VMware vSphere 5におけるESXi5ファイアウォールの設定について

Tweet

VMware vSphere 5 はvSphere Clientとコマンドラインから設定できる新規ESXiファイヤウォール機能があります。これはESXハイパーバイザの中止によるものです。以前はESXiにはその軽量ハイパーバイザによりファイヤウォールは必要ないとされていました。

VMwareがESXiにファイヤウォールを追加したにはいくつかの理由があります。

ESX ServerファイヤウォールのようにESXiファイヤウォールは各仮想マシン(VM)ではなく、管理インターフェイスの保護のみを行います。それはサービス・オリエンテッドでステーとレス・ファイヤウォールです。これはネットワーク上の会話のトラックを保持するのではなく、通貨するパケットを検査します。ESXiファイヤウォールはサービスのポート・ルールを定義するIPテーブルとルール・セットを持たない違ったファイヤウォール・エンジンを持っています。リモート・ホストではユーザはIPアドレスまたは各サービスに対してアクセスができるIPアドレス範囲を指定することができます。これらのパラメータはｖSphereクライアントかコマンド・ラインで設定することができます。

●vSphereクライアントでのESXiファイヤウォール設定
ESXiファイヤウォールはデフォルトでONにになっていて、ESXiサーバ・マネージメント・インターフェイスとネットワーク間に常駐します。

ESXi 5ファイやウォールインストール後,SSH (22), DNS (53), DHCP (68)等の管理アクセスに使用されているデフォルトのTCPとUDPポートを除いてインカミングとアウトゴーイング・トラフィックをブロックするように設定されます。注：ICMP (ping)はデフォルトで各ESXiホストでは使用可能です。

vSphereクライアントでインバウンドとアウトバウンドのTCPとUDPポートのこのリストをビューと編集することができます。「Host Configuration」の下の「Software Security Profile」をクリックします。ここから「プロパティ」を選択します。

ESXiファイアウォールはネットワークへアクセスするプロセスのホスト上のサービスと関連しています。サービスを作成した時にチュックボックスがあれば、サービスのトラフィックはファイアウォール経由で通過させることができます。

ユーザはまた指定したポート経由でESXiホストをアクセスできるIPアドレス、、またはIP アドレス範囲を定義することができます。それを行うにはFirewallボタンをクリックし、許されるIPアドレスを入力します。

●コマンド･ラインからのESXiファイアウォール設定
ホストの設定はPowerCLI、vSphere Management Assistant、ESXiホスト上でコマンドラインを使用できます。しかし最初にESXiホスト上でTech Support Mode または Remote Tech Support Modeを使用可能にします。例えばRemote Tech Support Mode使用可能後にSecure Shell経由でESXi 5ホストに接続できます。次のファイルはファイアウォールを構成するために重要なファイルです。

・Rule set configuration file: (/etc/vmware/firewall/service.xml)

・Service configuration file: (/etc/vmware/services/service.xml)

vSphereクライアントからサービスをスタート/ストップと同様にルールを可能・不可にすることができますが、コマンド・ラインからは新規ファイアウォール・ルールの追加のみです。/etc/vmware/firewallディレクトリに新規XMLファイルを追加することでルールを追加することができます。それから編集を可能にするためにesxcli ネットワーク・ファイアウォール・リフレッシュ・コマンドを使用します。

このコマンドはまた　ファイアウォール全体、ルールの可否、特定のIPアドレス、またはファイアウォール・ルールの追加/削除が可能です。

ソース：http://searchvmware.techtarget.com/tip/Configuring-the-ESXi-firewall-in-VMware-vSphere-5

関連トピックス:

• 【VMware】vSphereのセキュリティ設定について
• vSphereのセキュリティ設定について【仮想化プラットホーム VMware vSphere】
• VMware vSphere 5でのトップ5セキュリティ機能
• vSphere Web Access設定【仮想化プラットホーム VMware vSphere】
• VMware vSphere 5の有益な新規ネットワーク機能 x 5
• AWS Virtual Private Cloud (VPC) Reachability Analyzer
• コマンドでのストレージの状態の確認方法【仮想化プラットホーム VMware vSphere】
• ESXiのネットワーク設定について【仮想化プラットホーム VMware vSphere】