VMware vSphere 5におけるESXi5ファイアウォールの設定について


VMware vSphere 5 はvSphere Clientとコマンドラインから設定できる新規ESXiファイヤウォール機能があります。これはESXハイパーバイザの中止によるものです。以前はESXiにはその軽量ハイパーバイザによりファイヤウォールは必要ないとされていました。

VMwareがESXiにファイヤウォールを追加したにはいくつかの理由があります。

ESX ServerファイヤウォールのようにESXiファイヤウォールは各仮想マシン(VM)ではなく、管理インターフェイスの保護のみを行います。それはサービス・オリエンテッドでステーとレス・ファイヤウォールです。これはネットワーク上の会話のトラックを保持するのではなく、通貨するパケットを検査します。ESXiファイヤウォールはサービスのポート・ルールを定義するIPテーブルとルール・セットを持たない違ったファイヤウォール・エンジンを持っています。リモート・ホストではユーザはIPアドレスまたは各サービスに対してアクセスができるIPアドレス範囲を指定することができます。これらのパラメータはvSphereクライアントかコマンド・ラインで設定することができます。

●vSphereクライアントでのESXiファイヤウォール設定
ESXiファイヤウォールはデフォルトでONにになっていて、ESXiサーバ・マネージメント・インターフェイスとネットワーク間に常駐します。

ESXi 5ファイやウォールインストール後,SSH (22), DNS (53), DHCP (68)等の管理アクセスに使用されているデフォルトのTCPとUDPポートを除いてインカミングとアウトゴーイング・トラフィックをブロックするように設定されます。注:ICMP (ping)はデフォルトで各ESXiホストでは使用可能です。

vSphereクライアントでインバウンドとアウトバウンドのTCPとUDPポートのこのリストをビューと編集することができます。「Host Configuration」の下の「Software Security Profile」をクリックします。ここから「プロパティ」を選択します。

ESXiファイアウォールはネットワークへアクセスするプロセスのホスト上のサービスと関連しています。サービスを作成した時にチュックボックスがあれば、サービスのトラフィックはファイアウォール経由で通過させることができます。

ユーザはまた指定したポート経由でESXiホストをアクセスできるIPアドレス、、またはIP アドレス範囲を定義することができます。それを行うにはFirewallボタンをクリックし、許されるIPアドレスを入力します。

●コマンド・ラインからのESXiファイアウォール設定
ホストの設定はPowerCLI、vSphere Management Assistant、ESXiホスト上でコマンドラインを使用できます。しかし最初にESXiホスト上でTech Support Mode または Remote Tech Support Modeを使用可能にします。例えばRemote Tech Support Mode使用可能後にSecure Shell経由でESXi 5ホストに接続できます。次のファイルはファイアウォールを構成するために重要なファイルです。

・Rule set configuration file: (/etc/vmware/firewall/service.xml)

・Service configuration file: (/etc/vmware/services/service.xml)

vSphereクライアントからサービスをスタート/ストップと同様にルールを可能・不可にすることができますが、コマンド・ラインからは新規ファイアウォール・ルールの追加のみです。/etc/vmware/firewallディレクトリに新規XMLファイルを追加することでルールを追加することができます。それから編集を可能にするためにesxcli ネットワーク・ファイアウォール・リフレッシュ・コマンドを使用します。

このコマンドはまた ファイアウォール全体、ルールの可否、特定のIPアドレス、またはファイアウォール・ルールの追加/削除が可能です。

ソース:http://searchvmware.techtarget.com/tip/Configuring-the-ESXi-firewall-in-VMware-vSphere-5

関連トピックス:

カテゴリー: vSphere, 設定 タグ: , , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

この記事のトラックバック用URL