vSphere Data Protection 5.5.9 | 2015 年 1 月 29 日

本发行说明包含以下主题:

优点和功能

要了解此产品的优点和功能,请访问以下链接:

支持的环境

有关支持的环境的信息,请参见 VMware 产品互操作性列表

vSphere Data Protection 5.5.9 中的已知问题

经过严格的测试发现了以下已知问题。下面的问题与 vSphere Data Protection (VDP) 5.5.9 有关。

VMware 问题

  • 即使 [创建快照] 任务返回有效快照,快照移除也可能会失败。

    有些情况下,备份可能会失败并显示“快照移除失败 (Snapshot Removal Failed)”错误。这是由以下 VMware 缺陷导致的:即使快照创建成功,快照移除也会被 vCenter Server 拒绝。

    解决办法:使用快照管理器手动从虚拟机中移除快照,然后重新提交备份作业。
     

  • 如果取消备份作业,则会将磁盘保留在连接到 VDP 虚拟设备状态,并且不移除快照。

    如果收到取消正在运行的备份请求,但代理 (proxy) 无法在两分钟内完成该操作,按照设计原理,代理 (agent) 将终止该代理 (proxy),这可能会保留虚拟机上的快照以及任何连接到 VDP Appliance 的热添加磁盘。

    这是一个已知代理 (proxy) 问题,将在未来版本中解决。

vCenter 问题

  • 如果取消手动还原到现有虚拟机,则会导致现有虚拟机上出现“需要整合 (Consolidation Needed)”错误。

    虚拟机磁盘整合是失败的根本原因,并将导致进一步备份失败。清理要针对已取消的还原操作执行的需求。

    解决办法:从 vCenter 中选择现有虚拟机并右键单击该虚拟机,然后选择 [快照] > [整合]。请注意,从快照运行虚拟机时,可以创建一个 vCenter Server 警报以通知管理员。有关详细信息,请参见 VMware 知识库文章 1018029。

    1. 选择现有虚拟机。
    2. 右键单击该虚拟机,然后选择 [快照] > [整合]。

     

     

互操作性问题

  • 在 VSAN 环境中,将整个虚拟机迁移到其他数据存储后,允许执行在映像级别还原到原始位置的操作,但在磁盘级别还原到原始位置的操作会灰显。

    解决办法:通过映像级别备份还原整个虚拟机,或在原始虚拟机上作为新磁盘还原磁盘级别备份。
     

  • 无法导入存储在 vsanDatastore 中的 VDP 磁盘。

    在 VSAN 环境中,VMware 在每个虚拟机的 vsanDatastore 中创建两个文件夹。一个根据虚拟机名称命名,另一个根据虚拟机 UUID 命名。所有虚拟机文件都保存在 UUID 文件夹中。在虚拟机命名文件夹中,符号链接指向 UUID 文件夹中的文件。用户尝试使用虚拟机命名文件夹中的符号链接从旧设备导入 VDP 磁盘时会出现故障。

    解决办法:执行 Storage vMotion 操作,将磁盘从 VSAN 数据存储移出到常规数据存储。

安装问题

  • 在 VDP 安装过程中,如果用户单击 vCenter Server 注册屏幕上的 [上一步] 而未输入任何值,则系统将无法向 vCenter Server 注册,并且安装将失败。

    解决办法:请按照《vSphere Data Protection 管理指南》中“VDP 安装和配置”一章的说明重新安装 VDP。  

单个 VMDK 问题

  • 扩展后,现有的厚置备置零磁盘将更改为厚置备延迟置零磁盘。

    扩展厚置备置零 VMDK 时,只会扩展厚置备延迟置零部分。如果需要扩展 VMDK,并要求 VMDK 为厚置备置零 VMDK,则使用以下 VMware 博客中介绍的参数:

    http://blogs.vmware.com/vsphere/2012/06/extending-an-eagerzeroedthick-disk.html
     

  • 如果将单个 VMDK 从不再使用的或已复制的客户端的备份还原到现有虚拟机,则会在 vCenter Server 上创建新虚拟机。

    用户从其他源设备创建备份并将其复制到新设备时,存在两个还原点:一个来自备份作业,另一个是已复制的客户端产生的。如果从 vCenter Server 清单中删除或移除该虚拟机,则会在之前创建的备份后附加一个时间戳。用户现在应看到两个还原点:已复制的客户端的备份以及不再使用(已删除或移除)的客户端的备份。

    使用 [还原备份] 向导时,用户将选择要还原到现有虚拟机的单个 VMDK。一旦还原作业开始执行,VDP Appliance 将在 vCenter 清单中创建一个新虚拟机,而不是将新磁盘添加到现有虚拟机。新磁盘添加到现有虚拟机,而不是创建一个新虚拟机,这是预期行为。
     

  • 将多个磁盘添加到相同的 SCSI 插槽时,VDP Advanced 设备出现错误的行为。

    VDP Advanced 设备在分配给两个不同还原点的同一现有虚拟机上使用相同的 SCSI ID 启动还原操作。此外,[摘要] 页面会错误地指示将添加两个新虚拟磁盘。还原操作会成功完成,但不通知用户只添加了第一个磁盘,第二个磁盘只是替换了第一个磁盘。

VDP Appliance 的一般问题

  • 如果精简置备的 VDP 达到数据存储容量,则即使释放了数据存储并创建了更多空间,在 VDP 上仍会发生完整性检查错误。

  • 如果用户修改了 VDP 主机名或 IP 地址,则在初始配置期间不会生成 vCenter 事件。

    解决办法:监控 VDP Appliance 控制台上的重新配置事件。
     

  • 首次重新引导后,无法登录到 vdp-configure。

    在完成部署-重新引导周期之后,用户会间歇性地无法登录到 vdp-configure。vdr-configure 日志不会显示任何错误。清除浏览器缓存并尝试使用不同的浏览器登录无法解决该问题。

    解决办法:使用控制台连接,登录 VDP 虚拟设备,然后使用以下命令手动停止并启动 vdp-configure 服务:

    emwebapp.sh --restart

  •  

  • 在空间不足的数据存储上还原精简置备的虚拟机时,VDP Appliance 发生崩溃,并关闭电源。

    设备崩溃的原因是,热添加到该设备中的磁盘空间不足,因此,将该设备放置到其他数据存储上并不能解决问题。

    最佳做法是在执行 ABV 或还原任务之前,检查数据存储上的可用空间,以确保具有足够的空间。
     

  • 导入磁盘:默认情况下,初始配置向导将始终分配 4 个 vCPU 和 4 GB 内存。

    无论导入的容量是多少(对于 VDP Advanced,可能为 2 TB、4 TB、6 TB 或 8 TB),该向导在默认情况下将始终仅分配 4 个 vCPU 和 4 GB 内存。导入操作会成功完成,VDP Advanced 设备会启动且正常运行,因此日后可能会在内存置备不足方面出现问题。预期行为是,初始配置向导应根据导入的容量将该默认值设置为最小内存量,就像在全新安装 VDP Advanced 时执行此设置一样。

    根据以下信息调整已分配的内存量。每个虚拟机的最小内存量取决于该容量。

    • 2 TB 容量--6 GB 内存
    • 4 TB 容量--8 GB 内存
    • 6 TB 容量--10 GB 内存
    • 8 TB 容量--12 GB 内存

     

  •  

  • VDP 用户界面响应缓慢

    使用 VDP Appliance 5.5.x 数日后,用户界面性能比首次部署该设备时显著降低。出现性能问题的具体情形如下:

    • 登录到 vCenter 后首次连接到 VDP
    • 创建新备份作业
    • 展开备份向导上的 Microsoft Exchange 服务器列表
    • 编辑现有备份作业
    • 刷新 [还原] 选项卡
    • 浏览到 [还原] 选项卡上的备份

    通常,加载数据的时间取决于并发运行的作业数。

    解决办法:使用以下命令在 VDP Appliance 上重新启动 Web 服务:

    emwebapp.sh --restart

  • 备份、还原到原始位置以及还原到新位置的操作在使用中文名称的数据存储上会按预期运行。但是,如果目标虚拟机是该数据存储上的新磁盘,则在使用中文名称的数据存储上,还原到新位置的操作将失败。

    这是一个已知映像代理问题,将在未来版本中解决。
     

  • 选择多个还原点时无法访问单个磁盘还原的目标虚拟机。

    还原点是为两个不同的虚拟机(例如 VM-1 和 VM-2)创建的。在 [还原] 选项卡上,VM-1 的还原点在映像级别进行选择,VM-2 的还原点在磁盘级别进行选择。对于单个磁盘还原点,这两个虚拟机在层次结构中不可见。
     

  • 在 VDP Appliance 上,不允许更改已配置的 vCenter Server 上的密码,即使 vCenter Server 密码过期后也是如此。

    如果备份在服务器上处于 [正在运行] 状态,则 VDP-Configure 应用程序不允许更改已配置的 vCenter 的密码。如果已配置的 vCenter 上的用户密码已过期,不会在任务控制台中发布任何任务,因此无法取消这些任务。

    解决办法:执行下列步骤:
     

    1. 等到所有备份和任务在 VDP Appliance 中完成后再更改密码。
       
    2. 在维护时间段内重新启动 VDP Appliance,然后登录 VDP-Configure 用户界面,并从 VDP-Configure 用户界面更改 vCenter 密码。
       

     

  • 编辑备份作业名称后不更新保留策略名称。

    使用 [创建备份作业] 向导编辑备份作业并修改该作业的名称时,新名称在 VDP 用户界面中更新。验证是否同时使用新名称更新了组名称、调度和保留策略名称时,将更新组名称和调度,但不更新保留策略名称。
     

  • 更改数据存储名称时,性能评估测试 (PAT) 结果更改为 [从不运行]。

    在这种情况下,用户打开 VDP-Configure 用户界面,单击 [存储] 选项卡,选择一个数据存储,然后单击 [针对存储配置运行性能分析] 复选框。性能分析测试将成功完成,并正确显示性能分析结果。但是,如果用户更改了数据存储名称,性能分析结果将错误地指示结果为 [从不运行]。
     

  • 不能重新进入 [存储扩展] 向导。

    如果您在存储扩展运行过程中关闭了浏览器,应用程序应允许用户在执行扩展过程中重新进入 [存储扩展] 向导,并使用户进入 [即将完成] 屏幕。当前,用户无法重新进入该向导。
     

  •  

  • 更改 VDP Appliance 密码和网络设置后,无法从 vSphere Web Client 连接到 VDP Appliance

    解决办法:更改 VDP Appliance 密码和网络设置的时间间隔为 1 小时,请等待。

  •  

备份问题

  • 如果创建一个大型备份作业(约 100 台虚拟机),创建时间可能长达十分钟。
     
  •  

  • 在对已迁移到其他数据存储的 VMDK 运行调度的磁盘备份作业时,未正确地处理错误。

    VMDK 的已调度备份作业完成且不显示任何错误,但当数据存储位置更改为其他数据存储时,会出现此错误。
     

  • [报告] 选项卡或 [备份] 选项卡不显示备份作业。

    联系技术支持。
     

  • 规模清单:在为大量虚拟机客户端创建作业时,创建备份作业无法包含所有客户端。

    有时(几率约为五分之一),当用户尝试为包含大量虚拟机的容器创建备份作业时,VDP Advanced 设备会返回报告,指出某些客户端无法添加到该备份作业中。

    解决办法:手动编辑该备份作业,以添加缺少的客户端。
     

  • 编辑或克隆备份作业时,加载客户端需要很长时间。

    SharePoint 服务器(已升级的插件)的备份作业的编辑或克隆操作需要 5 到 10 分钟才能加载客户端。此外,为升级之前创建的 Microsoft Exchange 服务器和 SQL Server 加载客户端时,可能会发生一定的延迟。

    这是一个已知问题,将在未来版本中解决。

还原问题

  • 如果 VDP 还原操作期间删除了某个虚拟机,则该虚拟机不会从 VDP 清单中正确移除。

    在对备份源为已删除的虚拟机的备份作业进行编辑时,此操作可能会导致错误。此外,如果使用相同名称创建虚拟机,则在尝试将该虚拟机添加到备份作业时将失败。

    解决办法:最佳做法是避免在还原操作期间删除虚拟机。如果发生该错误,请使用新名称创建虚拟机,并将其添加到新的备份作业。
     

  • 在现有容量较小的虚拟机(含一个磁盘)上还原容量较大的虚拟机(含多个磁盘)时,还原作业仍会完成,但实际只还原了一个磁盘。

    VDP Appliance 不会显示此活动,而会显示一条错误消息(例如:“目标磁盘空间不足 (not enough destination disks)”)。因此,如果没有还原所有磁盘,并且由于未生成 VDP 事件而使用户未注意到这一点,则可能丢失数据。因此,如果没有还原所有磁盘,并且由于未生成 VDP 事件而使用户未注意到这一点,则可能丢失数据。

    要执行磁盘兼容性检查,必须知道目标计算机上的磁盘大小以及要还原的备份中的磁盘大小。
     

  • 还原到原始位置时,会跳过已删除的磁盘。

    如果目标虚拟机的磁盘占用空间不再与备份的原始虚拟机的磁盘占用空间相同(磁盘已从该虚拟机移除或删除),则在 [还原] 窗格中选择还原点时间戳后执行 [还原到原始位置] 操作将无法还原缺失的虚拟机磁盘,并且没有任何提示。

    解决办法:手动将缺失的磁盘添加到虚拟机中,然后将该磁盘还原到其原始位置。确保磁盘大小与备份虚拟机时相同。如果该解决方法失败,则可将该磁盘还原到新位置以创建新虚拟机。还原任务完成后,按照《vSphere Data Protection 管理指南》的“分离和重新连接存储”中的信息将还原的磁盘从新虚拟机中分离,然后将其附加到所需的虚拟机。  
     

  • 尝试使用已重命名的虚拟机的旧名称还原为新虚拟机时,还原失败。

    用户为虚拟机创建备份作业时,选择还原点,然后在 [还原到新位置] 字段中输入已重命名的虚拟机的旧名称,还原失败,并显示以下消息: 无法将虚拟机还原到还原点。数据存储路径已存在 (Unable to restore VM for restore point. The datastore path already exists)。
     

  • 将现有存储附加到 VDP:如果对同一个 vCenter Server 执行多次导入,则 [还原] 窗格将显示多个名称完全相同的条目。

    用户在单个 vCenter Server 中执行多次导入时,[还原] 窗格中会针对两个还原点条目显示完全相同的名称。
     

  • 如果未连接到 VDP Appliance,则在还原试运行期间,[设置还原选项] 将为空。

    在 [还原备份] 向导的 [设置还原选项] 页面上,可以指定要将备份还原到的位置([还原到原始位置] 或 [还原到新位置])。但是,如果未连接到 VDP Appliance,[设置还原选项] 页面将为空。

    解决办法:连接到 VDP Appliance 以使用 [还原备份] 向导及其选项。
     

  • 提交五个到八个手动还原需要 10 分钟或更长的时间,并且客户端会丢失。

    提交五个、六个和八个手动还原均需要 10 分钟的时间。此外,Web 客户端无法包含总还原数中的某个客户端。因此,由于某个作业未提交或发生超时,无法并行收集 8 个手动还原的速率。

文件级别恢复 (FLR) 问题

  • 导入后,对于导入前备份的虚拟机,FLR 登录失败。

    从先前使用的 VDP 磁盘导入的还原点不支持文件级别恢复 (FLR)(如《vSphere Data Protection 管理指南》中的“附加现有存储”中所述)。此限制不适用于为导入后执行的任何后续备份创建的还原点。

复制问题

  • 客户端缓存不支持多个复制作业。

    如果在同一时间对同一个 MS-App 客户端调度多个复制作业,则在执行期间将出现错误。

    解决办法:

    • 确保各个复制作业的开始时间是错开的。
    • 不要将同一个客户端放在多个复制作业中。
       

     

  • 对不同的虚拟机创建多个复制作业时,这些作业将按顺序运行,而不是并行运行。

    多个虚拟机的复制活动应并行处理。只有在对相同客户端运行另一个复制作业时,才会按顺序执行。此时,客户端复制任务将等待已在运行的复制作业完成。
     

  • 无法再次复制已复制的备份。

    [复制] 向导不支持复制已从其他源服务器复制的备份。已从其他源服务器复制的客户端或还原点在 [创建 | 编辑 | 克隆复制作业] 向导中不显示为可用。

Microsoft 应用程序 (MS App) 问题

  • MS-App 客户端的各个数据库的加载时间可能比预期的长。

    调用 MS-App 备份向导后,在 VDP Advanced 设备上使用 [备份目标] 页面浏览各个数据库会比通常情况下花费时间更长。
     

  • 客户端缓存不支持多个复制作业。

    如果在同一时间对同一个 MS-App 客户端调度多个复制作业,则在执行期间将出现错误。

    解决办法:

    1. 确保各个复制作业的开始时间是错开的
    2. 不要将同一个客户端放在多个复制作业中。
       
  • 为 SharePoint 还原选择一个文件夹不会选择浏览树中的所有现有子文件夹。

    为 Microsoft SharePoint 还原选择任意文件夹后,所有现有子文件夹不会显示为可供选择。虽然子文件夹不会显示为可还原,但还原过程会成功还原该文件夹中的所有子文件夹。
     

  • 如果使用 IP 地址而非服务器名称作为别名,则数据库的 Microsoft SharePoint 重定向还原作业将失败。

    如果使用覆盖选项备份到原始位置,则备份会正常执行。只有在运行重定向的还原时使用 IP 地址而不是服务器名称的情况下,备份才会失败。

    解决办法:创建别名时,请使用服务器名称。
     

  • Microsoft SharePoint 重定向还原作业显示为成功,即使某些数据库无法还原。

    在还原大量数据库或整个 SharePoint 场时,某些存在问题的数据库可能会失败。但是,即使某些数据库失败,还原作业仍会将该作业报告为成功。此操作可能会导致数据丢失。只有在运行重定向的还原时使用 IP 地址而非创建 SQL 别名时所用的服务器名称,数据库备份才会失败。

    解决办法:创建别名时,请使用服务器名称。
     

  • 在 Microsoft Exchange 客户端中,avagent 日志会显示大量警告消息,这些消息会频繁输出并填满日志。

    造成此问题的原因是,Microsoft Exchange 客户端已向 vCenter 中的两个 VDP Advanced 设备注册。

存储管理问题

  • 由于映像代理超时,备份到数据域系统失败。

    此超时值可通过一个标记来确定。默认超时值为 300 秒(5 分钟)。解决办法是,将该标记设置为不同于默认超时值的值,但暂无 VDP 的任何专业服务。请联系 VMware 全球支持服务部门 (GSS) 获取有关更改此值的协助。

自动备份验证 (ABV) 问题

  • ABV:重命名数据存储后,验证作业失败。

    如果重命名目标数据存储或将目标数据存储移至 VDP 之外,则可能会发生此错误。

    解决办法:编辑验证作业,并选择已重命名或移动的目标数据存储作为新目标。有关说明,请参见《vSphere Data Protection 管理指南》中的“编辑备份验证作业”。  
     

  • ABV:如果主机的目标路径发生更改,则无法启动验证作业。

    解决办法:编辑验证作业,并在执行验证作业时选择正确的目标路径。
     

  • ABV:如果目标处于维护模式,则无法确定已调度验证作业活动的状态。

    此时将显示错误消息,但没有日志活动。
     

  • ABV:如果上次备份未成功,则按需验证作业不会启动。

    如果上次备份未成功,则在 ABV 作业上会出现以下错误:

    错误:“出现意外错误,但没有错误代码,请参见日志 (Error: "Unexpected error with NO error code, refer to logs")。”

    用户不会注意到此问题,日志也不包含有用的信息。
     

  • 如果由于数据域而导致连接问题,从而使验证作业失败,则会报告不正确的错误消息。

    由于 VDP Appliance 无法与数据域进行通信,因此,备份将无法还原,并且验证作业将失败。验证作业可能会失败;但是,系统不会显示正确的错误消息,因此,用户无法了解失败的根源。
     

  • 对于自动备份验证 (ABV) 作业,取消从 Web Client 激活的运行中 ABV 任务不会从数据存储中移除 VDP_Verification 虚拟机。

    在浏览指定为新虚拟机的目标的数据存储时,VDP_VERIFICATION_xxxx 虚拟机仍会位于该数据存储中,即使刷新浏览器之后也是如此。
     

  • 主机与需要还原的虚拟机不兼容,并在 vCenter 清单中留下孤立的虚拟机。

    与主机不兼容的自动备份验证 (ABV) 作业将失败,而失败的 ABV 作业会在 vCenter 清单中留下孤立的虚拟机。

    解决办法:手动删除或取消注册保留在 vCenter 或数据存储清单中的临时虚拟机。
     

  • 尝试编辑 ABV 作业时加载虚拟机数据失败。

    要编辑自动备份验证 (ABV) 作业,用户应启动 [创建新备份验证作业] 向导。在该向导的 [虚拟机] 页面(第一页)上,当用户尝试加载虚拟机数据时,[正在加载虚拟机数据] 进度栏将不断旋转,但虚拟机数据不显示。
     

  • 删除最新备份后,无法提交 ABV 作业。

    如果删除了最新备份 (backup-N),用户将无法验证 backup-N 之前创建的备份。

    解决办法:创建一个新备份。创建新备份后,用户在验证将来的备份时不会遇到问题。

粒度级别恢复 (GLR) 问题

  • 未安装适用于 Exchange GLR 的 VDP Advanced 插件的客户端支持在 Microsoft Exchange 服务器上执行粒度级别还原 (GLR)。

    现在,如果未安装适用于 Exchange GLR 的 VDP Advanced 插件,则会阻止 GLR 操作。
     

  • 在 Microsoft Exchange 服务器上执行粒度级别还原 (GLR) 时,目标邮箱字段应为可选字段。

    如果用户要还原到一个邮箱,则默认值为还原到原始位置。用户界面不允许该字段保留空值。如果用户选择 [还原到备用位置],则该备份中的每个邮箱都会还原到一个邮箱。

    支持将一个邮箱还原到其原始位置以及将原始路径还原到其他客户端,并且这些操作会按照设计正常运行。无法将多个邮箱还原到其原始位置,这是一个已知问题。

vSphere Data Protection 5.5.9 中的已解决问题

下列问题在发布上一版本的 vSphere Data Protection 之后已得到解决:

  • VDP 2013 更新:VDPA 服务器容易受到中间人攻击。

    VDP Advanced 服务器使用基于 SOAP 的 ViSDK 来管理 vCenter Server 中的备份操作。VDP Appliance 在 VCSA 注册期间不会验证 vCenter 展示的 SSL 证书。因此,注册过程容易受到中间人攻击。攻击者可以获得 vCenter Server 的用户凭据。由于具有 VC 用户信息的访问权限,攻击者能够执行备份和还原操作,而这些操作通常能够以读写方式访问虚拟环境。

    要保证 vCenter 与 VDP Web 应用程序以及管理服务之间的通信安全,请执行下列步骤:

    1. 通过 vCenter Server 或 Web 浏览器将 vcenter-hostname.crt 下载到 VDP Appliance:
       
      1. 要通过浏览器下载该证书,请在浏览器中键入以下 URL:

        https://vcenter-ip-address

        其中 vcenter-ip-address 是 vCenter Server 的 IP 地址。

      2. 保存 vcenter-hostname.crt 证书。
    2. 以 root 用户身份通过 SSH 登录到 VDP Appliance。
    3. 通过键入 mkdir /root/ directory,在 VDP Appliance 的根目录或任何其他位置创建目录。
    4. 将已下载的 vcenter-hostname.crt 证书复制到或者通过 sftp 传输到您在 VDP Appliance 中创建的新目录 /root/ directory 中。
    5. 通过键入以下内容将证书导入 rmi_ssl_keystore:

      /usr/java/latest/bin/keytool -import -file /root/vcentercertificate/vcenter-hostname.crt -alias vcenter-hostname -keystore /usr/local/avamar/lib/rmi_ssl_keystore

      当提示输入密钥库密码时,键入 changeme。然后键入 yes 并按 Enter

    6. 通过键入以下内容将证书导入 Tomcat /root/.keystore:

      /usr/java/latest/bin/keytool -import -file /root/vcentercertificate/vcenter-hostname.crt -alias vcenter-hostname -keystore /root/.keystore

      当提示输入密钥库密码时,键入 changeit,然后接受证书。

    7. 通过编辑 /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml 并将 ignore_vc_cert 的值更改为 false 来更新管理服务首选项文件: ignore_vc_cert=false
       
    8. 通过编辑 /usr/local/vdr/etc/vcenterinfo.cfg 并添加以下条目更新 vCenter 配置文件: vcenter-ignore-cert=false
       
    9. 重新启动 MCS:

      su admin
      mcserver.sh --restart
      exit

    10. 重新启动 tomcat Web 应用程序服务器:

      emwebpp.sh --restart
       

  • VMware 代理设备容易受到中间人攻击。

    默认情况下,代理连接到 vCenter Server 时,不会验证 SSL 证书。这会使 vCenter Server 易于受到中间人的利用,从而可能导致未经授权访问 vCenter Server。请将每个代理配置为在连接到 vCenter Server 时使用 SSL 证书身份验证,以更正此漏洞。下面提供了过程说明:

    1. 打开 Command Shell,以 root 用户身份登录到代理。
       
    2. 将 vCenter Server 证书复制到代理上的 /usr/local/avamarclient/bin 位置:
       
      • 对于 Linux vCenter Appliance:

        通过 scp 将文件 /etc/vmware-vpx/ssl/rui.crt/etc/vmware-vpx/ssl/rui-ca-cert.pem 从 vCenter Appliance 复制到代理上的 /usr/local/avamarclient/bin 位置。

      • 对于 Windows vCenter:

        通过 scp 将 c:\ProgramData\VMware\VMware VirtualCenter\SSL\rui.crtc:\ProgramData\VMware\VMware VirtualCenter\SSL\cacert.pem 复制到代理上的 /usr/local/avamarclient/bin 位置。

      注意:如果 vCenter 使用链式 SSL 证书,请将 chain.pem 文件(该文件包含链中的所有证书)复制到代理上的 /usr/local/avamarclient/bin 位置。

    3. 通过键入以下内容设置证书的正确操作系统权限:

      chmod 600 /usr/local/avamarclient/bin/vcenter-1.crt

      其中, vcenter-1.crt 是实际的证书名称。

    4. 针对 rui.crt 运行以下命令,捕获 SSL 证书指纹:

      openssl x509 -in rui.crt -fingerprint | grep Finger

      可能会显示类似以下内容的输出:

      SHA1 Fingerprint=C7:35:19:95:9C:3F:56:1D:73:35:52:41:F3:02:46:A3:B9:46:4F:D9

    5. 使用 UNIX 文本编辑器打开 /usr/local/avamarclient/var/avvcbimageAll.cmd
       
    6. 将以下条目添加到此文件的结尾:
       
      --ssl_server_cert_thumbprint="thumbprint of rui.crt"
      --ssl_server_authentication_file=/usr/local/avamarclient/bin/rui-ca-cert.pem

      其中, rui-ca-cert.pem 是实际证书名称,指纹是 vCenter Server 的实际指纹。可能会显示类似以下内容的输出:

      --ssl_server_cert_thumbprint="C7:35:19:95:9C:3F:56:1D:73:35:52:41:F3:02:46:A3:B9:46:4F:D9"

      注意:对于链式 vCenter SSL 证书,请使用 chain.pem

    7. 保存您的更改并关闭 avvcbimageAll.cmd
       
    8. 使用 UNIX 文本编辑器打开 /usr/local/avamarclient/var/avvmwfileAll.cmd
    9. 将以下条目添加到此文件的结尾:

      --ssl_server_authentication_file=/usr/local/avamarclient/bin/rui-ca-cert.pem

      其中, rui-ca-cert.pem 是实际证书名称。

      注意:对于链式 vCenter SSL 证书,请使用 chain.pem

    10. 保存您的更改并关闭 avvmwfileAll.cmd
       
    11. 使用 UNIX 文本编辑器打开 /etc/vmware/config
       

    12. 将以下行添加到此文件的结尾:
       
      vix.enableSslCertificateCheck = "true"
      vix.sslCertificateFile = "/usr/local/avamarclient/bin/rui-ca-cert.pem"
       
    13. 保存您的更改并关闭 /etc/vmware/config
       
    14. 使用 UNIX 文本编辑器打开 /usr/local/avamarclient/var/vddkconfig.ini
    15. 找到 vixDiskLib.linuxSSL.verifyCertificates=0 条目。
       
    16. vixDiskLib.linuxSSL.verifyCertificates=0 条目更改为 1

      vixDiskLib.linuxSSL.verifyCertificates=1

    17. 保存您的更改并关闭 vddkconfig.ini
       
    18. 确保此代理上没有运行任何备份或还原作业。
       
    19. 键入以下命令,重新启动 avagentvmwareflr 服务:

      service avagent-vmware restart
      service vmwareflr restart
       
  • 从 VCSA 安装 SSL 证书。

    要安装默认的 SSL 证书(从 vCenter VCSA 到 vSphere Data Protection 设备均使用此证书),请使用以下步骤。

    第一个要求是创建一个包含 VCSA cert 和 VCSA CA cert 的 PEM 文件。

    1. 使用 SSH 或 Putty,以 root 用户身份登录到 vCenter VCSA:

      ssh root@ vcsa

    2. 导航到 /etc/vmware-vpx/ssl 目录:

      cd /etc/vmware-vpx/ssl

    3. 将默认的 VCSA cert (rui.crt) 和 VCSA CA cert (rui-ca-cert.pem) 关联到名为 chain.pem 的文件中:

      cat rui.crt rui-ca-cert.pem > /tmp/chain.pem

    4. 将 chain.pem 文件复制到 VDP Appliance 并置于 /usr/local/avamarclient/bin 目录中:

      scp /tmp/chain.pem root@:/usr/local/avamarclient/bin

    5. 在接下来的步骤中,您需要使用 SSH 或 Putty 登录到 VDP 设备,并切换到 root 用户:

      ssh admin@ VDP
      su - root

      为两个帐户提供正确的凭据。

    6. 通过键入以下内容设置证书的正确操作系统权限:

      chmod 600 /usr/local/avamarclient/bin/chain.pem

    7. 导航到 /usr/local/avamarclient/var 目录:

      cd /usr/local/avamarclient/var

    8. 在修改下一个文件之前,确定 SSL 证书的指纹:

      openssl x509 -in /usr/local/avamarclient/bin/chain.pem -fingerprint -noout

      输出内容类似于:

      SHA1Fingerprint=76:D9:44:E0:5C:6B:32:A1:B3:B8:81:15:93:37:07:5A:8D:A4:AD:EE

    9. 使用 UNIX 文本编辑器打开 avvcbimageAll.cmd:

      vi avvcbimageAll.cmd

    10. 将以下条目添加到此文件的结尾:

      --ssl_server_authentication_file=/usr/local/avamarclient/bin/chain.pem

    11. 要将 SSL 指纹附加到此文件中,请将以下条目添加到文件的结尾:

      --ssl_server_cert_thumbprint=" thumbprint"

      其中, thumbprint是在步骤 8 中获得的 SHA1 指纹值。

      此条目应类似于以下内容:

      ssl_server_cert_thumbprint="76:D9:44:E0:5C:6B:32:A1:B3:B8:81:15:93:37:07:5A:8D:A4:AD:EE"

    12. 关闭 /usr/local/avamarclient/var/avvcbimageAll.cmd 并保存您的更改。
       
    13. 使用 UNIX 文本编辑器打开 /usr/local/avamarclient/var/avvmwfileAll.cmd:

      vi avvmwfileAll.cmd

    14. 将以下条目添加到此文件的结尾:

      --ssl_server_authentication_file=/usr/local/avamarclient/bin/chain.pem

    15. 关闭 /usr/local/avamarclient/var/avvmwfileAll.cmd 并保存您的更改。
       
    16. 使用 UNIX 文本编辑器打开 /etc/vmware/config:

      vi /etc/vmware/config

    17. 将以下行添加到此文件的结尾:

      vix.enableSslCertificateCheck = "true"
      vix.sslCertificateFile = "/usr/local/avamarclient/bin/chain.pem"

    18. 关闭 /etc/vmware/config 并保存您的更改。
       
    19. 使用 UNIX 文本编辑器打开 /usr/local/avamarclient/var/vddkconfig.ini:

      vi vddkconfig.ini

    20. 找到 vixDiskLib.linuxSSL.verifyCertificates=0 条目。
       
    21. 将 vixDiskLib.linuxSSL.verifyCertificates=0 条目修改为 1。

      修改后的值应类似于以下内容: vixDiskLib.linuxSSL.verifyCertificates=1

    22. 关闭 /usr/local/avamarclient/var/vddkconfig.ini 并保存您的更改。
       
    23. 确保此系统上没有运行任何备份或还原作业:

      mccli activity show --active

    24. 如果没有运行任何作业,请通过键入以下命令,重新启动 avagent 和 vmwareflr 服务:

      service avagent-vmware restart
      service vmwareflr restart