2.3 保護網路中的存取和通訊要求

本節包含以下資訊:

2.3.1 工作負載的存取和通訊要求

以下是您要使用 PlateSpin Protect 保護之工作負載的軟體、網路及防火牆要求。

表 2-2 工作負載的存取和通訊要求

工作負載類型

先決條件

所需連接埠 (預設值)

所有工作負載

Ping (ICMP 回應申請與回應) 支援

 

所有 Windows 工作負載

Microsoft .NET Framework 2.0 或 3.5 SP1 版本

 

Windows 7;

Windows Server 2008;

Windows Vista

  • 內建管理員或網域管理員帳戶身分證明 (只具有本地管理員的權限是不夠的)。在 Vista 上,帳戶必須處於啟用狀態 (預設為停用)。

  • Windows 防火牆已設定為允許檔案及印表機共用。使用下列其中一個選項︰

    • 選項 1,使用 Windows 防火牆︰ 使用基本的 Windows 防火牆控制台項目 (firewall.cpl),並在例外清單中選取檔案及印表機共用項目。

      - 或 -

    • 選項 2,使用具有進階安全性的防火牆︰ 使用具有進階安全性的 Windows 防火牆公用程式 (wf.msc),同時啟用以下輸入規則並將其設為允許

      • 檔案及印表機共用 (回應要求 - ICMPv4 輸入)

      • 檔案及印表機共用 (回應要求 - ICMPv6 輸入)

      • 檔案及印表機共用 (NB-Datagram-In)

      • 檔案及印表機共用 (NB-Name-In)

      • 檔案及印表機共用 (NB-Session-In)

      • 檔案及印表機共用 (SMB-In)

      • 檔案及印表機共用 (多工緩衝處理程式服務 - RPC)

      • 檔案及印表機共用 (多工緩衝處理程式服務 - RPC-EPMAP)

TCP 3725

NetBIOS 137 - 139

SMB (TCP 139、445 與 UDP 137、138)

TCP 135/445

Windows Server 2003 (包括 SP1 Standard、SP2 Enterprise 和 R2 SP2 Enterprise)

附註:啟用所需連接埠之後,請在伺服器提示符處執行以下指令以啟用 PlateSpin 遠端管理︰

netsh firewall set service RemoteAdmin enable

如需有關 netsh 的詳細資訊,請參閱 Microsoft TechNet 文章 http://technet.microsoft.com/en-us/library/cc785383%28v=ws.10%29.aspx

  • TCP: 3725、135、139、445

  • UDP: 137、138、139

Windows Server 2000;

Windows XP

  • 已安裝 Windows Management Instrumentation (WMI)

WMI (RPC/DCOM) 可以使用 TCP 連接埠 135 與 445,以及隨機或動態指定的 1024 以上的連接埠。如果新增工作負載時出現問題,請考慮將工作負載暫時放在 DMZ 中,或在向 PlateSpin Protect 新增工作負載期間暫時開啟防火牆連接埠。

如需其他資訊,例如限制 DCOM 與 RPC 之連接埠範圍的指導,請參閱以下 Microsoft 技術文章。

TCP 3725

NetBIOS 137 - 139

SMB (TCP 139、445 與 UDP 137、138)

RPC (TCP 135)

所有 Linux 工作負載

安全外圍程序 (SSH) 伺服器

TCP 22、3725

2.3.2 容器的存取和通訊要求

以下是所支援之工作負載容器的的軟體、網路及防火牆要求。

表 2-3 容器的存取和通訊要求

系統

先決條件

所需連接埠 (預設值)

所有容器

Ping (ICMP echo 要求與回應) 功能。

 

VMware ESX/ESXi 4.1

VMware ESXi 5.0

  • 具有管理員角色的 VMware 帳戶

  • VMware Web 服務 API 與檔案管理 API

HTTPS (TCP 443)

vCenter Server

擁有存取權的使用者必須獲得適當的角色和許可權。請參閱相應版本的 VMware 文件,瞭解詳細資訊。

HTTPS (TCP 443)

2.3.3 PlateSpin 伺服器主機的開放連接埠要求

以下是 PlateSpin 伺服器主機的開放連接埠要求。

表 2-4 PlateSpin 伺服器主機的開放連接埠要求

連接埠 (預設值)

備註

TCP 80

針對 HTTP 通訊

TCP 443

針對 HTTP 通訊 (若啟用了 SSL)

2.3.4 透過 NAT 在公用及私人網路中提供保護

在某些情況下,來源、目標或 PlateSpin Protect 本身可能位於網路位址轉換 (Network Address Translation, NAT) 設備之後的內部 (私人) 網路中,在保護期間無法與另一方通訊。

PlateSpin Protect 可讓您根據下列哪部主機位於 NAT 設備之後來解決此問題︰

  • PlateSpin 伺服器︰ 在伺服器的 PlateSpin 伺服器組態工具中,記錄指定給該主機的其他 IP 位址。請參閱設定應用程式使之在 NAT 環境中正常運作

  • 目標容器︰ 嘗試探查容器 (例如 VMware ESX) 時,請在探查參數中指定該主機的公用 (或外部) IP 位址。

  • 工作負載: 嘗試新增工作負載時,請在探查參數中指定該工作負載的公用 (外部) IP 位址。

  • 容錯移轉虛擬機器︰ 在錯誤回復過程中,您可以在錯誤回復詳細資料 (工作負載至虛擬機器) 中指定容錯移轉工作負載的替代 IP 位址。

  • 錯誤回復目標: 在嘗試註冊錯誤回復目標的過程中,若系統提示您提供該 PlateSpin 伺服器的 IP 位址,請提供 Protect 伺服器主機的本地位址或伺服器的 PlateSpin 伺服器組態工具中記錄的該主機的其中一個公用 (外部) 位址 (請參閱上文的 PlateSpin 伺服器)。

設定應用程式使之在 NAT 環境中正常運作

若要使 PlateSpin 伺服器能在啟用了 NAT 的環境中正常運作,必須在伺服器啟動時讀取的 PlateSpin 伺服器組態工具之資料庫中記錄 PlateSpin 伺服器的其他 IP 位址。

如需更新程序的相關資訊,請參閱透過 XML 組態參數設定 PlateSpin 伺服器行為

2.3.5 覆寫用於在 Linux 工作負載上執行指令之預設 bash 外圍程序

依預設,PlateSpin 伺服器在 Linux 來源工作負載上執行指令時會使用 /bin/bash 外圍程序。

必要時,您可以透過在 PlateSpin 伺服器上修改相應的登錄機碼來覆寫預設的外圍程序。

請參閱知識庫文章 7010676

2.3.6 將 VMware DRS 叢集做為容器的要求

若要成為有效的保護目標,VMware DRS 叢集必須做為 VMware 叢集新增至容器集 (已庫存)。您不應嘗試將 DRS 叢集做為一組獨立的 ESX 伺服器新增。請參閱新增容器 (保護目標)

此外,VMware DRS 叢集必須符合以下組態要求︰

  • DRS 已啟用並設定為部分自動化完全自動化

  • 在 VMware 叢集中的所有 ESX 伺服器之間至少共用一個資料儲存。

  • 對於 VMware 叢集中的所有 ESX 伺服器,至少有一個 vSwitch 和虛擬連接埠群組或者 vNetwork 分佈式交換器是公用的。

  • 每個保護合約的容錯移轉工作負載 (虛擬機器) 都單獨置於在 VMware 叢集中的所有 ESX 伺服器之間共用的資料儲存、vSwitche 以及虛擬連接埠群組上。