安装nod32升级id

nod32升级id  时间:2021-01-31  阅读:()

vShield安装和升级指南vShieldManager5.
1vShieldApp5.
1vShieldEdge5.
1vShieldEndpoint5.
1在本文档被更新的版本替代之前,本文档支持列出的每个产品的版本和所有后续版本.
要查看本文档的更新版本,请访问http://www.
vmware.
com/cn/support/pubs.
ZH_CN-000868-03vShield安装和升级指南2VMware,Inc.
最新的技术文档可以从VMware网站下载:http://www.
vmware.
com/cn/support/VMware网站还提供最近的产品更新信息.
您如果对本文档有任何意见或建议,请把反馈信息提交至:docfeedback@vmware.
com版权所有2010–2012VMware,Inc.
保留所有权利.
本产品受美国和国际版权及知识产权法的保护.
VMware产品受一项或多项专利保护,有关专利详情,请访问http://www.
vmware.
com/go/patents-cn.
VMware是VMware,Inc.
在美国和/或其他法律辖区的注册商标或商标.
此处提到的所有其他商标和名称分别是其各自公司的商标.
VMware,Inc.
3401HillviewAve.
PaloAlto,CA94304www.
vmware.
com北京办公室北京市海淀区科学院南路2号融科资讯中心C座南8层www.
vmware.
com/cn上海办公室上海市浦东新区浦东南路999号新梅联合广场23楼www.
vmware.
com/cn广州办公室广州市天河北路233号中信广场7401室www.
vmware.
com/cn目录关于本文档51vShield简介7vShield组件一览7部署方案102安装准备工作13系统要求13部署注意事项143安装vShieldManager17获取vShieldManagerOVA文件17安装vShieldManager虚拟设备17配置vShieldManager的网络设置18登录vShieldManager用户界面19设置vShieldManager19更改vShieldManager用户界面默认帐户的密码21调度vShieldManager数据的备份214安装vShieldEdge、vShieldApp、vShieldEndpoint和vShieldDataSecurity23在评估模式下运行vShield许可组件23安装vShield组件许可证23安装vShieldApp24安装vShieldEdge25安装vShieldEndpoint30安装vShieldDataSecurity315卸载vShield组件33卸载vShieldApp虚拟设备33卸载vShieldEdge33卸载vShieldDataSecurity虚拟机34卸载vShieldEndpoint模块346升级vShield35升级vShieldManager35升级vShieldApp40升级vShieldEdge40升级vShieldEndpoint41升级vShieldDataSecurity42VMware,Inc.
37对安装问题进行故障排除43vShieldApp安装失败43vShieldDataSecurity安装失败44索引45vShield安装和升级指南4VMware,Inc.
关于本文档本《vShield安装和升级指南》手册介绍了如何使用vShieldManager用户界面、vSphereClient插件和命令行界面(CLI)安装和配置VMwarevShield系统.
此信息包括分步配置说明以及建议的最佳做法.
目标读者本手册专供要在VMwarevCenter环境中安装或使用vShield的用户使用.
本手册的目标读者为熟悉虚拟机技术和虚拟数据中心操作且经验丰富的系统管理员.
本手册假设您熟悉VMwareInfrastructure5.
x,包括VMwareESX、vCenterServer和vSphereClient.
VMware技术出版物词汇表VMware技术出版物提供了一个词汇表,其中包含一些您可能不熟悉的术语.
有关VMware技术文档中所使用的术语的定义,请访问http://www.
vmware.
com/support/pubs.
文档反馈VMware欢迎您提出宝贵建议,以便改进我们的文档.
如有意见,请将反馈发送到docfeedback@vmware.
com.
技术支持和教育资源您可以获取以下技术支持资源.
有关本文档和其他文档的最新版本,请访问:http://www.
vmware.
com/support/pubs.
在线支持和电话支持要通过在线支持提交技术支持请求、查看产品和合同信息以及注册您的产品,请访问http://www.
vmware.
com/support.
客户只要拥有相应的支持合同,就可以通过电话支持,尽快获得对优先级高的问题的答复.
请访问http://www.
vmware.
com/support/phone_support.
html.
支持服务项目要了解VMware支持服务项目如何帮助您满足业务需求,请访问http://www.
vmware.
com/support/services.
VMware专业服务VMware教育服务课程提供了大量实践操作环境、案例研究示例,以及用作作业参考工具的课程材料.
这些课程可以通过现场指导、教室授课的方式学习,也可以通过在线直播的方式学习.
关于现场试点项目及实施的最佳实践,VMware咨询服务可提供多种服务,协助您评估、计划、构建和管理虚拟环境.
要了解有关教育课程、认证计划和咨询服务的信息,请访问http://www.
vmware.
com/services.
VMware,Inc.
5vShield安装和升级指南6VMware,Inc.
vShield简介1本章介绍您安装的VMwarevShield组件.
本章讨论了以下主题:n第7页,"vShield组件一览"n第10页,"部署方案"vShield组件一览VMwarevShield是专为VMwarevCenterServer集成而构建的安全虚拟设备套件.
vShield是保护虚拟化数据中心免遭攻击和误用的关键安全组件,可帮助您实现合规性强制要求目标.

vShield包含对保护虚拟机至关重要的虚拟设备和服务.
可通过基于Web的用户界面、vSphereClient插件、命令行界面(CLI)和RESTAPI配置vShield.
vCenterServer包含vShieldManager.
以下每个vShield软件包都需要一个许可证:nvShieldAppnvShieldAppwithDataSecuritynvShieldEdgenvShieldEndpoint一个vShieldManager可管理一个vCenterServer环境和多个vShieldApp、vShieldEdge、vShieldEndpoint和vShieldDataSecurity实例.
vShieldManagervShieldManager是vShield的集中式网络管理组件,可作为虚拟设备安装在vCenterServer环境中的任意ESX主机上.
vShieldManager可在与安装vShield代理不同的ESX主机上运行.
使用vShieldManager用户界面或vSphereClient插件,管理员可以安装、配置和维护vShield组件.
vShieldManager用户界面利用VMwareInfrastructureSDK显示vSphereClient清单面板的副本,并包含Hosts&Clusters和Networks视图.
VMware,Inc.
7vShieldAppvShieldApp是基于管理程序的防火墙,可保护虚拟数据中心中的应用程序免遭基于网络的攻击.
组织可查看和控制虚拟机之间的网络通信.
您可以基于逻辑构造(如VMwarevCenter容器和vShield安全组),而不仅是基于物理构造(如IP地址)来创建访问控制策略.
此外,可变IP寻址会提供在多租户区域中使用同一IP地址简化置备的功能.
应当在群集内的每台ESX主机上安装vShieldApp,这样VMwarevMotion操作便可正常运行,且虚拟机在ESX主机之间迁移时仍会受保护.
默认情况下,使用vMotion无法移动vShieldApp虚拟设备.
FlowMonitoring功能会显示在应用程序协议级别的虚拟机之间的网络活动.
您可以使用此信息审核网络流量、定义和细化防火墙策略以及识别对网络的威胁.
vShieldEdgevShieldEdge可提供网络边缘安全和网关服务,用于隔离端口组、vDS端口组或CiscoNexus1000V端口组中的虚拟化网络或虚拟机.
可以在数据中心级别安装vShieldEdge并添加多达十个内部或上行链路接口.
vShieldEdge通过提供DHCP、VPN、NAT和负载平衡等常见网关服务将隔离的末端网络连接到共享(上行链路)网络.
vShieldEdge通常部署在DMZ、VPN外联网和多租户云计算环境中,vShieldEdge在这些环境中为虚拟数据中心(VirtualDatacenter,VDC)提供外围安全保护.
标准vShieldEdge服务(包含vCloudDirector)防火墙支持的规则包括IP5元组配置(包含用于所有协议状态监测的IP地址和端口范围).
网络地址转换分别用于控制源IP地址和目标IP地址以及端口转换的独立控制项.
动态主机配置协议(DHCP)配置IP池、网关、DNS服务器和搜索域.
高级vShieldEdge服务点对点虚拟专用网络(VPN)使用标准化IPsec协议设置与所有主要VPN供应商进行交互操作.
SSLVPN-PlusSSLVPN-Plus可以使远程用户安全连接到vShieldEdge网关背后的专用网络.
负载平衡简单动态地配置虚拟IP地址和服务器组.
HighAvailability当主vShieldEdge虚拟机不可用时,高可用性可确保vShieldEdge在网络上处于活动状态.
vShieldEdge支持将所有服务的syslog导出到远程服务器.
vShield安装和升级指南8VMware,Inc.
图1-1多接口EdgevShieldEdgeMPLSVPNInternet接口1接口3接口2接口4接口6接口5DMZ网络会计部门网络营销部门网络工程部门网络VPN负载平衡DNSDHCP可用性高vShieldEdgevShieldEndpointvShieldEndpoint可将防病毒和防恶意软件代理处理任务转移到VMware合作伙伴提供的专用安全虚拟设备上.
由于安全虚拟设备(与客户机虚拟机不同)不会脱机,因此可以不断地更新防病毒签名,从而为主机上的虚拟机提供持续保护.
另外,还可以在新虚拟机(或处于脱机状态的现有虚拟机)联机时,立即使用最新防病毒签名保护这些虚拟机.
vShieldEndpoint可作为虚拟化管理程序模块和来自第三方防病毒供应商(VMware合作伙伴)的安全虚拟设备安装在ESX主机上.
管理程序可从外部扫描客户机虚拟机,而无需从每个虚拟机中的代理进行扫描.
这使vShieldEndpoint在优化内存使用情况的同时更为有效地避免出现资源瓶颈.
章1vShield简介VMware,Inc.
9图1-2安装在ESX主机上的vShieldEndpoint!
第三方服务虚拟设备部署在每台主机上vShieldEndpoint虚拟化管理程序以提供端点服务模块部署在每台主机上vShieldDataSecurity可通过vShieldDataSecurity查看存储在组织的虚拟化环境和云环境中的敏感数据.
根据vShieldDataSecurity报告的冲突,您可以确保敏感数据受到充分保护,并且能评估与周围环境中的法规是否相符.

部署方案使用vShield,您可以为各种虚拟机部署构建安全区域.
您可以根据特定应用程序、网络分段或自定义合规性因素隔离虚拟机.
确定区域分配策略后,可以通过部署vShield在这些区域中强制实施访问规则.
保护DMZDMZ是指混合信任区域.
客户端从Internet进入以获取Web和电子邮件服务,DMZ中的服务可能要求访问内部网络中的服务.
可以将DMZ虚拟机置于一个端口组中,并使用vShieldEdge对该端口组进行保护.
vShieldEdge提供防火墙、NAT和VPN以及负载平衡等访问服务来保护DMZ服务.
要求访问内部服务的DMZ服务的一个常见示例是MicrosoftExchange.
MicrosoftOutlookWebAccess(OWA)通常驻留在DMZ群集中,而MicrosoftExchange后端位于内部群集中.
在内部群集中,您可以创建相关防火墙规则,以仅允许来自DMZ的Exchange相关请求,标识特定的源到目标参数.
在DMZ群集中,您可以创建相关规则,将对DMZ的外部访问仅限于使用HTTP、FTP或SMTP协议的特定目标.
隔离和保护内部网络可以使用vShieldEdge将内部网络与外部网络隔离.
vShieldEdge提供外围防火墙保护和边界服务,以保护端口组中的虚拟机,并支持通过DHCP、NAT和VPN与外部网络通信.
在安全的端口组内,可以在vDS所跨的每个ESX主机上安装一个vShieldApp实例,从而保护内部网络中虚拟机之间的通信.
vShield安装和升级指南10VMware,Inc.
如果您利用VLAN标记对流量进行分段,可以使用AppFirewall创建智能访问策略.
借助AppFirewall(而不是物理防火墙),可以合并或混合共享ESX群集中的信任区域.
这样,您会获得DRS和HA等功能的最佳利用率和整合效果,而不是拥有单独的分段群集.
将整个ESX部署作为单个池来管理远没有单独管理多个池复杂.
例如,可根据逻辑、组织或网络边界使用VLAN对虚拟机区域分段.
vShieldManager利用VirtualInfrastructureSDK,其清单面板会在Networks视图下显示VLAN网络视图.
您可以为每个VLAN网络构建访问规则来隔离虚拟机并丢弃传输到这些计算机的未标记流量.
保护群集中的虚拟机可以使用vShieldApp保护群集中的虚拟机.
在图1-3中,群集中的每台ESX主机上都安装了vShieldApp.
当通过vMotion或DRS在群集中的ESX主机之间移动虚拟机时,虚拟机仍受保护.
每个vApp共享和维护所有传输状态.
图1-3安装在群集中每个ESX主机上的vShieldApp实例vShieldEdge的常见部署可以使用vShieldEdge隔离末端网络,从而使用NAT允许流量传入和传出网络.
如果部署内部末端网络,可以通过VPN通道实现LAN到LAN的加密,从而利用vShieldEdge保护网络之间的通信.
vShieldEdge可以部署为VMwarevCloudDirector中的自助应用程序.
vShieldApp的常见部署可以使用vShieldApp在vDC中创建安全区域.
可以强制在vCenter容器或安全组上实施防火墙策略.
安全组是可以通过vShieldManager用户界面创建的自定义容器.
利用基于容器的策略,您可以创建混合的信任区域,而不需要外部物理防火墙.
在不使用vDC的部署中,使用带有安全组功能的vShieldApp可创建信任区域并强制实施访问策略.
服务提供程序管理员可以使用vShieldApp在内部网络中的所有客户虚拟机上强制实施广泛的防火墙策略.
例如,可以在所有客户虚拟机的第二个vNIC上强制实施一个防火墙策略,以允许虚拟机连接到某个存储服务器,但阻止虚拟机访问任意其他虚拟机.
章1vShield简介VMware,Inc.
11vShield安装和升级指南12VMware,Inc.
安装准备工作2本章概括介绍成功安装vShield的先决条件.
本章讨论了以下主题:n第13页,"系统要求"n第14页,"部署注意事项"系统要求在vCenterServer环境中安装vShield之前,请考虑您的网络配置和资源.
您可以在每个vCenterServer上安装一个vShieldManager,在每个ESX主机上安装一个vShieldApp或一个vShieldEndpoint,在每个数据中心上安装多个vShieldEdge实例.
硬件表2-1硬件要求组件最低内存nvShieldManager:8GB已分配内存,3GB预留内存nvShieldApp:1GB已分配内存,1GB预留内存nvShieldEdge紧凑型:256MB,大型:1GB,超大型:8GBnvShieldDataSecurity:512MB磁盘空间nvShieldManager:60GBnvShieldApp:每个ESX主机上的每个vShieldApp需要5GBnvShieldEdge紧凑型和大型:320MB,极大型:4.
4GB(含4GB交换文件)nvShieldDataSecurity:每个ESX主机6GBvCPUnvShieldManager:2nvShieldApp:2nvShieldEdge紧凑型:1,大型和超大型:2nvShieldDataSecurity:1软件有关互操作性的最新信息,请参见http://partnerweb.
vmware.
com/comp_guide/sim/interop_matrix.
php上的产品互操作性列表.
VMware,Inc.
13下面是所需的最低VMware产品版本.
nVMwarevCenterServer5.
0或更高版本对于VXLAN虚拟线路,您需要vCenterServer5.
1或更高版本.
n每个服务器均需要VMwareESX4.
1或更高版本对于vShieldEndpoint,需要VMwareESX4.
1Patch3或更高版本.
对于VXLAN虚拟线路,您需要VMwareESX5.
1或更高版本.
nVMwareTools对于vShieldEndpoint和vShieldDataSecurity,您必须将虚拟机升级到硬件版本7或8,并安装与ESXi5.
0Patch3一起发布的VMwareTools8.
6.
0.
有关详细信息,请参见第31页,"在客户机虚拟机上安装VMwareTools".
您必须在要由vShieldApp保护的虚拟机上安装VMwareTools.
nVMwarevCloudDirector1.
5或更高版本nVMwareView4.
5或更高版本客户端和用户访问权限n安装了VMwarevSphereClient的PCn如果您已按名称将ESX主机添加到vSphere清单中,请确保已在vShieldManager中配置DNS服务器,并且名称解析能够正常运行.
否则,vShieldManager将无法解析IP地址.
n添加和打开虚拟机电源的权限n访问存储虚拟机文件的数据存储的权限,以及将文件复制到该数据存储的帐户权限n在Web浏览器中启用Cookies以访问vShieldManager用户接口n在vShieldManager中,可从要部署的ESX主机、vCenterServer和vShield设备访问端口443.
在ESX主机上,需要通过该端口下载OVF文件以进行部署.
n可以使用下列支持的Web浏览器之一连接到vShieldManager:nInternetExplorer6.
x和更高版本nMozillaFirefox1.
x和更高版本nSafari1.
x或2.
x部署注意事项部署vShield组件之前,请先考虑以下建议和限制条件.
vShield的部署注意事项本主题介绍vShield组件的部署注意事项.
针对vShield保护准备虚拟机必须确定如何使用vShield保护您的虚拟机.
最佳做法是应根据您使用的vShield组件,为vShieldApp、vShieldEndpoint和vShieldDataSecurity在DRS群集中准备好所有ESX主机.
还必须将虚拟机升级到硬件版本7或8.
请考虑以下问题:vShield安装和升级指南14VMware,Inc.
我的虚拟机的分组方式您可能会考虑将虚拟机移动到vDSC上的端口组中,或移动到其他ESX主机上,以将虚拟机按职能、部门或其他组织要求分组,从而提高安全性,并简化访问规则配置.
您可以在任意端口组的外围安装vShieldEdge,以将虚拟机与外部网络隔离.
您可以在ESX主机上安装vShieldApp,并为每个容器资源配置防火墙策略,以便根据资源的层次结构执行规则.
使用vMotion将我的虚拟机迁移到其他ESX主机后,我的虚拟机是否仍受保护是的,如果DRS群集中的主机已准备好,则可以在这些主机之间迁移虚拟机,且不会影响安全状态.
有关准备ESX主机的信息,请参见第24页,"安装vShieldApp".
vShieldManager正常运行时间vShieldManager必须在不受停机(如频繁重新启动或以维护模式运行)影响的ESX主机上运行.
可以使用HA或DRS来提高vShieldManager的故障恢复能力.
如果vShieldManager所在的ESX主机预计将要停机,请使用vMotion将此vShieldManager虚拟设备迁移至其他ESX主机.
因此,建议使用多个ESX主机.
vShield组件之间的通信应将vShield组件的管理接口放置在公共网络(如vSphere管理网络)中.
vShieldManager必须可以连接到vCenterServer、ESXi主机、vShieldApp和vShieldEdge实例、vShieldEndpoint模块和vShieldDataSecurity虚拟机.
vShield组件可以通过路由连接及不同的LAN进行通信.
VMware建议您将vShieldManager安装在专用的管理群集(独立于vShieldManager管理的群集)上.
每个vShieldManager将管理一个vCenterServer环境.
如果vCenterServer或vCenterServer数据库虚拟机位于您要安装vShieldApp的ESX主机上,请在安装vShieldApp之前将其迁移到其他主机上.
确保打开以下端口:n来自、到达以及在ESX主机、vCenterServer和vShieldDataSecurity之间的端口443/TCPn用于时间同步的vShieldManager和vShieldApp之间的UDP123n用于使用RESTAPI调用的从REST客户端到vShieldManager的443/TCPn用于使用vShieldManager用户界面并启动与vSphereSDK的连接的80/TCP和443/TCPn用于在vShieldManager和vShieldApp之间进行通信并排除CLI故障的22/TCP强化对vShield虚拟机的保护可以通过使用基于Web的用户界面、命令行界面和RESTAPI来访问vShieldManager和其他vShield组件.
vShield包含上述每个访问选项的默认登录凭据.
安装完各vShield虚拟机后,应更改默认登录凭据,以强化访问保护.
请注意,vShieldDataSecurity不包含默认的登录凭据.
vShieldManager用户界面可以通过打开Web浏览器窗口并导航到vShieldManager管理端口的IP地址来访问vShieldManager用户界面.
默认用户帐户admin拥有vShieldManager的所有访问权限.
首次登录后,应该更改admin用户帐户的默认密码.
请参见第21页,"更改vShieldManager用户界面默认帐户的密码".
章2安装准备工作VMware,Inc.
15命令行界面可以通过vSphereClient控制台会话使用命令行界面来访问vShieldManager、vShieldApp和vShieldEdge虚拟设备.
要访问vShieldEndpoint虚拟设备,请参见防病毒解决方案提供商的说明.
不能通过使用命令行界面访问vShieldDataSecurity虚拟机.
登录各虚拟设备所用的用户名(admin)和密码(default)与登录vShieldManager用户界面所用的用户名和密码相同.
进入Enabled模式也使用密码default.
有关强化CLI的详细信息,请参见《vShield命令行界面参考》.
REST请求所有RESTAPI请求都要在vShieldManager中进行身份验证.
使用Base64编码确定以下格式的"用户名-密码"组合:username:password.
必须使用具有访问特权的vShieldManager用户界面帐户(用户名和密码)来提交请求.
有关RESTAPI身份验证请求的详细信息,请参见《vShieldAPI编程指南》.
vShieldApp的部署注意事项VMware建议您分析vCenterServer环境,并确定是要保护整个环境还是仅保护某些群集.
如果决定要保护特定的群集,则必须准备整个群集并在这些群集的所有ESX主机上安装vShieldApp.
如果只在群集中的某些主机上安装vShieldApp,vMotion可能会将虚拟机从受保护的主机移动到不受保护的主机,从而影响网络安全.
确保在维护时间段中为您的环境安装vShieldApp.
安装总时间可能会因环境和每个群集中的主机数量而有所不同,但您必须在恢复正常操作之前完成所有需要的群集上的vShieldApp安装.
安装完成后,VMware建议您启用vSphereHA,并在已安装vShieldApp的群集上将群集功能设置为VMandApplicationMonitoring.
此功能可监控vShieldApp并在其出现故障时触发重新启动,从而尽量避免vShieldApp故障的发生.
有关此功能的详细信息,请参见《vSphere可用性》.
VMware建议您在正常操作期间允许vShieldApp运行,并使用vShieldAppFlowMonitoring工具获取流入和流出虚拟网络的流量的基准知识.
然后,您可以根据网络的需要添加规则.

启用vShieldApp的SpoofGuard功能,您可以授权VMwareTools报告的IP地址,并可以根据需要更改这些地址以防止欺骗.
根据您选择的SpoofGuard模式,vShieldApp将在首次使用分配的IP地址时自动信任这些地址,或在使用IP地址之前要求您手动批准分配的IP地址.
但是,请注意,虚拟机的IP地址可能会在DHCP服务器续订租约或重新引导时发生更改.
这意味着,如果启用SpoofGuard功能,您必须批准新的或更新后的IP地址.
在安装vShieldApp之前熟悉流量监控和SpoofGuard功能,您可以采用最安全的方式配置vShieldApp.
有关这些功能的详细信息,请参见《vShield管理指南》.
vShieldEdge的部署注意事项在安装vShieldEdge之前,必须先熟悉网络拓扑.
vShieldEdge可以拥有多个接口,但必须至少将一个内部接口连接到端口组或VXLAN虚拟线路后,才能部署vShieldEdge.
上行链路接口可以与外界连接.
您必须已创建和配置具有外部连接的端口组或VXLAN虚拟线路.
您还必须拥有内部接口可连接到其虚拟机的端口组.
确定要为这些接口提供的IP地址和子网.
此外,还必须考虑在安装vShieldEdge之后应启用和配置的服务.
有关vShieldEdge服务的详细信息,请参见《vShield管理指南》.
在安装vShieldEdge之后和在配置vShieldEdge服务之前,该端口组中的虚拟机可能会丢失网络连接.
为避免出现此问题,您可以创建一个新的端口组,并在其上安装和配置vShieldEdge,然后将虚拟机移动到该新端口组.
请注意,默认的vShieldEdge防火墙策略会阻止所有入站流量,所以您必须根据需要添加允许规则.
vShield安装和升级指南16VMware,Inc.
安装vShieldManager3VMwarevShield提供防火墙保护、流量分析功能以及网络外围服务来保护vCenterServer虚拟基础架构.
在大多数虚拟数据中心中,vShield虚拟设备均已实现自动化安装.
vShieldManager是vShield的集中式管理组件.
使用vShieldManager可监视并集中配置vShieldApp、vShieldEndpoint和vShieldEdge实例.
vShieldManager在ESX主机上作为虚拟设备运行.
vShieldManager的安装过程是一个多步骤流程.
您必须按顺序执行所有任务才能成功安装vShieldManager.
要强化网络安全状态,可以获取vShieldApp、vShieldEndpoint和vShieldEdge的许可证.
本章讨论了以下主题:n第17页,"获取vShieldManagerOVA文件"n第17页,"安装vShieldManager虚拟设备"n第18页,"配置vShieldManager的网络设置"n第19页,"登录vShieldManager用户界面"n第19页,"设置vShieldManager"n第21页,"更改vShieldManager用户界面默认帐户的密码"n第21页,"调度vShieldManager数据的备份"获取vShieldManagerOVA文件vShieldManager虚拟机打包为开放虚拟化设备(OVA)文件,这样您便可以使用vSphereClient将vShieldManager导入到数据存储和虚拟机清单中.
安装vShieldManager虚拟设备可以在配置了DRS的群集中的ESX主机上安装vShieldManager虚拟机.
通过vShield5.
0及更高版本,您可以将vShieldManager安装在与其交互操作的vCenter之外的vCenter中.
一个vShieldManager服务于一个vCenterServer环境.
vShieldManager虚拟机安装文件中包含VMwareTools.
请勿尝试在vShieldManager上升级或安装VMwareTools.
前提条件您必须已获得企业管理员或vShield管理员角色.
VMware,Inc.
17步骤1登录vSphereClient.
2创建一个端口组来托管vShieldManager的管理接口.
vShieldManager管理接口、vCenterServer和ESXi主机必须可供将来所有的vShieldEdge、vShieldApp和vShieldEndpoint实例访问.
注意请不要将vShieldManager的管理接口与服务控制台和VMkernel置于同一端口组中.
3选择File>DeployOVFTemplate.
4单击浏览找到PC中vShieldManagerOVA文件所在的文件夹.
5完成安装.
vShieldManager将作为虚拟机安装在您的清单中.
6打开vShieldManager虚拟机电源.
下一步vShieldManager5.
1的默认CPU为2个vCPU.
为使vShieldManager与vSphereFaultTolerance配合工作,您必须将CPU设置为1个vCPU.
配置vShieldManager的网络设置必须使用vShieldManager的命令行界面(CLI)来配置IP地址、识别默认网关以及设置DNS设置.
最多可以指定两个DNS服务器,以供vShieldManager解析IP地址和主机名称.
如果通过使用主机名称(而不是IP地址)添加了vCenterServer环境中的任意ESX主机,则需要DNS.
步骤1右键单击vShieldManager虚拟机,然后单击OpenConsole打开vShieldManager的命令行界面(CLI).
引导过程可能会持续几分钟.
2显示managerlogin提示后,使用用户名admin和密码default登录CLI.
3使用密码default进入Enabled模式.
manager>enablePassword:manager#4运行setup命令打开CLIsetup向导.
CLIsetup向导会引导您完成为vShieldManager的管理接口分配IP地址并标识默认网络网关的过程.
管理接口的IP地址必须可供vCenterServer、ESXi主机、所有已安装的vShieldApp、vShieldEdge和vShieldEndpoint实例以及用于系统管理的Web浏览器访问.
manager#setupUseCTRL-Dtoabortconfigurationdialogatanyprompt.
Defaultsettingsareinsquarebrackets'[]'.
IPAddress(A.
B.
C.
D):SubnetMask(A.
B.
C.
D):Defaultgateway(A.
B.
C.
D):vShield安装和升级指南18VMware,Inc.
PrimaryDNSIP(A.
B.
C.
D):SecondaryDNSIP(A.
B.
C.
D):Oldconfigurationwillbelost.
Doyouwanttosavenewconfiguration(y/[n]):y5(可选)如果先前为vShieldManager配置了网络设置,则必须重新引导系统.
6请先注销,然后使用用户名admin和密码default重新登录CLI.
7对默认网关执行Ping操作,验证网络连通性.
manager>pingA.
B.
C.
D8在PC中,对vShieldManager的IP地址执行ping命令,验证是否可以访问IP地址.
登录vShieldManager用户界面安装并配置vShieldManager虚拟机后,登录vShieldManager用户界面.
步骤1打开Web浏览器窗口并键入分配给vShieldManager的IP地址.
vShieldManager用户界面将使用SSL在Web浏览器窗口中打开.
2接受安全证书.
注意可以使用SSL证书进行身份验证.
请参见《vShield管理指南》.
此时将显示vShieldManager登录屏幕.
3使用用户名admin和密码default登录vShieldManager用户界面.
应首先更改默认密码,以防止未授权的使用.
请参见第21页,"更改vShieldManager用户界面默认帐户的密码".
4单击LogIn.
设置vShieldManager指定vCenterServer、DNS和NTP服务器以及查询服务器详细信息.
注意vShieldManager虚拟机不会作为资源显示在vShieldManager用户界面的清单面板中.
Settings&Reports对象代表清单面板中的vShieldManager虚拟机.
前提条件n您必须拥有具有管理员访问权限的vCenterServer用户帐户才能将vShieldManager与vCenterServer进行同步.
如果vCenter密码包含非Ascii字符,则必须先进行更改,然后才可以使vShieldManager与vCenterServer同步.
n要在vShieldManager上使用SSO,您必须拥有vCenterServer5.
1或更高版本,并且SingleSignOn服务必须安装在vCenterServer上.
步骤1登录vShieldManager.
2单击vShieldManager清单面板中的Settings&Reports.
3单击配置选项卡.
章3安装vShieldManagerVMware,Inc.
194配置vShieldManager的网络设置后,DNSServers区域将显示您指定的DNS服务器的IP地址.
如果需要,您可以编辑服务器.
5在NTPServer中,单击Edit,然后键入NTP服务器的IP地址.
NTP服务器会确定公共网络时间.
建议您使用SSO服务器使用的NTP服务器,以便vShieldManager服务器上的时间与NTP服务器保持同步.
重要事项编辑NTP服务器详细信息后,必须重新引导vShieldManager.
6在LookupService中,单击Edit,然后键入具有LookupService的主机的主机名或IP地址.
7根据需要更改端口号.
系统将根据指定的主机和端口显示LookupServiceURL.
8键入SSO用户名和密码.
这使vShieldManager可以在安全令牌服务服务器上注册自身.
9在vCenterServer中,键入您的vCenterServer的IP地址或主机名.
10键入您的vSphereClient登录用户名.
11键入与用户名关联的密码.
12要为您以其身份登录的用户分配企业管理员角色,请选择AssignvShieldEnterpriseAdministratorroletothisuser.
该角色为用户提供vShield操作和安全权限.
13要修改插件脚本下载位置,请选择Modifyplug-inscriptdownloadlocation,然后键入vShieldManagerIP地址和端口号.
NAT环境中可能需要进行该操作.
默认情况下,使用的vShieldManager地址为vShield_Manager_IP:443.
14单击Save.
15(可选)在Windows服务器计算机上,执行以下步骤来加载vShieldManager清单面板:a打开InternetExplorer.
b选择工具>Internet选项.
c在Internet选项窗口中,选择安全选项卡.
d单击受信任的站点.
e单击站点按钮.
f键入vShieldManager的IP地址,然后单击添加.
g单击关闭.
h单击确定.
i关闭InternetExplorer.
vShieldManager将连接到vCenterServer,登录并利用VMwareInfrastructureSDK填充vShieldManager清单面板.
清单面板显示在屏幕左侧.
此资源树应该与VMwareInfrastructure清单面板相匹配.
vShieldManager不显示在vShieldManager清单面板中.
下一步登录到vSphereClient,选择一个ESX主机,验证vShield是否显示为一个选项卡.
然后,您可以从vSphereClient安装和配置vShield组件.
vShield安装和升级指南20VMware,Inc.
更改vShieldManager用户界面默认帐户的密码可以更改admin帐户的密码,来强化对vShieldManager的访问保护.
步骤1登录vShieldManager用户界面.
2单击窗口右上角的ChangePassword.
3在Oldpassword中,键入default(当前密码).
4键入新密码.
5在RetypePassword字段中再次键入该密码进行确认.
6单击确定保存更改.
调度vShieldManager数据的备份在任何给定时间只能调度一种备份类型的参数.
无法调度仅包含配置的备份与完整数据备份同时运行.

步骤1单击vShieldManager清单面板中的Settings&Reports.
2单击Configuration选项卡.
3单击Backups.
4从ScheduledBackups下拉菜单中,选择On.
5从BackupFrequency下拉菜单中,选择Hourly、Daily或Weekly.
系统将根据所选的频率禁用DayofWeek、HourofDay和Minute下拉菜单.
例如,如果您选择Daily,则将禁用DayofWeek下拉菜单,因为此字段不适用于每天频率.
6(可选)如果不希望备份系统事件表,请选中ExcludeSystemEvents复选框.
7(可选)如果不希望备份审核日志表,请选中ExcludeAuditLog复选框.
8键入将保存备份的系统的HostIPAddress.
9(可选)键入备份系统的HostName.
10键入登录到备份系统所需的UserName.
11键入与备份系统的用户名关联的Password.
12在BackupDirectory字段中,键入用于存储备份的绝对路径.
13在FilenamePrefix中键入一个文本字符串.
此文本将被预置到每个备份文件名中,以便在备份系统中识别这些备份文件.
例如,如果键入ppdb,则生成的备份的名称为ppdbHH_MM_SS_DayDDMonYYYY.
14根据目标支持的内容,从TransferProtocol下拉菜单中选择SFTP或FTP.
15单击SaveSettings.
章3安装vShieldManagerVMware,Inc.
21vShield安装和升级指南22VMware,Inc.
安装vShieldEdge、vShieldApp、vShieldEndpoint和vShieldDataSecurity4安装vShieldManager后,可以获取许可证来激活vShieldApp、vShieldEndpoint、vShieldEdge和vShieldDataSecurity组件.
vShieldManagerOVA软件包中包含安装这些加载项组件所需的驱动程序和文件.
通过vShieldApp许可证,您也可以使用vShieldEndpoint组件.
vShield虚拟设备中包含VMwareTools.
请勿尝试更改或升级vShield虚拟设备上的VMwareTools软件.
本章讨论了以下主题:n第23页,"在评估模式下运行vShield许可组件"n第23页,"安装vShield组件许可证"n第24页,"安装vShieldApp"n第25页,"安装vShieldEdge"n第30页,"安装vShieldEndpoint"n第31页,"安装vShieldDataSecurity"在评估模式下运行vShield许可组件在为vShieldEdge、vShieldApp和vShieldEndpoint购买并激活许可证之前,可以在评估模式中安装和运行软件.
评估模式用于演示和评估目的.
在此模式下,vShieldEdge、vShieldApp和vShieldEndpoint在安装后便可正常运行,不需要进行任何许可配置,在首次激活后可以正常运行60天.
以评估模式运行时,vShield组件能够支持允许的最大数量的实例.
在60天试用期过后,除非获得软件许可证,否则您将无法再继续使用vShield.
例如,您将不能打开vShieldApp或vShieldEdge虚拟设备的电源或保护您的虚拟机.
要继续正常使用vShieldApp和vShieldEdge功能或者恢复在60天试用期过后无法使用的功能,您需要获取并安装许可证文件,激活所购买vShield组件的相应功能.
安装vShield组件许可证必须先安装CIS或vCloudNetworkingandSecurity(vCNS)许可证,然后才能安装vShieldApp和vShieldEdge.
vSphere许可证包含适用于vShieldEndpoint的许可证.
可以在使用vSphereClient完成vShieldManager安装后,安装这些许可证.
步骤1在与vCenterServer系统连接的某个vSphereClient主机中,选择Home>Licensing.
2从"管理"选项卡中,选择资产.
3右键单击一项CIS或vCNS资产,然后选择更改许可证密钥.
VMware,Inc.
234选择分配新许可证密钥,然后单击输入密钥.
5输入许可证密钥,输入密钥的可选标签,然后单击确定.
6单击确定.
7针对拥有许可证的每一项vShield组件重复以上步骤.
安装vShieldApp您可以在ESX主机上安装vShieldApp.
注意在使用vShieldApp保护虚拟机时,虚拟机的网络连接会中断.
如果vCenterServer正在虚拟机上运行,并且已断开与网络的连接,则vShieldApp安装过程可能会暂停而无法完成.
VMware建议将vCenterServer、vCenterServer数据库和不希望受保护的第三方或内部服务虚拟机放置在VirtualMachinesExclusionList中.
有关从vShieldApp保护中排除虚拟机的信息,请参见《vShield管理指南》.
重要事项如果vCenterServer或vCenterServer数据库虚拟机位于您要安装vShieldApp的ESX主机上,请在安装vShieldApp之前将其迁移到其他主机上.
前提条件n验证每个vShieldApp虚拟设备的管理(MGT)端口是否都具有唯一的IP地址.
每个IP地址都应可以从vShieldManager访问,并且应位于vCenter和ESX主机管理接口所用的管理网络中.
如果使用错误的IP地址,则需要在此主机上将vShieldApp卸载并重新安装.
n用于放置vShieldApp的本地或网络存储.
步骤1登录vSphereClient.
2在清单树中选择一个ESX主机.
3单击vShield选项卡.
4接受安全证书.
5对vShieldApp服务单击Install.
6在vShieldApp下,提供以下信息.
选项描述Datastore选择用来存储vShieldApp虚拟机文件的数据存储区.
ManagementPortGroup选择用于托管vShieldApp管理接口的端口组.
该端口组必须能够访问vShieldManager的端口组.
IPAddress键入要分配给vShieldApp管理接口的IP地址.
重要事项确保键入正确的IP地址.
要在安装vShieldApp后更改IP地址,需要卸载vShieldApp并重新引导ESX主机.
Netmask键入与分配的IP地址关联的IP子网掩码.
DefaultGateway键入默认网络网关的IP地址.
7单击Install.
可以通过vSphereClient屏幕的"近期任务"窗格来跟踪vShieldApp安装的进度.
vShield安装和升级指南24VMware,Inc.
下一步允许vShieldApp在正常操作期间运行,然后检查传入和传出虚拟网络的流量.
根据该信息配置防火墙规则.

每个vShieldApp都将继承vShieldManager中的全局防火墙规则集.
默认防火墙规则集允许所有流量通过.
您必须配置阻止规则才能明确阻止流量.
要配置AppFirewall规则,请参阅《vShield管理指南》.
注意如果在无状态ESX上安装了vShieldApp,则在重新引导此主机之前,必须执行第25页,"在无状态ESX主机上安装vShieldApp"中的步骤.
小心请勿通过vSphereClient修改服务虚拟机.
这可能中断vShieldManager与vShieldApp之间的通信,并危及您网络的安全性.
在无状态ESX主机上安装vShieldApp如果在无状态ESX主机上安装了vShieldApp,则在重新引导安装了vShieldApp的任何ESX主机前,必须执行以下步骤.
前提条件n在无状态ESX主机上安装vShieldApp.
n确保VIB在此主机上执行的防火墙配置更改已完成.
a在vCenterClient上,从清单面板中选择此无状态ESX主机.
b单击Configuration选项卡.
c检查"防火墙"面板下的"入站连接"中是否显示一个DVFilter条目.
如果未显示DVFilter条目,请单击刷新.
n创建主机配置文件.
有关详细信息,请参见《vSphere安装和设置指南》.
步骤1编辑主机配置文件.
a在vCenterClient中,选择主页>管理>主机配置文件.
b选择要编辑的配置文件.
c单击编辑主机配置文件.
d选择网络配置>主机端口组>vmservice-vmknic-pg>IP地址设置>如何确定IPv4地址.
e键入169.
254.
1.
1作为IP地址,并键入255.
255.
255.
0作为子网掩码.
f选择网络配置>主机端口组>vmservice-vmknic-pg>确定应如何决定vmknic的MAC地址.
g选择用户必须明确选择策略选项.
2保存主机配置文件.
3在Web浏览器中,键入https://vsm-ip/bin/offline-bundles/VMware-vShield-fastpath-esx5x-5.
0.
1-766127.
zip并下载zip文件.
4使用您在步骤1中创建的主机配置文件以及在步骤3中下载的脱机捆绑包来更新无状态ESX配置.
安装vShieldEdge您可以在数据中心中安装多个vShieldEdge虚拟设备.
每个vShieldEdge虚拟设备都总计具有十个上行链路和内部网络接口.
内部接口连接至安全的端口组,并充当端口组中所有受保护虚拟机的网关.
分配给内部接口的子网可以是RFC1918私有空间.
会对接口之间的流量实施防火墙规则和其他vShieldEdge服务.
章4安装vShieldEdge、vShieldApp、vShieldEndpoint和vShieldDataSecurityVMware,Inc.
25vShieldEdge的上行链路接口连接至上行链路端口组,后者可以访问共享企业网络或提供访问层网络连接功能的服务.
可以为负载平衡器、点对点VPN和NAT服务配置多个外部IP地址.
不允许对内部接口使用重叠的IP地址,且不允许对内部和上行链路接口使用重叠的子网.
前提条件您必须已获得企业管理员或vShield管理员角色.
步骤1打开AddEdge向导第26页,打开AddEdge向导来安装和配置vShieldEdge实例.
2为vShieldEdge命名第27页,vShieldEdge需要一个在单个租户中的所有vShieldEdge虚拟机中都唯一的描述名称.
该名称会显示在vCenter清单中.
3指定CLI凭据第27页,编辑用于登录命令行界面(CLI)的凭据.
4添加设备第27页,您必须先添加设备,然后才可部署vShieldEdge.
如果在安装vShieldEdge时不添加设备,则vShieldEdge会保持脱机模式,直到您添加设备.
5添加内部和上行链路接口第28页,您可以将多达十个内部和上行链路接口添加到vShieldEdge虚拟机.
6配置默认网关第29页,为vShieldEdge默认网关提供IP地址.
7配置防火墙策略和高可用性第29页,默认防火墙策略会阻止所有入站流量,您可以对其进行更改.
8确认设置和安装vShieldEdge第30页,在安装vShieldEdge之前,检查您输入的设置.
打开AddEdge向导打开AddEdge向导来安装和配置vShieldEdge实例.
步骤1登录vSphereClient.
2从清单树中选择一个数据中心资源.
3单击网络虚拟化选项卡.
4单击Edge.
5单击添加()图标.
此时将显示AddEdge向导.
vShield安装和升级指南26VMware,Inc.
为vShieldEdge命名vShieldEdge需要一个在单个租户中的所有vShieldEdge虚拟机中都唯一的描述名称.
该名称会显示在vCenter清单中.
步骤1键入vShieldEdge虚拟机的名称.
该名称会显示在vCenter清单中.
该名称在单个租户的所有Edge中都应唯一.
如果不指定名称,vShieldManager会为每个vShieldEdge创建唯一的名称.
2(可选)键入vShieldEdge虚拟机的主机名称.
该名称会显示在CLI中.
如果不指定主机名,则您在步骤1中指定的名称也会显示在CLI中.
3(可选)为该vShieldEdge键入描述.
4(可选)键入该vShieldEdge的租户.
5(可选)选择EnableHA以启用高可用性(HA).
6单击下一步.
指定CLI凭据编辑用于登录命令行界面(CLI)的凭据.
步骤1在CLICredentials页面上,为您的vShieldEdge虚拟机指定CLI凭据.
选项操作CLI用户名根据需要进行编辑.
CLI密码根据需要进行编辑.
2(可选)根据需要单击EnableSSHaccess.
3单击下一步.
此时会显示EdgeAppliances页面.
添加设备您必须先添加设备,然后才可部署vShieldEdge.
如果在安装vShieldEdge时不添加设备,则vShieldEdge会保持脱机模式,直到您添加设备.
前提条件为实现高可用性,请验证资源池是否具有足够的容量用于部署两个HA虚拟机.
小型vShieldEdge虚拟机要求256MB的内存,大型vShieldEdge虚拟机要求1GB的内存,超大型vShieldEdge虚拟机要求8GB的内存.
数据存储必须至少具有512MB的磁盘空间.
步骤1在EdgeAppliances页面上,根据您的系统资源选择vShieldEdge实例的大小.
LargevShieldEdge比CompactvShieldEdge拥有更多的CPU、内存和磁盘空间,并且支持更多数量的并发SSLVPN-Plus用户.
X-LargevShieldEdge适合包含具有数以百万计并发会话的负载平衡器的环境.
超大型vShieldEdge不支持SSLVPN.
章4安装vShieldEdge、vShieldApp、vShieldEndpoint和vShieldDataSecurityVMware,Inc.
272单击Enableautorulegeneration添加防火墙、NAT和路由,以启用对这些服务流量的控制.
如果不选择Enableautorulegeneration,则必须手动创建防火墙规则以添加防火墙、NAT和路由,以便控制vShieldEdge服务的通道流量,例如负载平衡、VPN等.
注意自动规则生成不会创建数据通道流量的规则.
3单击EnableAESNI以启用Intel进阶加密标准新指令(IntelAES-NI).
4在EdgeAppliances中,单击Add()图标以添加设备.
如果已在NameandDescription页面上选择EnableHA,则可以添加两个设备.
如果添加单个设备,vShieldEdge会为待机设备复制其配置,确保即使您使用了DRS和vMotion,两个HAvShieldEdge虚拟机也不会在同一ESX主机上(除非您手动使用vMotion将它们迁移到同一主机).
5在"添加Edge设备"对话框中,选择设备的群集或资源池和数据存储.
6(可选)选择设备将添加到的主机.
7(可选)选择设备将添加到的vCenter文件夹.
8单击添加.
9单击下一步.
此时将显示Interfaces页面.
添加内部和上行链路接口您可以将多达十个内部和上行链路接口添加到vShieldEdge虚拟机.
步骤1在Interfaces页面上,单击Add()图标,然后键入接口的名称.
2选择Internal或Uplink指明其是内部还是外部接口.
您必须至少添加一个内部接口才能使HA工作.
3选择该接口应连接到的端口组或VXLAN虚拟线路.
a单击连接到字段旁边的选择.
b根据要连接到接口的对象,单击VirtualWire、StandardPortgroup或DistributedPortgroup选项卡.
c选择相应的虚拟线路或端口组.
d单击选择.
4选择接口的连接状态.
5在ConfigureSubnets中,单击Add()图标,以便为接口添加子网.
一个接口可以具有多个非重叠的子网.
6在AddSubnet中,单击Add()图标以添加IP地址.
如果输入多个IP地址,则可以选择主IP地址.
一个接口可以具有一个主IP地址和多个辅助IP地址.
vShieldEdge会将主IP地址视为用于本地生成的流量的源地址.
必须将IP地址添加到接口,才能在所有功能配置中使用该地址.
7为接口键入子网掩码,然后单击保存.
vShield安装和升级指南28VMware,Inc.
8(可选)为接口键入MAC地址.
如果HA已启用,请以CIDR格式键入两个管理IP地址.
两个vShieldEdgeHA虚拟机的检测信号通过这些管理IP地址进行通信.
管理IP地址必须在同一L2/子网中,并且能够彼此通信.
9根据需要更改默认MTU.
10在Options中,选择所需的选项.
选项描述EnableProxyARP支持在不同的接口之间重叠网络转发.
SendICMPRedirect将路由信息传输给主机.
11键入防护参数,然后单击Add.
12重复步骤步骤1到步骤11,以添加其他接口.
13单击下一步.
此时将显示DefaultGateway页面.
配置默认网关为vShieldEdge默认网关提供IP地址.
步骤1在DefaultGateway页面上,选择ConfigureDefaultGateway.
2选择可以与下一个跃点或网关IP地址通信的接口.
3键入默认网关的IP地址.
4在MTU中,将显示您在步骤2中选择的接口的默认MTU.
您可以编辑该值,但其不能超过接口上配置的MTU值.
5单击下一步.
此时将显示Firewall&HA页面.
配置防火墙策略和高可用性默认防火墙策略会阻止所有入站流量,您可以对其进行更改.
您必须配置HA参数,以便vShieldEdge上的网络配置实现高可用性.
vShieldEdge支持两个虚拟机实现高可用性,这两个虚拟机都保持最新的用户配置.
如果主虚拟机上出现检测信号故障,则辅助虚拟机状态将变为活动.
因此,网络上始终有一个vShieldEdge虚拟机处于活动状态.
步骤1在Firewall&HA页面上,选择ConfigureFirewalldefaultpolicy.
2指定默认情况下是接受还是拒绝入站流量.
您创建的所有防火墙规则将替代默认策略.
3选择是否记录入站流量.
如果您创建替代默认策略的防火墙规则,则由您创建的规则确定日志记录.
启用默认日志记录可能会生成过多日志,并影响vShieldEdge的性能.
因此,建议仅在故障排除或调试期间启用默认日志记录.
章4安装vShieldEdge、vShieldApp、vShieldEndpoint和vShieldDataSecurityVMware,Inc.
294如果在Name&Description页面上选择了EnableHA,请完成ConfigureHAparameters部分.
vShieldEdge会为备用设备复制主设备的配置,并确保即使在您使用DRS和vMotion后两个HAvShieldEdge虚拟机仍不在同一ESX主机上.
两个虚拟机都在vCenter上部署,与您配置的设备处于同一资源池和数据存储中.
系统会为vShieldEdgeHA中的HA虚拟机分配本地链接IP,以便它们彼此进行通信.
您可以指定用于替代本地链接的管理IP地址.
a选择要为其配置HA参数的内部接口.
b(可选)以秒为单位键入时间段,如果备用设备在该时间段内未从主设备收到检测信号,则主设备将被视为不活动,并被该备用设备取代.
默认时间间隔为6秒.
c(可选)以CIDR格式键入两个管理IP地址,以替代分配给HA虚拟机的本地链接IP.
确保管理IP地址不与任何接口子网的IP地址重叠.
5单击下一步.
此时会显示[摘要]页面.
确认设置和安装vShieldEdge在安装vShieldEdge之前,检查您输入的设置.
步骤1在Summary页面上,检查vShieldEdge的设置.
2单击Previous可修改设置3单击Finish可接受设置并安装vShieldEdge.
安装vShieldEndpoint以下安装说明假定您拥有以下系统:n群集中每个主机上均安装了具有受支持版本的vCenterServer和ESXi的数据中心.
有关所需版本的信息,请参见第13页,第2章"安装准备工作".
n安装了并正在运行vShieldManager5.
1.
n安装了并正在运行防病毒解决方案管理服务器.
vShieldEndpoint安装工作流程为安装vShieldEndpoint准备好ESX主机后,按以下步骤安装vShieldEndpoint:1根据防病毒解决方案提供商的说明,为每个ESX主机部署并配置一个安全虚拟机(SVM).
2在要保护的所有虚拟机上安装随ESXi5.
0Patch1一起发布的VMwareTools8.
6.
0.
vShieldEndpoint主机组件将两个防火墙规则添加到ESX主机:nvShield-Endpoint-Mux规则打开端口48651到端口48666,以供主机组件和合作伙伴安全虚拟机之间进行通信.
n合作伙伴可以使用vShield-Endpoint-Mux-Partners规则来安装主机组件.
默认情况下,该规则已禁用.
vShield安装和升级指南30VMware,Inc.
在客户机虚拟机上安装VMwareToolsVMwareTools包含必须安装在要受保护的每台客户机虚拟机上的vShield瘦代理.
在安装了安全解决方案的ESX主机上启动已安装VMwareTools的虚拟机后,所启动的虚拟机会自动得到保护.
这意味着受保护的虚拟机在关机和重启后仍可以得到安全保护,当通过vMotion迁移到另一个安装了安全解决方案的ESX主机时也不例外.
前提条件确保客户机虚拟机安装了支持的Windows版本.
vShieldEndpoint5.
0支持以下Windows操作系统:nWindowsVista(32位)nWindows7(32/64位)nWindowsXP(32位)nWindows2003(32/64位)nWindows2003R2(32/64位)nWindows2008(32/64位)nWindows2008R2(64位)步骤1选择VMwareTools的安装类型.
主机的ESX版本操作ESX5.
0Patch1按照《安装和配置VMwareTools》中的安装说明进行操作,直到看到SetupType向导.
ESX4.
1Patch3或更高版本按照知识库文章http://kb.
vmware.
com/kb/2008084中的安装说明进行操作,直到看到SetupType向导.
2在SetupType向导中,选择以下选项之一:nComplete.
nCustom.
n从VMwareDeviceDrivers列表中,选择VMCIDriver,然后选择vShieldDriver.
安装vShieldDataSecurity只有安装vShieldEndpoint后才能安装vShieldDataSecurity.
前提条件验证主机和客户机虚拟机上是否已安装vShieldEndpoint.
步骤1登录vSphereClient.
2在清单树中选择一个ESX主机.
3单击vShield选项卡.
4单击vShieldDataSecurity旁边的Install.
5选中vShieldDataSecurity复选框.
章4安装vShieldEdge、vShieldApp、vShieldEndpoint和vShieldDataSecurityVMware,Inc.
316在vShieldDataSecurity下,输入以下信息.
选项描述Datastore选择要添加vShieldDataSecurity服务虚拟机的数据存储.
ManagementPortGroup选择用于托管vShieldDataSecurity的管理接口的端口组.
该端口组必须能够访问vShieldManager的端口组.
7要配置静态IP,请选中ConfigurestaticIPformanagementinterface复选框.
输入IPaddress、Netmask和DefaultGateway详细信息.
注意如果未选择ConfigurestaticIPformanagementinterface,则会使用动态主机配置协议(DHCP)分配IP地址.
8单击Install.
vShieldDataSecurity虚拟机将安装在所选主机上.
vShield安装和升级指南32VMware,Inc.
卸载vShield组件5本章详细介绍了从vCenter清单卸载vShield组件所需执行的步骤.
本章讨论了以下主题:n第33页,"卸载vShieldApp虚拟设备"n第33页,"卸载vShieldEdge"n第34页,"卸载vShieldDataSecurity虚拟机"n第34页,"卸载vShieldEndpoint模块"卸载vShieldApp虚拟设备卸载vShieldApp会将虚拟设备从网络和vCenterServer中移除.
小心卸载vShieldApp会将ESX主机置于维护模式.
ESX主机会在卸载期间重新引导.
如果在目标ESX主机上运行的任何虚拟机无法迁移到另一台ESX主机,则必须先关闭这些虚拟机的电源或执行手动迁移,然后才能继续进行卸载.
如果vShieldManager位于同一ESX主机,则必须先迁移vShieldManager,才能卸载vShieldApp.
步骤1登录vSphereClient.
2在清单树中选择ESX主机.
3单击vShield选项卡.
4单击vShieldApp服务的Uninstall.
如果正在无状态ESX主机上卸载vShieldApp,请忽略VIB卸载错误.
5如果在开始卸载vShieldApp之前ESX主机处于维护模式,请在完成自动卸载过程后,手动移除vShieldApp虚拟机.
该实例即被卸载.
卸载vShieldEdge您可以使用vSphereClient卸载vShieldEdge.
前提条件您必须已获得企业管理员或vShield管理员角色.
VMware,Inc.
33步骤1登录vSphereClient.
2从清单树中选择一个数据中心资源.
3单击网络虚拟化选项卡.
4单击Edge.
5单击删除()图标.
卸载vShieldDataSecurity虚拟机卸载vShieldDataSecurity虚拟机后,必须根据VMware合作伙伴的说明卸载虚拟设备.
步骤1登录vSphereClient.
2在清单树中选择一个ESX主机.
3单击vShield选项卡.
4单击vShieldDataSecurity服务的Uninstall.
卸载vShieldEndpoint模块卸载vShieldEndpoint模块会将vShieldEndpoint模块从ESX主机中移除.
您必须按下列顺序执行这些步骤.
小心如果ESX主机上安装了vShieldDataSecurity,您必须先将其卸载,然后再卸载vShieldEndpoint.
卸载使用vShieldEndpoint的产品从主机卸载vShieldEndpoint模块之前,您必须从该主机中卸载使用vShieldEndpoint的所有产品.
请按照解决方案提供商提供的说明进行操作.
从vSphereClient中卸载vShieldEndpoint模块卸载vShieldEndpoint模块会将vShieldEndpoint模块从ESX主机中移除.
步骤1登录vSphereClient.
2在清单树中选择一个ESX主机.
3单击vShield选项卡.
4单击vShieldEndpoint服务的Uninstall.
vShield安装和升级指南34VMware,Inc.
升级vShield6要升级vShield,必须先升级vShieldManager,然后再更新您已获得许可证的其他组件.
本章讨论了以下主题:n第35页,"升级vShieldManager"n第40页,"升级vShieldApp"n第40页,"升级vShieldEdge"n第41页,"升级vShieldEndpoint"n第42页,"升级vShieldDataSecurity"升级vShieldManager可以仅从vShieldManager用户界面将vShieldManager升级到新版本.
您可以通过vShieldManager用户界面或使用RESTAPI将vShieldApp和vShieldEdge升级到新版本.
前提条件n为vShieldManager创建快照,以便在升级失败后可以恢复到此快照.
n如果正在使用vShieldEndpoint4.
1,请在升级vShieldManager之前卸载vShieldEndpoint.
小心请不要卸载已部署的vShieldManager设备实例.
将vShieldManager从版本4.
x升级到版本5.
1或更高版本要将vShieldManager4.
x升级到版本5.
1或更高版本,必须首先将其升级到版本5.
0,然后再升级到版本5.
1.
1将vShieldManager升级到版本5.
0第36页,这是将vShieldManager从版本4.
x升级到版本5.
1或更高版本的第一步.
2将vShieldManager从版本5.
0升级到版本5.
1或更高版本第36页,vShieldManager版本5.
1和更高版本至少需要2.
5GB的磁盘空间.
必须运行维护捆绑包,以便为已升级的vShieldManager提供磁盘空间.
VMware,Inc.
35将vShieldManager升级到版本5.
0这是将vShieldManager从版本4.
x升级到版本5.
1或更高版本的第一步.
步骤1将vShield升级捆绑包下载到vShieldManager可以浏览到的位置.
升级捆绑包文件的名称类似于VMware-vShield-Manager-upgrade_bundle-buildNumber.
tar.
gz.
2从vShieldManager清单面板中,单击Settings&Reports.
3单击Updates选项卡.
4单击UploadSettings.
5单击Browse,然后选择VMware-vShield-Manager-upgrade_bundle-buildNumber.
tar.
gz文件.
6单击Open.
7单击UploadUpgradeBundle.
8单击Install以开始升级过程.
9单击ConfirmInstall.
升级过程将重新引导vShieldManager,因此您可能会失去与vShieldManager用户界面的连接.
不会重新引导其他任何vShield组件.
10重新引导后,再次登录vShieldManager,并单击"Updates"选项卡.
"InstalledRelease"面板将显示刚安装的版本5.
0.
下一步从vShieldManager4.
1进行升级时,必须重新注册vCenterServer.
您现在可以升级到vShieldManager5.
1或更高版本.
请参见第36页,"将vShieldManager升级到版本5.
0".
将vShieldManager从版本5.
0升级到版本5.
1或更高版本vShieldManager版本5.
1和更高版本至少需要2.
5GB的磁盘空间.
必须运行维护捆绑包,以便为已升级的vShieldManager提供磁盘空间.
请参见第36页,"将vShieldManager从版本5.
0升级到版本5.
1或更高版本".
将vShieldManager从版本5.
0升级到版本5.
1或更高版本vShieldManager版本5.
1和更高版本至少需要2.
5GB的磁盘空间.
必须运行维护捆绑包,以便为已升级的vShieldManager提供磁盘空间.
请参见第36页,"将vShieldManager从版本5.
0升级到版本5.
1或更高版本".
步骤1应用维护捆绑包第37页,升级过程要求/common分区中至少有2.
5GB的可用磁盘空间.
vShield维护捆绑包可在vShieldManager上提供磁盘空间.
该捆绑包将停止vShieldManager进程,并在文件系统清理活动完成后重新启动该进程.
2将vShieldManager升级到版本5.
1或更高版本第37页,3创建升级后备份第38页,从版本5.
1开始,vShieldManager要求对其虚拟硬件进行升级.
对于vShieldManager版本5.
0.
x或更低版本,该虚拟硬件升级不会作为vShield升级过程的一部分自动执行.
为改善可扩展性和性能、提高日志记录和报告功能而执行的架构更改需要升级vShieldManager的虚拟硬件.
这些更改包括64位支持、2个vCPU、8GB内存、一个较大的虚拟磁盘以及其他虚拟硬件属性.
vShield安装和升级指南36VMware,Inc.
4还原升级后备份第39页,还原vShieldManager备份.
应用维护捆绑包升级过程要求/common分区中至少有2.
5GB的可用磁盘空间.
vShield维护捆绑包可在vShieldManager上提供磁盘空间.
该捆绑包将停止vShieldManager进程,并在文件系统清理活动完成后重新启动该进程.
前提条件注意vShieldManager设备上的现有日志、FlowMonitoring数据、系统事件,以及审核日志将在此进程中被删除.
您可以先使用相应的RESTAPI调用来检索系统事件和审核日志,然后再应用维护捆绑包.
技术支持日志包包含此过程的日志消息.
步骤1右键单击vShieldManager虚拟机,然后单击OpenConsole打开vShieldManager的命令行界面(CLI).
2切换到启用模式.
3登录后,键入showfilesystems命令.
在/common分区中,您至少需要5%的可用磁盘空间才能安装维护捆绑包.
4键入showmanagerlogfollow命令.
继续执行剩余步骤时,请将此控制台保持在打开状态.
5将vShield维护捆绑包下载到vShieldManager可以浏览到的位置.
维护捆绑包文件的名称类似于VMware-vShield-Manager-upgrade-bundle-maintenance-bundlebuildNumber.
tar.
gz.
6在vShieldManager清单面板中,单击Settings&Reports.
7单击Updates选项卡.
8单击UploadSettings.
9单击Browse,然后选择VMware-vShield-Manager-upgrade-bundle-maintenance-bundlebuildNumber.
tar.
gz文件.
10单击Open.
11单击UploadFile.
12单击Install以开始升级过程.
13单击ConfirmInstall.
14在CLI中,按照showmanagerlog命令的输出进行操作.
看到maintenance-fs-cleanup:Filesystemcleanupsuccessful消息后,登录到vShieldManager用户界面.
升级过程将重新启动vShieldManager服务,因此您可能会失去与vShieldManager用户界面的连接.
不会重新启动其他任何vShield组件.
15登录到vShieldManager的CLI,切换到启用模式,然后运行showfilesystems命令,以确保至少有2.
5GB的空间可用于升级.
将vShieldManager升级到版本5.
1或更高版本步骤1将vShield升级捆绑包下载到vShieldManager可以浏览到的位置.
升级捆绑包文件的名称类似于VMware-vShield-Manager-upgrade_bundle-buildNumber.
tar.
gz.
2从vShieldManager清单面板中,单击Settings&Reports.
章6升级vShieldVMware,Inc.
373单击Updates选项卡.
4单击UploadSettings.
5单击Browse,然后选择VMware-vShield-Manager-upgrade_bundle-buildNumber.
tar.
gz文件.
6单击Open.
7单击UploadUpgradeBundle.
8单击Install以开始升级过程.
9单击ConfirmInstall.
升级过程将重新引导vShieldManager,因此您可能会失去与vShieldManager用户界面的连接.
不会重新引导其他任何vShield组件.
10重新引导后,再次登录vShieldManager,并单击"Updates"选项卡.
"InstalledRelease"面板将显示刚安装的版本5.
1.
1.
先前版本的vShieldApp规则将按照以下所述进行升级.
先前版本中的防火墙功能升级到版本5.
1后的结果在数据中心、群集和端口组级别上允许防火墙规则在命名空间级别(即数据中心、具有独立命名空间的端口组和虚拟线路级别)上允许防火墙规则.
升级后,非命名空间上下文中的防火墙规则将移至相应的数据中心.
已迁移的规则将按照以下顺序与数据中心规则进行合并:n高数据中心n群集n非命名空间端口组或dvport组n低数据中心n默认数据中心防火墙规则支持原始IP和MAC地址,以及端口-协议和协议-子类型防火墙规则仅支持IPset、MACset和安全组升级后,IPset、MACset或服务将根据需要在内部创建.
已创建容器的名称遵循以下命名约定:nIPset/MACset:ip/macValue-contextNamen服务:protocolName-portNumber-contextName或protocolName-subtypeName-contextName防火墙规则包括"高"优先级规则和"低"优先级规则.
非命名空间端口组规则的优先级为"无".
不支持"高"优先级规则和"低"优先级规则.
升级后,所有非默认优先级规则都将更改为"无"优先级.
对清单中的所有数据中心应用一个Spoofguard全局设置为每个命名空间应用Spoofguard全局设置.
升级后,可以按命名空间更改Spoofguard设置.
此外,升级前记录的所有防火墙历史记录和流都将被删除.
下一步清除访问过该产品先前版本的所有客户端上的浏览器缓存.
该操作将清除为先前版本缓存的javascript或其他文件,这些文件在当前版本中可能已更改创建升级后备份从版本5.
1开始,vShieldManager要求对其虚拟硬件进行升级.
对于vShieldManager版本5.
0.
x或更低版本,该虚拟硬件升级不会作为vShield升级过程的一部分自动执行.
为改善可扩展性和性能、提高日志记录和报告功能而执行的架构更改需要升级vShieldManager的虚拟硬件.
这些更改包括64位支持、2个vCPU、8GB内存、一个较大的虚拟磁盘以及其他虚拟硬件属性.
步骤1从vShieldManager清单面板中,单击Settings&Reports.
2单击Configuration选项卡.
vShield安装和升级指南38VMware,Inc.
3单击Backups.
4键入将保存备份的系统的主机IP地址或名称.
5键入登录到备份系统所需的用户名和密码(ftp/sftp服务器).
6在BackupDirectory字段中,键入用于存储备份的绝对路径.
7在FilenamePrefix中键入一个文本字符串.
此文本将被预置到每个备份文件名中,以便在备份系统中识别这些备份文件.
例如,如果键入ppdb,则生成的备份的名称为ppdbHH_MM_SS_DayDDMonYYYY.
8根据目标支持的内容,从TransferProtocol下拉菜单中选择SFTP或FTP.
9单击SaveSettings,然后单击Backup.
10单击ViewBackups,确保已创建备份.
还原升级后备份还原vShieldManager备份.
步骤1关闭vShieldManager电源.
2下载5.
1.
xvShieldManager.
OVA安装软件包.
3将新vShieldManager部署到您的vSphere清单中,以替换现有vShieldManager.
4打开新vShieldManager的电源并进行初始设置,将其IP地址设置为当前已关闭电源的vShieldManager的IP地址.
5配置"vShieldManagerBackups"页面以查看当前存储在ftp/sftp服务器上的备份.
6识别之前创建的vShieldManager备份,然后单击Restore.
将vShieldManager从版本5.
1升级到更高版本步骤1将vShield升级捆绑包下载到vShieldManager可以浏览到的位置.
升级捆绑包文件的名称类似于VMware-vShield-Manager-upgrade_bundle-buildNumber.
tar.
gz.
2从vShieldManager清单面板中,单击Settings&Reports.
3单击Updates选项卡.
4单击UploadSettings.
5单击Browse,然后选择VMware-vShield-Manager-upgrade_bundle-buildNumber.
tar.
gz文件.
6单击Open.
7单击UploadUpgradeBundle.
8单击Install以开始升级过程.
9单击ConfirmInstall.
升级过程将重新引导vShieldManager,因此您可能会失去与vShieldManager用户界面的连接.
不会重新引导其他任何vShield组件.
10重新引导后,再次登录vShieldManager,并单击"Updates"选项卡.
"InstalledRelease"面板将显示刚安装的版本5.
1.
1.
章6升级vShieldVMware,Inc.
39升级vShieldApp升级数据中心中每个主机上的vShieldApp.
前提条件如果您正在使用vShieldApp4.
1,则必须先升级到5.
0或5.
0.
1,然后才能升级到5.
1.
步骤1登录vSphereClient.
2选择清单>主机和群集.
3选择要在其上升级vShieldApp的主机.
4单击vShield选项卡.
General选项卡会显示选定主机上安装的每个vShield组件以及可用版本.
5选择vShieldApp旁边的Update.
6选中vShieldApp复选框.
7单击Install.
下一步检查每个已升级的规则,以确保其按预期工作.
有关添加新防火墙规则的信息,请参见《vShield管理指南》.
升级vShieldEdge必须针对数据中心中的每个端口组升级vShieldEdge.
如果在不同侦听器下为相同的后端IP地址配置了不同的端口,则无法升级vShieldEdge.
vShieldEdge5.
1不会向后兼容,因此,升级后将无法使用2.
0REST调用.
前提条件您必须已获得企业管理员或vShield管理员角色.
步骤1登录vSphereClient.
2选择视图>清单>网络.
3单击vShieldEdge选项卡.
4单击Upgrade.
5查看已升级的vShieldEdge.
a选择已升级vShieldEdge的端口组所对应的数据中心.
b单击网络虚拟化选项卡.
c单击Edge.
vShieldEdge将升级为紧凑型vShieldEdge.
此时将生成一个系统事件,以指示每个已升级vShieldEdge实例的ID.
vShield安装和升级指南40VMware,Inc.
下一步重要事项先前版本的防火墙规则在升级时会进行一些修改.
检查每个已升级的规则,以确保其按预期工作.

NameCheap优惠活动 新注册域名38元

今天上午有网友在群里聊到是不是有新注册域名的海外域名商家的优惠活动。如果我们并非一定要在国外注册域名的话,最近年中促销期间,国内的服务商优惠力度还是比较大的,以前我们可能较多选择海外域名商家注册域名在于海外商家便宜,如今这几年国内的商家价格也不贵的。比如在前一段时间有分享到几个商家的年中活动:1、DNSPOD域名欢购活动 - 提供域名抢购活动、DNS解析折扣、SSL证书活动2、难得再次关注新网商家...

TMTHosting:夏季优惠,美国西雅图VPS月付7折,年付65折,美国服务器95折AS4837线路

tmthosting怎么样?tmthosting家本站也分享过多次,之前也是不温不火的商家,加上商家的价格略贵,之到斯巴达商家出现,这个商家才被中国用户熟知,原因就是斯巴达家的机器是三网回程AS4837线路,而且也没有多余的加价,斯巴达家断货后,有朋友发现TMTHosting竟然也在同一机房,所以大家就都入手了TMTHosting家的机器。目前,TMTHosting商家放出了夏季优惠,针对VPS推...

Pacificrack:新增三款超级秒杀套餐/洛杉矶QN机房/1Gbps月流量1TB/年付仅7美刀

PacificRack最近促销上瘾了,活动频繁,接二连三的追加便宜VPS秒杀,PacificRack在 7月中下旬已经推出了五款秒杀VPS套餐,现在商家又新增了三款更便宜的特价套餐,年付低至7.2美元,这已经是本月第三波促销,带宽都是1Gbps。PacificRack 7月秒杀VPS整个系列都是PR-M,也就是魔方的后台管理。2G内存起步的支持Windows 7、10、Server 2003\20...

nod32升级id为你推荐
软银科技大连同方软银科技信息公司怎么样?待遇,发展等等……加班……牡丹江教育云空间登录云端学习如何登录?qq空间登录不了为什么我的QQ空间登陆不上?yy空间登录怎样进入YY主播的空间dns服务器故障dns服务器异常怎么办360云存储360网盘能存文件多久,我把重要文件放里面了一旦丢失就都没了360云安全中心360云安全中心连接不到360云安全中心我的电脑上的360杀毒软件老显示未连接至360云安全中心。360云盘下载速度慢怎么办360云盘下载速度慢怎么办广东联通网上营业厅广州联通营业厅地址在哪?
便宜的虚拟主机 过期域名抢注 阿里云邮箱登陆首页 512m lighttpd ev证书 国内加速器 促正网秒杀 卡巴斯基官方免费版 什么是服务器托管 河南移动网 国外免费asp空间 免费mysql数据库 根服务器 香港亚马逊 创建邮箱 重庆电信服务器托管 路由跟踪 starry 电信网络测速器 更多