VMware vSphere 5 はvSphere Clientとコマンドラインから設定できる新規ESXiファイヤウォール機能があります。これはESXハイパーバイザの中止によるものです。以前はESXiにはその軽量ハイパーバイザによりファイヤウォールは必要ないとされていました。
VMwareがESXiにファイヤウォールを追加したにはいくつかの理由があります。
ESX ServerファイヤウォールのようにESXiファイヤウォールは各仮想マシン(VM)ではなく、管理インターフェイスの保護のみを行います。それはサービス・オリエンテッドでステーとレス・ファイヤウォールです。これはネットワーク上の会話のトラックを保持するのではなく、通貨するパケットを検査します。ESXiファイヤウォールはサービスのポート・ルールを定義するIPテーブルとルール・セットを持たない違ったファイヤウォール・エンジンを持っています。リモート・ホストではユーザはIPアドレスまたは各サービスに対してアクセスができるIPアドレス範囲を指定することができます。これらのパラメータはvSphereクライアントかコマンド・ラインで設定することができます。
●vSphereクライアントでのESXiファイヤウォール設定
ESXiファイヤウォールはデフォルトでONにになっていて、ESXiサーバ・マネージメント・インターフェイスとネットワーク間に常駐します。
ESXi 5ファイやウォールインストール後,SSH (22), DNS (53), DHCP (68)等の管理アクセスに使用されているデフォルトのTCPとUDPポートを除いてインカミングとアウトゴーイング・トラフィックをブロックするように設定されます。注:ICMP (ping)はデフォルトで各ESXiホストでは使用可能です。
vSphereクライアントでインバウンドとアウトバウンドのTCPとUDPポートのこのリストをビューと編集することができます。「Host Configuration」の下の「Software Security Profile」をクリックします。ここから「プロパティ」を選択します。
ESXiファイアウォールはネットワークへアクセスするプロセスのホスト上のサービスと関連しています。サービスを作成した時にチュックボックスがあれば、サービスのトラフィックはファイアウォール経由で通過させることができます。
ユーザはまた指定したポート経由でESXiホストをアクセスできるIPアドレス、、またはIP アドレス範囲を定義することができます。それを行うにはFirewallボタンをクリックし、許されるIPアドレスを入力します。
●コマンド・ラインからのESXiファイアウォール設定
ホストの設定はPowerCLI、vSphere Management Assistant、ESXiホスト上でコマンドラインを使用できます。しかし最初にESXiホスト上でTech Support Mode または Remote Tech Support Modeを使用可能にします。例えばRemote Tech Support Mode使用可能後にSecure Shell経由でESXi 5ホストに接続できます。次のファイルはファイアウォールを構成するために重要なファイルです。
・Rule set configuration file: (/etc/vmware/firewall/service.xml)
・Service configuration file: (/etc/vmware/services/service.xml)
vSphereクライアントからサービスをスタート/ストップと同様にルールを可能・不可にすることができますが、コマンド・ラインからは新規ファイアウォール・ルールの追加のみです。/etc/vmware/firewallディレクトリに新規XMLファイルを追加することでルールを追加することができます。それから編集を可能にするためにesxcli ネットワーク・ファイアウォール・リフレッシュ・コマンドを使用します。
このコマンドはまた ファイアウォール全体、ルールの可否、特定のIPアドレス、またはファイアウォール・ルールの追加/削除が可能です。
ソース:http://searchvmware.techtarget.com/tip/Configuring-the-ESXi-firewall-in-VMware-vSphere-5
関連トピックス:
- 【VMware】vSphereのセキュリティ設定について
- vSphereのセキュリティ設定について【仮想化プラットホーム VMware vSphere】
- VMware vSphere 5でのトップ5セキュリティ機能
- vSphere Web Access設定【仮想化プラットホーム VMware vSphere】
- VMware vSphere 5の有益な新規ネットワーク機能 x 5
- AWS Virtual Private Cloud (VPC) Reachability Analyzer
- コマンドでのストレージの状態の確認方法【仮想化プラットホーム VMware vSphere】
- ESXiのネットワーク設定について【仮想化プラットホーム VMware vSphere】