ESX 構成ガイド

Size: px

Start display at page:

Download "ESX 構成ガイド"

きよたつこのえ
7 years ago
Views:

1 ESX 4.0 vcenter Server 4.0 JA

2 当社 Web サイトにて最新の技術文書をご覧いただけます当社 Web サイトでは製品の最新アップデートも提供していますこのマニュアルに関してご意見等がございましたら下記の電子メールアドレスに連絡ください : [email protected] 2009 VMware, Inc. All rights reserved. 本製品は米国著作権法および米国知的財産法ならびに国際著作権法および国際知的財産法によって保護されています VMware 製品にはに列記する 1 つ以上の特許が適用されます VMware VMware Fusion VMware ロゴ Virtual SMP および VMotion は米国およびその他の地域における VMware, Inc. の登録商標または商標です他のすべての名称ならびに製品についての商標はそれぞれの所有者の商標または登録商標です VMware, Inc Hillview Ave. Palo Alto, CA ヴイエムウェア株式会社東京都港区浜松町浜松町スクエア 13F 2 VMware, Inc.

3 目次本書について 7 1 ESX 構成の概要 9 ネットワーク 2 ネットワークの概要 13 ネットワークの概念の概要 13 ネットワークサービス 14 vsphere Client でのネットワーク情報の表示 14 vsphere Client でのネットワークアダプタ情報の表示 15 3 vnetwork 標準スイッチによる基本ネットワーク 17 vnetwork 標準スイッチ 17 ポートグループ 18 仮想マシンのポートグループの構成 18 VMkernel ネットワーク構成 19 サービスコンソールの構成 21 vnetwork 標準スイッチのプロパティ 23 4 vnetwork 分散スイッチによる基本ネットワーク 27 vnetwork 分散スイッチのアーキテクチャ 27 vnetwork 分散スイッチの構成 28 dvport グループ 30 プライベート VLAN 32 vnetwork 分散スイッチネットワークアダプタの構成 33 vnetwork 分散スイッチでの仮想マシンネットワークの構成 37 5 高度なネットワーク 39 インターネットプロトコルバージョン 6 39 ネットワークポリシー 40 DNS とルーティング構成の変更 54 MAC アドレス 55 TCP セグメンテーションオフロードおよびジャンボフレーム 57 NetQueue とネットワークパフォーマンス 59 VMDirectPath Gen I 60 6 ネットワークのベストプラクティスシナリオおよびトラブルシューティング 63 ネットワークのベストプラクティス 63 NFS ボリュームのマウント 64 VMware, Inc. 3

4 ソフトウェア iscsi ストレージのネットワーク構成 64 ブレードサーバ上のネットワークの構成 65 トラブルシューティング 67 ストレージ 7 ストレージの概要 71 ESX ストレージについて 71 物理ストレージのタイプ 72 サポート対象のストレージアダプタ 73 ターゲットとデバイスの表現 74 ESX データストアについて 76 ストレージのタイプの比較 79 vsphere Client でのストレージ情報の表示 80 8 ESX のストレージの構成 85 ローカル SCSI ストレージ 85 ファイバチャネルストレージ 86 iscsi ストレージ 86 ストレージの更新操作と再スキャン操作 96 VMFS データストアの作成 97 ネットワーク接続型ストレージ 98 診断パーティションの作成ストレージの管理 101 データストアの管理 101 VMFS データストアプロパティの変更 103 重複 VMFS データストアの管理 105 ESX でのマルチパスの使用 107 シンプロビジョニング RAW デバイスマッピング 119 RAW デバイスマッピングについて 119 RAW デバイスマッピングの特性 122 マッピング済み LUN の管理 126 セキュリティ 11 ESX システムのセキュリティ 131 ESX アーキテクチャおよびセキュリティ機能 131 セキュリティリソースおよび情報 ESX 構成のセキュリティ強化 139 ファイアウォールによるネットワークのセキュリティ強化 139 VLAN を使用した仮想マシンのセキュリティ強化 148 仮想スイッチポートのセキュリティ強化 153 iscsi ストレージのセキュリティ VMware, Inc.

5 目次 13 認証およびユーザー管理 157 認証および権限による ESX のセキュリティ強化 157 ESX の暗号化およびセキュリティ証明書サービスコンソールのセキュリティ 171 セキュリティに関する一般的推奨事項 171 サービスコンソールへのログイン 172 サービスコンソールファイアウォールの構成 173 パスワード制限 176 暗号強度 181 setuid および setgid フラグ 181 SSH セキュリティ 183 セキュリティパッチとセキュリティ脆弱性スキャンソフトウェアセキュリティの導入と推奨事項 185 一般的な ESX 導入環境でのセキュリティアプローチ 185 仮想マシンに関する推奨事項 189 ホストプロファイル 16 ホストプロファイルの管理 197 ホストプロファイルの使用モデル 197 ホストプロファイルビューへのアクセス 198 ホストプロファイルの作成 198 ホストプロファイルのエクスポート 199 ホストプロファイルのインポート 199 ホストプロファイルの編集 200 プロファイルの管理 201 コンプライアンスの確認 204 付録 A ESX のテクニカルサポートコマンド 209 B ESX で使用する Linux コマンド 213 C vmkfstools の使用 215 vmkfstools コマンドの構文 215 vmkfstools オプション 216 インデックス 225 VMware, Inc. 5

6 6 VMware, Inc.

7 本書について本 ESX 構成ガイドでは ESX のネットワークの構成方法について説明しています具体的には仮想スイッチおよびポートを作成する方法仮想マシン VMotion IP ストレージおよびサービスコンソールのネットワークを設定する方法が含まれていますまたファイルシステムの構成および iscsi ファイバチャネルなどの各種ストレージの構成についても説明します ESX インストールを保護するために ESX に組み込まれているセキュリティ機能および ESX を攻撃から守る方法についてもこのガイドで説明しますさらに ESX のテクニカルサポートコマンドおよび vsphere Client におけるそれらのコマンドに相当する操作の一覧と vmkfstools ユーティリティの説明も記載していますこの情報は ESX 4.0 を対象としています対象読者本書は ESX をインストールアップグレードまたは使用する方を対象としています本書に記載されている情報は Windows または Linux のシステム管理者としての経験があり仮想マシンテクノロジーおよびデータセンターの操作に詳しい方を対象としています本書へのフィードバックドキュメントの向上にご協力ください本書に関するコメントがございましたらメールアドレスまでフィードバックをお寄せください VMware vsphere のドキュメント vsphere のドキュメントは VMware vcenter Server のドキュメントと ESX のドキュメントを組み合わせて構成しています図で使用される略語本書の図では表 1 の略語を使用しています表 1. 略語略語データベースデータストアディスク # 説明 vcenter Server データベース管理対象ホスト用のストレージ管理対象ホスト用のストレージディスクホスト n vcenter Server が管理するホスト ( 管理対象ホスト ) SAN tmplt 管理対象ホスト間で共有されるストレージエリアネットワークタイプのデータストアテンプレート VMware, Inc. 7

8 表 1. 略語 ( 続き ) 略語ユーザー # VC VM # 説明アクセス権を持つユーザー vcenter Server 管理対象ホスト上の仮想マシンテクニカルサポートおよび教育リソースここではお客様にご利用いただけるテクニカルサポートリソースを紹介します本書やその他の文書の最新バージョンはでご覧いただけますオンラインサポートおよび電話によるサポートテクニカルサポートリクエストの提出や製品および契約情報の確認製品の登録はオンラインで行うことができます詳細はをご覧ください該当するサポート契約を結んでいるお客様の場合迅速な対応が必要な Severity1 の問題に関しては電話でのサポートをご利用ください詳細はをご覧くださいサポートサービスヴイエムウェアプロフェッショナルサービスお客様のビジネスニーズに適した各種サポートの詳細についてはをご覧くださいヴイエムウェア教育サービスのコースでは広範なハンズオンラボやケーススタディをご紹介しますまた業務の際のリファレンスとしてお使いいただける資料も提供していますトレーニングはオンサイト講義形式およびライブオンラインで受講できますオンサイトのパイロットプログラムおよび実装のベストプラクティスについてはヴイエムウェアコンサルティングサービスがご使用の仮想環境の評価計画構築および管理に役立つサービスを提供しています教育トレーニング認定プログラムおよびコンサルティングサービスについてはをご覧ください 8 VMware, Inc.

9 ESX 構成の概要 1 このガイドでは ESX ホストのネットワークストレージおよびセキュリティの構成を実行するために必要なタスクについて説明しますまたこれらのタスクを理解するうえで役に立つ概要推奨事項および概念についてだけでなくニーズに合わせてホストをデプロイする方法についても記載していますこの情報を使用する前に vsphere の概要でシステムアーキテクチャの概要および vsphere システムを構成する物理デバイスと仮想デバイスについて参照してくださいここでは本書の内容を簡単に紹介しますネットワークネットワークの情報では物理ネットワークおよび仮想ネットワークの概念 ESX ホストのネットワーク接続の構成に必要な基本タスクの説明および高度なネットワークのトピックとタスクについて説明しますストレージストレージの情報ではストレージの基本的な概念 ESX ホストのストレージを構成および管理するための基本タスクの説明および RAW デバイスマッピング (RDM) の設定方法について説明しますセキュリティセキュリティの情報では当社が ESX に組み込んだ安全策とセキュリティの脅威からホストを保護するための対策について説明しますこれらの対策としてファイアウォールの使用仮想スイッチのセキュリティ機能の効果的な利用およびユーザーの認証および権限の設定が含まれますホストプロファイルこのセクションではホストプロファイル機能およびこの機能を使用してホストの構成をホストプロファイルへカプセル化する方法について説明しますこのセクションではこのホストプロファイルをほかのホストまたはクラスタへ適用する方法プロファイルを編集する方法プロファイルでホストの整合性を確認する方法についても説明します VMware, Inc. 9

10 付録この付録では ESX ホストを構成するときに役に立つ特別な情報が記載されています ESX のテクニカルサポートコマンド : ESX の構成コマンドについて説明しますセキュアシェル (SSH) などのコマンドラインシェルを使用してこれらのコマンドを発行できますこれらのコマンドを利用することはできますがスクリプト作成に使用できる API ではありませんので注意してくださいこれらのコマンドは変更される可能性があり当社では ESX の構成コマンドに依存するアプリケーションおよびスクリプトをサポートしていませんこの付録ではこれらのコマンドと同等の vsphere Client の操作を提示しています vmkfstools の使用 : vmkfstools ユーティリティについて説明しますこのユーティリティを使用して iscsi ディスクの管理タスクおよび移行タスクを実行できます 10 VMware, Inc.

11 ネットワーク VMware, Inc. 11

12 12 VMware, Inc.

13 ネットワークの概要 2 このネットワークの概要では ESX のネットワークの基本概念と vsphere 環境でネットワークを設定および構成する方法について説明しますこの章では次のトピックについて説明しますネットワークの概念の概要 (P. 13) ネットワークサービス (P. 14) vsphere Client でのネットワーク情報の表示 (P. 14) vsphere Client でのネットワークアダプタ情報の表示 (P. 15) ネットワークの概念の概要仮想ネットワークを完全に理解するにはいくつかの概念を知ることが大切です ESX に慣れていない場合はこれらの概念について学習するとよいでしょう物理ネットワークとは互いにデータをやり取りできるように接続された物理マシンからなるネットワークです VMware ESX は物理マシン上で稼動します仮想ネットワークとは互いにデータをやり取りできるように論理的に接続された 1 台の物理マシンで稼動する複数の仮想マシンからなるネットワークです仮想マシンはネットワークを追加するときに作成する仮想ネットワークに接続できます物理イーサネットスイッチは物理ネットワークにあるマシン間のネットワークトラフィックを管理します 1 つのスイッチには複数のポートがありその各ポートはネットワークにある 1 台のマシンまたは別のスイッチに接続できます各ポートは接続しているマシンのニーズによって特定の動作を取るように構成できますスイッチはどのホストがどのポートに接続されているかを学習しその情報を使用して適切な物理マシンにトラフィックを転送しますスイッチは物理ネットワークの中心です複数のスイッチをつなげてネットワークの規模を拡大することもできます仮想スイッチである vswitch は物理イーサネットスイッチとよく似た動作をします仮想スイッチはどの仮想マシンが各仮想ポートに論理的に接続されているかを検出しその情報を使用して適切な仮想マシンにトラフィックを転送します物理イーサネットアダプタ ( アップリンクアダプタとも呼ばれる ) を使用して vswitch を物理スイッチに接続し仮想ネットワークを物理ネットワークに結び付けることができますこのタイプの接続は複数の物理スイッチをつなげてネットワークを拡大するやり方に似ています vswitch は物理スイッチと同様の働きをしますが物理スイッチの高度な機能をすべて備えているわけではありません vnetwork 分散スイッチはデータセンター上で関連するすべてのホストにおいて 1 つの vswitch として機能しますこれにより仮想マシンは複数のホスト間を移動するときに一貫したネットワーク構成を維持できます dvport は vnetwork 分散スイッチ上のポートでホストのサービスコンソールや VMkernel または仮想マシンのネットワークアダプタへ接続します VMware, Inc. 13

14 ポートグループは各メンバーポートに対するバンド幅制限や VLAN タグ付けポリシーなどのポート構成オプションを指定しますネットワークサービスはポートグループを通じて vswitches に接続しますポートグループはどのように vswitch を経由してネットワークに接続するかを定義します一般には 1 つの vswitch に 1 つまたは複数のポートグループを関連付けます dvport グループは vnetwork 分散スイッチに関連付けられているポートグループで各メンバーポートに対するポートの構成オプションが明記されています dvport グループは vnetwork 分散スイッチを介してネットワークへの接続がどのように作成されるかを定義します NIC チーミングは複数のアップリンクアダプタを 1 つの vswitch に関連付けてチームを形成します 1 つのチームは一部のメンバーまたは全メンバーにおよぶ物理ネットワークおよび仮想ネットワーク間のトラフィックロードを分担できますあるいはハードウェア障害またはネットワークの機能停止が生じた場合にパッシブフェイルオーバーを実現できます VLAN は単一の物理 LAN セグメントをさらにセグメント化してポートグループが物理的に別々のセグメントにあるかのように互いに分離できます標準は 802.1Q です VMkernel TCP/IP ネットワークスタックは iscsi NFS および VMotion をサポートしています仮想マシンは独自のシステムの TCP/IP スタックを実行して仮想スイッチを介してイーサネットレベルで VMkernel に接続します IP ストレージは TCP/IP ネットワーク通信を基盤として使用するストレージのあらゆる形態を指します iscsi は仮想マシンデータストアとして使用でき NFS は仮想マシンデータストアとしてまた.ISO ファイルの直接マウント用としても使用できます iscsi と NFS は仮想マシンには CD-ROM として認識されます TCP セグメンテーションオフロード (TSO) によって TCP/IP スタックはインターフェイスの最大転送ユニット (MTU) が比較的小さい場合でも非常に大きいフレーム ( 最大 64KB) を発信できますネットワークアダプタは大きいフレームを MTU サイズのフレームに分割し分割したコピーの先頭に元の TCP/IP ヘッダーを追加します VMotion での移行ではパワーオン状態の仮想マシンをシャットダウンせずに ESX ホスト間で移行できますオプションの VMotion 機能には独自のライセンスキーが必要ですネットワークサービス vnetwork にはホストおよび仮想マシンに対していくつかのサービスが用意されています ESX では 3 つのタイプのネットワークサービスを有効にできます仮想マシンを物理ネットワークへ接続するまた仮想マシン同士で接続する VMkernel のサービス (NFS iscsi VMotion など ) を物理ネットワークへ接続するサービスコンソールを使用して ESX の管理サービスを実行するインストール時にデフォルトで設定されるサービスコンソールポートは ESX が vsphere Client などのネットワークサービスやリモートサービスに接続するために必要です iscsi ストレージなどのその他のサービスのために追加のサービスコンソールポートが必要になることがあります vsphere Client でのネットワーク情報の表示 vsphere Client は一般的なネットワーク情報とネットワークアダプタに固有な情報を表示します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 [ 仮想スイッチ ] をクリックしてホストの vnetwork 標準スイッチのネットワークを表示するか [ 分散仮想スイッチ ] をクリックしてホストの vnetwork 分散スイッチのネットワークを表示します [ 分散仮想スイッチ ] オプションは vnetwork 分散スイッチと関連付けられたホストにのみ表示されますネットワーク情報はホストの仮想スイッチごとに表示されます 14 VMware, Inc.

15 第 2 章ネットワークの概要 vsphere Client でのネットワークアダプタ情報の表示ホスト上の物理ネットワークアダプタごとに速度デュプレックス実際の IP の範囲などの情報を表示できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワークアダプタ ] をクリックしますネットワークアダプタパネルに次の情報が表示されますオプション説明 [ デバイス ] ネットワークアダプタの名前 [ 速度 ] ネットワークアダプタの実際の速度およびデュプレックス [ 構成済み ] ネットワークアダプタの構成済み速度およびデュプレックス [vswitch] ネットワークアダプタが関連付けられている vswitch [ 実際の IP の範囲 ] ネットワークアダプタがアクセスできる IP アドレス [Wake on LAN 対応 ] Wake on LAN をサポートするネットワークアダプタの機能 VMware, Inc. 15

16 16 VMware, Inc.

17 vnetwork 標準スイッチによる基本ネット 3 ワーク次のトピックでは vnetwork 標準スイッチ (vswitch) の基本的なネットワーク設定についておよび vsphere 環境における構成について説明します vsphere Client を使用してネットワークサービスのタイプを反映しているカテゴリに基づいてネットワークを追加します仮想マシン VMkernel サービスコンソールこの章では次のトピックについて説明します vnetwork 標準スイッチ (P. 17) ポートグループ (P. 18) 仮想マシンのポートグループの構成 (P. 18) VMkernel ネットワーク構成 (P. 19) サービスコンソールの構成 (P. 21) vnetwork 標準スイッチのプロパティ (P. 23) vnetwork 標準スイッチ vnetwork 標準スイッチ (vswitch) と呼ばれる抽象化されたネットワークデバイスを作成できます vswitch は仮想マシン間のトラフィックを内部的に経路指定したり外部ネットワークにリンクしたりすることができます vswitch を使用して複数のネットワークアダプタのバンド幅と結合しそれらのアダプタ間で通信トラフィックを均衡化できますまた物理 NIC のフェイルオーバーを処理するように vswitch を構成することもできます vswitch は物理イーサネットスイッチと同様に機能します vswitch のデフォルトの論理ポート数は 56 個ですが ESX で可能な最大ポート数は 1,016 個です仮想マシンの 1 つのネットワークアダプタを各ポートに接続できます vswitch に関連付けられた各アップリンクアダプタは 1 つのポートを使用します vswitch の各論理ポートは 1 つのポートグループのメンバーになります各 vswitch に 1 つまたは複数のポートグループを割り当てることもできます 1 台のホストに最大 127 個の vswitch を作成できます複数の仮想マシンを同一の vswitch に接続するとその間のネットワークトラフィックは局所的に経路指定されますアップリンクアダプタが vswitch に接続されている場合各仮想マシンはアダプタが接続されている外部ネットワークにアクセスできます VMware, Inc. 17

18 ポートグループポートグループは共通の構成下にある複数のポートの集合でありラベル付きネットワークに接続する仮想マシンにとっての安定したアンカーポイントとなります 1 台のホストで最大 512 のポートグループを作成できます各ポートグループは現在のホストに固有のネットワークラベルによって識別されますネットワークラベルを使用すると仮想マシンの構成をホスト間で移動できます同じネットワークに物理的に接続されているデータセンター内のすべてのポートグループ ( つまり各ポートグループがほかのポートグループからブロードキャストを受信できる ) には同じラベルが付きます逆に 2 つのポートグループが互いにブロードキャストを受信できない場合各ポートグループには異なるラベルが付きます VLAN ID はオプションでありこの ID によってポートグループトラフィックが物理ネットワークの論理イーサネットセグメント内に制限されますほかの VLAN 上にあるポートグループにポートグループがアクセスするには VLAN ID を 4095 に設定する必要があります VLAN ID を使用する場合はラベルが適切に接続を表すようにするためにポートグループラベルと VLAN ID を一緒に変更する必要があります仮想マシンのポートグループの構成 vsphere Client から仮想マシンのポートグループを追加または変更できます vsphere Client のネットワークの追加ウィザードを使用して仮想マシンが接続できる仮想ネットワークを作成する作業を進めることができますたとえば vswitch の作成ネットワークラベルの設定の構成などがあります仮想マシンネットワークを設定する場合にはネットワーク内の仮想マシンをホスト間で移行するかどうか検討します移行する場合は両方のホストを同一のブロードキャストドメイン ( 同一のレイヤー 2 サブネット ) に配置します ESX では異なるブロードキャストドメインにあるホスト間で仮想マシンを移行することはサポートしていませんこれは移行された仮想マシンで必要なシステムまたはリソースがもはや新しいネットワーク内でアクセスできなくなる可能性があるためですネットワーク構成が高可用性環境として設定されていたり異なるネットワークにわたって仮想マシンのニーズを解決できるインテリジェントスイッチを装備していたりする場合でも ARP (Address Resolution Protocol) テーブルのアップデートや仮想マシンのネットワークトラフィックの再開の際に時間差が生じる可能性があります仮想マシンはアップリンクアダプタを介して物理ネットワークに接続します vswitch は 1 つまたは複数のネットワークアダプタが接続されている場合のみ外部ネットワークにデータを転送できます 1 つの vswitch に複数のアダプタが接続されている場合それらのアダプタはチームとして透過的に統合されます仮想マシンのポートグループの追加仮想マシンのポートグループは仮想マシンにネットワークを提供します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 仮想スイッチビューを選択します概要に vswitch が表示され詳細なレイアウトが示されます 4 ページの右側にある [ ネットワークの追加 ] をクリックします 5 デフォルトの接続タイプである [ 仮想マシン ] を確定し [ 次へ ] をクリックします 6 [ 仮想スイッチの作成 ] または表示されている既存の vswitch のいずれかおよびこのポートグループに使用する関連の物理アダプタを選択します新規の vswitch はイーサネットアダプタ付きまたはイーサネットアダプタなしで作成できます 18 VMware, Inc.

19 第 3 章 vnetwork 標準スイッチによる基本ネットワーク物理ネットワークアダプタなしで vswitch を作成すると vswitch 上のすべてのトラフィックはその vswitch に限定されます物理ネットワーク上のほかのホストやほかの vswitch 上の仮想マシンはこの vswitch を介してトラフィックを送受信することはできませんグループ内の仮想マシンが互いに通信できるようにしてほかのホストやグループ外の仮想マシンとは通信できないようにするには物理ネットワークアダプタなしで vswitch を作成します 7 [ 次へ ] をクリックします 8 ポートグループのプロパティグループで作成中のポートグループを識別するネットワークラベルを入力しますネットワークラベルを使用して 2 台以上のホストに共通な移行に対応する接続を識別します 9 ( オプション ) VLAN を使用している場合は [VLAN ID] に 1 ~ 4094 の数字を入力します使用していない場合は空のままにします 0 を入力するかオプションを空のままにするとポートグループはタグなし (VLAN でなはい ) トラフィックのみを参照します 4095 を入力するとポートグループは VLAN タグをそのままにして任意の VLAN のトラフィックを参照します 10 [ 次へ ] をクリックします 11 vswitch が適切に構成されていることを確認し [ 終了 ] をクリックします VMkernel ネットワーク構成 VMkernel のネットワークインターフェイスは VMware VMotion および IP ストレージで使用されますあるホストから別のホストに仮想マシンを移すことを移行と呼びます VMotion を使用するとパワーオン状態の仮想マシンをダウンタイムなしで移行できます VMkernel ネットワークスタックは VMotion に対応できるように適切に設定する必要があります IP ストレージは iscsi や ESX 用の NFS など TCP/IP ネットワーク通信を基盤として使用するあらゆる形態のストレージですこれらのストレージタイプはネットワークベースであるため同じ VMkernel インターフェイスとポートグループを使用できます VMkernel が提供するネットワークサービス (iscsi NFS および VMotion) では VMkernel の TCP/IP スタックが使用されますこの TCP/IP スタックはサービスコンソールで使用される TCP/IP スタックとは完全に分離されますこれらの TCP/IP スタックはそれぞれ 1 つまたは複数の vswitch 上の 1 つまたは複数のポートグループに接続することによって各種のネットワークにアクセスします VMkernel レベルでの TCP/IP スタック VMware の VMkernel TCP/IP ネットワークスタックは処理するそれぞれのサービスに対してさまざまな方法でネットワークのサポートを提供しています vmkernel TCP/IP スタックは iscsi NFS および VMotion を次のような方法で処理します iscsi を仮想マシンデータストアとして使用 iscsi を.ISO ファイルの直接マウント用として使用このファイルは仮想マシンに CD-ROM として認識される NFS を仮想マシンデータストアとして使用 NFS を.ISO ファイルの直接マウント用として使用このファイルは仮想マシンに CD-ROM として認識される VMotion での移行 iscsi に複数の物理 NIC がある場合ポートバインドの手法を使用してソフトウェア iscsi に複数のパスを作成できますポートバインドの詳細については iscsi SSAN 構成ガイドを参照してください注意 ESX は NFS version 3 over TCP/IP のみをサポートしています VMware, Inc. 19

20 VMkernel ネットワークの設定 VMotion インターフェイスまたは IP ストレージポートグループとして使用する VMkernel ネットワークアダプタを作成します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 仮想スイッチビューで [ ネットワークの追加 ] をクリックします 4 [VMkernel] を選択し [ 次へ ] をクリックします 5 使用する vswitch を選択するか [ 仮想スイッチの作成 ] を選択して新規 vswitch を作成します 6 vswitch が使用するネットワークアダプタのチェックボックスを選択しますアダプタ経由で接続する仮想マシンまたはほかのサービスが適切なイーサネットセグメントに到達できるように vswitch ごとにアダプタを選択します新規仮想スイッチの作成の下にアダプタが表示されない場合はシステム内のすべてのネットワークアダプタは既存の vswitch によって使用されていますネットワークアダプタなしで新規の vswitch を作成することも既存の vswitch が使用するネットワークアダプタを選択することもできます 7 [ 次へ ] をクリックします 8 ネットワークラベルおよび VLAN ID を選択または入力しますオプション説明 [ ネットワークラベル ] 作成中のポートグループを識別するための名前ですこの名前は VMotion や IP ストレージなど VMkernel サービスを構成する場合にこのポートグループに接続する仮想アダプタの構成時に指定するラベルです [VLAN ID] ポートグループのネットワークトラフィックが使用する VLAN を識別します 9 [ このポートグループを VMotion で使用 ] を選択してそのポートグループを有効にしそのポートグループ自体が VMotion トラフィックを送信するネットワーク接続として別のホストにアドバタイズするようにしますこのプロパティはホストごとに 1 つの VMotion と IP ストレージポートグループに対してのみ有効にできますこのプロパティがどのポートグループでも有効でない場合このホストへの VMotion での移行はできません 10 このポートグループをフォールトトレランスのログで使用するかどうかを選択し [ 次へ ] をクリックします 11 [IP 設定を自動的に取得 ] を選択して DHCP を使用して IP 設定を取得するか [ 次の IP 設定を使用 ] を選択して IP 設定を手動で指定します IP 設定を手動で指定するよう選択した場合この情報を指定します a VMkernel インターフェイスの IP アドレスおよびサブネットマスクを入力しますこのアドレスはサービスコンソール用に設定された IP アドレスとは異なるようにします b c [ 編集 ] をクリックして VMotion NAS iscsi など VMkernel のサービスに対する VMkernel のデフォルトゲートウェイを設定します [DNS 構成 ] タブではデフォルトでホスト名が入力されますインストール時に指定した DNS サーバアドレスもドメインと同様に事前に選択されています d [ ルーティング ] タブではサービスコンソールと VMkernel のそれぞれに固有のゲートウェイ情報が必要ですサービスコンソールまたは VMkernel と同一の IP サブネットにないマシンへの接続にはゲートウェイが必要ですデフォルトは固定 IP 設定です e [OK] をクリックし [ 次へ ] をクリックします 20 VMware, Inc.

21 第 3 章 vnetwork 標準スイッチによる基本ネットワーク 12 IPv6 対応のホスト上で VMkernel インターフェイス IPv4 設定のみを使用するには [IPv6 設定なし ] を選択します VMkernel インターフェイスの IPv6 を構成するには [ 次の IPv6 設定を使用 ] を選択しますホスト上で IPv6 が無効になっている場合はこの画面は表示されません 13 VMkernel インターフェイスで IPv6 を使用するよう選択した場合は IPv6 アドレスを取得するために次のいずれかのオプションを選択します [DHCP を使用して IPv6 アドレスを自動的に取得 ] [ ルータの通知を使用して IPv6 アドレスを自動的に取得 ] [ 固定 IPv6 アドレス ] 14 固定 IPv6 アドレスを使用するよう選択した場合は次の手順を実行します a b c [ 追加 ] をクリックして新しい IPv6 アドレスを追加します IPv6 アドレスとサブネットプリフィックスの長さを入力し [OK] をクリックします VMkernel のデフォルトゲートウェイを変更するには [ 編集 ] をクリックします 15 [ 次へ ] をクリックします 16 情報を確認しエントリを変更する場合は [ 戻る ] をクリックして [ 終了 ] をクリックしますサービスコンソールの構成サービスコンソールと VMkernel は仮想イーサネットアダプタを使用して vswitch に接続し vswitch が提供するネットワークに到達しますサービスコンソールの一般的な構成変更は NIC の変更と使用中の NIC に対する設定の変更ですサービスコンソールの接続が 1 つだけ存在する場合サービスコンソールの構成を変更することはできません新規の接続を作成するにはネットワーク設定を変更して追加の NIC を使用します新規の接続が正常に機能していることを確認したあとで既存の接続を削除します新規の NIC に切り替わります ESX では最大 16 個のサービスコンソールポートを作成できますサービスコンソールのネットワークの設定 1 つのサービスコンソールネットワークインターフェイスが ESX のインストールプロセスの過程でセットアップされます ESX が起動し実行中になったあと別のサービスコンソールインターフェイスを追加することもできます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 仮想スイッチビューで [ ネットワークの追加 ] をクリックします 4 [ サービスコンソール ] を選択して [ 次へ ] をクリックします 5 ネットワークアクセスに使用する vswitch を選択するか [ 仮想スイッチの作成 ] を選択し [ 次へ ] をクリックします新規仮想スイッチの作成グループにアダプタが表示されない場合はシステム内のすべてのネットワークアダプタは既存の vswitch によって使用されています 6 ネットワークラベルおよび VLAN ID を入力し [ 次へ ] をクリックします 7 IP アドレスとサブネットマスクを入力するか [IP 設定を自動的に取得 ] を選択します 8 [ 編集 ] をクリックしてサービスコンソールのデフォルトゲートウェイを設定し [ 次へ ] をクリックします VMware, Inc. 21

22 9 IPv6 対応のホスト上でサービスコンソールに IPv4 設定のみを使用するには [IPv6 設定なし ] を選択しますサービスコンソールの IPv6 を構成するには [ 次の IPv6 設定を使用 ] を選択しますホスト上で IPv6 が無効になっている場合はこの画面は表示されません 10 IPv6 を使用することを選択した場合は IPv6 アドレスの取得方法を選択します 11 [ 固定 IPv6 アドレス ] を選択する場合は次の処理を実行します a b c [ 追加 ] をクリックして新しい IPv6 アドレスを追加します IPv6 アドレスとサブネットプリフィックスの長さを入力し [OK] をクリックしますサービスコンソールのデフォルトゲートウェイを変更するには [ 編集 ] をクリックします 12 [ 次へ ] をクリックします 13 情報を確認しエントリを変更する場合は [ 戻る ] をクリックして [ 終了 ] をクリックしますサービスコンソールポートの構成 IP 設定やネットワークポリシーなどサービスコンソールのポートプロパティを編集できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 ページの右側で編集する vswitch の [ プロパティ ] をクリックします 4 vswitch のプロパティダイアログボックスで [ ポート ] タブをクリックします 5 [ サービスコンソール ] を選択して [ 編集 ] をクリックします 6 サービスコンソールの構成を続けるには [ この接続の変更を続行 ] をクリックします 7 ポートのプロパティ IP 設定および有効なポリシーを必要に応じて編集します 8 [OK] をクリックしますデフォルトゲートウェイの設定サービスコンソールのデフォルトゲートウェイを TCP/IP スタックごとに 1 つずつ構成できます注意変更を保存する前にネットワーク設定が正しいことを確認してくださいネットワーク設定が適切に構成されていないと UI がホストへの接続を失うことがありその場合はサービスコンソールでコマンドラインからホストを再構成する必要があります手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [DNS およびルーティング ] をクリックします 3 [ プロパティ ] をクリックします 4 [ ルーティング ] タブをクリックします 5 サービスコンソールでサービスコンソールネットワークのデフォルトゲートウェイおよびゲートウェイデバイスを設定しますサービスコンソールについては複数のネットワークアダプタで同一のサブネットを使用している場合のみゲートウェイデバイスが必要ですゲートウェイデバイスがデフォルトルートに使用するネットワークアダプタを判断します 22 VMware, Inc.

23 第 3 章 vnetwork 標準スイッチによる基本ネットワークサービスコンソールと VMkernel は同じネットワークには接続されない場合が多いのでそれぞれ独自のゲートウェイ情報が必要ですサービスコンソールまたは VMkernel インターフェイスと同一の IP サブネットにないマシンへの接続にはゲートウェイが必要です IPv6 対応のホストではサービスコンソールネットワークに IPv6 のデフォルトゲートウェイと IPv6 のゲートウェイデバイスを選択することもできます 6 VMkernel で VMkernel ネットワークのデフォルトゲートウェイを設定します IPv6 対応のホストでは VMkernel ネットワークに IPv6 のデフォルトゲートウェイも選択できます 7 [OK] をクリックしますサービスコンソール情報の表示サービスコンソールのネットワーク情報 (VLAN ID やネットワークポリシーなど ) を表示できます手順 1 サービスコンソールのポートグループの左側にある情報アイコンをクリックしてサービスコンソールの情報を表示します 2 [X] マークをクリックして情報ポップアップウィンドウを閉じますサービスコンソールでの DHCP の使用ほとんどの場合サービスコンソールには固定 IP アドレスを使用します使用する DNS サーバでサービスコンソールのホスト名と動的に生成された IP アドレスとをマッピングできる場合は動的アドレス (DHCP) を使用するようにサービスコンソールを設定することもできます DNS サーバが DHCP によって生成された IP アドレスにホスト名をマッピングできない場合はサービスコンソールの IP アドレスの数値を使用してホストにアクセスします DHCP リースの有効期間が終了したときまたはシステムを再起動するときに IP アドレス ( 数値 ) が変更される可能性がありますしたがって DNS サーバがホスト名を変換できない場合はサービスコンソールで DHCP を使用することはお勧めできません vnetwork 標準スイッチのプロパティ vnetwork 標準スイッチの設定によりポートに対する vswitch 全体のデフォルトが制御されますこの設定は各 vswitch のポートグループの設定でオーバーライドすることができますアップリンク構成や使用可能なポート数などの vswitch プロパティを編集できます vswitch のポート数の変更 vswitch は一般的なネットワークアダプタの集合 ( ネットワークアダプタをまったく含まない集合を含む ) を使用するポート構成のコンテナとして機能します各仮想スイッチのポート数には制限があります仮想マシンおよびネットワークサービスはこのポートを使用して 1 つまたは複数のネットワークにアクセスすることができます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 ページの右側で編集する vswitch の [ プロパティ ] をクリックします 4 [ ポート ] タブをクリックします 5 構成リストから vswitch アイテムを選択し [ 編集 ] をクリックします 6 [ 全般 ] タブをクリックします 7 ドロップダウンメニューから使用するポートの数を選択します 8 [OK] をクリックします VMware, Inc. 23

24 次に進む前に変更を有効にするにはシステムを再起動する必要がありますアップリンクアダプタの速度の変更アップリンクアダプタの接続速度およびデュプレックスを変更できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vswitch を選択し [ プロパティ ] をクリックします 4 [ ネットワークアダプタ ] タブをクリックします 5 構成されているネットワークアダプタの速度およびデュプレックス値を変更するにはネットワークアダプタを選択して [ 編集 ] をクリックします 6 接続速度を手動で選択するにはドロップダウンメニューから速度とデュプレックスを選択します NIC と物理スイッチが適切な接続速度のネゴシエーションに失敗する可能性がある場合は手動で接続速度を選択してください速度とデュプレックスが不適当な場合の現象としてはバンド幅が狭くなったりリンク接続が失われたりしますアダプタとそのアダプタに接続する物理スイッチポートは同じ値を設定する必要がありますたとえば auto と auto または ND と ND を設定します ND は一定の速度とデュプレックスであり auto と ND を設定することはできません 7 [OK] をクリックしますアップリンクアダプタの追加複数のアダプタを 1 つの vswitch に関連付けて NIC チーミングを設定できますチームはトラフィックを共有しフェイルオーバーを可能にします手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vswitch を選択し [ プロパティ ] をクリックします 4 [ ネットワークアダプタ ] タブをクリックします 5 [ 追加 ] をクリックしてアダプタの追加ウィザードを起動します 6 リストから 1 台または複数のアダプタを選択し [ 次へ ] をクリックします 7 ( オプション ) NIC の順序を変更して別のカテゴリに移動するには NIC を選択して [ 上へ移動 ] および [ 下へ移動 ] をクリックしますオプション有効なアダプタスタンバイアダプタ説明 vswitch が使用するアダプタ 1 つまたは複数の有効なアダプタに障害が発生したときにアクティブになるアダプタ 8 [ 次へ ] をクリックします 24 VMware, Inc.

25 第 3 章 vnetwork 標準スイッチによる基本ネットワーク 9 アダプタサマリページで情報を確認し [ 戻る ] をクリックしてエントリを変更し [ 終了 ] をクリックしますネットワークアダプタのリストが再表示され vswitch で現在必要なアダプタが表示されます 10 [ 閉じる ] をクリックして vswitch のプロパティダイアログボックスを閉じます [ 構成 ] タブのネットワークセクションにネットワークアダプタが指定の順序およびカテゴリで表示されます Cisco Discovery Protocol CDP (Cisco Discovery Protocol) を使用すると ESX の管理者はどの Cisco スイッチポートが特定の vswitch に接続されているかを確定できます特定の vswitch に対して CDP が有効になっている場合は vsphere Client から Cisco スイッチのプロパティ ( デバイス ID ソフトウェアバージョンタイムアウトなど ) を表示できます ESX ホストでの CDP の有効化 vswitch はデフォルトで Cisco ポートの情報を検出するように設定されています vswitch が Cisco スイッチ管理者に情報を提供するように CDP モードを設定することもできます手順 1 ESX ホストのコンソールに直接ログインします 2 esxcfg-vswitch -b <vswitch> コマンドを入力して vswitch の現在の CDP モードを表示します CDP が無効になっている場合モードは [ ダウン ] として表示されます 3 esxcfg-vswitch -B < モード > <vswitch> コマンドを入力して CDP のモードを変更しますモード down listen advertise both 説明 CDP が無効になっています ESX は関連する Cisco スイッチポートに関する情報を検出して表示しますが Cisco スイッチ管理者は vswitch に関する情報を使用できません ESX は vswitch に関する情報を Cisco スイッチ管理者に提供しますが Cisco スイッチに関する情報を検出および表示しません ESX は関連する Cisco スイッチポートに関する情報を検出して表示し vswitch に関する情報を Cisco スイッチ管理者に提供します vsphere Client での Cisco スイッチ情報の表示 CDP を [listen] または [both] に設定している場合 Cisco スイッチ情報を表示できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vswitch の右側にある情報アイコンをクリックします注意 Cisco 装置の CDP アドバタイズは一般に 1 分間に 1 回発生するため ESX で CDP を有効にしてから vsphere Client で CDP データを利用できようになるまでの間に明らかに遅れが生じることがあります VMware, Inc. 25

26 26 VMware, Inc.

27 vnetwork 分散スイッチによる基本ネット 4 ワークこのトピックでは vnetwork 分散スイッチによるネットワークの基本概念についておよび vsphere 環境で vnetwork 分散スイッチを使用してネットワークを設定および構成する方法について説明しますこの章では次のトピックについて説明します vnetwork 分散スイッチのアーキテクチャ (P. 27) vnetwork 分散スイッチの構成 (P. 28) dvport グループ (P. 30) プライベート VLAN (P. 32) vnetwork 分散スイッチネットワークアダプタの構成 (P. 33) vnetwork 分散スイッチでの仮想マシンネットワークの構成 (P. 37) vnetwork 分散スイッチのアーキテクチャ vnetwork 分散スイッチは関連するすべてのホストにおいて 1 つの仮想スイッチとして機能しますこれにより仮想マシンは複数のホスト間を移動するときに一貫したネットワーク構成を維持できます vnetwork 標準スイッチと同様各 vnetwork 分散スイッチは仮想マシンが使用できるネットワークハブです vnetwork 分散スイッチは仮想マシン間においてトラフィックを内部で転送することも物理イーサネットアダプタ ( アップリンクアダプタとも呼ばれる ) へ接続することによって外部ネットワークへリンクすることもできます各 vnetwork 分散スイッチは割り当てられた 1 つまたは複数の dvport グループを持つことが可能です dvport グループは共通の構成下にある複数のポートの集合でありラベル付きネットワークに接続する仮想マシンにとっての安定したアンカーポイントとなります各 dvport グループは使用中のデータセンターに固有のネットワークラベルによって識別されます VLAN ID はオプションでありこの ID によってポートグループトラフィックが物理ネットワークの論理イーサネットセグメント内に制限されます vsphere 4 では VMware vnetwork 分散スイッチのほかにもサードパーティ製の仮想スイッチのイニシャルサポートも提供していますこれらのサードパーティ製スイッチの構成についてはを参照してください VMware, Inc. 27

28 vnetwork 分散スイッチの構成 vcenter Server データセンター上に vnetwork 分散スイッチを作成できます vnetwork 分散スイッチを作成するとホストの追加 dvport グループの作成 vnetwork 分散スイッチのプロパティおよびポリシーの編集を行うことができます vnetwork 分散スイッチの作成 vnetwork 分散スイッチを作成しデータセンターで関連付けられたホストに対するネットワークトラフィックを操作します手順 1 vsphere Client にログインしてネットワークビューでデータセンターを表示します 2 インベントリメニューから [ データセンター ] - [vnetwork 分散スイッチ ] を選択します vnetwork 分散スイッチの作成ウィザードが表示されます 3 名前フィールドに新しい vnetwork 分散スイッチの名前を入力します 4 [dvuplink ポート数 ] を選択し [ 次へ ] をクリックします dvuplink ポートは関連する ESX ホスト上の物理 NIC へ vnetwork 分散スイッチを接続します dvuplink ポート数はホストごとに vnetwork 分散スイッチへの物理的な接続として許可されている最大の数です 5 [ 次へ ] をクリックします 6 [ 今すぐ追加 ] または [ あとで追加 ] を選択します 7 [ 今すぐ追加 ] を選択した場合は各ホストまたはアダプタの隣にあるチェックボックスをクリックして使用するホストおよび物理アダプタを選択します vnetwork 分散スイッチの作成時に未使用の物理アダプタのみ追加できます 8 [ 次へ ] をクリックします 9 [ デフォルトポートグループの自動作成 ] を行うかどうかを選択しますこのオプションによりアーリーバインディングのポートグループが 128 ポートで作成されますポートグループ要件が複雑なシステムの場合はデフォルトのポートグループを作成しないで vnetwork 分散スイッチを追加したあとで新しい dvport グループを作成します 10 vnetwork 分散スイッチの図を確認し正しく構成されていることを確かめて [ 終了 ] をクリックします次に進む前にホストをあとで追加することを選択した場合はネットワークアダプタを追加する前に vnetwork 分散スイッチにホストを追加する必要があります vsphere Client のホスト構成ページからまたはホストプロファイルを使用してネットワークアダプタを追加できます vnetwork 分散スイッチへのホストの追加ホストを分散仮想スイッチに追加ウィザードを使用して vnetwork 分散スイッチにホストを関連付けますホストプロファイルを使用してホストを vnetwork 分散スイッチに追加できます手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 インベントリメニューから [ 分散仮想スイッチ ] - [ 設定の編集 ] を選択します vnetwork 分散スイッチへのホストの追加ウィザードが表示されます 3 追加するホストを選択します 28 VMware, Inc.

29 第 4 章 vnetwork 分散スイッチによる基本ネットワーク 4 選択したホストで追加する物理アダプタを選択し [ 次へ ] をクリックします未使用の物理アダプタと使用中の物理アダプタのどちらでも選択できますホストが現在使用しているアダプタを選択した場合は関連する仮想アダプタを vnetwork 分散スイッチに移動するかどうかを選択します注意物理アダプタを vnetwork 分散スイッチに移動するときに関連する仮想アダプタを移動しなかった場合これらの仮想アダプタのネットワーク接続は失われます 5 [ 終了 ] をクリックします vnetwork 分散スイッチの全般的な設定の編集 vnetwork 分散スイッチの名前やアップリンクのポート数など vnetwork 分散スイッチの全般的なプロパティを編集できます手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 インベントリメニューから [ 分散仮想スイッチ ] - [ 設定の編集 ] を選択します 3 [ 全般 ] を選択して vnetwork 分散スイッチの次の設定を編集します a b c d vnetwork 分散スイッチの名前を入力しますアップリンクポート数を選択しますアップリンクのポート名を編集するには [ アップリンクポート名の編集 ] をクリックし新しい名前を入力して [OK] をクリックします vnetwork 分散スイッチに関する注釈を入力します 4 [OK] をクリックします vnetwork 分散スイッチの詳細設定の編集 vnetwork 分散スイッチの設定ダイアログボックスを使用して Cisco Discovery Protocol や vnetwork 分散スイッチ用 MTU の最大サイズなど vnetwork 分散スイッチの詳細設定を構成します手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 インベントリメニューから [ 分散仮想スイッチ ] - [ 設定の編集 ] を選択します 3 [ 詳細 ] を選択して vnetwork 分散スイッチの次のプロパティを編集します a b c MTU の最大サイズを指定します [Cisco Discovery Protocol の有効化 ] チェックボックスを選択し CDP を有効にして操作を [ 待機 ] [ アドバタイズ ] または [ 両方 ] のいずれかに設定します管理者連絡情報セクションで vnetwork 分散スイッチの管理者の名前およびその他の詳細を入力します 4 [OK] をクリックします vnetwork 分散スイッチのネットワークアダプタ情報の表示 vsphere Client のネットワークインベントリビューから vnetwork 分散スイッチの物理ネットワークアダプタおよびアップリンクの割り当てを表示します手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 インベントリメニューから [ 分散仮想スイッチ ] - [ 設定の編集 ] を選択します VMware, Inc. 29

30 3 [ ネットワークアダプタ ] タブで関連するホストのネットワークアダプタおよびアップリンクの割り当てを表示できますこのタブは読み取り専用です vnetwork 分散スイッチのネットワークアダプタはホストレベルで構成する必要があります 4 [OK] をクリックします dvport グループ dvport グループでは vnetwork 分散スイッチ上の各メンバーポートのポート構成オプションを指定しています dvport グループはネットワーク接続の作成方法を定義します dvport グループの追加 dvport グループの作成ウィザードを使用して vnetwork 分散スイッチに dvport グループを追加します手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 インベントリメニューから [ 分散仮想スイッチ ] - [ 新規ポートグループ ] を選択します 3 dvport グループのポートの名前と数を入力します 4 VLAN タイプを選択しますオプションなし VLAN VLAN トランクプライベート VLAN 説明 VLAN を使用しません [VLAN ID] フィールドに 1 ~ 4094 の数字を入力します VLAN トランクの範囲を入力しますプライベート VLAN エントリを選択しますプライベート VLAN を作成していない場合はこのメニューは空です 5 [ 次へ ] をクリックします 6 [ 終了 ] をクリックします全般的な dvport グループプロパティの編集 dvport グループのプロパティダイアログボックスを使用して dvport グループの名前およびポートグループのタイプなど dvport グループの全般的なプロパティを構成します手順 1 vsphere Client でネットワークインベントリビューを表示し dvport グループを選択します 2 インベントリメニューから [ ネットワーク ] - [ 設定の編集 ] を選択します 3 [ 全般 ] を選択し dvport グループの次のプロパティを編集しますオプション名前説明アクション dvport グループの名前を入力します dvport グループの簡単な説明を入力します 30 VMware, Inc.

31 第 4 章 vnetwork 分散スイッチによる基本ネットワークオプションポート数ポートバインドアクション dvport グループのポート数を入力しますこの dvport グループに接続された仮想マシンにポートを割り当てるときに選択します [ 静的バインド ] を選択すると仮想マシンが dvport グループに接続するときに仮想マシンにポートを割り当てます [ 動的バインド ] を選択すると仮想マシンが dvport グループに接続したあとはじめてパワーオンされるときに仮想マシンにポートを割り当てますポートのバインドがない場合は [ 短期 ] を選択します 4 [OK] をクリックします詳細な dvport グループプロパティの編集 dvport グループのプロパティダイアログボックスを使用してポート名のフォーマットやオーバーライド設定など dvport グループの詳細プロパティを構成します手順 1 インベントリメニューから [ ネットワーク ] - [ 設定の編集 ] を選択します 2 [ 詳細 ] を選択して dvport グループのプロパティを編集します a b c d e f [ ポートポリシーでオーバーライドを許可 ] を選択して dvport グループポリシーでポートレベルごとにオーバーライドできるようにします [ オーバーライド設定の編集 ] をクリックしてオーバーライドできるポリシーを選択しますライブポートの移動を許可するかどうか選択します [ 切断時にリセットを設定 ] を選択して dvport が仮想マシンから切断されたときにポートごとの設定を無効にするようにします [ ホスト上のバインディングを許可 ] を選択して vcenter Server が停止したときに ESX が dvport を仮想マシンに割り当てることを指定します [ ポート名のフォーマット ] を選択してこのグループで dvport に名前を割り当てるためのテンプレートを提供します 3 [OK] をクリックします dvport 設定の構成ポート設定ダイアログボックスを使用してポートの名前や説明など dvport の全般的なプロパティを構成します手順 1 vsphere Client にログインして vnetwork 分散スイッチを表示します 2 [ ポート ] タブで修正するポートを右クリックして [ 設定の編集 ] を選択します 3 [ 全般 ] をクリックします 4 ポートの名前および説明を変更します 5 [OK] をクリックします VMware, Inc. 31

32 プライベート VLAN プライベート VLAN は特定のネットワーク設定での VLAN ID の制限と不要な IP アドレスを解決するのに使用しますプライベート VLAN はプライマリ VLAN ID によって識別されますプライマリ VLAN ID は関連付けられた複数のセカンダリ VLAN ID を持つことができますプライマリ VLAN は [ 無差別 ] なのでプライベート VLAN 上のポートはプライマリ VLAN として設定されたポートと通信できますセカンダリ VLAN 上のポートは無差別ポートとのみ通信する [ 隔離 ] か無差別ポートおよび同じセカンダリ VLAN 上の他のポートの両方と通信する [ コミュニティ ] のいずれかです ESX ホストと物理ネットワークの他の部分との間でプライベート VLAN を使用するには ESX ホストに接続された物理スイッチがプライベート VLAN 対応でなければならず ESX でプライベート VLAN 機能に使用されている VLAN ID を使用して構成されている必要があります動的な MAC+VLAN ID ベースのラーニングを使用している物理スイッチでは対応するすべてのプライベート VLAN ID をスイッチの VLAN データベースに事前に入れておく必要がありますプライベート VLAN 機能を使用するよう dvport を構成するにはまず dvport が接続する vnetwork 分散スイッチで必要なプライベート VLAN を作成する必要がありますプライベート VLAN の作成 vnetwork 分散スイッチで使用するプライベート VLAN とそれに関連付けられた dvport を作成できます手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 [ インベントリ ] メニューから [vnetwork 分散スイッチ ] - [ 設定の編集 ] を選択します 3 [ プライベート VLAN] タブを選択します 4 プライマリプライベート VLAN ID で [[ ここにプライベート VLAN ID を入力 ]] をクリックしプライマリプライベート VLAN の数値を入力します 5 ダイアログボックス内をクリックし追加したプライマリプライベート VLAN を選択します追加したプライマリプライベート VLAN がセカンダリプライベート VLAN ID の下に表示されます 6 新しい各セカンダリプライベート VLAN でセカンダリプライベート VLAN ID の下の [[ ここにプライベート VLAN ID を入力 ]] をクリックしセカンダリプライベート VLAN の数値を入力します 7 ダイアログボックス内をクリックして追加したセカンダリプライベート VLAN を選択し [ 隔離 ] または [ コミュニティ ] のどちらかのポートタイプを選択します 8 [OK] をクリックしますプライマリプライベート VLAN の削除 vsphere Client のネットワークインベントリビューから未使用のプライマリプライベート VLAN を削除します開始する前にプライベート VLAN を削除する前にそれを使用するよう構成されているポートグループがないことを確認します手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 [ インベントリ ] メニューから [vnetwork 分散スイッチ ] - [ 設定の編集 ] を選択します 3 [ プライベート VLAN] タブを選択します 4 削除するプライマリプライベート VLAN を選択します 5 プライマリプライベート VLAN ID の下で [ 削除 ] をクリックし [OK] をクリックしますプライマリプライベート VLAN を削除すると関連するすべてのセカンダリプライベート VLAN が削除されます 32 VMware, Inc.

33 第 4 章 vnetwork 分散スイッチによる基本ネットワークセカンダリプライベート VLAN の削除 vsphere Client のネットワークインベントリビューから未使用のセカンダリプライベート VLAN を削除します開始する前にプライベート VLAN を削除する前にそれを使用するよう構成されているポートグループがないことを確認します手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 [ インベントリ ] メニューから [vnetwork 分散スイッチ ] - [ 設定の編集 ] を選択します 3 [ プライベート VLAN] タブを選択します 4 プライマリプライベート VLAN を選択して関連するセカンダリプライベート VLAN を表示します 5 削除するセカンダリプライベート VLAN を選択します 6 セカンダリプライベート VLAN ID の下で [ 削除 ] をクリックし [OK] をクリックします vnetwork 分散スイッチネットワークアダプタの構成ホストの構成ページの vnetwork 分散スイッチネットワークビューにはホストに関連する vnetwork 分散スイッチの構成が表示されますこれを使用して vnetwork 分散スイッチネットワークアダプタおよびアップリンクポートを構成できます物理アダプタの管理 vnetwork 分散スイッチに関連付けられている各ホストでは物理ネットワークアダプタ ( アップリンク ) を vnetwork 分散スイッチに割り当てる必要があります vnetwork 分散スイッチ上の 1 つのアップリンクポートにつき各ホストで 1 つのアップリンクを割り当てられます vnetwork 分散スイッチへのアップリンクの追加 vnetwork 分散スイッチに接続されている仮想マシンおよび仮想ネットワークアダプタを配置されているホスト以外のネットワークに接続するには物理アップリンクを vnetwork 分散スイッチに追加する必要があります手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vnetwork 分散仮想スイッチビューを選択します 4 [ 物理アダプタの管理 ] をクリックします 5 アップリンクを追加するアップリンクポートで [ クリックして NIC を追加 ] をクリックします 6 追加する物理アダプタを選択します別のスイッチに割り当てられているアダプタを選択するとそのスイッチからアダプタが削除されこの vnetwork 分散スイッチに再割り当てされます 7 [OK] をクリックします VMware, Inc. 33

34 vnetwork 分散スイッチからのアップリンクの削除 vnetwork 分散スイッチに関連付けられたアップリンクは vswitch または別の vnetwork 分散スイッチに追加できません手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vnetwork 分散仮想スイッチビューを選択します 4 [ 物理アダプタの管理 ] をクリックします 5 削除するアップリンクについて [ 削除 ] をクリックします 6 [OK] をクリックします仮想ネットワークアダプタの管理仮想ネットワークアダプタは vnetwork 分散スイッチを介してホストのネットワークサービスを処理します関連付けられた vnetwork 分散スイッチにより 1 台の ESX ホストのサービスコンソールと VMkernel 仮想アダプタを構成できますこれを実行するには新しい仮想アダプタを作成するか既存の仮想アダプタを移行します vnetwork 分散スイッチでの VMkernel ネットワークアダプタの作成 VMotion インターフェイスまたは IP ストレージポートグループとして使用する VMkernel ネットワークアダプタを作成します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vnetwork 分散仮想スイッチビューを選択します 4 [ 仮想アダプタの管理 ] をクリックします 5 [ 追加 ] をクリックします 6 [ 新規仮想アダプタ ] を選択し [ 次へ ] をクリックします 7 [VMkernel] を選択し [ 次へ ] をクリックします 8 ネットワーク接続の下で vnetwork 分散スイッチおよび関連付けられたポートグループを選択するかこの仮想アダプタを追加する [ スタンドアローンポート ] を選択します 9 [ この仮想アダプタを VMotion に使用 ] を選択して VMotion トラフィックが送信されるネットワーク接続としてこのポートグループが自分自身を別の ESX ホストにアドバタイズするようにします各 ESX ホストについて 1 つの VMotion および IP ストレージポートグループに対してのみこのプロパティを有効にできますこのプロパティがいずれのポートグループにも有効になっていない場合このホストへの VMotion での移行はできません 10 [ この仮想アダプタをフォールトトレランスのログに使用 ] するかどうかを選択します 11 IP 設定の下で IP アドレスおよびサブネットマスクを指定します 12 [ 編集 ] をクリックして VMotion NAS iscsi など VMkernel のサービスに対する VMkernel のデフォルトのゲートウェイを設定します 13 [DNS 構成 ] タブではデフォルトでホスト名が入力されますインストール時に指定した DNS サーバアドレスおよびドメインも事前に選択されています 34 VMware, Inc.

35 第 4 章 vnetwork 分散スイッチによる基本ネットワーク 14 [ ルーティング ] タブではサービスコンソールと VMkernel のそれぞれに固有のゲートウェイ情報が必要ですサービスコンソールまたは VMkernel と同一の IP サブネットにないマシンへの接続にはゲートウェイが必要ですデフォルトは固定 IP 設定です 15 [OK] をクリックし [ 次へ ] をクリックします 16 [ 終了 ] をクリックします vnetwork 分散スイッチでのサービスコンソールネットワークアダプタの作成関連するホストの構成ページから vnetwork 分散スイッチ上にサービスコンソールネットワークアダプタを作成します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vnetwork 分散仮想スイッチビューを選択します 4 [ 仮想アダプタの管理 ] をクリックします 5 [ 追加 ] をクリックします 6 [ 新規仮想アダプタ ] を選択し [ 次へ ] をクリックします 7 [ サービスコンソール ] を選択して [ 次へ ] をクリックします 8 ネットワーク接続の下で vnetwork 分散スイッチおよび関連付けられたポートグループを選択するかこの仮想アダプタを追加する [ スタンドアローンポート ] を選択します 9 IP アドレスとサブネットマスクを入力するか [IP 設定を自動的に取得 ] を選択します 10 [ 編集 ] をクリックしサービスコンソールのデフォルトゲートウェイを設定します 11 [ 次へ ] をクリックします 12 [ 終了 ] をクリックします既存の仮想アダプタの vnetwork 分散スイッチへの移行ホストの構成ページで vnetwork 標準スイッチから vnetwork 分散スイッチへ既存の仮想アダプタを移行します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vnetwork 分散仮想スイッチビューを選択します 4 [ 仮想アダプタの管理 ] をクリックします 5 [ 追加 ] をクリックします 6 [ 既存の仮想ネットワークアダプタの移行 ] を選択し [ 次へ ] をクリックします 7 [ 選択基準 ] ドロップダウンメニューでこの仮想アダプタをポートグループに接続するかスタンドアローンの dvport に接続するかを選択します 8 移行対象として 1 つまたは複数の仮想ネットワークアダプタを選択します 9 選択したアダプタごとに [ ポートグループを選択 ] または [ ポートを選択 ] ドロップダウンメニューからポートグループまたは dvport を選択します 10 [ 次へ ] をクリックします 11 [ 終了 ] をクリックします VMware, Inc. 35

36 vnetwork 標準スイッチへの仮想アダプタの移行仮想スイッチの移行ウィザードを使用して vnetwork 分散スイッチから vnetwork 標準スイッチに既存の仮想アダプタを移行します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択しますこのサーバのハードウェア構成ページが表示されます 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 [ 分散仮想スイッチ ] ビューを選択します 4 [ 仮想アダプタの管理 ] をクリックします 5 移行する仮想アダプタを選択し [ 仮想スイッチの移行 ] をクリックします仮想アダプタの移行ウィザードが表示されます 6 アダプタを移行する vswitch を選択し [ 次へ ] をクリックします 7 [ ネットワークラベル ] を入力して任意で仮想アダプタの [VLAN ID] を入力します [ 次へ ] をクリックします 8 [ 終了 ] をクリックして仮想アダプタを移行しウィザードを完了します vnetwork 分散スイッチでの VMkernel 構成の編集関連付けられたホストから vnetwork 分散スイッチの既存の VMkernel アダプタのプロパティを編集できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vnetwork 分散仮想スイッチビューを選択します 4 [ 仮想アダプタの管理 ] をクリックします 5 変更する VMkernel のアダプタを選択し [ 編集 ] をクリックします 6 ネットワーク接続の下で vnetwork 分散スイッチおよび関連付けられたポートグループを選択するかこの仮想アダプタを追加する [ スタンドアローンポート ] を選択します 7 [ この仮想アダプタを VMotion に使用 ] を選択して VMotion トラフィックが送信されるネットワーク接続としてこのポートグループが自分自身を別の ESX ホストにアドバタイズするようにします各 ESX ホストについて 1 つの VMotion および IP ストレージポートグループに対してのみこのプロパティを有効にできますこのプロパティがいずれのポートグループにも有効になっていない場合このホストへの VMotion での移行はできません 8 [ この仮想アダプタをフォールトトレランスのログに使用 ] するかどうかを選択します 9 IP 設定の下で IP アドレスとサブネットマスクを指定するか [IP 設定を自動的に取得 ] を選択します 10 [ 編集 ] をクリックして VMotion NAS iscsi など VMkernel のサービスに対する VMkernel のデフォルトのゲートウェイを設定します 11 [OK] をクリックします 36 VMware, Inc.

37 第 4 章 vnetwork 分散スイッチによる基本ネットワーク vnetwork 分散スイッチでのサービスコンソール構成の編集ホストの構成ページのネットワークビューからサービスコンソールの仮想アダプタのプロパティを編集します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vnetwork 分散仮想スイッチビューを選択します 4 [ 仮想アダプタの管理 ] をクリックします 5 変更するサービスコンソールアダプタを選択し [ 編集 ] をクリックします 6 ネットワーク接続の下で vnetwork 分散スイッチおよび関連付けられたポートグループを選択するかこの仮想アダプタを追加する [ スタンドアローンポート ] を選択します 7 IP アドレスとサブネットマスクを入力するか [IP 設定を自動的に取得 ] を選択します 8 [ 編集 ] をクリックしサービスコンソールのデフォルトゲートウェイを設定します 9 [OK] をクリックします仮想アダプタの削除仮想アダプタの管理ダイアログボックスで vnetwork 分散スイッチから仮想ネットワークアダプタを削除します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 [ 分散仮想スイッチ ] ビューを選択します 4 [ 仮想アダプタの管理 ] をクリックします 5 削除する仮想アダプタを選択し [ 削除 ] をクリックしますダイアログボックスに < アダプタ名 > を削除しますか? というメッセージが表示されます 6 [ はい ] をクリックします vnetwork 分散スイッチでの仮想マシンネットワークの構成仮想マシンは個々の仮想マシンの NIC を構成するか仮想マシンのグループを vnetwork 分散スイッチから移行することによって vnetwork 分散スイッチに接続できます仮想マシンは自身の関連する仮想ネットワークアダプタを dvport グループに接続することによって vnetwork 分散スイッチに接続していますこれは仮想マシンのネットワークアダプタ構成を変更することによって個々の仮想マシンに対して行うことも既存の仮想ネットワークから vnetwork 分散スイッチへ仮想マシンを移行することによって仮想マシンのグループに対して行うこともできます VMware, Inc. 37

38 vnetwork 分散スイッチとの間の仮想マシンの移行仮想マシンは各仮想マシンレベルで vnetwork 分散スイッチに接続するほかグループレベルで vnetwork 分散スイッチネットワークと vnetwork 標準スイッチネットワークの間を移行することもできます手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 [ インベントリ ] メニューから [ 分散仮想スイッチ ] - [ 仮想マシンネットワークの移行 ] を選択します仮想マシンネットワークの移行ウィザードが表示されます 3 [ ソースネットワークの選択 ] ドロップダウンメニューで移行元の仮想ネットワークを選択します 4 移行先の仮想ネットワークを [ ターゲットネットワークの選択 ] ドロップダウンメニューから選択します 5 [ 仮想マシンの表示 ] をクリックします移行元の仮想ネットワークに関連付けられている仮想マシンが [ 仮想マシンの選択 ] フィールドに表示されます 6 ターゲットの仮想ネットワークに移行する仮想マシンを選択し [OK] をクリックします dvport グループへの個々の仮想マシンの接続仮想マシンの NIC 構成を変更して個々の仮想マシンを vnetwork 分散スイッチへ接続します手順 1 vsphere Client にログインしてインベントリパネルから仮想マシンを選択します 2 [ サマリ ] タブの [ 設定の編集 ] をクリックします 3 [ ハードウェア ] タブで仮想ネットワークアダプタを選択します 4 [ ネットワークラベル ] ドロップダウンメニューから移行する dvport グループを選択し [OK] をクリックします 38 VMware, Inc.

39 高度なネットワーク 5 次のトピックでは ESX 環境における高度なネットワークについておよび高度なネットワークの構成オプションを設定および変更する方法について紹介しますこの章では次のトピックについて説明しますインターネットプロトコルバージョン 6 (P. 39) ネットワークポリシー (P. 40) DNS とルーティング構成の変更 (P. 54) MAC アドレス (P. 55) TCP セグメンテーションオフロードおよびジャンボフレーム (P. 57) NetQueue とネットワークパフォーマンス (P. 59) VMDirectPath Gen I (P. 60) インターネットプロトコルバージョン 6 vsphere はインターネットプロトコルバージョン 4 (IPv4) とインターネットプロトコルバージョン 6 (IPv6) の両方の環境をサポートしています Internet Engineering Task Force は IPv4 の後継として IPv6 を設計しましたスタンドアローンプロトコルとしてまた IPv4 との混在環境において IPv6 の導入が急速に増えています IPv6 では IPv6 環境で NFS などの vsphere 機能を使用できます IPv4 と IPv6 の最も大きな違いはアドレスの長さです IPv6 は IPv4 が使用している 32 ビットのアドレスは使用せず 128 ビットのアドレスを使用しますこれは IPv4 で生じていたアドレス不足の問題にとって有効でネットワークアドレス変換 (NAT) が不要になりますほかに顕著な違いとしてはインターフェイスが初期化されるときに表示されるリンクローカルなアドレスルータのアドバタイズによって設定されるアドレスおよびインターフェイス上に複数の IPv6 アドレスを保持できる機能などがあります vsphere の IPv6 に特有な構成では静的なアドレスを入力するか DHCP を使用して vsphere の対象のすべてのネットワークインターフェイスに対して IPv6 アドレスを提供します IPv6 のアドレスはルータのアドバタイズによって送信されるステートレスな自動構成を使用して設定することもできます ESX ホストでの IPv6 サポートの有効化ホストでの IPv6 のサポートを有効または無効にできます手順 1 ナビゲーションバーの [ インベントリ ] ボタンの隣の矢印をクリックし [ ホストおよびクラスタ ] を選択します 2 ホストを選択し [ 構成 ] タブをクリックします VMware, Inc. 39

40 3 ハードウェアの下の [ ネットワーク ] リンクをクリックします 4 仮想スイッチビューで [ プロパティ ] リンクをクリックします 5 [ このホストで IPv6 サポートを有効にする ] を選択し [OK] をクリックします 6 ホストを再起動しますネットワークポリシー vswitch レベルまたは dvport グループレベルで設定されたすべてのポリシーはポートグループレベルまたは dvport レベルでオーバーライドされた構成オプションを除きその vswitch 上のすべてのポートグループまたは dvport グループの dvport に適用されます適用可能なネットワークポリシーは次のとおりですロードバランシングおよびフェイルオーバー VLAN (vnetwork 分散スイッチのみ ) セキュリティトラフィックシェーピングポートブロックポリシー (vnetwork 分散スイッチのみ ) ロードバランシングおよびフェイルオーバーポリシーロードバランシングおよびフェイルオーバーポリシーを使用してアダプタ間にネットワークトラフィックを分配する方法やアダプタの故障時にトラフィックを再度経路設定する方法を決定できます次のパラメータを構成してロードバランシングおよびフェイルオーバーポリシーを編集できます [ ロードバランシングポリシー ] は vswitch に割り当てられたネットワークアダプタ間で送信トラフィックを分散する方法を決定します注意受信トラフィックは物理スイッチのロードバランシングポリシーによって制御されます [ フェイルオーバーの検出 ] はリンクステータスとビーコンプローブを制御しますビーコンはゲスト VLAN タギングではサポートされていません [ ネットワークアダプタの順番 ] はアクティブまたはスタンバイを指定できます vswitch でのフェイルオーバーおよびロードバランシングポリシーの編集フェイルオーバーおよびロードバランシングのポリシーを使用してアダプタ間にネットワークトラフィックを分配する方法やアダプタの故障時にトラフィックを再度経路設定する方法を決定できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vswitch を選択し [ プロパティ ] をクリックします 4 vswitch のプロパティダイアログボックスで [ ポート ] タブをクリックします 5 vswitch のフェイルオーバーとロードバランシングの値を編集するには vswitch アイテムを選択して [ プロパティ ] をクリックします 40 VMware, Inc.

41 第 5 章高度なネットワーク 6 [NIC チーミング ] タブをクリックしますポートグループレベルでフェイルオーバーの順序をオーバーライドできますデフォルトでは新規のアダプタがすべてのポリシーに対してアクティブになります新規のアダプタは特に指定しないかぎり vswitch とそのポートグループのトラフィックを伝送します 7 ポリシー例外グループで設定を指定しますオプションロードバランシング説明アップリンクの選択方法を指定します [ 発信元のポート ID に基づいたルート ] : トラフィックが仮想スイッチに到達したときに使用した仮想ポートに基づいてアップリンクを選択します [IP ハッシュに基づいたルート ] : 各パケットの発信元と宛先の IP アドレスのハッシュに基づいてアップリンクを選択します IP 以外のパケットの場合はすべてそれらのオフセットを使用してハッシュを計算します [ 発信元 MAC ハッシュに基づいたルート ] : 発信元イーサネットアドレスのハッシュに基づいてアップリンクを選択します [ 明示的なフェイルオーバー順序を使用 ] : 有効なアダプタの一覧からフェイルオーバーの検知基準を満たした最上位のアップリンクを常に使用します注意 IP ベースのチーミングにはイーサチャネルで物理スイッチを構成する必要がありますその他のすべてのオプションではイーサチャネルを無効にする必要がありますネットワークのフェイルオーバー検出スイッチへの通知フェイルオーバーの検出に使用する方法を指定します [ リンク状態のみ ] : ネットワークアダプタが提供するリンク状態のみに依存しますこのオプションではケーブルの抜け物理スイッチの電源障害などの障害は検出されますが物理スイッチポートがスパニングツリーによってブロックされていたり誤った VLAN への物理スイッチポートの構成ミスや反対側の物理スイッチのケーブル抜けなどの構成エラーは検出されません [ ビーコンの検知 ] : チーム内のすべての NIC に対してビーコンとプローブの送受信を行いこの情報とリンクステータスを使用してリンク故障を確認しますこの方法ではリンク状態のみでは検出できない前述の障害の多くを検出できます [ はい ] または [ いいえ ] を選択してフェイルオーバー時にスイッチへの通知を行います [ はい ] を選択するとフェイルオーバーイベントによって仮想 NIC が vswitch に接続される場合またはその仮想 NIC のトラフィックがチーム内の別の物理 NIC を経由する場合にはネットワークを介して通知が送信され物理スイッチの検索テーブルを更新しますほぼすべての場合において VMotion でのフェイルオーバーの発生と移行の遅延を最小限に抑えるのにこのプロセスが役立ちます注意ポートグループを使用する仮想マシンが Microsoft Network Load Balancing をユニキャストモードで使用している場合はこのオプションを使用しないでください NLB がマルチキャストモードで稼動している場合にはこのような問題はありません VMware, Inc. 41

42 オプションフェイルバックフェイルオーバーの順序説明 [ はい ] または [ いいえ ] を選択してフェイルバックを無効または有効にしますこのオプションは障害から復旧したあとで物理アダプタをどのようにアクティブなモードに戻すかを決定しますフェイルバックを [ はい ] ( デフォルト ) に設定するとアダプタは復旧後すぐにアクティブなモードに戻りもしあればスロットを引き継いだスタンバイアダプタに取って代わりますフェイルバックを [ いいえ ] に設定すると障害のあるアダプタは復旧後も現在アクティブな別のアダプタに障害が発生して交換が必要になるまで非アクティブのままになりますアップリンクのワークロードの分散方法を指定しますいくつかのアップリンクを使用しつつ使用中のアップリンクに障害が発生した際の緊急用にほかのアップリンクを確保しておく場合はこれらのアップリンクを異なるグループに分けてこの条件を設定します [ 有効なアップリンク ] : ネットワークアダプタの接続が開始されアクティブになっている場合にはアップリンクを継続して使用します [ スタンバイ中のアップリンク ] : 有効なアダプタのいずれかの接続が切断した場合にこのアップリンクを使用します [ 未使用のアップリンク ] : このアップリンクを使用しません 8 [OK] をクリックしますポートグループでのフェイルオーバーおよびロードバランシングポリシーの編集ポートグループのフェイルオーバーおよびロードバランシングポリシーの構成を編集できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 ポートグループを選択し [ 編集 ] をクリックします 4 プロパティダイアログボックスで [ ポート ] タブをクリックします 5 vswitch に対する [ フェイルオーバーとロードバランシング ] の値を編集するには vswitch アイテムを選択して [ プロパティ ] をクリックします 6 [NIC チーミング ] タブをクリックしますポートグループレベルでフェイルオーバーの順序をオーバーライドすることができますデフォルトでは新規のアダプタがすべてのポリシーに対してアクティブになります新規のアダプタは特に指定しないかぎり vswitch とそのポートグループのトラフィックを伝送します 42 VMware, Inc.

43 第 5 章高度なネットワーク 7 ポリシー例外グループで設定を指定しますオプションロードバランシング説明アップリンクの選択方法を指定します [ 発信元のポート ID に基づいたルート ] : トラフィックが仮想スイッチに到達したときに使用した仮想ポートに基づいてアップリンクを選択します [IP ハッシュに基づいたルート ] : 各パケットの発信元と宛先の IP アドレスのハッシュに基づいてアップリンクを選択します IP 以外のパケットの場合はすべてそれらのオフセットを使用してハッシュを計算します [ 発信元 MAC ハッシュに基づいたルート ] : 発信元イーサネットアドレスのハッシュに基づいてアップリンクを選択します [ 明示的なフェイルオーバー順序を使用 ] : 有効なアダプタの一覧からフェイルオーバーの検知基準を満たした最上位のアップリンクを常に使用します注意 IP ベースのチーミングにはイーサチャネルで物理スイッチを構成する必要がありますその他のすべてのオプションではイーサチャネルを無効にする必要がありますネットワークのフェイルオーバー検出スイッチへの通知フェイルバックフェイルオーバーの順序フェイルオーバーの検出に使用する方法を指定します [ リンク状態のみ ] : ネットワークアダプタが提供するリンク状態のみに依存しますこのオプションではケーブルの抜け物理スイッチの電源障害などの障害は検出されますが物理スイッチポートがスパニングツリーによってブロックされていたり誤った VLAN への物理スイッチポートの構成ミスや反対側の物理スイッチのケーブル抜けなどの構成エラーは検出されません [ ビーコンの検知 ] : チーム内のすべての NIC に対してビーコンとプローブの送受信を行いこの情報とリンクステータスを使用してリンク故障を確認しますこの方法ではリンク状態のみでは検出できない前述の障害の多くを検出できます [ はい ] または [ いいえ ] を選択してフェイルオーバー時にスイッチへの通知を行います [ はい ] を選択するとフェイルオーバーイベントによって仮想 NIC が vswitch に接続される場合またはその仮想 NIC のトラフィックがチーム内の別の物理 NIC を経由する場合にはネットワークを介して通知が送信され物理スイッチの検索テーブルを更新しますほぼすべての場合において VMotion でのフェイルオーバーの発生と移行の遅延を最小限に抑えるのにこのプロセスが役立ちます注意ポートグループを使用する仮想マシンが Microsoft Network Load Balancing をユニキャストモードで使用している場合はこのオプションを使用しないでください NLB がマルチキャストモードで稼動している場合にはこのような問題はありません [ はい ] または [ いいえ ] を選択してフェイルバックを無効または有効にしますこのオプションは障害から復旧したあとで物理アダプタをどのようにアクティブなモードに戻すかを決定しますフェイルバックを [ はい ] ( デフォルト ) に設定するとアダプタは復旧後すぐにアクティブなモードに戻りもしあればスロットを引き継いだスタンバイアダプタに取って代わりますフェイルバックを [ いいえ ] に設定すると障害のあるアダプタは復旧後も現在アクティブな別のアダプタに障害が発生して交換が必要になるまで非アクティブのままになりますアップリンクのワークロードの分散方法を指定しますいくつかのアップリンクを使用しつつ使用中のアップリンクに障害が発生した際の緊急用にほかのアップリンクを確保しておく場合はこれらのアップリンクを異なるグループに分けてこの条件を設定します [ 有効なアップリンク ] : ネットワークアダプタの接続が開始されアクティブになっている場合にはアップリンクを継続して使用します [ スタンバイ中のアップリンク ] : 有効なアダプタのいずれかの接続が切断した場合にこのアップリンクを使用します [ 未使用のアップリンク ] : このアップリンクを使用しません 8 [OK] をクリックします VMware, Inc. 43

44 dvport グループでのチーミングおよびフェイルオーバーポリシーの編集チーミングおよびフェイルオーバーのポリシーを使用してアダプタ間にネットワークトラフィックを分配する方法やアダプタの故障時にトラフィックを再度経路設定する方法を決定できます手順 1 vsphere Client でネットワークインベントリビューを表示し dvport グループを選択します 2 インベントリメニューから [ ネットワーク ] - [ 設定の編集 ] を選択します 3 [ ポリシー ] を選択します 4 チーミングおよびフェイルオーバーグループで次の内容を指定しますオプションロードバランシング説明アップリンクの選択方法を指定します [ 発信元のポート ID に基づいたルート ] : トラフィックが仮想スイッチに到達したときに使用した仮想ポートに基づいてアップリンクを選択します [IP ハッシュに基づいたルート ] : 各パケットの発信元と宛先の IP アドレスのハッシュに基づいてアップリンクを選択します IP 以外のパケットの場合はすべてそれらのオフセットを使用してハッシュを計算します [ 発信元 MAC ハッシュに基づいたルート ] : 発信元イーサネットアドレスのハッシュに基づいてアップリンクを選択します [ 明示的なフェイルオーバー順序を使用 ] : 有効なアダプタの一覧からフェイルオーバーの検知基準を満たした最上位のアップリンクを常に使用します注意 IP ベースのチーミングにはイーサチャネルで物理スイッチを構成する必要がありますその他のすべてのオプションではイーサチャネルを無効にする必要がありますネットワークのフェイルオーバー検出フェイルオーバーの検出に使用する方法を指定します [ リンク状態のみ ] : ネットワークアダプタが提供するリンク状態のみに依存しますこのオプションではケーブルの抜け物理スイッチの電源障害などの障害は検出されますが物理スイッチポートがスパニングツリーによってブロックされていたり誤った VLAN への物理スイッチポートの構成ミスや反対側の物理スイッチのケーブル抜けなどの構成エラーは検出されません [ ビーコンの検知 ] : チーム内のすべての NIC に対してビーコンとプローブの送受信を行いこの情報とリンクステータスを使用してリンク故障を確認しますこれによりリンク状態のみでは検出できない前述の障害の多くを検出できます注意 IP ハッシュに基づくロードバランシングを使用する場合はビーコンの検知を使用しないでくださいスイッチへの通知 [ はい ] または [ いいえ ] を選択してフェイルオーバー時にスイッチへの通知を行います [ はい ] を選択するとフェイルオーバーイベントによって仮想 NIC が vswitch に接続される場合またはその仮想 NIC のトラフィックがチーム内の別の物理 NIC を経由する場合にはネットワークを介して通知が送信され物理スイッチの検索テーブルを更新しますほぼすべての場合において VMotion でのフェイルオーバーの発生と移行の遅延を最小限に抑えるのにこのプロセスが役立ちます注意ポートグループを使用する仮想マシンが Microsoft Network Load Balancing をユニキャストモードで使用している場合はこのオプションを使用しないでください NLB がマルチキャストモードで稼動している場合にはこのような問題はありません 44 VMware, Inc.

45 第 5 章高度なネットワークオプションフェイルバックフェイルオーバーの順序説明 [ はい ] または [ いいえ ] を選択してフェイルバックを無効または有効にしますこのオプションは障害から復旧したあとで物理アダプタをどのようにアクティブなモードに戻すかを決定しますフェイルバックを [ はい ] ( デフォルト ) に設定するとアダプタは復旧後すぐにアクティブなモードに戻りもしあればスロットを引き継いだスタンバイアダプタに取って代わりますフェイルバックを [ いいえ ] に設定すると障害のあるアダプタは復旧後も現在アクティブな別のアダプタに障害が発生して交換が必要になるまで非アクティブのままになりますアップリンクのワークロードの分散方法を指定しますいくつかのアップリンクを使用しつつ使用中のアップリンクに障害が発生した際の緊急用にほかのアップリンクを確保しておく場合はこれらのアップリンクを異なるグループに分けてこの条件を設定します [ 有効なアップリンク ] : ネットワークアダプタの接続が開始されアクティブになっている場合にはアップリンクを継続して使用します [ スタンバイ中のアップリンク ] : 有効なアダプタのいずれかの接続が切断した場合にこのアップリンクを使用します [ 未使用のアップリンク ] : このアップリンクを使用しません注意 IP ハッシュに基づくロードバランシングを使用する場合はスタンバイアップリンクを構成しないでください 5 [OK] をクリックします dvport チーミングとフェイルオーバーポリシーの編集チーミングおよびフェイルオーバーのポリシーを使用してアダプタ間にネットワークトラフィックを分配する方法やアダプタの故障時にトラフィックを再度経路設定する方法を決定できます開始する前に各 dvport でチーミングポリシーおよびフェイルオーバーポリシーを編集するにはポリシーがオーバーライドされるよう関連付けられた dvport グループを設定する必要があります手順 1 vsphere Client にログインして vnetwork 分散スイッチを表示します 2 [ ポート ] タブで修正するポートを右クリックして [ 設定の編集 ] を選択します [ ポート設定 ] ダイアログボックスが表示されます 3 [ ポリシー ] をクリックしてポートのネットワークポリシーを表示して変更します VMware, Inc. 45

46 4 チーミングおよびフェイルオーバーグループで次の内容を指定しますオプションロードバランシング説明アップリンクの選択方法を指定します [ 発信元のポート ID に基づいたルート ] : トラフィックが仮想スイッチに到達したときに使用した仮想ポートに基づいてアップリンクを選択します [IP ハッシュに基づいたルート ] : 各パケットの発信元と宛先の IP アドレスのハッシュに基づいてアップリンクを選択します IP 以外のパケットの場合はすべてそれらのオフセットを使用してハッシュを計算します [ 発信元 MAC ハッシュに基づいたルート ] : 発信元イーサネットアドレスのハッシュに基づいてアップリンクを選択します [ 明示的なフェイルオーバー順序を使用 ] : 有効なアダプタの一覧からフェイルオーバーの検知基準を満たした最上位のアップリンクを常に使用します注意 IP ベースのチーミングにはイーサチャネルで物理スイッチを構成する必要がありますその他のすべてのオプションではイーサチャネルを無効にする必要がありますネットワークのフェイルオーバー検出フェイルオーバーの検出に使用する方法を指定します [ リンク状態のみ ] : ネットワークアダプタが提供するリンク状態のみに依存しますこのオプションではケーブルの抜け物理スイッチの電源障害などの障害は検出されますが物理スイッチポートがスパニングツリーによってブロックされていたり誤った VLAN への物理スイッチポートの構成ミスや反対側の物理スイッチのケーブル抜けなどの構成エラーは検出されません [ ビーコンの検知 ] : チーム内のすべての NIC に対してビーコンとプローブの送受信を行いこの情報とリンクステータスを使用してリンク故障を確認しますこれによりリンク状態のみでは検出できない前述の障害の多くを検出できます注意 IP ハッシュに基づくロードバランシングを使用する場合はビーコンの検知を使用しないでくださいスイッチへの通知フェイルバックフェイルオーバーの順序 [ はい ] または [ いいえ ] を選択してフェイルオーバー時にスイッチへの通知を行います [ はい ] を選択するとフェイルオーバーイベントによって仮想 NIC が vswitch に接続される場合またはその仮想 NIC のトラフィックがチーム内の別の物理 NIC を経由する場合にはネットワークを介して通知が送信され物理スイッチの検索テーブルを更新しますほぼすべての場合において VMotion でのフェイルオーバーの発生と移行の遅延を最小限に抑えるのにこのプロセスが役立ちます注意ポートグループを使用する仮想マシンが Microsoft Network Load Balancing をユニキャストモードで使用している場合はこのオプションを使用しないでください NLB がマルチキャストモードで稼動している場合にはこのような問題はありません [ はい ] または [ いいえ ] を選択してフェイルバックを無効または有効にしますこのオプションは障害から復旧したあとで物理アダプタをどのようにアクティブなモードに戻すかを決定しますフェイルバックを [ はい ] ( デフォルト ) に設定するとアダプタは復旧後すぐにアクティブなモードに戻りもしあればスロットを引き継いだスタンバイアダプタに取って代わりますフェイルバックを [ いいえ ] に設定すると障害のあるアダプタは復旧後も現在アクティブな別のアダプタに障害が発生して交換が必要になるまで非アクティブのままになりますアップリンクのワークロードの分散方法を指定しますいくつかのアップリンクを使用しつつ使用中のアップリンクに障害が発生した際の緊急用にほかのアップリンクを確保しておく場合はこれらのアップリンクを異なるグループに分けてこの条件を設定します [ 有効なアップリンク ] : ネットワークアダプタの接続が開始されアクティブになっている場合にはアップリンクを継続して使用します [ スタンバイ中のアップリンク ] : 有効なアダプタのいずれかの接続が切断した場合にこのアップリンクを使用します [ 未使用のアップリンク ] : このアップリンクを使用しません注意 IP ハッシュに基づくロードバランシングを使用する場合はスタンバイアップリンクを構成しないでください 5 [OK] をクリックします 46 VMware, Inc.

47 第 5 章高度なネットワーク VLAN ポリシー VLAN ポリシーは仮想ネットワークを物理 VLAN に接続できるようにします dvport グループでの VLAN ポリシーの編集 dvport グループの VLAN ポリシー構成を編集できます手順 1 vsphere Client でネットワークインベントリビューを表示し dvport グループを選択します 2 インベントリメニューから [ ネットワーク ] - [ 設定の編集 ] を選択します 3 [VLAN] を選択します 4 使用する [VLAN タイプ ] を選択しますオプションなし VLAN VLAN トランクプライベート VLAN 説明 VLAN を使用しません [VLAN ID] フィールドに 1 ~ 4094 の数字を入力します [VLAN トランクの範囲 ] を入力します使用する有効なプライベート VLAN を選択します dvport VLAN ポリシーの編集各 dvport では dvport レベルで設定された VLAN ポリシーが dvport グループレベルで設定された VLAN ポリシーより優先されます開始する前に各 dvport で VLAN ポリシーを編集するにはポリシーがオーバーライドされるよう関連付けられた dvport グループを設定する必要があります手順 1 vsphere Client にログインして vnetwork 分散スイッチを表示します 2 [ ポート ] タブで修正するポートを右クリックして [ 設定の編集 ] を選択します 3 [ ポリシー ] をクリックします 4 使用する VLAN タイプを選択しますオプションなし VLAN VLAN トランクプライベート VLAN アクション VLAN を使用しません VLAN ID として 1 ~ 4095 の数字を入力します VLAN トランクの範囲を入力します使用する有効なプライベート VLAN を選択します 5 [OK] をクリックします VMware, Inc. 47

48 セキュリティポリシーネットワークセキュリティポリシーは受信または送信フレームに対するアダプタのフィルタリング方法を決定しますレイヤー 2 はデータリンクレイヤーですセキュリティポリシーの 3 つの要素は無差別モード MAC アドレス変更および偽装転送です無差別モード以外ではゲストアダプタは自身の MAC アドレスに転送されたトラフィックのみを検出します無差別モードではすべてのフレームを検出できますデフォルトではゲストアダプタは無差別モード以外に設定されます vswitch でのレイヤー 2 セキュリティポリシーの編集レイヤー 2 セキュリティポリシーを編集することで受信および送信フレームの処理方法を制御します手順 1 VMware vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 編集する vswitch の [ プロパティ ] をクリックします 4 プロパティダイアログボックスで [ ポート ] タブをクリックします 5 vswitch アイテムを選択し [ 編集 ] をクリックします 6 プロパティダイアログボックスで [ セキュリティ ] タブをクリックしますデフォルトでは [ 無差別モード ] は [ 拒否 ] に設定されており [MAC アドレス変更 ] および [ 偽装転送 ] は [ 承諾 ] に設定されていますポリシーは仮想アダプタのポートグループでポリシーの例外が指定されている場合を除いて vswitch 上のすべての仮想アダプタに適用されます 7 ポリシー例外ペインでセキュリティポリシーの例外を拒否するか承諾するかを選択しますモード拒否承諾無差別モード MAC アドレス変更偽装転送ゲストアダプタを無差別モードに設定してもアダプタが受信するフレームには影響しませんゲスト OS でアダプタの MAC アドレスが.vmx 構成ファイル内に設定された MAC アドレス以外のアドレスに変更されるとすべての受信フレームがドロップされますゲスト OS で.vmx 構成ファイル内の MAC アドレスに一致するよう MAC アドレスを変更して戻すと受信フレームの伝送が再開されますアダプタに設定された以外の発信元 MAC アドレスを持つ送信フレームがドロップされますゲストアダプタを無差別モードに設定するとアダプタの接続先であるポートグループの VLAN ポリシーで許可され vswitch を通過したすべてのフレームが検出されますゲスト OS の MAC アドレスが変更されると新規の MAC アドレスへのフレームが受信されるようになりますフィルタリングは実行されず送信フレームはすべて伝送されます 8 [OK] をクリックします 48 VMware, Inc.

49 第 5 章高度なネットワークポートグループでのレイヤー 2 セキュリティポリシー例外の編集レイヤー 2 セキュリティポリシーを編集することで受信および送信フレームの処理方法を制御します手順 1 VMware vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 編集するポートグループの [ プロパティ ] をクリックします 4 プロパティダイアログボックスで [ ポート ] タブをクリックします 5 ポートグループの項目を選択し [ 編集 ] をクリックします 6 ポートグループのプロパティダイアログボックスで [ セキュリティ ] タブをクリックしますデフォルトで [ 無差別モード ] は [ 拒否 ] に設定されます [MAC アドレス変更 ] および [ 偽装転送 ] は [ 承諾 ] に設定されますポリシー例外は vswitch レベルで設定されているどのポリシーよりも優先されます 7 ポリシー例外ペインでセキュリティポリシーの例外を拒否するか承諾するかを選択しますモード拒否承諾無差別モード MAC アドレス変更偽装転送ゲストアダプタを無差別モードに設定してもアダプタが受信するフレームには影響しませんゲスト OS でアダプタの MAC アドレスが.vmx 構成ファイル内に設定された MAC アドレス以外のアドレスに変更されるとすべての受信フレームがドロップされますゲスト OS で.vmx 構成ファイル内の MAC アドレスに一致するよう MAC アドレスを変更して戻すと受信フレームの伝送が再開されますアダプタに設定された以外の発信元 MAC アドレスを持つ送信フレームがドロップされますゲストアダプタを無差別モードに設定するとアダプタの接続先であるポートグループの VLAN ポリシーで許可され vswitch を通過したすべてのフレームが検出されますゲスト OS の MAC アドレスが変更されると新規の MAC アドレスへのフレームが受信されるようになりますフィルタリングは実行されず送信フレームはすべて伝送されます 8 [OK] をクリックします dvport グループでのセキュリティポリシーの編集セキュリティポリシーを編集することで dvport グループの受信および送信フレームの処理方法を制御します手順 1 vsphere Client でネットワークインベントリビューを表示し dvport グループを選択します 2 インベントリメニューから [ ネットワーク ] - [ 設定の編集 ] を選択します 3 ポートグループのプロパティダイアログボックスで [ セキュリティ ] タブをクリックしますデフォルトで [ 無差別モード ] は [ 拒否 ] に設定されます [MAC アドレス変更 ] および [ 偽装転送 ] は [ 承諾 ] に設定されますポリシー例外は vswitch レベルで設定されているどのポリシーよりも優先されます VMware, Inc. 49

50 4 ポリシー例外ペインでセキュリティポリシーの例外を拒否するか承諾するかを選択しますモード拒否承諾無差別モード MAC アドレス変更偽装転送ゲストアダプタを無差別モードに設定してもアダプタが受信するフレームには影響しませんゲスト OS でアダプタの MAC アドレスが.vmx 構成ファイル内に設定された MAC アドレス以外のアドレスに変更されるとすべての受信フレームがドロップされますゲスト OS で.vmx 構成ファイル内の MAC アドレスに一致するよう MAC アドレスを変更して戻すと受信フレームの伝送が再開されますアダプタに設定された以外の発信元 MAC アドレスを持つ送信フレームがドロップされますゲストアダプタを無差別モードに設定するとアダプタの接続先であるポートグループの VLAN ポリシーで許可され vswitch を通過したすべてのフレームが検出されますゲスト OS の MAC アドレスが変更されると新規の MAC アドレスへのフレームが受信されるようになりますフィルタリングは実行されず送信フレームはすべて伝送されます 5 [OK] をクリックします dvport セキュリティポリシーの編集セキュリティポリシーを編集することで dvport の受信および送信フレームの処理方法を制御します開始する前に各 dvport でセキュリティポリシーを編集するにはポリシーがオーバーライドされるよう関連付けられた dvport グループを設定する必要があります手順 1 vsphere Client にログインして vnetwork 分散スイッチを表示します 2 [ ポート ] タブで修正するポートを右クリックして [ 設定の編集 ] を選択します 3 [ ポリシー ] をクリックしますデフォルトでは [ 無差別モード ] は [ 拒否 ] に設定されており [MAC アドレス変更 ] および [ 偽装転送 ] は [ 承諾 ] に設定されています 50 VMware, Inc.

51 第 5 章高度なネットワーク 4 セキュリティグループでセキュリティポリシーの例外を拒否するか承諾するかを選択しますモード拒否承諾無差別モード MAC アドレス変更偽装転送ゲストアダプタを無差別モードに設定してもアダプタが受信するフレームには影響しませんゲスト OS でアダプタの MAC アドレスが.vmx 構成ファイル内に設定された MAC アドレス以外のアドレスに変更されるとすべての受信フレームがドロップされますゲスト OS で.vmx 構成ファイル内の MAC アドレスに一致するよう MAC アドレスを変更して戻すと受信フレームの伝送が再開されますアダプタに設定された以外の発信元 MAC アドレスを持つ送信フレームがドロップされますゲストアダプタを無差別モードに設定するとアダプタの接続先であるポートグループの VLAN ポリシーで許可され vswitch を通過したすべてのフレームが検出されますゲスト OS の MAC アドレスが変更されると新規の MAC アドレスへのフレームが受信されるようになりますフィルタリングは実行されず送信フレームはすべて伝送されます 5 [OK] をクリックしますトラフィックシェーピングポリシートラフィックシェーピングポリシーは平均バンド幅ピークバンド幅およびバーストサイズの 3 つの特性によって定義されます各ポートグループおよび各 dvport または dvport グループのトラフィックシェーピングポリシーを確立できます ESX は vswitch 上で送信ネットワークトラフィックを形成し vnetwork 分散スイッチで受信および送信トラフィックを形成しますトラフィックシェーピングはポートで使用できるネットワークバンド幅を制限しますがトラフィックのバーストがより高速に通過できるように構成することもできます平均バンド幅ピークバンド幅バーストサイズあるポートで通過を許可する bps (1 秒あたりのビット数 ) を長期間の平均値で設定しますつまり許容できる平均的な負荷ですトラフィックのバーストを送信または受信するときにあるポートで通過を許可する最大の bps ピークバンド幅はバーストボーナスを使用している場合にはポートで使用されるバンド幅を上回りますバーストで許容される最大バイト数このパラメータが設定されているとポートは割り当てられているすべてのバンド幅を使用しない場合にバーストボーナスを取得できますポートで [ 平均バンド幅 ] で指定されているよりも多くのバンド幅が必要になるとバーストボーナスが使用できる場合には一時的にデータをより高速に転送できますこのパラメータはバーストボーナスに累積されているバイト数に加算された上で高速で転送されます vswitch でのトラフィックシェーピングポリシーの編集トラフィックシェーピングポリシーを使用して vswitch のバンド幅およびバーストサイズを制御します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 編集する vswitch の [ プロパティ ] をクリックします VMware, Inc. 51

52 4 プロパティダイアログボックスで [ ポート ] タブをクリックします 5 vswitch アイテムを選択し [ 編集 ] をクリックします 6 プロパティダイアログボックスで [ トラフィックシェーピング ] タブをクリックしますトラフィックシェーピングが無効である場合はオプションが淡色で表示されますトラフィックシェーピングが有効である場合はポートグループレベルですべてのトラフィックシェーピング機能をオーバーライドすることもできますこのポリシーは vswitch 全体ではなくポートグループに接続している各仮想アダプタに適用されます注意ピークバンド幅は指定されている平均バンド幅よりも小さい値にすることはできませんオプションステータス平均バンド幅ピークバンド幅バーストサイズ説明 [ ステータス ] フィールドでポリシーの例外を有効にした場合はこの特定のポートグループに関連付けられた各仮想アダプタに割り当てるネットワークバンド幅の長さの制限を設定しますポリシーを無効にすると物理ネットワークへの制限のない接続サービスが可能になります一定の期間で測定された値バースト時の最大バンド幅を制限しますこれを平均バンド幅よりも小さい値にすることはできません可能なバースト転送のサイズをキロバイト (KB) 単位で指定しますポートグループでのトラフィックシェーピングポリシーの編集トラフィックシェーピングポリシーを使用してポートグループのバンド幅およびバーストサイズを制御します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 編集するポートグループの [ プロパティ ] をクリックします 4 プロパティダイアログボックスで [ ポート ] タブをクリックします 5 ポートグループの項目を選択し [ 編集 ] をクリックします 6 ポートグループのプロパティダイアログボックスで [ トラフィックシェーピング ] タブをクリックしますトラフィックシェーピングが無効である場合はオプションが淡色で表示されますオプションステータス平均バンド幅ピークバンド幅バーストサイズ説明 [ ステータス ] フィールドでポリシーの例外を有効にした場合はこの特定のポートグループに関連付けられた各仮想アダプタに割り当てるネットワークバンド幅の長さの制限を設定しますポリシーを無効にすると物理ネットワークへの制限のない接続サービスが可能になります一定の期間で測定された値バースト時の最大バンド幅を制限しますこれを平均バンド幅よりも小さい値にすることはできません可能なバースト転送のサイズをキロバイト (KB) 単位で指定します 52 VMware, Inc.

53 第 5 章高度なネットワーク dvport グループでのトラフィックシェーピングポリシーの編集 vnetwork 分散スイッチでは受信および送信の両方のトラフィックをシェーピングできますポートで使用できるネットワークバンド幅を制限できますがトラフィックのバーストがより高速にポートを通過できるように一時的に構成することもできます手順 1 vsphere Client でネットワークインベントリビューを表示し dvport グループを選択します 2 インベントリメニューから [ ネットワーク ] - [ 設定の編集 ] を選択します 3 [ トラフィックシェーピング ] を選択します 4 ポートグループのプロパティダイアログボックスで [ トラフィックシェーピング ] タブをクリックします入力側トラフィックシェーピングと出力側トラフィックシェーピングの両方を構成できますトラフィックシェーピングが無効である場合はオプションが淡色で表示されます注意ピークバンド幅は指定されている平均バンド幅よりも小さい値にすることはできませんオプションステータス平均バンド幅ピークバンド幅バーストサイズ説明 [ ステータス ] フィールドでポリシーの例外を有効にした場合はこの特定のポートグループに関連付けられた各仮想アダプタに割り当てるネットワークバンド幅の長さの制限を設定しますポリシーを無効にすると物理ネットワークへの制限のない接続サービスが可能になります一定の期間で測定された値バースト時の最大バンド幅を制限しますこれを平均バンド幅よりも小さい値にすることはできません可能なバースト転送のサイズをキロバイト (KB) 単位で指定します dvport トラフィックシェーピングポリシーの編集 vnetwork 分散スイッチでは受信および送信の両方のトラフィックをシェーピングできますポートで使用できるネットワークバンド幅を制限できますがトラフィックのバーストがより高速にポートを通過できるように一時的に構成することもできますトラフィックシェーピングポリシーは平均バンド幅ピークバンド幅およびバーストサイズの 3 つの特性によって定義されます開始する前に各 dvport でトラフィックシェーピングポリシーを編集するにはポリシーがオーバーライドされるよう関連付けられた dvport グループを設定する必要があります手順 1 vsphere Client にログインして vnetwork 分散スイッチを表示します 2 [ ポート ] タブで修正するポートを右クリックして [ 設定の編集 ] を選択します 3 [ ポリシー ] をクリックします VMware, Inc. 53

54 4 トラフィックシェーピンググループで入力側トラフィックシェーピングと出力側トラフィックシェーピングの両方を構成できますトラフィックシェーピングが無効である場合はオプションが淡色で表示されますオプションステータス平均バンド幅ピークバンド幅バーストサイズ説明 [ ステータス ] フィールドでポリシーの例外を有効にした場合はこの特定のポートグループに関連付けられた各仮想アダプタに割り当てるネットワークバンド幅の長さの制限を設定しますポリシーを無効にすると物理ネットワークへの制限のない接続サービスが可能になります一定の期間で測定された値バースト時の最大バンド幅を制限しますこれを平均バンド幅よりも小さい値にすることはできません可能なバースト転送のサイズをキロバイト (KB) 単位で指定します 5 [OK] をクリックしますポートブロックポリシーその他のポリシーダイアログボックスから dvport のブロックポリシーを設定します dvport グループでのポートブロックポリシーの編集その他のポリシーで dvport グループのポートブロックポリシーを設定します手順 1 vsphere Client でネットワークインベントリビューを表示し dvport グループを選択します 2 インベントリメニューから [ ネットワーク ] - [ 設定の編集 ] を選択します 3 [ その他 ] を選択します 4 目的の dvport グループで [ すべてのポートをブロック ] するかどうかを選択します dvport のポートブロックポリシーの編集その他のポリシーダイアログでは dvport のポートブロックポリシーを構成できます手順 1 vsphere Client にログインして vnetwork 分散スイッチを表示します 2 [ ポート ] タブで修正するポートを右クリックして [ 設定の編集 ] を選択します 3 [ ポリシー ] をクリックします 4 [ その他 ] グループの [ すべてのポートをブロック ] でブロックするかどうかを選択します 5 [OK] をクリックします DNS とルーティング構成の変更インストール中に提供された DNS サーバおよびデフォルトゲートウェイの情報を vsphere Client のホストの構成ページから変更できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [DNS およびルーティング ] をクリックします 3 ウィンドウの右側にある [ プロパティ ] をクリックします 54 VMware, Inc.

55 第 5 章高度なネットワーク 4 [DNS 構成 ] タブで名前とドメインを入力します 5 DNS サーバアドレスを自動的に取得するか特定の DNS サーバアドレスを使用するかを選択します注意 DHCP は DHCP サーバからサービスコンソールにアクセスできる場合のみサポートされますサービスコンソールに仮想インターフェイス (vswif) が構成され DHCP サーバが常駐するネットワークに接続されている必要があります 6 ホストを検索するドメインを指定します 7 必要に応じて [ ルーティング ] タブでデフォルトゲートウェイ情報を変更します複数のサブネットに接続するようにサービスコンソールを構成している場合のみゲートウェイデバイスを選択します 8 [OK] をクリックします MAC アドレス MAC アドレスはサービスコンソール VMkernel および仮想マシンで使用する仮想ネットワークアダプタ用に生成されますほとんどの場合は生成される MAC アドレスで問題ありませんただし次のような場合は仮想ネットワークアダプタの MAC アドレスを設定する必要があることがあります異なる物理ホストの仮想ネットワークアダプタで同一のサブネットを共有しそれらのアダプタに同じ MAC アドレスが割り当てられている場合この場合には競合が発生します仮想ネットワークアダプタに常に同じ MAC アドレスが割り当てられるようにする場合物理マシンあたり仮想ネットワークアダプタは 256 個までという制限および仮想マシン間における MAC アドレスの競合の可能性を避けるためシステム管理者は手動で MAC アドレスを割り当てることができます当社で手動生成アドレスに使用している OUI (Organizationally Unique Identifier) は 00:50:56 です MAC アドレスの範囲は 00:50:56:00:00:00-00:50:56:3F:FF:FF ですアドレスを設定するには仮想マシンの構成ファイルに次の行を追加します ethernet< 数値 >.address = 00:50:56:XX:YY:ZZ ここで < 数値 > はイーサネットアダプタの数 XX は 00 ~ 3F の有効な 16 進数 YY および ZZ は 00 ~ FF の有効な 16 進数を表します VMware Workstation および VMware Server 製品によって生成される MAC アドレスとの競合を避けるため XX の値を 3F より大きくすることはできません手動で生成する MAC アドレスの最大値は次のとおりです ethernet< 数値 >.address = 00:50:56:3F:FF:FF 仮想マシンの構成ファイルでもオプションを設定する必要があります ethernet< 数値 >.addresstype="static" VMware ESX 仮想マシンでは任意の MAC アドレスはサポートしていないため前述の形式を使用する必要がありますハードコードされたアドレス間で XX:YY:ZZ に固有の値を選択しているかぎり自動で割り当てられる MAC アドレスと手動で割り当てる MAC アドレスとの間に競合が発生することはありません VMware, Inc. 55

56 MAC アドレスの生成仮想マシンの各仮想ネットワークアダプタにはそれぞれ固有な MAC アドレスが割り当てられます各ネットワークアダプタメーカーには OUI (Organizationally Unique Identifier) という 3 バイトの固有なプリフィックスが割り当てられていますこのプリフィックスを使用して固有な MAC アドレスを生成できます当社には次の OUI があります生成された MAC アドレス手動で設定された MAC アドレスレガシー仮想マシン用 (ESX では使用されなくなった ) 各仮想ネットワークアダプタに生成される MAC アドレスの最初の 3 バイトは OUI で構成されますこの MAC アドレス生成アルゴリズムによって残りの 3 バイトが生成されますこのアルゴリズムは MAC アドレスがマシン内で固有であることを保証し複数のマシン間で固有な MAC アドレスを提供できるように試みます同一サブネット上の各仮想マシンのネットワークアダプタには固有な MAC アドレスを割り当てる必要がありますそうしないと予測できない動作が生じる場合がありますアルゴリズムでは所定のホストで同時に稼動およびサスペンドする仮想マシンの数が制限されていますまた別個の物理マシン上の仮想マシンでサブネットを共有するいずれの場合にもこのアルゴリズムは対応しません当社の UUID (Universally Unique Identifier) はすべての競合の有無が確認済みの MAC アドレスを生成します生成される MAC アドレスは 3 つの部分すなわち当社の OUI 物理 ESX マシンの SMBIOS UUID および MAC アドレスが生成される対象のエンティティの名前に基づくハッシュを使用して作成されます MAC アドレスが生成されたあとは仮想マシンを同じサーバ上の異なるパスなど別の場所に移動しないかぎり生成された MAC アドレスは変更されません仮想マシンの構成ファイルにある MAC アドレスは確保されます所定の物理マシンで稼働中の仮想マシンおよびサスペンドされている仮想マシンのネットワークアダプタに割り当てられた MAC アドレスはすべて追跡されますパワーオフ状態の仮想マシンの MAC アドレスは稼働中またはサスペンドされている仮想マシンの MAC アドレスと照合されません再びパワーオンになった仮想マシンが異なる MAC アドレスを取得することがあります別の MAC アドレスの取得はこの仮想マシンがパワーオフだったときにパワーオンだった仮想マシンとの競合を避けるために行われます MAC アドレスの設定固定で割り当てられた MAC アドレスを使用するようにパワーオフ状態の仮想マシンの仮想 NIC を変更できます手順 1 vsphere Client にログインしてインベントリパネルから仮想マシンを選択します 2 [ サマリ ] タブをクリックし [ 設定の編集 ] をクリックします 3 ハードウェアリストからネットワークアダプタを選択します 4 MAC アドレスグループで [ 手動 ] を選択します 5 目的の固定 MAC アドレスを入力し [OK] をクリックします 56 VMware, Inc.

57 第 5 章高度なネットワーク TCP セグメンテーションオフロードおよびジャンボフレームジャンボフレームはコマンドラインインターフェイスを使用して各 vswitch の MTU サイズを構成しホストレベルで有効にする必要があります TCP セグメンテーションオフロード (TSO) は VMkernel インターフェイスではデフォルトで有効になっていますが仮想マシンレベルで有効にする必要があります TSO の有効化 TSO を仮想マシンレベルで有効にするには既存の vmxnet 仮想ネットワークアダプタまたはフレキシブル仮想ネットワークアダプタを拡張 vmxnet 仮想ネットワークアダプタに置き換える必要がありますこれによって仮想ネットワークアダプタの MAC アドレスが変わることがあります拡張 vmxnet ネットワークアダプタを使用する TSO は次のゲスト OS を実行している仮想マシンでサポートされています Microsoft Windows 2003 Enterprise Edition with Service Pack 2 (32 ビットおよび 64 ビット ) Red Hat Enterprise Linux 4 (64 ビット ) Red Hat Enterprise Linux 5 (32 ビットおよび 64 ビット ) SuSE Linux Enterprise Server 10 (32 ビットおよび 64 ビット ) 仮想マシンでの TSO サポートの有効化仮想マシンの拡張 vmxnet アダプタを使用して仮想マシンでの TSO のサポートを有効にできます手順 1 vsphere Client にログインしてインベントリパネルから仮想マシンを選択します 2 [ サマリ ] タブをクリックし [ 設定の編集 ] をクリックします 3 ハードウェアリストからネットワークアダプタを選択します 4 ネットワークアダプタが使用しているネットワーク設定および MAC アドレスを記録します 5 [ 削除 ] をクリックして仮想マシンからネットワークアダプタを削除します 6 [ 追加 ] をクリックします 7 [ イーサネットアダプタ ] を選択し [ 次へ ] をクリックします 8 アダプタタイプグループで [ 拡張 vmxnet] を選択します 9 古いネットワークアダプタが使用していたネットワーク設定および MAC アドレスを選択し [ 次へ ] をクリックします 10 [ 終了 ] をクリックし [OK] をクリックします 11 仮想マシンがパワーオンするたびに VMware Tools をアップグレードするように設定されていない場合は手動で VMware Tools をアップグレードする必要があります TSO は VMkernel インターフェイスで有効です特定の VMkernel インターフェイスに対して TSO が無効になっている場合 TSO を有効にする唯一の方法はその VMkernel インターフェイスを削除してから TSO を有効にして VMkernel インターフェイスを再作成することです VMkernel インターフェイスでの TSO の有効化の確認特定の VMKernel ネットワークインターフェイス上で TSO が有効になっていることを確認できます手順 1 ESX ホストのコンソールにログインします 2 esxcfg-vmknic -l コマンドを使用して VMkernel インターフェイスのリストを表示します TSO が有効な VMkernel インターフェイスがリストに表示され TSO MSS はに設定されています VMware, Inc. 57

58 次に進む前に特定の VMkernel インターフェイスに対して TSO が有効になっていない場合 TSO を有効にする唯一の方法は VMkernel インターフェイスを削除してから VMkernel インターフェイスを再作成することですジャンボフレームの有効化ジャンボフレームを使用すると ESX でより大きいフレームを物理ネットワークに送信できますそのためにはネットワークがエンドツーエンドでジャンボフレームをサポートしている必要があります最大 9kB (9,000 バイト ) のジャンボフレームがサポートされていますジャンボフレームは ESX ホストのコマンドラインインターフェイスを使用して各 vswitch または VMkernel インターフェイスで有効にする必要がありますジャンボフレームを有効にする前に物理ネットワークアダプタがジャンボフレームをサポートしていることをハードウェアベンダーに確認してくださいジャンボフレーム対応の vswitch の作成 vswitch の MTU サイズを変更してジャンボフレームの vswitch を構成します手順 1 VMware vsphere CLI で vicfg-vswitch -m <MTU> <vswitch> コマンドを使用して vswitch の MTU サイズを設定しますこのコマンドは vswitch 上のすべてのアップリンクに対して MTU を設定します MTU サイズは vswitch に接続されているすべての仮想ネットワークアダプタ間で最大の MTU サイズに設定します 2 vicfg-vswitch -l コマンドを使用してホスト上の vswitch のリストを表示し vswitch の構成が正しいことを確認します vnetwork 分散スイッチでのジャンボフレームの有効化 vnetwork 分散スイッチの MTU サイズを変更してジャンボフレームの vnetwork 分散スイッチを有効にします手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 インベントリメニューから [ 分散仮想スイッチ ] - [ 設定の編集 ] を選択します 3 [ プロパティ ] タブで [ 詳細 ] を選択します 4 [MTU の最大サイズ ] は vnetwork 分散スイッチに接続されているすべての仮想ネットワークアダプタ間で最大の MTU サイズに設定し [OK] をクリックします仮想マシンでのジャンボフレームサポートの有効化仮想マシンでジャンボフレームのサポートを有効にするにはその仮想マシンの拡張 vmxnet アダプタが必要です手順 1 vsphere Client にログインしてインベントリパネルから仮想マシンを選択します 2 [ サマリ ] タブをクリックし [ 設定の編集 ] をクリックします 3 ハードウェアリストからネットワークアダプタを選択します 4 ネットワークアダプタが使用しているネットワーク設定および MAC アドレスを記録します 5 [ 削除 ] をクリックして仮想マシンからネットワークアダプタを削除します 6 [ 追加 ] をクリックします 7 [ イーサネットアダプタ ] を選択し [ 次へ ] をクリックします 58 VMware, Inc.

59 第 5 章高度なネットワーク 8 アダプタタイプグループで [ 拡張 vmxnet] を選択します 9 古いネットワークアダプタが使用していたネットワークを選択し [ 次へ ] をクリックします 10 [ 終了 ] をクリックします 11 ハードウェアリストから新規のネットワークアダプタを選択します 12 MAC アドレスで [ 手動 ] を選択し古いネットワークアドレスが使用していた MAC アドレスを入力します 13 [OK] をクリックします 14 拡張 vmxnet アダプタがジャンボフレーム対応の vswitch に接続されていることを確認します 15 ゲスト OS 内でジャンボフレームを使用できるようにネットワークアダプタを構成します詳細についてはゲスト OS のドキュメントを参照してください 16 ジャンボフレームをサポートするようにこの仮想マシンが接続するすべての物理スイッチおよび物理マシンまたは仮想マシンを構成しますジャンボフレーム対応の VMkernel インターフェイスの作成ジャンボフレーム対応の VMkernel ネットワークインターフェイスを作成できます手順 1 ESX ホストのコンソールにログインします 2 esxcfg-vmknic -a -I <IP アドレス > -n < ネットマスク > -m <MTU> < ポートグループ名 > コマンドを使用してジャンボフレームをサポートした VMkernel 接続を作成します 3 esxcfg-vmknic -l コマンドを使用して VMkernel インターフェイスのリストを表示しジャンボフレーム対応のインターフェイスの構成が正しいことを確認します 4 VMkernel インターフェイスがジャンボフレーム対応の vswitch に接続されていることを確認します 5 この VMkernel インターフェイスが接続されるすべての物理スイッチおよびすべての物理マシンまたは仮想マシンがジャンボフレームをサポートするように構成します NetQueue とネットワークパフォーマンス ESX の NetQueue はネットワークアダプタのいくつかの機能を利用して個別に処理可能な複数の受信キューのシステムにネットワークトラフィックを提供しますこれによって処理をマルチ CPU に拡張し受信側のネットワークパフォーマンスを向上させることができます ESX ホストでの NetQueue の有効化 NetQueue はデフォルトで有効になっています一度無効にした NetQueue を使用するには再度有効にする必要があります手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ソフトウェア ] メニューの [ 詳細設定 ] をクリックします 3 [VMkernel] を選択します 4 [VMkernel.Boot.netNetQueueEnable] を選択し [OK] をクリックします 5 VMware vsphere CLI を使用して NIC ドライバが NetQueue を使用するように構成します VMware vsphere Command-Line Interface Installation and Reference ガイドを参照してください 6 ESX ホストを再起動します VMware, Inc. 59

60 ESX ホストでの NetQueue の無効化 NetQueue はデフォルトで有効になっています手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ 詳細設定 ] をクリックします 3 [VMkernel.Boot.netNetQueueEnable] を選択解除して [OK] をクリックします 4 NIC ドライバの NetQueue を無効にするには vicfg-module -s "" [ モジュール名 ] コマンドを使用しますたとえば s2io NIC ドライバを使用している場合は vicfg-module -s "" s2io を使用します VMware vsphere CLI の詳細については VMware vsphere Command-Line Interface Installation and Reference ガイドを参照してください 5 ホストを再起動します VMDirectPath Gen I vsphere 4 では ESX は Intel Nehalem プラットフォームで稼動している仮想マシンに対する PCI デバイスの直接接続をサポートしています各仮想マシンは最大 2 つのパススルーデバイスに接続できます VMDirectPath で構成されている仮想マシンでは次の機能は使用できません VMotion 仮想デバイスのホットアドおよび削除サスペンドおよびレジューム記録および再生フォールトトレランス高可用性 DRS ( 可用性の制限 : 仮想マシンはクラスタの一部にすることは可能ですがホスト間では移行できません ) ホストでのパススルーデバイスの構成ホストでパススルーネットワークデバイスを構成できます手順 1 vsphere Client のインベントリパネルからホストを選択します 2 [ 構成 ] タブで [ 詳細設定 ] をクリックしますパススルー構成ページが表示され使用できるパススルーデバイスがリスト表示されます緑色のアイコンはデバイスが有効でアクティブであることを示していますオレンジ色のアイコンはデバイスの状態が変化しておりデバイスを使用する前にホストを再起動しなければならないことを示しています 3 [ 編集 ] をクリックします 4 パススルーで使用するデバイスを選択し [OK] をクリックします 60 VMware, Inc.

61 第 5 章高度なネットワーク仮想マシンでの PCI デバイスの構成仮想マシンのパススルー PCI デバイスを構成できます手順 1 vsphere Client のインベントリパネルから仮想マシンを選択します 2 [ インベントリ ] メニューから [ 仮想マシン ] - [ 設定の編集 ] を選択します 3 [ ハードウェア ] タブで [ 追加 ] をクリックします 4 [PCI デバイス ] を選択し [ 次へ ] をクリックします 5 使用するパススルーデバイスを選択し [ 次へ ] をクリックします 6 [ 終了 ] をクリックします仮想マシンに VMDirectPath デバイスを追加すると仮想マシンのメモリサイズにメモリ予約の値が設定されます VMware, Inc. 61

62 62 VMware, Inc.

63 ネットワークのベストプラクティスシナ 6 リオおよびトラブルシューティングこれらのトピックスではネットワークのベストプラクティスと一般的な構成についておよびトラブルシューティングのシナリオについて説明しますこの章では次のトピックについて説明しますネットワークのベストプラクティス (P. 63) NFS ボリュームのマウント (P. 64) ソフトウェア iscsi ストレージのネットワーク構成 (P. 64) ブレードサーバ上のネットワークの構成 (P. 65) トラブルシューティング (P. 67) ネットワークのベストプラクティスネットワークの構成については次のベストプラクティスを考慮してくださいネットワークサービスをそれぞれ分離してセキュリティとパフォーマンスを向上します特定の仮想マシン一式を最高のパフォーマンスレベルで機能させるにはそれらのマシンを個別の物理 NIC に配置しますこの分離によってネットワークワークロードの一部を複数の CPU 間でより均等に分散させることができますこうして隔離された仮想マシンはたとえば Web クライアントからのトラフィックをより多く処理できます VLAN を使用して 1 つの物理ネットワークをセグメント化するか個別の物理ネットワークを使用することにより次に示す推奨事項を満たすことができます ( 後者の方法をお勧めします ) 独自のネットワークにサービスコンソールを保持することは ESX システムを保護するうえで重要ですサービスコンソールのセキュリティが侵害されるとシステムで稼動するすべての仮想マシンの完全な制御が攻撃者に渡るためサービスコンソールのネットワーク接続についてはホストのリモートアクセスデバイスと同じ観点で考慮してください VMotion での移行が行われるとゲスト OS のメモリの内容がネットワークを介して送信されるので VMotion 接続には VMotion 専用ネットワークを個別に用意することが重要ですバージョン以前の Linux カーネルでパススルーデバイスを使用している場合は MSI および MSI-X モードを使用しないでくださいこれらのモードにするとパフォーマンスに重大な影響を及ぼしますこの方法が不可能な場合は異なる VLAN ID を持つポートグループに各ネットワークサービスを接続することにより 1 つの vswitch にあるネットワークサービスを分離しますいずれの方法でも選択したネットワークまたは VLAN が環境内のほかの部分から分離されていることおよびそれらのネットワークまたは VLAN にルータが接続されていないことをネットワーク管理者に確認してください VMware, Inc. 63

64 vswitch の内側で稼動する仮想マシンまたはネットワークサービスに影響を与えずにその vswitch の NIC を追加したり削除したりすることができます実行中のハードウェアをすべて削除しても仮想マシン同士は互いに通信できますさらに 1 つの NIC を残しておくとすべての仮想マシンが物理ネットワークに接続できます最も機密性の高い仮想マシンを保護するには物理ネットワークへのアップリンクを使用する仮想ネットワークとアップリンクを使用しない純粋な仮想ネットワークとの間のルーティングを制御するファイアウォールを仮想マシンにデプロイします NFS ボリュームのマウント ESX では ESX が仮想マシンの仮想 CD-ROM として使用される ISO イメージの NFS ストレージにどのようにアクセスするかを示すモデルは ESX Server 2.x で使用されているモデルと異なります ESX では VMkernel ベースの NFS マウントをサポートしています新規モデルでは VMkernel NFS 機能を通じて ISO イメージを伴う NFS ボリュームをマウントしますこの方法でマウントされたすべての NFS ボリュームは vsphere Client のデータストアとして表示されます仮想マシン構成エディタを使用すると仮想 CD-ROM デバイスとして使用される ISO イメージ用のサービスコンソールファイルシステムを参照できますソフトウェア iscsi ストレージのネットワーク構成 ESX ホスト用に構成するストレージには iscsi ストレージを使用する 1 つまたは複数のストレージエリアネットワーク (SAN) が含まれる場合があります iscsi とは SCSI デバイスに直接接続するのではなくネットワークポート経由で TCP/IP を使用して SCSI デバイスにアクセスしてデータレコードを交換する方法です iscsi トランザクションではフォーマットされていない SCSI のデータブロックが iscsi レコードでカプセル化され要求側デバイスまたはユーザーに転送されます注意 ESX ではソフトウェア起動 iscsi は 10 GigE を超えるネットワークアダプタでは使用できませんソフトウェア iscsi の VMkernel ポートの作成 iscsi ストレージを構成する前に iscsi ネットワークを処理する 1 つまたは複数の VMkernel ポートを作成する必要があります手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 [ ネットワークの追加 ] をクリックします 4 [VMkernel] を選択し [ 次へ ] をクリックしますネットワークアクセスページで iscsi ストレージのサービスを実行する VMkernel に物理ネットワークを接続します 5 使用する vswitch を選択するか [ 仮想スイッチの作成 ] をクリックします 6 vswitch のネットワークアダプタのチェックボックスを選択しますアダプタ経由で接続する仮想マシンまたはほかのサービスが適切なイーサネットセグメントに到達できるように vswitch ごとにアダプタを選択します仮想スイッチグループの作成にアダプタが表示されない場合既存の vswitch はシステムのすべてのアダプタを使用していますプレビューペインに選択した内容が表示されます注意速度が 100 Mbps 以下のネットワークアダプタでは iscsi を使用しないでください 7 [ 次へ ] をクリックします 64 VMware, Inc.

65 第 6 章ネットワークのベストプラクティスシナリオおよびトラブルシューティング 8 ポートグループのプロパティグループでネットワークラベルと VLAN ID (VLAN ID は任意 ) を選択または入力します作成中のポートグループを表すネットワークラベルを入力します iscsi ストレージを構成する場合はこのラベルを指定しますポートグループのネットワークトラフィックで使用する VLAN を表す VLAN ID を入力します VLAN ID は必須ではありません必要かどうか不明な場合はネットワーク管理者にお問い合わせください 9 IP 設定グループで [ 編集 ] をクリックして iscsi に VMkernel のデフォルトゲートウェイを設定します [ ルーティング ] タブではサービスコンソールと VMkernel のそれぞれに固有のゲートウェイ情報が必要です注意作成したポートのデフォルトゲートウェイを設定します有効な固定 IP アドレスを使用して VMkernel スタックを構成する必要があります 10 [OK] をクリックし [ 次へ ] をクリックします 11 変更を加える場合は [ 戻る ] をクリックします 12 設定が完了しましたページで変更内容を確認し [ 終了 ] をクリックしますブレードサーバ上のネットワークの構成ブレードサーバではネットワークアダプタの数が制限されるため VLAN を使用してサービスコンソール VMotion IP ストレージおよび仮想マシンの各種グループのトラフィックを分離する必要があることがあります当社のベストプラクティスではセキュリティ上の理由からサービスコンソールと VMotion がそれぞれのネットワークを構成することをお勧めしていますこれを目的として専用の物理アダプタで vswitch を分離する場合冗長 ( チーム化 ) 接続の中止さまざまなネットワーククライアントの隔離の中止またはこの両方を行なう必要がある可能性があります VLAN を使用すると複数の物理アダプタを使用しなくてもネットワークをセグメント化できます VLAN のタグ付きトラフィックを使用して ESX ポートグループをサポートするブレードサーバのネットワークブレードでは 802.1Q をサポートするようにブレードを構成しさらにポートをタグ付きポートとして構成する必要がありますポートをタグ付きポートとして構成する方法はサーバによって異なります最も一般的に使用される 3 つのブレードサーバでタグ付きのポートを構成する方法についてリストに示しますサーバのタイプ HP Blade Dell PowerEdge IBM eserver Blade Center 構成オプションポートの [VLAN タギング ] を [ 有効 ] にしますポートを [ タグ付き ] に設定しますポートの構成で [ タグ ] を選択しますブレードサーバ上の VLAN による仮想マシンのポートグループの構成ブレードサーバで仮想マシンのネットワークを構成する際は特に注意する点がいくつかあります手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 ページの右側でサービスコンソールに関連する vswitch の [ プロパティ ] をクリックします 4 [ ポート ] タブで [ 追加 ] をクリックします 5 接続タイプに [ 仮想マシン ] を選択します ( デフォルト ) 6 [ 次へ ] をクリックします VMware, Inc. 65

66 7 ポートグループのプロパティグループで作成中のポートグループを識別するネットワークラベルを入力しますネットワークラベルを使用して 2 台以上のホストに共通な移行に対応する接続を識別します 8 [VLAN ID] に 1 ~ 4094 の数字を入力します入力する数字が不明な場合はこのフィールドを空欄にするかネットワーク管理者にお問い合わせください 9 [ 次へ ] をクリックします 10 vswitch が適切に構成されていることを確認し [ 終了 ] をクリックしますブレードサーバの VLAN での VMkernel ポートの構成ブレードサーバ上の VLAN を使用して VMkernel ネットワークインターフェイスを構成できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 ページの右側でサービスコンソールに関連する vswitch の [ プロパティ ] をクリックします 4 [ ポート ] タブで [ 追加 ] をクリックします 5 [VMkernel] を選択し [ 次へ ] をクリックしますこのオプションを使用して VMotion および IP ストレージ (NFS または iscsi) 用のサービスを実行する VMkernel を物理ネットワークに接続できます 6 ポートグループのプロパティグループでネットワークラベルと VLAN ID を選択または入力します作成中のポートグループを表すネットワークラベルを入力しますこの名前は VMotion や IP ストレージなど VMkernel サービスを構成する場合にこのポートグループに接続する仮想アダプタの構成時に指定するラベルですポートグループのネットワークトラフィックで使用する VLAN を表す VLAN ID を入力します 7 [ このポートグループを VMotion で使用 ] を選択してそのポートグループを有効にしそのポートグループ自体が VMotion トラフィックを送信するネットワーク接続として別の ESX ホストにアドバタイズするようにしますこのプロパティは ESX ホストごとに 1 つの VMotion と IP ストレージポートグループに対してのみ有効にできますこのプロパティがどのポートグループでも有効でない場合このホストへの VMotion での移行はできません 8 IP 設定グループで [ 編集 ] をクリックして VMotion NAS iscsi など VMkernel のサービスに対する VMkernel のデフォルトのゲートウェイを設定します [DNS 構成 ] タブでは名前のフィールドにデフォルトでホスト名が入力されていますインストール時に指定した DNS サーバアドレスとドメインも事前に選択されています [ ルーティング ] タブではサービスコンソールと VMkernel のそれぞれに独自のゲートウェイ情報が必要ですサービスコンソールまたは VMkernel と同一の IP サブネットにないマシンに接続する場合はゲートウェイが必要です固定 IP 設定がデフォルトです 9 [OK] をクリックし [ 次へ ] をクリックします 10 変更を加える場合は [ 戻る ] をクリックします 11 設定が完了しましたページで変更内容を確認し [ 終了 ] をクリックします 66 VMware, Inc.

67 第 6 章ネットワークのベストプラクティスシナリオおよびトラブルシューティングトラブルシューティング次のトピックでは ESX 環境で発生する可能性のある一般的なネットワーク問題のトラブルシューティングについて説明しますサービスコンソールのネットワークに関するトラブルシューティングサービスコンソールのネットワークの一部が適切に構成されていないと vsphere Client を使用して ESX ホストにアクセスできませんホストのサービスコンソールでネットワーク接続を失った場合はサービスコンソールに直接接続しサービスコンソールコマンドを使用してネットワークを再構成できます esxcfg-vswif -l サービスコンソールの現行のネットワークインターフェイスのリストを提供します vswif0 が存在し現在の IP アドレスとネットマスクが正しいことを確認します esxcfg-vswitch -l 現在の仮想スイッチ構成のリストを示しますサービスコンソールに構成されたアップリンクアダプタが適切な物理ネットワークに接続されていることを確認します exscfg-nics -l 現在のネットワークアダプタのリストを示しますサービスコンソールに構成されたアップリンクアダプタが動作中で速度とデュプレックスがともに正しいことを確認します esxcfg-nics -s <speed> <nic> ネットワークアダプタの速度を変更します esxcfg-nics -d <duplex> <nic> ネットワークアダプタのデュプレックスを変更します esxcfg-vswif -I <new ip address> vswifx サービスコンソールの IP アドレスを変更します esxcfg-vswif -n <new netmask> vswifx サービスコンソールのネットマスクを変更します esxcfg-vswitch -U <old vmnic> <service console vswitch> サービスコンソールへのアップリンクを削除します esxcfg-vswitch -L <new vmnic> <service console vswitch> サービスコンソールへのアップリンクを変更します esxcfg-* コマンドの使用時の待ち時間が長い場合は DNS が適切に構成されていない可能性があります esxcfg-* コマンドは DNS を構成してローカルホスト名が正常に解決されるように要求しますこの場合 /etc/hosts ファイルに構成済みの IP アドレスとのローカルホストアドレスが登録されている必要があります VMware, Inc. 67

68 サービスコンソールを使用したネットワークアダプタの名前変更新しいネットワークアダプタを追加したあとでサービスコンソールの接続を失った場合はサービスコンソールを使用して影響を受けたネットワークアダプタの名前を変更する必要があります新しいネットワークアダプタを追加するとネットワークアダプタの名前が変更されるためサービスコンソールの接続が切断されたり vsphere Client を使用した管理ができなかったりすることがあります手順 1 ESX ホストのコンソールに直接ログインします 2 esxcfg-nics -l コマンドを使用してネットワークアダプタに割り当てられた名前を参照します 3 esxcfg-vswitch -l コマンドを使用して esxcfg-nics で表示されないデバイス名に現在関連付けられている vswitch を参照します 4 esxcfg-vswitch -U < 古い vmnic 名 > <vswitch> コマンドを使用して名前が変更されたネットワークアダプタを削除します 5 esxcfg-vswitch -L < 新しい vmnic 名 > <vswitch> コマンドを使用してネットワークアダプタに正しい名前をつけて再び追加します物理スイッチの構成に関するトラブルシューティングフェイルオーバーまたはフェイルバックイベントの発生時に vswitch の接続が切断される可能性がありますこの場合その vswitch に関連付けた仮想マシンの MAC アドレスが異なるスイッチポートに表示されますこの問題が発生しないようにするには物理スイッチを PortFast モードまたは PortFast trunk モードにしますポートグループの構成に関するトラブルシューティング仮想マシンがすでに接続されているポートグループの名前を変更するとそのポートグループに接続するよう構成されている仮想マシンのネットワーク構成が無効になります仮想ネットワークアダプタからポートグループへの接続は仮想マシン構成に保存されている名前によって実行されますポートグループの名前を変更してもそのポートグループに接続されているすべての仮想マシンを大きく再構成することにはなりませんすでにパワーオンされている仮想マシンはネットワークへの接続がすでに確立しているためパワーオフされるまで引き続き機能します使用されていたネットワークの名前を変更することは避けてくださいポートグループの名前を変更したら関連する各仮想マシンをサービスコンソールを使用して再構成し新しいポートグループ名を反映させる必要があります 68 VMware, Inc.

69 ストレージ VMware, Inc. 69

70 70 VMware, Inc.

71 ストレージの概要 7 ここでは ESX で使用できるストレージオプションについておよびさまざまなタイプのストレージを使用および管理できるように ESX システムを構成する方法について説明しますこの章では次のトピックについて説明します ESX ストレージについて (P. 71) 物理ストレージのタイプ (P. 72) サポート対象のストレージアダプタ (P. 73) ターゲットとデバイスの表現 (P. 74) ESX データストアについて (P. 76) ストレージのタイプの比較 (P. 79) vsphere Client でのストレージ情報の表示 (P. 80) ESX ストレージについて ESX ストレージはローカルやネットワーク接続などさまざまな物理ストレージシステム上のストレージ領域ですホストが仮想マシンディスクを格納するために使用します仮想マシンは仮想ハードディスクを使用してオペレーティングシステムプログラムファイルおよびアクティビティに関連するその他のデータを格納します仮想ディスクはサイズの大きな物理ファイルまたはファイルのセットでありほかのファイル同様容易にコピー移動アーカイブバックアップできます仮想ディスクファイルを格納してファイルを操作するにはホストにストレージ領域が必要ですホストはホストの内部および外部のデバイスまたはネットワークストレージなどさまざまな物理ストレージシステム上のストレージ領域をデータの格納や保護の特定のタスクに専用に使用しますホストはアクセス権があるストレージデバイスを検出してデータストアとしてフォーマットできますデータストアとは論理ボリューム上のファイルシステムに似た特殊な論理コンテナです ESX はここに仮想マシンの必須コンポーネントをカプセル化した仮想ディスクファイルおよびその他のファイルを配置します異なるデバイスに置かれたデータストアは各ストレージ製品の仕様を隠し仮想マシンファイルを格納するための統一モデルを提供します vsphere Client を使用するとホストが検出するあらゆるストレージデバイス上にデータストアを設定できますまた組織化する目的およびデータストアグループ間で権限およびアラームを設定する目的でフォルダを使用してデータストアの論理グループを作成できます VMware, Inc. 71

72 物理ストレージのタイプ ESX ストレージ管理プロセスはストレージ管理者が別々のストレージシステムに対して事前に割り当てたストレージ領域を使用して開始されます ESX は次のタイプのストレージをサポートしていますローカルストレージネットワークストレージホストに直接接続された内部または外部のストレージディスクまたはアレイ上に仮想マシンファイルを格納しますホストの外部にある外部の共有システム上に仮想マシンファイルを格納しますホストは高速ネットワークを介してネットワークデバイスと通信しますローカルストレージローカルストレージは ESX ホスト内にある内部ハードディスクまたはホスト外にあってホストに直接接続する外部ストレージシステムとなりますローカルストレージにはホストと通信するストレージネットワークが必要ありませんストレージユニットに接続するケーブルと必要に応じてホスト内の互換性のある HBA のみが必要です一般的には複数のホストを単一のローカルストレージシステムに接続できます接続するホストの実際の数は使用するストレージデバイスとトポロジのタイプによって異なります多くのローカルストレージシステムはフォールトトレランスを行うために冗長接続パスをサポートしています複数のホストがローカルストレージデバイスに接続する場合は非共有モードでストレージ LUN にアクセスします非共有モードでは複数のホストは同じ VMFS データストアに同時にアクセスできませんただし一部の SAS ストレージシステムでは複数のホストへのアクセスが共有できますこのタイプのアクセスでは複数のホストが LUN の同じ VMFS データストアにアクセスできます ESX は SCSI IDE SATA USB および SAS ストレージシステムなどさまざまな内部または外部のローカルストレージデバイスをサポートしています使用するストレージのタイプにかかわらずホストは仮想マシンから物理ストレージレイヤーを隠蔽しますローカルストレージを設定する場合は次の内容を考慮してください IDE または ATA ドライブを使用して仮想マシンを格納できません内部および外部のローカル SATA ストレージは非共有モードでのみ使用します SATA ストレージは複数のホスト間での同じ LUN ( つまり同じ VMFS データストア ) の共有をサポートしていません一部の SAS ストレージシステムでは複数のホスト間での同じ LUN ( つまり同じ VMFS データストア ) へのアクセスを共有できます 72 VMware, Inc.

73 第 7 章ストレージの概要ネットワークストレージネットワークストレージとは ESX ホストが仮想マシンファイルをリモートに格納するために使用する外部ストレージシステムからなりますホストは高速ストレージネットワークを介してこれらのシステムにアクセスします ESX は次のネットワークストレージテクノロジーをサポートしています注意異なる転送プロトコル (iscsi とファイバチャネルなど ) を使用して同じストレージに同時にアクセスすることはサポートされていませんファイバチャネル (FC) FC ストレージエリアネットワーク (SAN) 上でリモートに仮想マシンファイルを格納します FC SAN はホストを高性能なストレージデバイスに接続する特別な高速ネットワークですこのネットワークはファイバチャネルプロトコルを使用して仮想マシンから FC SAN デバイスに SCSI トラフィックを転送します FC SAN に接続するにはホストにファイバチャネル HBA ( ホストバスアダプタ ) が搭載されている必要がありますまたファイバチャネル直接接続ストレージを使用する場合を除きストレージトラフィックのルーティングに使用されるファイバチャネルスイッチも必要ですインターネット SCSI (iscsi) リモート iscsi ストレージデバイスに仮想マシンファイルを格納します iscsi は TCP/IP プロトコルに SCSI ストレージトラフィックをパッケージ化することにより専用の FC ネットワークではなく標準 TCP/IP ネットワークを介して送信できるようにします iscsi 接続ではホストはリモート iscsi ストレージシステムに配置されているターゲットと通信するイニシエータとして機能します ESX は次のタイプの iscsi 接続をサポートしていますハードウェア起動 iscsi ソフトウェア起動 iscsi ホストはサードパーティの iscsi HBA を介してストレージに接続しますホストは VMkernel のソフトウェアベースの iscsi イニシエータを使用してストレージに接続しますこのタイプの iscsi 接続ではホストはネットワーク接続のために標準ネットワークアダプタのみを必要としますネットワーク接続型ストレージ (NAS) 標準 TCP/IP ネットワークを介してアクセスするリモートファイルサーバ上に仮想マシンファイルを格納します ESX に組み込まれた NFS クライアントは NFS (Network File System) プロトコルバージョン 3 を使用して NAS/NFS サーバと通信しますネットワーク接続するにはホストで標準ネットワークアダプタが必要ですサポート対象のストレージアダプタストレージアダプタは ESX ホストに特定のストレージユニットまたはネットワークに対する接続を提供します使用しているストレージのタイプによってはホスト上にストレージアダプタをインストールしたり有効にしたりする必要があります ESX は SCSI iscsi RAID ファイバチャネルイーサネットなどさまざまなクラスのアダプタをサポートしています ESX は VMkernel のデバイスドライバを介してアダプタに直接アクセスします VMware, Inc. 73

74 ターゲットとデバイスの表現 ESX の文脈ではターゲットという語はホストがアクセスできる 1 つのストレージユニットを表しますデバイスおよび LUN という語はターゲット上のストレージ領域を表す論理ボリュームを意味しています一般的に ESX の文脈ではデバイスおよび LUN という語はストレージターゲットからホストに表示される SCSI ボリュームを意味しておりフォーマットに使用できますストレージベンダーが異なると ESX ホストに対して異なる方法でストレージシステムを表示します複数のストレージデバイスまたは LUN を 1 つのターゲットで表示するベンダーもありますが 1 つの LUN を複数のターゲットで表示するベンダーもあります図 7-1. ターゲットと LUN の表現ターゲットターゲットターゲットターゲット LUN LUN LUN LUN LUN LUN ストレージアレイストレージアレイこの図では各構成において 3 つの LUN を使用できます一方のケースではホストから 1 つのターゲットが見えそのターゲットには使用可能な LUN が 3 つありますそれぞれの LUN は個別のストレージボリュームを意味しますもう一方の例ではホストから 3 つの異なるターゲットが見えそれぞれに LUN が 1 つありますネットワークを介してアクセスされるターゲットにはストレージシステムによって提供される一意の名前があります iscsi ターゲットは iscsi 名を使用しますがファイバチャネルターゲットは World Wide Name (WWN) を使用します注意 ESX では異なる転送プロトコル (iscsi とファイバチャネルなど ) を使用して同じ LUN にアクセスすることはサポートされていませんデバイスつまり LUN は UUID 名で識別されますファイバチャネルの命名についてファイバチャネル SAN では World Wide Name (WWN) はネットワーク内の各要素 ( ファイバチャネルアダプタやストレージデバイスなど ) を一意に識別します WWN は 16 進法の数値で構成される 64 ビットのアドレスで次のように見えます 20:00:00:e0:8b:8b:38:77 21:00:00:e0:8b:8b:38:77 WWN はメーカーによってファイバチャネルのすべての SAN 要素に割り当てられています 74 VMware, Inc.

75 第 7 章ストレージの概要 iscsi の命名およびアドレッシングについて iscsi ネットワークではネットワークを使用する iscsi の各要素は一意で永続的な iscsi 名を持っておりアクセスするためのアドレスが割り当てられています iscsi 名物理的な場所に関係なく特定の iscsi 要素を識別します iscsi 名には IQN または EUI 形式を使用できます IQN (iscsi 修飾名 ) 長さは最大 255 文字で次の形式になります iqn.yyyy-mm.naming-authority:unique name yyyy-mm は命名機関が設立された年と月です naming-authority は通常命名機関のインターネットドメイン名の逆の構文ですたとえば iscsi.vmware.com という命名機関で iscsi 修飾名形式が iqn com.vmware.iscsi としますこの名前は vmware.com のドメイン名が 1998 年 1 月に登録されサブドメインが iscsi で vmware.com によって管理されているということを表します unique name は使用する任意の名前です ( ホスト名など ) 命名機関ではコロンの後ろに割り当てた名前が次のように一意であることを確認する必要があります iqn com.vmware.iscsi:name1 iqn com.vmware.iscsi:name2 iqn com.vmware.iscsi:name999 EUI ( 拡張された一意識別子 ) eui. というプリフィックスとそれに続く 16 文字の名前を含みます名前には IEEE によって割り当てられた 24 ビットの会社名とシリアル番号などの 40 ビットの一意な ID が含まれます次に例を示します eui abcdef iscsi エイリアス IP アドレス iscsi 名の代わりに使用される管理しやすく覚えやすい名前 iscsi エイリアスは一意ではなくわかりやすい名前にするためにノードに関連付けられます各 iscsi 要素に関連付けられているアドレスでネットワーク上のルーティングおよびスイッチングの機器がホストやストレージなどのさまざまな要素間で接続を確立できるようにしますこれは企業内ネットワークまたはインターネットにアクセスする際にコンピュータに割り当てる IP アドレスと同様です VMware, Inc. 75

76 ストレージデバイスの命名について vsphere Client ではそれぞれのストレージデバイスつまり LUN はわかりやすい名前 UUID ランタイム名などのいくつかの名前で識別されます名前識別子ランタイム名 ESX ホストがストレージタイプおよびメーカーを基にデバイスに割り当てたわかりやすい名前 vsphere Client を使用してこの名前を変更できますある 1 台のホストのデバイス名を変更した場合その変更はそのデバイスにアクセスするすべてのホストに適用されますデバイスに割り当てたあらゆる場所において一意の ID ストレージのタイプによって異なるアルゴリズムを使用して識別子が作成されますこの識別子は再起動しても変わらずデバイスを共有しているすべてのホストで同じですデバイスに対する最初のパス名ランタイム名はホストによって作成されるものでデバイスにとっては正確な名前ではなく永続的な名前でもありませんランタイム名の形式は次のようになります vmhba#:c#:t#:l#, vmhba# はストレージアダプタの名前ですこの名前は仮想マシンで使用される SCSI コントローラではなくホストの物理アダプタを表します C# はストレージチャネルの番号ですソフトウェア iscsi イニシエータはチャネル番号を使用して同じターゲットへの複数のパスを表します T# はターゲット番号ですターゲットの番号付けはホストによって決定されますがホストに表示されるターゲットのマッピングが変わると番号付けも変わることがあります複数の ESX ホストで共有しているターゲットは同じターゲット番号を持たないことがあります L# はターゲット内の LUN の場所を表す LUN の番号です LUN 番号はストレージシステムによって提供されますターゲットに 1 つの LUN しかない場合 LUN 番号は常にゼロ (0) になりますたとえば vmhba1:c0:t3:l1 はストレージアダプタ vmhba1 とチャネル 0 を介してアクセスされるターゲット 3 上の LUN1 を表します ESX データストアについてデータストアとはファイルシステムに似た論理コンテナで各ストレージデバイスの仕様を隠し仮想マシンファイルを格納するための一貫したモデルを提供しますデータストアは ISO イメージ仮想マシンテンプレートおよびフロッピーイメージの格納にも使用できます vsphere Client を使用して ESX ホストが検出したさまざまなタイプのストレージデバイスにアクセスしその上にデータストアをデプロイします 76 VMware, Inc.

77 第 7 章ストレージの概要使用するストレージのタイプによって次のファイルシステムフォーマットでデータストアをバックアップすることができます仮想マシンファイルシステム (VMFS) ネットワークファイルシステム (NFS) 仮想マシンの格納用に最適化されている高度なパフォーマンスのファイルシステムホストはファイバチャネルや iscsi SAN 装置など SCSI ベースのローカルまたはネットワーク接続された任意のストレージデバイス上に VMFS データストアをデプロイできます VMFS データストアを使用しない場合は仮想マシンから RAW デバイスに直接アクセスしてマッピングファイル (RDM) をプロキシとして使用できます NAS ストレージデバイス上のファイルシステム ESX は NFS version 3 over TCP/IP のみをサポートしていますホストは NFS サーバに配置されている指定の NFS ボリュームにアクセスしこのボリュームをマウントしてストレージの必要に応じてこのボリュームを使用できますサービスコンソールを使用して ESX ホストにアクセスする場合 /vmfs/volumes ディレクトリ内の別のサブディレクトリとして VMFS データストアと NFS データストアが表示されます VMFS データストア ESX は SCSI ベースのストレージデバイスを VMFS データストアとしてフォーマットできます VMFS データストアは主に仮想マシンのリポジトリとして機能します 1 つの VMFS ボリュームに複数の仮想マシンを格納できます各仮想マシンはファイルセットにカプセル化され 1 つの独立したディレクトリに格納されます VMFS は仮想マシン内のオペレーティングシステム向けに内部ファイルシステムのセマンティックを保持しますこれにより仮想マシンで動作するアプリケーションの正常な動作やデータの整合性が保障されますまた VMFS データストアを使用して仮想マシンテンプレートおよび ISO イメージなどその他のファイルを格納できます VMFS は次に示すファイルサイズやブロックサイズをサポートしていますこれにより仮想マシンはデータベース ERP CRM など大量のデータ処理が必要なアプリケーションを実行できます仮想ディスクの最大サイズ : 2TB (8MB ブロックサイズ ) ファイルの最大サイズ : 2TB (8MB ブロックサイズ ) ブロックサイズ : 1MB ( デフォルト ) 2MB 4MB 8MB VMFS データストアの作成と拡張 VMFS データストアは ESX ホストが検出する SCSI ベースのストレージデバイス上に設定できます VMFS データストアの作成後そのプロパティを編集できます 1 つのシステムにつき 1.2GB 以上のボリュームサイズの VMFS データストアを最大 256 個保持できます注意各 LUN に作成できる VMFS データストアは 1 つだけです VMFS データストアがより多くの領域を必要とする場合は VMFS ボリュームを増やすことができますあらゆる VMFS データストアに新しいエクステントを動的に追加し 64TB までデータストアを拡張できますエクステントは物理ストレージデバイス上の LUN またはパーティションですデータストアは複数のエクステントに拡張できますが単一のボリュームとして扱われますデータストアが存在しているストレージデバイスに空き領域がある場合は既存のデータストアのエクステントを増やすという方法もあります 2TB までエクステントを拡張できます VMware, Inc. 77

78 ESX ホスト間の VMFS ボリュームの共有 VMFS はクラスタファイルシステムであるため複数の ESX ホストが同じ VMFS データストアへ同時にアクセスすることが可能です 1 つの VMFS ボリュームには最大 32 のホストが接続できます図 7-2. ホスト間の VMFS ボリュームの共有ホスト A ホスト B ホスト C VM1 VM2 VM3 VMFS ボリューム disk1 disk2 disk3 仮想ディスクファイル同じ仮想マシンに複数のサーバが同時アクセスするのを防ぐために VMFS にはオンディスクロック機能があります複数のホスト間で同じ VMFS ボリュームを共有すると次のようなメリットがあります VMware Distributed Resource Scheduling および VMware High Availability を使用できます仮想マシンを複数の物理サーバに分散できますつまり各サーバ上で複数の仮想マシンを実行できるため同時に同じ箇所に大きな負荷が集中することがなくなりますサーバに障害が発生しても別の物理サーバ上で仮想マシンを再起動できます障害が発生すると各仮想マシンのオンディスクロックは解除されます VMotion を使用して稼働中の仮想マシンを物理サーバ間で移行できます VMware Consolidated Backup を使用できます VMware Consolidated Backup により VCB プロキシと呼ばれるプロキシサーバはパワーオン状態の仮想マシンがストレージの読み出しまたは書き込みを実行しているときに仮想マシンのスナップショットをバックアップできます NFS データストア ESX は NAS サーバに配置された指定の NFS ボリュームにアクセスしそのボリュームをマウントしてストレージの必要に応じてボリュームを使用できます NFS ボリュームを使用して VMFS データストアと同様に仮想マシンの格納および起動が可能です ESX は NFS ボリューム上の次の共有ストレージ機能をサポートしています VMotion VMware DRS および VMware HA 仮想マシンに CD-ROM として提供される ISO イメージ仮想マシンのスナップショット 78 VMware, Inc.

79 第 7 章ストレージの概要仮想マシンからストレージへのアクセス方法仮想マシンはデータストアに格納された仮想ディスクと通信する際に SCSI コマンドを発行しますデータストアはさまざまなタイプの物理ストレージに存在するためこれらのコマンドは ESX ホストがストレージデバイスへの接続に使用するプロトコルに応じて別の形式にカプセル化されます ESX はファイバチャネル (FC) インターネット SCSI (iscsi) および NFS プロトコルをサポートしていますホストで使用するストレージデバイスのタイプにかかわらず仮想ディスクは仮想マシンでは常にマウントされた SCSI デバイスとして表示されます仮想ディスク環境では仮想マシンのオペレーティングシステムから物理ストレージレイヤーを隠蔽しますこれにより SAN などの特定のストレージ装置で認定されていないオペレーティングシステムを仮想マシン内で実行できます図 7-3 に異なるタイプのストレージを使用する 5 台の仮想マシンから各タイプの違いを示します図 7-3. さまざまなタイプのストレージにアクセスする仮想マシンホスト TCP/IP 接続が必要仮想マシン仮想マシン仮想マシン仮想マシン仮想マシンローカルイーサネット SCSI ソフトウェア VMFS ファイバチャネル HBA iscsi ハードウェアイニシエータイニシエータイーサネット NIC イーサネット NIC キー SAN LAN LAN LAN 物理ディスクデータストア仮想ディスク VMFS VMFS NFS ファイバアレイ iscsi アレイ NAS アプライアンス注意この図は概念を示す目的で使用します推奨する構成ではありませんストレージのタイプの比較 vsphere の特定の機能がサポートされるかどうかは使用するストレージのテクノロジーによって決まります表 7-1 で ESX がサポートするネットワークストレージテクノロジーを比較します表 7-1. ESX がサポートするネットワークストレージテクノロジープロトコル転送インターフェイスファイバチャネル FC/SCSI データ /LUN のブロックアクセス FC HBA iscsi IP/SCSI データ /LUN のブロックアクセス iscsi HBA ( ハードウェア起動 iscsi) NIC ( ソフトウェア起動 iscsi) NAS IP/NFS ファイル ( 直接 LUN アクセスなし ) NIC 表 7-2 はさまざまなタイプのストレージでサポートしている vsphere の機能について比較しています VMware, Inc. 79

80 表 7-2. ストレージでサポートされる vsphere の機能ストレージタイプ仮想マシンの起動 VMotion データストア RDM 仮想マシンクラスタ VMware HA および DRS VCB ローカルストレージファイバチャネル可不可 VMFS 不可不可不可可可可 VMFS 可可可可 iscsi 可可 VMFS 可可可可 NAS over NFS 可可 NFS 不可不可可可 vsphere Client でのストレージ情報の表示 vsphere Client にはストレージアダプタデバイスおよび使用できるすべてのデータストアに関する詳細な情報が表示されますストレージアダプタの表示さまざまなストレージデバイスにアクセスするためにホストでストレージアダプタを使用します使用可能なストレージアダプタを表示してそれらの情報を確認できます表 7-3 には各アダプタの詳細を表示すると確認できる情報について示しています iscsi などの特定のアダプタではこれらの情報を表示する前に構成または有効化しておく必要があります表 7-3. ストレージアダプタの情報アダプタ情報モデルターゲット ( ファイバチャネルおよび SCSI) 接続中のターゲット (iscsi) 説明アダプタのモデルアダプタを介してアクセスしたターゲット数 iscsi アダプタ上で接続中のターゲットの数 WWN ( ファイバチャネル ) FC アダプタを一意に識別するファイバチャネルの基準に従って形式化された World Wide Name iscsi 名 (iscsi) iscsi エイリアス (iscsi) IP アドレス ( ハードウェア iscsi) 検出方法 (iscsi) iscsi アダプタを識別する iscsi の基準に従って形式化された一意の名前 iscsi 名のかわりに使用されるわかりやすい名前 iscsi アダプタに割り当てられているアドレス iscsi アダプタが使用して iscsi のターゲットにアクセスする検出方法デバイスアダプタがアクセスできるすべてのストレージデバイスまたは LUN パスアダプタが使用してストレージデバイスにアクセスするためのすべてのパスストレージアダプタ情報の表示ホストで使用するストレージアダプタを表示してこれらの情報を確認できます手順 1 インベントリで [ ホストおよびクラスタ ] を選択します 2 ホストを選択し [ 構成 ] タブをクリックします 3 ハードウェアで [ ストレージアダプタ ] を選択します 4 特定のアダプタの詳細を表示するにはストレージアダプタリストからアダプタを選択します 80 VMware, Inc.

81 第 7 章ストレージの概要 5 アダプタがアクセスできるすべてのストレージデバイスを一覧で表示するには [ デバイス ] をクリックします 6 アダプタが使用するすべてのパスを一覧で表示するには [ パス ] をクリックしますクリップボードへのストレージアダプタ識別子のコピーストレージアダプタで iscsi 名や WWN などの一意の識別子を使用している場合にはそれらの識別子を UI からクリップボードへ直接コピーできます手順 1 インベントリで [ ホストおよびクラスタ ] を選択します 2 ホストを選択し [ 構成 ] タブをクリックします 3 ハードウェアで [ ストレージアダプタ ] を選択します 4 ストレージアダプタのリストからアダプタを選択します 5 詳細パネルで名前フィールドの値を右クリックし [ コピー ] を選択しますストレージデバイスの表示ローカルデバイスやネットワークデバイスもすべて含めてホストで使用できるすべてのストレージデバイスまたは LUN を表示できますサードパーティのマルチパスプラグインを使用している場合はプラグインを介して使用できるストレージデバイスもリストに表示されます各ストレージアダプタについてこのアダプタでのみ使用できるストレージデバイスの個別のリストを表示できます一般的にストレージデバイスのリストを確認する場合には次の情報が表示されますストレージデバイスの情報名前説明 ESX ホストがストレージタイプおよびメーカーに基づいてデバイスに割り当てたわかりやすい名前この名前は任意の名前に変更できます識別子デバイスに固有なあらゆる場所において一意の ID ランタイム名 LUN デバイスに対する最初のパス名ターゲット内の LUN の場所を表す LUN 番号タイプデバイスのタイプ ( ディスク CD-ROM など ) 転送容量所有者ホストがデバイスにアクセスするために使用する転送プロトコルストレージデバイスの容量の合計 NMP やサードパーティのプラグインなどホストがストレージデバイスを管理するために使用するプラグイン各ストレージデバイスの詳細には次の情報が含まれています /vmfs/devices/ ディレクトリにあるストレージデバイスへのパスプライマリおよび論理パーティションおよび構成されている場合は VMFS データストアホストのストレージデバイスの表示ホストで使用可能なすべてのストレージデバイスまたは LUN を表示できますサードパーティのマルチパスプラグインを使用している場合はプラグインを介して使用できるストレージデバイスもリストに表示されます手順 1 インベントリで [ ホストおよびクラスタ ] を選択します 2 ホストを選択し [ 構成 ] タブをクリックします 3 ハードウェアで [ ストレージ ] を選択します VMware, Inc. 81

82 4 [ デバイス ] をクリックします 5 特定のデバイスについてその他の詳細を表示するにはリストからデバイスを選択しますアダプタのストレージデバイスの表示ホスト上の特定のストレージアダプタにアクセスできるストレージデバイスのリストを表示できます手順 1 インベントリで [ ホストおよびクラスタ ] を選択します 2 ホストを選択し [ 構成 ] タブをクリックします 3 ハードウェアで [ ストレージアダプタ ] を選択します 4 ストレージアダプタのリストからアダプタを選択します 5 [ デバイス ] をクリックしますクリップボードへのストレージデバイス識別子のコピーストレージデバイス識別子はストレージデバイスまたは LUN に割り当てられるあらゆる場所において一意の ID ですストレージのタイプによって異なるアルゴリズムを使用して識別子が作成されるため識別子は長くて複雑になることがありますストレージデバイス識別子は UI から直接コピーできます手順 1 ストレージデバイスのリストを表示します 2 デバイスを右クリックし [ 識別子をクリップボードにコピー ] を選択しますデータストアの表示ホストで使用できるすべてのデータストアを表示しそれらのプロパティを分析できますデータストアは次の方法で vsphere Client に追加されます使用可能なストレージデバイスに作成ホストがインベントリに追加されたときに検出ホストをインベントリに追加するとホストで使用可能なデータストアが vsphere Client に表示されます vsphere Client が vcenter Server システムに接続している場合データストアビューにデータストアの情報を表示できますこのビューにはインベントリのすべてのデータストアがデータセンターごとに表示されますこのビューではフォルダ階層構造にデータストアを整理したり新しいデータストアを作成したりデータストアのプロパティを編集したり既存のデータストアを削除したりすることができますこのビューはデータストアを使用するホストおよび仮想マシンストレージの通知情報権限アラームタスクおよびイベントストレージトポロジストレージレポートを含むデータストアのすべての情報を全体に渡って表示しますこのデータストアに接続するすべてのホストにある各データストアの構成の詳細はデータストアビューの [ 構成 ] タブで確認できます注意データストアビューは vsphere Client がホストに直接接続している場合は使用できませんこの場合データストアの情報はホストの [ ストレージ構成 ] タブから確認できます一般的に次のようなデータストア構成の詳細を表示できますデータストアが配置されているターゲットストレージデバイスデータストアが使用するファイルシステムデータストアの場所使用中および使用可能な領域を含む合計容量 82 VMware, Inc.

83 第 7 章ストレージの概要データストアがまたがる個々のエクステントとその容量 (VMFS データストア ) ストレージデバイスへのアクセスに使用するパス (VMFS データストア ) データストアプロパティの確認ホストで使用できるすべてのデータストアを表示しそれらのプロパティを分析できます手順 1 インベントリにホストが表示されます 2 インベントリでホストを選択し [ 構成 ] タブをクリックします 3 ハードウェアで [ ストレージ ] を選択します 4 [ データストア ] ビューをクリックします 5 特定のデータストアに関する詳細を表示するにはリストからデータストアを選択します VMware, Inc. 83

84 84 VMware, Inc.

85 ESX のストレージの構成 8 次のトピックではローカル SCSI ストレージデバイスファイバチャネル SAN ストレージ iscsi ストレージおよび NFS ストレージの構成に関する情報が記載されていますこの章では次のトピックについて説明しますローカル SCSI ストレージ (P. 85) ファイバチャネルストレージ (P. 86) iscsi ストレージ (P. 86) ストレージの更新操作と再スキャン操作 (P. 96) VMFS データストアの作成 (P. 97) ネットワーク接続型ストレージ (P. 98) 診断パーティションの作成 (P. 100) ローカル SCSI ストレージローカルストレージは ESX ホストのハードディスクやホストに直接接続されている外部の専用ストレージシステムなど SCSI ベースのデバイスを使用します図 8-1 にローカル SCSI ストレージを使用する仮想マシンを示します図 8-1. ローカルストレージホスト仮想マシンローカルイーサネット SCSI VMFS この例のローカルストレージトポロジでは ESX ホストは 1 つの接続を使用してディスクにプラグインしますこのディスクで仮想マシンのディスクファイルの格納に使用する VMFS データストアを作成できます VMware, Inc. 85

86 このストレージ構成は可能ですが推奨するトポロジではありませんストレージアレイとホスト間で単一の接続を使用すると接続の信頼性が低下したり障害が発生したりした場合に単一点障害 (SPOF) が発生し動作が中断されることがありますフォールトトレランスを行うために一部の DAS システムは冗長接続パスをサポートしていますファイバチャネルストレージ ESX はファイバチャネル (FC) アダプタをサポートしていますこのアダプタを使用するとホストを SAN に接続し SAN でストレージデバイスを確認できますホストで FC ストレージデバイスを表示するには事前に FC アダプタをインストールしておく必要があります図 8-2 はファイバチャネルストレージを使用した仮想マシンについて示しています図 8-2. ファイバチャネルストレージホスト仮想マシンファイバチャネル HBA SAN VMFS ファイバアレイこの構成では ESX ホストはファイバチャネルアダプタを使用して SAN ファブリックに接続します SAN ファブリックはファイバチャネルスイッチおよびストレージアレイで構成されていますストレージアレイの LUN がホストで使用できるようになりますこれらの LUN にアクセスしストレージが必要とするデータストアを作成できますデータストアには VMFS フォーマットを使用します ESX で FC SAN ファブリックおよびストレージアレイが機能するよう設定するための特定の情報についてはファイバチャネル SAN 構成ガイドを参照してください iscsi ストレージ ESX は iscsi テクノロジーをサポートしていますこれによりホストでリモートストレージにアクセスするときに IP ネットワークを使用できます iscsi では仮想マシンが仮想ディスクに発行した SCSI ストレージコマンドが TCP/IP パケットに変換され仮想ディスクを格納するリモートデバイスすなわちターゲットに転送されますリモートターゲットにアクセスするにはホストで iscsi イニシエータを使用しますイニシエータは IP ネットワーク上でホストとターゲットストレージデバイスとの間の SCSI 要求と応答を伝送します ESX はハードウェアベースおよびソフトウェアベースの iscsi イニシエータをサポートしていますホストが iscsi ストレージデバイスにアクセスして表示できるように iscsi イニシエータを構成する必要があります 86 VMware, Inc.

87 第 8 章 ESX のストレージの構成図 8-3 に異なるタイプの iscsi イニシエータを使用する 2 個の仮想マシンを示します図 8-3. iscsi ストレージホスト仮想マシン仮想マシン iscsi ハードウェアイニシエータソフトウェアイニシエータイーサネット NIC LAN LAN VMFS iscsi アレイ左側の例ではホストがハードウェア iscsi アダプタを使用して iscsi ストレージシステムに接続しています右側の例ではホストがソフトウェア iscsi イニシエータで構成されていますソフトウェアイニシエータを使用するとホストは既存のネットワークアダプタ経由で iscsi ストレージに接続しますストレージシステムの iscsi ストレージデバイスをホストで使用できるようになりますこれらのストレージデバイスにアクセスしストレージの必要に応じて使用する VMFS データストアを作成できます ESX で iscsi SAN ファブリックが機能するよう設定するための特定の情報については iscsi SAN 構成ガイドを参照してくださいハードウェア iscsi イニシエータの設定ハードウェアベースの iscsi ストレージでは TCP/IP で iscsi ストレージにアクセスできるサードパーティ製の専用アダプタを使用しますこの iscsi イニシエータは ESX システムの iscsi とネットワークの処理および管理をすべて行います iscsi ストレージデバイスにあるデータストアを設定する前にハードウェア iscsi アダプタをインストールして構成する必要がありますハードウェア iscsi イニシエータの表示 iscsi ハードウェアイニシエータを表示してインストールが正しく行われ構成する準備が整っていることを確認します開始する前にハードウェア iscsi イニシエータの構成を始める前に iscsi HBA が正常にインストールされており構成可能なイニシエータのリストに表示されていることを確認しますイニシエータをインストールするとそのプロパティを表示できます VMware, Inc. 87

88 手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージアダプタ ] をクリックしますストレージアダプタのリストにハードウェア iscsi イニシエータが表示されます 3 表示するイニシエータを選択しますモデル iscsi 名 iscsi エイリアス IP アドレスターゲットとパスの情報などイニシエータのデフォルトの詳細が表示されます 4 [ プロパティ ] をクリックします iscsi イニシエータのプロパティダイアログボックスが表示されます [ 全般 ] タブにイニシエータの特性が追加で表示されますこの時点でハードウェアイニシエータを構成したりデフォルト特性を変更したりすることができますハードウェアイニシエータの名前および IP アドレスの変更ハードウェア iscsi イニシエータを構成する際はそのイニシエータの名前および IP アドレスの形式が適切なことを確認します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージアダプタ ] をクリックします 3 構成するイニシエータを選択し [ プロパティ ] - [ 構成 ] をクリックします 4 イニシエータのデフォルト iscsi 名を変更するには新しい名前を入力します入力した名前が世界中で一意であることと形式が適切であることを確認しますこれが正しく行われないと一部のストレージデバイスでハードウェア iscsi イニシエータが認識されない場合があります 5 ( オプション ) iscsi エイリアスを入力しますエイリアスはハードウェア iscsi イニシエータの識別に使用する名前です 6 デフォルトの IP 設定を変更しますデフォルトの IP 設定が IP SAN で正しく構成されるように変更する必要がありますネットワーク管理者と協力して HBA の IP 設定を決定します 7 [OK] をクリックして変更内容を保存します iscsi 名を変更した場合その名前は新しい iscsi セッションで使用されます既存のセッションではログアウトして再ログインするまで新しい設定は使用されませんソフトウェア iscsi イニシエータの設定ソフトウェアベースの iscsi 実装では標準のネットワークアダプタを使用して ESX ホストを IP ネットワーク上のリモート iscsi ターゲットに接続できます ESX に組み込まれたソフトウェア iscsi イニシエータはネットワークスタックを介してネットワークアダプタと通信することによりこのような接続を容易にしますソフトウェアイニシエータを構成する前に次のタスクを実行する必要があります 1 物理ネットワークアダプタに VMkernel ポートを作成します 2 ソフトウェア iscsi イニシエータを有効にします 88 VMware, Inc.

89 第 8 章 ESX のストレージの構成 3 複数のネットワークアダプタを使用する場合ポートバインドの手法を使用してホスト上でマルチパスを有効にしますポートバインドの詳細については iscsi SAN 構成ガイドを参照してください 4 必要に応じてジャンボフレームを有効にしますジャンボフレームは vsphere CLI を使用して各 vswitch で有効にする必要がありますまた ESX ホストを使用している場合ジャンボフレームを有効にした VMkernel ネットワークインターフェイスを作成する必要があります詳細はネットワークセクションを参照してくださいソフトウェア iscsi ストレージのネットワーク構成ソフトウェア iscsi のネットワーク構成では iscsi VMkernel ポートを作成しそのポートを iscsi トラフィックを処理する物理 NIC にマッピングします iscsi トラフィックに使用する物理 NIC の数に応じて次のようにさまざまなネットワーク設定が可能です物理 NIC が 1 つの場合 vswitch で 1 つの VMkernel ポートを作成しそのポートを NIC にマッピングします iscsi 専用に別のネットワークアダプタを指定することをお勧めします追加のネットワーク構成手順は不要ですポートの作成についてはソフトウェア iscsi の VMkernel ポートの作成 (P. 89) を参照してください iscsi に複数の物理 NIC がある場合ポートバインドの手法を使用してソフトウェア iscsi に複数のパスを作成できますポートバインドの詳細については iscsi SAN 構成ガイドを参照してくださいソフトウェア iscsi の VMkernel ポートの作成この手順によって iscsi ストレージ用にサービスを実行する VMkernel を物理ネットワークアダプタに接続できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 仮想スイッチビューで [ ネットワークの追加 ] をクリックします 4 [VMkernel] を選択し [ 次へ ] をクリックします 5 [ 仮想スイッチの作成 ] を選択して新しい vswitch を作成します [ 仮想スイッチの作成 ] の下にアダプタが表示されない場合既存の vswitch はシステムのすべてのネットワークアダプタを使用しています iscsi トラフィックに既存の vswitch を使用できます 6 iscsi トラフィックに使用するアダプタを選択します重要速度が 100Mbps 以下のアダプタでは iscsi を使用しないでください 7 [ 次へ ] をクリックします 8 [ ポートグループのプロパティ ] でネットワークラベルを入力しますネットワークラベルは作成する VMkernel ポートを識別する分かりやすい名前です 9 [ 次へ ] をクリックします 10 IP 設定を指定して [ 次へ ] をクリックします 11 情報を確認し [ 終了 ] をクリックします次に進む前にこれでソフトウェアイニシエータを有効にできます VMware, Inc. 89

90 ソフトウェア iscsi イニシエータの有効化ソフトウェア iscsi イニシエータを有効にして ESX が iscsi ストレージへのアクセスにそれを使用できるようにする必要があります手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージアダプタ ] をクリックします利用可能なストレージアダプタのリストが表示されます 3 構成する iscsi イニシエータを選択し [ プロパティ ] をクリックします 4 [ 構成 ] をクリックします [ 全般プロパティ ] ダイアログボックスにイニシエータの状態デフォルトの名前およびエイリアスが表示されます 5 イニシエータを有効にするには [ 有効 ] を選択します 6 イニシエータのデフォルト iscsi 名を変更するには新しい名前を入力します入力した名前が世界中で一意であることと形式が適切であることを確認しますこれが正しく行われないと一部のストレージデバイスでソフトウェア iscsi イニシエータが認識されない場合があります 7 [OK] をクリックして変更内容を保存します iscsi 名を変更した場合その名前は新しい iscsi セッションで使用されます既存のセッションではログアウトして再ログインするまで新しい設定は使用されません iscsi イニシエータの検出アドレスの構成 iscsi イニシエータがネットワーク上のアクセス可能なストレージリソースを特定できるようにターゲット検出アドレスを設定します ESX は次の検出方法をサポートします動的検出静的検出ターゲットの送信検出とも呼ばれますイニシエータが指定の iscsi サーバに接続するたびにイニシエータはターゲットの送信要求をサーバに送信しますサーバは使用可能なターゲットのリストをイニシエータに提供することで応答しますこれらのターゲットの名前および IP アドレスは [ 静的検出 ] タブに表示されます動的検出で追加された静的ターゲットを削除する場合このターゲットは次回の再スキャン実行時 HBA のリセット時またはホストの再起動時にリストに戻すことができますイニシエータは検出を実行する必要がありませんイニシエータは接続可能なすべてのターゲットのリストを所有しておりそのターゲットの IP アドレスおよびドメイン名を使用してターゲットと通信します動的検出の設定動的検出ではイニシエータが指定された iscsi サーバに接続するたびにターゲットの送信要求をサーバに送信しますサーバは使用可能なターゲットのリストをイニシエータに提供することで応答します手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージアダプタ ] をクリックします利用可能なストレージアダプタのリストが表示されます 3 構成する iscsi イニシエータを選択し [ プロパティ ] をクリックします 90 VMware, Inc.

91 第 8 章 ESX のストレージの構成 4 iscsi イニシエータのプロパティダイアログボックスで [ 動的検出 ] タブをクリックします 5 ターゲットの送信の検出にアドレスを追加するには [ 追加 ] をクリックします [ ターゲットサーバ送信の追加 ] ダイアログボックスが表示されます 6 ストレージシステムの IP アドレスまたは DNS 名を入力し [OK] をクリックしますホストがこのシステムでターゲットの送信セッションを確立すると新しく検出されたターゲットがすべて静的検出リストに表示されます 7 特定のターゲットの送信サーバを削除するにはそれを選択して [ 削除 ] をクリックしますターゲットの送信サーバを削除したあとでも静的ターゲットの親として継承フィールドに表示されたままになる場合がありますこの項目は静的ターゲットがどこで検出されていたかを示すだけで機能には影響しません注意既存のターゲットの送信サーバの IP アドレス DNS 名またはポート番号は変更できませんこれを変更するには既存のサーバを削除して新しいサーバを追加します静的検出の設定 iscsi イニシエータでは動的検出方法のほかに静的検出を使用してターゲットの情報を手動で入力することも可能です手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージアダプタ ] をクリックします利用可能なストレージアダプタのリストが表示されます 3 構成する iscsi イニシエータを選択し [ プロパティ ] をクリックします 4 iscsi イニシエータのプロパティダイアログボックスで [ 静的検出 ] タブをクリックします動的に検出されたすべてのターゲットとすでに入力されているすべての静的ターゲットがタブに表示されます 5 ターゲットを追加するには [ 追加 ] をクリックしてターゲットの情報を入力します 6 特定のターゲットを削除するにはそれを選択して [ 削除 ] をクリックします注意既存のターゲットの IP アドレス DNS 名 iscsi ターゲット名またはポート番号は変更できませんこれを変更するには既存のターゲットを削除して新しいターゲットを追加します iscsi イニシエータの CHAP パラメータの構成 iscsi テクノロジーでリモートターゲットへの接続に使用する IP ネットワークでは送信するデータが保護されないため接続のセキュリティを確保する必要があります iscsi ではネットワーク上のすべてのデバイスが CHAP ( チャレンジハンドシェイク認証プロトコル ) を実装することが必要です CHAP はネットワーク上のターゲットにアクセスするイニシエータの正当性を検証します CHAP は三方向ハンドシェイクアルゴリズムを使用してホストの ID を検証しますまた該当する場合ホストとターゲットが接続を確立するときに iscsi ターゲットの ID を検証します検証はイニシエータとターゲットで共有する事前定義されたプライベート値すなわち CHAP シークレットに基づいています ESX はアダプタレベルで CHAP 認証をサポートしますこの場合すべてのターゲットが iscsi イニシエータから同じ CHAP 名およびシークレットを受信しますソフトウェア iscsi の場合 ESX はターゲットごとの CHAP 認証もサポートしていますこの認証によりターゲットごとに異なる証明書を構成してセキュリティのレベルを向上させることができます VMware, Inc. 91

92 CHAP 認証方法の選択 ESX はハードウェア iscsi およびソフトウェア iscsi の両方に対して一方向 CHAP をサポートしソフトウェア iscsi のみに対して相互 CHAP をサポートします CHAP を構成する前に iscsi ストレージシステムで CHAP が有効になっているかどうかとシステムがサポートする CHAP 認証方法を確認します CHAP が有効になっている場合イニシエータ用に有効にして CHAP の認証証明書が iscsi ストレージの認証証明書と一致することを確認します ESX は次の CHAP 認証方法をサポートします一方向 CHAP 一方向の CHAP 認証ではターゲットはイニシエータを認証しますがイニシエータはターゲットを認証しません相互 CHAP ( ソフトウェア iscsi のみ ) 相互すなわち双方向の CHAP 認証ではセキュリティレベルが上がるためイニシエータはターゲットを認証できますソフトウェア iscsi のみに該当しますが一方向 CHAP および相互 CHAP を各イニシエータに対して設定するかターゲットレベルで設定できますハードウェア iscsi はイニシエータレベルでのみ CHAP をサポートします CHAP パラメータを設定する場合 CHAP のセキュリティレベルを指定します表 8-1. CHAP のセキュリティレベル CHAP のセキュリティレベル説明サポート CHAP を使用しないターゲットで要求されない場合は CHAP を使用しないターゲットで禁止されていない場合は CHAP を使用する CHAP を使用するホストは CHAP 認証を使用しません現在有効な場合このオプションを選択すると認証は無効になりますホストは CHAP 以外の接続を優先しますがターゲットが要求する場合は CHAP 接続を使用できますホストは CHAP を優先しますがターゲットが CHAP をサポートしていない場合は CHAP 以外の接続を使用できますホストは正常な CHAP 認証を要求します CHAP ネゴシエーションに失敗した場合接続に失敗しますソフトウェア iscsi ハードウェア iscsi ソフトウェア iscsi ソフトウェア iscsi ハードウェア iscsi ソフトウェア iscsi iscsi イニシエータの CHAP 証明書の設定セキュリティ向上のためイニシエータレベルですべてのターゲットが同一の CHAP 名およびシークレットを iscsi イニシエータから受け取るよう設定できますデフォルトではすべての検出アドレスまたは静的ターゲットはイニシエータレベルで設定された CHAP パラメータを継承します開始する前にソフトウェア iscsi の CHAP パラメータを設定する前に一方向 CHAP を構成するか相互 CHAP を構成するかを決めますハードウェア iscsi は相互 CHAP をサポートしません一方向の CHAP ではターゲットがイニシエータを認証します相互 CHAP ではターゲットおよびイニシエータの両方が互いを認証します CHAP と相互 CHAP には別々のシークレットを使用してください CHAP パラメータを構成する場合そのパラメータがストレージ側のパラメータと一致するようにしますソフトウェア iscsi の場合 CHAP 名は英数字で 511 文字以下とし CHAP シークレットは英数字で 255 文字以下としてくださいハードウェア iscsi の場合 CHAP 名は英数字で 255 文字以下とし CHAP シークレットは英数字で 100 文字以下とします 92 VMware, Inc.

93 第 8 章 ESX のストレージの構成手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージアダプタ ] をクリックします利用可能なストレージアダプタのリストが表示されます 3 構成する iscsi イニシエータを選択し [ プロパティ ] をクリックします 4 [ 全般 ] タブで [CHAP] をクリックします 5 一方向の CHAP を構成するには CHAP で次を指定します a 次のオプションのいずれかを選択します [ ターゲットで要求されない場合は CHAP を使用しない ] ( ソフトウェア iscsi のみ ) [ ターゲットで禁止されていない場合は CHAP を使用する ] [CHAP を使用する ] ( ソフトウェア iscsi のみ ) 相互 CHAP を構成できるようにするにはこのオプションを選択する必要があります b CHAP 名を指定します指定する名前がストレージ側で構成した名前と一致するようにします CHAP 名を iscsi イニシエータ名に設定するには [ イニシエータ名の使用 ] を選択します CHAP 名を iscsi イニシエータ名以外の名前に設定するには [ イニシエータ名の使用 ] を選択解除し [ 名前 ] フィールドに名前を入力します c 認証の一部として使用する一方向の CHAP シークレットを入力しますストレージ側で入力するのと同じシークレットを使用してください 6 相互 CHAP 認証を構成するには手順 5 の指示に従ってまず一方向 CHAP を構成します一方向 CHAP のオプションとして [CHAP を使用する ] を選択します次に [ 相互 CHAP] で次のように指定します a b c [CHAP を使用する ] を選択します相互 CHAP 名を指定します相互 CHAP シークレットを入力します一方向 CHAP と相互 CHAP には別々のシークレットを使用してください 7 [OK] をクリックします 8 イニシエータを再スキャンします CHAP または相互 CHAP のパラメータを変更した場合そのパラメータは新しい iscsi セッションで使用されます既存のセッションではログアウトして再ログインするまで新しい設定は使用されませんターゲットの CHAP 証明書の設定ソフトウェア iscsi の場合検出アドレスまたは静的ターゲットごとに別々の CHAP 証明書を構成できます CHAP パラメータを構成する場合そのパラメータがストレージ側のパラメータと一致するようにしますソフトウェア iscsi の場合 CHAP 名は英数字で 511 文字以下とし CHAP シークレットは英数字で 255 文字以下とします開始する前にソフトウェア iscsi の CHAP パラメータを設定する前に一方向の CHAP を構成するか相互 CHAP を構成するかを決めます一方向の CHAP ではターゲットがイニシエータを認証します相互 CHAP ではターゲットおよびイニシエータの両方が互いを認証します CHAP と相互 CHAP には別々のシークレットを使用してください VMware, Inc. 93

94 手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージアダプタ ] をクリックします利用可能なストレージアダプタのリストが表示されます 3 構成するソフトウェア iscsi イニシエータを選択し [ プロパティ ] をクリックします 4 [ 動的検出 ] タブまたは [ 静的検出 ] タブを選択します 5 使用可能なターゲットのリストから構成するターゲットを選択し [ 設定 ] - [CHAP] をクリックします 6 一方向の CHAP を構成するには CHAP で次を指定します a b [ 親から継承 ] を選択解除します次のオプションのいずれかを選択します [ ターゲットで要求されない場合は CHAP を使用しない ] [ ターゲットで禁止されていない場合は CHAP を使用する ] [CHAP を使用する ] 相互 CHAP を構成できるようにするにはこのオプションを選択する必要があります c CHAP 名を指定します指定する名前がストレージ側で構成した名前と一致するようにします CHAP 名を iscsi イニシエータ名に設定するには [ イニシエータ名の使用 ] を選択します CHAP 名を iscsi イニシエータ名以外の名前に設定するには [ イニシエータ名の使用 ] を選択解除し [ 名前 ] フィールドに名前を入力します d 認証の一部として使用する一方向の CHAP シークレットを入力しますストレージ側で入力するのと同じシークレットを使用してください 7 相互 CHAP 認証を構成するには手順 6 の指示に従ってまず一方向 CHAP を構成します一方向 CHAP のオプションとして [CHAP を使用する ] を選択します次に [ 相互 CHAP] で次のように指定します a b c d [ 親から継承 ] を選択解除します [CHAP を使用する ] を選択します相互 CHAP 名を指定します相互 CHAP シークレットを入力します一方向 CHAP と相互 CHAP には別々のシークレットを使用してください 8 [OK] をクリックします 9 イニシエータを再スキャンします CHAP または相互 CHAP のパラメータを変更した場合そのパラメータは新しい iscsi セッションで使用されます既存のセッションではログアウトして再ログインするまで新しい設定は使用されません CHAP の無効化 CHAP はストレージシステムで必要とされない場合には無効にすることができます CHAP 認証を必要とするシステムで CHAP を無効にすると ESX ホストが再起動されるまでまたはストレージシステムで強制ログアウトが行われるまで既存の iscsi セッションはアクティブなままとなりますセッションの終了後は CHAP を必要とするターゲットには接続できなくなります 94 VMware, Inc.

95 第 8 章 ESX のストレージの構成手順 1 CHAP 認証情報ダイアログボックスを開きます 2 ソフトウェア iscsi の場合相互 CHAP だけを無効にするには [ 相互 CHAP] から [CHAP を使用しない ] を選択します 3 一方向 CHAP を無効にするには [CHAP] から [CHAP を使用しない ] を選択します相互 CHAP が設定されている場合一方向 CHAP を無効にすると相互 CHAP は自動的に [CHAP を使用しない ] に変更されます 4 [OK] をクリックします iscsi の追加パラメータの構成 iscsi イニシエータに追加パラメータを構成することが必要になる場合がありますたとえば一部の iscsi ストレージシステムではポート間で iscsi トラフィックを動的に移動するために ARP ( アドレス解決プロトコル ) リダイレクトが必要ですこの場合ホストで ARP リダイレクトを有効にする必要があります当社のサポートチームと作業をしているか iscsi の詳細設定に指定する値についての十分な情報がある場合を除きこの詳細設定を変更しないでください表 8-2 に vsphere Client を使用して構成できる iscsi の詳細パラメータを示しますまた vicfg-iscsi という vsphere CLI コマンドを使用するとこの詳細パラメータの一部を構成できます詳細については VMware vsphere Command-Line Interface Installation and Reference Guide を参照してください表 8-2. iscsi イニシエータの追加パラメータ詳細パラメータ説明構成可能な対象ヘッダーダイジェストデータダイジェスト最大 R2T 残数第 1 バースト長最大バースト長最大受信データセグメント長データの整合性を高めますヘッダダイジェストが有効な場合システムは CRC32C アルゴリズムを使用して各 iscsi PDU (Protocol Data Unit) のヘッダ部分でチェックサムを実行し検証を行いますデータの整合性を高めますデータダイジェストが有効な場合システムは CRC32C アルゴリズムを使用して各 PDU のデータ部分でチェックサムを実行し検証を行います注意 Intel Nehalem プロセッサを使用するシステムではソフトウェア iscsi の iscsi ダイジェスト計算が軽減されるためパフォーマンスへの影響が小さくなります ACK の PDU が受信されるまで移行中の状態にしてもよい R2T (Ready to Transfer) PDU を定義します単一の SCSI コマンドの実行時に iscsi イニシエータがターゲットに送信できる非請求データの最大量 ( バイト単位 ) を指定します Data-In または請求 Data-Out の iscsi シーケンスでの最大 SCSI データペイロード ( バイト単位 ) です iscsi PDU で受信できる最大データセグメント長 ( バイト単位 ) ですソフトウェア iscsi ソフトウェア iscsi ソフトウェア iscsi ソフトウェア iscsi ソフトウェア iscsi ソフトウェア iscsi ARP リダイレクトストレージシステムでポート間で iscsi トラフィックを動的に移動できるようにしますアレイベースのフェイルオーバーを実行するストレージシステムでは ARP が必要ですハードウェア iscsi (vsphere CLI 経由で構成可能 ) 遅延 ACK システムで受信データパケットの ACK を遅延させることができるようにしますソフトウェア iscsi VMware, Inc. 95

96 iscsi の詳細パラメータの構成 iscsi の詳細設定ではヘッダダイジェストデータダイジェスト ARP リダイレクト遅延 ACK などのパラメータを制御します通常割り当てられた定義済みの値で ESX ホストは動作するのでこれらの設定を変更する必要はありません注意 VMware サポートチームと作業をしているか iscsi の詳細設定に指定する値についての十分な情報がある場合を除きこの詳細設定を変更しないでください手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックして [ ストレージアダプタ ] をクリックします 3 構成する iscsi イニシエータを選択し [ プロパティ ] をクリックします 4 イニシエータレベルで詳細パラメータを構成するには [ 全般 ] タブで [ 詳細 ] をクリックします手順 6 に進みます 5 ターゲットレベルで詳細パラメータを構成しますターゲットレベルではソフトウェア iscsi のみ詳細パラメータを構成できます a b [ 動的検出 ] タブまたは [ 静的検出 ] タブを選択します使用可能なターゲットのリストから構成するターゲットを選択し [ 設定 ] - [ 詳細 ] をクリックします 6 変更する詳細パラメータに必要な値を入力し [OK] をクリックして変更内容を保存しますストレージの更新操作と再スキャン操作更新操作によって vsphere Client に表示されるデータストア容量などのストレージ情報やデータストアリストが更新されます ESX ホストまたは SAN 構成を変更する場合ストレージアダプタを再スキャンする必要がある場合がありますホスト上のすべてのアダプタを再スキャンできます特定のアダプタに対してのみ変更を行う場合そのアダプタだけを再スキャンします vsphere Client が vcenter Server システムに接続されている場合 vcenter Server システムで管理されているすべてのホスト上のアダプタを再スキャンできます次のいずれかのタスクを実行するたびに再スキャンします SAN に新しい LUN を作成した場合ホスト上でパスのマスキングを変更した場合ケーブルを接続しなおした場合クラスタのホストを変更した場合重要パスが利用できないときは再スキャンしないでください 1 つのパスに障害が発生した場合は別のパスに引き継がれシステムは完全に機能を継続しますただしパスが使用できないときに再スキャンをするとホストはデバイスへのパスリストからそのパスを削除します次にパスがアクティブであるときに再スキャンを実行するまでこのパスはホストで使用できなくなりますストレージアダプタの再スキャン ESX ホストまたは SAN 構成を変更する場合ストレージアダプタを再スキャンする必要がある場合がありますホスト上のすべてのアダプタを再スキャンできます特定のアダプタに対してのみ変更を行う場合そのアダプタだけを再スキャンします再スキャンを特定のホストまたはホスト上のアダプタに制限する場合は次の手順を使用します vcenter Server システムが管理するすべてのホストのアダプタを再スキャンする場合はデータセンタークラスタまたはそのホストを含むフォルダを右クリックし [ データストアの再スキャン ] を選択します 96 VMware, Inc.

97 第 8 章 ESX のストレージの構成手順 1 vsphere Client でホストを選択し [ 構成 ] タブをクリックします 2 ハードウェアパネルで [ ストレージアダプタ ] を選択しストレージアダプタパネルの上の [ 再スキャン ] をクリックします 1 つのアダプタを右クリックし [ 再スキャン ] をクリックしてそのアダプタのみを再スキャンすることもできます 3 新規のディスクまたは LUN を検出するには [ 新規ストレージデバイスのスキャン ] を選択します新しい LUN が検出されるとデバイスリストに表示されます 4 新しいデータストアを検出したり構成を変更したあとでデータストアをアップデートするには [ 新規 VMFS ボリュームのスキャン ] を選択します新規のデータストアまたは VMFS ボリュームが検出されるとデータストアリストに表示されます VMFS データストアの作成 VMFS データストアは仮想マシンのリポジトリとして機能します VMFS データストアはホストが検索を行う SCSI ベースのストレージデバイス上に設定できます開始する前にデータストアを作成する前にストレージで必要なアダプタをインストールおよび構成する必要がありますアダプタを再スキャンして新しく追加されたストレージデバイスを検出します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージ ] をクリックします 3 [ データストア ] をクリックして [ ストレージの追加 ] をクリックします 4 [ ディスク /LUN] ストレージタイプを選択し [ 次へ ] をクリックします 5 データストアに使用するデバイスを選択し [ 次へ ] をクリックします注意 VMFS ラベル列に表示されているデータストア名のないデバイスを選択します名前がある場合は既存の VMFS データストアのコピーがそのデバイスに格納されていますフォーマットしているディスクが空の場合は現在のディスクレイアウトページに自動的にディスク領域全体が表示されストレージを構成できます 6 ディスクがブランクでない場合は現在のディスクレイアウトページの上部のパネルに表示される現在のディスクレイアウトを確認し下部のパネルから構成オプションを選択しますオプションすべての利用可能なパーティションを利用空き領域の使用説明ディスクまたは LUN 全体を 1 つの VMFS データストア専用にしますこのオプションを選択するとこのデバイスに現在保存されているすべてのファイルシステムまたはデータは破棄されますディスクの残り空き領域に VMFS データストアをデプロイします 7 [ 次へ ] をクリックします 8 プロパティページでデータストア名を入力し [ 次へ ] をクリックします 9 必要に応じてファイルシステムと容量の値を調整しますデフォルトでストレージデバイスの空き領域をすべて使用できます VMware, Inc. 97

98 10 [ 次へ ] をクリックします 11 設定が完了しましたページでデータストアの構成情報を確認し [ 終了 ] をクリックします SCSI ベースのストレージデバイス上のデータストアが作成されます vcenter Server システムを使用してホストを管理している場合新しく作成したデータストアは自動的にすべてのホストに追加されますネットワーク接続型ストレージ ESX は NFS プロトコルを介して NAS の使用をサポートしています NFS プロトコルによって NFS クライアントと NFS サーバとの通信が可能になります ESX に組み込まれた NFS クライアントを使用すると NFS サーバへアクセスして NFS ボリュームをストレージに使用できます ESX は TCP を介した NFS Version 3 のみをサポートしています NFS ボリュームをデータストアとして構成するには vsphere Client を使用します構成した NFS データストアが vsphere Client に表示されますそれらのデータストアを使用すると VMFS ベースのデータストアと同じ使用方法で仮想ディスクファイルを格納できます注意 ESX は root 以外の証明書を使用して NFS ボリュームにアクセスできるようにするデリゲートユーザー機能をサポートしていません図 8-4 に NFS ボリュームを使用してファイルを格納する仮想マシンを示しますこの構成ではホストは仮想ディスクファイルが格納されている NFS サーバに通常のネットワークアダプタを介して接続しています図 8-4. NFS ストレージホスト仮想マシンイーサネット NIC LAN NFS NAS アプライアンス 98 VMware, Inc.

99 第 8 章 ESX のストレージの構成 NFS ベースのデータストアに作成する仮想ディスクでは NFS サーバが指示するディスクの形式が使用されます通常オンデマンドの領域割り当てを必要とするシン形式が使用されますこのディスクへの書き込み中に仮想マシンの領域が不足すると vsphere Client からさらに領域が必要であることが通知されます次のオプションがあります仮想マシンがディスクへの書き込みを続行できるようにボリューム上の追加領域を解放する仮想マシンのセッションを終了するセッションを終了すると仮想マシンがシャットダウンされます注意ホストが NFS ベースのデータストアに格納されている仮想マシンディスクファイルにアクセスするとディスクファイルが存在するディレクトリと同じディレクトリに.lck-XXX というロックファイルが生成されほかのホストからこの仮想ディスクファイルにアクセスできないようになります.lck-XXX ロックファイルを削除しないでください削除すると実行中の仮想マシンがその仮想ディスクファイルにアクセスできなくなりますよく使用されるファイルのリポジトリとしての NFS データストア NFS は NFS データストアに仮想ディスクを格納するほかに ISO イメージや仮想マシンのテンプレートなどの中央リポジトリとして使用することもできます NFS を共有リポジトリとして使用するには NFS サーバにディレクトリを作成しそのディレクトリをデータストアとしてすべてのホストにマウントします ISO イメージ用のデータストアを使用する場合は仮想マシンの CD-ROM デバイスをデータストアの ISO ファイルに接続し ISO ファイルからゲスト OS をインストールできます仮想マシンの構成については基本システム管理を参照してください注意ファイルが格納される基盤となる NFS ボリュームが読み取り専用の場合はそのボリュームが NFS サーバによって読み取り専用の共有としてエクスポートされていることを確認するか ESX ホストに読み取り専用のデータストアとしてそのボリュームを構成しますそれ以外の場合ホストはデータストアが読み取り / 書き込み可能であると認識しファイルを開くことができない可能性があります NFS ベースのデータストアの作成ストレージの追加ウィザードを使用すると NFS ボリュームをマウントしそれを VMFS データストアとして使用できます開始する前に NFS ではリモートサーバに格納されているデータへアクセスするためのネットワーク接続が必要であるため NFS を構成するにはまず VMkernel ネットワークを構成する必要があります手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージ ] をクリックします 3 [ データストア ] をクリックして [ ストレージの追加 ] をクリックします 4 ストレージタイプとして [ ネットワークファイルシステム ] を選択し [ 次へ ] をクリックします 5 サーバ名マウントポイントフォルダ名およびデータストア名を入力します注意同じ NFS ボリュームを異なるホストにマウントする場合はサーバとフォルダの名前がホスト間で同一であることを確認してください名前が正確に一致していないとたとえば 1 台のホストのフォルダ名に share と入力しほかのホストで /share と入力するとホストは同じ NFS ボリュームを 2 つの異なるデータストアと認識しますこの場合 VMotion などの機能に障害が発生することがあります 6 ( オプション ) ボリュームが NFS サーバによって読み取り専用としてエクスポートされている場合 [ 読み取り専用の NFS マウント ] を選択します 7 [ 次へ ] をクリックします 8 ネットワークファイルシステムの概要ページで構成オプションを確認し [ 終了 ] をクリックします VMware, Inc. 99

100 診断パーティションの作成ホストを正常に実行するにはデバッグおよびテクニカルサポート用にコアダンプを保存する診断パーティション ( ダンプパーティション ) が必要です診断パーティションはローカルディスクプライベート SAN LUN または共有 SAN LUN 上に作成できます診断パーティションはソフトウェアの iscsi イニシエータを介してアクセスする iscsi LUN には配置できません各ホストには 100 MB の診断パーティションが必要です複数のホストで SAN を共有する場合は各ホストに 100 MB の診断パーティションを構成します注意診断パーティションを共有する 2 台のホストで障害が発生し同じスロットにコアダンプを保存した場合コアダンプは損失する可能性がありますコアダンプデータを収集するにはホストで障害が発生したあとすぐにホストを再起動しログファイルを取得しますただし最初のホストの診断データを収集する前に別のホストで障害が発生した場合は 2 つめのホストはコアダンプの保存に失敗します ESX ホストでは通常 ESX のインストール時に [ 推奨パーティショニング ] を選択して診断パーティションを作成しますインストーラがホストに診断パーティションを自動的に作成します [ 詳細パーティショニング ] を選択しインストール中に診断パーティションを指定しないように選択した場合はストレージの追加ウィザードを使用してパーティションを構成できます診断パーティションの作成診断パーティションをホスト上に作成できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージ ] をクリックします 3 [ データストア ] をクリックして [ ストレージの追加 ] をクリックします 4 [ 診断 ] を選択し [ 次へ ] をクリックしますオプションに [ 診断 ] がない場合はすでにホストに診断パーティションがあります vsphere CLI. で vicfg-dumppart -l コマンドを使用してホストの診断パーティションのクエリおよび再スキャンが実行できます 5 診断パーティションのタイプを指定しますオプションプライベートローカルプライベート SAN ストレージ共有 SAN ストレージ説明ローカルディスクに診断パーティションを作成しますこのパーティションには使用しているホストのみに関する障害情報が格納されます SAN を共有しない LUN に診断パーティションを作成しますこのパーティションには使用しているホストのみに関する障害情報が格納されます共有 SAN LUN に診断パーティションを作成しますこのパーティションは複数のホストによってアクセスされ複数のホストに関する障害情報を格納できます 6 [ 次へ ] をクリックします 7 診断パーティションに使用するデバイスを選択し [ 次へ ] をクリックします 8 パーティションの構成情報を確認し [ 終了 ] をクリックします 100 VMware, Inc.

101 ストレージの管理 9 データストアを作成したあとでプロパティを変更したりビジネスニーズに基づいてフォルダを使用してデータストアをグループ化したり使用していないデータストアを削除したりできますストレージに対するマルチパスの設定またはデータストアコピーの再署名が必要になる場合もありますこの章では次のトピックについて説明しますデータストアの管理 (P. 101) VMFS データストアプロパティの変更 (P. 103) 重複 VMFS データストアの管理 (P. 105) ESX でのマルチパスの使用 (P. 107) シンプロビジョニング (P. 115) データストアの管理 ESX システムはデータストアを使用して仮想マシンに関連付けられているすべてのファイルを格納しますデータストアを作成したあとさまざまな作業によりデータストアを管理できますデータストアは 1 つの物理デバイスまたは 1 つのディスクパーティションのディスク領域を使用することも複数の物理デバイスにまたがることもできる論理ストレージユニットですデータストアは SCSI iscsi ファイバチャネル SAN NFS などさまざまなタイプの物理デバイスに配置できます次のいずれかの方法でデータストアが vsphere Client に追加されますホストがインベントリに追加されたときに検出 vsphere Client ではホストが認識できるすべてのデータストアが表示されます [ ストレージの追加 ] コマンドを使用して使用可能なストレージデバイスに作成データストアが作成されたあとは仮想マシンファイルをデータストアに格納できます名前変更削除およびアクセス制御権の設定を行うことでそれらを管理できますまたデータストアをグループ化して組織化しグループ全体に同じ権限を同時に設定できますデータストアのアクセス権の設定については vsphere Client のヘルプを参照してください VMware, Inc. 101

102 データストア名の変更既存のデータストアの名前を変更できます手順 1 データストアを表示します 2 名前を変更するデータストアを右クリックし [ 名前の変更 ] を選択します 3 新しいデータストア名を入力します vcenter Server システムを使用してホストを管理する場合そのデータストアにアクセスするすべてのホストで新しい名前が表示されますデータストアのグループ化 vcenter Server システムを使用してホストを管理する場合フォルダにデータストアをグループ化できますこれによりビジネスプラクティスに従ってデータストアを組織化しグループ内のデータストアに対して同じ権限およびアラームを同時に割り当てることが可能になります手順 1 vsphere Client にログインします 2 必要な場合はデータストアを作成します詳細は vsphere Client のヘルプを参照してください 3 インベントリパネルで [ データストア ] を選択します 4 グループ化するデータストアが含まれているデータセンターを選択します 5 ショートカットメニューで [ 新規フォルダ ] アイコンをクリックします 6 フォルダに説明的な名前を付けます 7 各データストアをクリックしフォルダへドラッグしますデータストアの削除再署名せずにマウントしたコピーも含めたあらゆるタイプの VMFS データストアを削除できますデータストアを削除するとデータストアが破棄されそのデータストアへアクセスできるすべてのホストから消失します開始する前にデータストアを削除する前にすべての仮想マシンをデータストアから削除しますデータストアにアクセスしているホストがないことを確認してください手順 1 データストアを表示します 2 削除するデータストアを右クリックし [ 削除 ] を選択します 3 データストアを削除することを確定します 102 VMware, Inc.

103 第 9 章ストレージの管理データストアのアンマウントデータストアをアンマウントしてもそのまま存在していますが指定したホストからデータストアを参照できなくなりますマウントされたままの状態になっている別のホストからは参照できます次のタイプのデータストアのみアンマウントできます NFS データストア再署名せずにマウントされている VMFS データストアのコピー手順 1 データストアを表示します 2 アンマウントするデータストアを右クリックして [ アンマウント ] を選択します 3 データストアを共有している場合はどのホストがデータストアにアクセスできなくするかを指定します a 必要に応じてデータストアをマウントしたままにしておくホストを選択解除しますデフォルトではすべてのホストが選択されています b c [ 次へ ] をクリックしますデータストアをアンマウントするホストのリストを確認し [ 終了 ] をクリックします 4 データストアをアンマウントすることを確認します VMFS データストアプロパティの変更 VMFS ベースのデータストアを作成したあとでそのデータストアを変更できますたとえば追加の領域が必要になった場合に増やすことができます VMFS-2 データストアを使用している場合は VMFS-3 形式にアップグレードできます VMFS フォーマットを使用するデータストアは SCSI ベースのストレージデバイスに配置されますリモートホストが使用している VMFS データストアは再フォーマットできません再フォーマットしようとすると警告が表示され使用中のデータストアの名前およびそのデータストアを使用しているホストが示されますこの警告は VMkernel および vmkwarning のログファイルにも書き込まれます vsphere Client が vcenter Server システムに接続されているかホストに直接接続されているかによってデータストアのプロパティダイアログボックスへのアクセス方法が異なります vcenter Server のみデータストアのプロパティダイアログボックスにアクセスするにはインベントリからデータストアを選択して [ 構成 ] タブをクリックし [ プロパティ ] をクリックします vcenter Server および ESX/ESXi ホストデータストアのプロパティダイアログボックスにアクセスするにはインベントリからホストを選択して [ 構成 ] タブをクリックし [ ストレージ ] をクリックしますデータストアビューで変更するデータストアを選択し [ プロパティ ] をクリックします VMware, Inc. 103

104 VMFS データストアの増加データストアで新しい仮想マシンを作成しなければならない場合またはこのデータストア上で稼動している仮想マシンで追加の容量が必要になった場合に VMFS データストアの容量を動的に増やすことができます次のいずれかの方法を使用します新しいエクステントを追加するエクステントは LUN 上のパーティションです既存のどの VMFS データストアにも新しいエクステントを追加できますデータストアは複数のエクステント ( 最大 32 個 ) に拡張できます注意 SAN LUN 上にあるデータストアにローカルエクステントを追加することはできません現行の VMFS データストア内でエクステントを大きくするその直後に空き容量があるエクステントのみ拡張できます結果として新しいエクステントを追加するのではなく既存のエクステントを増やすことで近接する利用可能な領域に格納できます注意共有のデータストアが仮想マシンをパワーオンしており完全に領域が使用されている場合パワーオンされている仮想マシンが登録されているホストからのみデータストアの領域を拡大できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ストレージ ] をクリックします 3 データストアビューで拡大するデータストアを選択し [ プロパティ ] をクリックします 4 [ 拡大 ] をクリックします 5 ストレージデバイスのリストからデバイスを選択し [ 次へ ] をクリックします新しいエクステントを追加する場合は拡張可能列が [ いいえ ] になっているデバイスを選択します既存のエクステントを拡張する場合は拡張可能列が [ はい ] になっているデバイスを選択します 6 下部のパネルから構成オプションを選択しますディスクの現在のレイアウトおよび前に選択した内容によって表示されるオプションが異なりますオプションフリースペースを使用して新規エクステントを追加空き容量を使用して既存のエクステントを拡張空き領域の使用すべての利用可能なパーティションを利用説明ディスク上の空き容量をデータストアの新しいエクステントとして追加します既存のエクステントを必要な容量まで拡張しますディスクの残り空き領域にエクステントをデプロイしますこのオプションはエクステントを追加する場合のみ使用できますディスク全体を 1 つのデータストアエクステント専用にしますこのオプションはエクステントを追加する場合およびフォーマットするディスクが空ではない場合にのみ使用できますディスクが再フォーマットされデータストアおよびそれに含まれているすべてのデータが消去されます 7 エクステントの容量を設定しますデフォルトでストレージデバイスの空き領域をすべて使用できます 8 [ 次へ ] をクリックします 9 提案されるレイアウトと新しいデータストアの構成を確認して [ 終了 ] をクリックします 104 VMware, Inc.

105 第 9 章ストレージの管理次に進む前に共有の VMFS データストアのエクステントを増やしたあとそのデータストアにアクセス可能な各ホストのデータストアを更新し vsphere Client がすべてのホストの正確なデータストア領域を表示できるようにしますデータストアのアップグレード ESX には VMFS バージョン 3 (VMFS-3) が含まれていますデータストアを VMFS-2 でフォーマットした場合 VMFS-2 に格納されたファイルの読み取りはできますが書き込みはできませんファイルに完全にアクセスできるようにするには VMFS-2 から VMFS-3 にアップグレードします VMFS-2 から VMFS-3 へアップグレードする場合には ESX のファイルロックメカニズムにより変換中の VMFS データストアにリモートホストまたはローカルプロセスがアクセスしないようになりますホストはすべてのファイルをデータストア上に保存しますアップグレードオプションを使用する前に次のことを考慮してくださいアップグレードする VMFS-2 ボリュームに含まれる仮想ディスクへの変更をすべてコミットまたは破棄する VMFS-2 ボリュームをバックアップするパワーオン中の仮想マシンがこの VMFS-2 ボリュームを使用していないことを確認するほかの ESX ホストが VMFS-2 ボリュームにアクセスしていないことを確認する VMFS-2 から VMFS-3 への変換は一方向のプロセスです VMFS ベースのデータストアを VMFS-3 に変換したあと VMFS-2 に戻すことはできません VMFS-2 ファイルシステムをアップグレードするにはファイルブロック長を 8MB 以下にする必要があります手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ストレージ ] をクリックします 3 VMFS-2 フォーマットを使用するデータストアを選択します 4 [VMFS-3 へアップグレード ] をクリックします 5 データストアを参照するすべてのホストで再スキャンを実行します重複 VMFS データストアの管理 LUN に VMFS データストアのコピーがある場合既存の署名を使用してデータストアをマウントするか新たに署名を割り当てることができます LUN に作成された各 VMFS データストアはファイルシステムのスーパーブロックに格納された一意の UUID を持っています LUN のレプリケーションまたはスナップショットを作成する場合コピーされた LUN は元の LUN とバイト単位で同じになりますその結果元の LUN に UUID X を持つ VMFS データストアがある場合コピーされた LUN にはまったく同一の UUID X を持つ同じ VMFS データストアすなわち VMFS データストアのコピーがあるように見えます ESX は LUN に VMFS データストアのコピーがあるかどうかを調べ元の UUID を使用したデータストアコピーのマウントまたは UUID の変更のいずれかを行いデータストアに再署名します VMware, Inc. 105

106 既存の署名を使用した VMFS データストアのマウント VMFS データストアのコピーへの再署名が不要な場合があります署名を変えることなく VMFS データストアのコピーをマウントできますたとえばディザスタリカバリプランの一環として仮想マシンの同期済みコピーをセカンダリサイトで維持管理できますプライマリサイトでディザスタが発生した場合セカンダリサイトでデータストアのコピーを仮想マシンにマウントしてパワーオンできます重要 VMFS データストアをマウントできるのはすでにマウントされている同じ UUID を持った別の VMFS データストアと競合しない場合だけです VMFS データストアをマウントする際 ESX では LUN コピー上にあるデータストアの読み取りおよび書き込みが可能です LUN コピーは書き込み可能である必要がありますデータストアのマウントはシステムを再起動しても継続して有効となります ESX ではマウントされたデータストアの再署名ができないため再署名する前にデータストアをアンマウントしてください既存の署名を使用した VMFS データストアのマウント VMFS データストアのコピーに再署名する必要がない場合その署名を変えずにマウントできます開始する前に VMFS データストアをマウントする前にホストでストレージの再スキャンを行なって提供されている LUN の表示を更新します手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージ ] をクリックします 3 [ ストレージの追加 ] をクリックします 4 [ ディスク /LUN] ストレージタイプを選択し [ 次へ ] をクリックします 5 LUN のリストから VMFS ラベル列に表示されたデータストア名を持つ LUN を選択して [ 次へ ] をクリックしてください VMFS ラベル列に表示された名前は LUN が既存の VMFS データストアのコピーを含むコピーであることを示します 6 マウントオプションで [ 既存の署名を保持 ] を選択します 7 設定が完了しましたページでデータストアの構成情報を確認し [ 終了 ] をクリックします次に進む前にマウントしたデータストアにあとで再署名する場合まずアンマウントする必要があります VMFS コピーの再署名 VMFS データストアコピー上に保存されたデータを保持するにはデータストア再署名を使用してください VMFS コピーの再署名を行うとき ESX は新しい UUID と新しいラベルをコピーに割り当てコピー元とは別のデータストアとしてマウントしますデータストアに割り当てられる新しいラベルのデフォルトの形式は snap-<snapid>-<oldlabel> ですここで <snapid> は整数で <oldlabel> は元のデータストアのラベルですデータストアの再署名を行うとき次の点を考慮してくださいデータストアの再署名は取り消しできません再署名対象の VMFS データストアを含む LUN コピーは LUN コピーとして扱われなくなります 106 VMware, Inc.

107 第 9 章ストレージの管理複数にまたがるデータストアはそのすべてのエクステントがオンラインである場合のみ再署名が可能です再署名は耐クラッシュ性および耐障害性のある処理です処理が中断したとしてもあとで再開できます新しい VMFS データストアをマウントする際にその UUID が LUN スナップショット階層中の親または子などほかのデータストアの UUID と競合する危険を冒すことなくマウントできます VMFS データストアコピーの再署名 VMFS データストアコピー上に保存されたデータを保持したい場合はデータストア再署名を使用してください開始する前にマウントされたデータストアのコピーを再署名するにはまずそれをアンマウントします VMFS データストアを再署名する前にホストでストレージの再スキャンを行なって提供されている LUN の表示をホストが更新し LUN のコピーがあれば検出するようにしてください手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージ ] をクリックします 3 [ ストレージの追加 ] をクリックします 4 [ ディスク /LUN] ストレージタイプを選択し [ 次へ ] をクリックします 5 LUN のリストから VMFS ラベル列に表示されたデータストア名を持つ LUN を選択して [ 次へ ] をクリックしてください VMFS ラベル列に表示された名前は LUN が既存の VMFS データストアのコピーを含むコピーであることを示します 6 マウントオプションで [ 新しい署名の割り当て ] を選択し [ 次へ ] をクリックします 7 設定が完了しましたページでデータストアの構成情報を確認し [ 終了 ] をクリックします次に進む前に再署名のあと次のことを行う必要がある場合があります再署名したデータストアに仮想マシンが含まれている場合.vmx.vmdk.vmsd および.vmsn を含む仮想マシンファイル中の元の VMFS データストアに対する参照を更新してください仮想マシンをパワーオンするには vcenter Server に登録してください ESX でのマルチパスの使用 ESX ホストとそのストレージ間で常に接続を保持しておくために ESX はマルチパスをサポートしていますマルチパスは ESX ホストと外部のストレージデバイスとの間でのデータ送信に複数の物理パスを使用できるようにする技術です HBA スイッチケーブルなど SAN ネットワーク内の要素に障害が発生した場合は ESX は別の物理パスへフェイルオーバーできますパスのフェイルオーバーだけでなくマルチパスにはロードバランシング機能もありますこれは複数のパス間で I/O 負荷を再割り当てするため潜在的なボトルネックが軽減または排除されます複数のパスの管理 ESX ではストレージのマルチパスの管理に PSA (Pluggable Storage Architecture) という特殊な VMkernel レイヤーを使用します PSA は複数の MPP (Multipathing Plugin) の動作を同時に調整するオープンモジュラーフレームワークです ESX がデフォルトで提供する VMkernel マルチパスプラグインは VMware NMP (Native Multipathing Plugin) です NMP はサブプラグインを管理する拡張可能なマルチパスモジュールです NMP のサブプラグインには SATP (Storage Array Type Plugin) および PSP (Path Selection Plugin) の 2 種類があります SATP および PSP は VMware が組み込み式で提供するものとサードパーティが提供するものがあります VMware, Inc. 107

108 追加でマルチパス機能が必要であればデフォルトの NMP への追加またはその代替としてサードパーティ製の MPP も利用できます VMware NMP およびインストールされたサードパーティの MPP を調整する場合 PSA は次のタスクを実行しますマルチパスプラグインをロードおよびアンロードします仮想マシンの特性を特定のプラグインから見えなくします特定の論理デバイスに対する I/O 要求をそのデバイスを管理する MPP にルーティングします論理デバイスへの I/O キューを処理します仮想マシン間で論理デバイスのバンド幅共有を実現します物理ストレージの HBA への I/O キューを処理します物理パスの検出と削除を処理します論理デバイスおよび物理パスの I/O 統計を提供します図 9-1 に示すように VMware NMP と並行して複数のサードパーティ製 MPP を実行できますサードパーティの MPP は NMP の挙動を変え特定のストレージデバイスに関するパスフェイルオーバーおよびロードバランシングを完全に制御します図 9-1. プラグ可能ストレージアーキテクチャ VMkernel プラグ可能ストレージアーキテクチャサードパーティ MPP サードパーティ MPP VMware SATP VMware NMP VMware PSP VMware SATP VMware PSP VMware SATP サードパーティ SATP サードパーティ PSP マルチパスモジュールは次の操作を行います物理パスの要求および要求解除を管理します論理デバイスの作成登録および登録解除を管理します物理パスを論理デバイスに関連付けます論理デバイスへの I/O 要求を処理します要求にとって最適な物理パスを選択しますストレージデバイスによってはパスの障害や I/O コマンドの再試行を処理するのに必要となる特殊なアクションを実行します論理デバイスの中止やリセットなど管理タスクをサポートします VMware マルチパスモジュールデフォルトで ESX は NMP (Native Multipathing Plugin) と呼ばれる拡張可能なマルチパスモジュールを備えています通常 VMware NMP は VMware ストレージ HCL に示されているすべてのストレージアレイをサポートしアレイタイプに基づいてデフォルトのパス選択アルゴリズムを提供します NMP は一連の物理パスを特定のストレージデバイスすなわち LUN に関連付けます特定のストレージアレイに対するパスのフェイルオーバーの処理については SATP ( ストレージアレイタイププラグイン ) に具体的な詳細が委ねられます I/O 要求をストレージデバイスに発行するためにどの物理パスを使用するかの決定については具体的な詳細は PSP ( パス選択プラグイン ) によって処理されます SATP および PSP は NMP モジュール内のサブプラグインです 108 VMware, Inc.

109 第 9 章ストレージの管理 VMware SATP SATP (Storage Array Type Plugins) は VMware NMP と一緒に実行されアレイ固有の操作を行います ESX は当社がサポートするすべてのタイプのアレイに対して SATP を提供しますこの SATP には未指定のストレージアレイのアクティブ-アクティブ SATP およびアクティブ-パッシブ SATP や直接接続ストレージ用のローカル SATP などが含まれます各 SATP は特定のクラスのストレージアレイの特性に対応しておりパスの状態を検出し無効なパスを有効にするために必要なアレイ固有の操作を実行できますこのため NMP モジュールはストレージデバイスの特性を認識しなくても複数のストレージアレイと連携できます NMP が特定のストレージデバイスをどの SATP が必要としているかを判断しその SATP をストレージデバイスの物理パスに関連付けたあと SATP は次のようなタスクを実施します各物理パスの健全性を監視します各物理パスの状態の変化を報告しますストレージのフェイルオーバーに必要なアレイ固有のアクションを実行しますたとえばアクティブ-パッシブデバイスではパッシブパスを有効にできます VMware PSP PSP (Path Selection Plugin) は VMware NMP と一緒に実行され I/O 要求の物理パスの選択を行います各論理デバイスに対し VMware NMP はそのデバイスの物理パスに関連付けられた SATP に基づいてデフォルトの PSP を割り当てますデフォルトの PSP はオーバーライドできますデフォルトで VMware NMP は次の PSP をサポートします最近の使用 (MRU) 固定 ESX ホストが特定デバイスへのアクセスに最近使用したパスを選択しますこのパスが利用できなくなった場合ホストは代替パスに切り替えて新しいパスが利用可能な間はその使用を続行します構成されている場合指定の優先パスを使用します構成されていない場合システムの起動時に検出された機能している最初のパスを使用します優先パスを使用できない場合ホストは使用可能な代替パスをランダムに選択しますホストは優先パスが利用可能になると優先パスに自動的に戻ります注意 [ 固定 ] のパスポリシーを持つアクティブ - パッシブアレイの場合パスのスラッシングが問題になる可能性がありますラウンドロビン利用可能なすべてのパスを巡回しパス間のロードバランシングを有効にするパス選択アルゴリズムを使用します I/O の VMware NMP フロー仮想マシンが NMP によって管理されるストレージデバイスに I/O 要求を発行するとき次の処理が実行されます 1 NMP がこのストレージデバイスに割り当てられた PSP を呼び出します 2 PSP が I/O の発行先として最適な物理パスを選択します 3 I/O 操作に成功した場合 NMP がその完了を報告します 4 I/O 操作でエラーが報告された場合 NMP が適切な SATP を呼び出します 5 SATP が I/O コマンドエラーを解釈し無効なパスを適宜に有効にします 6 PSP が呼び出され I/O の発行先となる新しいパスを選択します VMware, Inc. 109

110 ローカルストレージおよびファイバチャネル SAN を使用したマルチパス単純なマルチパスローカルストレージトポロジでは 2 つの HBA を備えた ESX ホストを 1 台使用できます ESX ホストは 2 つのケーブルを介してデュアルポートのローカルストレージシステムに接続しますこの構成では ESX ホストとローカルストレージシステムの間のいずれかの接続要素で障害が発生した場合にフォールトトレランスが実現されます FC SAN でのパスの切り替えをサポートするために ESX ホストは通常使用できる HBA を複数備えており 1 つまたは複数のスイッチを使用してここからストレージアレイにアクセスできますまたは 1 台の HBA と 2 個のストレージプロセッサを設定し HBA が異なるパスを使用してディスクアレイにアクセスできるようにします図 9-2 では複数のパスで各サービスとストレージデバイスを接続していますたとえば HBA1 または HBA1 とスイッチ間のリンクに障害が発生するとサーバとスイッチ間の接続が HBA2 に引き継がれて実行されます別の HBA に引き継ぐプロセスは HBA フェイルオーバーと呼ばれます図 9-2. ファイバチャネルマルチパスホスト 1 ホスト 2 HBA2 HBA1 HBA3 HBA4 スイッチスイッチ SP1 SP2 ストレージアレイ同様に SP1 または SP1 とスイッチ間のリンクに障害が発生するとスイッチとストレージデバイスの接続が SP2 に引き継がれて実行されますこのプロセスは SP フェイルオーバーと呼ばれます ESX はマルチパス機能により HBA フェイルオーバーと SP フェイルオーバーをサポートします iscsi SAN を使用したマルチパス iscsi ストレージでは IP ネットワークが提供するマルチパスのサポートを利用できますまた ESX はハードウェアおよびソフトウェア両方の iscsi イニシエータについてホストベースのマルチパスをサポートしています ESX は IP ネットワークに組み込まれているマルチパスサポートを使用できますこれによりネットワークでルーティングが可能になります動的検出を使用して iscsi イニシエータはフェイルオーバー用に iscsi LUN へのマルチパスとして使用できるターゲットアドレスのリストを取得します ESX はホストベースのマルチパスもサポートしていますハードウェアの iscsi ではホストは複数のハードウェア SCSI アダプタを保持できそれらのアダプタを別々のパスとして使用してストレージシステムにアクセスできるようにします 110 VMware, Inc.

111 第 9 章ストレージの管理図 9-3 に示すようにホストには HBA1 と HBA2 の 2 つのハードウェア iscsi アダプタがありストレージシステムへの物理パスが 2 つ提供されますマルチパスプラグインは VMkernel NMP かサードパーティの MPP かにかかわらずデフォルトでパスにアクセスして各物理パスの健全性を監視できますたとえば HBA1 自体または HBA1 とネットワークとの間のリンクに障害が発生した場合マルチパスプラグインでパスを HBA2 に切り替えることができます図 9-3. ハードウェア iscsi とフェイルオーバー ESX/ESXi HBA2 HBA1 IP ネットワーク SP iscsi ストレージソフトウェア iscsi では図 9-4 に示すように複数の NIC を使用できホストとストレージシステムの間の iscsi 接続でのフェイルオーバー機能とロードバランシング機能を利用できますこの設定ではマルチパスプラグインはホストの物理 NIC に直接アクセスできないため最初に各物理 NIC を別々の VMkernel ポートに接続する必要がありますそのあとポートのバインド技術を使用してすべての VMkernel ポートとソフトウェア iscsi イニシエータを関連付けますその結果別個の NIC に接続された各 VMkernel ポートは別々のパスになり iscsi ストレージスタックと iscsi ストレージ対応のマルチパスプラグインで使用できるようになりますこの設定の詳細については iscsi SAN 構成ガイドを参照してください VMware, Inc. 111

112 図 9-4. ソフトウェア iscsi およびフェイルオーバー ESX/ESXi NIC2 ソフトウェアイニシエータ NIC1 IP ネットワーク SP iscsi ストレージパスのスキャンと要求 ESX ホストを起動またはストレージアダプタを再スキャンするとホストは利用可能なストレージデバイスへのすべての物理パスを検出します /etc/vmware/esx.conf ファイルに規定された要求ルールに基づきホストはどのマルチパスプラグイン (MPP) が特定のデバイスに対するパスの要求をしそのデバイスのマルチパス対応を管理すべきかを判断しますデフォルトではホストは 5 分おきに周期的なパス評価を行い要求を受けていないパスがあれば適切な MPP が要求するようにします要求ルールには番号がつけられています各物理パスに対しホストは最も小さい番号から要求ルールを調べていきます物理パスの属性が要求ルールのパス仕様と比較されます一致するとホストは要求ルールに指定された MPP を物理パスの管理に割り当てますこれはすべての物理パスが対応する MPP ( サードパーティまたはネイティブのマルチパスプラグイン (NMP)) により要求されるまで続けられます NMP モジュールにより管理されているパスについては別の要求ルールが適用されますこれらの要求ルールにより特定のアレイタイプからのパスの管理にどの SATP を使用し各ストレージデバイスに対しどの PSP を使用すべきかを判断しますたとえば EMC CLARiiON CX ストレージファミリのストレージデバイスの場合デフォルトの SATP は VMW_SATP_CX でデフォルトの PSP は最近の使用となりますホストが特定のストレージデバイスに対しどの SATP および PSP を使用しているのか表示するにはまた当該ストレージデバイスで利用可能なすべてのパスの状態を表示するには vsphere Client を使用しますデフォルトの VMware PSP は必要に応じて vsphere Client で変更できますデフォルトの SATP を変更するには vsphere CLI を使用して要求ルールを変更する必要があります PSA を管理するのに使用できるコマンドの詳細については vsphere Command-Line Interface Installation and Reference Guide を参照してください 112 VMware, Inc.

113 第 9 章ストレージの管理パス情報の表示 ESX ホストが特定のストレージデバイスにどの SATP および PSP を使用しているのかまた当該ストレージデバイスで利用可能なすべてのパスがどのような状態にあるのかを判断するには vsphere Client を使用しますデータストアビューおよびデバイスビューどちらからもパス情報にアクセスできますデータストアの場合そのデータストアが展開されているデバイスに接続するパスが表示されますパス情報にはデバイス管理用に割り当てられた SATP パス選択ポリシー (PSP) 各パスが使うアダプタやターゲットなどの物理特性を記載したパスのリストおよび各パスの状態が含まれます次のパス状態情報が表示されますアクティブ I/O を LUN に発行するのに使用できるパス現在データの転送に使用されている単一または複数の機能しているパスはアクティブ (I/O) とマークされます注意 ESX 3.5 以前を実行しているホストの場合アクティブという用語は I/O を LUN に発行するためにホストが使用している唯一のパスを示しますスタンバイ無効破損パスは動作中でありアクティブなパスに障害が発生した場合 I/O 用に使用できますパスが機能しておらずデータを転送できませんソフトウェアはこのパス経由でディスクに接続できません [ 固定 ] パスポリシーを使用している場合どのパスが優先パスであるかを確認できます優先パスには優先の列がアスタリスク (*) でマークされますデータストアパスの表示データストアが展開されているストレージデバイスに接続するパスを表示するには vsphere Client を使用します手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージ ] をクリックします 3 ビューの [ データストア ] をクリックします 4 構成されたデータストアのリストからパスを表示または構成するデータストアを選択します詳細パネルにデバイスのアクセスに使用されているパスの合計数とそのいずれかが故障または無効化されているかが表示されます 5 [ プロパティ ] - [ パスの管理 ] をクリックしてパスの管理ダイアログボックスを開きますパスの管理ダイアログボックスを使用するとパスの有効化または無効化マルチパスポリシーの設定および優先パスの指定ができますストレージデバイスパスの表示ホストが特定のストレージデバイスに対しどの SATP および PSP を使用しているのかまた当該ストレージデバイスで利用可能なすべてのパスの状態を表示するには vsphere Client を使用します手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージ ] をクリックします 3 ビューの [ デバイス ] をクリックします 4 [ パスの管理 ] をクリックするとパスの管理ダイアログボックスを開きます VMware, Inc. 113

114 パス選択ポリシーの設定各ストレージデバイスに対し ESX ホストは /etc/vmware/esx.conf ファイルに規定されている要求ルールに基づきパス選択ポリシーを設定しますデフォルトで次のパス選択ポリシーがサポートされますホストにサードパーティの PSP をインストールしている場合そのポリシーもリストに表示されます固定 (VMware) 最近の使用 (VMware) ラウンドロビン (VMware) ディスクへの優先パスを使用できる場合ホストは常にそのパスを使用しますホストが優先パスでディスクにアクセスできない場合代替パスが試されますアクティブ - アクティブのストレージデバイスのデフォルトポリシーは固定ですホストはパスが使用不可能にならないかぎりあるディスクへのパスを使用しますそのパスが使用不可能になった場合ホストは代替パスの 1 つを選択します元のパスが再び使用可能になってもホストは元のパスに戻りません MRU ポリシーでは優先パスの設定はありません MRU はアクティブ - パッシブストレージデバイスのデフォルトポリシーでこれらのデバイスでは必須ですホストは使用可能なすべてのパスを順に回る自動パス選択アルゴリズムを使用しますこれにより使用可能なすべての物理パス間でのロードバランシングが実現されますロードバランシングはサーバの I/O 要求を使用可能なすべてのパスに分散する処理です目的はスループットの観点からパフォーマンスを最適化することにあります (1 秒あたりの I/O 数 1 秒あたりのメガバイト数またはレスポンスタイム ) 表 9-1 にアレイのタイプおよびフェイルオーバーポリシーによってホストの動作がどのように変わるかをまとめています表 9-1. パスポリシーの影響ポリシー / コントローラアクティブ - アクティブアクティブ - パッシブ最近の使用固定パスに障害が発生したあとのフェイルバックにシステム管理者の操作が必要接続がリストアされたときに優先パスを使用して VMkernel がレジュームパスに障害が発生したあとのフェイルバックにシステム管理者の操作が必要優先パスを使用して VMkernel がレジュームを試行これにより別の SP が LUN を所有することになるためパスのスラッシングまたは障害が発生する可能性がありますラウンドロビンフェイルバックなしラウンドロビンスケジュールの次のパスが選択されるパス選択ポリシーの変更一般的にホストが特定のストレージデバイスに使用しているデフォルトのマルチパス設定を変更する必要はありませんただし変更する場合パスの管理ダイアログボックスを使用してパス選択ポリシーを変更し固定ポリシーで優先するパスを指定できます手順 1 データストアビューまたはデバイスビューからパスの管理ダイアログボックスを開きます 2 パス選択ポリシーを選択しますデフォルトで次のパス選択ポリシーがサポートされますホストにサードパーティの PSP をインストールしている場合そのポリシーもリストに表示されます [ 固定 (VMware)] [ 最近の使用 (VMware)] [ ラウンドロビン (VMware)] 114 VMware, Inc.

115 第 9 章ストレージの管理 3 固定ポリシーの場合優先パスとして割り当てるパスを右クリックして [ 優先 ] を選択します 4 [OK] をクリックして設定を保存しダイアログボックスを終了しますパスの無効化メンテナンスなどの目的で一時的にパスを無効にできますこれは vsphere Client を使用して実行できます手順 1 データストアビューまたはデバイスビューからパスの管理ダイアログボックスを開きます 2 パスパネルで無効にするパスを右クリックし [ 無効化 ] をクリックします 3 [OK] をクリックして設定を保存しダイアログボックスを終了しますアダプタのパスビューからもリスト内でパスを右クリックし [ 無効化 ] を選択することによりパスを無効化できますシンプロビジョニング仮想マシンを作成する場合にはデータストア上の一定量のストレージ領域が仮想ディスクファイルにプロビジョニングされます ( 割り当てられます ) デフォルトでは ESX は作成時に従来のストレージプロビジョニング方法を提示しこのときにライフサイクル全体において仮想マシンでどのくらいのストレージが必要かについて見積もり仮想ディスクに一定量のストレージ領域をプロビジョニングしてプロビジョニングした領域全体が仮想ディスクへコミットされるようにしますこのようにプロビジョニングされた領域全体をすぐに占有する仮想ディスクをシックディスクと呼びますシック形式の仮想ディスクを作成すると個々の仮想マシンに事前に割り当てられた大量のストレージ領域が使用されないまま残る可能性があるためデータストアの容量を十分に利用できないことがありますストレージ領域の過剰割り当てを防いでストレージを節約するために ESX はシンプロビジョニングをサポートしていますこれにより最初にストレージ領域を現在必要な分だけ使用しあとでストレージ領域で必要な量を追加できます ESX のシンプロビジョニング機能を使用するとシンフォーマットの仮想ディスクを作成できますシン仮想ディスクでは ESX はディスクの現行および将来的なアクティビティで必要な領域全体をプロビジョニングしますがディスクで初期操作に必要な分のストレージ領域のみをコミットします仮想ディスクフォーマットについて仮想ディスクの作成テンプレートへの仮想マシンのクローン作成仮想マシンの移行など仮想マシンの特定の管理操作を実行するとき仮想ディスクファイルのフォーマットを指定できます次のディスクフォーマットがサポートされていますディスクが NFS データストア上にある場合ディスクフォーマットは指定できません NFS サーバがディスクの割り当てポリシーを定義しますシンプロビジョニングフォーマットこのフォーマットを使用してストレージ容量を節約しますシンディスクの場合入力したディスクサイズの値に応じてディスクに必要な容量と同じデータストア容量をプロビジョニングしますただしシンディスクは最初は小さく初期動作に実際に必要なデータストア容量のみを使用します注意仮想ディスクがフォールトトレランスなどのクラスタソリューションをサポートしている場合シンディスクは作成できませんあとでシンディスクでさらに多くの容量が必要になるとその最大容量まで拡張しプロビジョニングされたデータストア容量全体を占有できますまたシンディスクは手動でシックに変換することもできますシックフォーマットこれはデフォルトの仮想ディスクフォーマットですシック仮想ディスクはサイズが変化することなくプロビジョニングされたデータストア容量全体を最初から占有しますシックフォーマットは割り当てられた領域のブロックをゼロクリアしませんシックディスクをシンディスクに変換することはできません VMware, Inc. 115

116 シンプロビジョニング仮想ディスクの作成ストレージ容量を節約する必要がある場合シンプロビジョニングフォーマットの仮想ディスクを作成できますシンプロビジョニング仮想ディスクは最初は小さく必要なディスク容量が増加するにつれて拡大しますこの手順では新規仮想マシンウィザードを使用して一般的な仮想マシンまたはカスタム仮想マシンを作成することを前提としています開始する前にシンディスクはシンプロビジョニングに対応したデータストアのみに作成できますディスクが NFS データストアに配置されている場合 NFS サーバがそのディスクの割り当てポリシーを決定するためディスクフォーマットを指定できません手順 u ディスクの作成ダイアログボックスで [ 領域をオンデマンドで割り当ておよびコミット ( シンプロビジョニング )] を選択しますシンフォーマットの仮想ディスクが作成されますシンプロビジョニングオプションを選択しなかった場合仮想ディスクはデフォルトのシックフォーマットになります次に進む前にシンフォーマットの仮想ディスクを作成した場合はあとでフルサイズまで拡張できます仮想マシンストレージリソースの表示仮想マシン用に割り当てられているデータストアのストレージ容量を表示できます手順 1 インベントリ内の仮想マシンを選択します 2 [ サマリ ] タブをクリックします 3 リソースセクションの領域割り当て情報を確認しますプロビジョニングしたストレージ : 仮想マシンに確保されているデータストア領域を示しますシンプロビジョニングフォーマットのディスクがある場合は仮想マシンが領域全体を使用していない場合があります未使用の領域はほかの仮想マシンが占有できます共有していないストレージ : 1 台の仮想マシンによって占有されほかの仮想マシンとは共有していないデータストア容量使用済みストレージ : 構成ファイルログファイルスナップショット仮想ディスクなどの仮想マシンファイルが実際に占有しているデータストア領域を示します仮想マシンが実行中の場合は使用済みストレージ領域にはスワップファイルも含まれます仮想マシンのディスクフォーマットの判別仮想マシンがシックフォーマットまたはシンフォーマットのいずれであるかを調べることができます手順 1 インベントリ内の仮想マシンを選択します 2 [ 設定の編集 ] をクリックすると仮想マシンのプロパティダイアログボックスが表示されます 116 VMware, Inc.

117 第 9 章ストレージの管理 3 [ ハードウェア ] タブをクリックしハードウェアリストで該当するハードディスクを選択します右側のディスクプロビジョニングセクションに仮想ディスクのタイプがシンとシックのどちらなのかが表示されます 4 [OK] をクリックします次に進む前に仮想マシンがシンフォーマットの場合はフルサイズまで拡張できますシンからシックへの仮想ディスクの変換シンフォーマットで仮想ディスクを作成した場合はそれをシックに変換できます手順 1 インベントリ内の仮想マシンを選択します 2 [ サマリ ] タブをクリックしリソースで仮想マシンのデータストアをダブルクリックしてデータストアブラウザダイアログボックスを表示します 3 仮想マシンフォルダをクリックし変換する仮想ディスクファイルを探しますファイルには.vmdk という拡張子が付いています 4 仮想ディスクファイルを右クリックし [ 拡張 ] を選択しますシックフォーマットの仮想ディスクは最初にプロビジョニングされたデータストア容量全体を使用しますデータストアのオーバーサブスクリプションの処理シンディスクに対してプロビジョニングされる領域はコミット領域よりも多いことがあるためデータストアのオーバーサブスクリプションが発生することがありますこのためデータストア上の仮想マシンディスクに対してプロビジョニングされた容量の合計が実際の容量よりも多くなるという結果になります通常シンディスクを備えているすべての仮想マシンがプロビジョニングされたデータストア全体の領域を同時に必要とするわけではないためオーバーサブスクリプションが可能な場合がありますただしデータストアのオーバーサブスクリプションが発生しないようにするにはプロビジョニングした領域が特定のしきい値に達した場合にユーザーにアラームを通知するよう設定できますアラームの設定については基本システム管理を参照してください仮想マシンに追加の領域が必要な場合は先着順にデータストア領域が割り当てられますデータストアの領域が不足している場合物理ストレージを追加してデータストアを増やすことができます VMFS データストアの増加 (P. 104) を参照してください VMware, Inc. 117

118 118 VMware, Inc.

119 RAW デバイスマッピング 10 RAW デバイスマッピング (RDM) を使用すると仮想マシンから物理ストレージサブシステム ( ファイバチャネルまたは iscsi のみ ) 上の LUN に直接アクセスできるようになります次のトピックには RDM に関する情報が含まれていますまた RDM を作成および管理する方法についても記載されていますこの章では次のトピックについて説明します RAW デバイスマッピングについて (P. 119) RAW デバイスマッピングの特性 (P. 122) マッピング済み LUN の管理 (P. 126) RAW デバイスマッピングについて RDM とは RAW 物理デバイス ( 仮想マシンが直接使用する SCSI デバイス ) のプロキシとして機能する分離された VMFS ボリューム内のマッピングファイルです RDM には物理デバイスへのディスクアクセスを管理およびリダイレクトするためのメタデータが格納されていますこのファイルを使用すると VMFS 内の仮想ディスクを利用することができると同時に物理デバイスに直接アクセスできますしたがってこのファイルによって VMFS の管理性と RAW デバイスアクセスとが結合されます RDM は RAW デバイスのデータストアへのマッピングシステム LUN のマッピングディスクファイルの物理ディスクボリュームへのマッピングなどの言葉で表すことができますこれらの言葉はすべて RDM を表しています図 RAW デバイスマッピング仮想マシン開く読み取り書き込み VMFS ボリュームマッピングファイルアドレス解決マッピングされたデバイスほとんどの場合仮想ディスクのストレージには VMFS データストアを使用することをお勧めしますがある特定の状況においては RAW LUN (SAN 内にある論理ディスク ) を使用する必要があります VMware, Inc. 119

120 たとえば次の場合に RDM で RAW LUN を使用する必要があります SAN スナップショットまたはその他のレイヤーアプリケーションを仮想マシンで実行している場合 RDM は SAN 固有の機能を使用することによって拡張性の高いバックアップ負荷軽減システムを実現します仮想クラスタから仮想クラスタおよび物理クラスタから仮想クラスタに物理ホストを展開する MSCS クラスタリングの場合この場合クラスタデータおよびクォーラムディスクは共有 VMFS のファイルではなく RDM として構成する必要があります RDM は VMFS ボリュームから RAW LUN へのシンボルリンクとして考えますマッピングにより LUN は VMFS ボリューム内のファイルして認識されるようになります RAW LUN ではない RDM は仮想マシン構成で参照されます RDM には RAW LUN への参照が含まれています RDM を使用すると次の処理を実行できます VMotion を使用して RAW LUN で仮想マシンを移行する vsphere Client を使用して RAW LUN を仮想マシンに追加する分散ファイルロック許可ネーミングなどのファイルシステム機能を使用する RDM で次の 2 つの互換モードを使用できます仮想互換モードではスナップショットの使用など仮想ディスクファイルと同様に RDM が機能します物理互換モードでは低レベル制御が必要なアプリケーションで SCSI デバイスの直接アクセスが可能です RAW デバイスマッピングのメリット RDM には多くのメリットがありますがすべての状況に該当するわけではありません通常仮想ディスクファイルは管理性の面で RDM よりも優れていますただし RAW デバイスが必要な場合 RDM を使用する必要があります RDM にはいくつかのメリットがありますわかりやすく永続的な名前マッピング済みのデバイスにわかりやすい名前を提供します RDM を使用する場合デバイスをそのデバイス名で示す必要はありません参照するにはマッピングファイルの名前を使用します次に例を示します /vmfs/volumes/myvolume/myvmdirectory/myrawdisk.vmdk 動的名前解決マッピング済みの各デバイスの一意の ID 情報を保存します VMFS はアダプタハードウェアの変更パスの変更デバイスの移動などによりサーバの物理構成に変更が発生しても現在の SCSI デバイスと各 RDM を関連付けます分散ファイルロックファイル権限ファイルシステムの操作スナップショット VMotion RAW SCSI デバイスの VMFS 分散ロックを使用できます RDM で分散ロックを使用することにより別のサーバにある 2 個の仮想マシンが同じ LUN にアクセスしようとしてもデータを消失することなく共有の RAW LUN を安全に使用できますファイル権限を使用できますマッピングファイルの権限はマッピング済みのボリュームを保護するためファイルを開くときに使用されますマッピングファイルをプロキシとして使用してマッピング済みのボリュームでファイルシステムユーティリティを使用できます通常のファイルに有効なほとんどの操作はマッピングファイルに適用できマッピング済みのデバイスで機能するようにリダイレクトされますマッピング済みのボリュームで仮想マシンのスナップショットを使用できます RDM が物理互換モードで使用されている場合スナップショットは使用できません VMotion を使用して仮想マシンの移行ができますマッピングファイルはプロキシとして機能し仮想ディスクファイルの移行と同じメカニズムを使用することで vcenter Server が仮想マシンを移行できるようにします 120 VMware, Inc.

121 第 10 章 RAW デバイスマッピング図 RAW デバイスマッピングを使用した仮想マシンの VMotion ホスト 1 ホスト 2 VM1 VMotion VM2 VMFS ボリュームマッピングファイルアドレス解決マッピングされたデバイス SAN 管理エージェント N-Port ID 仮想化 (NPIV) 仮想マシン内で一部の SAN 管理エージェントを実行できます同様にハードウェア固有の SCSI コマンドを使用することによりデバイスにアクセスする必要があるソフトウェアも仮想マシン内で実行できますこのようなソフトウェアは SCSI ターゲットベースソフトウェアと呼ばれます SAN 管理エージェントを使用する場合 RDM で物理互換モードを選択します複数の Worldwide ポート名 (WWPN) を使用して 1 つのファイバチャネル HBA ポートをファイバチャネルファブリックに登録できる NPIV テクノロジーを使用できますこれによって HBA ポートはそれぞれが独自の ID と仮想ポート名を持つ複数の仮想ポートとして表示されます仮想マシンは各仮想ポートを要求しすべての RDM トラフィックに使用できます注意 NPIV は RDM ディスクを使用している仮想マシンにのみ使用できます当社ではストレージ管理ソフトウェアのベンダーと協力して ESX を含む環境でのソフトウェアの正常な動作を実現していますこのようなアプリケーションのいくつかを次に示します SAN 管理ソフトウェアストレージリソース管理 (SRM) ソフトウェアスナップショットソフトウェアレプリケーションソフトウェアこのようなソフトウェアでは SCSI デバイスに直接アクセスできるように RDM で物理互換モードを使用しますさまざまな管理製品が (ESX マシン上でなく ) 統合されて最適な状態で実行される一方別の製品はサービスコンソール上や仮想マシン上で最適に実行されます当社ではこのようなアプリケーションについては保証せず互換性マトリックスを提供していません SAN 管理アプリケーションが ESX 環境でサポートされているかどうかを確認するには SAN 管理ソフトウェアプロバイダにお問い合わせください VMware, Inc. 121

122 RAW デバイスマッピングの制限 RDM を使用する場合にはいくつかの制限がありますブロックデバイスまたは特定の RAID デバイスでは使用不可 : RDM は SCSI シリアル番号を使用してマッピング済みのデバイスを識別しますブロックデバイスおよび一部の直接接続 RAID デバイスはシリアル番号をエクスポートしないのでこのようなデバイスは RDM を使用できません VMFS-2 および VMFS-3 ボリュームのみで使用可能 : RDM では VMFS-2 または VMFS-3 フォーマットが必要です ESX では VMFS-2 ファイルシステムは読み取り専用です VMFS-2 で保存したファイルを使用するには VMFS-3 にアップグレードします物理互換モードではスナップショットは使用不可 : RDM を物理互換モードで使用する場合ディスクでスナップショットは使用できません物理互換モードでは仮想マシンで独自のスナップショットまたはミラーリング処理を管理できますスナップショットは仮想モードで使用できますパーティションマッピングのサポートなし : RDM ではマッピング済みのデバイスは LUN 全体である必要がありますパーティションへのマッピングはサポートされていません RAW デバイスマッピングの特性 RDM はマッピング済みのデバイスのメタデータを管理する VMFS ボリュームに含まれる特別なマッピングファイルですマッピングファイルは通常のファイルシステムの操作に使用できる通常のディスクファイルとして管理ソフトウェアに提供されます仮想マシンにはストレージ仮想化レイヤーによりマッピング済みのデバイスが仮想 SCSI デバイスとして提供されますマッピングファイルのメタデータの主な内容にはマッピング済みのデバイスの場所 ( 名前解決 ) およびマッピング済みのデバイスのロック状態権限などが含まれます RDM の仮想および物理互換モード RDM は仮想互換モードまたは物理互換モードで使用できます仮想モードはマッピング済みのデバイスの完全な仮想化を指定します物理モードはマッピング済みのデバイスの最小 SCSI 仮想化を指定して SAN 管理ソフトウェアの柔軟性を最大にします仮想モードではマッピング済みのデバイスが VMFS ボリュームの仮想ディスクファイルと完全に同様にゲスト OS には見えます実際のハードウェア特性は表示されません RAW ディスクを仮想モードで使用している場合データを保護する詳細ファイルロックや開発プロセスを簡単にするスナップショットなどの VMFS のメリットを利用できますまた仮想モードはストレージハードウェアでは物理モードに比べてよりポータブルなため仮想ディスクファイルとも同じ動作を行います物理モードでは VMkernel がすべての SCSI コマンドをデバイスに渡しますただし例外が 1 つあります REPORT LUN コマンドは VMkernel が所有する仮想マシンの LUN を隔離できるように仮想化されます仮想化されない場合基本となるハードウェアのすべての物理特性が公開されます物理モードは SAN 管理エージェントまたはほかの SCSI ターゲットベースソフトウェアを仮想マシンで実行するときに便利ですまた物理モードではコスト効率および高可用性を目的に仮想から物理へのクラスタリングが可能になります 122 VMware, Inc.

123 第 10 章 RAW デバイスマッピング図仮想および物理互換モード仮想マシン 1 仮想化仮想モード VMFS マッピングファイル VMFS ボリュームマッピングされたデバイス仮想マシン 1 仮想化物理モード VMFS マッピングファイル VMFS ボリュームマッピングされたデバイス動的名前解決 RDM では /vmfs サブツリー内のマッピングファイルの名前を参照することによって永続的な名前をデバイスに提供できます図 10-4 の例は 3 つの LUN を示しています LUN1 は最初の可視 LUN に相対的なデバイス名でアクセスされます LUN2 は LUN3 の RDM で管理されるマッピング済みのデバイスです RDM は /vmfs サブツリーの固定パス名でアクセスされます VMware, Inc. 123

124 図名前解決の例ホスト仮想マシン 1 scsi0:0.name = vmhba0:0:1:0:mydiskdir /mydiskname.vmdk 仮想マシン 2 scsi0:0.name = mymapfile HBA 0 HBA 1 (vmhba0:0:1:0) (vmhba1:0:1:0) (/vmfs/volumes/myvolume /myvmdirectory/mymapfile) LUN 3 マッピングファイル LUN 1 VMFS vmhba0:0:3:0 LUN 2 vmhba0:0:1:0 マッピングされたデバイス vmhba0:0:2:0 マッピングされた LUN はすべて VMFS で一意に識別されます ID はその内部データ構造に保存されますファイバチャネルスイッチ障害や新しいホストバスアダプタの追加など SCSI パスが変更されるとデバイス名も変わる可能性があります動的名前解決はデータ構造を調整して LUN のターゲットを新しいデバイス名に変更することでこれらの変更を補正します 124 VMware, Inc.

125 第 10 章 RAW デバイスマッピング仮想マシンクラスタでの RAW デバイスマッピングフェイルオーバーが生じた場合に同一の RAW LUN にアクセスする必要がある仮想マシンクラスタで RDM を使用します設定は同一の仮想ディスクファイルにアクセスする仮想マシンクラスタの場合と似ていますが RDM では仮想ディスクファイルを置き換えます図クラスタリングされた仮想マシンからのアクセスホスト 3 ホスト 4 VM3 VM4 共有アクセスマッピングファイル VMFS ボリュームアドレス解決マッピングされたデバイス利用可能な SCSI デバイスアクセスモードの比較 SCSI ベースのストレージデバイスにアクセスする方法として VMFS データストアの仮想ディスクファイル仮想モード RDM および物理モード RDM があります SCSI デバイスで使用できるアクセスモードから選択するときの参考にそれぞれのモードで使用できる機能の簡単な比較を表 10-1 に示します表仮想ディスクおよび RAW デバイスマッピングで使用できる機能 ESX の機能仮想ディスクファイル仮想モード RDM 物理モード RDM パススルー SCSI コマンド不可不可可 vcenter Server のサポート可可可スナップショット可可不可分散ロック可可可 REPORT LUN はパススルーされませんクラスタリング筐体内クラスタのみ筐体内クラスタおよび筐体間クラスタ物理と仮想間のクラスタリング SCSI ターゲットベースソフトウェア不可不可可筐体内クラスタタイプのクラスタリングには仮想ディスクファイルを使用することをお勧めします筐体内クラスタを筐体間クラスタとして再構成する計画がある場合は筐体内クラスタに仮想モードの RDM を使用します VMware, Inc. 125

126 マッピング済み LUN の管理 vsphere Client を使用して SAN LUN をデータストアにマッピングしマッピングした LUN へのパスを管理できますマッピングした LUN およびその RDM の管理に使用できる別のツールには vsphere CLI で使用する vmkfstools ユーティリティおよびその他のコマンドがあります vmkfstools ユーティリティを使用すると vsphere Client から実行可能な操作と同じ操作の多くを実行できます一般的なファイルシステムコマンドをサービスコンソールで使用することもできます RDM を使用する仮想マシンの作成仮想マシンが RAW SAN LUN に直接アクセスできるようにするには VMFS データストアに常駐するマッピングファイル (RDM) を作成し LUN を参照するようにしますマッピングファイルの拡張子は通常の仮想ディスクファイルと同じ.vmdk ですが RDM ファイルにはマッピング情報だけが含まれています実際の仮想ディスクデータは LUN に直接格納されます RDM は新規仮想マシンの初期ディスクとして作成したり既存の仮想マシンに追加したりすることができます RDM を作成するときにマッピングする LUN および RDM を保存するデータストアを指定します手順 1 カスタム仮想マシンの作成に必要な手順すべてを実行します 2 ディスクの選択ページで [RAW デバイスのマッピング ] を選択し [ 次へ ] をクリックします 3 SAN ディスクまたは LUN のリストから仮想マシンが直接アクセスする RAW LUN を選択します 4 RDM マッピングファイルのデータストアを選択します RDM ファイルは仮想マシンの構成ファイルと同じデータストアまたは異なるデータストアに配置できます注意 NPIV を有効にした仮想マシンで VMotion を使用するには仮想マシンの RDM ファイルが同じデータストアにあることを確認してください NPIV が有効になっている場合データストア間で Storage VMotion または VMotion を実行することはできません 5 互換モードを選択しますオプション物理仮想説明ゲスト OS がハードウェアに直接アクセスできるようにします物理互換モードは仮想マシンで SAN 認識アプリケーションを使用している場合に便利ですただし物理互換の RDM を使用する仮想マシンはクローン作成したりテンプレートに変換したりディスクのコピーを伴うような移行を行なったりすることはできません RDM を仮想ディスクのように機能させることができるためスナップショット作成やクローン作成などの機能を使用できます 6 仮想デバイスノードを選択します 7 独立モードを選択した場合次のいずれかのオプションを選択しますオプション通常読み取り専用説明ディスクへの変更はその場で恒久的にディスクに書き込まれますパワーオフしたりスナップショットまで戻ったりするとディスクへの変更内容が破棄されます 8 [ 次へ ] をクリックします 9 新規仮想マシンの設定が完了しましたページで選択内容を確認します 10 [ 終了 ] をクリックして仮想マシンの設定を完了します 126 VMware, Inc.

127 第 10 章 RAW デバイスマッピングマッピング済み RAW LUN のパス管理マッピング済みの RAW LUN のパスを管理できます手順 1 システム管理者またはマッピング済みディスクが属する仮想マシンの所有者としてログインします 2 インベントリパネルで仮想マシンを選択します 3 [ サマリ ] タブの [ 設定の編集 ] をクリックします 4 [ ハードウェア ] タブで [ ハードディスク ] を選択して [ パスの管理 ] をクリックします 5 パスの管理ダイアログボックスを使用してパスの有効化または無効化マルチパスポリシーの設定および優先パスの指定を行いますパスの管理については ESX でのマルチパスの使用 (P. 107) を参照してください VMware, Inc. 127

128 128 VMware, Inc.

129 セキュリティ VMware, Inc. 129

130 130 VMware, Inc.

131 ESX システムのセキュリティ 11 ESX は強力なセキュリティに重点をおいて開発されました ESX 環境におけるセキュリティおよびセキュリティの観点からのアドレスシステムアーキテクチャが実現されていますこの章では次のトピックについて説明します ESX アーキテクチャおよびセキュリティ機能 (P. 131) セキュリティリソースおよび情報 (P. 138) ESX アーキテクチャおよびセキュリティ機能 ESX のコンポーネントと全体のアーキテクチャは ESX システム全体のセキュリティを確保するよう設計されていますセキュリティの観点から ESX は仮想化レイヤー仮想マシンサービスコンソールおよび仮想ネットワークレイヤーの 4 つの主要なコンポーネントで構成されています図 11-1 はこれらのコンポーネントの概要を示しています図 ESX アーキテクチャ ESX 仮想マシン仮想マシン仮想マシン仮想マシンサービスコンソール VMware 仮想化レイヤー (VMkernel) 仮想ネットワークレイヤー CPU メモリハードウェアネットワークストレージアダプタ VMware, Inc. 131

132 セキュリティおよび仮想化レイヤー仮想化レイヤー (VMkernel) は仮想マシンの実行を目的に当社が設計したカーネルですこれはホストが使用するハードウェアを制御し仮想マシンでのハードウェアリソースの割り当てをスケジュール設定します VMkernel は仮想マシンのサポートを専用としていてほかの目的では使用されないので VMkernel のインターフェイスは仮想マシンの管理に必要な API に厳密に制限されます ESX は次の機能により VMkernel の保護を強化していますメモリのセキュリティ強化機能カーネルモジュールの整合性 ESX のカーネルユーザーモードアプリケーションおよび実行可能なコンポーネント ( ドライバやライブラリなど ) は予測不可能なメモリアドレスにランダムに配置されますマイクロプロセッサで予測不可能なメモリによる保護を使用できるようになると強力な保護が実現され悪質なコードがメモリを利用して脆弱性につけ込むことが難しくなります VMkernel がモジュールドライバおよびアプリケーションをロードした場合デジタル署名によりこれらの整合性および認証が保証されますモジュール署名により ESX はモジュールドライバまたはアプリケーションを識別しこれらが当社で認証されているかどうかを識別しますセキュリティおよび仮想マシン仮想マシンはアプリケーションやゲスト OS が実行するコンテナです設計上すべての VMware 仮想マシンはそれぞれ隔離されていますこの隔離により複数の仮想マシンがハードウェアを共有しながら安全に実行できパフォーマンスに影響することなくハードウェアにアクセスできます仮想マシンのゲスト OS でシステム管理者権限を持つユーザーでも ESX システム管理者により明示的に権限が付与されていないかぎりこの隔離レイヤーに違反して別の仮想マシンにアクセスすることはできません仮想マシンが隔離されていると仮想マシンで実行するゲスト OS で障害が発生した場合でも同じホストのほかの仮想マシンは継続して動作しますゲスト OS で障害が発生しても次のことには影響しませんユーザーがほかの仮想マシンにアクセスする機能作動している仮想マシンが必要なリソースにアクセスする機能ほかの仮想マシンのパフォーマンス仮想マシンは同じハードウェアで実行しているほかの仮想マシンとは隔離されています仮想マシンは CPU メモリ I/O デバイスなどの物理的なリソースを共有しますが図 11-2 に示すように個々の仮想マシンのゲスト OS は利用可能な仮想デバイス以外のデバイスを検出できません図仮想マシンの隔離仮想マシン App App App App App オペレーティングシステム仮想マシンのリソース CPU メモリディスクネットワークとビデオカード SCSI コントローラマウス CD/DVD キーボード 132 VMware, Inc.

133 第 11 章 ESX システムのセキュリティ VMkernel は物理リソースを仲介しすべての物理ハードウェアのアクセスは VMkernel を介して行われるため仮想マシンはこの隔離レベルを回避できません物理マシンがネットワークカードを介してネットワークのほかのマシンと通信するように仮想マシンは仮想スイッチを介して同じホストで実行するほかの仮想マシンと通信しますさらに仮想マシンは図 11-3 に示すように物理ネットワークアダプタを介してほかの ESX ホスト上の仮想マシンを含む物理ネットワークと通信します図仮想スイッチを介した仮想ネットワーク ESX 仮想マシン仮想マシン仮想ネットワークアダプタ仮想ネットワークアダプタ VMkernel 仮想ネットワークレイヤー仮想スイッチによる仮想マシンの相互リンク物理ネットワークハードウェアネットワークアダプタによる仮想マシンから物理ネットワークへのリンク次の特性はネットワークコンテキストで隔離されている仮想マシンに適用されます仮想マシンがほかの仮想マシンと仮想スイッチを共有しない場合ホスト内の仮想ネットワークから完全に隔離される物理ネットワークアダプタが仮想マシンに構成されていない場合仮想マシンは物理ネットワークから完全に隔離される同じセーフガード ( ファイアウォールアンチウイルスソフトウェアなど ) を使用して物理マシンのようにネットワークから仮想マシンを保護する場合仮想マシンのセキュリティは物理マシンのセキュリティと同レベルになるリソース予約と制限をホストで設定することで仮想マシンをさらに保護できますたとえば ESX で使用できる詳細なリソース制御を介して仮想マシンがホストの CPU リソースの少なくとも 10 パーセントを使用してもその使用量が 20 パーセントを超えないように仮想マシンを構成できますリソース予約および制限は別の仮想マシンが共有ハードウェアのリソースを大量に消費した場合に生じるような仮想マシンのパフォーマンス低下が発生しないようにしますたとえばホストのいずれかの仮想マシンがサービス拒否 (DoS) 攻撃により機能できなくなってもそのマシンのリソース制限によりほかの仮想マシンに影響を及ぼすほどのハードウェアリソースを使用する攻撃を防ぐことができます同様に各仮想マシンのリソース予約により DoS 攻撃のターゲットにされた仮想マシンに多くのリソースが要求された場合でもほかのすべての仮想マシンは十分なリソースを使用できますデフォルトでは ESX はリソースの一定割合をその他のシステムコンポーネントで使用するように確保しながら使用可能なホストリソースを仮想マシンに均等に配分する分散アルゴリズムを適用してリソース予約の形式を割り当てますこのデフォルト動作により DoS および分散型サービス拒否 (DDoS) 攻撃からある程度は自然に保護されますリソース予約および制限を個別に設定するとデフォルトの動作をカスタマイズできるので仮想マシンの構成全体で均等配分しないように設定できます VMware, Inc. 133

134 セキュリティおよび仮想ネットワークレイヤー仮想ネットワークレイヤーには仮想ネットワークアダプタおよび仮想スイッチが含まれます ESX は仮想ネットワークレイヤーに依存し仮想マシンとそのユーザー間の通信をサポートしますまたホストは仮想ネットワークレイヤーを使用して iscsi SAN NAS ストレージなどと通信します仮想マシンネットワークのセキュリティを強化するのに使用する方法はインストールされているゲスト OS の種類仮想マシンを信頼できる環境で操作するかどうかまたその他のさまざまな要因によって異なります仮想スイッチはファイアウォールのインストールなどのほかの一般的なセキュリティ機能と一緒に使用すると十分な防御を提供します ESX は IEEE 802.1q VLAN もサポートしていますこれは仮想マシンネットワークサービスコンソールまたはストレージ構成をさらに保護するときに使用できます VLAN では物理ネットワークをセグメント化し同じ物理ネットワーク上の 2 台のマシンが同じ VLAN 上にないかぎり相互にパケットを送受信できないようにできます単一の ESX ホストでのネットワーク DMZ の作成 ESX の隔離機能および仮想ネットワークの機能を使用して安全な環境を構成する 1 つの方法として単一ホスト上にネットワーク非武装地帯 (DMZ) を作成するという例があります図 11-4 に構成を示します図単一の ESX ホストに構成された DMZ ESX 仮想マシン 1 仮想マシン 2 仮想マシン 3 仮想マシン 4 ファイアウォールサーバ Web サーバアプリケーションサーバファイアウォールサーバ仮想スイッチ 1 仮想スイッチ 2 仮想スイッチ 3 外部ネットワークハードウェアネットワークアダプタ 1 ハードウェアネットワークアダプタ 2 内部ネットワークこの例では仮想スイッチ 2 に仮想 DMZ を作成するよう 4 台の仮想マシンが構成されています仮想マシン 1 および仮想マシン 4 はファイアウォールを実行し仮想スイッチを介して仮想アダプタに接続されていますこれら両方の仮想マシンはマルチホーム接続されています仮想マシン 2 は Web サーバを実行し仮想マシン 3 はアプリケーションサーバとして動作していますこれら両方の仮想マシンはシングルホーム接続されています Web サーバおよびアプリケーションサーバは 2 つのファイアウォール間の DMZ に置かれていますこれらの要素間のルートはファイアウォールとサーバを接続する仮想スイッチ 2 ですこのスイッチは DMZ 外の要素とは直接接続されていないので 2 つのファイアウォールによって外部トラフィックから隔離されています操作の観点からインターネットからの外部トラフィックはハードウェアネットワークアダプタ 1 ( 仮想スイッチ 1 を経由 ) を介して仮想マシン 1 に入りこのマシン上にインストールされているファイアウォールによって検査されますファイアウォールがトラフィックを許可すると DMZ 内の仮想スイッチ ( 仮想スイッチ 2) を経由します Web サーバおよびアプリケーションサーバもこのスイッチに接続されているため外部要求に対応できます 134 VMware, Inc.

135 第 11 章 ESX システムのセキュリティ仮想スイッチ 2 も仮想マシン 4 に接続されていますこの仮想マシンは DMZ と企業の内部ネットワーク間にファイアウォールを提供しますこのファイアウォールは Web サーバおよびアプリケーションサーバからのパケットをフィルタリングしますパケットが検証されると仮想スイッチ 3 を介してハードウェアネットワークアダプタ 2 に送信されますハードウェアネットワークアダプタ 2 は企業の内部ネットワークに接続されています単一のホストに DMZ を作成する場合には非常に軽量のファイアウォールを使用できますこの構成の仮想マシンは別の仮想マシンを直接制御したりそのメモリにアクセスしたりできませんがすべての仮想マシンが仮想ネットワークを介して接続されていますこのネットワークはウイルスの伝播に使用されたりほかの脅威のターゲットにされる可能性があります DMZ の仮想マシンのセキュリティは同じネットワークに接続された個別の物理マシンと同程度です単一の ESX ホスト内での複数ネットワークの作成 ESX システムでは同一のホスト上である仮想マシングループを内部ネットワークに接続する一方で別のグループを外部ネットワークに接続しさらにその他のグループを両方に接続するといったことができるよう設計されていますこれは仮想マシンの隔離という基本に仮想ネットワークの計画と使用を加えた機能です図単一の ESX ホストに構成された外部ネットワーク内部ネットワークおよび DMZ ESX 外部ネットワーク内部ネットワーク VM 2 DMZ 内部ユーザー VM 3 VM 6 内部ユーザー VM 4 ファイアウォールサーバ VM 7 VM 1 内部ユーザー VM 5 Web サーバ VM 8 FTP サーバ内部ユーザーファイアウォールサーバ物理ネットワークアダプタ外部ネットワーク 1 内部ネットワーク 2 外部ネットワーク 2 内部ネットワーク 1 図 11-5 でシステム管理者が FTP サーバ内部仮想マシン DMZ という 3 つの異なる仮想マシンのゾーンにホストを構成しました各ゾーンのサーバには固有の機能があります FTP サーバ仮想マシン 1 は FTP ソフトウェアで構成されベンダーによりローカライズされたフォームやコラテラルなど外部リソースとの間で送受信されるデータの保存エリアとして機能します VMware, Inc. 135

136 この仮想マシンは外部ネットワークのみと関連付けられていますこのマシンには外部ネットワーク 1 に接続する独自の仮想スイッチおよび物理ネットワークアダプタがありますこのネットワークは企業が外部リソースからデータを受信するときに使用するサーバ専用のネットワークですたとえば企業が外部ネットワーク 1 を使用してベンダーから FTP トラフィックを受信し FTP を介して外部で使用可能なサーバに保存されているデータにベンダーがアクセスできるようにします仮想マシン 1 にサービスを提供するほか外部ネットワーク 1 はサイト中の異なる ESX ホストで構成されている FTP サーバにサービスを提供します仮想マシン 1 は仮想スイッチまたは物理ネットワークアダプタをホスト内のどの仮想マシンとも共有しないのでほかの常駐の仮想マシンは仮想マシン 1 のネットワークに対してパケットを送受信できませんこの制限により被害者への送信ネットワークトラフィックが必要なスニフィング攻撃を防ぎますさらに重要なことに攻撃者はホストのほかの仮想マシンにアクセスするために FTP の持つ脆弱性を使用できなくなります内部仮想マシン仮想マシン 2 ~ 5 は内部での使用のために予約されていますこれらの仮想マシンは医療記録訴訟和解金詐欺行為調査などの企業のプライベートデータを処理および保存しますそのためシステム管理者はこれらの仮想マシンの保護レベルを最高にする必要がありますこれらの仮想マシンは独自の仮想スイッチおよびネットワークアダプタを介して内部ネットワーク 2 に接続します内部ネットワーク 2 はクレーム処理企業内弁護士調停人など人事課による内部使用のために予約されています仮想マシン 2 ~ 5 は仮想スイッチを介して相互に通信したり物理ネットワークアダプタを介して内部ネットワーク 2 の任意の内部仮想マシンと通信したりできますこれらの仮想マシンは外部と接しているマシンとは通信できません FTP サーバの場合と同様これらの仮想マシンはほかの仮想マシンのネットワークとの間でパケットを送受信できません同様にホストのほかの仮想マシンは仮想マシン 2 ~ 5 との間でパケットを送受信できません DMZ 仮想マシン 6 ~ 8 はマーケティンググループが企業の外部 Web サイトを公開するときに使用する DMZ として構成されていますこの仮想マシンのグループは外部ネットワーク 2 および内部ネットワーク 1 に関連付けられています企業は外部ネットワーク 2 を使用してマーケティングおよび財務部が企業 Web サイトや外部ユーザーに提供するその他の Web 機能をホスティングするために使用する Web サーバをサポートします内部ネットワーク 1 はマーケティング部が企業 Web サイトにコンテンツを公開したりダウンロードを掲載したりユーザーフォーラムなどのサービスを保守したりするときに使用するルートですこれらのネットワークは外部ネットワーク 1 および内部ネットワーク 2 から分離されていて仮想マシンが接続点 ( スイッチやアダプタ ) を共有していないため FTP サーバまたは内部の仮想マシングループとの間での攻撃リスクがありません仮想マシンの隔離を利用して仮想スイッチを正しく構成しネットワーク分離を保持するとシステム管理者は同じ ESX ホスト内に仮想マシンのゾーン 3 つをすべて収容できデータやリソースの違反をなくすことができます企業は複数の内部および外部ネットワークを使用し各グループの仮想スイッチや物理ネットワークアダプタをほかのグループのものと完全に隔離することで仮想マシングループの分離を強化できます仮想スイッチが仮想マシンのゾーンにまたがることはないのでシステム管理者はゾーン間でのパケット漏洩のリスクを削減できます仮想スイッチは設計上別の仮想スイッチにパケットを直接漏洩することはできませんパケットが仮想スイッチ間で送受信されるのは次の場合だけです仮想スイッチが同じ物理 LAN に接続されている仮想スイッチがパケットの送受信に使用できる共通の仮想マシンに接続されている 136 VMware, Inc.

137 第 11 章 ESX システムのセキュリティサンプル構成ではこのいずれの条件も発生しませんシステム管理者が共通の仮想スイッチパスが存在しないことを検証する場合は vsphere Client または vsphere Web Access のネットワークスイッチレイアウトを確認すると可能性のある共有接続点を確認できます仮想マシンのリソースを保護するためシステム管理者は仮想マシンごとにリソース予約および制限を構成し DoS および DDoS 攻撃のリスクを低減しますシステム管理者は DMZ の前後にソフトウェアファイアウォールをインストールしホストが物理ファイアウォールの内側に配置されるようにしサービスコンソールとネットワークストレージリソースを構成してそれぞれが独自の仮想スイッチ持つようにすることでこのホストおよび仮想マシンの保護を強化しますセキュリティおよびサービスコンソール ESX サービスコンソールは Red Hat Enterprise Linux 5 (RHEL5) をベースにした Linux の制限付きディストリビューションですサービスコンソールは ESX ホスト全体を監視および管理する実行環境を提供しますサービスコンソールのセキュリティが何らかの方法で侵害された場合それと通信する仮想マシンのセキュリティにも影響することがありますサービスコンソールを介した攻撃のリスクを最小にするためにサービスコンソールはファイアウォールで保護されていますサービスコンソールファイアウォールを実装するだけでなく VMware 製品ではほかの方法も使用してサービスコンソールのリスクを軽減しています ESX はその機能の管理に必要なサービスだけを実行しますディストリビューションは ESX の実行に必要な機能に制限されますデフォルトでは ESX は高セキュリティ設定でインストールされますすべての送信用ポートは閉じられ開いている受信用ポートは vsphere Client などのクライアントとの通信に必要なポートのみですサービスコンソールが信頼できるネットワークに接続されていないかぎりこのセキュリティ設定を保持してくださいデフォルトではサービスコンソールのアクセス管理に特に必要でないポートはすべて閉じられています追加サービスが必要な場合ポートを特別に開く必要がありますデフォルトでは強度の低い暗号は無効になっておりクライアントからのすべての通信は SSL で保護されますチャネルの保護に使用する的確なアルゴリズムは SSL ハンドシェイクによって異なります ESX で作成されたデフォルトの証明書は署名アルゴリズムとして RSA 暗号化による SHA-1 を使用します Tomcat Web サービスは vsphere Web Access などの Web クライアントからのサービスコンソールへのアクセスをサポートするために ESX により内部的に使用されますこのサービスは Web クライアントによる管理および監視に必要な機能のみを実行するように変更されていますその結果 ESX はさまざまな使用場面で報告されている Tomcat のセキュリティ問題による脆弱性に対応できます当社はサービスコンソールセキュリティに影響する可能性のあるすべてのセキュリティ変更を監視し必要な場合 ESX ホストに影響する可能性のあるほかのセキュリティ脆弱性の場合と同様にセキュリティパッチを発行します RHEL 5 以降のセキュリティパッチが利用可能になり次第パッチをリリースします FTP や Telnet などのセキュリティ保護されていないサービスはインストールされませんこれらのサービス用のポートはデフォルトで閉じられています SSH や SFTP などよりセキュアなサービスを簡単に使用できるためこれらの安全性の高いサービスを選択しセキュリティ保護されていないサービスの使用は避けるようにしてくださいセキュリティ保護されていないサービスを使用する必要がありサービスコンソールに十分な保護を実装している場合は明示的にポートを開いてサポートを行なってください setuid または setgid フラグを使用するアプリケーションの数は最小限に抑えられています ESX の動作に不可欠ではない setuid または setgid アプリケーションは無効にできます RHEL 5 用に設計された特定のタイプのプログラムをサービスコンソールにインストールして実行できますがこの使用は当社が明示的に説明していないかぎりサポート対象外ですサポートされている構成でセキュリティ脆弱性が検出された場合当社は有効なサポート契約およびサブスクリプション契約のあるすべての顧客にこれを積極的に通知し必要なすべてのパッチを提供します注意から入手可能な当社のセキュリティ報告の指示にのみ従ってください Red Hat により発行されたセキュリティ報告の指示には従わないでください VMware, Inc. 137

138 セキュリティリソースおよび情報セキュリティに関する追加情報は当社の Web サイトから入手できます表 11-1 にセキュリティトピックとそのトピックに関する追加情報の場所を示します表 Web 上のヴイエムウェアセキュリティリソーストピックヴイエムウェアのセキュリティポリシー最新バージョンのセキュリティアラートセキュリティダウンロードセキュリティトピックを中心とした説明企業セキュリティ対策ポリシーサードパーティソフトウェアサポートポリシー VMware 製品の認証リソース当社はお客様がセキュアな環境を維持するために尽力しますセキュリティ上の問題は迅速に解決しますヴイエムウェアセキュリティ対策ポリシーでは当社製品において起こりうる脆弱性を解決するための当社の取り組みを文書化しています VMware 製品ではさまざまなストレージシステムバックアップエージェントなどのソフトウェアエージェントシステム管理エージェントなどをサポートしています ESX をサポートするエージェントツールおよびその他のソフトウェアのリストについてはで ESX の互換性ガイドを参照してください業界には当社が検証しきれない多くの製品や構成が提供されています互換性ガイドに製品や構成がリストされていない場合テクニカルサポートはお客様の問題解決のお手伝いを致しますがその製品または構成が使用可能かどうかは保証できません常にサポートされていない製品や構成のセキュリティリスクについては注意して評価してください VMware, Inc.

139 ESX 構成のセキュリティ強化 12 ESX ホスト仮想マシンおよび iscsi SAN の環境をより安全にするために対策を講じることができますセキュリティの観点から見たネットワーク構成計画および構成内のコンポーネントを攻撃から保護するためにできる対策の手順について検討しますこの章では次のトピックについて説明しますファイアウォールによるネットワークのセキュリティ強化 (P. 139) VLAN を使用した仮想マシンのセキュリティ強化 (P. 148) 仮想スイッチポートのセキュリティ強化 (P. 153) iscsi ストレージのセキュリティ (P. 154) ファイアウォールによるネットワークのセキュリティ強化セキュリティシステム管理者はファイアウォールを使用してネットワークまたはネットワーク内で選択したコンポーネントを侵入から保護しますファイアウォールはシステム管理者が明示的または暗黙的に許可した通信パス以外のすべての通信パスを閉じその範囲内のデバイスへのアクセスを制御しますシステム管理者がファイアウォール内で開くパス ( ポート ) はファイアウォールの両側にあるデバイス間でのトラフィックを可能にします仮想マシン環境ではコンポーネント間でファイアウォールのレイアウトを計画できます vcenter Server ホストなどの物理マシンと ESX ホストの間仮想マシン間 ( たとえば外部 Web サーバとして機能している仮想マシンと企業の内部ネットワークに接続されている仮想マシン間 ) 物理ネットワークアダプタカードと仮想マシン間にファイアウォールを配置する場合などの物理マシンと仮想マシン ESX 構成の中でファイアウォールをどのように使用するかはネットワークをどのように使用するか特定のコンポーネントでどの程度のセキュリティが必要かによって異なりますたとえば各マシンが同じ部署の異なるベンチマークテストスイートを実行することだけを目的としている仮想ネットワークを作成すると仮想マシン間で不必要なアクセスが生じる可能性が最小になりますしたがってファイアウォールが仮想マシン間に存在する構成は必要ありませんただし外部ホストからのテスト実行の割り込みを防ぐにはファイアウォールを仮想ネットワークのエントリポイントに配置して仮想マシンの全体のセットを保護するように構成を設定する必要があります vcenter Server を使用した構成でのファイアウォール vcenter Server を介して ESX ホストにアクセスする場合通常はファイアウォールを使用して vcenter Server を保護しますこのファイアウォールはネットワークに基本的な保護を提供しますファイアウォールはクライアントと vcenter Server との間に配置されていることがありますまたは導入環境によっては vcenter Server とクライアントがファイアウォールの内側に配置されている場合がありますここで確認する主要な点はシステムのエントリーポイントとなる場所にファイアウォールがあるということです VMware, Inc. 139

140 vcenter Server を使用する場合図 12-1 内のどの場所でもファイアウォールをインストールできます構成によっては図のファイアウォールがすべて必要とは限らない場合がありますまたはその他の場所にファイアウォールが必要になることもありますまた VMware vcenter Update Manager などのオプションのモジュールが使用している構成に含まれている場合がありますがこれは図に示されていません Update Manager のような特定の製品でのファイアウォール設定については各ドキュメントを参照してください VMware VMotion や VMware フォールトトレランスなどの TCP および UDP ポートの包括的なリストは管理アクセスの TCP および UDP ポート (P. 147) を参照してください図 vsphere のネットワーク構成とトラフィックフローのサンプル 22 SSH 427 SLPv2 443 HTTPS 902 xinetd/vmware-authd 902 (UDP) ESX/ESXi ステータスの更新 903 xinetd/vmware-authd-mks 2050 ~ 2250 HA 5989 CIM トランザクション 8042 ~ 8045 HA vsphere Client ポート 443 ファイアウォールサードパーティ製のネットワーク管理ツール vcenter Server vsphere Web Access ポート UDP ポート 443 ポート 902 ファイアウォールポート ~ 2250 および 8042 ~ UDP ポートポート 443 ファイアウォール ESXi ESX ストレージ vcenter Server で構成されているネットワークはいくつかのクライアントタイプを介して通信を受信できますこれらのクライアントには vsphere Client vsphere Web Access またはホストとのインターフェイスに SDK を使用するサードパーティのネットワーク管理クライアントがあります通常の操作中 vcenter Server は指定ポートで管理されるホストとクライアントからのデータを待機しますまた管理ホストが指定ポートで vcenter Server からのデータを待機することを前提としていますこれらの構成要素のいずれかの間にファイアウォールがある場合データ転送をサポートするためファイアウォールに開いているポートがあることを確認する必要がありますまたネットワークの使用方法やさまざまなデバイスに必要なセキュリティレベルの程度によりネットワークのさまざまなアクセスポイントにファイアウォールを追加することもできますファイアウォールの配置場所はネットワーク構成から特定したセキュリティリスクに基づいて選択します次のリストに ESX の実装に共通するファイアウォールの配置場所を示しますこのリストおよび図 12-1 に示すファイアウォールの場所の多くはオプションです Web ブラウザと vsphere Web Access HTTP および HTTPS プロキシサーバとの間 vsphere Client vsphere Web Access Client またはサードパーティ製のネットワーク管理クライアントと vcenter Server との間 140 VMware, Inc.

141 第 12 章 ESX 構成のセキュリティ強化 vsphere Client を介して仮想マシンにアクセスする場合は vsphere Client と ESX ホストの間この接続は vsphere Client と vcenter Server 間の追加接続で別のポートが必要になりますユーザーが Web ブラウザを介して仮想マシンにアクセスする場合は Web ブラウザと ESX ホストの間この接続は vsphere Web Access Client と vcenter Server 間の追加接続で別のポートが必要になります vcenter Server と ESX ホストの間ネットワーク内の ESX ホスト間通常ホスト間のトラフィックは信頼できると考えられますがマシン間でのセキュリティ違反を考慮する場合はホスト間にファイアウォールを追加することもできます ESX ホスト間にファイウォールを追加してサーバ間で仮想マシンを移行したりクローン作成を実行したりまたは VMotion を使用したりする場合ソースホストとターゲットホストが通信できるようにソースとターゲットを分ける任意のファイアウォールのポートを開く必要があります ESX ホストと NFS や iscsi ストレージなどネットワークストレージとの間これらのポートは VMware に固有のものではありませんネットワークの仕様に従って構成してください vcenter Server を使用しない構成でのファイアウォール vcenter Server を使用せずに ESX ネットワークへクライアントを直接接続する場合はファイアウォールの構成は多少簡単になります図 12-2 に示されている任意の場所にファイアウォールをインストールできます注意構成によっては図のすべてのファイアウォールは必要がないことがありますまたは図に示されていない場所にファイアウォールが必要になることもあります図クライアントが直接管理する ESX ネットワークのファイアウォール構成 vsphere Web Access vsphere Client サードパーティ製のネットワーク管理ツール標準 http/ https ポートポート 902 ポート 903 ファイアウォールポート 902 ポート 903 ポート 443 ファイアウォールポート ~ ~ ファイアウォール ESXi ESX ストレージ VMware, Inc. 141

142 vcenter Server を使用せずに構成したネットワークでも vcenter Server を使用した場合と同じタイプのクライアントを介して通信を受信しますこれらのクライアントには vsphere Client サードパーティ製のネットワーク管理クライアントまたは vsphere Web Access クライアントがありますほとんどの箇所ではファイアウォールの必要性は同じですが重要な相違点がいくつかあります vcenter Server が含まれている構成と同様に ESX レイヤーまたは構成によってはクライアントと ESX レイヤーを保護するようにファイアウォールを設定する必要がありますこのファイアウォールはネットワークに基本的な保護を提供します使用するファイアウォールポートは vcenter Server を使用している場合のものと同じですこのような構成でのライセンスは各ホストにインストールする ESX パッケージの一部ですライセンスはサーバに常駐するので個別のライセンスサーバは必要はありませんこのためライセンスサーバと ESX ネットワーク間にファイアウォールは必要ありませんファイアウォールを介した vcenter Server への接続 vcenter Server がクライアントからのデータ転送の待機に使用するポートは 443 です vcenter Server とそのクライアントとの間にファイアウォールがある場合 vcenter Server がクライアントからデータを受信するときに使用できる接続を構成する必要があります vcenter Server が vsphere Client からのデータを受信できるようにするにはファイアウォールのポート 443 を開いて vsphere Client から vcenter Server へのデータ転送を許可しますファイアウォールのポート設定に関する詳細情報についてはファイアウォールのシステム管理者にお問い合わせください vsphere Client を使用しており vsphere Client と vcenter Server との通信用ポートとしてポート 443 を使用しない場合 vsphere Client の vcenter Server 設定を変更することで別のポートに切り替えることができますこれらの設定の変更方法については基本システム管理ガイドを参照してください 142 VMware, Inc.

143 第 12 章 ESX 構成のセキュリティ強化ファイアウォールを介した仮想マシンコンソールへの接続クライアントを vcenter Server 経由で ESX ホストに接続するか直接ホストに接続するかによってユーザーやシステム管理者が仮想マシンコンソールと通信するのに特定のポートが必要になりますこれらのポートではサポートされるクライアント機能インターフェイスが提供される ESX のレイヤー使用される認証プロトコルがそれぞれ異なりますポート 902 ポート 443 vcenter Server はこのポートを使用して vcenter Server が管理するホストにデータを送信しますポート 902 は vcenter Server が ESX ホストへのデータ送信時に使用できると認識しているポートですポート 902 は VMware Authorization Daemon (vmware-authd) を介して vcenter Server をホストに接続しますこのデーモンは処理用に適切な受信者に対してポート 902 データを多重化しますこの接続に異なるポートを構成することはできません vsphere Client vsphere Web Access Client および SDK はこのポートを使用して vcenter Server が管理するホストにデータを送信しますまた vsphere Client vsphere Web Access Client および SDK は ESX ホストに直接接続されている場合このポートを使用してサーバおよびその仮想マシンに関連する管理機能をサポートしますポート 443 はクライアントが ESX ホストへのデータ送信時に使用できると認識しているポートですこれらの接続に異なるポートを構成することはできませんポート 443 は Tomcat Web サービスまたは SDK を介してクライアントを ESX ホストに接続します vmware-hostd は処理用に適切な受信者に対してポート 443 データを多重化しますポート 903 vsphere Client および vsphere Web Access はこのポートを使用して仮想マシンのゲスト OS の MKS アクティビティの接続を提供しますユーザーが仮想マシンのゲスト OS およびアプリケーションと通信するときはこのポートを使用しますポート 903 は vsphere Client および vsphere Web Access によって仮想マシンとの通信に使用できると認識されているポートですこの機能に異なるポートを構成することはできませんポート 903 は ESX ホスト上に構成されている特定の仮想マシンに vsphere Client を接続します図 12-3 に vsphere Client 機能ポートおよび ESX プロセス間の関係を示します vsphere Web Access Client は ESX ホストとの通信に同じ基本マッピングを使用します VMware, Inc. 143

144 図 vsphere Client と ESX との通信に対するポートの使用 vsphere Client 仮想マシン管理機能仮想マシンコンソールポート 443 ファイアウォールポート 903 ESX サービスコンソール vmware-hostd VMkernel 仮想マシン vmware-authd vmkauthd vcenter Server システムと vcenter Server の管理対象ホストの間にファイアウォールがある場合はファイアウォールのポート 443 および 903 を開いて vcenter Server から ESX ホストおよび vsphere Client または vsphere Web Access から直接 ESX ホストへのデータ転送を可能にしますポート構成の詳細情報についてはファイアウォールのシステム管理者にお問い合わせくださいファイアウォールを介した ESX ホストの接続 2 つの ESX ホスト間にファイアウォールがありホスト間でトランザクションを許可したり vcenter Server を使用して VMware HA (HA) トラフィック移行クローン作成 VMotion などのソースアクティビティまたはターゲットアクティビティを実行したりするには管理対象のホストがデータを受信できる接続を構成する必要がありますデータを受信するための接続を構成するには次の範囲のポートを開きます 443 ( サーバ間の移行およびプロビジョニングトラフィック ) 2050 ~ 2250 (HA トラフィック ) 8000 (VMotion) 8042 ~ 8045 (HA トラフィック ) ポート構成の詳細についてはファイアウォールシステム管理者にお問い合わせくださいサポートされているサービスおよび管理エージェントのファイアウォールポートの構成一般的にサポートされているサービスおよびインストールされている管理エージェントを受け入れるように使用環境のファイアウォールを構成する必要があります vsphere Client を使用してサービスコンソールファイアウォールを構成します vcenter Server で ESX ホストセキュリティプロファイルを構成する場合これらのサービスやエージェントを追加または削除するとサービスやエージェントとの通信を許可するようにファイアウォールで事前に決定されているポートを自動的に開いたり閉じたりすることができます 144 VMware, Inc.

145 第 12 章 ESX 構成のセキュリティ強化 vsphere 環境には次のサービスおよびエージェントが一般的に存在します NFS クライアント ( セキュリティ保護のないサービス ) NTP クライアント iscsi ソフトウェアクライアント CIM HTTP サーバ ( セキュリティ保護のないサービス ) CIM HTTPS サーバ Syslog クライアント NFS サーバ ( セキュリティ保護のないサービス ) NIS クライアント SMB クライアント ( セキュリティ保護のないサービス ) FTP クライアント ( セキュリティ保護のないサービス ) SSH クライアント Telnet クライアント ( セキュリティ保護のないサービス ) SSH サーバ Telnet サーバ ( セキュリティ保護のないサービス ) FTP サーバ ( セキュリティ保護のないサービス ) SNMP サーバインストールしたその他のサポートされている管理エージェント注意このリストは変更されることがありリストに示されていないサービスおよびエージェントを vsphere Client が提供していることがありますまたデフォルトではリストのすべてのサービスはインストールされていませんこれらのサービスを構成して有効にするには追加作業を行う必要がありますこのリストにないデバイスサービスエージェントをインストールする場合はコマンドラインからサービスコンソールファイアウォールのポートを開きますサービスまたは管理エージェントによる ESX へのアクセス許可サービスまたは管理エージェントからのアクセスを許可するようファイアウォールプロパティを構成できます手順 1 vsphere Client を使用して vcenter Server システムにログインします 2 インベントリパネルでホストを選択します 3 [ 構成 ] タブをクリックして [ セキュリティプロファイル ] をクリックしますアクティブな着信および発信接続やそれを対応するファイアウォールポートのリストが表示されます 4 [ プロパティ ] をクリックしてファイアウォールのプロパティダイアログボックスを開きますファイアウォールのプロパティダイアログボックスにホストに構成できるサービスおよび管理エージェントがすべて一覧表示されます 5 有効にするサービスおよびエージェントを選択します入力ポートおよび出力ポートの列はサービス用に vsphere Client が開いているポートを示していますプロトコルの列はサービスが使用するプロトコルを示していますデーモンの列はサービスに関連するデーモンのステータスを示しています 6 [OK] をクリックします VMware, Inc. 145

146 ファイアウォール設定に基づくサービスの動作の自動化 ESX はファイアウォールポートのステータスに基づいてサービスを開始するかどうかを自動化できますサービスの機能が有効になるよう環境が構成されている場合自動化はサービスを確実に開始するのに便利ですたとえばいくつかのポートが開いている場合にのみネットワークサービスを開始することによりサービスが開始されたがその目的を達成するために必要な通信を確立できないという状況を回避できますまた Kerberos などの一部のプロトコルでは現在の時間に関する正確な情報が要求されます NTP サービスは正確な時間情報を取得するための方法の 1 つですがこのサービスはファイアウォール内に必要なポートが開いている場合にのみ動作しますすべてのポートが閉じている場合このサービスは目的を達成できません NTP サービスにはサービスを開始または停止する条件を構成するオプションがありますこの構成にはファイアウォールポートが開いているかどうかを考慮に入れこの条件に基づいて NTP サービスを開始または停止するオプションが含まれますいくつかの選択可能な構成オプションがありそのすべては SSH サーバにも適用されます注意このセクションで説明した設定は vsphere Web Service SDK で作成した vsphere Client またはアプリケーションを通じて構成されたサービス設定のみに適用されます esxcfg-firewall ユーティリティまたは /etc/init.d/ 内の構成ファイルなどその他の方法で行なった構成はこれらの設定の影響を受けません [ いずれかのポートが開くと自動的に開始しすべてのポートが閉じると停止 ] : これらのサービスに対して推奨されるデフォルトの設定ですいずれかのポートが開いている場合クライアントはそのサービスに関連するネットワークリソースへの接続を試みますいくつかのポートが開いていて特定のサービス用のポートが閉じている場合この試行は失敗しますがこのような状況で発生する障害はわずかです該当する発信ポートが開いている場合サービスはそのタスクの実行を開始します [ ホストに連動して開始および停止 ] : サービスはホストが起動した直後に開始されホストがシャットダウンする直前に終了します [ いずれかのポートが開くと自動的に開始しすべてのポートが閉じると停止 ] と同様にこのオプションでサービスはそのタスクの完了を定期的に試行します ( 指定された NTP サーバとの接続など ) ポートが閉じていたがその後開いた場合クライアントはその直後にタスクの実行を開始します [ 手動で開始および停止 ] : ホストはポートが開いているかどうかにかかわらずユーザーが決定したサービス設定を保持しますユーザーが NTP サービスを起動する場合そのサービスはホストがパワーオン状態にあるかぎり実行を続けますサービスが起動されてホストがパワーオフ状態にある場合そのサービスはシャットダウンプロセスの一環として停止されますしかしホストがパワーオン状態になった直後にそのサービスはユーザーにより決定された状態を保持して再び起動されますサービス起動方法とファイアウォール構成との関連の設定起動ポリシーはサービスの起動時期を決定します起動ポリシーを編集するとサービスの起動がファイアウォールの構成とどのように関連するかを設定できます手順 1 vsphere Client を使用して vcenter Server システムにログインします 2 インベントリパネルでホストを選択します 3 [ 構成 ] タブをクリックして [ セキュリティプロファイル ] をクリックします vsphere Client によりアクティブな着信および発信接続やそれを対応するファイアウォールポートのリストが表示されます 4 [ プロパティ ] をクリックしますファイアウォールのプロパティダイアログボックスにホストに構成できるサービスおよび管理エージェントがすべて一覧表示されます 5 構成するサービスを選択して [ オプション ] をクリックします起動ポリシーダイアログボックスはサービスの起動時期を決定しますこのダイアログボックスはサービスの現在の状態に関する情報とサービスを手動で起動停止または再開するためのインターフェイスを提供します 146 VMware, Inc.

147 第 12 章 ESX 構成のセキュリティ強化 6 [ 起動ポリシー ] リストからポリシーを選択します 7 [OK] をクリックします管理アクセスの TCP および UDP ポート vcenter Server ESX ホストおよびその他のネットワークコンポーネントにはあらかじめ定義されている TCP および UDP ポートを使用してアクセスしますファイアウォール外からネットワークコンポーネントを管理する場合ファイアウォールを再構成して該当するポートでのアクセスを許可する必要があります表 12-1 に TCP および UDP ポートとそれぞれの目的およびタイプを示しますポートは特に指定がないかぎりサービスコンソールインターフェイスを介して接続されます表 TCP および UDP ポートポート目的トラフィックタイプ 22 SSH サーバ着信 TCP 80 HTTP アクセスデフォルトのセキュリティ保護されていない TCP Web ポートです通常は Web から ESX ネットワークにアクセスするためのフロントエンドとしてポート 443 とともに使用されますポート 80 は HTTPS ランディングページ ( ポート 443) にトラフィックをリダイレクトします着信 TCP Web から vsphere Web Access への接続 WS-Management 123 NTP Client 発信 UDP 427 CIM クライアントはサービスロケーションプロトコルバージョン 2 (SLPv2) を使用して CIM サーバを検索します 443 HTTPS アクセス vcenter Server から ESX ホストへのアクセス SSL Web ポートのデフォルト vsphere Client から vcenter Server へのアクセス vsphere Client から ESX ホストへのアクセス WS-Management vsphere Client から vsphere Update Manager へのアクセス vsphere Converter から vcenter Server へのアクセス vsphere Web Access およびサードパーティ製ネットワーク管理クライアントから vcenter Server への接続ホストへの vsphere Web Access からの直接アクセスおよびサードパーティ製のネットワーク管理クライアントからのアクセス 902 移行またはプロビジョニングのためのホスト間のアクセス ESX の認証トラフィックおよびリモートコンソールトラフィック (xinetd/vmwareauthd) vsphere Client から仮想マシンコンソールへのアクセス (UDP) ステータスの更新 ( ハートビート ) ESX から vcenter Server への接続 903 仮想マシンへのユーザーアクセスによって特定の ESX ホストで生成されるリモートコンソールトラフィック vsphere Client から仮想マシンコンソールへのアクセス vsphere Web Access Client から仮想マシンコンソールへのアクセス MKS トランザクション (xinetd/vmware-authd-mks) 2049 NFS ストレージデバイスからのトランザクションこのポートはサービスコンソールインターフェイスでなく VMkernel インターフェイスで使用されます ESX ホスト間の VMware HA (High Availability) および EMC Autostart Manager 用トラフィック着信および発信 UDP 着信 TCP 着信 TCP 発信 UDP 着信 TCP 着信および発信 TCP 発信 TCP 着信および発信 UDP VMware, Inc. 147

148 表 TCP および UDP ポート ( 続き ) ポート目的トラフィックタイプ 3260 iscsi ストレージデバイスへのトランザクションこのポートは VMkernel インターフェイスおよびサービスコンソールインターフェイスで使用されます発信 TCP VNC などの管理ツールによって使用される RFB プロトコル着信および発信 TCP 5989 HTTPS 経由の CIM XML トランザクション着信および発信 TCP 8000 VMotion からの要求このポートはサービスコンソールインターフェイスでなく VMkernel インターフェイスで使用されます着信および発信 TCP ESX ホスト間の HA および EMC Autostart Manager 用トラフィック発信 TCP 着信および発信 UDP ESX ホスト間の VMware フォールトトレランス用トラフィック発信 TCP 着信および発信 UDP 表 12-1 に記載されている TCP および UDP ポートだけでなく必要に応じてほかのポートも構成できます vsphere Client を使用してインストールされている管理エージェント用および NFS などのサポートされているサービス用にポートを開くことができますコマンドラインスクリプトを実行することでネットワークに必要なその他のサービスやエージェントのサービスコンソールファイアウォールのポートを開くことができます VLAN を使用した仮想マシンのセキュリティ強化ネットワークはシステムで最も脆弱性の大きい部分になる可能性があります仮想マシンネットワークには物理ネットワークと同じ程度の保護が必要です仮想マシンネットワークにはいくつかの方法でセキュリティを追加できます仮想マシンネットワークが物理ネットワークに接続されている場合物理マシンで構成されたネットワークと同じくらい侵害を受けやすくなります仮想マシンネットワークが物理ネットワークから隔離されている場合でもネットワークの仮想マシンはネットワークのほかの仮想マシンから攻撃を受けやすくなります仮想マシンセキュリティの必要条件は通常物理マシンの必要条件と同じです仮想マシンはそれぞれ隔離されています仮想マシンは別の仮想マシンに対してメモリを読み取ったり書き込んだりデータへアクセスしたりアプリケーションを使用したりすることはできませんただしネットワーク内でどの仮想マシンも仮想マシングループもほかの仮想マシンから不正にアクセスされる可能性があるので体外的な保護がさらに必要になることがありますこのレベルのセキュリティはさまざまな方法で追加できます仮想ネットワークの一部またはすべての仮想マシンにソフトウェアファイアウォールをインストールおよび構成することで仮想ネットワークにファイアウォール保護を追加する 148 VMware, Inc.

149 第 12 章 ESX 構成のセキュリティ強化効率を高めるためにプライベート仮想マシンイーサネットネットワーク ( 仮想ネットワーク ) を設定できます仮想ネットワークの場合仮想ネットワークの先頭にある仮想マシンにソフトウェアファイアウォールをインストールしますこれは物理ネットワークアダプタと仮想ネットワークの残りの仮想マシンとの間で保護バッファとして機能します仮想ネットワークの入口にある仮想マシンにソフトウェアファイアウォールをインストールすることはセキュリティ上優れた方法ですただしソフトウェアファイアウォールをインストールするとパフォーマンスが低下することがあるので仮想ネットワーク上の別の仮想マシンにソフトウェアファイアウォールをインストールする前にセキュリティ要件とパフォーマンスのバランスを考慮してください異なるネットワークセグメントのホスト内に異なる仮想マシンゾーンを確保する仮想マシンゾーンをその独自のネットワークセグメントで隔離すると仮想マシンゾーン間でデータ漏れのリスクを最小限に抑えることができますセグメント化により攻撃者が ARP テーブルを操作して MAC および IP アドレスのマッピングを変えホストとのネットワークトラフィックのアクセスを取得するアドレス解決プロトコル (ARP) スプーフィングなどのさまざまな脅威を防止できます攻撃者は ARP スプーフィングを使用してサービス拒否状態にしたり対象のシステムをハイジャックしたり仮想ネットワークを崩壊させたりしますセグメント化を綿密に計画して仮想マシンゾーン間のパケット転送機会を減らすことで被害者にネットワークトラフィックの送信が要求される傍受攻撃を防ぐことができますさらに攻撃者は特定の仮想マシンゾーンでセキュリティ保護されていないサービスを使用してホスト内の別の仮想マシンゾーンにアクセスすることができません次の 2 つのアプローチのいずれかを使用してセグメント化を実装できますこれらのアプローチにはそれぞれ異なるメリットがあります仮想マシンゾーンに個別の物理ネットワークアダプタを使用してゾーンを隔離させる仮想マシンゾーンに個別の物理ネットワークアダプタを設定する方法はおそらく最も安全で最初に作成したセグメントをあとから不正に構成されにくい方法ですネットワークを保護するように仮想ローカルエリアネットワーク (VLAN) を設定する VLAN は物理的に分離したネットワークを実装する場合のセキュリティのメリットをハードウェアオーバーヘッドなしにほとんどすべて利用できるので追加デバイスや配線などの導入および保守にかかるコストを節約できる実行可能なソリューションを提供します VLAN は VLAN の一部のポートだけにパケットルーティグを許可する特定のタグ付け方法を使用した IEEE 標準ネットワークスキームです VLAN は正しく構成されている場合偶発的または悪意のある侵入から仮想マシンを保護できる信頼性の高い方法です VLAN ではネットワークの 2 台のマシンが同じ VLAN にないかぎりパケットを送受信できないように物理ネットワークをセグメント化できますたとえば会計記録や報告書は企業が機密事項として扱う最も重要な内部情報です販売部出荷部会計部の従業員がすべて同じ物理ネットワークの仮想マシンを使用している企業では図 12-4 に示すように VLAN を設定して会計部の仮想マシンを保護できます VMware, Inc. 149

150 図サンプル VLAN レイアウトホスト 1 vswitch VM0 VM 1 VM 2 VLAN A ルータホスト 2 VM3 VM4 VM5 ブロードキャストドメイン A vswitch vswitch スイッチ 1 VM6 VM 7 VM 8 VLAN B ホスト 3 vswitch ブロードキャストドメイン B VM9 VM 10 VM1 1 スイッチ 2 ホスト 4 vswitch 複数の VLAN ( 同一仮想 VM12 VLAN B VM13 VLAN A VM14 VLAN B スイッチ ) ブロードキャストドメイン A と B この構成では会計部のすべての従業員は VLAN A の仮想マシンを使用し販売部の従業員は VLAN B の仮想マシンを使用しますルータは会計データを含むパケットをスイッチに転送しますこれらのパケットは VLAN A のみに配布されるようにタグが付けられますしたがってこのデータはブロードキャストドメイン A に制限されルータで構成されていないかぎりブロードキャストドメイン B に経路選択されませんこの VLAN 構成では会計部あてに送信されるパケットを販売部が取得できないようにしますまた販売グループに送信されるパケットを会計部が受信しないようにもしますシングル仮想スイッチでサービスが提供される仮想マシンは別の VLAN に置くことができます VLAN のセキュリティの考慮事項ネットワークの一部のセキュリティに VLAN を設定する方法はゲスト OS やネットワーク設備の構成方法などの要素により異なります ESX は IEEE 802.1q に完全に準拠した VLAN 実装を提供します VLAN の設定方法について特定の方法をお勧めすることはできませんがセキュリティ実施ポリシーの一部として VLAN 導入を使用する場合に考慮すべき要素はあります 150 VMware, Inc.

151 第 12 章 ESX 構成のセキュリティ強化広範囲なセキュリティ実装の一部としての VLAN VLAN はネットワーク内で転送するデータの場所および範囲を制御する効果的な方法です攻撃者がネットワークのアクセスを取得した場合エントリポイントとして機能する VLAN に攻撃の範囲が制限されやすくなるので全体としてネットワークに対するリスクは軽減されます VLAN が保護できるのはデータがスイッチを通過してネットワークに入ったあとでのルーティングと抑制です VLAN を使用するとネットワークアーキテクチャのレイヤー 2 ( データリンクレイヤー ) のセキュリティを支援できますただし VLAN を構成してもネットワークモデルの物理レイヤーまたはその他のレイヤーは保護されませんそのため VLAN を作成する場合でもハードウェア ( ルータやハブなど ) のセキュリティを確保しデータ転送を暗号化して保護を強化します VLAN は仮想マシン構成においてファイアウォールに代わるものではありません VLAN を含むほとんどのネットワーク構成にはソフトウェアファイアウォールも含まれます VLAN を仮想ネットワークに含める場合インストールするファイアウォールが VLAN に対応することを確認してください VLAN の適切な構成設備の構成エラーやネットワークハードウェアファームウェアソフトウェアの欠陥により VLAN が VLAN ホッピング攻撃を受けやすくなる可能性があります VLAN ホッピングとはある VLAN のアクセスが許可されている攻撃者が物理ネットワークスイッチを攻撃してアクセス権のない別の VLAN に転送されるようにパケットを作成することですこのタイプの攻撃に対する脆弱性は通常スイッチがタグなしパケットを送受信できるというネイティブ VLAN 操作でのスイッチの構成ミスが原因となります VLAN ホッピングを防ぐにはハードウェアやファームウェアのアップデートがリリースされ次第インストールして設備を最新バージョンに保ってくださいまた装置を構成する場合はベンダーのベストプラクティスに従ってください VMware 仮想スイッチはネイティブ VLAN の概念をサポートしていませんこれらのスイッチに渡されるすべてのデータは適切にタグが付けられますただしネットワークのほかのスイッチがネイティブ VLAN 操作向けに構成されている可能性があるため仮想スイッチで構成した VLAN も VLAN ホッピングの影響を受けることがあります VLAN を使用してネットワークセキュリティを実施する場合 VLAN のいくつかをネイティブモードで操作しなければならないという切迫した理由がないかぎりすべてのスイッチでネイティブ VLAN 機能を無効にしますネイティブ VLAN を使用する必要がある場合スイッチベンダーの構成ガイドラインでこの機能について確認してください管理ツールとサービスコンソール間の通信の個別作成管理クライアントまたはコマンドラインを使用している場合 ESX 用の構成タスク ( ストレージの構成仮想マシン動作の制御仮想スイッチまたは仮想ネットワークの設定など ) はサービスコンソールを介して実行されますサービスコンソールは ESX の制御ポイントであるため悪用を防ぐことが重要です VMware ESX の管理クライアントは認証および暗号化を使用してサービスコンソールへの不正なアクセスを防ぎますほかのサービスは同様の保護を提供していないことがあります攻撃者はサービスコンソールへのアクセス権を取得すると ESX ホストの多くの属性の構成を自由に変更できますたとえばアクセス権を取得した攻撃者は仮想スイッチ構成全体の変更または認証方法の変更を実行できますサービスコンソールのネットワーク接続は仮想スイッチを介して確立されますこの重要な ESX コンポーネントにより優れた保護を提供するため次のいずれかの方法でサービスコンソールを隔離しますサービスコンソールに対する管理ツールの通信に個別の VLAN を作成するサービスコンソールに対する管理ツールの接続にシングル仮想スイッチと 1 つまたは複数のアップリンクポートを使用してネットワークアクセスを構成するどちらの方法もサービスコンソールの VLAN または仮想スイッチに対するアクセス権がない場合サービスコンソールとのトラフィックを参照できないようにしますまた攻撃者によるサービスコンソールへのパケット送信を防ぎますほかの選択肢として代わりに個別の物理ネットワークセグメントにサービスコンソールを構成するよう選択できます物理的なセグメント化を行うとあとから不正に構成されにくいためセキュリティをある程度追加できます VMotion およびネットワーク接続ストレージ用に別の VLAN または仮想スイッチを設定します VMware, Inc. 151

152 仮想スイッチ保護および VLAN VMware 仮想スイッチは VLAN の特定のセキュリティ脅威に対する保護を提供します仮想スイッチの設計により主に VLAN ホッピングに関係するさまざまな攻撃から VLAN を保護しますただしこの保護により仮想スイッチ構成がその他のタイプの攻撃に対して強化されるわけではありませんたとえば仮想スイッチはこれらの攻撃から物理ネットワークを保護しません仮想ネットワークのみを保護します仮想スイッチおよび VLAN は次のタイプの攻撃から保護できます MAC フラッディング 802.1q および ISL タギング攻撃ダブルカプセル化攻撃マルチキャスト総当り攻撃送信元が異なるとタグ付けされた MAC アドレスを含むパケットでスイッチをフラッディングします多くのスイッチは CAM (Content-Addressable Memory) テーブルを使用して各パケットの送信元アドレスを学習および保存しますテーブルがいっぱいになるとスイッチは完全に開いた状態になりすべての着信パケットがすべてのポートにブロードキャストされることがありますこの場合攻撃者はすべてのスイッチのトラフィックを参照できますこの状態では VLAN でパケットがリークする可能性があります VMware 仮想スイッチは MAC アドレステーブルを保存しますが観測可能なトラフィックから MAC アドレスを取得しないのでこのタイプの攻撃に対する耐性がありますスイッチをトランクとして機能するように不正に操作しトラフィックをほかの VLAN にブロードキャストすることである VLAN から別の VLAN へフレームがリダイレクトされるようにスイッチを強制します VMware 仮想スイッチはこのタイプの攻撃で必要な動的トランキングを実行しないのでこのタイプの攻撃に対する耐性があります内部タグの VLAN ID が外部タグの VLAN ID と異なるダブルカプセル化パケットを攻撃者が作成したときに発生します後方互換性のためネイティブ VLAN は転送されたパケットから外側のタグを取り外します ( 無効に設定されていない場合 ) ネイティブ VLAN スイッチが外側のタグを取り外すと内側のタグだけが残りますこの内側のタグは取り外された外側のタグで識別される VLAN とは異なる VLAN にパケットを送ります VMware 仮想スイッチは特定の VLAN に構成されているポートに仮想マシンが送信しようとする任意のダブルカプセル化フレームを削除しますしたがってこのタイプの攻撃に対する耐性があります存在が分かっている VLAN にほぼ同時に大量のマルチキャストのフレームを送信してスイッチに負荷をかけ一部のフレームを別の VLAN へ誤ってブロードキャストさせます VMware 仮想スイッチではフレームはその正しいブロードキャストドメイン (VLAN) の外へ出ることはできないのでこのタイプの攻撃に対する耐性があります 152 VMware, Inc.

153 第 12 章 ESX 構成のセキュリティ強化スパニングツリー攻撃ランダムフレーム攻撃 LAN の各部分のブリッジを制御するときに使用される STP (Spanning-Tree Protocol) を標的にします攻撃者はネットワークトポロジを変更しようとする BPDU (Bridge Protocol Data Unit) パケットを送信し攻撃者自体をルートブリッジとして確立しますルートブリッジとなった攻撃者は転送されるフレームの内容を傍受できます VMware 仮想スイッチは STP をサポートしていないのでこのタイプの攻撃に対する耐性がありますソースとターゲットのアドレスは同じでもフィールドの長さタイプまたは内容がランダムに変わるパケットを大量に送信しますこの攻撃の目的は別の VLAN にパケットが誤って送信されるようにすることです VMware 仮想スイッチはこのタイプの攻撃に対する耐性があります新しいセキュリティ脅威は常に開発されるのでこれは攻撃の完全なリストではありませんセキュリティ最新のセキュリティ警告 VMware セキュリティ戦術については Web 上で VMware のセキュリティ関連資料を定期的に確認してください仮想スイッチポートのセキュリティ強化物理ネットワークアダプタと同様仮想ネットワークアダプタは異なるマシンから発信されたように見えるフレームを送信したり別のマシンになりすましそのマシンに送信されるネットワークフレームを受信したりできますまた物理ネットワークアダプタと同様に仮想ネットワークアダプタはほかのマシンを送信先にしたフレームを受信するように構成できますネットワークに仮想スイッチを作成する場合ポートグループを追加してスイッチに接続される仮想マシンおよびストレージシステムに強制的にポリシーを構成するようにします仮想ポートは vsphere Client を介して作成しますポートまたはポートグループを仮想スイッチに追加する作業の一部として vsphere Client はポートのセキュリティプロファイルを構成しますこのセキュリティプロファイルを使用すると ESX によりその仮想マシンのゲスト OS がネットワーク上のほかのマシンになりすますことを防止できますこのセキュリティ機能はなりすましを行うゲスト OS がなりすましが阻止されたことを検知できないように実装されますセキュリティプロファイルは仮想マシンでのなりすましや傍受攻撃に対する保護をどの程度強化するかを決定しますセキュリティプロファイルの設定を正しく使用するには仮想ネットワークアダプタが転送をどのように制御するか攻撃がこのレベルでどのように開始されるかについての基本要素を理解する必要があります各仮想ネットワークアダプタにはアダプタが作成されるときにその独自の MAC アドレスが割り当てられますこのアドレスは初期 MAC アドレスと呼ばれます初期 MAC アドレスはゲスト OS の外部から再構成できますがゲスト OS により変更することはできませんまた各アダプタには有効な MAC アドレスがありますこれは送信先 MAC アドレスが有効な MAC アドレスとは異なる着信ネットワークトラフィックをフィルタリングしますゲスト OS は有効な MAC アドレスの設定に関与し通常有効な MAC アドレスを初期 MAC アドレスに一致させますパケットを送信する場合オペレーティングシステムは通常その独自のネットワークアダプタの有効な MAC アドレスをイーサネットフレームのソース MAC アドレスフィールドに置きますまた受信側ネットワークアダプタの MAC アドレスは送信先 MAC アドレスフィールドに置きます受信側アダプタはパケットの送信先 MAC アドレスがその独自の有効な MAC アドレスに一致する場合だけパケットを受け付けます作成時ネットワークアダプタの有効な MAC アドレスおよび初期 MAC アドレスは同じです仮想マシンのオペレーティングシステムは有効な MAC アドレスの値をいつでも変更できますオペレーティングシステムが有効な MAC アドレスを変更するとそのネットワークアダプタは新規 MAC アドレスに送信されるネットワークトラフィックを受信しますオペレーティングシステムは送信元 MAC アドレスになりすましているフレームをいつでも送信できますつまりオペレーティングシステムは受信側ネットワークにより許可されているネットワークアダプタになりすますことでネットワークのデバイスに対して悪意のある攻撃を実行する可能性があります ESX ホストで仮想スイッチセキュリティプロファイルを使用すると 3 つのオプションを設定することでこのタイプの攻撃から保護できますこれらのいずれかのデフォルト設定をポートで変更する場合 vsphere Client で仮想スイッチ設定を編集してセキュリティプロファイルを変更する必要があります VMware, Inc. 153

154 MAC アドレスの変更 [MAC アドレス変更 ] オプションの設定は仮想マシンの受信トラフィックに影響しますこのオプションを [ 承諾 ] に設定した場合 ESX は有効な MAC アドレスを初期 MAC アドレス以外のものに変更する要求を受け入れますこのオプションを [ 拒否 ] に設定した場合 ESX は有効な MAC アドレスを初期 MAC アドレス以外のものに変更する要求を拒否しますこれによりホストが MAC のなりすましから保護されます仮想アダプタが要求の送信に使用したポートは無効になり仮想アダプタは有効な MAC アドレスを初期 MAC アドレスに合わせて変更しないかぎりそれ以上のフレームを受け取りませんゲスト OS は MAC アドレス変更が拒否されたことを検知しません注意 iscsi イニシエータは特定のタイプのストレージから MAC アドレスを変更できることに依存しています ESX iscsi を使用していて iscsi ストレージがある場合は [MAC アドレス変更 ] オプションを [ 承諾 ] に設定します場合によっては複数のアダプタがネットワーク上で同じ MAC アドレスを使用することが適切な場合もありますたとえば Microsoft Network Load Balancing をユニキャストモードで使用している場合です Microsoft Network Load Balancing が標準マルチキャストモードで使用される場合アダプタは MAC アドレスを共有しません偽装転送 [ 偽装転送 ] オプションの設定は仮想マシンから転送されるトラフィックに影響を与えますこのオプションを [ 承諾 ] に設定した場合 ESX はソースと有効な MAC アドレスとを比較しません MAC のなりすましに対して保護するにはこのオプションを [ 拒否 ] に設定しますこの設定ではホストはオペレーティングシステムにより転送されるソース MAC アドレスとそのアダプタの有効な MAC アドレスを比較してそれらが一致するか確認しますアドレスが一致しない場合 ESX はパケットをドロップしますゲスト OS は仮想ネットワークアダプタがなりすましている MAC アドレスを使用してパケットを送信できないことを検知しません ESX ホストはなりすましているアドレスのパケットが配信される前にそのパケットを遮断しますゲスト OS はそのパケットがドロップされたとみなす可能性があります無差別モード操作無差別モードでは仮想ネットワークアダプタが実行する受信フィルタリングが除去されるためゲスト OS は回線で監視されるすべてのトラフィックを受信しますデフォルトでは仮想ネットワークアダプタは無差別モードで操作できません無差別モードはネットワークアクティビティのトラッキングに便利ですが無差別モードのアダプタはいくつかのパケットが特定のネットワークアダプタのみに受信されるかどうかに関係なくパケットにアクセスできるのでこの操作は安全ではありませんつまり仮想マシン内のシステム管理者または root ユーザーはほかのゲスト OS またはホスト OS に送信されるトラフィックを参照できます注意場合によっては仮想スイッチを無差別モードで実行するように構成することが適切なこともありますたとえばネットワーク侵入検知ソフトウェアやパケットスニファーを実行している場合です iscsi ストレージのセキュリティ ESX ホストで構成したストレージには iscsi を使用する 1 つまたは複数のストレージエリアネットワーク (SAN) を含めることができます ESX ホスト上に iscsi を構成する場合はいくつかの対策を講じてセキュリティリスクを最小にできます iscsi とは SCSI デバイスに直接接続するのではなくネットワークポート経由で TCP/IP を使用して SCSI デバイスにアクセスしてデータレコードを交換する方法です iscsi トランザクションでは SCSI データブロックが iscsi レコードでカプセル化され要求側デバイスまたはユーザーに転送されます 154 VMware, Inc.

155 第 12 章 ESX 構成のセキュリティ強化 iscsi SAN は既存のイーサネットインフラストラクチャを効率的に使用できるようにし ESX ホストが動的に共有できるストレージリソースにアクセスできるようにします iscsi SAN は多くのユーザーにサービスを提供する共通のストレージプールに依存した環境に対して経済的なストレージソリューションを提供します任意のネットワークシステムと同様に iscsi SAN もセキュリティ違反の影響を受けます注意 iscsi SAN をセキュリティ強化するための要件および手順は ESX ホストで使用できるハードウェア iscsi アダプタおよび ESX ホストから直接構成された iscsi の場合と似ています認証を介した iscsi デバイスのセキュリティ強化望ましくない侵入者から iscsi デバイスを保護するためにホストがターゲット LUN のデータにアクセスしようとしたときに ESX ホスト ( イニシエータ ) を iscsi デバイス ( ターゲット ) で認証するよう要求する方法があります認証の目的はイニシエータがターゲットのアクセス権および認証を構成するときに付与した権利を持っていることを立証することです ESX は iscsi の Kerberos SRP (Secure Remote Protocol) 公開鍵認証方法をサポートしていませんまた IPsec 認証および暗号化もサポートしていません vsphere Client を使用して認証が実行されているかを判別し認証方法を構成します iscsi SAN でのチャレンジハンドシェイク認証プロトコル (CHAP) の有効化 CHAP 認証を使用するように iscsi SAN を構成できます CHAP 認証ではイニシエータが iscsi ターゲットにアクセスするとターゲットは事前に定義されている ID 値および乱数またはキーをイニシエータに送信しますイニシエータはターゲットに送信する一方向のハッシュ値を作成しますこのハッシュには事前に定義された ID 値ターゲットにより送信される乱数イニシエータとターゲットで共有されるプライベート値 ( すなわち CHAP シークレット ) の 3 つの構成要素が含まれますターゲットがイニシエータからハッシュを受け取ると同じ構成要素を使用して独自のハッシュ値を作成しこれをイニシエータのハッシュと比較します結果が一致するとターゲットはイニシエータを認証します ESX は iscsi の一方向および双方向の CHAP 認証をサポートしています一方向の CHAP 認証ではターゲットはイニシエータを認証しますがイニシエータはターゲットを認証しません双方向の CHAP 認証ではセキュリティのレベルが強化されイニシエータがターゲットを認証できます ESX はホストからすべてのターゲットに対して 1 つの認証証明書セットしか送信できない場合にアダプタレベルで CHAP 認証をサポートしていますまたターゲットごとの CHAP 認証もサポートしていますこれにより各ターゲットに異なる証明書を作成してターゲットをより詳細に調整できます CHAP の操作方法については iscsi イニシエータの CHAP パラメータの構成 (P. 91) を参照してください iscsi SAN 認証の無効化認証を使用しないように iscsi SAN を構成できます iscsi ターゲットデバイスが通常は特定のイニシエータのみと通信するように設定されているためイニシエータとターゲット間の通信は初歩的な方法で認証されますより強制的な認証を使用しないという選択に意味があるのは iscsi ストレージが 1 つの場所にありすべての iscsi デバイスにサービスを提供する専用ネットワークまたは VLAN を作成している場合だけです iscsi 構成は不要なアクセスから隔離されファイバチャネル SAN と同じくらい安全です基本ルールとして認証を無効にするのは iscsi SAN への攻撃リスクを許容できる場合か人為的なエラーから生じる問題に対処できる場合だけです ESX は iscsi の Kerberos SRP (Secure Remote Protocol) 公開鍵認証方法をサポートしていませんまた IPsec 認証および暗号化もサポートしていません vsphere Client を使用して認証が実行されているかを判別し認証方法を構成します CHAP の操作方法については iscsi イニシエータの CHAP パラメータの構成 (P. 91) を参照してください VMware, Inc. 155

156 iscsi SAN の保護 iscsi 構成を計画するときは iscsi SAN の全体のセキュリティを向上させる方法を使用します iscsi 構成のセキュリティは IP ネットワーク程度なのでネットワークを設定するときに優れたセキュリティ標準を適用して iscsi ストレージの安全性を高めてください次に優れたセキュリティ標準を実装するための提案をいくつか示します転送データの保護 iscsi SAN の第一のセキュリティリスクは転送されるストレージデータを攻撃者が傍受する可能性があることです攻撃者が iscsi データを簡単に参照できないよう対策を強化してくださいハードウェア iscsi アダプタおよび ESX ホスト iscsi イニシエータはターゲット間で受け渡しするデータを暗号化しないのでデータはより傍受攻撃を受けやすくなります仮想マシンに iscsi 構成を使用して仮想スイッチと VLAN を共有できるように設定すると iscsi トラフィックが仮想マシン攻撃者により悪用される危険性があります攻撃者が iscsi 転送を受信できないようにするには仮想マシンのいずれからも iscsi ストレージネットワークを参照できないようにしてくださいハードウェア iscsi アダプタを使用している場合このようにするには iscsi アダプタおよび ESX 物理ネットワークアダプタがスイッチの共有やその他の方法によってホストの外部で不注意に接続されないようにします ESX ホストを直接介して iscsi を構成する場合は図 12-5 に示すように仮想マシンが使用する仮想スイッチとは別の仮想スイッチを介して iscsi ストレージを構成することでこのようにできます図個別の仮想スイッチでの iscsi ストレージ専用仮想スイッチを提供することで iscsi SAN を保護するほかに iscsi SAN を独自の VLAN で構成してパフォーマンスとセキュリティを向上させることができます iscsi 構成を個別の VLAN に置くと iscsi アダプタ以外のデバイスが iscsi SAN 内の転送を参照できなくなりますまたほかのソースからのネットワーク接続も iscsi トラフィックを妨害できなくなります安全な iscsi ポート iscsi デバイスを実行する場合 ESX ホストはネットワーク接続を待機するポートを開きませんこれは攻撃者がスペアポートを介して ESX ホストに侵入しホストの制御を取得する機会が減ることを意味していますしたがって iscsi を実行すると接続の ESX ホスト側で新たなセキュリティリスクが生じることがありません実行する任意の iscsi ターゲットデバイスには iscsi 接続を待機するために 1 つまたは複数のオープン TCP ポートが必要です iscsi デバイスソフトウェアのセキュリティが脆弱である場合 ESX に問題がなくてもデータにはリスクが生じることがありますこのリスクを軽減するためストレージメーカーが提供するすべてのセキュリティパッチをインストールし iscsi ネットワークに接続されるデバイスを制限します 156 VMware, Inc.

157 認証およびユーザー管理 13 ESX はユーザー認証を処理しユーザー権限とグループ権限をサポートしますさらに vsphere Client および SDK への接続を暗号化できますこの章では次のトピックについて説明します認証および権限による ESX のセキュリティ強化 (P. 157) ESX の暗号化およびセキュリティ証明書 (P. 164) 認証および権限による ESX のセキュリティ強化 vsphere Client または vcenter Server のユーザーが ESX ホストに接続すると VMware Host Agent プロセスとの接続が確立されますプロセスはユーザー名およびパスワードを認証に使用します ESX ではユーザーが vsphere Client vsphere Web Access またはサービスコンソールを使用して ESX ホストにアクセスするときに認証に PAM (Pluggable Authentication Module) 構造を使用します VMware サービスの PAM 構成は認証モジュールへのパスを保存している /etc/pam.d/vmware-authd にあります ESX のデフォルトインストールでは Linux と同様に /etc/passwd の認証を使用しますただし別の分散認証メカニズムを使用するよう ESX を構成することもできます ESX のデフォルト実装の代わりにサードパーティ製の認証ツールを使用する場合手順についてはベンダーのマニュアルを参照してくださいサードパーティ製の認証の設定の一部として新しいモジュールの情報を使用して /etc/pam.d フォルダ内のファイルを更新する必要がある場合があります VMware Host Agent (vmware-hostd) プロセスのリバースプロキシはポート 80 および 443 で待機します vsphere Client または vcenter Server のユーザーはこれらのポートを介してホストエージェントに接続します vmware-hostd プロセスはクライアントからユーザー名とパスワードを受け取り認証を実行するためにそれらを PAM モジュールに転送します図 13-1 に ESX が vsphere Client からのトランザクションをどのように認証するかについて基本的な例を示します注意 CIM トランザクションは vmware-hostd プロセスとの接続時にチケットベースの認証も使用します VMware, Inc. 157

158 図 ESX での vsphere Client の通信に対する認証 vsphere Client 管理機能コンソールユーザー名 / パスワード認証チケットベースの認証 ESX サービスコンソール vmware-hostd VMkernel 仮想マシン vmkauthd vsphere Web Access およびサードパーティのネットワーク管理クライアントを使用した ESX の認証トランザクションも vmware-hostd プロセスと直接通信しますサイトで認証が効率的に機能するようにするにはユーザーグループ権限およびロールの設定とユーザー属性の構成独自の認証の追加 SSL を使用するかどうかの決定など基本的なタスクを実行しますユーザーグループ権限およびロールについて vcenter Server および ESX ホストはユーザー名パスワードおよび権限の組み合わせを使用してユーザーのアクセスを認証しアクティビティを許可します権限を割り当てることによってホストクラスタデータストアリソースプールネットワークポートグループおよび仮想マシンへのアクセスを制御できます ESX ホストおよびそのリソースへのアクセス権は適切な権限を持つ既知のユーザーが正しいパスワードでホストにログインすると付与されます vcenter Server はユーザーにアクセス権を付与するかどうかを判断するときにも同様の手段を使用します vcenter Server および ESX ホストは次の場合にアクセスを拒否しますユーザーリストにないユーザーがログインしようとした場合ユーザーが間違ったパスワードを入力した場合リストに記載されているが権限が割り当てられていないユーザーの場合ログインに成功したユーザーが実行する権限がない操作を行おうとした場合 ESX ホストおよび vcenter Server の管理の一部として特定のタイプのユーザーと権限を扱う方法を計画する必要があります ESX および vcenter Server は権限のセット ( ロール ) を使用して個々のユーザーやグループが実行できる操作を制御します事前定義ロールが提供されていますが新規のロールを作成することもできますユーザーをグループに割り当てるとユーザーをさらに簡単に管理できますグループにロールを適用するとグループ内のすべてのユーザーがそのロールを継承します 158 VMware, Inc.

159 第 13 章認証およびユーザー管理ユーザーについてユーザーとは ESX ホストまたは vcenter Server にログインすることを許可されている個人です ESX ユーザーは次の 2 つのカテゴリに分類されます vcenter Server からホストにアクセスできる個人および vsphere Client vsphere Web Access サードパティクライアントコマンドシェルからホストに直接ログインすることでホストにアクセスできる個人 vcenter Server の許可ユーザー vcenter Server に対して許可されているユーザーは vcenter Server が参照する Windows ドメインリストに含まれているユーザーまたは vcenter Server ホスト上のローカルな Windows ユーザーです vcenter Server を使用してユーザーを手動で作成削除または変更することはできません Windows ドメインを管理するツールを使用する必要があります変更は vcenter Server に反映されますただしユーザーインターフェイスではレビューのためのリストは表示されません直接アクセスユーザー ESX ホストで直接作業することが許可されるユーザーはシステム管理者により内部ユーザーリストに追加されたユーザーですシステム管理者はパスワードグループメンバーシップおよび権限の変更やユーザーの追加と削除などこれらのユーザーに対するさまざまな管理アクティビティを実行できます vcenter Server が保持しているユーザーリストはホストが保持しているユーザーリストとは異なりますたとえ両方のリストに共通のユーザー ( たとえば devuser というユーザー ) がいてもそれらのユーザーを別のものとして扱います vcenter Server に devuser としてログインした場合にデータストアからファイルを表示したり削除したりできても ESX ホストに devuser としてログインした場合にこれらの権限がないことがあります名前の重複による混乱が生じることがあるため ESX ホストユーザーを作成する前に vcenter Server のユーザーリストを確認して名前が重複しないようにします vcenter Server ユーザーを確認するには Windows ドメインリストを参照しますグループについてグループとはルールや権限の共通のセットを共有するユーザーのセットです権限をグループに割り当てるとグループ内のすべてのユーザーに継承されユーザープロファイルを個別に扱う必要がなくなりますシステム管理者はセキュリティや利用目的を実現するためにグループ構造を決定しますたとえば 3 人のパートタイムのセールスチームメンバーが異なる日に働き 1 台の仮想マシンを共有するようにしますがセールスマネージャに属する仮想マシンは使用しないようにしますこの場合 3 人の販売員が所属している SalesShare というグループを作成し 1 つのオブジェクト ( 共有する仮想マシン ) のみと対話する権限をそのグループに付与します販売員はセールスマネージャの仮想マシンに対してアクションを実行することはできません vcenter Server および ESX ホストのグループリストは個々のユーザーリストと同じソースから導出されます vcenter Server ではグループリストは Windows ドメインから呼び出されます ESX ホストに直接ログインする場合グループリストはホストが保持しているテーブルから呼び出されます権限について ESX および vcenter Server では権限はアクセスロールとして定義されておりこれらのロールはユーザーと仮想マシンや ESX ホストなどのオブジェクトについてユーザーに割り当てられているロールで構成されていますほとんどの vcenter Server および ESX ユーザーはホストに関連するオブジェクトを操作する機能が制限されていますシステム管理者ロールを持つユーザーはデータストアホスト仮想マシンおよびリソースプールなどあらゆる仮想オブジェクトに関する完全なアクセス権と権限を有しますデフォルトでは管理者ロールは root ユーザーに付与されます vcenter Server がホストを管理する場合は vpxuser も管理者ユーザーです VMware, Inc. 159

160 特権のリストは ESX と vcenter Server のどちらも同一であり権限を構成する方法も同じです ESX ホストに直接接続してロールを作成し権限を設定できますこれらのタスクは vcenter Server で一般的に使用されるため権限やロールの操作については基本システム管理を参照してください root ユーザー権限の割り当て root ユーザーはログインしている特定の ESX ホスト上でのみアクティビティを実行できますセキュリティ上の理由からシステム管理者ロールの root ユーザーを使用しない場合があるかもしれませんこの場合基本システム管理のユーザーグループ権限およびロールの管理のセクションに記載されているようにインストール後に権限を変更して root ユーザーが管理権限を持たないように設定したり vsphere Client を使用して root ユーザーのアクセス権を完全に削除したりできますこれらの操作を行う場合システム管理者ロールに割り当てられたユーザーがほかにもいる root レベルで最初に別の権限を作成する必要がありますシステム管理者ロールをほかのユーザーに割り当てるとトレーサビリティを使用したセキュリティの維持に役立ちます vsphere Client はシステム管理者ロールユーザーによって開始されたすべてのアクションをイベントとして記録し監査証跡を提供しますすべてのシステム管理者が root ユーザーとしてログインしている場合アクションを実行したシステム管理者を特定することはできません複数の権限を ( それぞれ異なるユーザーまたはユーザーグループに割り当てられている ) root レベルで作成すると各システム管理者または管理グループのアクションを追跡できます代理のシステム管理者ユーザーを作成したあとであれば root ユーザーの権限を削除したりロールを変更して root ユーザーの権限を制限したりすることができますホストを vcenter Server の管理下に置くときにホスト認証ポイントとして作成した新規ユーザーを使用する必要があります注意 vicfg コマンドはアクセスチェックを実行しませんそのため root ユーザーの権限を制限してもユーザーがコマンドラインインターフェイスコマンドを使用して実行できる機能に影響を与えません vpxuser の権限について vpxuser 権限はホストに対するアクティビティを管理する場合に vcenter Server で使用されます vpxuser は ESX ホストと vcenter Server を接続するときに作成されます vcenter Server には管理するホストに対する管理者権限がありますたとえば vcenter Server はホスト間で仮想マシンを移動して仮想マシンのサポートに必要な構成変更を実行できます vcenter Server の管理者は root ユーザーとほとんど同じタスクをホストで実行できますまたタスクのスケジュール設定やテンプレートの使用なども実行できますただし vcenter Server の管理者は ESX ホストのユーザーおよびグループを直接作成削除または編集することはできませんこれらの作業は各 ESX ホストに対して直接に管理者権限を持っているユーザーのみが実行できます注意 vpxuser およびその権限は変更しないでください変更すると vcenter Server を介して ESX ホストで作業する場合に問題が発生することがありますロールについて vcenter Server および ESX はでオブジェクトに対する権限が割り当てられているユーザーにのみそのオブジェクトへのアクセス権を付与しますオブジェクトにユーザーまたはグループ権限を割り当てる場合ユーザーまたはグループとロールのペアを作りますロールとは事前に定義された権限セットです ESX ホストは 3 つのデフォルトロールを提供しますこれらのロールに関連付けられている権限は変更できません後続の各デフォルトロールには先行するロールの権限が含まれますたとえばシステム管理者ロールは読み取り専用ロールの権限を引き継ぎますユーザーが作成したロールにはデフォルトロールから引き継がれる権限はありませんカスタムロールを作成するには vsphere Client のロール編集機能を使用してユーザーニーズに合った権限セットを作成します vcenter Server に接続されている vsphere Client を使用して ESX ホストを管理する場合 vcenter Server でさらに選択するロールがありますまた ESX ホストで直接作成したロールは vcenter Server ではアクセスできませんこれらのロールを使用できるのは vsphere Client から直接ホストにログインした場合だけです 160 VMware, Inc.

161 第 13 章認証およびユーザー管理 vcenter Server を介して ESX ホストを管理する場合ホストと vcenter Server でカスタムロールを保持していると混乱や誤用が生じることがありますこのタイプの構成では vcenter Server のみでカスタムロールを保持します ESX ホストに直接接続してロールを作成し権限を設定できますほとんどのユーザーは vcenter Server でロールを作成して権限を設定するため権限やロールの操作については基本システム管理を参照してくださいアクセスなしロールの割り当てオブジェクトに対してアクセスなしロールが割り当てられているユーザーはオブジェクトを表示または変更できません新しいユーザーとグループにはデフォルトでこのロールが割り当てられますロールはオブジェクトごとに変更できます特定のオブジェクトに対してアクセスなしロールが割り当てられているユーザーはそのオブジェクトに関連付けられている vsphere Client のタブを選択することはできますがタブに内容は表示されませんデフォルトでアクセスなしロールが割り当てられていないユーザーは root ユーザーおよび vpxuser 権限だけです代わりにこれらのユーザーにはシステム管理者ロールが割り当てられています最初にシステム管理者ロールを持つ root レベルで代替権限を作成しこのロールを別のユーザーに割り当てている場合は root ユーザーの権限を完全に削除したりそのロールをアクセスなしロールに変更したりできます読み取り専用ロールの割り当てオブジェクトに対して読み取り専用ロールが割り当てられているユーザーはオブジェクトの状態および詳細を表示できますこのロールが割り当てられているユーザーは仮想マシンホストおよびリソースプール属性を表示できますただしホストのリモートコンソールは表示できませんメニューおよびツールバーのすべてのアクションは無効になります管理者ロールの割り当てオブジェクトの管理者ロールが割り当てられているユーザーはオブジェクトのすべてのアクションを表示および実行できますこのロールには読み取り専用ロールのすべての権限も含まれます ESX ホスト上でシステム管理者ロールで操作している場合そのホストの個々のユーザーとグループに権限を付与できます vcenter Server 上でシステム管理者ロールで操作している場合 vcenter Server が参照する Windows ドメインリストに含まれる任意のユーザーまたはグループに権限を付与できます vcenter Server は選択された Windows ドメインユーザーまたはグループを権限割り当てプロセスを介して登録しますデフォルトでは vcenter Server のローカル Windows Administrators グループのメンバーであるすべてのユーザーにシステム管理者ロールが割り当てられている任意のユーザーと同じアクセス権が付与されますシステム管理者グループのメンバーである各ユーザーはログインしてフルアクセス権を使用できますセキュリティ上の理由からシステム管理者ロールから Windows Administrators グループを削除することを検討してください権限はインストール後に変更できますまたは vsphere Client を使用して Windows Administrators のアクセス権を削除する場合は最初に別のユーザーがシステム管理者ロールに割り当てられている root レベルの別の権限を作成する必要があります ESX ホストでのユーザーおよびグループの使用 vsphere Client を介して ESX ホストに直接接続している場合ユーザーおよびグループを作成編集および削除できますこれらのユーザーおよびグループは ESX ホストにログインすればいつでも vsphere Client で表示できますが vcenter Server にログインした場合は使用できませんユーザーおよびグループのリストの表示ソートおよびエクスポート ESX のユーザーおよびグループのリストを HTML XML Microsoft Excel または CSV のいずれかの形式のファイルで表示ソートおよびエクスポートできます手順 1 vsphere Client を使用してホストにログインします 2 [ ユーザーおよびグループ ] タブをクリックして [ ユーザー ] または [ グループ ] をクリックします VMware, Inc. 161

162 3 テーブルのソート方法を決めエクスポートしたファイルで表示する情報に応じて列を非表示にしたり表示したりします列でテーブルをソートするには列ヘッダーをクリックします列を表示または非表示にするには列ヘッダーを右クリックして非表示にする列の名前を選択または選択解除します列を表示または非表示にするには列ヘッダーを右クリックして非表示にする列の名前を選択または選択解除します 4 ユーザーテーブル上で右クリックして [ リストのエクスポート ] をクリックすると名前を付けて保存ダイアログボックスが開きます 5 パスを選択してファイル名を入力します 6 ファイルタイプを選択し [OK] をクリックしますユーザーテーブルへのユーザーの追加ユーザーをユーザーテーブルに追加すると ESX で保持している内部のユーザーリストが更新されます手順 1 vsphere Client を使用してホストにログインします 2 [ ユーザーおよびグループ ] タブをクリックして [ ユーザー ] をクリックします 3 ユーザーテーブル上で右クリックして [ 追加 ] をクリックすると新規ユーザーの追加ダイアログボックスが開きます 4 ログインユーザー名数値のユーザー ID (UID) パスワードを入力しますユーザー名と UID の指定は任意です UID を指定しない場合 vsphere Client により次に使用できる UID が割り当てられます長さと複雑さの要件を満たすパスワードを作成しますただしユーザーが認証を pam_passwdqc.so プラグインに切り替えている場合のみ ESX ホストによりパスワードの整合性が確認されますデフォルトの認証プラグイン (pam_cracklib.so) ではパスワード設定はありません 5 コマンドシェルを介してユーザーが ESX ホストにアクセスできるようにするには [ このユーザーへのシェルアクセスの許可 ] を選択します通常正当な理由がないかぎりユーザーにシェルアクセスを付与しないでください vsphere Client のみからホストにアクセスするユーザーにはシェルアクセスは必要ありません 6 ユーザーをグループに追加するには [ グループ ] ドロップダウンメニューからグループを選択して [ 追加 ] をクリックします 7 [OK] をクリックしますユーザーの設定の変更ユーザーに関するユーザー ID ユーザー名パスワードおよびグループの設定を変更できますユーザーにシェルアクセスを付与することもできます手順 1 vsphere Client を使用してホストにログインします 2 [ ユーザーおよびグループ ] タブをクリックして [ ユーザー ] をクリックします 3 ユーザーを右クリックして [ 編集 ] をクリックするとユーザーの編集ダイアログボックスが開きます 4 ユーザー ID を変更するには [UID] テキストボックスに数値で UID を入力します最初にユーザーを作成すると vsphere Client によって UID が割り当てられます通常この割り当てを変更する必要はありません 162 VMware, Inc.

163 第 13 章認証およびユーザー管理 5 新規ユーザー名を入力します 6 ユーザーのパスワードを変更するには [ パスワードの変更 ] を選択して新規パスワードを入力します 7 コマンドシェルを介して ESX ホストにアクセスするユーザー機能を変更するには [ このユーザーへのシェルアクセスの許可 ] を選択または選択解除します 8 ユーザーをグループに追加するには [ グループ ] ドロップダウンメニューからグループを選択して [ 追加 ] をクリックします 9 ユーザーをグループから削除するには [ グループメンバーシップ ] ボックスからグループ名を選択して [ 削除 ] をクリックします 10 [OK] をクリックしますユーザーまたはグループの削除 ESX ホストからユーザーまたはグループを削除できます注意 root ユーザーは削除しないでください手順 1 vsphere Client を使用してホストにログインします 2 [ ユーザーおよびグループ ] タブをクリックして [ ユーザー ] または [ グループ ] をクリックします 3 削除するユーザーまたはグループを右クリックして [ 削除 ] をクリックしますグループテーブルへのグループの追加グループを ESX グループテーブルに追加するとホストで保持している内部のグループリストが更新されます手順 1 vsphere Client を使用してホストにログインします 2 [ ユーザーおよびグループ ] タブをクリックして [ グループ ] をクリックします 3 グループテーブル上で右クリックして [ 追加 ] をクリックすると新規グループの追加ダイアログボックスが開きます 4 [ グループ ID] テキストボックスにグループ名と数字のグループ ID (GID) を入力します GID の指定は任意です GID を指定しない場合 vsphere Client により次に使用できるグループ ID が割り当てられます 5 グループメンバーとして追加する各ユーザーにリストからユーザー名を選択して [ 追加 ] をクリックします 6 [OK] をクリックしますグループに対するユーザーの追加または削除グループテーブル内のグループからユーザーを追加または削除できます手順 1 vsphere Client を使用してホストにログインします 2 [ ユーザーおよびグループ ] タブをクリックして [ グループ ] をクリックします 3 変更するグループを右クリックして [ プロパティ ] をクリックするとグループの編集ダイアログボックスが開きます 4 ユーザーをグループに追加するには [ グループ ] ドロップダウンメニューからグループを選択して [ 追加 ] をクリックします VMware, Inc. 163

164 5 ユーザーをグループから削除するには [ グループメンバーシップ ] ボックスからグループ名を選択して [ 削除 ] をクリックします 6 [OK] をクリックします ESX の暗号化およびセキュリティ証明書 ESX は SSL v3 および TLS v1 をサポートしますここではこれらの総称として SSL という語を使用します SSL を有効にするとデータはプライベートになり保護されるため通信時にデータが気づかれずに変更されることはありません次の条件を満たしている場合すべてのネットワークトラフィックが暗号化されます暗号化されていないトラフィックをポートが通過できるように Web プロキシサービスを変更していないサービスコンソールファイアウォールが中または高レベルのセキュリティに構成されているホスト証明書の検証はデフォルトで有効にされていますまた SSL 証明書はネットワークトラフィックの暗号化に使用されますただし ESX はインストールプロセスの一部として作成されホストに格納される自動生成の証明書を使用しますこれらの証明書は一意ですサーバの使用は開始できますが立証はできず信頼性が高いことで有名な認証局 (CA) によって署名されているものではありませんこれらのデフォルトの証明書は潜在的な中間者攻撃に対して脆弱です証明書の検証のすべての機能を利用するには ( 特に社外で暗号化によるリモート接続を使用する場合 ) 有効な内部認証局によって署名されている新しい証明書をインストールするか信頼できるセキュリティ機関から証明書を購入します注意自己署名の証明書を使用した場合クライアントには証明書に関する警告が表示されますこの問題に対処するには公認の認証局によって署名された証明書をインストールします CA によって署名されている証明書がインストールされていない場合 vcenter Server と vsphere Client 間のすべての通信は自己署名証明書を使用して暗号化されますこれらの証明書は本番環境に必要な認証セキュリティは提供しません証明書のデフォルトの場所は ESX ホストの /etc/vmware/ssl/ です証明書は 2 つのファイル証明書自体 (rui.crt) と秘密鍵ファイル (rui.key) で構成されます証明書の検証の有効化とホストのサムプリントの検証中間者攻撃を防ぎ証明書によるセキュリティを完全に活用するため証明書の検証はデフォルトで有効になっています証明書の検証が有効になっていることは vsphere Client で確認できます注意 vcenter Server の証明書は複数のアップグレードにわたって保持されます手順 1 vsphere Client を使用して vcenter Server システムにログインします 2 [ 管理 ] - [vcenter Server 設定 ] を選択します 3 左側のペインで [SSL 設定 ] をクリックし [ ホストの証明書を確認 ] が選択されていることを確認します 4 手動での検証が必要なホストがある場合ホスト用に一覧表示されたサムプリントとホストコンソール内のサムプリントを比較しますホストのサムプリントを取得するには ESX ホストで次のコマンドを実行します openssl x509 -in /etc/vmware/ssl/rui.crt -fingerprint -sha1 -noout 5 サムプリントが一致している場合ホストの横にある [ 検証 ] を選択します選択しなかったホストは [OK] をクリックすると切断されます 6 [OK] をクリックします 164 VMware, Inc.

165 第 13 章認証およびユーザー管理 ESX ホストの新しい証明書の生成システムを最初に起動したとき ESX ホストにより証明書が生成されます場合によってはホストに強制的に新しい証明書を作成させる必要がある場合もあります通常新しい証明書を生成するのはホスト名を変更する場合または証明書を誤って削除した場合のみです vmware-hostd プロセスを再開するたびに mgmt-vmware スクリプトが既存の証明書ファイル (rui.crt および rui.key) を検索しますこれらのファイルが見つからない場合はこのスクリプトが新しい証明書ファイルを生成します手順 1 ディレクトリ /etc/vmware/ssl で次のコマンドを使用して既存の証明書の名前を変更しバックアップを作成します mv rui.crt orig.rui.crt mv rui.key orig.rui.key 注意証明書を誤って削除したために再作成する場合は証明書の名前を変更する必要はありません 2 次のコマンドを使用して vmware-hostd プロセスを再開します service mgmt-vmware restart 3 新しい証明書ファイルのタイムスタンプを orig.rui.crt および orig.rui.key と比較する次のコマンドを使用して ESX ホストが新しい証明書を正常に生成したことを確認します ls -la デフォルトの証明書と CA 署名付き証明書との置き換え ESX ホストはインストールプロセスの一部として作成される自動生成の証明書を使用しますこれらの証明書は一意ですサーバの使用は開始できますが立証はできず信頼性が高いことで有名な認証局 (CA) によって署名されているものではありませんデフォルトの証明書を使用すると自社のセキュリティポリシーを満たさないことがあります信頼できる認証局からの証明書が必要な場合はデフォルトの証明書を置き換えることができます手順 1 サービスコンソールにログインし root 権限を取得します 2 ディレクトリ /etc/vmware/ssl で次のコマンドを使用して既存の証明書の名前を変更します mv rui.crt orig.rui.crt mv rui.key orig.rui.key 3 新しい証明書と鍵を /etc/vmware/ssl にコピーします 4 新しい証明書と鍵を rui.crt および rui.key にそれぞれ名前変更します 5 vmware-hostd プロセスを再開して証明書を有効にします service mgmt-vmware restart SSL のタイムアウトの構成 ESX の SSL のタイムアウトを構成できますタイムアウト期間は 2 つのタイプのアイドル接続について設定できます読み取りタイムアウト設定は ESX のポート 443 との SSL ハンドシェイクプロセスを完了した接続に適用されますハンドシェイクタイムアウト設定は ESX のポート 443 との SSL ハンドシェイクプロセスを完了していない接続に適用されますどちらの接続タイムアウトもミリ秒単位で設定します VMware, Inc. 165

166 アイドル接続はタイムアウト期間が経過したあと切断されますデフォルトでは完全に確立された SSL 接続のタイムアウトは無限の長さになります手順 1 サービスコンソールにログインし root 権限を取得します 2 /etc/vmware/hostd/ ディレクトリに移動します 3 テキストエディタを使用して config.xml ファイルを開きます 4 <readtimeoutms> の値をミリ秒単位で入力しますたとえば読み取りタイムアウトを 20 秒に設定するには次のコマンドを入力します <readtimeoutms>20000</readtimeoutms> 5 <handshaketimeoutms> の値をミリ秒単位で入力しますたとえばハンドシェイクタイムアウトを 20 秒に設定するには次のコマンドを入力します <handshaketimeoutms>20000</handshaketimeoutms> 6 変更内容を保存しファイルを閉じます 7 次のコマンドを入力して vmware-hostd プロセスを再開します service mgmt-vmware restart 例構成ファイルファイル /etc/vmware/hostd/config.xml の次のセクションは SSL タイムアウト設定を入力する箇所を示しています <vmacore>... <http> <readtimeoutms>20000</readtimeoutms> </http>... <ssl>... <handshaketimeoutms>20000</handshaketimeoutms>... </ssl> </vmacore> ESX Web プロキシ設定の変更 Web プロキシ設定を変更する場合暗号化とユーザーセキュリティについて考慮すべきガイドラインがいくつかあります注意ホストのディレクトリまたは認証メカニズムに変更を加えたあと service mgmt-vmware restart コマンドを入力して vmware-hostd プロセスを再開しますパスフレーズを使用する証明書を設定しないでください ESX はパスフレーズ ( 暗号鍵とも呼ばれる ) をサポートしていませんパスフレーズを設定すると ESX プロセスが正しく起動できませんデフォルト以外の場所で証明書を検索するように Web プロキシを構成できますこの機能は複数のホストで証明書を使用できるようにその証明書を 1 台のマシンで一元管理している企業で役に立ちます注意証明書がホストにローカルに格納されていない場合 ( たとえば NFS 共有に格納されている場合 ) ESX でネットワーク接続が失われるとホストがそれらの証明にアクセスできなくなりますその結果ホストに接続するクライアントがホストとの安全な SSL ハンドシェイクに正常に参加できなくなります 166 VMware, Inc.

167 第 13 章認証およびユーザー管理ユーザー名パスワードおよびパケットの暗号化をサポートするために vsphere Web Access および vsphere Web Service SDK 接続ではデフォルトで SSL が有効になっていますこれらの接続が送信内容を暗号化しないように構成するには接続を HTTPS から HTTP に切り替えて vsphere Web Access 接続または vsphere Web Service SDK 接続の SSL を無効にしますファイアウォールが適切に設定されてホスト間の転送が完全に隔離された完全に信頼できる環境をそれらのクライアントに作成した場合のみ SSL を無効にすると考えてください SSL を無効にすると暗号化の実行に必要なオーバーヘッドが回避されるのでパフォーマンスが向上します vsphere Web Access をホストする内部 Web サーバなど ESX サービスの悪用を防ぐためにほとんどの内部 ESX サービスは HTTPS 転送に使用されるポート 443 を介してのみアクセスできますポート 443 は ESX のリバースプロキシとして機能します ESXi のサービスのリストは HTTP のようこそページから参照できますが適切な権限がないとこれらのサービスに直接アクセスすることはできません HTTP 接続を介して個々のサービスに直接アクセスできるようにこの構成を変更できますただし完全に信頼できる環境で ESX を使用していないかぎりこのような変更は行わないでください vcenter Server および vsphere Web Access をアップグレードしても証明書はそのまま残ります vcenter Server および vsphere Web Access を削除しても証明書のディレクトリはサービスコンソールから削除されませんデフォルト以外の場所で証明書を検索するための Web プロキシの構成デフォルト以外の場所で証明書を検索するように Web プロキシを構成できますこれは複数のホストで証明書を使用できるようにその証明書を 1 台のマシンで一元管理している企業で役に立ちます手順 1 サービスコンソールにログインし root 権限を取得します 2 /etc/vmware/hostd/ ディレクトリに変更します 3 テキストエディタを使用して proxy.xml ファイルを開き次の XML セグメントを検索します <ssl>  <privatekey>/etc/vmware/ssl/rui.key</privatekey>  <certificate>/etc/vmware/ssl/rui.crt</certificate> </ssl> 4 /etc/vmware/ssl/rui.key を信頼できる認証局から受信したプライベートキーファイルへの絶対パスに置き換えますこのパスは ESX ホストまたは企業の証明書と鍵を保存する一元管理されたマシンに設定できます注意 <privatekey> および </privatekey> XML タグはそのままにします 5 /etc/vmware/ssl/rui.crt を信頼できる認証局から受信した証明書ファイルへの絶対パスに置き換えます注意元の rui.key および rui.crt ファイルは削除しないでくださいこれらのファイルは ESX ホストで使用されます 6 変更内容を保存しファイルを閉じます 7 次のコマンドを入力して vmware-hostd プロセスを再開します service mgmt-vmware restart VMware, Inc. 167

168 Web プロキシサービスのセキュリティ設定の変更 HTTP 接続を介して個々のサービスに直接アクセスできるようにセキュリティの構成を変更できます手順 1 サービスコンソールにログインし root 権限を取得します 2 /etc/vmware/hostd/ ディレクトリに変更します 3 テキストエディタを使用して proxy.xml ファイルを開きます通常ファイルの内容は次のようになっています <ConfigRoot> <EndpointList> <_length>6</_length> <_type>vim.proxyservice.endpointspec[]</_type> <e id="0"> <_type>vim.proxyservice.namedpipeservicespec</_type> <accessmode>httpswithredirect</accessmode> <pipename>/var/run/vmware/proxy-webserver</pipename> <servernamespace>/</servernamespace> </e> <e id="1"> <_type>vim.proxyservice.namedpipeservicespec</_type> <accessmode>httpswithredirect</accessmode> <pipename>/var/run/vmware/proxy-sdk</pipename> <servernamespace>/sdk</servernamespace> </e> <e id="2"> <_type>vim.proxyservice.localservicespec</_type> <accessmode>httpswithredirect</accessmode> <port>8080</port> <servernamespace>/ui</servernamespace> </e> <e id="3"> <_type>vim.proxyservice.namedpipeservicespec</_type> <accessmode>httpsonly</accessmode> <pipename>/var/run/vmware/proxy-vpxa</pipename> <servernamespace>/vpxa</servernamespace> </e> <e id="4"> <_type>vim.proxyservice.namedpipeservicespec</_type> <accessmode>httpswithredirect</accessmode> <pipename>/var/run/vmware/proxy-mob</pipename> <servernamespace>/mob</servernamespace> </e> <e id="5"> <_type>vim.proxyservice.localservicespec</_type>    <accessmode>httpandhttps</accessmode> <port>8889</port> 168 VMware, Inc.

169 第 13 章認証およびユーザー管理 <servernamespace>/wsman</servernamespace> </e> </EndpointList> </ConfigRoot> 4 セキュリティ設定を必要に応じて変更しますたとえば HTTPS を使用するサービスのエントリを変更して HTTP アクセスのオプションを追加できます <e id> はサーバ ID XML タグの ID 番号です ID 番号は HTTP エリア内で一意でなければなりません <_type> は移動するサービスの名前です <accessmode> はサービスが許可する通信の形式です次の値を使用できます httponly: プレーンテキスト HTTP 接続でのみサービスにアクセスできます httpsonly: HTTPS 接続でのみサービスにアクセスできます httpswithredirect: HTTPS 接続でのみサービスにアクセスできます HTTP による要求は適切な HTTPS URL にリダイレクトされます httpandhttps: HTTP 接続と HTTPS 接続の両方でサービスにアクセスできます <port> はサービスに割り当てられたポート番号です別のポート番号をサービスに割り当てることができます <servernamespace> はこのサービスを提供するサーバのネームスペースですたとえば /sdk または /mob です 5 変更内容を保存しファイルを閉じます 6 次のコマンドを入力して vmware-hostd プロセスを再開します service mgmt-vmware restart 例セキュリティ保護のないポートを介して通信するための vsphere Web Access 設定 vsphere Web Access は通常セキュリティのあるポート (HTTPS 443) を介して ESX ホストと通信します完全に信頼できる環境であればセキュリティのないポート (HTTP 80 など ) の大部分を許可できることがありますそのためには proxy.xml ファイルで Web サーバの accessmode 属性を変更しますその結果アクセスモードは httpswithredirect から httpandhttps へ変わります <_type>vim.proxyservice.localservicespec</_type> <accessmode>httpandhttps</accessmode> <port>8080</port> <servernamespace>/ui</servernamespace> VMware, Inc. 169

170 170 VMware, Inc.

171 サービスコンソールのセキュリティ 14 当社にはサービスコンソールに組み込まれているセキュリティ機能の使用方法も含めてサービスコンソールの使用に関する基本的なセキュリティ推奨事項がありますサービスコンソールは ESX の管理インターフェイスであるためそのセキュリティはきわめて重要です VMware では不正侵入や不正使用からサービスコンソールを保護するためにサービスコンソールのパラメータ設定およびアクティビティに制約が設けられていますこの章では次のトピックについて説明しますセキュリティに関する一般的推奨事項 (P. 171) サービスコンソールへのログイン (P. 172) サービスコンソールファイアウォールの構成 (P. 173) パスワード制限 (P. 176) 暗号強度 (P. 181) setuid および setgid フラグ (P. 181) SSH セキュリティ (P. 183) セキュリティパッチとセキュリティ脆弱性スキャンソフトウェア (P. 184) セキュリティに関する一般的推奨事項 VMware 製品は不正侵入や不正使用からサービスコンソールを保護するためにサービスコンソールのパラメータ設定およびアクティビティに制約を設けています実際の構成上の必要性に応じて制約を緩和できますがそうする場合は信頼できる環境で作業していることを確認しほかの適切なセキュリティ対策を十分にとることでネットワーク全体と ESX ホストの接続デバイスを保護してくださいサービスコンソールセキュリティの評価およびサービスコンソールの管理を行う際には次の推奨事項を考慮してくださいユーザーアクセスを制限する VMware, Inc. 171

172 セキュリティを強化するにはサービスコンソールへのユーザーアクセスを制限しパスワード制限を設定するなどアクセスに関するセキュリティポリシーを強制的に適用しますたとえば文字長パスワードの有効期間 grub のパスワードを使用したホストの起動などですサービスコンソールは ESX の特定の部分に対するアクセス権を持っていますしたがって信頼できるユーザーのみにログインしてアクセスする権限を付与しますデフォルトでは root ユーザーとしてセキュアシェル (SSH) にログインすることを禁止することで root アクセスが制限されていますこのデフォルト設定を維持することを強くお勧めします ESX システム管理者は一般ユーザーとしてログインしてから root 権限を必要とする特定のタスクを実行する場合は sudo コマンドを使用する必要がありますさらにサービスコンソール上で実行する処理を可能なかぎり減らしますウイルスチェッカー仮想マシンのバックアップなどの処理サービスおよびエージェントのみを実行するよう努めるのが理想的です vsphere Client を使用して ESX ホストを管理する root ユーザーとしてコマンドラインインターフェイスを使用する代わりに可能な場合は必ず vsphere Client vsphere Web Access またはサードパーティ製のネットワーク管理ツールを使用して ESX ホストを管理します vsphere Client を使用してサービスコンソールへのアクセス権を持つアカウントを制限し責任を安全に委譲してまたロールを設定しシステム管理者やユーザーが不必要な機能を使用することを防止できますサービスコンソール上で実行する ESX コンポーネントのアップグレードには VMware ソースのみを使用するサービスコンソールでは管理インターフェイスや実行する必要があるタスクをサポートするために Tomcat Web サービスなどのさまざまなサードパーティ製パッケージが使用されます VMware 製品では VMware ソース以外からのパッケージのアップグレードをサポートしていません別のソースからダウンロードしたパッケージやパッチを使用するとサービスコンソールのセキュリティや機能が低下する場合がありますセキュリティに関する注意事項についてはサードパーティベンダーのサイトや当社のナレッジベースを定期的に確認してくださいサービスコンソールへのログインほとんどの ESX 構成のアクティビティは vsphere Client を介して実行しますが特定のセキュリティ機能を構成する場合にはサービスコンソールのコマンドラインインターフェイスを使用しますコマンドラインインターフェイスを使用するにはホストにログインする必要があります手順 1 次のいずれかの方法を使用して ESX ホストにログインしますホストに直接アクセス可能な場合はマシンの物理コンソールで [Alt] + [F2] を押してログインページを開きますホストにリモート接続する場合は SSH などのリモートコンソール接続を使用してホスト上でセッションを開始します 2 ESX ホストで認識されるユーザー名とパスワードを入力します root 権限の必要なアクティビティを実行する場合は認識されるユーザーでサービスコンソールにログインし sudo コマンドを使用して root 権限を獲得しますこのコマンドを使用すると su コマンドを使用した場合よりもセキュリティが強化されます次に進む前に ESX 固有のコマンドに加えてサービスコンソールのコマンドラインインターフェイスを使用すると多くの Linux および UNIX コマンドを実行できますサービスコンソールコマンドの詳細については man< コマンド名 > コマンドを使用して man ページを参照してください 172 VMware, Inc.

173 第 14 章サービスコンソールのセキュリティサービスコンソールファイアウォールの構成 ESX ではサービスコンソールとネットワークとの間にファイアウォールが含まれています VMware ではサービスコンソールの完全性を確立するためにデフォルトで開いているファイアウォールポートの数が低減されていますインストール時サービスコンソールファイアウォールは ESX との基本的な通信に使用するポートおよび 5988 以外の受信および発信トラフィックをすべて遮断するように構成されていますこの設定によりホストの高いセキュリティレベルが実行されます注意ファイアウォールは ICMP (Internet Control Message Protocol) の ping と DHCP および DNS (UDP のみ ) クライアントとの通信も許可します信頼できる環境ではセキュリティレベルを下げることも可能ですその場合ファイアウォールのセキュリティレベルを中または低に設定できます中レベルのセキュリティ低レベルのセキュリティデフォルトポートとユーザーが個別に開いたポートを除きすべての受信トラフィックが遮断されます発信トラフィックは遮断されません受信または発信トラフィックは遮断されませんこの設定はファイアウォールの削除に相当しますデフォルトで開くポートが厳しく制限されているためインストール後にほかのポートを開く必要が生じる場合があります開く可能性がある一般的に使用されるポートのリストについては管理アクセスの TCP および UDP ポート (P. 147) を参照してください ESX の効率的な運用に必要な対応サービスや管理エージェントを追加するときはサービスコンソールファイアウォールのほかのポートを開きますサポートされているサービスおよび管理エージェントのファイアウォールポートの構成 (P. 144) に説明されているように vcenter Server を使用してサービスおよび管理エージェントを追加しますこれらのサービスやエージェント用のポート以外にも特定のデバイスサービスまたはエージェント ( ストレージデバイスバックアップエージェント管理エージェントなど ) を構成する際にほかのポートを開く場合がありますたとえば Veritas NetBackup 4.5 をバックアップエージェントとして使用する場合はポートを開きますこれらは NetBackup がクライアントとメディア間のトランザクションデータベースのバックアップユーザーバックアップリストアなどに使用するポートですどのポートを開くかについてはデバイスサービスまたはエージェントのベンダーの仕様書を参照してくださいサービスコンソールファイアウォールのセキュリティレベルの確定サービスコンソールのセキュリティレベルを変更するにはまずサービスコンソールのファイアウォールセキュリティレベルを決定し次にサービスコンソールのファイアウォールの設定をリセットします不要な手順を避けるため変更する前に必ずファイアウォールの設定を確認してください手順 1 サービスコンソールにログインし root 権限を取得します 2 次の 2 つのコマンドを使用し受信および発信トラフィックが遮断されているか許可されているかを判断します esxcfg-firewall -q incoming esxcfg-firewall -q outgoing 結果は表 14-1 のように判断します VMware, Inc. 173

174 表サービスコンソールのファイアウォールのセキュリティレベルコマンドライン応答 Incoming ports blocked by default. Outgoing ports blocked by default. Incoming ports blocked by default. Outgoing ports not blocked by default. Incoming ports not blocked by default. Outgoing ports not blocked by default. セキュリティレベル高中低サービスコンソールファイアウォールのセキュリティレベルの設定サービスコンソールのファイアウォールセキュリティのレベルを決定したあとはセキュリティレベルを設定できますセキュリティの設定を低くしたり開くポートを増やすたびにネットワークに侵入されるリスクは高くなりますアクセスに対するニーズとネットワークセキュリティコントロールの厳しさとの間で適切なバランスをとります手順 1 サービスコンソールにログインし root 権限を取得します 2 サービスコンソールファイアウォールのセキュリティレベルを設定するには次のいずれかのコマンドを実行しますサービスコンソールファイアウォールのセキュリティレベルを中に設定する場合 : esxcfg-firewall --allowoutgoing --blockincoming 仮想ファイアウォールのセキュリティレベルを低に設定する場合 : esxcfg-firewall --allowincoming --allowoutgoing 注意前述のコマンドを使用するとすべてのファイアウォール保護が無効になりますサービスコンソールファイアウォールのセキュリティレベルを高に戻す場合 : esxcfg-firewall --blockincoming --blockoutgoing 3 次のコマンドを使用して vmware-hostd プロセスを再開します service mgmt-vmware restart サービスコンソールファイアウォールのセキュリティレベルを変更しても既存の接続に影響はありませんたとえばファイアウォールのセキュリティレベルが低に設定され明示的に開いていないポートでバックアップが実行されている場合ファイアウォールの設定を高にしてもバックアップは終了しませんバックアップが完了し接続が解放されるとポートがそれ以上の接続を許可することはありませんサービスコンソールファイアウォールのポートの開放サードパーティ製のデバイスサービスおよびエージェントをインストールする場合はサービスコンソールファイアウォールポートを開くことができますインストールするアイテムに対応するポートを開く前にベンダーの仕様書を参照し必要なポートを確認してください開始する前にこの手順は vsphere Client からは構成できないサービスまたはエージェントのポートを開く場合にのみ使用してください注意 VMware は vsphere Client または esxcfg-firewall コマンドのみを使用したファイアウォールポートの開閉をサポートしていますほかの方法やスクリプトを使用してファイアウォールポートを開こうとすると予期しない動作の原因となります 174 VMware, Inc.

175 第 14 章サービスコンソールのセキュリティ手順 1 サービスコンソールにログインし root 権限を取得します 2 ポートを開くには次のコマンドを使用します esxcfg-firewall --openport <port_number>,tcp udp,in out,<port_name> <port_number> はベンダー固有のポート番号です TCP トラフィックには tcp UDP トラフィックには udp を使用します受信トラフィックのポートを開くには in を発信トラフィックのポートを開くには out を選択します <port_name> はそのポートを使用するサービスまたはエージェントを識別するための分かりやすい名前にします一意の名前にする必要はありません次に例を示します esxcfg-firewall --openport 6380,tcp,in,Navisphere 3 次のコマンドを実行し vmware-hostd プロセスを再開します service mgmt-vmware restart サービスコンソールファイアウォールのポートの閉鎖サービスコンソールのファイアウォールで特定のポートを閉じることができますポートに関連付けられたサービスのアクティブなセッションはポートを閉じたときに切断されるとは限りませんたとえばバックアップの実行中にバックアップエージェント用のポートを閉じた場合バックアップは続行され処理が完了するとエージェントが接続を解放します -closeport オプションは -openport オプションを使用して開いたポートを閉じる場合にのみ使用できます別の方法を使用してポートを開いた場合はそれに対応する方法でポートを閉じますたとえば SSH ポート (22) は vsphere Client で SSH サーバの受信接続と SSH クライアントの発信接続を無効にすることによってのみ閉じることができます開始する前にこの手順は vsphere Client からは構成できないサービスまたはエージェントのポートを閉じる場合にのみ使用してください注意 VMware は vsphere Client または esxcfg-firewall コマンドのみを使用したファイアウォールポートの開閉をサポートしていますほかの方法やスクリプトを使用してファイアウォールポートを開閉しようとすると予期しない動作の原因となります手順 1 サービスコンソールにログインし root 権限を取得します 2 ポートを閉じるには次のコマンドを使用します esxcfg-firewall --closeport < ポート番号 >,tcp udp,in out,< ポート名 > < ポート名 > 引数は省略可能です次に例を示します esxcfg-firewall --closeport 6380,tcp,in 3 次のコマンドを使用して vmware-hostd プロセスを再開します service mgmt-vmware restart VMware, Inc. 175

176 パスワード制限攻撃者が ESX ホストに容易にログインできるかどうかは正当なユーザー名とパスワードの組み合わせを特定できるかどうかで決定しますパスワードに制限を設定すると攻撃者によるユーザーパスワードの取得を防止するのに役立ちます悪意のあるユーザーはさまざまな方法でパスワードを取得できますたとえば攻撃者は Telnet や FTP などのセキュアでないネットワークトラフィックを盗聴しログインを試みますもう 1 つのよくある方法としては攻撃者がパスワードジェネレータを実行して特定の長さのすべての文字の組み合わせを試したり実際の単語やその単純な変形を使用することでパスワードを解読する方法がありますパスワードの長さ文字セットおよび有効期間を規定する制限を設けるとパスワードジェネレータによる攻撃をより困難にすることができますパスワードが長く複雑であるほど攻撃者はパスワードを特定しにくくなりますユーザーがパスワードを変更する頻度が高いほど有効なパスワードを繰り返し特定するのが困難になります注意パスワードに制限を設ける場合は人的要因を常に考慮してくださいパスワードを覚えにくくしたり頻繁に変更したりするとユーザーがパスワードを紙に書く場合があるのでこれではメリットがなくなってしまいますパスワードデータベースの不正使用を防止するにはパスワードシャドウを有効にしパスワードハッシュをアクセスから隠蔽します ESX ではさらに強力なパスワードセキュリティを備えた MD5 パスワードハッシュを使用しており最小長の要件を 9 文字以上に設定できますパスワードの有効期間ユーザーパスワードが長期間有効なままにならないようにするためパスワードの有効期間に制限を設けることができます ESX はユーザーログインのパスワード有効期間について次のような制限をデフォルトで設けています最大日数最小日数ユーザーがパスワードを保持できる最大日数デフォルトではパスワードは無期限に設定されていますパスワードの変更間隔の最小日数デフォルトは 0 でユーザーはいつでもパスワードを変更できます警告期間リマンダが発行されるパスワードの有効期限が切れるまでの日数デフォルトは 7 日間です警告が表示されるのはサービスコンソールに直接ログインする場合や SSH を使用する場合のみですこれらの設定は厳密にしたり緩和したりすることができますユーザーまたはグループごとにデフォルトのパスワード有効期間の設定をオーバーライドすることもできますホストのデフォルトパスワードの有効期間制限の変更ホストにデフォルトで設定されているパスワードの有効期間制限を厳密にしたり緩和することができます手順 1 サービスコンソールにログインし root 権限を取得します 2 ユーザーがパスワードを保持できる最大日数を変更するには次のコマンドを使用します esxcfg-auth --passmaxdays=< 日数 > 3 パスワード変更の最小日数を変更するには次のコマンドを使用します esxcfg-auth --passmindays=< 日数 > 4 パスワードが変更されるまでの警告期間を変更するには次のコマンドを使用します esxcfg-auth --passwarnage=< 日数 > 176 VMware, Inc.

177 第 14 章サービスコンソールのセキュリティユーザーのデフォルトパスワード有効期間制限の変更特定のユーザーまたはグループにデフォルトで設定されているパスワード有効期間制限をオーバーライドできます手順 1 サービスコンソールにログインし root 権限を取得します 2 最大日数を変更するには次のコマンドを使用します chage -M < 日数 > < ユーザー名 > 3 警告期間を変更するには次のコマンドを使用します chage -W < 日数 > < ユーザー名 > 4 最小日数を変更するには次のコマンドを使用します chage -m < 日数 > < ユーザー名 > パスワードの複雑性デフォルトで ESX は pam_cracklib.so プラグインを使用してパスワードの作成時にユーザーが従う必要のある規則を設定し作成中のパスワードの強度を確認します pam_cracklib.so プラグインを使用するとすべてのパスワードが順守すべき基準を設定できますデフォルトでは ESX は root パスワードに制限を設けていませんただし root 以外のユーザーがパスワードを変更する場合はパスワードは pam_cracklib.so で設定された基準を満たす必要がありますさらに root 以外のユーザーは pam_cracklib.so がメッセージの発行を開始してから最終的にパスワード変更ページを閉じるまでにパスワードの変更を試行できる回数が決められています ESX にはデフォルトのパスワード基準と再試行回数の制限があります最小長最小のパスワードの長さは 9 に設定されていますつまり文字クラス ( 小文字大文字数字など ) を 1 つだけ使用する場合ユーザーは最低 8 文字を入力する必要があります複数の文字クラスを組み合わせて入力する場合パスワード長のアルゴリズムによって短いパスワードが可能になります入力する必要がある実際の文字長を計算し所定の最小長の設定に応じた有効なパスワードを作成するにはパスワード長のアルゴリズムを次のように適用します M CC = E 説明 : M は最小長パラメータです CC はユーザーがパスワードに含める文字クラスの数です E は入力する必要のある文字数ですパスワードに少なくとも小文字 1 つを含めると仮定するとアルゴリズムは表 14-2 のようになります pam_cracklib.so プラグインは 6 文字未満のパスワードは設定できませんつまり文字クラス数が 4 のパスワードでは計算上必要とされる文字数は 5 ですが実際に有効な文字数は 6 です VMware, Inc. 177

178 表パスワードの複雑性アルゴリズムの結果有効なパスワードの文字数パスワード入力の文字タイプ小文字大文字桁その他の文字 8 可 7 可可可可可可 6 可可可可可可可可可 5 可可可可再試行回数 ESX システムの pam_cracklib.so 再試行パラメータは 3 に設定されていますつまりユーザーが 3 回目までに適切な強度のパスワードを入力しなかった場合 pam_cracklib.so によってパスワード変更ダイアログボックスは閉じられますユーザーは新しいパスワード変更セッションを開いて操作をやり直す必要があります pam_cracklib.so プラグインは変更されるすべてのパスワードについて次の強度基準を満たしているかどうかを確認します新しいパスワードは回文であってはならない radar や civic のように前後どちらから読んでも同じになる文字列は使用できません新しいパスワードは古いパスワードを逆にしたものであってはならない新しいパスワードは文字を順送りしたものであってはならない古いパスワードの 1 つまたは複数の文字をパスワード文字列の前または後ろにずらして変形したものは使用できません新しいパスワードは古いパスワードの大文字と小文字を変更しただけのものであってはならない新しいパスワードと古いパスワードは数文字以上異なっていなければならない新しいパスワードは過去に使用されたものであってはならない pam_cracklib.so プラグインはパスワード再利用規則が構成されている場合にのみこの基準を適用します ESX のデフォルトではパスワード再利用規則は実施されませんしたがって通常 pam_cracklib.so プラグインは再利用規則を理由にパスワードの変更を拒否することはありませんただし再使用規則を構成しユーザーが複数のパスワードを交互に使用できないようにすることは可能です再利用規則を構成すると古いパスワードはファイルに保存されますパスワードの変更が試行されるたびに pam_cracklib.so プラグインはこのファイルを参照します ESX で保存される古いパスワードの数は再利用規則で決定されます再利用規則で指定された数のパスワードが作成されると古いパスワードはファイルから古い順に削除されます新しいパスワードは十分な強度と複雑性がなければならない esxcfg-auth コマンドを使用して pam_cracklib.so 複雑性パラメータを変更すると再試行回数最小パスワード長各種文字クレジットの要件を構成できますパスワードに文字タイプが多く含まれる場合は文字クレジットを使用して入力するパスワードを短くすることができます pam_cracklib.so プラグインの詳細については Linux のドキュメントを参照してください注意 Linux で使用する pam_cracklib.so プラグインには ESX でサポートしているパラメータよりも多くのパラメータがあります esxcfg-auth でこれらの追加のパラメータを指定することはできません 178 VMware, Inc.

179 第 14 章サービスコンソールのセキュリティパスワードの再利用規則の構成各ユーザーについて格納される古いパスワードの数を設定できます手順 1 サービスコンソールにログインし root 権限を取得します 2 /etc/pam.d/ ディレクトリに移動します 3 テキストエディタを使用して system-auth ファイルを開きます 4 password sufficient /lib/security/$isa/pam_unix.so で始まる行を見つけます 5 次のパラメータを行末に追加します X は保存する各ユーザーの古いパスワードの数です remember=x パラーメータはスペースで区切ります 6 変更内容を保存しファイルを閉じます 7 /etc/security/ ディレクトリに移動し次のコマンドを使用して長さが 0 ( ゼロ ) で opasswd という名前のファイルを作成します touch opasswd 8 次のコマンドを入力します chmod 0600 opasswd chown root:root /etc/security/opasswd pam_cracklib.so プラグインのデフォルトパスワードの複雑性の変更ユーザーのパスワードをどのくらい複雑にするかについてパラメータを設定できます手順 1 サービスコンソールにログインし root 権限を取得します 2 次のコマンドを入力します esxcfg-auth -- usecrack=<retries><minimum_length><lc_credit><uc_credit><d_credit><oc_credit> <retries> はユーザーが再試行できる回数でこの回数を超えるとロックアウトされます <minimum_length> は有効なパスワードを作成するためにユーザーが入力する必要がある最小の文字数ですこの数字は長さクレジットが適用される前の文字列の全長です実際には長さクレジットが 1 つ必ず適用されるためパスワードの長さは指定した <minimum_length> パラメータよりも 1 文字短くなります pam_cracklib.so プラグインは 6 文字未満のパスワードを受け付けないので長さクレジットを引いた結果としてユーザーパスワードの長さが 6 を下回らないよう <minimum_length> パラメータを計算します <lc_credit> はユーザーがパスワードに 1 つ以上の小文字を含めた場合に減らされる <minimum_length> パラメータの数です <uc_credit> はユーザーがパスワードに 1 つ以上の大文字を含めた場合に減らされる <minimum_length> パラメータの数です <d_credit> はユーザーがパスワードに 1 つ以上の数字を含めた場合に減らされる <minimum_length> パラメータの数です <oc_credit> はユーザーがパスワードに 1 つ以上の特殊文字 ( 下線ダッシュなど ) を含めた場合に減らされる <minimum_length> パラメータの数です VMware, Inc. 179

180 文字クレジットパラメータには正の数を入力しますまたはプラグインでこの文字クラスを含めるためのユーザークレジットを使用しない場合は 0 ( ゼロ ) を入力します文字クレジットは付加的な値ですユーザーが入力する文字のタイプが多いほど有効なパスワードの作成に必要な文字数は少なくなりますたとえば次のコマンドを入力するとします esxcfg-auth --usecrack= この設定では小文字と 1 つの下線を含んだパスワードを作成しているユーザーは有効なパスワードを作成するために 8 文字入力する必要がありますこのユーザーがすべての文字タイプ ( アルファベットの小文字アルファベットの大文字数字特殊文字 ) を使用することにした場合必要なのは 6 文字だけです pam_passwdqc.so プラグインへの切り替え pam_cracklib.so プラグインを使用するとほとんどの環境で十分なパスワード強度の実施を提供できますただしこのプラグインがニーズに対して十分ではない場合は代わりに pam_passwdqc.so プラグインを使用できます pam_passwdqc.so にはパスワードの強度を微調整するオプションが多数用意されており root ユーザーを含むすべてのユーザーのパスワード強度をテストすることができます pam_passwdqc.so プラグインは pam_cracklib.so プラグインとくらべ使用方法も少し難解です注意 Linux で使用される pam_passwdqc.so プラグインには ESX でサポートされる以上のパラメータが用意されています esxcfg-auth でこれらの追加のパラメータを指定することはできませんこのプラグインの詳細については Linux のドキュメントを参照してください手順 1 サービスコンソールにログインし root 権限を取得します 2 次のコマンドを入力します esxcfg-auth --usepamqc=<n0><n1><n2><n3><n4><match> <N0> は文字クラスを 1 つだけ使用するパスワードに必要な文字数です <N1> は文字クラスを 2 つ使用するパスワードに必要な文字数です <N2> はパスフレーズに使用されます ESX では 3 語からなるパスフレーズが必要です <N3> は文字クラスを 3 つ使用するパスワードに必要な文字数です <N4> は文字クラスを 4 つすべて使用するパスワードに必要な文字数です <match> は古いパスワードを再利用した文字列に許可される文字数です pam_passwdqc.so プラグインがこの長さ以上の文字列が再利用されていることを検知するとその文字列は強度テストで不適格と見なされ残りの文字だけが使用されますこれらのオプションのいずれかを -1 に設定すると pam_passwdqc.so プラグインはその要件を無視しますこれらのオプションのいずれかを disabled に設定すると pam_passwdqc.so プラグインは関連する特性を持つパスワードを不適格と見なします -1 と disabled を除き使用する値は降順にする必要がありますたとえば次のコマンドを使用するとします esxcfg-auth --usepamqc=disabled この設定ではパスワードを作成しているユーザーは文字クラスを 1 つしか含まないパスワードを設定することはできませんユーザーは 2 つの文字クラスのパスワードに最低 18 文字 3 つの文字クラスのパスワードに最低 12 文字または 4 つの文字クラスのパスワードに最低 8 文字を使用する必要がありますパスフレーズの作成試行は無視されます 180 VMware, Inc.

181 第 14 章サービスコンソールのセキュリティ暗号強度セキュリティ保護されていない接続を介してデータを送信すると悪意あるユーザーによってネットワークで伝送中のデータをスキャンされるためセキュリティ上のリスクが発生しますネットワークコンポーネントは通常防護対策としてデータを簡単に読み取られないように暗号化しますデータを暗号化するためにゲートウェイやリダイレクタなどの送信側コンポーネントはデータを送信する前にそれを変形させるアルゴリズムすなわち暗号を適用します受信側コンポーネントは鍵を使用してデータを複合化し元の形式に戻します複数の暗号が使用されており各暗号によってセキュリティレベルが異なります暗号のデータ保護機能の目安となるのが暗号化鍵のビット数で示される暗号強度ですこの数値が大きいほど暗号の安全性は高くなります外部ネットワーク接続との間で送受信されるデータを保護するために ESX は 256 ビットの AES ブロック暗号を使用していますこれは利用可能な最も強度の高いブロック暗号のうちのひとつです ESX は 1024 ビットの RSA 鍵交換も使用していますこれらの暗号化アルゴリズムは次の接続向けにデフォルトで装備されています vsphere Client から vcenter Server および ESX ホストへのサービスコンソールを介した接続 vsphere Web Access から ESX ホストへのサービスコンソールを介した接続注意 vsphere Web Access で使用される暗号は使用する Web ブラウザによって決定されるためこのマネージメントツールでは別の暗号が使用される場合もあります SDK から vcenter Server および ESX への接続サービスコンソールから仮想マシンへの VMkernel を介した接続 SSH から ESX ホストへのサービスコンソールを介した接続 setuid および setgid フラグ ESX のインストール時に setuid フラグと setgid フラグを組み込んだ複数のアプリケーションがデフォルトでインストールされます一部のアプリケーションはホストが正しく動作するために必要な機能を提供しますそれ以外のアプリケーションは任意ですがこれらのアプリケーションを使用することでホストとネットワークの保守およびトラブルシューティングが容易になります setuid setgid 有効なユーザー ID をプログラム所有者の ID に設定することでアプリケーションを実行するユーザーの権限を一時的に変更できるフラグです有効なグループ ID をプログラム所有者のグループ ID に設定することでアプリケーションを実行するグループの権限を一時的に変更できるフラグです任意のアプリケーションの無効化必須アプリケーションを無効にすると ESX の認証と仮想マシンの操作に問題が生じますがオプションのアプリケーションは無効にすることができます表 14-3 と表 14-4 に任意のアプリケーションを示します手順 1 サービスコンソールにログインし root 権限を取得します 2 次のいずれかのコマンドを実行するとアプリケーションが無効になります setuid フラグ付きのアプリケーションの場合 : chmod a-s < 実行可能ファイルのパス > setgid フラグ付きのアプリケーションの場合 : chmod a-g < 実行可能ファイルのパス > VMware, Inc. 181

182 デフォルトの setuid アプリケーション setuid フラグが含まれているいくつかのアプリケーションがデフォルトでインストールされます表 14-3 はデフォルトの setuid アプリケーションとアプリケーションの必須または任意の区別を示しています表デフォルトの setuid アプリケーションアプリケーション目的とパス必須または任意 crontab pam_timestamp_check passwd ping pwdb_chkpwd ssh-keysign su sudo unix_chkpwd vmkload_app vmware-authd vmware-vmx 各ユーザーが cron ジョブを追加できるパス : /usr/bin/crontab パスワード認証のサポートパス : /sbin/pam_timestamp_check パスワード認証のサポートパス : /usr/bin/passwd ネットワークインターフェイス上で制御パケットを送信および受信するネットワークのデバッグに便利ですパス : /bin/ping パスワード認証のサポートパス : /sbin/pwdb_chkpwd SSH 向けにホストベースの認証を実行するパス : /usr/libexec/openssh/ssh-keysign ユーザーを変更し一般ユーザーを root ユーザーにするパス : /bin/su 特定の処理についてのみ一般ユーザーに root ユーザーとしての操作を許可するパス : /usr/bin/sudo パスワード認証のサポートパス : /sbin/unix_chkpwd 仮想マシンの実行に必要なタスクを行うこのアプリケーションは標準操作用とデバッグ用の 2 箇所にインストールされます標準操作用のパス : /usr/lib/vmware/bin/ vmkload_app デバッグ用のパス : /usr/lib/vmware/bin-debug/ vmkload_app ユーザーによる VMware 固有のサービスの利用を認証するパス : /usr/sbin/vmware-authd 仮想マシンの実行に必要なタスクを行うこのアプリケーションは標準操作用とデバッグ用の 2 箇所にインストールされます標準操作用のパス : /usr/lib/vmware/bin/vmware-vmx デバッグ用のパス : /usr/lib/vmware/bin-debug/vmware-vmk 任意必須必須任意必須ホストベースの認証を使用する場合は必須それ以外の場合は任意必須任意必須両方のパスで必須必須両方のパスで必須デフォルトの setgid アプリケーション setgid フラグが含まれている 2 つのアプリケーションがデフォルトでインストールされます表 14-4 はデフォルトの setgid アプリケーションとアプリケーションの必須または任意の区別を示しています 182 VMware, Inc.

183 第 14 章サービスコンソールのセキュリティ表デフォルト setgid アプリケーションアプリケーション目的とパス必須または任意 wall lockfile アクションの発生を全端末に警告するこのアプリケーションは shutdown などのコマンドによって呼び出されますパス : /usr/bin/wall Dell OM 管理エージェントのロックを実行するパス : /usr/bin/lockfile 任意 Dell OM では必須それ以外は任意 SSH セキュリティ SSH はよく使用される UNIX および Linux コマンドシェルでこれを使用してサービスコンソールにリモートログインしホストの特定の管理および構成タスクを実行できます SSH はほかのコマンドシェルよりも強力な保護機能を備えているのでセキュアなログインやデータ転送を行うために使用されますこの ESX リリースではより高度なセキュリティレベルを提供できるよう SSH の構成が改良されましたこの改良された機能には次の重要な機能が含まれています Version 1 SSH プロトコルの無効化 : VMware では今後は Version 1 SSH プロトコルはサポートされず Version 2 プロトコルのみがサポートされます Version 2 では Version 1 における特定のセキュリティ問題が解消されサービスコンソールとの安全な通信インターフェイスを提供できます暗号強度の向上 : 現在 SSH は接続に 256 ビットと 128 ビットの AES 暗号のみをサポートしています root でのリモートログインの制限 : root ユーザーとしてリモートでログインできなくなりました代わりに識別可能なユーザーとしてログインし sudo コマンドを使用して root 権限を必要とする特定の操作を実行しますまたは su コマンドを入力し root ユーザーとして操作を実行します注意 sudo コマンドには root のアクティビティを制限しユーザーが実行する root のアクティビティの監査証跡を生成することで root 権限の不正使用をチェックできるというセキュリティ上のメリットがありますこれらの設定は SSH 経由でサービスコンソールに転送されるデータの保護を目的としていますこの構成が現在のニーズに対して厳しすぎる場合はセキュリティパラメータを低くすることができますデフォルトの SSH 構成の変更デフォルトの SSH 構成は変更できます手順 1 サービスコンソールにログインし root 権限を取得します 2 /etc/ssh ディレクトリに移動します 3 テキストエディタを使用して sshd_config ファイルで次のいずれかの操作をしますリモートの root ログインを可能にするには PermitRootLogin no の行の設定を yes に変更しますデフォルトの SSH プロトコル ( バージョン 1 および 2) に戻すには Protocol 2 の行をコメントアウトします 3DES 暗号やその他の暗号に戻すには Ciphers aes256-cbc,aes128-cbc VMware, Inc. 183

184 の行をコメントアウトします SSH の Secure FTP (SFTP) を無効にするには Subsystem ftp /usr/libexec/openssh/sftp-server の行をコメントアウトします 4 変更内容を保存しファイルを閉じます 5 次のコマンドを実行し SSHD サービスを再起動します service sshd restart セキュリティパッチとセキュリティ脆弱性スキャンソフトウェア Nessus など一部のセキュリティスキャナではセキュリティホールの検索時にバージョン番号が確認されますがパッチのサフィックスは確認されませんその結果ソフトウェアに最新のセキュリティパッチが組み込まれているにも関わらずこれらのスキャナはソフトウェアのレベルが低下し最新パッチが適用されていないという誤った報告をする場合がありますその場合は何らかのチェックを実行してくださいこれは業界共通の問題であり当社固有の問題ではありませんこの状況に適切に対処できるセキュリティスキャナもありますが 1 つ以上あとのバージョンになるのが一般的ですたとえば Red Hat パッチのあとにリリースされた Nessus のバージョンではこれらの誤った問題は報告されません当社がサービスコンソールコンポーネント ( サービス機能プロトコルなど ) として提供する特定の Linux 対応ソフトウェアパッケージの修正プログラムが利用可能になった場合当社は VIB (vsphere Installation Bundle) のリストを含む通知を提供しますこれを使用して ESX のソフトウェアをアップデートできますほかのソースからこれらの修正プログラムを入手できる場合もありますがサードパーティの RPM Package Manager パッケージではなく必ず当社が生成した通知をご使用ください当社ではソフトウェアパッケージ用のパッチを提供する際当社のポリシーに基づき安定性が確認されているソフトウェアのバージョンに修正プログラムをバックポートしますこの方法によりソフトウェアに新たな問題や不安定な状態が生じる可能性が低減されますパッチはソフトウェアの現行バージョンに追加されるためソフトウェアのバージョン番号は変わりませんがサフィックスとしてパッチ番号が追加されますこの問題の発生例を次に示します 1 最初に ESX と OpenSSL version 0.9.7a (0.9.7a はパッチなしの初期バージョン ) をインストールします 2 OpenSSL は version のセキュリティホールを修正するパッチをリリースしますこのバージョンは x と呼ばれます 3 当社では OpenSSL 0.9.7x 修正プログラムを初期バージョンにバックポートしパッチ番号を更新し VIM を作成しますこの VIB の OpenSSL のバージョンは 0.9.7a-1 ですこれは初期バージョン (0.9.7a) にパッチ 1 が含まれていることを意味します 4 アップデートをインストールします 5 セキュリティスキャナはサフィックスの -1 を識別できず OpenSSL のセキュリティが最新でないという誤った報告をしますスキャナからパッケージのレベルが低いと報告された場合は次のことを確認しますパッチのサフィックスを確認しアップデートが必要かどうかを判断します VMware VIB ドキュメントでパッチの内容を確認しますソフトウェアアップデート変更ログのセキュリティ警告から CVE (Common Vulnerabilities and Exposures) の番号を探します CVE 番号が見つかった場合その指定したパッケージは脆弱性に対処しています 184 VMware, Inc.

185 セキュリティの導入と推奨事項 15 ESX の一連の導入シナリオは各ユーザーがセキュリティ機能を最適に導入する方法を理解するうえで役立ちますこれらのシナリオでは仮想マシンの作成および構成時に検討すべき基本的セキュリティの推奨事項についても説明しますこの章では次のトピックについて説明します一般的な ESX 導入環境でのセキュリティアプローチ (P. 185) 仮想マシンに関する推奨事項 (P. 189) 一般的な ESX 導入環境でのセキュリティアプローチさまざまなタイプの導入環境に対するセキュリティアプローチを比較して所有する ESX 導入環境に対するセキュリティ計画に役立てることができます ESX 導入環境の複雑さは企業の規模データおよびリソースを外部と共有する方法データセンターの数 ( 複数か 1 つだけか ) などによって大きく異なります次に示す導入環境ではユーザーアクセスリソースの共有方法およびセキュリティレベルがそれぞれ異なります単一顧客の導入環境単一顧客の導入環境では ESX ホストが単一の企業とデータセンターによって所有および管理されていますホストのリソースを外部ユーザーと共有することはありません 1 人のサイト管理者がホストを管理しこれらのホストで複数の仮想マシンが動作します単一顧客の導入では顧客管理者は認められずサイト管理者がさまざまな仮想マシンの管理に対して単独で責任を負いますこの企業のシステム管理者はホストのアカウントを所持していないため vcenter Server やホスト用のコマンドラインシェルなどの ESX ツールにはアクセスできませんこれらのシステム管理者は仮想マシンコンソールを介して仮想マシンにアクセスできるのでソフトウェアをロードし仮想マシン内部でその他のメンテナンスタスクを実行できます表 15-1 にホストに使用または構成するコンポーネントの共有方法を示します表単一顧客の導入環境でのコンポーネントの共有機能構成コメントサービスコンソールによる仮想マシンと同じ物理ネットワークの共有サービスコンソールによる仮想マシンと同じ VLAN の共有仮想マシン間での同じ物理ネットワークの共有不可不可可固有の物理ネットワーク上で構成することでサービスコンソールを隔離します固有の VLAN 上で構成することでサービスコンソールを隔離します仮想マシンや VMotion などのその他のシステム機能はこの VLAN を使用できません同じ物理ネットワーク上で仮想マシンを構成します VMware, Inc. 185

186 表単一顧客の導入環境でのコンポーネントの共有 ( 続き ) 機能構成コメントネットワークアダプタの共有一部固有の仮想スイッチと仮想ネットワークアダプタ上で構成することでサービスコンソールを隔離します仮想マシンやその他のシステム機能はこのスイッチまたはアダプタを使用できません同じ仮想スイッチとネットワークアダプタ上に仮想マシンを構成することは可能です VMFS の共有可すべての.vmdk ファイルは同じ VMFS パーティションに配置されますセキュリティレベル高 FTP など必要なサービスのポートを個々の基準に基づいて開きますセキュリティレベルについてはサービスコンソールファイアウォールの構成 (P. 173) を参照してください仮想マシンメモリのオーバーコミット可仮想マシンの総メモリは物理メモリの合計よりも大きい容量で構成します表 15-2 にホストのユーザーアカウントを設定する方法を示します表単一顧客の導入環境でのユーザーアカウントの設定ユーザーカテゴリアカウントの合計数サイト管理者 1 顧客管理者 0 システム管理者 0 ビジネスユーザー 0 表 15-3 に各ユーザーのアクセスレベルを示します表単一顧客の導入環境でのユーザーアクセスアクセスレベルサイト管理者システム管理者ルートアクセス可不可 SSH 経由のサービスコンソールアクセス可不可 vcenter Server と vsphere Web Access 可不可仮想マシンの作成と変更可不可コンソール経由の仮想マシンアクセス可可複数顧客用の制限付き導入環境複数顧客用の制限付き導入環境では ESX ホストは同じデータセンター内に配置され複数の顧客に対するアプリケーションの提供に使用されますサイト管理者がホストを管理しこれらのホストでは顧客専用の複数の仮想マシンが動作していますさまざまな顧客の仮想マシンを同一のホストに配置できますが不正な通信を防止するためにリソースの共有はサイト管理者によって制限されますサイト管理者は 1 人ですが複数の顧客管理者が各自の顧客に割り当てられた仮想マシンを管理しますこの導入方法では顧客側のシステム管理者も配置されますこの管理者は ESX アカウントは所持していませんが仮想マシンコンソールから仮想マシンにアクセスできるのでソフトウェアをロードし仮想マシン内部でその他のメンテナンスタスクを実行できます表 15-4 にホストに使用または構成するコンポーネントの共有方法を示します 186 VMware, Inc.

187 第 15 章セキュリティの導入と推奨事項表複数顧客用の制限付き導入環境でのコンポーネントの共有機能構成コメントサービスコンソールによる仮想マシンと同じ物理ネットワークの共有サービスコンソールによる仮想マシンと同じ VLAN の共有仮想マシン間での同じ物理ネットワークの共有不可不可一部固有の物理ネットワーク上で構成することでサービスコンソールを隔離します固有の VLAN 上で構成することでサービスコンソールを隔離します仮想マシンや VMotion などのその他のシステム機能はこの VLAN を使用できません各顧客の仮想マシンを異なる物理ネットワークに配置しますすべての物理ネットワークは互いに独立していますネットワークアダプタの共有一部固有の仮想スイッチと仮想ネットワークアダプタ上で構成することでサービスコンソールを隔離します仮想マシンやその他のシステム機能はこのスイッチまたはアダプタを使用できません単一の顧客に対して仮想マシンを構成しすべての仮想マシンが同じ仮想スイッチとネットワークアダプタを共有できるようにしますスイッチとアダプタをほかの顧客と共有することはありません VMFS の共有不可各顧客は固有の VMFS パーティションと仮想マシンを所有し.vmdk ファイルは各自のパーティションにのみ配置されますパーティションは複数の LUN にわたって配置できますセキュリティレベル高 FTP などのサービス用のポートを必要に応じて開きます仮想マシンメモリのオーバーコミット可仮想マシンの総メモリは物理メモリの合計よりも大きい容量で構成します表 15-5 に ESX ホストのユーザーアカウントを設定する方法を示します表複数顧客用の制限付き導入環境でのユーザーアカウントの設定ユーザーカテゴリアカウントの合計数サイト管理者 1 顧客管理者 10 システム管理者 0 ビジネスユーザー 0 表 15-6 に各ユーザーのアクセスレベルを示します表複数顧客用の制限付き導入環境でのユーザーアクセスアクセスレベルサイト管理者顧客管理者システム管理者ルートアクセス可不可不可 SSH 経由のサービスコンソールアクセス可可不可 vcenter Server と vsphere Web Access 可可不可仮想マシンの作成と変更可可不可コンソール経由の仮想マシンアクセス可可可 VMware, Inc. 187

188 複数顧客用のオープンな導入環境複数顧客用のオープンな導入環境では ESX ホストは同じデータセンター内に配置され複数の顧客に対するアプリケーションの提供に使用されますサイト管理者がホストを管理しこれらのホストでは顧客専用の複数の仮想マシンが動作していますさまざまな顧客の所有物である仮想マシンを同一のホストに配置できますがリソースの共有に関する制限は緩和されます複数顧客用のオープンな導入環境ではサイト管理者は 1 人ですが複数の顧客管理者が各自の顧客に割り当てられた仮想マシンを管理しますこの導入方法では顧客側のシステム管理者も配置されますこの管理者は ESX アカウントは所持していませんが仮想マシンコンソールから仮想マシンにアクセスできるのでソフトウェアをロードし仮想マシン内部でその他のメンテナンスタスクを実行できますアカウントを持たないビジネスユーザーのグループは仮想マシンを使用して各自のアプリケーションを実行できます表 15-7 にホストに使用または構成するコンポーネントの共有方法を示します表複数顧客用のオープンな導入環境でのコンポーネントの共有機能構成コメントサービスコンソールによる仮想マシンと同じ物理ネットワークの共有サービスコンソールによる仮想マシンと同じ VLAN の共有仮想マシン間での同じ物理ネットワークの共有不可不可可固有の物理ネットワーク上で構成することでサービスコンソールを隔離します固有の VLAN 上で構成することでサービスコンソールを隔離します仮想マシンや VMotion などのその他のシステム機能はこの VLAN を使用できません同じ物理ネットワーク上で仮想マシンを構成しますネットワークアダプタの共有一部固有の仮想スイッチと仮想ネットワークアダプタ上で構成することでサービスコンソールを隔離します仮想マシンやその他のシステム機能はこのスイッチまたはアダプタを使用できませんすべての仮想マシンを同じ仮想スイッチとネットワークアダプタ上で構成します VMFS の共有可仮想マシンは VMFS パーティションとその仮想マシンを共有できます共有するパーティションに.vmdk ファイルを配置できます仮想マシンは.vmdk ファイルを共有しませんセキュリティレベル高 FTP などのサービス用のポートを必要に応じて開きます仮想マシンメモリのオーバーコミット可仮想マシンの総メモリは物理メモリの合計よりも大きい容量で構成します表 15-8 にホストのユーザーアカウントを設定する方法を示します表複数顧客用のオープンな導入環境でのユーザーアカウントの設定ユーザーカテゴリアカウントの合計数サイト管理者 1 顧客管理者 10 システム管理者 0 ビジネスユーザー 0 表 15-9 に各ユーザーのアクセスレベルを示します表複数顧客用のオープンな導入環境でのユーザーアクセスアクセスレベルサイト管理者顧客管理者システム管理者ビジネスユーザールートアクセス可不可不可不可 SSH 経由のサービスコンソールアクセス可可不可不可 188 VMware, Inc.

189 第 15 章セキュリティの導入と推奨事項表複数顧客用のオープンな導入環境でのユーザーアクセス ( 続き ) アクセスレベルサイト管理者顧客管理者システム管理者ビジネスユーザー vcenter Server と vsphere Web Access 可可不可不可仮想マシンの作成と変更可可不可不可コンソール経由の仮想マシンアクセス可可可可仮想マシンに関する推奨事項仮想マシンのセキュリティを評価し仮想マシンを管理する場合は検討すべき安全対策がいくつかありますアンチウイルスソフトウェアのインストール各仮想マシンは標準的なオペレーティングシステムを提供しているのでアンチウイルスソフトウェアをインストールしてウイルスから仮想マシンを保護することを考慮してください仮想マシンの利用方法によってはソフトウェアファイアウォールのインストールも必要になる場合があります特に多数の仮想マシンをデプロイするときはウイルススキャンのスケジュールを調整してくださいすべての仮想マシンを同時にスキャンすると使用環境内のシステムのパフォーマンスが大幅に低下しますソフトウェアファイアウォールとアンチウイルスソフトウェアは仮想化に負荷をかけることがあるため特に仮想マシンが完全に信頼できる環境にあることが確実な場合はこの 2 つのセキュリティ対策の必要性と仮想マシンのパフォーマンスのバランスをとることができますゲスト OS システムとリモートコンソール間のコピーアンドペースト操作の無効化コピーアンドペーストの操作を無効にしてクリップボードにコピーされた機密データが公開されないようにすることができます仮想マシンで VMware Tools が動作している場合ゲスト OS とリモートコンソールとの間でコピーアンドペースト操作が可能ですコンソールウィンドウにフォーカスが移るとすぐに仮想マシンを操作している権限のないユーザーおよび実行中のプロセスは仮想マシンコンソールのクリップボードにアクセスできますユーザーがコンソールを使用する前に機密情報をクリップボードにコピーするとユーザーが気付かない間に機密データが仮想マシンにさらされていますこの問題を回避するにはゲスト OS のコピーアンドペースト操作を無効にすることを検討します手順 1 vsphere Client を使用して vcenter Server システムにログインします 2 [ サマリ ] タブの [ 設定の編集 ] をクリックします 3 [ オプション ] - [ 詳細 ] - [ 全般 ] を選択し [ 構成パラメータ ] をクリックします 4 [ 行の追加 ] をクリックし次の値を名前と値の各列に入力します名前 isolation.tools.copy.disable isolation.tools.paste.disable isolation.tools.setguioptions.enable 値 true true false 注意ゲスト OS の VMware Tools コントロールパネルで行なった設定はこれらのオプションによってすべてオーバーライドされます次のような結果が表示されます VMware, Inc. 189

190 名前 sched.mem.max sched.swap.derivedname scsi0:0.redo vmware.tools.installstate vmware.tools.lastinstallstatus.result isolation.tools.copy.disable isolation.tools.paste.disable isolation.tools.setguioptions.enable 値フィールド unlimited /vmfs/volumes/e5f9f3d1-ed4d8ba/new Virtual Machine true none unknown true true false 5 [OK] をクリックして構成パラメータダイアログボックスを閉じもう一度 [OK] をクリックして仮想マシンのプロパティダイアログボックスを閉じます不要なハードウェアデバイスの削除仮想マシン上で権限のないユーザーおよびプロセスはネットワークアダプタや CD-ROM ドライブなどのハードウェアデバイスを接続または切断できますしたがって不要なハードウェアデバイスを削除しておくと攻撃の防止に役立ちます攻撃者はいくつかの方法で仮想マシンのセキュリティを侵害するのにこの機能を利用できますたとえば仮想マシンにアクセスした攻撃者は切断された CD-ROM ドライブを接続しドライブ内に残されたメディアにある機密情報にアクセスしたりネットワークアダプタを切断して仮想マシンをネットワークから隔離し結果的にサービス拒否状態にすることができます一般的なセキュリティ上の予防策として vsphere Client の [ 構成 ] タブのコマンドを使用して不要なまたは使用していないハードウェアデバイスを削除しますこの方法は仮想マシンのセキュリティを強化することはできますが未使用のデバイスをあとでサービスに戻すような状況には適していません仮想マシンのユーザーまたはプロセスによるデバイスの切断防止デバイスを永久に削除するのが好ましくない場合は仮想マシンのユーザーまたはプロセスがゲスト OS からデバイスを接続または切断するのを防ぐことができます手順 1 vsphere Client を使用して vcenter Server システムにログインします 2 インベントリパネルで仮想マシンを選択します 3 [ サマリ ] タブの [ 設定の編集 ] をクリックします 4 [ オプション ] - [ 一般オプション ] を選択し [ 仮想マシンの構成ファイル ] テキストボックスに表示されているパスを書き留めます 5 サービスコンソールにログインし root 権限を取得します 6 手順 4 でパスを書き留めた仮想マシンの構成ファイルにディレクトリを移動してアクセスします仮想マシンの構成ファイルは /vmfs/volumes/<datastore> ディレクトリにあります <datastore> は仮想マシンファイルが常駐しているストレージデバイスの名前ですたとえば仮想マシンプロパティダイアログボックスで取得した仮想マシンの構成ファイルが [vol1]vm-finance/vm-finance.vmx の場合次のディレクトリに移動します /vmfs/volumes/vol1/vm-finance/ 190 VMware, Inc.

191 第 15 章セキュリティの導入と推奨事項 7 テキストエディタを使用して次の行を.vmx ファイルに追加します <device_name> は保護するデバイスの名前です ( 例 : ethernet1) <device_name>.allowguestconnectioncontrol = "false" 注意デフォルトで Ethernet 0 はデバイスの切断を許可しないよう構成されていますこの構成は前任の管理者が <device_name>.allowguestconnectioncontrol を TRUE に設定していた場合にのみ変更します 8 変更内容を保存しファイルを閉じます 9 vsphere Client で仮想マシンを右クリックし [ パワーオフ ] を選択します 10 その仮想マシンを右クリックし [ パワーオン ] を選択しますホストメモリに対するゲスト OS の書き込みの制限ゲスト OS のプロセスは VMware Tools を使用して ESX ホストに情報メッセージを送信しますこれらのメッセージの結果としてホストが保存するデータ量が制限されない場合攻撃者は無制限のデータフローを利用してサービス拒否 (DoS) 攻撃を仕掛けることができますゲストのオペレーティングプロセスから送信される情報メッセージは setinfo メッセージと呼ばれ通常はホストが保存する仮想マシンの特性または識別子を定義する名前と値のペアが含まれています ( 例 : ipaddress= ) この名前と値のペアが格納された構成ファイルはサイズが 1MB に制限されているため攻撃者が VMware Tools に似たソフトウェアを記述してホストメモリを任意の構成データであふれさせることで仮想マシンに必要な容量を消費する DoS 攻撃を仕掛けることが防止されます名前と値のペア用に 1MB を超えるストレージが必要な場合は必要に応じて値を変更できますゲスト OS のプロセスで構成ファイルに名前と値のペアが書き込まれることを禁止することもできますゲスト OS の可変メモリ制限の変更構成ファイルに大量のカスタム情報が格納されている場合はゲスト OS の可変メモリ制限を増やすことができます手順 1 vsphere Client を使用して vcenter Server システムにログインします 2 インベントリパネルで仮想マシンを選択します 3 [ サマリ ] タブの [ 設定の編集 ] をクリックします 4 [ オプション ] - [ 詳細 ] - [ 全般 ] を選択し [ 構成パラメータ ] をクリックします 5 サイズ制限の属性が存在しない場合は自分で追加する必要があります a b c [ 行の追加 ] をクリックします名前の列に tools.setinfo.sizelimit と入力します値の列にバイト数を入力しますサイズ制限の属性が存在する場合は適切な制限を反映させるように変更します 6 [OK] をクリックして構成パラメータダイアログボックスを閉じもう一度 [OK] をクリックして仮想マシンのプロパティダイアログボックスを閉じます VMware, Inc. 191

192 ゲスト OS のプロセスによるホストへの構成メッセージの送信防止ゲストが構成ファイルに対して名前と値のペアを書き込むことを禁止できますこれはゲスト OS による構成設定の変更を禁止する必要がある場合に適切です手順 1 vsphere Client を使用して vcenter Server システムにログインします 2 インベントリパネルで仮想マシンを選択します 3 [ サマリ ] タブの [ 設定の編集 ] をクリックします 4 [ オプション ] - [ 詳細 ] - [ 全般 ] を選択し [ 構成パラメータ ] をクリックします 5 [ 行の追加 ] をクリックし次の値を名前と値の各列に入力します名前の列 : isolation.tools.setinfo.disable 値の列 : true 6 [OK] をクリックして構成パラメータダイアログボックスを閉じもう一度 [OK] をクリックして仮想マシンのプロパティダイアログボックスを閉じますゲスト OS のログレベルの構成仮想マシンは VMFS ボリュームに保存された仮想マシンログファイルにトラブルシューティング情報を書き込むことができます故意か人為的ミスかに関わらず仮想マシンのユーザーおよびプロセスがログ機能を不正に使用すると大量のデータがログファイルに流れ込みますこのログファイルによってファイルシステムの領域が大量に消費されのちにサービス拒否が発生しますこの問題を回避するには仮想マシンのゲスト OS のログ設定を変更することを検討しますこれらの設定はログファイルの合計サイズおよび数を制限できます通常ホストを再起動するたびに新しいログファイルが作成されるためログファイルは非常に大きくなることがありますログファイルの最大サイズを制限すると新しいログファイルを作成する頻度を高めることができますそれぞれ 100KB に制限した 10 のログファイルを保存することをお勧めしますこの値は発生するほとんどの問題のデバッグに必要な量の情報を獲得できる十分に大きな値ですログにエントリが書き込まれるたびにログのサイズが確認されます制限を超えている場合その次のエントリは新しいログに書き込まれます最大数のログファイルが存在する場合は最も古いログファイルが削除されます巨大なログエントリを書き込むことによってこれらの制限を回避する DoS 攻撃が試みられる恐れがありますしかしログエントリのサイズは 4KB に制限されているため構成された制限 + 4KB を超えるログファイルは生成されませんログファイルの数およびサイズの制限仮想マシンのユーザーとプロセスによってログファイルがあふれサービス拒否状態になることを防止するために ESX が生成するログファイルの数とサイズを制限できます手順 1 vsphere Client を使用して vcenter Server システムにログインします 2 [ サマリ ] タブの [ 設定の編集 ] をクリックします 3 [ オプション ] - [ 一般オプション ] を選択し [ 仮想マシンの構成ファイル ] テキストボックスに表示されているパスを書き留めます 4 サービスコンソールにログインし root 権限を取得します 192 VMware, Inc.

193 第 15 章セキュリティの導入と推奨事項 5 手順 4 でパスを書き留めた仮想マシンの構成ファイルにディレクトリを移動してアクセスします仮想マシンの構成ファイルは /vmfs/volumes/<datastore> ディレクトリにあります <datastore> は仮想マシンファイルが常駐しているストレージデバイスの名前ですたとえば仮想マシンプロパティダイアログボックスで取得した仮想マシンの構成ファイルが [vol1]vm-finance/vm-finance.vmx の場合次のディレクトリに移動します /vmfs/volumes/vol1/vm-finance/ 6 ログのサイズを制限するにはテキストエディタを使用して.vmx ファイルに次の行を追加または編集します <maximum_size> はファイルの最大サイズ ( バイト ) です log.rotatesize=<maximum_size> たとえばサイズを約 100 KB に制限するにはと入力します 7 制限された数のログファイルを保持するにはテキストエディタを使用して.vmx ファイルで次の行を追加または編集します <number_of_files_to_keep> はサーバが保持するファイル数です log.keepold=<number_of_files_to_keep> たとえば 10 個のログファイルを保持して新しいファイルの作成時に古いファイルの削除を開始するには 10 と入力します 8 変更内容を保存しファイルを閉じますゲスト OS のログの無効化 VMFS ボリュームに保存された仮想マシンログファイルにトラブルシューティング情報を書き込まないようにするとログを完全に停止できますゲスト OS のログを無効にするとトラブルシューティングに使用するための十分なログが収集できなくなる可能性があることに注意してくださいさらにログを無効にした場合当社では仮想マシンの問題に対するテクニカルサポートを提供しません手順 1 vsphere Client を使用して vcenter Server システムにログインしインベントリの仮想マシンを選択します 2 [ サマリ ] タブの [ 設定の編集 ] をクリックします 3 [ オプション ] タブをクリックし [ 詳細 ] の下のオプションリストで [ 全般 ] を選択します 4 [ 設定 ] で [ ログの有効化 ] を選択解除します 5 [OK] をクリックして仮想マシンプロパティダイアログボックスを閉じます VMware, Inc. 193

194 194 VMware, Inc.

195 ホストプロファイル VMware, Inc. 195

196 196 VMware, Inc.

197 ホストプロファイルの管理 16 ホストプロファイル機能によりプロファイルが作成されますこのプロファイルはホストの構成をカプセル化するもので特に管理者が vcenter Server で複数のホストまたはクラスタを管理する環境ではホストの構成を管理するうえで役に立ちますホストプロファイルではホストごと手動または UI ベースのホスト構成が不要になりますまたホストプロファイルポリシーを使用することによってデータセンターにおける構成の一貫性および正確さを保持しますこれらのポリシーは既知かつ検証済みの参照ホスト構成の情報を取得しこれを使用して複数のホストまたはクラスタのネットワークストレージセキュリティおよびその他の設定を構成しますその後ホストまたはクラスタとプロファイルの構成との相違点を確認できますこの章では次のトピックについて説明しますホストプロファイルの使用モデル (P. 197) ホストプロファイルビューへのアクセス (P. 198) ホストプロファイルの作成 (P. 198) ホストプロファイルのエクスポート (P. 199) ホストプロファイルのインポート (P. 199) ホストプロファイルの編集 (P. 200) プロファイルの管理 (P. 201) コンプライアンスの確認 (P. 204) ホストプロファイルの使用モデルここではホストプロファイルの使用のワークフローについて説明します vsphere をインストールした既存の環境およびそこに正しく構成されたホストを少なくとも 1 つ持っている必要があります 1 参照ホストとして使用するホストを設定および構成します参照ホストはプロファイルの作成元のホストです 2 指定された参照ホストを使用してプロファイルを作成します 3 ホストまたはクラスタをプロファイルに関連付けます VMware, Inc. 197

198 4 プロファイルに対するホストのコンプライアンスを確認しますこれによりホストが正しく構成されていることを確認できます 5 参照ホストのホストプロファイルを別のホストまたはホストのクラスタへ適用します注意ホストプロファイルがサポートされるのは VMware vsphere 4.0 のホストだけです VI 3.5 以前のホストではこの機能はサポートされていません vcenter Server 4.0 で管理している VI 3.5 以前のホストがある場合それらのホストに対してホストプロファイルを使用しようとすると次のことが起こる可能性があります VMware Infrastructure 3.5 以前のホストを参照ホストとして使用するホストプロファイルを作成できない VI 3.5 以前のホストにホストプロファイルを適用できないコンプライアンスの確認に失敗します VI 3.5 以前のホストが混在するクラスタにホストプロファイルを関連付けることはできるがそれらのホストのコンプライアンスの確認は失敗する vsphere のライセンス機能としてホストプロファイルは適切なライセンスが使用されている場合のみ使用できますエラーが発生する場合はホストの適切な vsphere ライセンスがあることを確認してくださいホストプロファイルビューへのアクセスホストプロファイルのメインビューには使用できるプロファイルがすべて一覧で表示されますシステム管理者はホストプロファイルのメインビューを使用してホストプロファイルでの操作の実行やプロファイルの構成を行うこともできますホストプロファイルのメインビューはホストプロファイルの操作の実行や詳細オプションおよびポリシーの構成を行うことを希望する経験の豊富なシステム管理者が使用するようにしてください新規プロファイルの作成エンティティの関連付けプロファイルの適用などのほとんどの操作はホストおよびクラスタビューから実行できます手順 u [ 表示 ] - [ マネージメントツール ] - [ ホストプロファイル ] を選択しますプロファイルリストの左側に既存のすべてのプロファイルがリスト表示されますプロファイルリストからプロファイルを選択するとそのプロファイルの詳細が右側に表示されますホストプロファイルの作成指定された参照ホストの構成を使用して新しいホストプロファイルを作成しますホストプロファイルはホストプロファイルのメインビューまたはホストおよびクラスタにあるホストのコンテキストメニューから作成できますホストプロファイルビューからのホストプロファイルの作成ホストプロファイルのメインビューから既存のホストの構成を使用してホストプロファイルを作成できます開始する前に vsphere をインストールした環境とインベントリ内に最低 1 台の正しく構成されたホストが必要です手順 1 ホストプロファイルのメインビューで [ プロファイルの作成 ] をクリックしますプロファイルの作成ウィザードが表示されます 2 新しいプロファイルを作成するためのオプションを選択し [ 次へ ] をクリックします 3 プロファイルの作成に使用するホストを選択し [ 次へ ] をクリックします 4 新しいプロファイルの名前および説明を入力して [ 次へ ] をクリックします 5 新しいプロファイルの概要情報を確認し [ 終了 ] をクリックしてプロファイルの作成を完了しますプロファイルリストに新しいプロファイルが表示されます 198 VMware, Inc.

199 第 16 章ホストプロファイルの管理ホストからのホストプロファイルの作成ホストおよびクラスタのインベントリビューでホストのコンテキストメニューから新しいホストプロファイルを作成できます開始する前に vsphere をインストールした環境とインベントリ内に最低 1 台の正しく構成されたホストが必要です手順 1 ホストおよびクラスタビューで新しいホストプロファイルの参照ホストとして指定するホストを選択します 2 ホストを右クリックし [ ホストプロファイル ] - [ ホストからプロファイルを作成 ] を選択しますホストからプロファイルを作成ウィザードが開きます 3 新しいプロファイルの名前および説明を入力して [ 次へ ] をクリックします 4 新しいプロファイルの概要情報を確認し [ 終了 ] をクリックしてプロファイルの作成を完了しますホストの [ サマリ ] タブに新しいプロファイルが表示されますホストプロファイルのエクスポート VMware のプロファイル形式 (.vpf) のファイルにプロファイルをエクスポートできます手順 1 ホストプロファイルのメインページでプロファイルリストからエクスポートするプロファイルを選択します 2 プロファイルを右クリックし [ プロファイルのエクスポート ] を選択します 3 プロファイルをエクスポートするファイルの場所を選択し名前を入力します 4 [ 保存 ] をクリックしますホストプロファイルのインポート VMware のプロファイル形式 (.vpf) のファイルからプロファイルをインポートできます手順 1 ホストプロファイルのメインページで [ プロファイルの作成 ] アイコンをクリックしますプロファイルの作成ウィザードが表示されます 2 プロファイルをインポートするためのオプションを選択し [ 次へ ] をクリックします 3 インポートする VMware プロファイル形式のファイルを入力または参照し [ 次へ ] をクリックします 4 インポートするプロファイルの名前および説明を入力し [ 次へ ] をクリックします 5 インポートしたプロファイルの概要情報を確認し [ 終了 ] をクリックしてプロファイルのインポートを完了しますプロファイルリストにインポートしたプロファイルが表示されます VMware, Inc. 199

200 ホストプロファイルの編集ホストプロファイルポリシーの表示および編集コンプライアンスを確認するポリシーの選択およびポリシー名または説明の変更ができます手順 1 ホストプロファイルのメインビューでプロファイルリストから編集するプロファイルを選択します 2 [ ホストプロファイルの編集 ] をクリックします 3 プロファイルエディタの上部のフィールドでプロファイルの名前または説明を変更します 4 ( オプション ) ポリシーを編集するか無効にします 5 ポリシーのコンプライアンスチェックを有効にします 6 [OK] をクリックしてプロファイルエディタを閉じますポリシーの編集ポリシーは特定の構成設定をどのように適用するかを記述したものですプロファイルエディタを使用すると特定のホストプロファイルに属しているポリシーを編集できますプロファイルエディタの左側でホストプロファイルを展開できますそれぞれのホストプロファイルは複数のサブプロファイルで構成されていますこれらのサブプログラムは機能グループごとに設けられ構成インスタンスを表しています各サブプロファイルにはプロファイルに則した構成を記述した多くのポリシーが含まれています構成できるサブプロファイル ( およびポリシーとコンプライアンスチェックの例 ) は次のとおりです表ホストプロファイルのサブプロファイルの構成サブプロファイル構成メモリ予約ストレージネットワーク日付と時刻ファイアウォールセキュリティサービス詳細ポリシーとコンプライアンスチェックの例メモリ予約を一定の値に設定します NFS ストレージを構成します仮想スイッチポートグループ物理 NIC の速度セキュリティおよび NIC チーミングポリシーを構成します時刻設定サーバのタイムゾーンを構成しますルールセットを有効または無効にしますユーザーまたはユーザーグループを追加しますサービスの設定を構成します詳細オプションを変更します手順 1 編集するプロファイルについてプロファイルエディタを開きます 2 プロファイルエディタの左側で編集したいポリシーに達するまでサブプロファイルを展開します 3 ポリシーを選択しますプロファイルエディタの右側では [ 構成の詳細 ] タブにポリシーのオプションおよびパラメータが表示されます 4 ドロップダウンメニューからポリシーオプションを選択しパラメータを設定します 5 ( オプション ) ポリシーを変更したあとデフォルトのオプションに戻す場合には [ 戻る ] をクリックするとオプションがリセットされます 200 VMware, Inc.

201 第 16 章ホストプロファイルの管理コンプライアンスチェックの有効化ホストプロファイルポリシーのコンプライアンスを確認するかどうかを指定できます手順 1 プロファイルエディタでプロファイルを開いてコンプライアンスチェックを有効にするポリシーを選択します 2 プロファイルエディタの左側で [ コンプライアンスの詳細 ] タブを選択します 3 ポリシーのチェックボックスを有効にします注意このチェックボックスを無効にしてこのポリシーのコンプライアンスを確認しないようにした場合でもコンプライアンスチェックが有効になっている別のポリシーは確認されますプロファイルの管理ホストのプロファイルを作成したあとプロファイルを特定のホストまたはクラスタに割り当ててそのプロファイルをホストまたはクラスタへ関連付けることによってプロファイルを管理できますエンティティの関連付け構成する必要があるホストはプロファイルに関連付けられますプロファイルをクラスタに関連付けることもできますコンプライアンスを実現するには関連付けられたクラスタ内のすべてのホストをそのプロファイルに従って構成する必要があります次の場所からホストまたはクラスタをプロファイルに関連付けることができますホストプロファイルのメインビューホストのコンテキストメニュークラスタのコンテキストメニュークラスタの [ プロファイルのコンプライアンス ] タブホストプロファイルビューからのエンティティの関連付けプロファイルをエンティティ ( ホストまたはホストのクラスタ ) に適用する前にエンティティをプロファイルに関連付ける必要がありますホストプロファイルのメインビューからホストまたはクラスタをプロファイルに関連付けることができます手順 1 ホストプロファイルのメインビューで関連付けを追加するプロファイルをプロファイルリストから選択します 2 [ ホストとクラスタの接続 ] アイコンをクリックします 3 展開されたリストからホストまたはクラスタを選択し [ 適用 ] をクリックしますホストまたはクラスタが添付されたエンティティリストに追加されます 4 ( オプション ) ホストまたはクラスタから関連付けを解除するには [ 分離 ] をクリックします 5 [OK] をクリックしてダイアログを閉じますホストからのエンティティの関連付けプロファイルをホストに適用する前にエンティティをプロファイルに関連付ける必要がありますホストおよびクラスタのインベントリビューでホストのコンテキストメニューからプロファイルをホストに関連付けることができます VMware, Inc. 201

202 手順 1 ホストおよびクラスタビューでプロファイルを適用するホストを選択します 2 ホストを右クリックし [ ホストプロファイル ] - [ プロファイルの管理 ] を選択します注意インベントリにホストプロファイルがない場合はダイアログが表示されホストプロファイルを作成してそのプロファイルをホストに関連付けるかどうかが尋ねられます 3 添付されたプロファイルの変更ダイアログでホストに関連付けるプロファイルを選択し [OK] をクリックしますホストの [ サマリ ] タブでホストプロファイルが更新されますプロファイルの適用ホストをプロファイルで指定されている状態にするにはホストにプロファイルを適用します次の場所からプロファイルをホストに適用できますホストプロファイルのメインビューホストのコンテキストメニュークラスタのプロファイルの [ コンプライアンス ] タブホストプロファイルビューからのプロファイルの適用ホストプロファイルのメインビューからホストにプロファイルを適用できます開始する前にホストはプロファイルを適用する前にメンテナンスモードにしておく必要があります手順 1 ホストプロファイルのメインビューでホストに適用するプロファイルを選択します 2 [ ホストおよびクラスタ ] タブを選択しますエンティティ名の下に関連付けられているホストのリストが表示されます 3 [ プロファイルの適用 ] をクリックしますプロファイルエディタでプロファイルを適用するのに必要なパラメータを入力するよう要求されることがあります 4 パラメータを入力し [ 次へ ] を入力します 5 必要なパラメータをすべて入力するまで処理を続けます 6 [ 終了 ] をクリックしますコンプライアンスステータスが更新されますホストからのプロファイルの適用ホストのコンテキストメニューからホストにプロファイルを適用できます開始する前にホストはプロファイルに適用する前にメンテナンスモードにしておく必要があります手順 1 ホストおよびクラスタビューでプロファイルを適用するホストを選択します 2 ホストを右クリックし [ ホストプロファイル ] - [ プロファイルの適用 ] を選択します 3 プロファイルエディタでパラメータを入力して [ 次へ ] をクリックします 202 VMware, Inc.

203 第 16 章ホストプロファイルの管理 4 必要なパラメータをすべて入力するまで処理を続けます 5 [ 終了 ] をクリックしますコンプライアンスステータスが更新されます参照ホストの変更参照ホストの構成を使用してホストプロファイルが作成されますこの作業はホストプロファイルのメインビューから実行できます開始する前にホストプロファイルがすでに存在している必要があります手順 1 この作業はホストプロファイルのメインビューまたはホストから実行できます u ホストプロファイルのメインビューで参照ホストを変更するプロファイルを右クリックし [ 参照ホストの変更 ] をクリックします u ホストおよびクラスタビューで参照ホストを更新するホストを右クリックし [ プロファイルの管理 ] を選択しますホストプロファイルの分離または変更ダイアログが開きます 2 プロファイルをホストまたはクラスタから分離するかプロファイルの参照ホストを変更するかを決定します u u ホストとプロファイルの関連付けを削除するには [ 分離 ] をクリックしますプロファイルの参照ホストの更新を続行するには [ 変更 ] をクリックします [ 変更 ] を選択すると参照ホストの変更ダイアログが開きますプロファイルが参照している現在のホストが [ 参照ホスト ] として表示されます 3 インベントリリストを展開してプロファイルを関連付けるホストを選択します 4 [ 更新 ] をクリックします [ 参照ホスト ] が更新されます 5 [OK] をクリックしますホストプロファイルの [ サマリ ] タブに更新された参照ホストのリストが表示されます VMware, Inc. 203

204 クラスタからのプロファイルの管理クラスタのコンテキストメニューからプロファイルの作成プロファイルの関連付けおよび参照ホストの更新を実行できます手順 u ホストおよびクラスタビューでクラスタを右クリックして [ ホストプロファイル ] - [ プロファイルの管理 ] を選択しますホストプロファイルの設定に応じて次のようになりますプロファイルステータス結果クラスタがホストプロファイルに関連付けられておらずインベントリにプロファイルが存在しない場合クラスタがホストプロファイルに関連づけられておらずインベントリにプロファイルが 1 つ以上存在する場合 a b a b ダイアログが開きプロファイルを作成してクラスタに関連付けるかどうかが尋ねられます [ はい ] を選択するとプロファイルの作成ウィザードが開きますプロファイルの適用ダイアログが開きますクラスタに関連づけるプロファイルを選択して [OK] をクリックしますすでにクラスタがホストプロファイルに関連づけられている場合ダイアログで [ 分離 ] をクリックしてクラスタからプロファイルを分離するか [ 変更 ] をクリックして異なるプロファイルをクラスタに関連付けますコンプライアンスの確認コンプライアンスの確認によりホストまたはクラスタが正しく構成されていることを確認できます参照ホストプロファイルでホストを構成したあとでたとえば手動の変更などによって構成が適切でない場合がありますコンプライアンスを定期的に確認することでホストまたはクラスタが正しく構成されていることを確認できますホストプロファイルビューからのコンプライアンスの確認ホストプロファイルのメインビューからプロファイルに対するホストまたはクラスタのコンプライアンスを確認できます手順 1 ホストプロファイルリストから確認するプロファイルを選択します 2 [ ホストおよびクラスタ ] タブでエンティティ名の下のリストからホストまたはクラスタを選択します 3 [ コンプライアンスを今すぐ確認 ] をクリックしますコンプライアンスのステータスが準拠不明または非準拠に更新されますコンプライアンスのステータスが非準拠の場合はホストをプロファイルに適用できますホストからのコンプライアンスの確認ホストにプロファイルを関連付けたあとコンプライアンスチェックを実行して構成を検証します手順 1 ホストおよびクラスタビューでコンプライアンスチェックを行うホストを選択します 2 ホストを右クリックし [ ホストプロファイル ] - [ コンプライアンスの確認 ] を選択しますホストの [ サマリ ] タブにホストのコンプライアンスステータスが表示されますホストが非準拠の場合はプロファイルをホストに適用する必要があります 204 VMware, Inc.

205 第 16 章ホストプロファイルの管理クラスタのコンプライアンスの確認クラスタのホストプロファイルに対するコンプライアンスまたは特定のクラスタの要件および設定について確認できます手順 1 ホストおよびクラスタビューでコンプライアンスチェックを行うクラスタを選択します 2 [ プロファイルのコンプライアンス ] タブで [ コンプライアンスを今すぐ確認 ] をクリックしてクラスタに関連付けられているホストプロファイルとクラスタ要件 ( 該当する場合 ) の両方に対するクラスタのコンプライアンスを確認します DRS HA および DPM などクラスタ内のホストの特定の設定についてクラスタのコンプライアンスが確認されますたとえば VMotion が有効かどうかが確認されますクラスタ要件についてのコンプライアンスステータスが更新されますこの確認はホストプロファイルがクラスタに関連付けられていない場合でも実行されますホストプロファイルがクラスタに関連付けられている場合はホストプロファイルとのクラスタのコンプライアンスが確認されますホストプロファイルについてのコンプライアンスステータスが更新されます 3 ( オプション ) 特定のクラスタ要件のリストについてはクラスタ要件の横の [ 説明 ] をクリックします 4 ( オプション ) 特定のホストプロファイルのコンプライアンスチェックについてはホストプロファイルの横の [ 説明 ] をクリックします 5 ( オプション ) クラスタに関連付けられたホストプロファイルを変更するには [ 変更 ] をクリックします 6 ( オプション ) クラスタに関連付けられたホストプロファイルを分離するには [ 分離 ] をクリックしますクラスタが非準拠の場合はクラスタ内の各ホストにプロファイルを個別に適用する必要があります VMware, Inc. 205

206 206 VMware, Inc.

207 付録 VMware, Inc. 207

208 208 VMware, Inc.

209 ESX のテクニカルサポートコマンド A サービスコンソールの大半のコマンドはテクニカルサポートで使用するために予約されており参照用としてのみ記載されていますただし場合によってはこれらのコマンドは VMware ESX ホストの構成タスクを実行する唯一の手段となりますまたホストとの接続が切れた場合 ( ネットワークが機能せず vsphere Client のアクセスが無効になっている場合など ) はコマンドラインインターフェイスからこれらの特定のコマンドを実行することが唯一の解決策となることもあります注意この付録のコマンドを使用する場合は service mgmt-vmware restart コマンドを使用して vmware-hostd プロセスを再開し vsphere Client とその他の管理ツールに構成が変更されたことを警告する必要があります通常ホストが vsphere Client または vcenter Server の管理下にある場合はこの付録に記載されているコマンドを実行しないでください vsphere Client のグラフィカルユーザーインターフェイスはこのトピックで説明する構成タスクを実行する場合に優先的に使われる方法となりますこのトピックではサービスコンソールコマンドの代わりに使用する vsphere Client コマンドについて学習できますこのトピックには vsphere Client で実行するアクションの概要が示されていますが詳細な説明は含まれていません vsphere Client でのコマンドの使用および構成タスクの実行についてはオンラインヘルプを参照してくださいサービスコンソールにログインし man <esxcfg_command_name> コマンドを使用して man ページを表示するとさまざまな ESX コマンドの詳細情報を確認できます付録 A ESX のテクニカルサポートコマンド (P. 209) では ESX で使用するテクニカルサポートコマンドの一覧を表示しさらに各コマンドの目的の概要および vsphere Client での代替手段も示しています表に記載されている vsphere Client のアクションの大部分はインベントリパネルから ESX ホストを選択し [ 構成 ] タブをクリックしてはじめて使用できます特に指定がないかぎり次で説明するすべての処理手順の前にこれらのアクションを先に行います表 A-1. ESX のテクニカルサポートコマンドサービスコンソールのコマンド esxcfg-advcfg esxcfg-auth esxcfg-boot コマンドの目的と vsphere Client での手順 ESX の詳細オプションを構成します vsphere Client で詳細オプションを構成するには [ 詳細設定 ] をクリックします詳細設定ダイアログボックスが表示されたら左側のリストを使用して処理対象のデバイスタイプまたはアクティビティを選択し適切な設定を入力します認証を構成しますこのコマンドを使用して pam_cracklib.so プラグインと pam_passwdqc.so プラグインを切り替えてパスワード変更規則を強制することができますこのコマンドを使用してこれら 2 つのプラグインのオプションをリセットすることもできます vsphere Client でこれらの機能を構成することはできませんブートストラップの設定を構成しますこのコマンドはブートストラップ処理で使用されますヴイエムウェアテクニカルサポート専用ですヴイエムウェアテクニカルサポートの担当者から指示がないかぎりこのコマンドを発行しないでください vsphere Client でこれらの機能を構成することはできません VMware, Inc. 209

210 表 A-1. ESX のテクニカルサポートコマンド ( 続き ) サービスコンソールのコマンド esxcfg-dumppart esxcfg-firewall esxcfg-info esxcfg-init esxcfg-module esxcfg-mpath esxcfg-nas esxcfg-nics コマンドの目的と vsphere Client での手順診断パーティションの構成または既存の診断パーティションの検索を行います ESX をインストールするとシステムの障害時にデバッグ情報を保存する診断パーティションが作成されますホストに診断パーティションがないと判断された場合を除きこのパーティションを手動で作成する必要はありません vsphere Client で実行できる診断パーティションの管理アクティビティは次のとおりです診断パーティションの有無の判断 : [ ストレージ ] - [ ストレージの追加 ] をクリックし [ ストレージの追加 ] ウィザードの最初のページに [ 診断 ] オプションが含まれているかどうか確認します [ 診断 ] オプションがなければ ESX にはすでに診断パーティションが存在しています診断パーティションの構成 : [ ストレージ ] - [ ストレージの追加 ] - [ 診断 ] をクリックしウィザードの指示に従いますサービスコンソールのファイアウォールポートを構成しますサポート対象のサービスおよびエージェント用のファイアウォールポートを vsphere Client で構成するには ESX ホストへのアクセスを許可するインターネットサービスを選択します [ セキュリティプロファイル ] - [ ファイアウォール ] - [ プロパティ ] をクリックし [ ファイアウォールのプロパティ ] ダイアログボックスを使用してサービスを追加しますサポート対象外のサービスを vsphere Client で構成することはできませんサポート対象外のサービスに対しては esxcfg-firewall を使用しますサービスコンソール VMkernel 仮想ネットワークの各種サブシステムおよびストレージリソースハードウェアの状態に関する情報を印刷します vsphere Client ではこれらの情報を出力することはできませんがユーザーインターフェイスの各種タブおよび機能を使用して多くの情報を取得できますたとえば [ 仮想マシン ] タブの情報を見ると仮想マシンの状態を確認できます内部の初期化ルーチンを実行しますこのコマンドはブートストラップに使用されますいかなる状況においてもこのコマンドは使用しないでくださいこのコマンドを使用すると ESX ホストに問題が生じる可能性がありますこのコマンドに相当する vsphere Client の機能はありませんドライバのパラメータを設定し起動時にロードするドライバを変更しますこのコマンドはブートストラップ処理で使用されますヴイエムウェアテクニカルサポート専用ですヴイエムウェアテクニカルサポートの担当者から指示がないかぎりこのコマンドを発行しないでくださいこのコマンドに相当する vsphere Client の機能はありませんファイバチャネルまたは iscsi ディスクのマルチパス設定を構成します vsphere Client でストレージのマルチパス設定を構成するには [ ストレージ ] をクリックしますデータストアまたはマッピングされた LUN を選択し [ プロパティ ] をクリックします [ プロパティ ] ダイアログボックスが表示されたら必要に応じて範囲を選択します次に [ エクステントデバイス ] - [ パスの管理 ] をクリックし [ パスの管理 ] ダイアログボックスでパスを構成します NFS のマウントを管理しますこのコマンドを使用して NFS のデータストアを作成またはマウント解除できます vsphere Client で NFS データストアを参照するには [ ストレージ ] - [ データストア ] をクリックしデータストアリストでスクロールします [ ストレージ ] - [ データストア ] ビューでは次のアクティビティも実行できます NFS データストアの属性の表示 : データストアをクリックして [ 詳細 ] の情報を確認します NFS データストアの作成 : [ ストレージの追加 ] をクリックします NFS データストアのアンマウント : [ 削除 ] をクリックするかアンマウントするデータストアを右クリックして [ アンマウント ] を選択します物理ネットワークアダプタのリストとドライバ PCI デバイスおよび各 NIC のリンク状態に関する情報を出力しますこのコマンドを使用して物理ネットワークアダプタの速度およびデュプレックスを制御することもできます vsphere Client でホストの物理ネットワークアダプタに関する情報を表示するには [ ネットワークアダプタ ] をクリックします vsphere Client で物理ネットワークアダプタの速度とデュプレックスを変更するには物理ネットワークアダプタに関連付けられている仮想スイッチの [ ネットワーク ] - [ プロパティ ] をクリックします [ プロパティ ] ダイアログボックスで [ ネットワークアダプタ ] - [ 編集 ] をクリックし速度とデュプレックスの組み合わせを選択します 210 VMware, Inc.

211 付録 A ESX のテクニカルサポートコマンド表 A-1. ESX のテクニカルサポートコマンド ( 続き ) サービスコンソールのコマンド esxcfg-resgrp esxcfg-route esxcfg-swiscsi esxcfg-upgrade esxcfg- scsid evs esxcfg-vmknic esxcfg-vswif esxcfg-vswitch コマンドの目的と vsphere Client での手順リソースグループの設定をリストアし基本的なリソースグループの管理を可能にしますインベントリパネルからリソースプールを選択し [ サマリ ] タブで [ 設定の編集 ] をクリックしてソースグループの設定を変更しますデフォルトの VMkernel ゲートウェイルートを設定または検索し固定ルートを追加削除またはリスト表示します vsphere Client でデフォルトの VMkernel ゲートウェイルートを表示するには [DNS およびルーティング ] をクリックしますデフォルトルーティングを変更するには [ プロパティ ] をクリックし [DNS およびルーティング構成 ] ダイアログボックスで両方のタブの情報を更新します iscsi ソフトウェアアダプタを構成します vsphere Client で使用するソフトウェアの iscsi システムを構成するには [ ストレージアダプタ ] をクリックし構成する iscsi アダプタを選択して [ プロパティ ] をクリックします [iscsi イニシエータプロパティ ] ダイアログボックスでアダプタを構成します ESX Server 2.x から ESX へアップグレードしますこのコマンドは一般的に使用するコマンドではありません 2.x から 3.x へアップグレードする場合には次の 3 つのタスクを実行しますいくつかのタスクは vsphere Client で実行できますホストのアップグレード : バイナリをアップグレードし ESX Server 2.x から ESX に変換しますこの手順は vsphere Client から実行することはできませんファイルシステムのアップグレード : VMFS-2 から VMFS-3 へアップグレードするには仮想マシンをサスペンドまたはパワーオフして [ インベントリ ] - [ ホスト ] - [ メンテナンスモードへの切り替え ] をクリックします [ ストレージ ] をクリックしストレージデバイスを選択し [VMFS-3 へアップグレード ] をクリックしますアップグレードする各ストレージに対してこの手順を実行します仮想マシンのアップグレード : 仮想マシンを VMS-2 から VMS-3 へアップグレードするにはインベントリパネルで仮想マシンを右クリックし [ 仮想マシンのアップグレード ] を選択しますサービスコンソールデバイスへ VMkernel ストレージデバイスのマップを出力しますこのコマンドに相当する vsphere Client の機能はありません VMotion NAS および iscsi の VMkernel TCP/IP の設定を作成およびアップデートします vsphere Client で VMotion NFS または iscsi のネットワーク接続を設定するには [ ネットワーク ] - [ ネットワークの追加 ] をクリックします [VMkernel] を選択し [ ネットワークの追加 ] ウィザードの指示に従います [ 接続設定 ] で IP アドレスサブネットマスクと VMkernel デフォルトゲートウェイを定義します設定を確認するには VMotion iscsi または NFS ポートの左側にある青いアイコンをクリックしますこれらの設定を編集する場合はスイッチの [ プロパティ ] をクリックしますスイッチの [ プロパティ ] ダイアログボックスのリストからポートを選択し [ 編集 ] をクリックしてポートの [ プロパティ ] ダイアログボックスを開きポートの設定を変更しますサービスコンソールのネットワーク設定を作成およびアップデートしますこのコマンドはネットワーク構成上の問題で vsphere Client から ESX ホストを管理できない場合に使用します vsphere Client でサービスコンソールの接続を設定するには [ ネットワーク ] - [ ネットワークの追加 ] をクリックします [ サービスコンソール ] を選択し [ ネットワークの追加 ] ウィザードの指示に従います [ 接続設定 ] で IP アドレスサブネットマスクとサービスコンソールのデフォルトゲートウェイを定義します設定を確認するにはサービスコンソールポートの左側にある青いアイコンをクリックしますこれらの設定を編集する場合はスイッチの [ プロパティ ] をクリックしますスイッチの [ プロパティ ] ダイアログボックスのリストからサービスコンソールポートを選択します [ 編集 ] をクリックしてポートの [ プロパティ ] ダイアログボックスを開きポートの設定を変更します仮想マシンのネットワーク設定を作成およびアップデートします vsphere Client で仮想マシンの接続を設定するには [ ネットワーク ] - [ ネットワークの追加 ] をクリックします [ 仮想マシン ] を選択し [ ネットワークの追加 ] ウィザードの指示に従います設定を確認するには仮想マシンポートグループの左側にある吹き出しのアイコンをクリックしますこれらの設定を編集する場合はスイッチの [ プロパティ ] をクリックしますスイッチの [ プロパティ ] ダイアログボックスのリストから仮想マシンのポートを選択し [ 編集 ] をクリックしてポートの [ プロパティ ] ダイアログボックスを開きポートの設定を変更します VMware, Inc. 211

212 212 VMware, Inc.

213 ESX で使用する Linux コマンド B 特定の内部操作をサポートするために VMware ESX のインストールにはネットワークまたはストレージの構成コマンドなど標準的な Linux 構成コマンドのサブセットが含まれていますこれらのコマンドを使用して構成タスクを実行すると構成上重大な衝突が生じ ESX の一部の機能が使用できなくなる可能性があります vsphere のドキュメントまたはヴイエムウェアテクニカルサポートで特に指示されないかぎり ESX の構成は必ず vsphere Client を使用して行なってください VMware, Inc. 213

214 214 VMware, Inc.

215 vmkfstools の使用 C vmkfstools ユーティリティを使用して VMware ESX ホストで仮想ディスクファイルシステム論理ボリュームおよび物理ストレージデバイスを作成および操作します vmkfstools を使用するとディスクの物理パーティションで仮想マシンファイルシステム (VMFS) を作成および管理できますまたこのコマンドを使用して VMFS-2 VMFS-3 および NFS に格納されている仮想ディスクファイルなどのファイルを操作できますほとんどの vmkfstools の操作は vsphere Client を使用して実行できますこの付録では次のトピックについて説明します vmkfstools コマンドの構文 (P. 215) vmkfstools オプション (P. 216) vmkfstools コマンドの構文一般的に vmkfstools コマンドを実行するために root ユーザーとしてログインする必要はありませんただしファイルシステムコマンドなどの一部のコマンドでは root ユーザーでのログインが必要な場合もあります vmkfstools コマンドでは次の引数を使用します <options> は 1 つまたは複数のコマンドラインオプションで vmkfstools で実行するアクティビティ ( たとえば新規仮想ディスク作成時のディスクフォーマットの選択など ) を指定するために関連付けられている引数ですオプションを入力したら /vmfs 階層に相対ファイルパス名または絶対ファイルパス名を入力して操作を実行するファイルまたは VMFS ファイルシステムを指定します <partition> にはディスクパーティションを指定しますこの引数は vml.<vml_id>:p の形式を使用します <vml_id> はストレージアレイから返されるデバイス ID で P はパーティションの数を表す整数ですパーティション番号は 0 よりも大きく有効な VMFS パーティションタイプ fb に対応している必要があります VMware, Inc. 215

216 <device> にはデバイスまたは論理ボリュームを指定しますこの引数は ESX のデバイスファイルシステムのパス名を使用しますパス名は /vmfs/devices で始まりますこれはデバイスファイルシステムのマウントポイントです異なるタイプのデバイスを指定する場合次の形式を使用します /vmfs/devices/disks ( ローカルまたは SAN ベースディスク ) /vmfs/devices/lvm (ESX 論理ボリューム ) /vmfs/devices/generic ( テープドライブなどの一般的な SCSI デバイス ) <path> には VMFS ファイルシステムまたはファイルを指定しますこの引数はディレクトリシンボリックリンク RAW デバイスマッピングまたは /vmfs 下のファイルを示す絶対パスまたは相対パスです VMFS ファイルシステムを指定するには次の形式を使用します /vmfs/volumes/<file_system_uuid> または /vmfs/volumes/<file_system_label> VMFS ファイルを指定するには次の形式を使用します /vmfs/volumes/<file system label file system UUID>/[dir]/myDisk.vmdk 現在作業中のディレクトリが mydisk.vmdk の親ディレクトリの場合パス全体を入力する必要はありません次に例を示します /vmfs/volumes/datastore1/rh9.vmdk vmkfstools オプション vmkfstools コマンドにはいくつかのオプションがありますオプションには上級ユーザーのみに推奨されるものが含まれています長形式のオプションと 1 文字のオプションは同等ですたとえば次のコマンドは同一です vmkfstools --createfs vmfs3 --blocksize 2m vml.<vml_id>:1 vmkfstools -C vmfs3 -b 2m vml.<vml_id>:1 -v サブオプション -v サブオプションはコマンド出力の詳細さのレベルを示しますこのサブオプションの形式は次のとおりです -v --verbose <number> <number> の値は 1 ~ 10 の整数で指定しますすべての vmkfstools オプションで -v サブオプションを指定できますオプションの出力が -v サブオプションの使用に適していない場合 vmkfstools は -v を無視します注意 -v サブオプションは vmkfstools コマンドラインに含めることができるので各オプションの説明には -v がサブオプションとして含まれていません 216 VMware, Inc.

217 付録 C vmkfstools の使用ファイルシステムのオプションファイルシステムのオプションを使用すると VMFS ファイルシステムを作成できますこれらのオプションは NFS には適用されませんこれらのタスクのほとんどは vsphere Client から実行できます VMFS ファイルシステムの作成 VMFS ファイルシステムを作成するには vmkfstools コマンドを使用します -C --createfs vmfs3 -b --blocksize < ブロックサイズ >kk mm -S --setfsname <fsname> このオプションは vml.<vml_id>:1 のように指定した SCSI パーティションに VMFS-3 ファイルシステムを作成しますパーティションはファイルシステムのヘッドパーティションになります VMFS-2 ファイルシステムはすべての ESX ホストでは読み取り専用です VMFS-2 ファイルシステムの作成または変更はできませんが VMFS-2 ファイルシステムで保存されたファイルの読み取りはできます VMFS-3 ファイルシステムは ESX 2.x ホストからアクセスできません注意 1 つの LUN に配置できる VMFS ボリュームは 1 つだけです -C オプションとともに次のサブオプションを指定できます -b --blocksize: VMFS-3 ファイルシステムのブロックサイズを指定しますデフォルトのブロックサイズは 1MB です指定する < ブロックサイズ > の値は 128kb の倍数にする必要があり最小値は 128kb ですサイズを入力するときに末尾に m または M を追加して単位のタイプを示します単位のタイプは大文字と小文字で区別されません vmkfstools は m または M をメガバイト k または K をキロバイトと解釈します -S --setfsname: 作成している VMFS-3 ファイルシステムに VMFS ボリュームのボリュームラベルを定義しますこのサブオプションは必ず -C オプションと組み合わせて使用します指定するラベルは最大 128 文字で先頭または末尾にスペースを含めることはできませんボリュームラベルを定義したらそれを使用していつでも vmkfstools コマンドに VMFS ボリュームを指定できますボリュームラベルは Linux の ls -l コマンドで生成されるリストに /vmfs/volumes ディレクトリの下にある VMFS ボリュームへのシンボリックリンクで表示されます VMFS ボリュームラベルを変更するには Linux の ln -sf コマンドを使用します次に例を示します ln -sf /vmfs/volumes/<uuid> /vmfs/volumes/<fsname> <fsname> は <UUID> の VMFS に使用する新しいボリュームラベルです VMFS ファイルシステムを作成する例この例では vml.<vml_id>:1 パーティションの my_vmfs という名前の VMFS-3 ファイルシステムを新規作成しますファイルのブロックサイズは 1MB です vmkfstools -C vmfs3 -b 1m -S my_vmfs /vmfs/devices/disks/vml.<vml_id>:1 既存の VMFS-3 ボリュームの拡張 VMFS ボリュームにエクステントを追加するには vmkfstools コマンドを使用します -Z --extendfs < 拡張デバイス > < 既存の VMFS ボリューム > VMware, Inc. 217

218 このオプションは作成済みの VMFS ボリュームである < 既存の VMFS ボリューム > に新しいエクステントを追加しますフルパス名を指定する必要がありますたとえば短い名前の vml.<vml_id>:1 ではなく /vmfs/devices/disks/ vml.<vml_id>:1 と指定しますこのオプションを使用するたびに VMFS-3 ボリュームに新しいエクステントが追加されボリュームが複数のパーティション上に拡張されます VMFS-3 論理ボリュームには最大 32 個の物理エクステントを含めることができます注意このオプションを実行すると < 拡張デバイス > で指定した SCSI デバイスにあるデータはすべて失われます VMFS-3 ボリュームを拡張する例この例では論理ファイルシステムを新しいパーティションに広げることによって拡張します vmkfstools -Z /vmfs/devices/disks/vml.<vml_id_2>:1/vmfs/devices/disks/vml.<vml_id_1>:1 拡張されたファイルシステムは 2 つのパーティション (vml.<vml_id_1>:1 and vml.<vml_id_2>:1) をまたいで配置されますこの例では vml.<vml_id_1>:1 はヘッドパーティションの名前です VMFS ボリュームの属性の一覧表示 VMFS ボリュームの属性を一覧表示するには vmkfstools コマンドを使用します -P --queryfs -h --human-readable VMFS ボリューム上にあるファイルまたはディレクトリに対してこのオプションを使用すると指定されたボリュームの属性が一覧表示されます一覧表示される属性には VMFS バージョン番号 (VMFS-2 または VMFS-3) 指定した VMFS ボリュームを構成するエクステントの数ボリュームラベル ( ある場合 ) UUID および各エクステントが属しているデバイス名のリストが含まれます注意 VMFS ファイルシステムを支援する任意のデバイスがオフラインになるとそれに従いエクステントおよび使用可能な容量が変化します -P オプションとともに -h サブオプションを指定できますこのようにする場合は vmkfstools にボリュームの容量が 5k 12.1M 2.1G のようにさらにわかりやすい形式で表示されます VMFS-2 から VMFS-3 へのアップグレード VMFS-2 ファイルシステムを VMFS-3 にアップグレードできます注意 VMFS-2 から VMFS-3 への変換は一方向のプロセスです一度 VMFS-2 ボリュームを VMFS-3 に変換すると VMFS-2 ボリュームに戻すことはできません VMFS-2 ファイルシステムはファイルブロックサイズが 8MB 以下の場合にのみアップグレードできますファイルシステムのアップグレードでは次のオプションを使用します -T --tovmfs3 -x --upgradetype [zeroedthick eagerzeroedthick thin] このオプションはファイルシステムのすべてのファイルを保持したまま VMFS-2 ファイルシステムを VMFS-3 に変換します変換前に vmfs2 および vmfs3 ドライバをアンロードしモジュールオプション fsauxfunction=upgrade を使用して補助ファイルシステムドライバ fsaux をロードします 218 VMware, Inc.

219 付録 C vmkfstools の使用 -x --upgradetype サブオプションを次のいずれかとして使用しアップグレードタイプを指定する必要があります -x zeroedthick ( デフォルト ): VMFS-2 シックファイルのプロパティを保持します zeroedthick ファイルフォーマットでは将来使用するためにディスク容量がファイルに割り当てられ未使用データブロックは消去されません -x eagerzeroedthick: 変換中にシックファイルの未使用データブロックを消去しますこのサブオプションを使用する場合アップグレードプロセスはほかのオプションの場合よりかなりの時間がかかることがあります -x thin: VMFS-2 シックファイルをシンプロビジョニングの VMFS-3 ファイルに変換します thick ファイルフォーマットと対照的にシンプロビジョニングフォーマットでは将来の使用を考慮して余分な容量をファイルに割り当てることはできませんが必要なときに容量が提供されますこの変換中 thick ファイルの未使用ブロックは破棄されます変換中 ESX のファイルロックメカニズムにより変換中の VMFS ボリュームにほかのローカルプロセスがアクセスできなくなりますただしリモート ESX ホストがこのボリュームにアクセスしていないことを確認することも行なってください変換には数分かかることがあります完了するとコマンドプロンプトに戻ります変換後 fsaux ドライバをアンロードし vmfs3 および vmfs2 ドライバをロードして通常の操作を再開します -u --upgradefinish このオプションはアップグレードを完了します仮想ディスクのオプション仮想ディスクのオプションを使用すると VMFS-2 VMFS-3 および NFS ファイルシステムに格納された仮想ディスクを設定移行および管理できますこれらのタスクのほとんどは vsphere Client からも実行できますサポートされているディスクフォーマット仮想ディスクを作成またはクローン作成する場合 -d --diskformat サブオプションを使用してディスクフォーマットを指定できます次のフォーマットから選択します zeroedthick ( デフォルト ): 仮想ディスクに必要な容量は作成中に割り当てられます物理デバイスに残っているあらゆるデータは作成中には消去されませんがあとで仮想マシンにはじめて書き込むときにオンデマンドで消去されます仮想マシンがディスクから古いデータを読み取ることはありません eagerzeroedthick: 仮想ディスクに必要な容量は作成時に割り当てられます zeroedthick フォーマットの場合とは異なり物理デバイスに残っているデータは作成時に消去されますほかのタイプのディスクに比べてディスクの作成に非常に長い時間がかかることがあります thick: 仮想ディスクに必要な容量は作成中に割り当てられますこのタイプのフォーマットではこの割り当てられた容量に存在する古いデータはすべて消去されません root 以外のユーザーはこのフォーマットでの作成ができません thin: シンプロビジョニング仮想ディスクです thick フォーマットの場合と異なり仮想ディスクに必要な容量は作成時に割り当てられませんがあとで必要なときに割り当てられ消去されます rdm: 仮想互換モードの RAW ディスクマッピングです rdmp: 物理互換モード ( パススルー ) の RAW ディスクマッピングです raw: RAW デバイスです 2gbsparse: エクステントサイズが最大 2GB のスパースディスクですこのフォーマットのディスクはほかの VMware 製品で使用できますただし vmkfstools を使用して互換性のあるフォーマット (thick thin など ) でディスクを再度インポートしないかぎり ESX ホストでスパースディスクをパワーオンできません VMware, Inc. 219

220 monosparse: モノリシックなスパースディスクですこのフォーマットのディスクはほかの VMware 製品で使用できます monoflat: モノリシックなフラットディスクですこのフォーマットのディスクはほかの VMware 製品で使用できます注意 NFS に使用できるディスクフォーマットは thin thick zerodthick および 2gbsparse のみです ESX ホストではなく NFS サーバが割り当てポリシーを決定するため thick zeroedthick および thin は通常同じ意味ですほとんどの NFS サーバのデフォルトの割り当てポリシーは thin です仮想ディスクの作成仮想ディスクを作成するには vmkfstools コマンドを使用します -c --createvirtualdisk < サイズ >[kk mm gg] -a --adaptertype [buslogic lsilogic] < ソースファイル > -d --diskformat [thin zeroedthick eagerzeroedthick] このオプションは VMFS ボリューム上の指定したパスに仮想ディスクを作成します仮想ディスクのサイズを指定します < サイズ > の値を入力する際末尾に k ( キロバイト ) m ( メガバイト ) または g ( ギガバイト ) を追加すると単位のタイプを指定できます単位のタイプに大文字と小文字の区別はありません vmkfstools は k と K のいずれもキロバイトとして認識します単位のタイプを指定しない場合 vmkfstools ではデフォルトでバイトに設定されます -c オプションとともに次のサブオプションを指定できます -a は仮想ディスクとの通信に使用されるデバイスドライバを指定します BusLogic ドライバと LSI Logic SCSI ドライバから選択できます -d はディスクフォーマットを指定します仮想ディスクを作成する例この例では myvmfs という名前の VMFS ファイルシステムに rh6.2.vmdk という名前の 2GB の仮想ディスクファイルを作成しますこのファイルは仮想マシンがアクセスできる空の仮想ディスクです vmkfstools -c 2048m /vmfs/volumes/myvmfs/rh6.2.vmdk 仮想ディスクの初期化仮想ディスクを初期化するには vmkfstools コマンドを使用します -w --writezeros このオプションはすべてのデータにゼロを書き込むことで仮想ディスクをクリーンアップします仮想ディスクのサイズおよびその仮想ディスクをホストするデバイスへの I/O バンド幅によってはこのコマンドの完了に時間がかかることがあります注意このコマンドを使用する場合仮想ディスクにある既存のデータはすべて消失されますシン仮想ディスクの最大化シン仮想ディスクを拡張するには vmkfstools コマンドを使用します -j --inflatedisk このオプションはすべての既存データを保持したまま thin 仮想ディスクを eagerzeroedthick に変換しますこのオプションはまだ割り当てられていないブロックの割り当ておよび消去を行います 220 VMware, Inc.

221 付録 C vmkfstools の使用仮想ディスクの削除このオプションは VMFS ボリュームの指定したパスにリストされている仮想ディスクに関連付けられたファイルを削除します -U --deletevirtualdisk 仮想ディスクの名前の変更このオプションはコマンドラインのパスの指定部分に記載されている仮想ディスクに関連付けられたファイル名を変更します元のファイル名またはファイルパスである < 古い名前 > と新しいファイル名またはファイルパスである < 新しい名前 > を指定する必要があります -E --renamevirtualdisk < 古い名前 > < 新しい名前 > 仮想ディスクまたは RAW ディスクのクローン作成このオプションは指定された仮想ディスクまたは RAW ディスクのコピーを作成します -i --importfile < ソースファイル > -d --diskformat [rdm:< デバイス > rdmp:< デバイス > raw:< デバイス > thin 2gbsparse monosparse monoflat] -i オプションに -d サブオプションを使用できますこのサブオプションは作成するコピーのディスクフォーマットを指定します root 以外のユーザーは仮想ディスクまたは RAW ディスクのクローンを作成できません注意階層を保持しながら ESX REDO ログのクローンを作成するには cp コマンドを使用します仮想ディスクのクローンを作成する例この例では templates リポジトリからファイルシステム myvmfs にある myos.vmdk という名前の仮想ディスクファイルにマスタ仮想ディスクの内容のクローンを作成します vmkfstools -i /vmfs/volumes/templates/gold-master.vmdk /vmfs/volumes/myvmfs/myos.vmdk 次の例のように仮想マシンの構成ファイルに数行追加するとこの仮想ディスクを使用するように仮想マシンを構成できます scsi0:0.present = TRUE scsi0:0.filename = /vmfs/volumes/myvmfs/myos.vmdk VMware Workstation および VMware GSX Server 仮想マシンの移行 vsphere Client を使用して VMware Workstation または VMware GSX Server で作成された仮想マシンを ESX システムに移行することはできませんただし vmkfstools -i コマンドを使用して仮想ディスクを ESX システムにインポートしこのディスクを ESX で作成する新規仮想マシンに追加することはできます ESX ホスト上で 2gbsparse フォーマットでエクスポートされたディスクはパワーオンできないため最初に仮想ディスクをインポートする必要があります手順 1 Workstation または GSX Server ディスクを /vmfs/volumes/myvmfs/ ディレクトリまたはそのサブディレクトリすべてにインポートします 2 vsphere Client で [ カスタム ] 構成オプションを使用して新しい仮想マシンを作成します 3 ディスクを構成する場合 [ 既存の仮想ディスクを使用 ] を選択してインポートした Workstation または GSX Server ディスクを追加します仮想ディスクの拡張このオプションは仮想マシンの作成後その仮想マシンに割り当てられたディスクのサイズを拡張します -X --extendvirtualdisk <newsize>[kk mm gg] VMware, Inc. 221

222 このコマンドを入力する前にこのディスクファイルを使用する仮想マシンをパワーオフする必要がありますディスク上のファイルシステムを更新することでゲスト OS がディスクの新しいサイズを認識して使用し追加された領域を利用できるようにする必要があります newsize パラメータをキロバイトメガバイトまたはギガバイトで指定するには末尾に k ( キロバイト ) m ( メガバイト ) または g ( ギガバイト ) を追加します単位のタイプに大文字と小文字の区別はありません vmkfstools は k と K のいずれもキロバイトとして認識します単位のタイプを指定しない場合 vmkfstools ではデフォルトでキロバイトに設定されます newsize パラメータはディスクに追加するサイズだけでなく新しいサイズ全体を定義しますたとえば 4g の仮想ディスクを 1g 分拡張するには次のように入力します vmkfstools -X 5g < ディスク名 >.dsk 注意スナップショットが関連付けられている仮想マシンの基本ディスクを拡張しないでください拡張するとスナップショットのコミットやベースディスクの元のサイズへの復元ができなくなります VMFS-2 仮想ディスクの VMFS-3 への移行このオプションは指定した仮想ディスクファイルを ESX Server 2 フォーマットから ESX フォーマットに変換します -M --migratevirtualdisk 仮想互換モードの RAW デバイスマッピングの作成このオプションは RDM (RAW デバイスマッピング ) ファイルを VMFS-3 ボリュームに作成し RAW ディスクをこのファイルにマッピングしますこのマッピングが完了すると通常の VMFS 仮想ディスクと同様に RAW ディスクにアクセスすることができますマッピングするファイルの長さは参照する RAW ディスクのサイズと同じです -r --createrdm < デバイス > < デバイス > パラメータを入力する場合は次の形式を使用してください /vmfs/devices/disks/vml.<vml_id> 注意 VMFS-3 のすべてのファイルロックメカニズムが RDM に適用されます仮想互換モードの RDM を作成する例この例では my_rdm.vmdk という名前の RDM ファイルを作成しそのファイルに vml.<vml_id> RAW ディスクをマッピングします vmkfstools -r /vmfs/devices/disks/vml.<vml_id> my_rdm.vmdk 仮想マシンの構成ファイルに次の行を追加すると my_rdm.vmdk マッピングファイルを使用するように仮想マシンを構成できます scsi0:0.present = TRUE scsi0:0.filename = /vmfs/volumes/myvmfs/my_rdm.vmdk 物理互換モードの RAW デバイスマッピングの作成このオプションを使用してパススルーモードの RAW デバイスを VMFS ボリューム上のファイルにマッピングできますこのマッピングによって仮想マシンが仮想ディスクにアクセスするときに ESX SCSI コマンドフィルタリングをバイパスできますこのタイプのマッピングは仮想マシンが企業独自の SCSI コマンドを送信する必要がある場合に役に立ちますたとえば SAN 対応のソフトウェアを仮想マシンで実行する場合などです -z --createrdmpassthru < デバイス > このタイプのマッピングが完了するとそれを使用してほかの VMFS 仮想ディスクと同様に RAW ディスクにアクセスすることができます < デバイス > パラメータを入力する場合は次の形式を使用してください /vmfs/devices/disks/vml.<vml_id> 222 VMware, Inc.

223 付録 C vmkfstools の使用 RDM の属性の一覧表示このオプションを使用して RAW ディスクマッピングの属性を一覧表示できます -q --queryrdm このオプションは RAW ディスク RDM の名前を出力しますこのオプションはその RAW ディスクに関するほかの識別名情報 ( ディスク ID など ) も出力します仮想ディスク構造の表示このオプションは仮想ディスクの構造の情報を取得します -g --geometry 出力形式は Geometry information C/H/S ですここで C はシリンダ数 H はヘッド数 S はセクタ数を表します注意 VMware Workstation の仮想ディスクを ESX ホストにインポートするとディスク構造の不整合を示すエラーメッセージが表示される場合がありますまたディスク構造の不整合によってゲスト OS のロードまたは新規作成した仮想マシンの実行に問題が生じる場合もあります LUN の SCSI 予約の管理 -L オプションを使用して物理ストレージデバイスの管理タスクを実行できますこれらのタスクのほとんどは vsphere Client から実行できます -L --lock [reserve release lunreset targetreset busreset]< デバイス > このオプションを使用して ESX ホスト専用として SCSI LUN を予約したりほかのホストがその LUN にアクセスできるように予約を解放したりまたはターゲットからの予約をすべて強制的に解除して予約をリセットしたりすることが可能です注意 -L オプションを使用すると SAN 上のほかのサーバの操作が中断できます -L オプションはクラスタリング設定のトラブルシューティング時のみ使用してください当社から特別な指示がないかぎり VMFS ボリュームをホストする LUN ではこのオプションは使用しないでください -L オプションには複数の指定方法があります -L reserve: 指定した LUN を予約します予約後はその LUN を予約したサーバだけがアクセスできますほかのサーバがその LUN にアクセスしようとすると予約エラーが発生します -L release: 指定した LUN の予約を解放しますほかのサーバがその LUN に再びアクセスできます -L lunreset: 指定した LUN の予約をすべて消去しその LUN をすべてのサーバで再び使用できるようにすることで LUN をリセットしますリセットすることによってデバイス上のその他の LUN に影響を与えることはありませんデバイス上でほかの LUN が予約されている場合その予約は引き続き有効です -L targetreset: ターゲット全体をリセットしますリセットするとターゲットに関連付けられたすべての LUN の予約を消去しすべてのサーバが再びそれらの LUN を使用できるようになります -L busreset: バス上のアクセス可能なすべてのターゲットをリセットしますリセットするとバスからアクセスできるすべての LUN の予約が消去されすべてのサーバが再びそれらの LUN を使用できるようになります < デバイス > パラメータを入力する場合は次の形式を使用してください /vmfs/devices/disks/vml.<vml_id>:p VMware, Inc. 223

224 224 VMware, Inc.

225 インデックス数字 802.1Q および ISL タギング攻撃 152 C CA 書名付き証明書 165 CDP 25 CHAP iscsi イニシエータ用 92 一方向 92 検出ターゲット用 93 静的ターゲット用 93 相互 92 無効化 94 CHAP 認証 91, 155 CHAP 認証方法 92 CIM およびファイアウォールポート 144 Cisco Discovery Protocol 25, 29 Cisco スイッチ 25 D DHCP 23 DMZ 135 DNS 54 dvport VLAN ポリシー 47 スイッチへの通知 45 チーミングおよびフェイルオーバーポリシー 45 トラフィックシェーピングポリシー 53 ネットワークのフェイルオーバー検出 45 フェイルオーバー 45 フェイルバック 45 ブロックされているポート 54 プロパティ 31 ポートポリシー 54 ロードバランシング 45 dvport グループオーバーライド設定 31 仮想マシン 38 スイッチへの通知 44 切断時の構成のリセット 31 説明 30 チーミングおよびフェイルオーバーポリシー 44 追加 30 トラフィックシェーピングポリシー 53 名前 30 ネットワークのフェイルオーバー検出 44 フェイルオーバーの順序 44 フェイルバック 44 ポートグループのタイプ 30 ポート数 30 ポートブロック 54 ポート名のフォーマット 31 ホストでのバインド 31 ライブポートの移動 31 ロードバランシング 44 DVS Cisco Discovery Protocol 29 IP アドレス 29 MTU の最大サイズ 29 VMkernel ネットワークアダプタの追加 34 管理者連絡情報 29 最大ポート数 29 dvuplink 28 E ESX コマンドリファレンス 209 esxcfg コマンド 209 ESX のコマンドリファレンス 209 F FTP およびファイアウォールポート 144 I IDE 72 IPv4 39 IPv6 39 IP アドレス 29, 75 IP ストレージポートグループ作成 20, 34 iscsi QLogic iscsi アダプタ 154 セキュリティ 154 ソフトウェアクライアントおよびファイアウォールポート 144 転送されたデータの保護 156 認証 155 ネットワーク 64 ポートの保護 156 iscsi HBA エイリアス 88 iscsi SAN 認証無効化 155 iscsi イニシエータ CHAP の構成 92 VMware, Inc. 225

226 CHAP パラメータの設定 91 詳細パラメータ 95 詳細パラメータの構成 96 ハードウェア 87 iscsi エイリアス 75 iscsi ストレージイニシエータ 86 ソフトウェア起動 86 ハードウェア起動 86 iscsi ネットワーク VMkernel ポートの作成 64, 89 iscsi 名 75 L LUN 作成再スキャン 96 変更と再スキャン 96 マスキングの変更と再スキャン 96 マルチパスポリシー 114 マルチパスポリシーの設定 114 M MAC アドレス構成 55 生成 56 MAC アドレスの変更 153, 154 MAC フラッディング 152 MPP マルチパスプラグインを参照 MRU パスポリシー 114 MTU 58 MTU の最大サイズ 29 N NAS マウント 64 NAT 39 Nessus 184 NetQueue 無効化 60 NFS ファイアウォールポート 144 NFS ストレージ概要 98 追加 99 NFS データストアアンマウント 103 NIC 追加 33 NIC チーミング定義 13 NIS およびファイアウォールポート 144 NMP パスの要求 112 NTP 146 P pam_cracklib.so プラグイン 177 pam_passwdqc.so プラグイン 180 PSA プラグ可能ストレージアーキテクチャを参照 PSP パス選択プラグインを参照 R RAID デバイス 122 RAW デバイスマッピング RDM を参照 119 RDM および仮想ディスクファイル 125 概要 119 仮想互換モード 122 クラスタリング 125 作成 126 と VMFS フォーマット 122 動的名前解決 123 とスナップショット 122 物理互換モード 122 メリット 120 root ログイン SSH 183 権限 159, 160 S SAS 72 SATA 72 SATP 109 SCSI vmkfstools 215 SDK ファイアウォールポートおよび仮想マシンコンソール 143 setgid アプリケーション 181 アプリケーションの無効化 181 デフォルトのアプリケーション 182 setinfo 191 setuid アプリケーション 181 アプリケーションの無効化 181 デフォルトのアプリケーション 182 SMB およびファイアウォールポート 144 SNMP およびファイアウォールポート 144 SPOF 85 SSH 構成 183 サービスコンソール 183 セキュリティ設定 183 ファイアウォールポート 144 SSL 暗号化と証明書 164 タイムアウト 165 有効化と無効化 164 T TCP ポート 147 Tomcat Web サービス 137 U UDP ポート VMware, Inc.

227 インデックス USB 72 V vcenter Server 権限 159 ファイアウォールポート 139 ファイアウォールを介しての接続 142 vcenter Server ユーザー 159 VLAN VLAN ホッピング 150 および iscsi 156 サービスコンソール 151 セキュリティ 148, 151 セキュリティの構成 151 定義 13 導入のシナリオ 185 プライベート 32 レイヤー 2 セキュリティ 150 VLAN ID 30 VLAN セキュリティ 150 VLAN タイプ 47 VLAN トランキング 30, 47 VLAN トランク 47 VLAN ポリシー dvport 47 dvport グループ 47 VMFS vmkfstools 215 共有 185 ボリュームの再署名 105 VMFS データストアアンマウント 103 エクステントの追加 104 共有 78 構成 97 コピーの再署名 106 削除 102 作成 77 署名の変更 107 プロパティの変更 103 容量の増加 104 VMFS データストアのマウント 106 VMFS ボリュームの再署名 105 VMkernel 構成 19 セキュリティ 132 定義 13 VMkernel アダプタ 36 VMkernel ネットワーク 14 VMkernel ネットワークアダプタ追加 20, 34 VMkernel ネットワークアダプタの追加 20 vmkfstools 概要 215 仮想ディスクオプション 219 構文 215 ファイルシステムのオプション 217 VMotion VLAN および仮想スイッチによるセキュリティ 150 定義 13 ネットワークの構成 19 VMotion インターフェイス作成 20, 34 vmware-hostd 157 VMware NMP I/O フロー 109 ネイティブマルチパスプラグインも参照 vnetwork 標準スイッチトラフィックシェーピング 51 表示 14 ポート構成 23 レイヤー 2 セキュリティ 48 vnetwork 分散スイッチ Cisco Discovery Protocol 29 IP アドレス 29 MTU の最大サイズ 29 NIC の追加 33 VMkernel アダプタ 36 VMkernel ネットワークアダプタの追加 34 仮想マシンの移行 38 管理者連絡情報 29 サードパーティ 27 最大ポート数 29 新規 28 その他のポリシー 54 ホストを追加 28 vpxuser 160 vsphere Client vcenter Server でのファイアウォールポート 139 仮想マシンコンソールに接続するファイアウォールポート 143 直接接続用のファイアウォールポート 141 vsphere Web Access SSL の無効化 166 vcenter Server でのファイアウォールポート 139 仮想マシンコンソールに接続するファイアウォールポート 143 直接接続用のファイアウォールポート 141 とホストサービス 164 vswitch 使用 17 スイッチへの通知 40 チーミングおよびフェイルオーバーポリシー 40 定義 13 トラフィックシェーピング 51 ネットワークのフェイルオーバー検出 40 表示 14 フェイルオーバーの順序 40 VMware, Inc. 227

228 フェイルバック 40 ポート構成 23 レイヤー 2 セキュリティ 48 ロードバランシング 40 W WWN 74 あアクセスなしロール 160, 161 アクティブ-アクティブディスクアレイ 114 アクティブ-パッシブディスクアレイ 114 アダプタ仮想 36 アップリンク削除 34 アップリンクアダプタ速度 24 追加 24 デュプレックス 24 アップリンクの割り当て 29 アプリケーション setgid フラグ 181 setuid フラグ 181 デフォルト 182 任意 181, 182 任意の無効化 181 暗号化 SSL の有効化と無効化 164 証明書 164 ユーザー名パスワードパケット 164 暗号強度接続 181 アンチウイルスソフトウェアインストール 189 い一方向 CHAP 92 インターネットプロトコル 39 えエクステント増大 104 データストアへの追加 104 エクスポートホストのグループ 161 ホストのユーザー 161 おオーバーライド設定 dvport グループ 31 置き換えデフォルトの証明書 165 か拡張 vmxnet 57, 58 隔離 VLAN 134 仮想スイッチ 134 仮想ネットワークレイヤー 134 仮想アダプタ VMkernel 36 仮想化レイヤーセキュリティ 132 仮想スイッチ 802.1Q および ISL タギング攻撃 152 MAC アドレスの変更 153 MAC フラッディング 152 および iscsi 156 偽装転送 153 スパニングツリー攻撃 152 セキュリティ 152 ダブルカプセル化攻撃 152 導入のシナリオ 185 マルチキャスト総当り攻撃 152 無差別モード 153 ランダムフレーム攻撃 152 仮想スイッチのセキュリティ 150 仮想スイッチポートセキュリティ 153 仮想ディスクフォーマット 115 仮想ネットワークセキュリティ 148 仮想ネットワークアダプタ削除 37 仮想ネットワークレイヤーおよびセキュリティ 134 仮想マシン vnetwork 分散スイッチとの間の移行 38 隔離 134, 135 カットアンドペーストの無効化 189 可変情報サイズの制限 191 セキュリティ 132 セキュリティの推奨事項 189 デバイス切断防止 190 ネットワーク 38 リソースの予約および制限 132 ログの無効化 192, 193 仮想マシンのネットワーク 14, 18 カットアンドペーストゲスト OS での無効化 189 管理アクセス TCP および UDP ポート 147 ファイアウォール 145 管理者連絡情報 29 管理者ロール 160, 161 き偽装転送 49, 50, 153, 154 くグループ概要 161 グループリストの表示 161 権限とロール 158 認証 159 ホストからの削除 163 ホストでの変更 163 ホストへの追加 163 ユーザーの追加 VMware, Inc.

229 インデックスグループからのユーザーの削除 163 グループへのユーザーの追加 163 けゲスト OS カットアンドペーストの無効化 189 可変情報サイズの制限 191 セキュリティの推奨事項 189 ログの無効化 192, 193 ログレベル 192 ゲスト OS の可変情報サイズ制限 191 無効化 191 権限 root ユーザー 159 vcenter Server 管理者 159 vpxuser 159 概要 159 と特権 159 ユーザー 160 現在のマルチパス状態 113 検出アドレス 90 静的 91 動的 90 こ攻撃 802.1Q および ISL タギング 152 MAC フラッディング 152 スパニングツリー 152 ダブルカプセル化 152 マルチキャスト総当り 152 ランダムフレーム 152 更新 96 構成 RDM 126 SCSI ストレージ 97 静的検出 91 動的検出 90 互換モード仮想 122 物理 122 固定パスポリシー 109, 114 さサードパーティ製スイッチ 27 サードパーティのソフトウェアサポートポリシー 138 サービス起動 146 自動化 146 サービスコンソール setgid アプリケーション 181 setuid アプリケーション 181 SSH 接続 183 VLAN 23 VLAN および仮想スイッチによるセキュリティ 150 隔離 151 セキュリティ 137 セキュリティの推奨事項 171 直接接続 172 トラブルシューティング 68 ネットワークポリシー 23 パスワード制限 176 パスワードプラグイン 180 ファイアウォールセキュリティ 173 ファイアウォールのポートの開放 174 ファイアウォールのポートの閉鎖 175 ファイアウォールポート 174 リモート接続 172 ログイン 172 サービスコンソールネットワーク構成 21 トラブルシューティング 67, 68 最近の使用パスポリシー 109, 114 再スキャン LUN 作成 96 パスのダウン時 96 パスのマスキング 96 最大ポート数 29 サムプリントホスト 164 しシェルアクセス付与 162 事前バインドのポートグループ 30 ジャンボフレーム仮想マシン 57, 58 有効化 58 出力側トラフィックシェーピング 53 証明書 SSL 164 vcenter Server 164 vsphere Web Access 164 vsphere Web Access および SDK の SSL の無効化 166 キーファイル 164 検証 164 証明書ファイル 164 新規生成 165 セキュリティ 138 デフォルト 164 場所 164 ホストの検索の構成 167 証明書の生成 165 診断パーティション構成 100 シンディスク作成 116 VMware, Inc. 229

230 すスイッチ vnetwork 36 スイッチへの通知 40, 44, 45 スタンバイアダプタ 24 スタンバイ中のアップリンク 40, 44, 45 ストレージ iscsi 86 NFS 98 SAN 86 VLAN および仮想スイッチによるセキュリティ 150 vsphere Client での表示 80 アダプタ 73 概要 71 仮想マシンによる使用 116 仮想マシンへのアクセス 79 タイプ 72 ネットワーク接続された 73 ファイバチャネル 86 プロビジョニング 115 プロビジョニングされた 116 未共有 116 ローカル 72 ローカル SCSI 85 ストレージアダプタ vsphere Client での表示 80 名前のコピー 81 表示 80 ファイバチャネル 86 ストレージアレイタイププラグイン 109 ストレージデバイスアダプタについての表示 82 識別子 76 名前 76 パス 113 表示 81 ホストについての表示 81 ランタイム名 76 ストレージへのアクセス 79 ストレージ領域 115 スパニングツリー攻撃 152 せ静的検出構成 91 静的検出アドレス 90 セキュリティ iscsi ストレージ 154 PAM 認証 157 setuid および setgid フラグ 181 VLAN ホッピング 150 VLAN を使用した仮想マシン 148 VMkernel 132 vmware-authd 157 vmware-hostd 157 アーキテクチャ 131 暗号強度 181 概要 131 仮想化レイヤー 132 仮想スイッチポート 153 仮想ネットワークレイヤー 134 仮想マシン 132 仮想マシンの推奨事項 189 機能 131 権限 159 サービスコンソール 137, 171 証明書 138 ソフトウェアのスキャン 184 単一ホストの DMZ 134, 135 パッチ 184 ヴイエムウェアのポリシー 138 リソースの確保および制限 132 セキュリティの導入複数顧客用のオープンな 185, 188 複数顧客用の制限付き 186 セキュリティポリシー dvport 49, 50 切断時の構成のリセット dvport グループ 31 そ相互 CHAP 92 ソフトウェア iscsi およびフェイルオーバー 110 診断パーティション 100 ネットワーク 89 ソフトウェア iscsi イニシエータ検出アドレスの設定 90 た構成 88 有効化 90 ターゲット 74 タイムアウト SSL 165 ダブルカプセル化攻撃 152 単一点障害 85 ちチーミングポリシー dvport 45 dvport グループ 44 vswitch 40 遅延バインドのポートグループ 30 直接アクセス 159 つ追加 dvport グループ 30 NFS ストレージ VMware, Inc.

231 インデックスてディスクフォーマット 116, 117 ディスクアレイアクティブ - アクティブ 114 アクティブ - パッシブ 114 ディスクフォーマット NFS 98 シックプロビジョニング 115 シンプロビジョニング 115 データストア NFS 76 NFS ボリュームでの構成 99 SCSI ディスクでの作成 97 VMFS 76 vsphere Client での表示 80 アンマウント 103 エクステントの追加 104 管理 101 グループ化 102 更新 96 ストレージオーバーサブスクリプション 117 重複の管理 105 名前の変更 102 パス 113 表示 82 プロパティの確認 83 マウント 106 容量の増加 104 データストアのコピーマウント 106 デバイス切断防止 190 デフォルトの証明書 CA 書名付き証明書との置き換え 165 デリゲートユーザー 98 と動的検出構成 90 動的検出アドレス 90 特権と権限 159 トラフィックシェーピング vswitch 51 ポートグループ 52 トラフィックシェーピングポリシー dvport 53 dvport グループ 53 に入力側トラフィックシェーピング 53 認証 iscsi ストレージ 155 vsphere Client から ESX へ 157 グループ 159 ユーザー 157, 159 認証デーモン 157 ねネイティブマルチパスプラグイン 107, 108 ネットワークセキュリティ 148 セキュリティポリシー 49, 50 ネットワークアダプタサービスコンソール 21 表示 15, 29 ネットワークアドレス変換 39 ネットワークのフェイルオーバー検出 40, 44, 45 ネットワークのベストプラクティス 63 はバーストサイズパーティションマッピング 122 ハードウェア iscsi およびフェイルオーバー 110 ハードウェア iscsi イニシエータ iscsi 名の変更 88 インストール 87 検出アドレスの設定 90 構成 87 表示 87 命名パラメータの設定 88 ハードウェアデバイス削除 190 パス無効化 115 優先 113 パス障害時の再スキャン 96 パススルーデバイス仮想マシンの追加 61 パス選択プラグイン 109 パスの管理 107 パスの障害 110 パスのフェイルオーバーホストベース 110 パスのポリシー最近の使用 109 パスの無効化 115 パスの要求 112 パスの横の * 113 パスの横のアスタリスク 113 パスポリシー MRU 114 固定 109, 114 最近の使用 114 デフォルトの変更 114 ラウンドロビン 109, 114 パスワード pam_cracklib.so プラグイン 177 pam_passwdqc.so プラグイン 180 サービスコンソール 176 再利用規則 179 条件 177 制限 176, 177 長さ 177 複雑性 177, 179 VMware, Inc. 231

232 プラグイン 177 ホスト 176, 177, 179, 180 有効期間 176 有効期間の制限 176, 177 パッシブディスクアレイ 114 バンド幅ピーク 51, 52 平均 51, 52 ひピークバンド幅ふファイアウォール管理エージェントからのアクセス 145 構成 146 サービスからのアクセス 145 ファイアウォールのポートサービスコンソール 174, 175 サービスコンソールでの開放 174 閉鎖 175 ファイアウォールポート SDK および仮想マシンコンソール 143 vcenter Server での構成 139 vcenter Server への接続 142 vcenter Server を使用しない構成 141 vsphere Client および仮想マシンコンソール 143 vsphere Client でのオープン 144 vsphere Client と vcenter Server 139 vsphere Client の直接接続 141 vsphere Web Access および仮想マシンコンソール 143 vsphere Web Access と vcenter Server 139 vsphere Web Access の直接接続 141 暗号化 164 概要 139 仮想マシンコンソールの接続 143 管理 144 サービスコンソール 173, 174 サービスの動作の自動化 146 サポートされるサービス 144 セキュリティレベル 173, 174 バックアップエージェント 173 ホスト間 144 ファイバチャネル 73 ファイバチャネル SAN WWN 74 ファイバチャネルストレージ概要 86 ファイルシステムアップグレード 105 フェイルオーバー 40, 107 フェイルオーバーの順序 40, 44, 45 フェイルオーバーパス状態 113 フェイルオーバーポリシー dvport 45 dvport グループ 44 vswitch 40 フェイルバック 40, 44, 45 物理アダプタ削除 34 物理スイッチトラブルシューティング 68 プライベート VLAN 削除 32, 33 作成 32 セカンダリ 33 プライマリ 32 プラグイン pam_cracklib.so 177 pam_passwdqc.so 180 プラグ可能ストレージアーキテクチャ 107 ブレードサーバ VMkernel ポートの構成 66 仮想マシンポートグループの構成 65 と仮想ネットワーク 65 プロキシサービス暗号化 164 変更 168 ブロックされているポート dvport 54 ブロックデバイス 122 プロパティ dvport 31 分離仮想マシン 132 へ平均バンド幅 53 ほポートサービスコンソール 22 ポートグループ使用 18 定義 13 トラフィックシェーピング 52 レイヤー 2 セキュリティ 49 ポート構成 23 ポートのバインド 110 ポートバインド 89 ポートブロック dvport グループ 54 ポート名のフォーマット dvport グループ 31 ホスト vnetwork 分散スイッチに追加 28 グループの追加 163 サムプリント 164 導入環境とセキュリティ 185 メモリ 191 ユーザーの追加 162 ホスト間でのファイアウォールポート 144 ホストでのグループの変更 163 ホストでのバインド dvport グループ 31 ホストの証明書検索 167 ホストのネットワーク表示 14 ホストプロキシサービスの変更 VMware, Inc.

233 インデックスホストプロファイルアクセス 198 新しいプロファイルの作成 198 インポート 199 エクスポート 199 エンティティの適用 201 コンプライアンスの確認 204, 205 使用モデル 197 プロファイルの管理 201 プロファイルの適用 202 編集 200 ホストからの新しいプロファイルの作成 199 ホストからのエンティティの関連付け 201 ホストプロファイルビューからの新しいプロファイルの作成 198 ホストプロファイルビューからのエンティティの関連付け 201 ポリシーのコンプライアンスチェックの有効化 201 ポリシーの編集 200 ホストプロファイルの作成 198, 199 ボリュームの再署名 105, 106 まマルチキャスト総当り攻撃 152 マルチパス機能アクティブなパス 113 現在の状態の表示 113 スタンバイパス 113 破損したパス 113 無効なパス 113 マルチパス状態 113 マルチパスプラグインパスの要求 112 マルチパスポリシー 114 む無効化 iscsi SAN 認証 155 setgid アプリケーション 181 setuid アプリケーション 181 vsphere Web Access および SDK の SSL 166 仮想マシンのカットアンドペースト 189 可変情報サイズ 191 ゲスト OS のログ 192, 193 無差別モード 49, 50, 153, 154 めメタデータ RDM 122 ゆ有効期間パスワード制限 176 有効なアダプタ 24 有効なアップリンク 40, 44, 45 ユーザー vcenter Server 159 Windows ドメインから 159 概要 161 グループからの削除 163 グループへの追加 163 グループリストのエクスポート 161 権限とロール 158 セキュリティ 159 直接アクセス 159 認証 159 ホストからの削除 163 ホストでの変更 162 ホストへの追加 162 ユーザーリストのエクスポート 161 ユーザーリストの表示 161 ユーザー権限 vpxuser 160 ユーザーロール管理者 161 ユーザーロールアクセスなし 161 読み取り専用 161 優先パス 113 よ要求ルール 112 読み取り専用ロール 160, 161 らライブポートの移動 dvport グループ 31 ラウンドロピンパスポリシー 109 ラウンドロビンパスポリシー 114 ランダムフレーム攻撃 152 りリソースの制限および確保セキュリティ 132 るルーティング 54 れレイヤー 2 セキュリティ 48 ろローカル SCSI ストレージ概要 85 ロードバランシング 40, 44, 45 ロールアクセスなし 160 管理者 160 セキュリティ 160 デフォルト 160 と権限 160 読み取り専用 160 ログゲスト OS の無効化 192, 193 VMware, Inc. 233

234 ログファイル数の制限 192 サイズの制限 192 ログレベルゲスト OS VMware, Inc.

すべて見る

ESXi 構成ガイド

ESXi 構成ガイド ESXi 4.0 vcenter Server 4.0 JA-000114-00 当社 Web サイトにて最新の技術文書をご覧いただけます http://www.vmware.com/jp/support/ 当社 Web サイトでは製品の最新アップデートも提供していますこのマニュアルに関してご意見等がございましたら下記の電子メールアドレスに連絡ください : [email protected]