XenServer 5.5 User Security (用户安全性--中文手册).pdfVIP

XenServer 5.5.0 用户安全性 5.5.0 出版方 三月 2010 1.0 版 XenServer 5.5.0 用户安全性 XenServer 5.5.0 用户安全性 出版方 三月 2010 版权 © 2008 Citrix Systems, Inc. Xen、XenSource、XenEnterpise、XenServer、XenExpress 和徽标是 Citrix Systems, Inc. 在美国和/或其他国家/地区的注 册商标或商标。其他公司名称或产品名称仅作提供信息之用，可能是其各自所有者的商标。 2 目录 1. 简介 5 体系结构 5 2. 主机安全性 7 网络配置 7 管理网络 7 虚拟机网络 8 存储配置 8 原始存储 9 升级之后将存储转换为 VHD 模式 9 访问 XenServer 主机 9 验证主机标识 9 替换主机的 SSL 证书 10 更新 XenServer 主机 10 修补程序格式 10 使用 XenCenter 进行更新 11 使用 CLI 进行更新 11 3. 来宾系统安全性 1 虚拟机管理程序保护 13 来宾系统通信 13 来宾系统控制台 13 操作系统建议 14 Microsoft Windows 14 Linux 14 第 1 章 简介 XenServer 是一个可同时运行多个操作系统的服务器虚拟化平台。这种合并既降低了操作成本，又增强了与运行 IT 基础结 构相关的灵活性。尽管 XenServer 旨在提供默认情况下的安全性，只需要少量的安全性方面的现成配置，但是您仍然应该 了解其工作原理以及如何维护安全安装。此文档提供了 XenServer 安全性体系结构概述以及确保 XenServer 部署安全性和 可靠性的维护程序指导与最佳实践。 体系结构 XenServer 由下列几个不同的组件构成： • Xen 虚拟机管理程序是 XenServer 引导时加载的第一个软件。它在 64 位模式下运行，并虚拟化 CPU、中断和主机内 存。Xen 是一个非常薄的软件层，除了具有串行端口不具有任何设备驱动程序，由大约 150,000 行代码构成。 • 控制域是下一个引导对象，它是基于 Linux 的 32 位嵌入式分发。控制域是一个常规 XenServer VM，授予了附加权限，这 些附加权限允许它控制主机硬件设备以及进一步创建来宾系统域。 • “XAPI 管理堆栈”在控制域中运行，管理运行来宾系统域所需的所有资源。它由分布式数据库和控制软件构成，后者用于 侦听发出控制指令的 XenAPI 客户端的管理接口。 • 存储管理器（或 SMAPI）在控制域内运行，并向多种存储后端（如光纤通道、iSCSI、基于文件的 VHD 磁盘或本地存 储）提供了统一接口。 • XenCenter 用户界面是一个 Windows 应用程序，提供了管理大量 XenServer 主机的用户友好方式。 • XenServer 可在同一主机上运行多个虚拟机，每个虚拟机为在其中运行的操作系统提供了完全独立的计算、存储和联网。 • 最后，多个 XenServer 主机可以聚合到一个资源池内，资源池充当一个计算机群集管理单元。 上面的示意图显示了单一物理主机中的各个组件，对上述概念进行了说明。下列章节将介绍： • 如何通过确保正确配置和修补控制域来保护 XenServer 主机自身的安全 • 存储配置的最佳实践 • 保护 VM 安全的最佳实践 第 2 章 主机