkernel TCP IP Stapel auf Netzwerke zugreifen k nnen m ssen die zum Zugriff auf iSCSI Ziele verwendet werden Vor der Konfiguration von softwaregest tztem iSCSI f r den ESX Server 3 Host muss ein Firewall Port durch Aktivierung des iSCSI Software Client Dienstes ge ffnet werden Siehe ffnen von Firewallports f r unterst tzte Dienste und Verwaltungs Agenten auf Seite 198 So richten Sie den VMkernel ein 1 VMware Inc Melden Sie sich am VMware VI Client an und w hlen Sie den Server in der Bestandsliste aus Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Netzwerk Networking Klicken Sie auf Netzwerk hinzuf gen Add Networking W hlen Sie VMkernel aus und klicken Sie auf Weiter Next Durch Auswahl der Option VMotion und IP Speicher VMotion and IP Storage k nnen Sie den VMkernel der Dienste f r VMotion und IP Speicher NFS oder iSCSI ausf hrt an ein physisches Netzwerk anschlie en Die Seite Netzwerkzugriff Network Access wird angezeigt W hlen Sie den vSwitch aus den Sie verwenden m chten oder aktivieren Sie Einen virtuellen Switch erstellen Create a virtual switch um einen neuen vSwitch anzulegen 31 Handbuch zur Serverkonfiguration f r ESX Server 3 6 Aktivieren Sie die Kontrollk stchen f r die Netzwerkadapter die Ihr vSwitch verwende
295. olume Fi myVMDirectory mymapfile a l N gt Q ND E7 S vmhba0 0 3 0 vmhba0 0 1 0 Zugeordnetes Ger t vmhba0 0 2 0 VMware Inc 163 Handbuch zur Serverkonfiguration f r ESX Server 3 Alle zugeordneten LUNs werden durch VMES eindeutig bezeichnet Die Bezeichnung wird in den internen LUN Datenstrukturen gespeichert Jede nderung des SCSI Pfads z B Ausfall eines Fibre Channel Switches oder Hinzuf gung eines neuen Host Bus Adapters kann zu einer nderung des vmhba Ger tenamens f hren da zum Namen auch die Pfadangabe Ursprung Ziel LUN geh rt Die dynamische Namensaufl sung gleicht diese nderungen durch die Anpassung der Datenstrukturen aus wodurch die LUNs auf die neuen Ger tenamen umgeleitet werden Raw Ger tezuordnung f r Cluster aus virtuellen Maschinen Die Verwendung einer Raw Ger tezuordnung ist f r Cluster mit virtuellen Maschinen erforderlich die zur Sicherstellung von Failover auf die gleiche Raw LUN zugreifen m ssen Die Einrichtung ist vergleichbar mit der Einrichtung eines solchen Clusters mit Zugriff auf dieselbe virtuelle Festplattendatei Die virtuelle Festplattendatei wird dabei allerdings durch die Raw Ger tezuordnung ersetzt Abbildung 8 6 Zugriff aus virtuellen Maschinen in Clustern Adressaufl sung Zugeordnetes Zuordnungsdatei Ger t Weitere Informationen finden Sie im Handbuch zur Ressourcenverwaltung 164 VMware Inc Kapitel8
296. on Configuration und anschlie end auf Speicher Storage 3 W hlen Sie den zu l schenden Datenspeicher aus und klicken Sie auf Entfernen Remove 4 Best tigen Sie dass Sie den Datenspeicher entfernen m chten 5 F hren Sie auf allen Servern auf denen der Datenspeicher angezeigt wird eine erneute Pr fung durch Bearbeiten von VMFS Datenspeichern Datenspeicher im VMFS Format werden auf SCSI basierten Speicherger ten bereitgestellt Nach der Erstellung eines VMFS basierten Datenspeichers k nnen Sie diesen umbenennen oder erweitern VMFS 2 Datenspeicher k nnen in das VMFS 3 Format aktualisiert werden Aktualisieren von Datenspeichern ESX Server 3 umfasst VMES Version 3 VMFS 3 Wenn der Datenspeicher mit VMFS 2 formatiert wurde k nnen Sie die auf VMFS 2 gespeicherten Dateien zwar lesen aber nicht verwenden Um die Dateien verwenden zu k nnen m ssen Sie VMFS 2 auf VMFS 3 aktualisieren Wenn Sie ein Upgrade von VMFS 2 auf VMFS 3 durchf hren stellt der Mechanismus zur Dateisperrung von ESX Server 3 sicher dass w hrend der Konvertierung keine Remote ESX Server 3 bzw keine lokalen Prozesse auf das VMFS Volume zugreifen ESX Server 3 beh lt alle Dateien im Datenspeicher bei Vor der Aktualisierung werden als Vorsichtsma nahme folgende Schritte empfohlen m Akzeptieren oder verwerfen Sie alle nderungen an virtuellen Festplatten auf dem VMES 2 Volume f r das ein Upgrade durchgef hrt werden soll m Sicher
297. on f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Netzwerk Networking Klicken Sie auf auf der rechten Seite des Bildschirms auf Eigenschaften Properties f r den vSwitch der der Servicekonsole zugeordnet ist Klicken Sie auf der Registerkarte Port auf Hinzuf gen Add W hlen Sie als Verbindungstyp Virtuelle Maschinen Virtual Machines Standard Klicken Sie auf Weiter Next Geben Sie unter Eigenschaften der Portgruppe Port Group Properties eine Netzwerkbezeichnung f r die zu erstellende Portgruppe ein Mit den Netzwerkbezeichnungen k nnen Sie migrationsf hige Verbindungen f r zwei oder mehr Hosts kennzeichnen Geben Sie im Feld VLAN ID VLAN ID eine Zahl von 1 bis 4094 ein Wenn Sie sich nicht sicher sind was hier eingegeben werden muss lassen Sie das Feld frei oder wenden Sie sich an Ihren Netzwerkadministrator Klicken Sie auf Weiter Next berpr fen Sie die ordnungsgem e Konfiguration des vSwitches noch einmal und klicken Sie dann auf Fertig Finish VMware Inc Kapitel 4 Netzwerkszenarien und Probleml sung So konfigurieren Sie einen VMkernel Port mit VLAN auf einem Blade Server 1 VMware Inc Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt Klicken Sie auf die Register
298. on 10 Protokolldateien mit maximal je 100 KB Diese Werte sind klein genug sodass die Protokolldateien nicht berm ig viel Speicherplatz auf dem Host belegen sollten Dennoch werden ausreichend Daten erfasst die zum Beheben der meisten ggf auftretenden Probleme erforderlich sind Immer wenn ein Eintrag in das Protokoll geschrieben wird erfolgt eine berpr fung der Protokollgr e Ist der Grenzwert berschritten wird der n chste Eintrag in ein neues Protokoll geschrieben Wenn die maximale Anzahl an Protokolldateien erreicht ist wird eine neue erstellt und die lteste gel scht Es k nnte ein diese Grenzwerte umgehender Denial of Service Angriff versucht werden indem ein riesiger Protokolleintrag geschrieben wird Jeder Protokolleintrag ist jedoch auf 4KB begrenzt sodass eine Protokolldatei niemals mehr als 4KB gr er als der konfigurierte Grenzwert sein kann So begrenzen Sie die Anzahl und Gr e von Protokolldateien 1 Melden Sie sich am VI Client an und w hlen Sie die virtuelle Maschine in der Bestandsliste aus Die Konfiguration f r diese virtuelle Maschine wird auf der Registerkarte bersicht Summary angezeigt 2 Klicken Sie auf Einstellungen bearbeiten Edit Setting Das Dialogfeld mit den Eigenschaften der virtuellen Maschine wird ge ffnet 284 VMware Inc 3 VMware Inc Kapitel 13 Empfehlungen f r den Schutz von Implementierungen Klicken Sie auf Optionen Options gt Allgemein General
299. on f r ESX Server 3 Verwalten von Benutzern und Gruppen auf ESX Server 3 Hosts Wenn Sie direkt ber den VI Client mit einem ESX Server 3 Host verbunden sind k nnen Sie Benutzer und Gruppen erstellen bearbeiten und l schen Diese Benutzer und Gruppen werden im VI Client angezeigt wenn Sie sich am ESX Server 3 Host anmelden Bei Anmeldung an VirtualCenter stehen sie jedoch nicht zur Verf gung Anzeigen und Exportieren von Benutzer und Gruppeninformationen Benutzer und Gruppen werden ber die Registerkarte Benutzer und Gruppen Users amp Groups im VI Client verwaltet Diese Registerkarte zeigt die Tabelle Benutzer Users oder Gruppen Groups an je nachdem ob Sie auf die Schaltfl che Benutzer Users oder Gruppen Groups klicken Sie k nnen auch ber eine direkte Verbindung mit dem ESX Server 3 Host Rollen erstellen und Berechtigungen festlegen Da diese Aufgaben jedoch h ufiger in VirtualCenter durchgef hrt werden lesen Sie die Abschnitte in Grundlagen der Systemverwaltung um Informationen zum Verwalten von Berechtigungen und Rollen zu erhalten Abbildung 11 2 zeigt die Tabelle Benutzer Users Die Tabelle Gruppen Groups sieht hnlich aus Abbildung 11 2 Tabelle Benutzer localhost localdomain YMware ESX Server 3 5 0 82059 Test Restzeit 57 Tag e EEE TE STE ERS EEE TE Benutzer amp Gruppen Ansicht Benutzer Gruppen UID Benutzer Name A 8 mail mail 99 nobody Nobody 0 root root E 11 operato
300. onfiguration In diesem Kapitel werden die Ma nahmen beschrieben mit denen Sie die Umgebung f r Ihre ESX Server 3 Hosts virtuellen Maschinen und iSCSI SANs absichern k nnen Diese Abhandlung konzentriert sich auf den sicherheitsbezogenen Netzwerkkonfigurationsaufbau und die Ma nahmen mit denen Sie die Komponenten in Ihrer Konfiguration vor Angriffen sch tzen k nnen In diesem Kapitel werden folgende Themen behandelt m Absichern des Netzwerks mit Firewalls auf Seite 187 m Absichern virtueller Maschinen durch VLANs auf Seite 203 m Absichern von iSCSI Speicher auf Seite 214 Absichern des Netzwerks mit Firewalls Sicherheitsadministratoren verwenden Firewalls um das Netzwerk oder ausgew hlte Komponenten innerhalb des Netzwerks vor unerlaubten Zugriffen zu sch tzen Firewalls kontrollieren den Zugriff auf die Ger te in ihrem Umfeld indem sie alle Kommunikationspfade au er denen die der Administrator explizit oder implizit als zul ssig definiert abriegeln Dadurch wird die unerlaubte Verwendung der Ger te verhindert Diese Pfade die der Administrator in der Firewall ffnet werden Ports genannt und lassen Datenverkehr zwischen Ger ten auf den beiden Seiten der Firewall passieren VMware Inc 187 Handbuch zur Serverkonfiguration f r ESX Server 3 188 In der virtuellen Maschinenumgebung k nnen Firewalls in folgenden Varianten auftreten m Physische Maschinen z B VirtualCenter Management Server und
301. onfiguration wird keine dieser Bedingungen erf llt Wenn der Systemadministrator pr fen m chten ob es einen gemeinsamen virtuellen Switch Pfad gibt kann dies ber die berpr fung m glicher gemeinsamer Kontaktpunkte im Netzwerkswitchplan im VI Client oder ber VI Web Access geschehen Weitere Informationen zur bersicht ber die virtuellen Switches finden Sie unter Virtuelle Switches auf Seite 22 Zum Schutz der Hardwareressourcen der virtuellen Maschinen kann der Systemadministrator eine Reservierung und Einschr nkung der Ressourcen f r jede virtuelle Maschine vornehmen um das Risiko von DoS und DDoS Angriffen einzud mmen Der Systemadministrator kann den ESX Server Host und die virtuellen Maschinen au erdem durch die Installation von Softwarefirewalls im Front End und Back End der DMZ durch Positionierung des ESX Server Hosts hinter einer physischen Firewall und durch Anschluss der Servicekonsole und der an das Netzwerk angeschlossenen Speicherressourcen an jeweils einen eigenen virtuellen Switch sch tzen VMware Inc 185 Handbuch zur Serverkonfiguration f r ESX Server 3 Sonstige Quellen und Informationen zur Sicherheit In folgenden Quellen finden Sie zus tzliche Informationen zu Sicherheitsthemen Tabelle 9 1 Sicherheitsressourcen von VMware im Internet Thema Sicherheitsrichtlinien von VMware aktuelle Sicherheitswarnungen Sicherheitsdownloads und themenspezifische Abhandlungen zu Sicherheitsl cken
302. onfigurationsparameter klicken Konfigurationsparameter OK Abbrechen 5 Klicken Sie auf OK um zum Dialogfeld Eigenschaften der virtuellen Maschine Virtual Machine Properties zur ckzukehren VMware Inc 287 Handbuch zur Serverkonfiguration f r ESX Server 3 288 VMware Inc VMware Inc Anh nge 289 Handbuch zur Serverkonfiguration f r ESX Server 3 290 VMware Inc Befehle f r den technischen Support von ESX Server 3 In diesem Anhang werden die Servicekonsolenbefehle vorgestellt mit denen der ESX Server 3 konfiguriert wird Die meisten dieser Befehle sind nur f r die Verwendung durch den technischen Support vorgesehen und hier nur zu rein informativen Zwecken aufgef hrt In einigen wenigen F llen sind diese Befehle jedoch das einzige Mittel zur Ausf hrung einer bestimmten Konfigurationsaufgabe f r den ESX Server 3 Host Wenn etwa die Verbindung zum Host unterbrochen wird kann die Ausf hrung gewisser Befehle ber die Befehlszeilenoberfl che Ihr einziger Ausweg sein beispielsweise wenn das Netzwerk ausf llt und ein Zugriff ber den VI Client deshalb nicht m glich ist HINWEIS Wenn Sie die Befehle in diesem Anhang verwenden m ssen Sie den Befehl service mgmt vmware restart ausf hren um den Prozess vmware hostd neu zu starten und den VI Client und andere Management Programme auf die nderungen der Konfiguration aufmerksam zu machen Im Allgemeinen sollten Sie die Ausf hrung der B
303. ost aus und klicken Sie auf die Registerkarte Konfiguration Configuration W hlen Sie unter Hardware die Option Speicheradapter Storage Adapters und klicken Sie ber dem Bereich Speicheradapter Storage Adapters auf Erneut pr fen Rescan HINWEIS Sie k nnen auch mit der rechten Maustaste auf einzelne Adapter klicken und auf Erneut pr fen Rescan klicken wenn Sie nur diesen Adapter erneut pr fen m chten Wenn neue Festplatten oder LUNs erkannt werden sollen aktivieren Sie Auf neue Speicherger te pr fen Scan for New Storage Devices Wenn neue LUNs erkannt werden werden diese in der Liste Festplatten LUN disk LUN angezeigt Um neue Datenspeicher zu erkennen oder einen Dateispeicher nach einer Konfigurations nderung zu aktualisieren w hlen Sie Auf neue VMFS Volumes pr fen Scan for New VMFS Volumes aus Wenn neue Datenspeicher oder VMFS Volumes erkannt werden werden diese in der Datenspeicherliste angezeigt VMware Inc Kapitel 6 Speicherkonfiguration Network Attached Storage NAS In diesem Abschnitt wird Network Attached Storage NAS behandelt ESX Server 3 unterst tzt NAS ber das NFS Protokoll Verwendung von NFS durch virtuelle Maschinen Das von ESX Server 3 unterst tzte NFS Protokoll erm glicht die Kommunikation zwischen einem NFS Client und einem NFS Server Der Client sendet Informationsanfragen an den Server der das Ergebnis zur cksgibt ber den in ESX Server 3 integrierten NFS C
304. peicher 14 Sicherheit 15 Anh nge 16 Netzwerk 2 Netzwerke 19 bersicht ber Netzwerkkonzepte 20 Virtuelle Switches 22 Portgruppen 24 Aktivieren von Netzwerkdiensten 24 Anzeigen der Netzwerkinformationen im VI Client 25 Konfiguration virtueller Netzwerke f r virtuelle Maschinen 27 Netzwerkkonfiguration des VMkernels 30 TCP IP Stapel auf VMkernel Ebene 30 Aspekte und Richtlinien f r die Konfiguration 31 Konfiguration der Servicekonsole 34 Grundlegende Konfigurationsaufgaben f r die Servicekonsole 34 Verwenden von DHCP f r die Servicekonsole 39 3 Erweiterte Netzwerkthemen 41 Eigenschaften und Richtlinien f r virtuelle Switches 42 Eigenschaften virtueller Switches 42 Richtlinien f r virtuelle Switches 51 Konfigurieren der Portgruppe 60 DNS und Routing 64 TCP Segmentierungs Offload und Jumbo Frames 65 VMware Inc Handbuch zur Serverkonfiguration f r ESX Server 3 Aktivieren von TSO 65 Aktivieren von Jumbo Frames 67 NetQueue und Netzwerkleistung 68 Einrichten von MAC Adressen 69 Generierung von MAC Adressen 69 Festlegen von MAC Adressen 70 Verwenden von MAC Adressen 71 Optimale Vorgehensweisen und Tipps f r Netzwerke 71 Optimale Vorgehensweisen f r Netzwerke 72 Netzwerktipps 73 4 Netzwerkszenarien und Probleml sung 75 Netzwerkkonfiguration f r Software iSCSI Speicher 76 Konfigurieren des Netzwerks auf Blade Servern 81 Fehlerbehebung 85 Fehlerbehebung bei der Vernetzung der Servicekonsole 85 Fehlerbehebung bei
305. ppen Portgruppen vereinen mehrere Ports unter einer gemeinsamen Konfiguration und bieten so einen stabilen Ankerpunkt f r virtuelle Maschinen die an benannte Netzwerke angeschlossen sind Jede Portgruppe wird durch eine Netzwerkbezeichnung gekennzeichnet die f r den aktuellen Host eindeutig ist HINWEIS Sie k nnen auf einem einzelnen Host maximal 512 Portgruppen anlegen Eine VLAN ID die den Datenverkehr der Portgruppe auf ein logisches Ethernet Segment im physischen Netzwerk einschr nkt kann optional zugewiesen werden HINWEIS Damit eine Portgruppe Portgruppen erreichen kann die sich in anderen VLANs befinden stellen Sie die VLAN ID auf 4095 ein Aktivieren von Netzwerkdiensten Bei ESX Server 3 m ssen zwei Arten von Netzwerkdiensten aktiviert werden m Virtuelle Maschinen mit dem physischen Netzwerk verbinden m Mkernel Dienste zum Beispiel NFS iSCSI oder VMotion mit dem physischen Netzwerk verbinden 24 VMware Inc Kapitel 2 Netzwerke Die Vernetzung der Servicekonsole auf der die Verwaltungsdienste f r ESX Server 3 ausgef hrt werden wird automatisch w hrend der Installation eingerichtet Ein Servicekonsolenport ist f r ESX Server 3 erforderlich damit eine Verbindung mit Netzwerk oder Remotediensten einschlie lich VI Client eingerichtet werden kann F r bestimmte Dienste z B iSCSI Speicher sind ggf weitere Servicekonsolenports erforderlich Informationen zum Konfigurieren von Servicekonsolenports finden S
306. pport phone_support html Support Angebote VMware stellt ein umfangreiches Support Angebot bereit um Ihre gesch ftlichen Anforderungen zu erf llen Weitere Informationen finden Sie unter http www vmware com support services VMware Education Services Die VMware Kurse umfassen umfangreiche praktische bungen Fallbeispiele und Kursmaterialien die zur Verwendung als Referenztools bei der praktischen Arbeit vorgesehen sind Weitere Informationen zu den VMware Education Services finden Sie unter http mylearnl vmware com mgrreg index cfm VMware Inc 11 Handbuch zur Serverkonfiguration f r ESX Server 3 12 VMware Inc Einf hrung Im Handbuch zur Serverkonfiguration f r ESX Server 3 werden die Aufgaben beschrieben die Sie zur Konfiguration des ESX Server 3 Hostnetzwerks des Speichers und der Sicherheitsfunktionen durchf hren m ssen Au erdem enth lt es bersichten Empfehlungen und Grundlagenerl uterungen die Ihnen beim Verst ndnis dieser Aufgaben und bei der Implementierung eines ESX Server 3 Hosts helfen der Ihren Anforderungen entspricht Bevor Sie das Handbuch zur Serverkonfiguration f r ESX Server 3 durchlesen machen Sie sich mit der Einf hrung in die virtuelle Infrastruktur vertraut in der Sie eine bersicht ber die Systemarchitektur sowie die physischen und virtuellen Ger te erhalten aus denen sich ein VMware Infrastructure System zusammensetzt Diese Einf hrung bietet eine bersicht ber den Inha
307. r t und die Ziel ID Um die Konfigurationseigenschaften eines bestimmten Adapters anzuzeigen markieren Sie den Adapter in der Liste Speicheradapter Storage Adapters VMware Inc Kapitel 5 Einf hrung in die Speicherung In Abbildung 5 4 ist der iSCSI Hardware Adapter vmhba0 markiert Der Bereich Details gibt Auskunft ber die Anzahl der LUNs an die der Adapter angebunden ist und ber die verwendeten Pfade Um die Konfiguration des Pfades zu ndern markieren Sie den Pfad in der Liste klicken mit der rechten Maustaste auf den Pfad und klicken auf Pfade verwalten Manage Paths Das Dialogfeld Pfade verwalten Manage Paths wird ge ffnet Siehe Verwalten mehrerer Pfade auf Seite 146 Abbildung 5 4 Informationen zu Speicheradaptern Farzaazrne en Ere a A E ER DE a a ee Y E ae We N Erste Schritte bersicht Virtuelle Maschinen Ressourcenzuteilung Leistung Konfiguration Aufgaben amp Ereignisse Alame Berechtigungen Zuordnungen Hardware Speicheradapter Erneut pr fen SAN Bezeichner Prozessoren Arbeitsspeicher ul REN vmhbad SCSI blockieren eicher pe iSCSI Software Adapter Netzwerk vmhba32 SCSI ign 1998 01 com vmware Speicheradapter Netzwerkadapter Software Details Lizenzierte Funktionen Uhrzeitkonfiguration vmhba0 Model L511068 DNS und Routing Ziele i YM starten herunterfahren Speicherort der YM Auslagerungsdatei SCSI Ziel 0 LUNs ausblende
308. r Ablage templates in eine virtuelle Festplattendatei mit der Bezeichnung myOS vmdk auf dem Dateisystem mit der Bezeichnung myVMFS Sie k nnen die virtuelle Maschine so konfigurieren dass diese virtuelle Festplatte verwendet wird indem Sie die folgenden Zeilen zur Konfigurationsdatei der virtuellen Maschine hinzuf gen scsi0 0 present TRUE scsi0 0 fileName vmfs voLlumes myVMFS myOS vmdk Migrieren von mit VMware Workstation und VMware GSX Server erstellten virtuellen Maschinen Sie k nnen den VI Client nicht dazu verwenden virtuelle Maschinen die mit VMware Workstation oder VMware GSX Server angelegt wurden in Ihr ESX Server 3 System zu migrieren Sie k nnen jedoch den Befehl vmkfstools i dazu verwenden die virtuelle Festplatte in Ihr ESX Server 3 System zu migrieren und diese Festplatte dann einer neuen virtuellen Maschine hinzuf gen die Sie in ESX Server 3 anlegen Sie m ssen die virtuelle Festplatte importieren da Sie keine Festplatten einschalten k nnen die im Format 2gbsparse auf einen ESX Server Host exportiert wurden 308 VMware Inc Anhang B Verwenden von vmkfstools So migrieren Sie mit VMware Workstation und GSX Server erstellte virtuelle Maschinen 1 Importieren Sie eine Workstation oder GSX Server Festplatte in Ihr Verzeichnis vmfs volumes myVMFS oder ein beliebiges Unterverzeichnis 2 Legen Sie im VI Client eine neue virtuelle Maschine an indem Sie die Konfigurationsoption Benutzerdefiniert C
309. r operator 7 7 halt halt 13 gopher gopher 500 vpxuser YMware Yirtuallenter administration account J 12 vimuser vimuser 29 rpcuser RPC Service User 5 sync sync 32 rpc Portmapper RPC user 69 vcsa virtual console memory owner 37 rpm lt Sie k nnen die Listen nach Spalten sortieren Spalten ein oder ausblenden und die Listen in Formate exportieren die Sie zur Erstellung von Berichten oder zur Ver ffentlichung von Benutzer oder Gruppenverzeichnissen im Internet verwenden k nnen 230 VMware Inc Kapitel 11 Authentifizierung und Benutzerverwaltung So werden ESX Server 3 Benutzer oder Gruppen angezeigt und sortiert 1 2 3 Melden Sie sich ber den ESX Server 3 Host am VI Client an W hlen Sie den Server in der Bestandsliste aus Klicken Sie auf die Registerkarte Benutzer und Gruppen Users amp Groups und dann auf Benutzer Users oder Gruppen Groups F hren Sie je nach Bedarf folgende Schritte aus m Wenn Sie die Tabelle nach einer Spalte sortieren m chten klicken Sie auf die entsprechende Spalten berschrift m Wenn Sie eine Spalte ein oder ausblenden m chten klicken Sie mit der rechten Maustaste auf eine der Spalten berschriften und aktivieren oder deaktivieren Sie den Namen der Spalte die Sie ein oder ausblenden m chten So exportieren Sie Daten aus der ESX Server 3 Tabelle Benutzer oder Gruppen 1 2 3 Melden Sie sich ber den ESX Server 3 Host am VI Client an W hlen Sie d
310. rator best tigen dass die gew hlten Netzwerke oder VLANs vom Rest der Umgebung isoliert sind d h dass keine Router daran angeschlossen sind Sie k nnen Netzwerkkarten zum vSwitch hinzuf gen oder davon entfernen ohne dass die virtuellen Maschinen oder die Netzwerkdienste hinter diesem vSwitch beeinflusst werden Wenn Sie die gesamte ausgef hrte Hardware entfernen k nnen die virtuellen Maschinen weiter untereinander kommunizieren Wenn Sie eine Netzwerkkarte intakt lassen k nnen alle virtuellen Maschinen weiterhin auf das physische Netzwerk zugreifen Um virtuelle Maschinen in Gruppen einzuteilen verwenden Sie in der Gruppierungsrichtlinie Portgruppen mit unterschiedlichen S tzen aktiver Adapter Diese Gruppen k nnen unterschiedliche Adapter verwenden wenn alle Adapter funktionsf hig sind Im Fall eines Netzwerk oder Hardwareaustalls teilen sie sich die Adapter jedoch wieder Um die empfindlichsten virtuellen Maschinen zu sch tzen installieren Sie Firewalls auf virtuellen Maschinen die den Datenverkehr zwischen virtuellen Netzwerken mit Uplinks zu physischen Netzwerken und reinen virtuellen Netzwerken ohne Uplinks weiterleiten 73 Handbuch zur Serverkonfiguration f r ESX Server 3 74 VMware Inc Netzwerkszenarien und Probleml sung Dieses Kapitel beschreibt die allgemeine Netzwerkkonfiguration und Probleml sungsszenarien In diesem Kapitel werden folgende Themen behandelt m Netzwerkkonfiguration f r So
311. rd angezeigt Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf DNS und Routing DNS and Routing Das Dialogfeld DNS und Routing DNS and Routing wird angezeigt 37 Handbuch zur Serverkonfiguration f r ESX Server 3 38 Klicken Sie auf Eigenschaften Properties Auf der Registerkarte DNS Konfiguration DNS Configuration ist im Namensfeld standardm ig der Hostname eingetragen Auch die DNS Server Adressen und die Dom ne die w hrend der Installation angegeben wurden werden automatisch eingetragen Auf der Registerkarte Routing sind die Servicekonsole und der VMkernel oft nicht an das gleiche Netzwerk angeschlossen und ben tigen daher jeweils eigene Gateway Daten Ein Gateway wird zur Verbindung mit Computern ben tigt die sich nicht im selben IP Subnetz wie die Servicekonsole oder der VMkernel befinden HINWEIS Alle NAS und iSCSI Server m ssen entweder ber das Standard Gateway oder ber dieselbe Broadcast Dom ne wie die zugeordneten vSwitches zu erreichen sein Bei der Servicekonsole ist ein Gateway nur notwendig wenn mindestens zwei Netzwerkadapter dasselbe Subnetz verwenden Das Gateway bestimmt welcher Netzwerkadapter f r die Standardroute verwendet wird Klicken Sie auf die Registerkarte Routing Stellen Sie das Standard Gateway des VMkernels ein VORSICHT Es besteht das Risiko der Fehlkonfiguration wodurch die Benutzeroberfl che die Anbindung an den Host verlieren
312. ren es sei denn die VMware Infrastructure Dokumentation oder der technische Support von VMware geben Ihnen andere Anweisungen 298 VMware Inc Verwenden von vmkfstools Sie verwenden das Dienstprogramm vmkfstools um virtuelle Festplatten Dateisysteme logische Volumes und physische Speicherger te auf dem VMware ESX Server Host anzulegen und einzurichten Mithilfe von vmkfstools k nnen Sie das VMFS Virtual Machine File System Dateisystem der virtuellen Maschine auf einer physischen Partition einer Festplatte anlegen und verwalten Sie k nnen dieses Programm auch dazu verwenden Dateien wie virtuelle Festplatten zu bearbeiten die auf VMFS 2 VMFS 3 und NFS gespeichert sind Sie k nnen die meisten vmkfstools Aufgaben auch ber den VI Client ausf hren Weitere Informationen zur Verwendung des VI Clients zur Speicherverwaltung finden Sie unter Speicherkonfiguration auf Seite 109 Dieser Anhang behandelt die folgenden Abschnitte m vmkfstools Befehlssyntax auf Seite 300 m vmkfstools Optionen auf Seite 301 VMware Inc 299 Handbuch zur Serverkonfiguration f r ESX Server 3 vmkfstools Befehlssyntax Im Allgemeinen m ssen Sie sich nicht als Root Benutzer anmelden um die vmkfstools Befehle auszuf hren Einige Befehle z B Dateisystembefehle erfordern jedoch eine Root Anmeldung Verwenden Sie mit dem vmkfstools Befehl die folgenden Argumente 300 Bei lt options gt handelt es sich um eine
313. riffen werden kann f hrt Sie der Assistent zum Hinzuf gen von Speicher durch die Konfiguration VMware Inc 131 Handbuch zur Serverkonfiguration f r ESX Server 3 So erstellen Sie einen Datenspeicher auf einem iSCSI Ger t auf das ber Software Initiatoren zugegriffen wird 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end unter Hardware auf Speicher Storage Klicken Sie auf Speicher hinzuf gen Add Storage Markieren Sie den Speichertyp Festplatte LUN Disk LUN und klicken Sie auf Weiter Next W hlen Sie das iSCSI Ger t aus das Sie f r den Datenspeicher verwenden m chten und klicken Sie auf Weiter Next Die Seite Aktuelles Festplattenlayout Current Disk Layout wird angezeigt Wenn die zu formatierende Festplatte leer ist zeigt die Seite Aktuelles Festplattenlayout Current Disk Layout automatisch den gesamten Speicherplatz der Festplatte der f r die Konfiguration zur Verf gung steht Wenn die Festplatte nicht leer ist berpr fen Sie im oberen Bereich auf der Seite Aktuelles Festplattenlayout Current Disk Layout das aktuelle Festplattenlayout und w hlen Sie im unteren Bereich eine Konfigurationsoption aus m Gesamtes Ger t verwenden Use the entire device W hlen Sie diese Option um die gesamte Festplatte oder LUN einem einzelnen VMEFS Datenspeicher zur Verf gung zu
314. rk Management Protocol SNMP Server 161 162 UDP NA Nicht gruppiert aam 2050 2250 8042 80 2050 2250 8042 80 TCP UDP N A Active Director Kerberos 464 88 TCP NjA CAARC Server 6051 TCP NjA CIM Server 5955 TCP NjA CIM SLP 427 UDP TCP NjA v OK Abbrechen Hilfe 4 W hlen Sie den Dienst aus der konfiguriert werden soll und klicken Sie auf Optionen Options Die Option Startrichtlinie Startup Policy legt fest wann der Dienst gestartet wird In diesem Dialogfeld finden Sie auch Informationen zum aktuellen Status des Dienstes und Optionen zum manuellen Starten Beenden und Neustarten des Dienstes 5 W hlen Sie unter Startrichtlinie Startup Policy eine Option aus 6 Klicken Sie auf OK Absichern virtueller Maschinen durch VLANs Das Netzwerk geh rt zu den gef hrdetsten Teilen eines jeden Systems Ein virtuelles Netzwerk ben tigt daher ebenso wie ein physisches Netzwerk Schutz Wenn das Netzwerk virtueller Maschinen an ein physisches Netzwerk angeschlossen ist kann es ebenso Sicherheitsl cken aufweisen wie ein Netzwerk das aus physischen Computern besteht Selbst wenn das virtuelle Netzwerk nicht an ein physisches Netzwerk angeschlossen ist kann ein Angriff auf virtuelle Maschinen innerhalb des Netzwerks von anderen virtuellen Maschinen des Netzwerks aus erfolgen Die Anforderungen an die Absicherung virtueller Maschinen sind oft die gleichen wie f r physische Maschinen VMware Inc 203 Handbuch zur Serverkonfiguration
315. rmationen zu Datenspeichern finden Sie unter Datenspeicher auf Seite 9 Es gibt zwei M glichkeiten dem VI Client Datenspeicher hinzuf gen m Erkennung sobald ein Host der Bestandsliste hinzugef gt wird Wenn Sie der Bestandsliste einen Host hinzuf gen zeigt der VI Client alle Datenspeicher an die der Host erkennen kann m Erstellung auf einem verf gbaren Speicherger t ber den Befehl Speicher hinzuf gen Add Storage k nnen Sie einen neuen Datenspeicher erstellen und konfigurieren Nachdem Sie die Datenspeicher erstellt haben k nnen Sie die Dateien virtueller Maschinen darin speichern Gegebenenfalls k nnen Sie die Datenspeicher auch ndern So k nnen Sie zum Beispiel Erweiterungen f r den Datenspeicher hinzuf gen oder Datenspeicher umbenennen oder l schen Nicht mehr verwendete Datenspeicher k nnen entfernt werden W VORSICHT Durch das Entfernen eines Datenspeichers vom ESX Server 3 System wird die Verbindung zwischen dem System und dem Speicherger t mit dem Datenspeicher unterbrochen und alle Funktionen dieses Speicherger ts werden beendet Sie k nnen Datenspeicher nicht entfernen wenn sich darin virtuelle Festplatten einer aktuell ausgef hrten virtuellen Maschine befinden 142 VMware Inc Kapitel 7 Speicherverwaltung So entfernen Sie einen Datenspeicher 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server 2 Klicken Sie auf die Registerkarte Konfigurati
316. rnen Eigenschaften Portgruppe der virtuellen Maschine Physische Adapter bA YM Network EB vmnic0 100 vol p El 4 virtuelle Maschinen YLAN IC winsP x32 DE winzk3 Server EE x64 DE YM Marketing 1 YM QA 2 Serwicekonsolenport in Service Console vsalfl 172 16 19 160 O BEBE 9 virtueller Switch wSwikchi Entfernen Eigenschaften Mkemel Port Physische Adapter b iscsi eEB vmnici 1000 voll p 172 16 19 54 Serwicekonsolenport Servicekonsole vau ifl 172 15 19 77 4 Klicken Sie auf Eigenschaften Properties f r diesen vSwitch 5 Klicken Sie auf die Registerkarte Ports 6 Markieren Sie den vSwitch in der Liste Konfiguration Configuration und klicken Sie auf Bearbeiten Edit 7 Klicken Sie auf die Registerkarte Allgemein General um die Anzahl der Ports festzulegen 8 W hlen Sie die Anzahl der Ports die Sie verwenden m chten in der Dropdown Liste aus 9 Klicken Sie auf OK VMware Inc 43 Handbuch zur Serverkonfiguration f r ESX Server 3 44 So konfigurieren Sie die Geschwindigkeit des Uplink Netzwerkadapters 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Netzwerk Networking W hlen Sie einen vSwitch und klicken Sie auf Eigenschafte
317. rt angezeigt als zuvor Um dieses Problem zu vermeiden setzen Sie Ihren physischen Switch auf den Portfast oder Portfast Irunk Modus Fehlerbehebung bei der Portgruppenkonfiguration Das Umbenennen einer Portgruppe bei bereits mit dieser Portgruppe verbundenen virtuellen Maschinen kann zu einer ung ltigen Netzwerkkonfiguration virtueller Maschinen f hren die f r eine Verbindung mit dieser Portgruppe konfiguriert sind Die Verbindung virtueller Netzwerkadapter mit den Portgruppen erfolgt anhand des Namens und der Name wird in der Konfiguration der virtuellen Maschine gespeichert Das ndern des Namens einer Portgruppe f hrt nicht zu einer Massenneukonfiguration aller virtuellen Maschinen die mit dieser Portgruppe verbunden sind Virtuelle Maschinen die bereits eingeschaltet sind werden weiterhin funktionieren bis sie ausgeschaltet werden da ihre Verbindungen zum Netzwerk bereits hergestellt sind Vermeiden Sie das Umbenennen bereits verwendeter Netzwerke Nach dem Umbenennen einer Portgruppe m ssen Sie jede zugeordnete virtuelle Maschine ber die Servicekonsole neu konfigurieren um den neuen Portgruppennamen entsprechend zu ber cksichtigen VMware Inc 87 Handbuch zur Serverkonfiguration f r ESX Server 3 88 VMware Inc VMware Inc Speicher Handbuch zur Serverkonfiguration f r ESX Server 3 90 VMware Inc Einf hrung in die Speicherung Der Abschnitt zur Speicherung enth lt eine bersicht der v
318. rten Kennwort entspricht VirtualCenter verwendet ein hnliches Verfahren um Benutzern Zugriff zu gew hren VirtualCenter und ESX Server geben mithilfe von den Benutzern zugewiesenen Berechtigungen an worauf die Benutzer zugreifen d rfen Sokann zum Beispiel ein Benutzer die Berechtigung haben virtuelle Maschinen auf einem Host zu erstellen w hrend ein anderer Benutzer zwar die Berechtigung hat virtuelle Maschinen hochzufahren nicht jedoch sie zu erstellen Anhand der Kombination aus Benutzername Kennwort und Berechtigungen authentifizieren VirtualCenter und ESX Server 3 Hosts einen Benutzer f r den Zugriff und autorisieren den Benutzer zum Durchf hren von Aktivit ten Dazu unterhalten VirtualCenter und der ESX Server Hosts Listen autorisierter Benutzer mit ihren Kennw rtern und den ihnen zugewiesenen Berechtigungen VirtualCenter und ESX Server Hosts verweigern den Zugriff unter folgenden Umst nden m Ein Benutzer der nicht in der Benutzerliste aufgef hrt wird versucht sich anzumelden m Ein Benutzer gibt ein falsches Kennwort ein m Ein Benutzer ist zwar im Verzeichnis aufgef hrt hat aber keine Berechtigungen m Ein Benutzer der sich erfolgreich angemeldet hat versucht Vorg nge auszuf hren f r die er keine Berechtigung besitzt Zur Verwaltung von ESX Server Hosts und VirtualCenter geh rt auch die Entwicklung von Benutzer und Berechtigungsmodellen d h Grundpl nen zur Behandlung bestimmter Benutzerarten und zur
319. rtuelle Festplattendateien aufgrund ihrer Verwaltungsfreundlichkeit Raw Ger tezuordnungen vorzuziehen Wenn Sie jedoch Raw Ger te ben tigen m ssen Sie die Raw Ger tezuordnung verwenden In der folgenden Liste sind die Vorteile der Raw Ger tezuordnung zusammengefasst m Benutzerfreundliche dauerhafte Namen Die Raw Ger tezuordnung erm glicht benutzerfreundliche Namen f r zugeordnete Ger te Wenn Sie eine Raw Ger tezuordnung verwenden m ssen Sie nicht auf das Ger t ber den Ger tenamen verweisen Sie verwenden stattdessen den Namen der Zuordnungsdatei zum Beispiel vmfs volumes myVolume myVMDirectory myRawDisk vmdk VMware Inc 157 Handbuch zur Serverkonfiguration f r ESX Server 3 m Dynamische Namensaufl sung Die Raw Ger tezuordnung speichert eindeutige Identifikationsdaten f r jedes zugeordnete Ger t Das VMFS Dateisystem ordnet jede Raw Ger tezuordnung unabh ngig von nderungen der physischen Konfiguration des Servers aufgrund von nderungen an der Adapterhardware Verzeichniswechseln Ger teverschiebungen usw Ihrem aktuellen SCSI Ger t zu m Verteilte Dateisperrung Die Raw Ger tezuordnung erm glicht die Verwendung einer verteilten VMFS Sperrung f r Raw SCSI Ger te Die verteilte Sperrung f r eine Raw Ger tezuordnung erm glicht die Verwendung einer freigegebenen Raw LUN ohne Datenverlustrisiko wenn zwei virtuelle Maschinen auf verschiedenen Servern versuchen auf die gleiche LUN zuzugreifen m Da
320. rtueller Switches sowie das Konfigurieren von Benutzerauthentifizierungen und berechtigungen Der Abschnitt zur Sicherheit enth lt die folgenden Kapitel VMware Inc Sicherheit f r ESX Server 3 Systeme Stellt die ESX Server 3 Funktionen mit denen Sie die Umgebung f r Ihre Daten sichern k nnen und eine sicherheitsbezogene bersicht ber den Systemaufbau vor Absichern einer ESX Server 3 Konfiguration Erl utert die Konfiguration von Firewallports f r ESX Server 3 Hosts und VMware VirtualCenter die Verwendung von virtuellen Switches und VLANs zur Sicherstellung der Netzwerkisolierung f r virtuelle Maschinen und die Absicherung von iSCSI Speicher Authentifizierung und Benutzerverwaltung Erl utert die Einrichtung von Benutzern Gruppen Zugriffsrechten und Rollen zur Steuerung des Zugriffs auf ESX Server 3 Hosts und VirtualCenter Au erdem werden die Verschl sselung und das Delegieren von Benutzern beschrieben Sicherheit der Servicekonsole Behandelt die Sicherheitsfunktionen der Servicekonsole und die Konfiguration dieser Funktionen Empfehlungen f r den Schutz von Implementierungen F hrt einige Beispielimplementierungen auf um zu verdeutlichen welche Probleme bei der Implementierung von ESX Server 3 beachtet werden m ssen Dar ber hinaus werden Ma snahmen beschrieben mit denen Sie virtuelle Maschinen noch weiter absichern k nnen Handbuch zur Serverkonfiguration f r ESX Server 3 Anh nge Das Handbuch
321. rung bis zum Abschluss fortgesetzt und der Agent die Verbindung freigibt Verwenden Sie die folgenden Verfahren nur wenn Sie Ports f r Dienste oder Agenten freigeben oder blockieren die nicht ber den VI Client konfiguriert werden k nnen Informationen zur Konfiguration zus tzlicher Ports in VirtualCenter finden Sie unter ffnen von Firewallports f r unterst tzte Dienste und Verwaltungs Agenten auf Seite 198 VORSICHT VMware Support unterst tzt das ffnen und Blockieren der Firewallports nur ber den VI Client oder den Befehl esxcfg firewall siehe unten Eine Verwendung anderer Methoden oder Skripts zum ffnen oder Blockieren der Firewallports kann zu einem unerwarteten Verhalten f hren So ffnen Sie einen bestimmten Port in der Firewall der Servicekonsole 1 Melden Sie sich an der Servicekonsole an und rufen Sie Root Berechtigungen ab 2 F hren Sie den folgenden Befehl aus esxcfg firewall openPort lt Portnummer gt tcp udp in out lt Portname gt wobei m Portnumnmer die vom Hersteller angegebene Portnummer ist VMware Inc Kapitel 12 Sicherheit der Servicekonsole mM tcp udp das Protokoll ist Geben Sie tcp f r TCP Datenverkehr oder udp f r UDP Datenverkehr an m injout ist die Richtung des Datenverkehrs Geben Sie in an um einen Port f r eingehenden Datenverkehr freizugeben oder out um den Port f r ausgehenden Datenverkehr zu ffnen m Portname ist ein beschreibender Name Der Name muss nicht
322. ruppe Windows Administratoren Windows Administrators auf dem VirtualCenter Server geh ren die gleichen Zugriffsrechte wie Benutzern mit der Rolle Administrator zugewiesen Benutzer die Mitglieder der Gruppe Administratoren Administrators sind k nnen sich anmelden und verf gen dann ber Vollzugriff VMware Inc 227 Handbuch zur Serverkonfiguration f r ESX Server 3 228 Aus Sicherheitsgr nden sollten Sie die Gruppe Windows Administratoren Windows Administrators aus der Rolle Administrator entfernen Sie k nnen Berechtigungen nach der Installation so ndern dass die Gruppe Windows Administratoren Windows Administrators nicht ber Administratorrechte verf gt Sie k nnen auch im VI Client die Berechtigungen der Gruppe Windows Administratoren Windows Administrators l schen Wenn Sie dies tun m ssen Sie auf der Root Ebene zun chst eine andere Berechtigung einrichten bei der ein anderer Benutzer der Rolle Administrator zugewiesen ist Das Verfahren zur Konfiguration von Berechtigungen direkt auf einem ESX Server 3i Host entspricht dem Verfahren zur Konfiguration von Berechtigungen in VirtualCenter Auch die Liste der Berechtigungen ist f r ESX Server 3i und in VirtualCenter gleich Weitere Informationen zur Konfiguration von Berechtigungen und zu den Rechten die zugewiesen werden k nnen finden Sie in Grundlagen der Systemverwaltung Grundlegendes zu Rollen VirtualCenter und ESX Server gew hren nur Benutzern Z
323. rver 3 So konfigurieren Sie eine Verbindung der Servicekonsole zum Software iSCSI Speicher 1 80 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Netzwerk Networking Klicken Sie auf der rechten Seite des Bildschirms auf Eigenschaften Properties f r den vSwitch der dem VMkernel Port zugeordnet ist den Sie gerade angelegt haben Klicken Sie auf der Registerkarte Port auf Hinzuf gen Add W hlen Sie als Verbindungstyp Servicekonsole Service Console und klicken Sie auf Weiter Next Geben Sie unter Eigenschaften der Portgruppe Port Group Properties eine Netzwerkbezeichnung f r die zu erstellende Portgruppe ein 2 Assistent zum Hinzuf gen von Netzwerken YMkernel Yerbindungseinstellungen Kennzeichnen Sie WMkernel Verbindungen mit Netzwerkbezeichnungen w hrend Sie die Hosts und Datencenter verwalten Yerbindungsty Portgruppeneigenschaften Netzwerkzugriff Yerbindungseinstellungen Netzwerkbezeichnung YMkernel 2 bersicht VLAN ID optional v Diese Portgruppe f r YMotion verwenden IP Einstellungen IP Adresse 000 000 000 000 Subnetzmaske 000 000 000 000 Standard Gateway f r VMkernel Bearbeiten Vorschau YMkemel Port Physische Adapter yMkernel 2 E
324. rver 3 Host verwendet stets den vorgegebenen bevorzugten Pfad zum Speicherger t als aktiven Pfad Wenn der ESX Server 3 Host nicht ber diesen Pfad auf den Speicher zugreifen kann wird ein anderer Pfad probiert der anschliefsend zum aktiven Pfad wird Sobald der bevorzugte Pfad wird verf gbar ist kehrt der Host zu diesem zur ck VMware empfiehlt die Richtlinie Feststehend Fixed f r Speicherarrays vom Typ Aktiv Aktiv bei denen alle Speicherprozessoren die Speicherdatenverkehr verarbeiten und alle Pfad stets aktiv sein k nnen es sei denn ein Pfad f llt aus Die meisten iSCSI Speichersysteme sind vom Typ Aktiv Aktiv active active VMware Inc Kapitel 7 Speicherverwaltung HINWEIS VMware empfiehlt nicht den manuellen Wechsel von Zuletzt verwendet Most Recently Used zu Feststehend Fixed Das System stellt diese Richtlinie automatisch f r die Arrays ein f r die diese Einstellung erforderlich ist m Round Robin Der ESX Server 3 Host verwendet eine automatisch Rotation bei der Pfadauswahl unter Ber cksichtigung aller verf gbaren Pfade Zus tzlich zum Pfad Failover unterst tzt Round Robin den pfad bergreifenden Lastausgleich In dieser Version ist der Round Robin Lastausgleich experimentell und nicht f r den Einsatz in Produktionsumgebungen vorgesehen Siehe das Whitepaper zum Round Robin Lastausgleich Multipathing mit lokalem Speicher und Fibre Channel SANs Bei der einfachsten lokalen Speichertopologie f r das Mu
325. s Reverse Proxy f r ESX Server 3 Sie k nnen eine Liste der Dienste auf dem ESX Server 3 Host auf einer HITP Begr ungsseite sehen Sie k nnen aber nur direkt auf diese Dienste zugreifen wenn Sie ber die entsprechenden Berechtigungen verf gen Sie k nnen diese Einstellung ndern sodass auf bestimmte Dienste direkt ber HTTP Verbindungen zugegriffen werden kann VMware empfiehlt dass Sie diese nderung nur vornehmen wenn Sie ESX Server 3 in einer voll vertrauensw rdigen Umgebung verwenden VMware Inc Kapitel 11 Authentifizierung und Benutzerverwaltung Wenn Sie VirtualCenter und VI Web Access aktualisieren wird das Zertifikat beibehalten Wenn Sie VirtualCenter und VI Web Access deinstallieren wird das Verzeichnis in dem sich das Zertifikat befindet nicht aus der Servicekonsole gel scht So konfigurieren Sie den Web Proxy zur Suche nach Zertifikaten an anderen Speicherorten 1 2 VMware Inc Melden Sie sich als Root Benutzer an der Servicekonsole an Wechseln Sie zum Verzeichnis etc vmware hostd ffnen Sie die Datei proxy xml in einem Texteditor und bearbeiten Sie das folgende XML Segment lt ss1l gt lt The server private key file gt lt privateKey gt etc vmware ssl rui key lt privateKey gt lt The server side certificate file gt lt certificate gt etc vmware ssl rui crt lt certificate gt lt ss1 gt Ersetzen Sie etc vmware ssl rui key durch den absoluten Pfad zur p
326. s Software iSCSI Initiators ob CHAP f r den iSCSI Speicher aktiviert ist Falls ja aktivieren Sie das Protokoll f r den Initiator und stellen Sie sicher dass die CHAP Authentifizierungsinformationen Ihrem iSCSI Speicher entsprechen Siehe iSCSI Sicherheit auf Seite 118 So richten Sie CHAP Parameter f r den Software Initiator ein 1 Klicken Sie im Dialogfeld iSCSI Initiator Eigenschaften iSCSI Initiator Properties auf die Registerkarte CHAP Authentifizierung CHAP Authentication 2 Klicken Sie zum Angeben von CHAP Parametern auf Konfigurieren Configure 3 Damit CHAP auch aktiviert bleibt aktivieren Sie Folgende CHAP Anmeldeinformationen verwenden Use the following CHAP credentials 4 Geben Sie einen CHAP Namen ein oder w hlen Sie Initiator Namen verwenden Use initiator name 5 Geben Sie ggf einen CHAP Schl ssel an Alle neuen Ziele verwenden diesen CHAP Schl ssel um den Initiator zu authentifizieren 6 Klicken Sie auf OK um Ihre nderungen zu speichern HINWEIS Wenn Sie CHAP deaktivieren bleiben bestehende Sitzungen aktiv bis Sie den ESX Server 3 Host neu starten oder das Speichersystem eine Abmeldung erzwingt Anschlie end k nnen Sie sich nicht mehr mit Zielen verbinden die CHAP erfordern Hinzuf gen von iSCSI Speicher auf den ber Software Initiatoren zugegriffen werden kann Wenn Sie einen Datenspeicher auf einem SCSI Speicherger t erstellen auf das ber einen Software Initiator zugeg
327. s f r diese Zeichenklasse erhalten soll als 0 an Die Zeichenboni werden addiert Je mehr verschiedene Zeichenarten der Benutzer eingibt desto weniger Zeichen sind notwendig um ein g ltiges Kennwort zu erstellen Beispiel esxcfg auth usecrack 3 11 1 1 1 2 Mit dieser Einstellung ben tigt ein Benutzer der ein Kennwort aus Kleinbuchstaben und einem Unterstrich erstellt acht Zeichen um ein g ltiges Kennwort zu erstellen Wenn der Benutzer hingegen alle Zeichenarten Kleinbuchstaben Grofsbuchstaben Zahlen und Sonderzeichen einf gt ben tigt er nur sechs Zeichen ndern des Kennwort Plug Ins F r die meisten Umgebungen ist das Plug In pam_cracklib so zur Durchsetzung einer ordnungsgem en Kennwortqualit t ausreichend Wenn pam_cracklib so jedoch nicht Ihren Bed rfnissen entspricht k nnen Sie auch das Plug In pam_passwdac so verwenden Sie k nnen das Plug In ber den Befehl esxcfg auth ndern Das Plug In pam_passwdac so berpr ft dieselben Kennwortmerkmale wie das Plug In pam_cracklib so Es bietet jedoch mehr Optionen zur Feinabstimmung VMware Inc Kapitel 12 Sicherheit der Servicekonsole der Kennwortqualit t und f hrt f r alle Benutzer einschlie lich des Root Benutzers Kennwortqualit tstests durch Das Plug In pam_passwdac so ist ferner etwas schwieriger in der Nutzung als das Plug In pam_cracklib so Weitere Informationen zu diesem Plug In finden Sie in der Linux Dokumentation HINWEIS Das in Linu
328. schaften iSC5I Mame ign 1995 01 com vr ware localhost 50e8baal Sl5I Alias localhost localdomair Zielerkennungsmethoden Ziele senden Eigenschaften von Software Inikiator Statkus Aktiviert Konfigurieren Schlie en Hilfe Sie k nnen den Software Initiator jetzt konfigurieren oder seine Standardmerkmale ndern Konfigurieren eines Software iSCSI Initiators Bei der Konfiguration des Software iSCSI Initiators aktivieren Sie den Initiator und richten dessen Zieladressen ein Dar ber hinaus empfiehlt VMware die Einrichtung von CHAP Parametern Nach der Konfiguration des Software iSCSI Initiators m ssen Sie erneut nach Speicherger ten suchen damit alle LUNs auf die der Initiator zugreifen kann im Verzeichnis der f r das ESX Server 3 System verf gbaren Speicherger te aufgelistet werden Siehe Starten einer erneuten Pr fung auf Seite 134 VMware Inc 129 Handbuch zur Serverkonfiguration f r ESX Server 3 130 Aktivieren von Software iSCSI Initiatoren Aktivieren Sie Ihren Software iSCSI Initiator damit er von ESX Server 3 verwendet werden kann So aktivieren Sie den Software iSCSI Initiator 1 Klicken Sie im Dialogfeld Eigenschaften des iSCSI Initiators iSCSI Initiator Properties auf die Schaltfl che Konfigurieren Configure 2 Aktivieren Sie das Kontrollk stchen Aktiviert Enabled um den Initiator zu aktivieren 3 Um den Standard iSCSI Namen f r den Initiator zu ndern geb
329. serverNamespace gt wsman lt serverNamespace gt lt e gt lt EndpointList gt lt ConfigRoot gt VMware Inc Kapitel 11 Authentifizierung und Benutzerverwaltung 4 ndern Sie die Sicherheitseinstellungen den Anforderungen entsprechend Sie k nnen beispielsweise die Eintr ge f r Dienste ndern die HTIPS verwenden um den HTTP Zugriff erg nzen e id eine ID Nummer f r das XML Tag mit der Server ID ID Nummern m ssen im HTTP Bereich eindeutig sein _type der Name des Dienstes den Sie verschieben z B sdk oder mob accessmode ist die Form der Kommunikation die der Dienst zul sst Zu den zul ssigen Werten geh ren u a m httpOnly Auf den Dienst kann nur ber unverschl sselte HTTP Verbindungen zugegriffen werden m httpsOnly Auf den Dienst kann nur ber HTIPS Verbindungen zugegriffen werden m httpsWithRedirect Auf den Dienst kann nur ber HTTPS Verbindungen zugegriffen werden Anforderungen ber HTTP werden an die entsprechende HTTPS URL weitergeleitet m httpAndHittps Auf den Dienst kann ber HTTP und HTTPS Verbindungen zugegriffen werden port ist die Nummer des Ports der dem Dienst zugewiesen wurde Sie k nnen dem Dienst eine andere Portnummer zuweisen namespace ist der Namensraum des Servers der diesen Dienst bereitstellt 5 Speichern Sie die nderungen und schlie en Sie die Datei 6 Geben Sie folgenden Befehl ein um den Prozess vmware hostd neu zu starten service mgmt vm
330. serviert m L targetreset Setzt das gesamte Ziel zur ck Dadurch werden die Reservierungen f r alle LUNs die dem Ziel zugeordnet sind aufgehoben Die entsprechenden LUNs stehen wieder allen Servern zur Verf gung m L busreset Setzt alle zug nglichen Ziele auf dem Bus zur ck Dadurch werden die Reservierungen f r alle LUNs auf die durch den Bus zugegriffen werden kann aufgehoben und die entsprechenden LUNs stehen wieder allen Servern zur Verf gung Verwenden Sie f r den Parameter lt Ger t gt folgendes Format vmfs devices disks vmhbaA T L P Siehe vmkfstools Befehlssyntax auf Seite 300 VMware Inc Index Symbole neben dem Pfad 151 A Administrator Rolle 228 Aktueller Multipathing Status 149 ndern Benutzer auf ESX Server Hosts 233 Gruppen auf ESX Server Hosts 235 Kennwortverwendungsdauer f r Benutzer und Gruppen 256 Kennwortverwendungsdauer f r ESX Server 255 Proxy Dienste f r ESX Server 240 Servicekonsole Kennwort Plug In 260 SSH Konfiguration 266 Anzeigen von ESX Server Host Benutzern und Gruppen 231 Ausfallstelle 110 Authentifizierung Benutzer 224 Gruppen 225 Authentifizierungs Daemon 221 B Befehlsreferenz f r ESX Server 291 Benutzer ndern auf ESX Server Hosts 233 Anzeigen der Benutzerliste 231 Authentifizierung 224 Benutzer mit direktem Zugriff 224 VMware Inc entfernen von ESX Server Hosts 234 Exportieren einer Benutzerliste 231 hinzuf gen
331. sich jedoch Switch und Adapter nicht mit anderen Kunden teilen Gemeinsame Nein VMFS Nutzung Jeder Kunde hat seine eigene VMFS Partition die vmdk Dateien der virtuellen Maschinen befinden sich ausschlie lich auf dieser Partition Die Partition kann mehrere LUNs umfassen Sicherheitsstufe Hoch Geben Sie Ports f r Dienste wie FTP nach Bedarf frei Speichermehrfachvergabe Ja f r virtuelle Maschinen Der konfigurierte Gesamtspeicher f r die virtuellen Maschinen kann gr er als der physische Gesamtspeicher sein Tabelle 13 5 zeigt wie die Benutzerkonten f r den ESX Server 3 Host eingerichtet werden k nnen Tabelle 13 5 Benutzerkonten in einer Implementierung f r einen Kunden Benutzerkategorie Gesamtanzahl an Konten Standortadministratoren 1 Kundenadministratoren 10 Systemadministratoren 0 Unternehmensbenutzer 0 VMware Inc 273 Handbuch zur Serverkonfiguration f r ESX Server 3 Tabelle 13 6 Die folgende Tabelle zeigt die Zugriffsberechtigungen f r die Benutzer Tabelle 13 6 Benutzerzugriff in einer beschr nkten Implementierung f r mehrere Kunden Standort Kunden System Zugriffsumfang administrator administrator administrator Root Zugriff Ja Nein Nein Servicekonsolenzugriff ber SSH Ja Ja Nein VirtualCenter und VI Web Access Ja Ja Nein Erstellung und nderung virtueller Ja Ja Nein Maschinen Zugriff auf virtuelle Maschinen ber die Ja Ja Ja Ko
332. sierung Deaktiviert Fibre Channel NPIV Keine Yirtualisierte MMU Automatisch Gastbetriebssystem Speicherort der Auslagerungsd Standardeinstellun Microsoft Windows Linux Novell Netware Solaris Anderes Version Microsoft Windows Server 2003 Standard Edition 32 Bit v OK Abbrechen VMware Inc 279 Handbuch zur Serverkonfiguration f r ESX Server 3 280 Melden Sie sich an der Servicekonsole an und rufen Sie Root Berechtigungen ab Wechseln Sie in das Verzeichnis um auf die Konfigurationsdatei der virtuellen Maschine zuzugreifen deren Pfad Sie sich in Schritt Schritt 3 notiert haben Die Konfigurationsdateien der virtuellen Maschinen befinden sich im Verzeichnis vmfs volumes lt Datenspeicher gt wobei es sich beim lt Datenspeicher gt um den Namen des Speicherger ts handelt auf dem die Dateien der virtuellen Maschine gespeichert sind Wenn beispielsweise die Konfigurationsdatei der virtuellen Maschine die Sie im Dialogfeld Eigenschaften der virtuellen Maschine Virtual Machine Properties abgerufen haben voll vm finance vm finance vmx ist wechseln Sie die Verzeichnisse wie folgt cd vmfs volumes vol1 vm finance Verwenden Sie Nano oder einen anderen Text Editor um die vmx Datei um die folgende Zeile zu erg nzen lt Ger tename gt allowGuestConnectionControl false Wobei lt Ger tename gt der Name des Ger ts ist das gesch tzt werden soll z B ethernet1 HINWEIS Standardm
333. sitzers des Verzeichnisses auf dem NFS Server bereinstimmen Ansonsten kann der ESX Server 3 Host keine Vorg nge auf Dateiebene durchf hren Um einem delegierten Benutzer eine andere Identit t zuzuweisen ben tigen Sie die folgenden Informationen m Benutzername des Verzeichnisinhabers m Benutzer ID UID des Verzeichnisbesitzers m Gruppen ID GID des Verzeichnisbesitzers Verwenden Sie diese Informationen um die Einstellungen des delegierten Benutzers f r den ESX Server 3 Host so zu ndern dass sie mit den Daten des Verzeichnisbesitzers bereinstimmen Dadurch kann der NFS Datenspeicher den ESX Server 3 Host ordnungsgem erkennen Der delegierte Benutzer wird global konfiguriert und dieselbe Identit t wird zum Zugriff auf jedes Volume verwendet VMware Inc 243 Handbuch zur Serverkonfiguration f r ESX Server 3 A 244 Die Einrichtung des delegierten Benutzer auf einem ESX Server 3 Host umfasst folgende Schritte m Aus der Registerkarte Benutzer und Gruppen Users amp Groups f r einen VI Client der direkt auf einem ESX Server 3 Host ausgef hrt wird haben Sie zwei M glichkeiten m Bearbeiten Sie den Benutzernamen vimuser um die ordnungsgem e UID und GID einzugeben Bei vimuser handelt es sich um einen Benutzer des ESX Server 3 Hosts der bereitgestellt wird um Ihnen die Einrichtung delegierter Benutzer zu vereinfachen Standardm ig hat vimuser die UID 12 und die GID 20 m F gen Sie einen komplett ne
334. speichers 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server 2 Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Speicher Storage 3 Markieren Sie den Datenspeicher den Sie umbenennen m chten und klicken Sie auf Eigenschaften Properties 4 Klicken Sie unter Allgemein General auf ndern Change 5 Geben Sie den neuen Datenspeichernamen ein und klicken Sie auf OK 144 VMware Inc Kapitel 7 Speicherverwaltung Hinzuf gen von Erweiterungen zu Datenspeichern Sie k nnen einen Datenspeicher im VMFS Format erweitern indem Sie eine Festplattenpartition als Erweiterung einbinden Der Datenspeicher kann sich ber 32 physische Speichererweiterungen erstrecken Sie k nnen die neuen Erweiterungen f r den Datenspeicher dynamisch erstellen wenn es erforderlich ist neue virtuelle Maschinen in diesem Datenspeicher zu erstellen oder wenn die virtuellen Maschinen die in diesem Datenspeicher ausgef hrt werden zus tzlichen Speicherplatz erfordern So f gen Sie Erweiterungen einem Datenspeicher hinzu 1 10 VMware Inc Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Speicher Storage W hlen Sie den zu erweiternden Datenspeicher aus und klicken Sie auf Eigenschaften Properties Klicken Sie un
335. sse zur ck in die MAC Adresse in der vmx Konfigurationsdatei ndert werden wieder alle eingehenden Frames durchgeleitet m Akzeptieren Accept Die nderung der MAC Adresse des Gastbetriebssystems hat den gew nschten Effekt Frames an die neue MAC Adresse werden empfangen m Gef lschte bertragungen Forged Transmits m Ablehnen Reject Alle ausgehenden Frames bei denen sich die MAC Quelladresse von der f r den Adapter festgelegten MAC Adresse unterscheidet werden verworfen m Akzeptieren Accept Es wird keine Filterung vorgenommen und alle ausgehenden Frames werden durchgeleitet 8 Klicken Sie auf OK Traffic Shaping Richtlinie ESX Server 3 steuert den Datenverkehr durch die Festlegung von Parametern f r drei Merkmale des ausgehenden Datenverkehrs Durchschnittsbandbreite Burstgr e und Spitzenbandbreite Sie k nnen die Werte f r diese Merkmale ber den VI Client einstellen und somit die Traffic Shaping Richtlinie f r jede Portgruppe festlegen m Dwurchschnittsbandbreite Average Bandwidth Legt die zul ssige Anzahl der Bits pro Sekunde fest die den vSwitch im Durchschnitt durchlaufen darf d h die zul ssige durchschnittliche Datenlast m Burstgr e Burst Size legt die H chstanzahl der Bytes fest die in einem Burst zul ssig sind Wenn ein Burst den Burstgr enparameter berschreitet werden berz hlige Datenpakete f r eine sp tere bertragung zur Warteschlange hinzugef gt Wenn die W
336. sstatus Link Status only Als Grundlage dient ausschlie lich der vom Netzwerkadapter angegebene Verbindungsstatus ber diese Option werden Fehler wie nicht angeschlossene Kabel oder Betriebsausf lle des physischen Switches ermittelt nicht jedoch Konfigurationsfehler z B die Blockierung eines Ports des physischen Switches durch STP Spanning Tree Protocol eine Zuweisung zum falschen VLAN oder nicht angeschlossene Kabel an der anderen Seite eines physischen Switches Signalpr fung Beacon Probing Sendet Signale sucht nach Signalpr fpaketen auf allen Netzwerkkarten in der Gruppe und verwendet diese Informationen zus tzlich zum Verbindungsstatus um einen Verbindungsausfall zu ermitteln Dadurch k nnen viele der zuvor genannten Ausf lle erkannt werden die durch den Verbindungsstatus allein nicht erkannt werden k nnen VMware Inc VMware Inc Kapitel 3 Erweiterte Netzwerkthemen Switches benachrichtigen Notify Switches W hlen Sie Ja Yes oder Nein No um Switches bei einem Failover zu benachrichtigen Wenn Sie Ja Yes w hlen wird jedes Mal wenn eine virtuelle Netzwerkkarte an einen virtuellen Switch angeschlossen wird oder ein Failover Ereignis dazu f hrt dass der Datenverkehr einer virtuellen Netzwerkkarte ber eine andere physische Netzwerkkarte geleitet wird ber das Netzwerk eine Meldung gesendet um die Verweistabelle auf physischen Switches zu aktualisieren In fast allen F llen ist dies w nsc
337. stapel mit dem Netzwerkadapter Mit dem Software Initiator k nnen Sie die iSCSI Technologie verwenden ohne besondere Hardware anschaffen zu m ssen 116 VMware Inc Kapitel 6 Speicherkonfiguration Abbildung 6 3 zeigt zwei virtuelle Maschinen die verschiedene Arten von iSCSI Initiatoren verwenden Abbildung 6 3 iISCSI Speicher Virtuelle Virtuelle Maschine Maschine Software linitiator Ethernet NIC Im ersten Beispiel der iSCSI Speicherkonfiguration verwendet das ESX Server 3 System einen Hardware iSCSI Adapter Dieser spezielle iSCSI Adapter sendet iSCSI Pakete ber ein LAN an eine Festplatte Im zweiten Beispiel verf gt das ESX Server 3 System ber einen Software iSCSI Initiator Unter Verwendung des Software Initiators stellt das ESX Server 3 System die Verbindung zu einem LAN ber eine vorhandene Netzwerkkarte her Benennungskonventionen Da SANs sehr gro und komplex werden k nnen verf gen alle iSCSI Initiatoren und Ziele im Netzwerk ber eindeutige und dauerhafte iSCSI Namen Au erdem werden ihnen Zugriffsadressen zugewiesen Der iSCSI Name erm glicht die ordnungsgem e Identifizierung eines bestimmten iSCSI Ger ts Initiator oder Ziel unabh ngig von seinem physischen Standort Stellen Sie bei der Konfiguration der iSCSI Initiatoren sicher dass die Benennungskonventionen eingehalten werden Die Initiatoren k nnen folgende Formate verwenden VMware Inc 117 Handbuch zur Serverkonfiguration f
338. t Eine monolithische Flat Disk Festplatten in diesem Format k nnen mit anderen VMware Produkten verwendet werden HINWEIS Die einzigen Festplattenformate die f r NFS verwendet werden k nnen sind thin thick zerodthick und 2gbsparse Thick zeroedthick und thin bedeuten zumeist dasselbe da der NFS Server und nicht der ESX Server Host die Zuordnungsrichtlinie festlegt Die Standardzuordnungsrichtlinie auf den meisten NFS Servern ist thin Erstellen eines virtuellen Laufwerks c createvirtualdisk lt Gr e gt kK mM gG a adaptertype buslogic lsilogic lt srcfile gt d diskformat thin zeroedthick eagerzeroedthick Diese Option erstellt eine virtuelle Festplatte im angegebenen Pfad auf einem VMEFS Volume Legen Sie die Gr e der virtuellen Festplatte fest Wenn Sie f r lt Gr e gt einen Wert angeben k nnen Sie die Einheit festlegen indem Sie entweder das Suffix k Kilobyte m Megabyte oder g Gigabyte angeben Die Gr eneinheit kann klein oder gro geschrieben werden vmkfstools interpretiert sowohl k als auch K als Kilobyte Wenn Sie keine Einheit eingeben ist die Standardeinstellung f r vmkfstools Byte F r die Option c k nnen Sie folgende Unteroptionen angeben m a gibt den Ger tetreiber an der f r die Kommunikation mit den virtuellen Festplatten verwendet wird Sie haben die Auswahl zwischen den SCSI Treibern von BusLogic und LSI Logic mM d bezeichnet die Festplattenformate Eine detailliert
339. t die ein detailliertes Layout enth lt Netzwerk Aktualisieren Netzwerk hinzuf gen Virtueller Switch vSwitchO Entfernen Eigenschaften Portgruppe der virtuellen Maschine Physische Adapter 6 yM Network EB vmnic0 100 vol p 4 virtuelle Maschinen YLAN ID vmi iO Nostalgia vm DE_Win2000Pro Servicekonsolenport 7 Service Console vswifd 172 16 19 162 605 Klicken Sie auf der rechten Bildschirmseite auf Netzwerk hinzuf gen Add Networking HINWEIS Der Assistent zum Hinzuf gen von Netzwerken dient zum Hinzuf gen neuer Ports und Portgruppen Akzeptieren Sie den Standardverbindungstyp Virtuelle Maschinen Virtual Machines Durch die Auswahl von Virtuelle Maschinen Virtual Machines k nnen Sie ein benanntes Netzwerk hinzuf gen das den Datenverkehr im Netzwerk der virtuellen Maschinen verarbeitet VMware Inc VMware Inc Kapitel 2 Netzwerke Klicken Sie auf Weiter Next Klicken Sie auf Virtuellen Switch erstellen Create a virtual switch Sie k nnen einen neuen vSwitch mit oder ohne Ethernet Adapter erstellen Wenn Sie einen vSwitch ohne physische Netzwerkadapter erstellen ist der Datenverkehr auf diesem vSwitch auf diesen vSwitch beschr nkt Andere Hosts im physischen Netzwerk oder virtuelle Maschinen auf anderen vSwitches k nnen dann keine Daten ber diesen vSwitch senden oder empfangen Sie k nnen einen vSwitch ohne physische Netzwerkadapter erstellen wenn eine
340. t empfohlen Das Verwenden einzelner Verbindungen zwischen Speicherarrays und ESX Server 3 Hosts sorgt f r einzelne Ausfallstellen die St rungen verursachen k nnen wenn eine Verbindung unzuverl ssig wird oder ausf llt Um f r Fehlertoleranz zu sorgen unterst tzen verschiedene direkt angeschlossene Speichersysteme redundante Verbindungspfade Siehe Verwalten mehrerer Pfade auf Seite 146 Hinzuf gen von lokalem Speicher Beim Laden der Treiber f r die SCSI Speicheradapter erkennt ESX Server 3 die verf gbaren SCSI Speicherger te Bevor Sie einen neuen Datenspeicher auf einem SCSI Ger t erstellen m ssen Sie ggf erneut nach Speicherger ten suchen Siehe Starten einer erneuten Pr fung auf Seite 134 Wenn Sie einen Datenspeicher auf einem SCSI Speicherger t erstellen f hrt Sie der Assistent zum Hinzuf gen von Speicher durch die Konfiguration VMware Inc Kapitel 6 Speicherkonfiguration So erstellen Sie einen Datenspeicher auf einer lokalen SCSI Festplatte 1 Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end unter Hardware auf Speicher Storage Klicken Sie auf Speicher hinzuf gen Add Storage Markieren Sie den Speichertyp Festplatte LUN Disk LUN und klicken Sie auf Weiter Next W hlen Sie das SCSI Ger t aus das Sie f r den Datenspeicher verwenden m chten und klicken
341. tattribut vorhanden ist passen Sie es wie gew nscht an VMware Inc 281 Handbuch zur Serverkonfiguration f r ESX Server 3 282 Eine Konfiguration mit der GuestInfo Gr e von 1 MB sieht so aus Konfigurationsparameter ndern Sie Konfigurationsparameter oder f gen Sie sie f r experimentelle Funktionen bzw gem den Anweisungen des technischen Supports hinzu Eintr ge k nnen nicht entfernt werden Name 2 Wert deploymentPlatform windows nyram Neue virtuelle Maschine nyram sched swap derivedN ame vmfs volumes 47de07 1d d81372e2 38f6 0019b9f05e23 Neue virtuelle Ma scsi0 0 redo yirtualHW productCompatibility hosted vmware tools internalversion 0 vmware tools requiredversion 7300 vmware tools installstate none vmware tools lastInstallStatus resuk unknown tools setInfo sizeLimit 1048576 t Zeile hinzuf gen OK Abbrechen Hilfe Klicken Sie auf OK um das Dialogfeld Konfigurationsparameter Configuration Parameters zu schlie en und dann noch einmal auf OK um das Dialogfeld Eigenschaften der virtuellen Maschinen Virtual Machine Properties zu schlie en Sie k nnen auch vollst ndig verhindern dass G ste Name Wert Paare in die Konfigurationsdatei schreiben Dies bietet sich an wenn Gastbetriebssysteme am ndern von Konfigurationseinstellungen gehindert werden m ssen So hindern Sie Gastbetriebssystemprozesse am Senden von Konfigurationsnachrichten an den Host 1 Melden Sie sic
342. te erstellen m Sie ndern den Hostnamen m Sie l schen versehentlich die Zertifikate So erzeugen Sie neue Zertifikate f r den ESX Server 3 Host 1 Wechseln Sie zum Verzeichnis etc vmware ssl 2 Erstellen Sie Sicherungskopien aller existierenden Zertifikate indem Sie die folgenden Befehle ausf hren mv rui crt orig rui crt mv rui key orig rui key HINWEIS Wenn Sie Zertifikate erstellen weil Sie zuvor Zertifikate versehentlich gel scht haben m ssen Sie die Sicherung nicht auszuf hren 3 Geben Sie folgenden Befehl ein um den Prozess vmware hostd neu zu starten service mgmt vmware restart 4 Best tigen Sie dass der ESX Server 3 Host neue Zertifikate erstellt hat indem Sie den folgenden Befehl ausf hren der die Zeitstempel der neuen Zertifikatsdateien mit orig rui crt und orig rui key vergleicht ls la Delegierte VM Benutzer f r NFS Speicher 242 F r die meisten Vorg nge auf virtuellen Maschinen ben tigt ein ESX Server 3 Host Zugriff auf die Dateien der virtuellen Maschine So muss der ESX Server 3 Host zum Beispiel zum Hoch oder Herunterfahren virtueller Maschinen Dateien auf dem Datentr ger auf dem die Dateien der virtuellen Festplatte gespeichert sind erstellen bearbeiten und l schen k nnen VMware Inc Kapitel 11 Authentifizierung und Benutzerverwaltung Wenn Sie virtuelle Maschinen in einem NFS basierten Datenspeicher erstellen konfigurieren oder verwalten m chten k nnen Sie den so genan
343. teisystem Die Standardblockgr e ist 1 MB Der angebene Wert f r lt block_size gt muss ein Vielfaches von 128 KB beim Mindestwert 128 KB sein Wenn Sie die Gr e angeben m ssen Sie auch die Einheit als Suffix m bzw M angeben Die Gr eneinheit kann klein oder gro geschrieben werden vmkfstools interpretiert m bzw M als Megabytes und k bzw K als Kilobyte m S setfsname Definiert die Volume Bezeichnung eines VMFS Volumes f r das VMFS 3 Dateisystem das Sie erstellen F r die Option C k nnen Sie folgende Unteroptionen angeben Die Bezeichnung kann bis zu 128 Zeichen lang sein und darf keine Leerstellen am Anfang oder Ende enthalten Nachdem Sie die Volume Bezeichnung festgelegt haben k nnen Sie sie bei der Angabe des VMFS Volumes im Befehl vmkfstools verwenden Die Volume Bezeichnung erscheint auch in den Auflistungen die mit dem Linux Befehl Ls l generiert werden und als symbolische Verkn pfung zum VMFS Volume im Verzeichnis vmfs volumes Verwenden Sie den Linux Befehl In sf wenn Sie die VMEFS Volume Bezeichnung ndern m chten Beispiel in sf vmfs volumes lt UUID gt vmfs volumes lt fsName gt lt fsName gt ist die neue Volume Bezeichnung die Sie f r die lt UUID gt des VMFS verwenden m chten VMware Inc Anhang B Verwenden von vmkfstools Erstellen eine VMFS Dateisystems Beispiel vmkfstools C vmfs3 b Im S my_vmfs vmfs devices disks vmhbal 3 0 1
344. teizugriffsberechtigungen Die Raw Ger tezuordnung erm glicht Dateizugriffsberechtigungen Die Berechtigungen f r die Zuordnungsdatei werden beim ffnen der Datei erzwungen um das zugeordnete Volume zu sch tzen m Dateisystemoperationen Die Raw Ger tezuordnung erm glicht bei der Arbeit mit einem zugeordneten Volume die Verwendung von Dienstprogrammen des Dateisystems wobei die Zuordnungsdatei als Stellvertreter verwendet wird Die meisten Vorg nge die auf eine normale Datei angewendet werden k nnen k nnen auf die Zuordnungsdatei angewendet werden und werden dann auf das zugeordnete Ger t umgeleitet m Snapshots Die Raw Ger tezuordnung erm glicht die Verwendung von Snapshots virtueller Maschinen auf einem zugeordneten Volume HINWEIS Snapshots stehen nicht zur Verf gung wenn die Raw Ger tezuordnung im Modus Physische Kompatibilit t verwendet wird m VMotion Mithilfe der Raw Ger tezuordnung k nnen Sie eine virtuelle Maschine mit VMotion migrieren Die Zuordnungsdatei fungiert als Stellvertreter sodass VirtualCenter die virtuelle Maschine mit dem gleichen Mechanismus migrieren kann der f r die Migration virtueller Festplattendateien verwendet wird Siehe Abbildung 8 2 158 VMware Inc VMware Inc Kapitel8 Raw Ger tezuordnung Abbildung 8 2 VMotion einer virtuellen Maschine ber eine Raw Ger tezuordnung Server 1 Server 2 VMotion Zuordnungsdatei Adressaufl sung Zugeordnetes Ger
345. tel 12 Sicherheit der Servicekonsole So bestimmen Sie die Sicherheitsstufe der Servicekonsolen Firewall 1 Melden Sie sich an der Servicekonsole an und rufen Sie Root Berechtigungen ab 2 F hren Sie die beiden folgenden Befehle aus um zu bestimmen ob ein und ausgehender Datenverkehr erlaubt oder blockiert wird esxcfg firewall q incoming esxcfg firewall q outgoing 3 Die Ergebnisse bedeuten Folgendes Tabelle 12 1 Sicherheitsstufen der Servicekonsole Befehlszeilenausgabe Sicherheitsstufe Incoming ports blocked by default Hoch Outgoing ports blocked by default Incoming ports blocked by default Mittel Outgoing ports not blocked by default Incoming ports not blocked by default Niedrig Outgoing ports not blocked by default So legen Sie die Sicherheitsstufe der Servicekonsolen Firewall fest 1 Melden Sie sich an der Servicekonsole an und rufen Sie Root Berechtigungen ab 2 F hren Sie je nach Bedarf einen der folgenden Befehle aus m So legen Sie die mittlere Sicherheitsstufe f r die Servicekonsolen Firewall fest esxcfg firewall allowOutgoing blockIncoming m So legen Sie die niedrige Sicherheitsstufe f r die virtuelle Firewall fest esxcfg firewall allowIncoming allowOutgoing V VORSICHT Der vorherige Befehl deaktiviert den Schutz durch die Firewall vollst ndig m So legen Sie die hohe Sicherheitsstufe f r die Servicekonsolen Firewall fest esxcfg firewall blockIncoming blockO
346. ten Sogar Administratoren sind von anderen virtuellen Maschinen auf dieselbe Weise isoliert wie von anderen phyischen Computern 174 VMware Inc Kapitel 9 Sicherheit f r ESX Server 3 Systeme Durch diese Isolierung k nnen mehrere virtuelle Maschinen gleichzeitig und sicher auf der gleichen Hardware ausgef hrt werden Dabei werden sowohl Hardwarezugriff als auch ununterbrochene Leistung garantiert Wenn zum Beispiel ein Gastbetriebssystem in einer virtuellen Maschine abst rzt werden die anderen virtuellen Maschinen auf dem gleichen ESX Server Host weiter ohne Beeintr chtigung ausgef hrt Der Absturz des Gastbetriebssystems hat keinen Einfluss auf Folgendes m Den uneingeschr nkten Zugriff der Benutzer auf die anderen virtuellen Maschinen m Den uneingeschr nkten Zugriff der anderen virtuellen Maschinen auf die Ressourcen die sie ben tigen m Die Leistung der anderen virtuellen Maschinen Jede virtuelle Maschine ist von den anderen virtuellen Maschinen die auf der gleichen Hardware ausgef hrt werden isoliert Obwohl sich die virtuellen Maschinen die physischen Ressourcen wie CPU Arbeitsspeicher und E A Ger te teilen kann das Gastbetriebssystem einer einzelnen virtuellen Maschine nur die virtuellen Ger te sehen die ihm zur Verf gung gestellt wurden siehe Abbildung 9 2 Abbildung 9 2 Isolierung virtueller Maschinen Virtuelle Maschine VM Ressourcen u Q CPU Arbeitsspeicher Festplatte Netzwerk und Grafikkarte
347. ter Standby Adapters Dieser Adapter wird verwendet wenn mindestens eine Verbindung des aktiven Adapters nicht verf gbar ist m Nicht verwendete Adapter Unused Adapters Dieser Adapter soll nicht verwendet werden 59 Handbuch zur Serverkonfiguration f r ESX Server 3 Konfigurieren der Portgruppe Sie k nnen die folgenden Portgruppeneinstellungen ndern Portgruppeneigenschaften Benannte Netzwerkrichtlinien So bearbeiten Sie die Eigenschaften von Portgruppen 1 60 Melden Sie sich am VMware VI Client an und w hlen Sie den Server aus dem Bestandslistenfenster aus Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Netzwerk Networking Klicken Sie auf der rechten Seite des Fensters f r ein Netzwerk auf Eigenschaften Properties Klicken Sie auf die Registerkarte Ports W hlen Sie die Portgruppe und klicken Sie auf Bearbeiten Edit Klicken Sie im Dialogfeld Eigenschaften Properties der Portgruppe auf die Registerkarte Allgemein General um folgende Einstellungen zu ndern m Netzwerkbezeichnung Network Label Bezeichnet die Portgruppe die erstellt wird Geben Sie diese Bezeichnung ein wenn Sie einen virtuellen Adapter dieser Portgruppe zuweisen entweder bei der Konfiguration von virtuellen Maschinen oder von VMkernel Diensten z B VMotion oder IP Speicher m VL
348. ter Erweiterungen Extents auf Erweiterung hinzuf gen Add Extent W hlen Sie die Festplatte aus die Sie als neue Erweiterung hinzuf gen m chten und klicken Sie auf Weiter Next berpr fen Sie das aktuelle Layout der Festplatte die Sie f r die Erweiterung verwenden m chten um sicherzustellen dass auf der Festplatte keine wichtigen Daten gespeichert sind VORSICHT Wenn die hinzuzuf gende Festplatte oder Partition zuvor formatiert wurde wird sie erneut formatiert und s mtliche Dateisysteme und Daten die sich auf der Festplatte oder Partition befinden werden gel scht Geben Sie die Kapazit t der Erweiterung an Standardm ig wird der gesamte freie Speicherplatz des Speicherger ts zur Verf gung gestellt Klicken Sie auf Weiter Next berpr fen Sie das vorgeschlagene Layout der Erweiterung und die neue Konfiguration des Datenspeichers und klicken Sie anschlie end auf Fertig Finish F hren Sie auf allen Servern auf denen der Datenspeicher angezeigt wird eine erneute Pr fung durch 145 Handbuch zur Serverkonfiguration f r ESX Server 3 Verwalten mehrerer Pfade 146 Damit die Verbindung zwischen dem ESX Server 3 Host und dem DAS bzw NAS Speicher nicht unterbrochen wird unterst tzt ESX Server 3 das so genannte Multipathing Multipathing ist eine Technik mit der Sie mehrere Elemente auf einem Pfad zur bertragung von Daten zwischen dem ESX Server 3 Host und dem externen Speicherger t ver
349. ter Hardware auf Speicher Storage 3 Klicken Sie auf Speicher hinzuf gen Add Storage VMware Inc 137 Handbuch zur Serverkonfiguration f r ESX Server 3 4 W hlen Sie Netzwerkdateisystem Network File System als Speichertyp aus und klicken Sie auf Weiter Next 5 GebensSie den Server den Mount Punkt Ordner und den Datenspeichernamen ein 6 Klicken Sie auf Weiter Next 7 berpr fen Sie auf der bersichtsseite f r das Netzwerkdateisystem NFS die Konfigurationsoptionen und klicken Sie auf Fertig Finish Erstellen einer Diagnosepartition 138 Zum Ausf hren des ESX Server 3 Hosts wird eine Diagnosepartition bzw Dump Partition ben tigt um Core Dumps f r das Debuggen und den technischen Support zu speichern Die Diagnosepartition kann auf einer lokalen Festplatte oder einer privaten oder freigegebenen SAN LUN erstellt werden Es ist jedoch nicht m glich eine Diagnosepartition auf einer iSCSI LUN zu speichern auf die ber einen Software Initiator zugegriffen wird F r jeden ESX Server 3 Host ist eine Diagnosepartition mit 100 MB erforderlich Wenn mehrere ESX Server 3 Hosts ein gemeinsames SAN verwenden konfigurieren Sie pro Host eine Diagnosepartition mit 100 MB HINWEIS Wenn Sie w hrend der ESX Server 3 Installation Empfohlene Partitionierung Recommended Partitioning gew hlt haben wurde vom Installationsprogramm bereits automatisch eine Diagnosepartition erstellt Die Option Diagnose Diagnostic
350. ter reaktiviert werden soll Wenn Sie ein Ger t nicht dauerhaft entfernen m chten k nnen Sie verhindern dass ein Benutzer oder Prozess einer virtuellen Maschine das Ger t aus dem Gastbetriebssystem heraus einbindet oder trennt So hindern Sie einen Benutzer oder Prozess auf einer virtuellen Maschine am Trennen von Ger ten 1 Melden Sie sich am VI Client an und w hlen Sie die virtuelle Maschine in der Bestandsliste aus Die Konfiguration f r diese virtuelle Maschine wird auf der Registerkarte bersicht Summary angezeigt 2 Klicken Sie auf Einstellungen bearbeiten Edit Settings Das Dialogfeld Eigenschaften der virtuellen Maschine Virtual Machine Properties wird ge ffnet 3 Klicken Sie auf Optionen Options gt Allgemein General und notieren Sie sich den Pfad der im Feld Konfigurationsdatei der virtuellen Maschine Virtual Machine Configuration File angezeigt wird 5 vm1 Eigenschaften der virtuellen Maschine Hardware Optionen Ressourcen version der virtuellen Maschine 4 Einstellungen bersicht Name der virtuellen Maschine Allgemeine Optionen vmi vmi YMware Tools Systemstandard Energieverwaltung Standby Konfigurationsdatei der virtuellen Maschine Erweitert storagei 1 Neue virtuelle Maschine Neue virtuelle Maschine vn Allgemein Normal CPU ID Maske Nx Flag f r Gast ei Arbeitsverzeichnis der virtuellen Maschine RER DENODEN ee aa storagei 1 Neue virtuelle Maschine Parayirtuali
351. ternetdienste aus die auf den ESX Server 3 Host zugreifen d rfen Klicken Sie auf Sicherheitsprofil Security Profile gt Firewall gt Eigenschaften Properties und f gen Sie ber das Dialogfeld Firewall Eigenschaften Firewall Properties Dienste hinzu Weitere Informationen zum Hinzuf gen von Diensten und zur Konfiguration von Firewalls finden Sie unter ffnen von Firewallports f r unterst tzte Dienste und Verwaltungs Agenten auf Seite 198 Sie k nnen im VI Client keine nicht unterst tzten Dienste konfigurieren Verwenden Sie f r diese Dienste den Befehl esxcfg firewall siehe Konfiguration der Servicekonsolen Firewall auf Seite 249 esxcfg info Druckt Informationen zum Status der Servicekonsole des VMkernels verschiedener Untersysteme im virtuellen Netzwerk und zur Speicherressourcen Hardware aus Mit dem VI Client k nnen diese Informationen nicht ausgedruckt werden jedoch k nnen die meisten Informationen jedoch k nnen ber verschiedene Registerkarten und Funktionen in der Benutzeroberfl che ermittelt werden So k nnen Sie zum Beispiel den Status der virtuellen Maschinen auf der Registerkarte Virtuelle Maschinen Virtual Machines berpr fen esxcfg init F hrt interne Initialisierungsroutinen aus Dieser Befehl wird f r den Bootstrap Prozess verwendet und sollte unter keinen Umst nden ausgef hrt werden Dieser Befehl kann zu Problemen mit dem ESX Server 3 Host f hren Es gibt keine VI Cl
352. tig Finish Durch diesen Prozess wird ein Datenspeicher auf einer lokalen SCSI Festplatte auf Ihrem ESX Server 3 Host erstellt VMware Inc Kapitel 6 Speicherkonfiguration Fibre Channel Speicher ESX Server 3 unterst tzt Fibre Channel Adapter ber die ein ESX Server 3 System an einSAN angebunden werden kann und somit in der Lage ist die Festplatten Arrays im SAN zu erkennen Abbildung 6 2 zeigt virtuelle Maschinen die einen Fibre Channel Speicher verwenden Abbildung 6 2 Fibre Channel Speicher Virtuelle Maschine Fibre Channel HBA VMFS Fibre Channel Array Bei dieser Konfiguration ist das ESX Server 3 System mithilfe eines Fibre Channel Adapters mit einem SAN Fabric verbunden das aus Fibre Channel Switches und Speicherarrays besteht LUNs eines Speicherarrays k nnen nun vom ESX Server 3 System verwendet werden Sie k nnen auf die LUNs zugreifen und einen Datenspeicher erstellen der f r die Speicheranforderungen von ESX Server 3 verwendet werden kann Der Datenspeicher verwendet das VMFS Format In den folgenden Dokumenten finden Sie zus tzliche Informationen m Siehe Hinzuf gen von Fibre Channel Speicher auf Seite 114 m Informationen zur Konfiguration von SANs finden Sie im SAN Konfigurationshandbuch f r Fiber Channel VMware Inc 113 Handbuch zur Serverkonfiguration f r ESX Server 3 Informationen zu unterst tzten SAN Speicherger ten f r ESX Server 3 finden Sie im Handbuch
353. timmt sind Virtuelle Maschinen die an einen gemeinsamen virtuellen Switch angebunden sind k nnen sich dennoch in unterschiedlichen VLANs befinden VMware Inc Kapitel 10 Absichern einer ESX Server 3 Konfiguration Sicherheitsempfehlungen f r vSwitches und VLANs ESX Server 3 ist mit einer vollst ndigen VLAN Implementierung nach IEEE 802 1q ausgestattet Wie Sie die VLANs einrichten um Teile eines Netzwerks abzusichern h ngt von Faktoren wie dem installierten Gastbetriebssystem der Konfiguration der Netzwerkger te usw ab Zwar kann VMware keine spezifischen Empfehlungen aussprechen wie die VLANs eingerichtet werden sollten folgende Faktoren sollten jedoch ber cksichtigt werden wenn Sie VLANs als Teil der Sicherheitsrichtlinien einsetzen VMware Inc Setzen Sie VLANs im Rahmen eines Sicherheitspakets ein Mit VLANs kann effektiv gesteuert werden wo und in welchem Umfang Daten im Netzwerk bertragen werden Wenn ein Angreifer Zugang zum Netzwerk erlangt wird der Angriff mit hoher Wahrscheinlichkeit nur auf das VLAN beschr nkt das als Zugangspunkt diente wodurch das Risiko f r das gesamte Netzwerk verringert wird VLANs bieten nur dadurch Schutz dass sie steuern wie Daten weitergeleitet und verarbeitet werden nachdem sie die Switches passiert haben und sich im Netzwerk befinden Sie k nnen VLANs dazu nutzen die 2 Schicht des Netzwerkmodells die Sicherungsschicht zu sch tzen Die Einrichtung von VLANs sch tzt j
354. trator ist allein f r die Verwaltung der verschiedenen virtuellen Maschinen verantwortlich Das Unternehmen besch ftigt mehrere Systemadministratoren die keine Konten auf dem ESX Server 3 Host haben und nicht auf ESX Server 3 Programme wie VirtualCenter oder Befehlszeilenshells f r den Host zugreifen k nnen Diese Systemadministratoren haben ber die VM Konsole Zugriff auf die virtuellen Maschinen sodass Sie Software installieren und andere Verwaltungsaufgaben in den virtuellen Maschinen durchf hren k nnen Tabelle 13 1 zeigt wie Sie die Komponenten gemeinsam nutzen und f r den ESX Server 3 Host konfigurieren k nnen Tabelle 13 1 Gemeinsame Komponentennutzung bei einer Implementierung f r einen Kunden Funktion Servicekonsole im gleichen Nein physischen Netzwerk wie die virtuellen Maschinen Konfiguration Anmerkungen Isolieren Sie die Servicekonsole sodass sie ber ihr eigenes physisches Netzwerk verf gt Servicekonsole im gleichen Nein Isolieren Sie die Servicekonsole sodass sie ber VLAN wie die virtuellen ihr eigenes VLAN verf gt Virtuelle Maschinen Maschinen oder andere Systemkomponenten z B VMotion sollten ein anderes VLAN verwenden Virtuelle Maschinen im Ja Die virtuellen Maschinen nutzen das gleiche gleichen physischen physische Netzwerk Netzwerk Gemeinsame Teilweise Isolieren Sie die Servicekonsole sodass sie ber Netzwerkadapternutzung ihren eigenen virtuellen Switch u
355. ual Machines klicken aber ihm werden weder das Verzeichnis der virtuellen Maschinen auf der Registerkarte noch die Statusinformationen angezeigt Die Tabelle ist leer VMware Inc Kapitel 11 Authentifizierung und Benutzerverwaltung Die Rolle Kein Zugriff No Access ist die Standardrolle die allen Benutzern oder Gruppen die Sie auf einem ESX Server 3 Host erstellen zugewiesen wird Sie k nnen die Rolle neuer Benutzer oder Gruppen objektabh ngig mit h heren oder niedrigeren Berechtigungen ausstatten Die einzigen Benutzer denen die Rolle Kein Zugriff No Access nicht standardm ig zugewiesen wird sind der Root Benutzer und vpxuser Stattdessen wird ihnen die Rolle Administrator zugewiesen Sie k nnen die Berechtigungen des Root Benutzers insgesamt l schen oder seine Rolle auf Kein Zugriff No Access festlegen sofern Sie zun chst auf Root Ebene eine Ersatzberechtigung mit der Rolle Administrator anlegen und diese Rolle einem anderen Benutzer zuweisen Wenn Sie die Berechtigungen des Root Benutzers l schen oder ndern m ssen Sie den neu erstellten Benutzer als Ausgangspunkt f r die Hostauthentifizierung verwenden wenn Sie den Host unter die Verwaltung von VirtualCenter stellen m Nur Lesen Benutzer denen diese Rolle f r ein Objekt zugewiesen wurde k nnen den Status des Objekts und Details zum Objekt anzeigen Mit dieser Rolle kann ein Benutzer die virtuelle Maschine den Host und die Ressourcenpoolattribute anzei
356. ualisiert die Patchnummer und erstellt ein RPM Die OpenSSL Version in dem RPM ist 0 9 7a 1 d h die urspr ngliche Version 0 9 7a enth lt nun Patch 1 Sie installieren den RPM Das Sicherheitssuchprogramm bersieht das Suffix 1 und meldet f lschlicherweise dass die Sicherheitseinstellungen f r OpenSSL nicht aktuell sind Wenn Ihr Suchprogramm meldet dass die Sicherheitseinstellungen f r ein Paket nicht aktuell sind f hren Sie die folgenden berpr fungen durch berpr fen Sie das Patch Suffix um zu bestimmen ob Sie eine Aktualisierung ben tigen Konsultieren Sie die RPM Dokumentation von VMware bez glich Informationen zu den Patchinhalten Verwenden Sie folgenden Befehl um die Common Vulnerabilities and Exposures Nummer CVE aus der Sicherheitswarnung im RPM nderungsprotokoll nachzuschlagen rpm q changelog openssl grep lt CVE_Nummer gt Wenn sich die CVE Nummer dort befindet deckt das Paket die Sicherheitsl cke ab VMware Inc Empfehlungen fur den Schutz von Implementierungen Dieses Kapitel soll Ihnen eine bessere Vorstellung von der Absicherung von ESX Server 3 in bestimmten Umgebungen vermitteln Dazu wird eine Reihe von ESX Server 3 Implementierungsszenarien vorgestellt die Ihnen bei der Planung der Sicherheitsfunktionen in Ihrer eigenen Implementierung helfen k nnen Au erdem enth lt dieses Kapitel einige grundlegende Sicherheitsempfehlungen die Sie bei der Erstellung und
357. uen Benutzer dem ESX Server 3 Host hinzu Dazu geben Sie den Namen des delegierten Benutzers die UID und die GID an Sie m ssen einen dieser Schritte ausf hren und dies unabh ngig davon ob Sie den Host ber eine direkte Verbindung oder VirtualCenter Server verwalten Au erdem m ssen Sie sicherstellen dass der delegierte Benutzer vimuser oder der delegierte Benutzer den Sie einrichten auf allen ESX Server 3 Hosts identisch ist die den NFS Datenspeicher verwenden Informationen zum Hinzuf gen von Benutzern erhalten Sie unter Verwalten der Tabelle Benutzer auf Seite 231 m Konfigurieren Sie einen delegierten Benutzer f r virtuelle Maschinen als Teil des Sicherheitsprofils f r den Host siehe unten Konfigurieren Sie das Sicherheitsprofil ber VirtualCenter oder einen VI Client der direkt auf dem ESX Server 3 Host ausgef hrt wird WARNUNG Das ndern eines delegierten Benutzers f r einen ESX Server 3 Host ist experimentell Derzeit unterst tzt VMware diese Implementierung nicht Die Verwendung dieser Funktion kann zu einem unerwarteten Verhalten des Hosts f hren So ndern Sie den delegierten VM Benutzer 1 Melden Sie sich ber den ESX Server 3 Host am VI Client an 2 W hlen Sie den Server in der Bestandsliste aus Die Hardwarekonfiguration f r diesen Server wird auf der Registerkarte bersicht Summary angezeigt 3 Klicken Sie auf In den Wartungsmodus wechseln Enter Maintenance Mode 4 Klicken
358. ugriff auf Objekte denen Berechtigungen f r das jeweilige Objekt zugewiesen wurden Wenn Sie einem Benutzer oder einer Benutzergruppe Berechtigungen f r das Objekt zuweisen fassen Sie den Benutzer oder die Gruppe mit einer Rolle zu einem Paar zusammen Bei einer Rolle handelt es sich um einen vordefinierten Satz von Berechtigungen F r ESX Server Hosts gibt es drei Standardrollen Es ist nicht m glich die Berechtigungen f r diese drei Rollen zu ndern Jede nachfolgende Standardrolle enth lt die Berechtigungen der vorhergehenden Rolle So bernimmt beispielsweise die Rolle Administrator die Rechte der Rolle Nur lesen Read Only Rollen die Sie selbst anlegen bernehmen keine Berechtigungen von den Standardrollen Es gibt folgende Standardrollen m Kein Zugriff Benutzer denen diese Rolle f r ein bestimmtes Objekt zugewiesen wurde k nnen das Objekt weder anzeigen noch ndern So kann zum Beispiel ein Benutzer dem f r eine bestimmte virtuelle Maschine die Rolle Kein Zugriff No Access zugewiesen wurde die virtuelle Maschine nicht in der VI Client Bestandsliste sehen wenn er sich am ESX Server Host anmeldet Wenn einem Benutzer f r ein bestimmtes Objekt diese Rolle zugewiesen wurde kann er die Registerkarten im VI Client f r das gesperrte Objekt ausw hlen auf derjedoch kein Inhalt angezeigt wird Wenn der Benutzer zum Beispiel keinen Zugriff auf virtuelle Maschinen hat kann er auf die Registerkarte Virtuelle Maschinen Virt
359. uid ist ein Kennzeichen mit dem eine Anwendung die Zugriffsberechtigungen eines Benutzers der die Anwendung ausf hrt ndern kann indem es die tats chliche Benutzer ID auf die Benutzer ID des Programmbesitzers setzt setgid ist ein Kennzeichen mit dem eine Anwendung die Zugriffsberechtigungen einer Gruppe die die Anwendung ausf hrt ndern kann indem es die tats chliche Gruppen ID auf die Gruppen ID des Programmbesitzers setzt W hrend der Installation von ESX Server 3 werden standardm ig verschiedene Anwendungen installiert die das setuid und setgid Kennzeichen enthalten Diese Anwendungen werden von der oder ber die Servicekonsole aufgerufen Manche dieser Anwendungen enthalten Hilfsprogramme die zur korrekten Ausf hrung des ESX Server 3 Hosts notwendig sind Andere Anwendungen sind optional erleichtern aber ggf die Wartung und Fehlerbehebung auf dem ESX Server 3 Host und im Netzwerk setuid Standardanwendungen Tabelle 12 3 listet die setuid Standardanwendungen auf und zeigt an ob eine Anwendung erforderlich oder optional ist Tabelle 12 3 setuid Standardanwendungen Erforderlich Anwendung Zweck und Pfad oder optional crontab Erm glicht einzelnen Benutzern Cron Auftr ge Optional hinzuzuf gen Pfad usr bin crontab pam_timestamp_check Unterst tzt Kennwortauthentifizierung Erforderlich Pfad sbin pam_timestamp_check passwd Unterst tzt Kennwortauthentifizierung Erforderlich Pfad usr bin passwd
360. und dann auf Benutzer Users Klicken Sie mit der rechten Maustaste auf den Benutzer den Sie entfernen m chten und klicken Sie auf Entfernen Remove VORSICHT Entfernen Sie nicht den Root Benutzer VMware Inc Kapitel 11 Authentifizierung und Benutzerverwaltung Verwalten der Tabelle Gruppen Sie k nnen Gruppen der Tabelle Gruppen Groups eines ESX Server 3 Hosts hinzuf gen Gruppen entfernen oder Gruppenmitglieder hinzuf gen oder entfernen Durch diese Aktivit ten ndern Sie die interne vom ESX Server 3 Host verwaltete Gruppenliste So f gen Sie eine Gruppe der ESX Server 3 Tabelle Gruppe hinzu 1 2 3 7 Melden Sie sich ber den ESX Server 3 Host am VI Client an W hlen Sie den Server in der Bestandsliste aus Klicken Sie auf die Registerkarte Benutzer und Gruppen Users amp Groups und dann auf Gruppen Groups Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle der Tabelle Gruppen Groups und dann auf Hinzuf gen Add Das Dialogfeld Neue Gruppe erstellen Create New Group wird angezeigt Geben Sie einen Gruppennamen und in das Feld Gruppen ID Group ID eine numerische Gruppen ID GID ein Die Angabe der GID ist nicht zwingend erforderlich Wenn Sie keine GID angeben weist der VI Client die n chste verf gbare Gruppen ID zu Geben Sie die Benutzernamen aller Benutzer ein die zur Gruppe geh ren sollen und klicken Sie auf Hinzuf gen Add Wenn Sie einen nicht vorh
361. und notieren Sie sich den Pfad der im Feld Konfigurationsdatei der virtuellen Maschine Virtual Machine Configuration File angezeigt wird 3 mi Eigenschaften der virtuellen Maschine Hardware Optionen Ressourcen version der virtuellen Maschine 4 Einstellungen bersicht Name der virtuellen Maschine Allgemeine Optionen vmi YMware Tools Systemstandard Energieverwaltung Standby Konfigurationsdatei der virtuellen Maschine Erweitert storage1 1 Neue virtuelle Maschine Neue virtuelle Maschine vn Allgemein Normal CPU ID Maske Nx Flag f r Gast ei Arbeitsverzeichnis der virtuellen Maschine Startopionen U me verzogarung Istoragei 1 Neue virtuelle Maschine Paravirtualisierung Deaktiviert Fibre Channel NPIY Keine Yirkualisierte MMU Automatisch Gastbetriebssystem Speicherort der Auslagerungsd Standardeinstellun Microsoft Windows C Linux C Novell Netware C Solaris C Anderes version Microsoft Windows Server 2003 Standard Edition 32 Bit v OK Abbrechen Melden Sie sich an der Servicekonsole an und rufen Sie Root Berechtigungen ab Wechseln Sie in das Verzeichnis um auf die Konfigurationsdatei der virtuellen Maschine zuzugreifen deren Pfad Sie sich in Schritt Schritt 3 notiert haben Die Konfigurationsdateien der virtuellen Maschinen befinden sich im Verzeichnis vmfs volumes lt Datenspeicher gt wobeies sich bei lt Datenspeicher gt um den Namen des Speicherger ts handelt auf dem die Dat
362. ung Die folgenden Ziele wurden unter Einsatz spezifischer Hosts und iSCS1 Mamen erkannt oder manuell hinzugef gt SCSI Serveradresse Zielname 10 17 246 2073200 ign 1992 08 com netapp sm 0417 10 17 246 2073200 ign 1992 08 com netappisn 0417 10 17 246 2143200 ign 1992 04 com emei cx apmO0O0 10 17 246 215 3260 ign 1992 04 com emcicx apmOd 10 17 246 92 3260 ign 1992 04 com emcitest cx vm 10 17 246 2053260 ign 1992 08 com netapp isn 5040 Hinzuf gen Bearbeiten Entfernen Schlifien Hilfe Um ein Ziel hinzuzuf gen klicken Sie auf Hinzuf gen Add und geben Sie die IP Adresse und den vollst ndig qualifizierten Namen des Ziels ein Um ein bestimmtes Ziel zu ndern oder zu l schen w hlen Sie das Ziel aus und klicken Sie auf Bearbeiten Edit oder Entfernen Remove HINWEIS Wenn Sie ein von der dynamischen Erkennung hinzugef gtes Ziel entfernen kann das Ziel entweder bei einer erneuten berpr fung beim Zur cksetzen des HBA oder durch einen Neustart des Systems erneut zur Liste hinzugef gt werden 123 Handbuch zur Serverkonfiguration f r ESX Server 3 Einrichten von CHAP Parametern f r Hardware Initiatoren Pr fen Sie beim Konfigurieren Ihres Hardware iSCSI Initiators ob CHAP f r den iSCSI Speicher aktiviert ist Falls ja aktivieren Sie das Protokoll f r Ihren Initiator und stellen Sie sicher dass die CHAP Authentifizierungsinformationen Ihrem iSCSI Spei
363. uordnungsdatei Festplattendatei p i Speicherort Datensektoren Datensektoren Berechtigungen der Festplatte der Festplatte Sperren usw Zugeordnetes Ger t VMFS Volume Vergleich des virtuellen und mit dem physischen Kompatibilit tsmodus Der virtuelle Modus f r eine Raw Ger tezuordnung legt die vollst ndige Virtualisierung des zugeordneten Ger ts fest Das Gastbetriebssystem erkennt keinen Unterschied zwischen einem zugeordneten Ger t und einer virtuellen Festplattendatei auf einem VMFS Volume Die tats chlichen Hardwaremerkmale sind verborgen Mit dem virtuellen Modus k nnen Kunden die Raw Festplatten verwenden die Vorteile von VMES z B leistungsf hige Dateisperrung zum Datenschutz und Snapshots zur Vereinfachung von Entwicklungsprozessen nutzen Der virtuelle Modus ist auch besser zwischen Speicherger ten portierbar als der physische Modus da er das gleiche Verhalten wie virtuelle Festplattendateien aufweist VMware Inc 161 Handbuch zur Serverkonfiguration f r ESX Server 3 162 Der physische Modus einer Raw Ger tezuordnung legt eine minimale SCSI Virtualisierung des zugeordneten Ger ts fest wodurch eine optimale Flexibilit t der SAN Verwaltungssoftware erreicht wird Im physischen Modus leitet der VMkernel alle SCSI Befehle bis auf eine Ausnahme an das Ger t weiter Der Befehl REPORT LUNs ist virtualisiert damit der VMkernel die LUN f r die entsprechende virtuelle Maschine isolieren kann Ansonsten sind al
364. uration f r ESX Server 3 322 VMware Inc
365. ustom verwenden 3 W hlen Sie beim Konfigurieren der Festplatte die Option Vorhandene virtuelle Festplatte verwenden Use an existing virtual disk aus und f gen Sie die Workstation oder GSX Server Festplatte hinzu die Sie importiert haben Erweitern einer virtuellen Festplatte X extendvirtualdisk lt neue Gr e gt kK mM gG Diese Option erweitert die Gr e einer Festplatte die einer virtuellen Maschine zugewiesen wurde nachdem die virtuelle Maschine erstellt wurde Die virtuelle Maschine die diese Festplattendatei verwendet muss bei Eingabe dieses Befehls ausgeschaltet sein Au erdem muss das Gastbetriebssystem in der Lage sein die neue Festplattengr e zu erkennen und zu verwenden damitesz B das Dateisystem auf der Festplatte aktualisieren kann sodass der zus tzliche Speicherplatz auch genutzt wird Sie geben den Parameter Neue Gr e in Kilobyte Megabyte oder Gigbyte an indem Sie das Suffix k Kilobyte m Megabyte oder g Gigabyte hinzuf gen Die Gr seneinheit kann klein oder gro geschrieben werden vmkfstools interpretiert sowohl k als auch K als Kilobyte Wenn Sie keine Einheit eingeben ist die Standardeinstellung f r vmkfstools Kilobyte Der Parameter Neue Gr e beschreibt die gesamte neue Gr e und nicht nur die beabsichtigte Erweiterung der Festplatte Um beispielsweise eine virtuelle Festplatte mit 4 GB um 1 GB zu erweitern geben Sie Folgendes an vmkfstools X 5g lt Festplattenname gt
366. ute des angegebenen Volumes auf wenn Sie sie auf eine Datei oder ein Verzeichnis auf einem VMFS Volume anwenden Zu den aufgelisteten Attributen geh ren die VMFS Version VMFS 2 oder VMFS 3 die Anzahl der Erweiterungen aus denen das angegebene VMFS Volume besteht die Volume Bezeichnung falls vorhanden die UUID und eine Liste der Ger tenamen auf denen sich die Erweiterungen befinden VMware Inc 303 Handbuch zur Serverkonfiguration f r ESX Server 3 304 HINWEIS Wenn ein Ger t zur Sicherung des VMFS Dateisystems offline geschaltet wird ndert sich die Anzahl der Erweiterungen und des verf gbaren Speichers entsprechend Sie k nnen die Unteroption h f r die Option P verwenden In diesem Fall listet vmkfstools die Kapazit t des Volumes in verst ndlicherer Form auf z B 5k 12 1M oder 2 16 Aktualisieren von VMFS 2 auf VMFS 3 Sie k nnen ein VMFS 2 Dateisystem auf VMFS 3 aktualisieren VORSICHT Der Konvertierungsvorgang von VMFS 2 in VMFS 3 ist nicht umkehrbar Nachdem das VMFS 2 Volume in VMFS 3 konvertiert wurde kann es nicht in das Format VMFS 2 zur ckkonvertiert werden Sie k nnen ein VMFS 2 Dateisystem nur dann aktualisieren wenn dessen Dateiblockgr e 8 MB nicht berschreitet Verwenden Sie folgende Optionen f r die Aktualisierung des Dateisystems m tovmfs3 x upgradetype zeroedthickleagerzeroedthick thin Diese Option konvertiert das VMFS 2 Dateisystem in VMFS 3 und erh lt alle Dateien i
367. utgoing 3 Geben Sie folgenden Befehl ein um den Prozess vmware hostd neu zu starten service mgmt vmware restart VMware Inc 251 Handbuch zur Serverkonfiguration f r ESX Server 3 Die nderung der Sicherheitsstufe der Servicekonsolen Firewall beeinflusst bestehende Verbindungen nicht Wenn die Firewall zum Beispiel auf niedriger Sicherheitsstufe ausgef hrt wird und an einem Port den Sie nicht ausdr cklich freigegeben haben eine Sicherung ausgef hrt wird beendet eine Erh hung der Sicherheitsstufe auf Hoch die Sicherung nicht Weil die Firewall so konfiguriert ist dass die Pakete f r zuvor hergestellte Verbindungen durchgelassen werden wird die Sicherung abgeschlossen und die neue Verbindung freigegeben Anschlie end werden f r diesen Port keine weiteren Verbindungen akzeptiert Freigeben und Blockieren von Ports in der Servicekonsolen Firewall V 252 Wenn Sie Ger te Dienste oder Agenten anderer Anbieter installieren k nnen Sie Ports in der Servicekonsolen Firewall freigeben Bevor Sie Ports f r das Ger t oder den Dienst freigeben konsultieren Sie die Herstellerspezifikationen um zu bestimmen welche Ports freigegeben werden m ssen Wenn Sie einen Port blockieren werden aktive Sitzungen des Dienstes der den Port verwendet nicht automatisch getrennt sobald Sie den Port blockieren Wenn Sie zum Beispiel eine Sicherung durchf hren und Sie den Port f r den Sicherungs Agenten schlie en wird die Siche
368. vSwitch verkn pft wurde verwendet einen Port Jeder logische Port auf dem vSwitch geh rt zu einer einzelnen Portgruppe Jedem vSwitch kann dar ber hinaus mindestens eine Portgruppe zugewiesen werden Siehe Portgruppen auf Seite 24 Bevor der Netzwerkzugriff der virtuellen Maschinen konfiguriert werden kann m ssen die folgenden Aufgaben ausgef hrt werden 1 Einen vSwitch erstellen und diesen so konfigurieren dass dieser mit den physischen Adaptern auf dem Host f r das erforderliche physische Netzwerk verbunden wird 2 Eine Portgruppe virtueller Maschinen erstellen die mit diesem vSwitch verbunden wird und ihr einen Namen geben der von der Konfiguration der virtuellen Maschinen referenziert wird Wenn zwei oder mehr virtuelle Maschinen an den gleichen vSwitch angeschlossen sind wird der Netzwerkdatenverkehr zwischen diesen virtuellen Maschinen lokal gesteuert Wenn ein Uplink Adapter dem vSwitch hinzugef gt ist kann jede virtuelle Maschine auf das externe Netzwerk zugreifen mit dem der Adapter verbunden ist siehe Abbildung 2 1 VMware Inc Kapitel2 Netzwerke Abbildung 2 1 Verbindungen der virtuellen Switches Virtuele Maschinen m Artueller EihernetSwitch Dutbound Adapter im Im VI Client werden die Einzelheiten des ausgew hlten vSwitches als interaktives Diagramm dargestellt siehe Abbildung 2 2 Die wichtigsten Informationen zu allen vSwitches werden stets angezeigt Abbildung 2 2 Inter
369. ver 3 Host konfigurieren k nnen Tabelle 13 4 Gemeinsame Komponentennutzung in einer beschr nkten Implementierung f r mehrere Kunden Funktion Konfiguration Anmerkungen Servicekonsole im gleichen Nein Isolieren Sie die Servicekonsole sodass sie physischen Netzwerk wie ber ihr eigenes physisches Netzwerk verf gt die virtuellen Maschinen Servicekonsole im gleichen Nein Isolieren Sie die Servicekonsole sodass sie VLAN wie die virtuellen ber ihr eigenes VLAN verf gt Virtuelle Maschinen Maschinen oder andere Systemkomponenten z B VMotion sollten ein anderes VLAN verwenden Virtuelle Maschinen im Teilweise Installieren Sie die virtuellen Maschinen gleichen physischen jedes Kunden in einem anderen physischen Netzwerk Netzwerk Alle physischen Netzwerke sind voneinander unabh ngig 272 VMware Inc Kapitel 13 Empfehlungen f r den Schutz von Implementierungen Tabelle 13 4 Gemeinsame Komponentennutzung in einer beschr nkten Implementierung f r mehrere Kunden Fortsetzung Funktion Konfiguration Gemeinsame Teilweise Netzwerkadapternutzung Anmerkungen Isolieren Sie die Servicekonsole sodass sie ber ihren eigenen virtuellen Switch und virtuellen Netzwerkadapter verf gt Virtuelle Maschinen oder andere Systemkomponenten sollten einen anderen Switch oder Adapter verwenden Die virtuellen Maschinen eines Kunden k nnen den gleichen virtuellen Switch und Netzwerkadapter haben Sie sollten
370. ver 3 Konfiguration 4 W hlen Sie die zu aktivierenden Dienste und Agenten Die Spalten Eingehende Ports Incoming Ports und Ausgehende Ports Outgoing Ports zeigen die Ports an die der VI Client f r einen Dienst freigibt Die Spalte Protokoll Protocol gibt das Protokoll an das der Dienst verwendet und die Spalte Daemon zeigt den Status des Daemons an der dem Dienst zugewiesen wurde 5 Klicken Sie auf OK Automatisieren des Dienstverhaltens basierend auf Firewalleinstellungen ESX Server 3 kann automatisieren ob Dienste basierend auf dem Status von Firewallports gestartet werden oder nicht Eine solche Automatisierung sorgt daf r dass die Dienste gestartet werden wenn die Umgebung f r ihre Aktivierung konfiguriert ist Zum Beispiel kann die Situation vermieden werden dass Dienste zwar gestartet werden aber ihre Aufgabe aufgrund von geschlossenen Ports nicht ausf hren k nnen indem ein Netzwerkdienst nur gestartet wird wenn bestimmte Ports ge ffnet sind Pr zise Kenntnis der aktuellen Uhrzeit ist beispielsweise bei einigen Protokollen z B Kerberos eine Anforderung Der NTP Dienst kann pr zise Zeitinformationen bereitstellen doch dieser Dienst funktioniert nur wenn die ben tigten Ports in der Firewall ge ffnet sind Demzufolge kann der Dienst seine Aufgabe nicht erf llen wenn s mtliche Ports geschlossen sind Der NTP Dienst bietet eine M glichkeit zum Konfigurieren der Bedingungen unter denen der Dienst gestart
371. vicekonsoleim gleichen Nein Isolieren Sie die Servicekonsole sodass sie ber ihr physischen Netzwerk wie eigenes physisches Netzwerk verf gt die virtuellen Maschinen Servicekonsoleim gleichen Nein Isolieren Sie die Servicekonsole sodass sie ber ihr VLAN wie die virtuellen eigenes VLAN verf gt Virtuelle Maschinen oder andere Maschinen Systemkomponenten z B VMotion sollten ein anderes VLAN verwenden Virtuelle Maschinen im Ja Die virtuellen Maschinen nutzen das gleiche physische gleichen physischen Netzwerk Netzwerk Gemeinsame Teilweise Isolieren Sie die Servicekonsole sodass sie ber Netzwerkadapternutzung ihren eigenen virtuellen Switch und virtuellen Netzwerkadapter verf gt Virtuelle Maschinen oder andere Systemkomponenten sollten einen anderen Switch oder Adapter verwenden Alle virtuellen Maschinen k nnen sich einen virtuellen Switch oder Netzwerkadapter teilen Gemeinsame Ja Die virtuellen Maschinen k nnen VMFS Partitionen VMFS Nutzung gemeinsam nutzen die vmdk Dateien der virtuellen Maschinen k nnen sich auf einer gemeinsamen Partition befinden Die virtuellen Maschinen verwenden keine gemeinsamen vmdk Dateien Sicherheitsstufe Hoch Geben Sie Ports f r Dienste wie FTP nach Bedarf frei Speichermehrfachvergabe Ja Der konfigurierte Gesamtspeicher f r die virtuellen f r virtuelle Maschinen Maschinen kann gr ser als der physische Gesamtspeicher sein VMware Inc 275 Handbuch zur Serv
372. ware Inc 257 Handbuch zur Serverkonfiguration f r ESX Server 3 m Das neue Kennwort darf kein Palindrom sein d h ein Kennwort das von hinten nach vorn und von vorn nach hinten gelesen werden kann z B Radar oder Anna m Das neue Kennwort darf keine Umkehrung des alten Kennwortes sein m Das neue Kennwort darf keine Buchstabenverdrehung sein d h eine Version des alten Kennwortes in dem einer oder mehrere Buchstaben nach vorn oder hinten in der Zeichenkette verschoben wurden E Das neue Kennwort muss sich vom alten Kennwort durch mehr als nur durch Gro und Kleinschreibung unterscheiden mM Das neue Kennwort muss sich vom alten Kennwort durch mehr als nur durch einige Zeichen unterscheiden m Das neue Kennwort darf nicht in der Vergangenheit verwendet worden sein pam_cracklib so wendet dieses Kriterium nur an wenn Sie eine Regel zur Wiederverwendung von Kennw rtern definiert haben In der Standardeinstellung verwendet ESX Server 3 keine Regeln zur Wiederverwendung von Kennw rtern sodass pam_cracklib so normalerweise eine Kennwort nderung nicht aus diesem Grund ablehnt Sie k nnen jedoch eine solche Regel konfigurieren damit Benutzer nicht nur einige wenige Kennw rter abwechselnd verwenden Wenn Sie eine Regel zur Wiederverwendung von Kennw rtern konfigurieren werden die alten Kennw trter in einer Datei gespeichert die pam_cracklib so bei jedem Kennwort nderungsversuch abfragt Die Wiederverwendungsregeln besti
373. ware restart Beispiel Einrichten von VI Web Access f r die Kommunikation ber einen unsicheren Port VI Web Access kommuniziert mit einem ESX Server 3 Host normalerweise ber einen sicheren Port HTTPS 443 Wenn Sie sich in einer vollst ndig vertrauensw rdigen Umgebung befinden k nnen Sie auch einen unsicheren Port verwenden zum Beispiel HTTP 80 ndern Sie dazu das Attribut accessMode f r den Webserver in der Datei proxy xml siehe So ndern Sie Sicherheitseinstellungen f r einen Web Proxy Dienst auf Seite 240 Das Ergebnis sieht folgenderma en aus accessMode wird von httpsWithRedirect in httpAndHttps ge ndert VMware Inc lt _type gt vim ProxyService LocalServiceSpec lt _type gt lt accessMode gt httpAndHttps lt accessMode gt lt port gt 8080 lt port gt lt serverNamespace gt ui lt serverNamespace gt 241 Handbuch zur Serverkonfiguration f r ESX Server 3 Erneutes Erzeugen von Zertifikaten Der ESX Server 3 Host erzeugt Zertifikate wenn Sie den Host nach der Installation zum ersten Mal starten Anschlie end sucht bei jedem Neustart des Prozesses vmware hostd das Skript mgmt vmware nach vorhandenen Zertifikatsdateien rui crt und rui key F r den Fall dass es keine findet werden neue Zertifikatsdateien erzeugt Unter gewissen Umst nden kann es sein dass Sie den ESX Server 3 Host zwingen m ssen neue Zertifikate zu erzeugen Typischerweise m ssen Sie nur in folgenden F llen neue Zertifika
374. wenden k nnen Bei Ausfall eines Elements im Pfad eines HBA eines Switches eines Speicherprozessors SP oder Kabels kann ESX Server 3 einen redundanten Pfad verwenden Der Prozess der Erkennung eines ausgefallenen Pfads und der Wechsel zu einem anderen Pfad wird als Pfad Failover bezeichnet Failover Pfade stellen einen unterbrechungsfreien Datenverkehr zwischen dem ESX Server 3 System und den Speicherger ten sicher Zur Multipathing Unterst tzung sind f r ESX Server 3 keine speziellen Failover Treiber erforderlich HINWEIS Eine virtuelle Maschine f llt auf nicht vorhersagbare Weise aus wenn keiner der Pfade zum Speicherger t auf dem die Festplatten der virtuellen Maschine gespeichert sind zur Verf gung steht Der ESX Server 3 Host verwenden stets nur einen Pfad den aktiven Pfad um mit einem bestimmten Speicherger t zu einem beliebigen Zeitpunkt zu kommunizieren Bei der Auswahl des aktiven Pfads befolgt ESX Server 3 die folgenden Richtlinien f r das Multipathing m Zuletzt verwendet Most Recently Used Der ESX Server 3 Host w hlt als aktiven Pfad den Pfad der zuletzt verwendet wurde Ist der Pfad nicht verf gbar wechselt der Host zu einem anderen Pfad um diesen als neuen aktiven Pfad zu nutzen Die Richtlinie Zuletzt verwendet Most Recently Used ist f r Speicherarrays vom Typ Aktiv Passiv erforderlich bei denen ein Speicherprozessor passiv bleibt und im Bedarfsfall aktiv wird m Feststehend Fixed Der ESX Se
375. wenn im Fibre Channel oder iSCSI Netzwerk ein Ausfall auftritt In diesem Fall muss das ESX Server 3 System f r den Zugriff auf das Speicherger t einen anderen HBA verwenden m Die zweite Zahl das SCSI Ziel ndert sich bei nderungen der Zuordnungen der Fibre Channel oder iSCSI Ziele die f r den ESX Server 3 Host sichtbar sind Konfigurieren und Verwalten von Speichern 106 Die Kapitel zum Konfigurieren und Verwalten des Speichers in diesem Handbuch behandeln die wichtigsten Konzepte und Aufgaben die bei der Arbeit mit Speichern erforderlich sind Weitere Informationen zum Konfigurieren von SANs finden Sie im SAN Konfigurationshandbuch f r Fiber Channel und im SAN Konfigurationshandbuch f r iSCSI Weitere Informationen zu bestimmten Speicherkonfigurationsaufgaben finden Sie unter folgenden Themen m Konfiguration von lokalem Speicher 90 erstellen Sie einen Datenspeicher auf einer lokalen SCSI Festplatte auf Seite 111 m Konfiguration von Fibre Channel SAN Speicher 90 erstellen Sie einen Datenspeicher auf einem Fibre Channel Ger t auf Seite 114 m Konfiguration von Hardware initiiertem iSCSI Speicher m So zeigen Sie die Eigenschaften des Hardware iSCSI Initiators an auf Seite 119 m So konfigurieren Sie den iSCSI Namen Alias und die IP Adresse f r den Hardware Initiator auf Seite 121 m So richten Sie Zielerkennungsadressen mithilfe der dynamischen Erkennung ein auf Seite 122
376. werkadapters m Konfiguriert Configured Konfigurierte Geschwindigkeit und Duplex des Netzwerkadapters m vSwitch vSwitch dem der Netzwerkadapter zugeordnet ist m berwachte IP Bereiche Observed IP ranges IP Adressen auf die der Netzwerkadapter zugreifen kann m Wake on LAN unterst tzt Wake on LAN supported F higkeit des Netzwerkadapters zur Unterst tzung von Wake on LAN Konfiguration virtueller Netzwerke f r virtuelle Maschinen Der VI Client Assistent zum Hinzuf gen von Netzwerken leitet Sie durch die Schritte zur Erstellung eines virtuellen Netzwerks mit dem sich virtuelle Maschinen verbinden k nnen Zu diesen Aufgaben geh ren u a m Einrichten des Verbindungstyps f r eine virtuelle Maschine m Hinzuf gen eines virtuellen Netzwerks zu einem neuen oder einem bestehenden vSwitch m Konfigurieren der Verbindungseinstellungen f r die Netzwerkbezeichnung und die VLAN ID Weitere Informationen zum Konfigurieren von Netzwerkverbindungen f r eine einzelne virtuelle Maschine finden Sie im Basishandbuch f r Systemadministratoren Bedenken Sie beim Einrichten von Netzwerken mit virtuellen Maschinen ob Sie die virtuellen Maschinen des Netzwerks zwischen ESX Server 3 Hosts migrieren m chten Falls ja stellen Sie sicher dass sich beide Hosts in derselben Broadcast Dom ne befinden also im selben Schicht 2 Subnetz ESX Server 3 unterst tzt die Migration virtueller Maschinen zwischen Hosts unterschiedlicher Broa
377. werks zwei Netzwerkverbindungen f r die Servicekonsole anlegen Dazu konfigurieren Sie die erste Netzwerkverbindung der Servicekonsole auf deren eigenem virtuellen Switch und verwenden diese ausschlie lich f r die Konnektivit t der Verwaltungsprogramme vSwitch 0 in der Abbildung Dann konfigurieren 219 Handbuch zur Serverkonfiguration f r ESX Server 3 Sie die zweite Netzwerkverbindung f r die Servicekonsole damit sie den virtuellen Switch verwendet den Sie f r die iSCSI Konnektivit t nutzen vSwitch 2 in der Abbildung Die zweite Servicekonsolen Netzwerkverbindung unterst tzt nur die iSCSI Aktivit ten und Sie sollten Sie nicht f r Verwaltungsaktivit ten oder die Verwaltungsprogrammkommunikation verwenden Wenn Sie eine gewisse Trennung zwischen iSCSI und der Servicekonsole auf dem gemeinsam genutzten virtuellen Switch herstellen m chten k nnen Sie sie auf unterschiedlichen VLANs konfigurieren HINWEIS Konfigurieren Sie nicht das Standard Gateway f r die Servicekonsole auf dem virtuellen Switch den Sie f r die iSCSI Konnektivit t verwenden Konfigurieren Sie es stattdessen auf dem virtuellen Switch den Sie f r die Konnektivit t der Verwaltungsprogramme verwenden Zus tzlich zum Schutz durch einen eigenen virtuellen Switch k nnen Sie das iSCSI SAN durch die Konfiguration eines eigenen VLAN f r das iSCSI SAN sch tzen Wenn die iSCSI Konfiguration sich in einem eigenen VLAN befindet wird sichergestellt dass kein
378. wie Informationen zum Treiber dem PCI Ger t und dem Verbindungsstatus der einzelnen Netzwerkkarten Sie k nnen diesen Befehl auch verwenden um die Geschwindigkeit und den Duplexmodus eines physischen Netzwerkadapters zu steuern Die Informationen zu den physischen Netzwerkadaptern des Hosts k nnen Sie im VI Client anzeigen indem Sie auf Netzwerkadapter Network Adapters klicken Klicken Sie zur nderung der Geschwindigkeit und des Duplexmodus f r einen physischen Netzwerkadapter im VI Client bei einem virtuellen Switch der dem physischen Netzwerkadapter zugeordnet wurde auf Netzwerk Networking gt Eigenschaften Properties Klicken Sie dann im Dialogfeld Eigenschaften Properties auf Netzwerkadapter Network Adapters gt Bearbeiten Edit und w hlen Sie die Geschwindigkeit Duplex Kombination aus Weitere Informationen zur nderung der Geschwindigkeit und des Duplexmodus finden Sie unter So konfigurieren Sie die Geschwindigkeit des Uplink Netzwerkadapters auf Seite 44 esxcfg resgrp Stellt die Ressourcengruppeneinstellungen wieder her und erm glicht die Ausf hrung grundlegender Verwaltungsaufgaben f r Ressourcengruppen W hlen Sie einen Ressourcenpool im Bestandslistenfenster aus und klicken Sie auf der Registerkarte bersicht Summary auf Einstellungen bearbeiten Edit Settings um die Einstellungen der Ressourcengruppe zu ndern esxcfg route Dient zum Festlegen bzw Abrufen der standardm igen VMkern
379. witchinformationen auf dem VI Client an 1 2 VMware Inc Legen Sie den CDP Modus f r den vSwitch auf entweder both oder listen fest Melden Sie sich am VI Client an und klicken Sie im Bestandslistenfenster auf den Server Die Seite Hardwarekonfiguration hardware configuration f r diesen Server wird angezeigt 49 Handbuch zur Serverkonfiguration f r ESX Server 3 3 Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Netzwerk Networking Netzwerk Virtueller Switch vSwitchO Entfernen Eigenschaften Portgruppe der virtuellen Maschine Physische Adapter v7 YM Network EB vmnico 100 vol p E 4 virtuelle Maschine n YLAN ID vmi Nostalgia vm2 DE_Win2000Pro Servicekonsolenport m Service Console vswif0 172 16 19 162 ppp 9 50 Aktualisieren Netzwerk hinzuf gen VMware Inc Kapitel 3 Erweiterte Netzwerkthemen 4 Klicken Sie auf das Infosymbol rechts neben dem vSwitch Cisco Discovery Protocol Pd Eigenschaften version Zeit berschreitung Time To Live Beispiele 10191 ser te ID emc serwer l Adresse 172 16 250 21 Port IE FastEthernet 1z Softwareversion Cisco 105 Software C2960 HardwareplattForm cisco WS C2960 24TT L IP Fr fix 0 0 0 0 IP Pr fixl nge 0 LAN 190 Yolduplex true MTU u Systemname System ID Yerwaltungsadresse 172 16 250 21 Speicherort CDP Ger tfunktionen Router Falsch Transparente Bridge Falsch Suell
380. x verwendete Plug In pam_passwdac so bietet mehr Parameter als die Parameter die von ESX Server 3 unterst tzt werden Sie k nnen diese zus tzlichen Parameter nicht in esxcfg auth angeben So wechseln zum Plug In pam_passwdqc so 1 2 VMware Inc Melden Sie sich an der Servicekonsole an und rufen Sie Root Berechtigungen ab Geben Sie den folgenden Befehl ein esxcfg auth usepamgc lt N0 gt lt N1 gt lt N2 gt lt N3 gt lt N4 gt lt bereinstimmung gt wobei m NO die Anzahl an Zeichen ist die f r ein Kennwort notwendig sind das nur aus Zeichen einer Zeichenklasse gebildet wird m N1 die Anzahl an Zeichen ist die f r ein Kennwort notwendig sind das aus Zeichen von zwei Zeichenklassen gebildet wird m N2 f r Kennworts tze verwendet wird F r ESX Server 3 sind mindestens drei W rter notwendig um einen Kennwortsatz zu bilden m N3 die Anzahl an Zeichen ist die f r ein Kennwort notwendig sind das aus Zeichen von drei Zeichenklassen gebildet wird m N4 die Anzahl an Zeichen ist die f r ein Kennwort notwendig sind das aus Zeichen von allen vier Zeichenklassen gebildet wird m bereinstimmung die Anzahl an Zeichen ist die in einer Zeichenfolge wiederverwendet wird die aus dem alten Kennwort stammt Wenn pam_passwdac so eine wiederverwendete Zeichenfolge mit mindestens dieser L nge findet schliefst es diese Zeichenfolge aus dem Qualit tstest aus und verwendet zur Pr fung nur die brigen Zeichen
381. ystems die in der Servicekonsole verwendet werden VMware Infrastructure Client Mithilfe des VI Clients k nnen Sie eine SAN LUN einem Datenspeicher zuordnen und Pfade zur zugeordneten LUN verwalten VMware Inc 165 Handbuch zur Serverkonfiguration f r ESX Server 3 Erstellen virtueller Maschinen mit Raw Ger tezuordnungen Wenn Sie eine virtuelle Maschine mit einem Direktzugriff auf eine Raw SAN LUN versehen erstellen Sie eine Zuordnungsdatei Raw Ger tezuordnung die sich in einem VMFS Datenspeicher befindet und auf die LUN verweist Wenngleich die Zuordnungsdatei dieselbe vmdk Erweiterung wie eine herk mmliche virtuelle Festplattendatei hat enth lt die Raw Ger tezuordnungsdatei nur Zuordnungsinformationen Die eigentlichen virtuellen Festplattendaten werden direkt in der LUN gespeichert Sie k nnen die Raw Ger tezuordnung als Ausgangsfestplatte f r eine neue virtuelle Maschine erstellen oder sie einer vorhandenen virtuellen Maschine hinzuf gen Beim Erstellen der Raw Ger tezuordnung geben Sie die zuzuordnende LUN und den Datenspeicher an in dem die Raw Ger tezuordnung abgelegt werden soll So erstellen Sie eine virtuelle Maschine mit einer Raw Ger tezuordnung 1 Befolgen Sie s mtliche Anweisungen zum Erstellen einer benutzerdefinierten virtuellen Maschine Siehe Grundlegende Systemverwaltung 2 W hlen Sie auf der Seite Festplatte ausw hlen Select a Disk die Option Raw Ger tezuordnung Raw Device M
382. zeigt VMware Inc Kapitel 3 Erweiterte Netzwerkthemen 2 Klicken Sie auf die Registerkarte Konfiguration Configuration und anschlie end auf Netzwerk Networking 3 W hlen Sie einen vSwitch und klicken Sie auf Bearbeiten Edit 4 Klicken Sie im Dialogfeld vSwitch Eigenschaften vSwitch Properties auf die Registerkarte Ports 5 Markieren Sie den vSwitch und klicken Sie auf Eigenschaften Properties um die Werte f r Failover und Lastausgleich Failover and Load Balancing f r den vSwitch zu bearbeiten 6 Klicken Sie auf die Registerkarte NIC Gruppierung NIC Teaming Sie k nnen die Failover Reihenfolge auf Portgruppenebene au er Kraft setzen Standardm ig werden neue Adapter f r alle Richtlinien aktiviert Neue Adapter bertragen den Datenverkehr f r den vSwitch und seine Portgruppe wenn Sie nichts anderes angeben CH vwSwitchO Eigenschaften Allgemein Sicherheit Traffic Shaping MIC Gruppierung Richtlinenausnahmen Lastenausgleich an han d der Quelle der Port ID router Hetzwerk Falower Ermittlung Hur Yerbindurgsstatus r Switches benachrichten Faiback Failswer Feihenfolge w hlen Sie aktive und Standby Adapter f r diese Portgruppe Bei einem Failover werden Standby Adapter in der unten angegebenen Reihenfolge aktiviert Mame Geschwindigkeit Netzwerke Aktive Adapter Des EB mnich 100 voll 172 16 19 64 172 16 19 127 Standby Adapter Nicht verwendete Adapter
383. zwerk Networking Klicken Sie auf Netzwerk hinzuf gen Add Networking W hlen Sie im Dialogfeld Verbindungstypen Connection Types die Option Servicekonsole Service Console und klicken Sie auf Weiter Next Assistent zum Hinzuf gen von Netzwerken Servicekonsole Netzwerkzugriff Die Servicekonsole erreicht Netzwerke ber Uplink Adapter die an virtuellen Switches angeschlossen sind Verbindungstyp Netzwerkzugriff Einen virtuellen Switch erstellen Yerbindungseinstellungen bersicht C Yerwendung vSwitch0 DE vmnico 100 Yoll 172 16 19 1 172 16 19 127 C Yerwendung vSwitch1 DB vmnic C erwendung vSwitch2 vorschau Servicekonsolenport Physische Adapter Servicekonsole 3 Q N Keine Adapter lt Zur ck Weiter gt Abbrechen Wi W hlen Sie den vSwitch aus den Sie f r den Zugriff auf das Netzwerk verwenden m chten oder markieren Sie Neuen vSwitch erstellen Create a new vSwitch Klicken Sie auf Weiter Next Wenn unter Neuen virtuellen Switch erstellen Create a new virtual switch keine Adapter angezeigt werden bedeutet dies dass alle Netzwerkadapter im System von vorhandenen vSwitches verwendet werden Weitere Informationen zum Verschieben von Netzwerkadaptern zwischen vSwitches finden Sie unter 90 f gen Sie Uplink Adapter hinzu auf Seite 45 35 Handbuch zur Serverkonfiguration f r ESX Server 3 6 W hlen Sie unter Portgruppen Eigenschaften Port Group Properties die
384. zwerk kann an ein physisches Netzwerk angeschlossen werden indem mindestens ein physischer Ethernet Adapter auch Uplink Adapter genannt dem virtuellen Switch des virtuellen Netzwerks zugewiesen wird Wenn dem virtuellen Switch kein Uplink Adapter zugewiesen wurde ist der Datenverkehr im virtuellen Netzwerk auf den physischen Hostcomputer beschr nkt Wenn dem virtuellen Switch mindestens ein Uplink Adapter zugewiesen wurde k nnen die virtuellen Maschinen die an dieses virtuelle Netzwerk angeschlossen sind auch auf die physischen Netzwerke zugreifen die an den oder die Uplink Adapter angeschlossen sind Ein physischer Ethernet Switch verwaltet den Netzwerkdatenverkehr zwischen den Computern im physischen Netzwerk Ein Switch verf gt ber mehrere Ports Jeder dieser Ports kann an einen anderen Computer oder Switch im Netzwerk angeschlossen sein Jeder Port kann je nach Bedarf des angeschlossenen Computers so konfiguriert werden dass er sich auf eine bestimmte Art verh lt Der Switch stellt fest welche Hosts an welche seiner Ports angeschlossen sind und verwendet diese Informationen um Daten an den entsprechenden richtigen physischen Computer weiterzuleiten Switches bilden den Kern eines physischen Netzwerks Es k nnen mehrere Switches zusammengeschlossen werden um gr ere Netzwerke zu bilden Ein virtueller Switch ein sog vSwitch funktioniert hnlich wie ein physischer Ethernet Switch Er wei welche virtuellen Maschinen logisch
Download Pdf Manuals
Related Search