ESXi 構成ガイド

Size: px

Start display at page:

Download "ESXi 構成ガイド"

きのこそや
8 years ago
Views:

1 ESXi 4.0 vcenter Server 4.0 JA

2 当社 Web サイトにて最新の技術文書をご覧いただけます当社 Web サイトでは製品の最新アップデートも提供していますこのマニュアルに関してご意見等がございましたら下記の電子メールアドレスに連絡ください : [email protected] 2009 VMware, Inc. All rights reserved. 本製品は米国著作権法および米国知的財産法ならびに国際著作権法および国際知的財産法によって保護されています VMware 製品にはに列記する 1 つ以上の特許が適用されます VMware VMware Fusion VMware ロゴ Virtual SMP および VMotion は米国およびその他の地域における VMware, Inc. の登録商標または商標です他のすべての名称ならびに製品についての商標はそれぞれの所有者の商標または登録商標です VMware, Inc Hillview Ave. Palo Alto, CA ヴイエムウェア株式会社東京都港区浜松町浜松町スクエア 13F 2 VMware, Inc.

3 目次本書について 7 1 ESXi 構成の概要 9 ネットワーク 2 ネットワークの概要 13 ネットワークの概念の概要 13 ネットワークサービス 14 vsphere Client でのネットワーク情報の表示 14 vsphere Client でのネットワークアダプタ情報の表示 15 3 vnetwork 標準スイッチによる基本ネットワーク 17 vnetwork 標準スイッチ 17 ポートグループ 18 仮想マシンのポートグループの構成 18 VMkernel ネットワーク構成 19 vnetwork 標準スイッチのプロパティ 21 4 vnetwork 分散スイッチによる基本ネットワーク 25 vnetwork 分散スイッチのアーキテクチャ 25 vnetwork 分散スイッチの構成 26 dvport グループ 28 プライベート VLAN 30 vnetwork 分散スイッチネットワークアダプタの構成 31 vnetwork 分散スイッチでの仮想マシンネットワークの構成 34 5 高度なネットワーク 37 インターネットプロトコルバージョン 6 37 ネットワークポリシー 38 DNS とルーティング構成の変更 52 MAC アドレス 53 TCP セグメンテーションオフロードおよびジャンボフレーム 54 NetQueue とネットワークパフォーマンス 57 VMDirectPath Gen I 57 6 ネットワークのベストプラクティスシナリオおよびトラブルシューティング 59 ネットワークのベストプラクティス 59 NFS ボリュームのマウント 60 トラブルシューティング 60 VMware, Inc. 3

4 ストレージ 7 ストレージの概要 63 ESXi ストレージについて 63 物理ストレージのタイプ 64 サポート対象のストレージアダプタ 65 ターゲットとデバイスの表現 66 ESXi データストアについて 68 ストレージのタイプの比較 71 vsphere Client でのストレージ情報の表示 72 8 ESXi のストレージの構成 77 ローカル SCSI ストレージ 77 ファイバチャネルストレージ 78 iscsi ストレージ 78 ストレージの更新操作と再スキャン操作 88 VMFS データストアの作成 89 ネットワーク接続型ストレージ 90 診断パーティションの作成 92 9 ストレージの管理 93 データストアの管理 93 VMFS データストアプロパティの変更 95 重複 VMFS データストアの管理 97 ESXi でのマルチパスの使用 99 シンプロビジョニング RAW デバイスマッピング 111 RAW デバイスマッピングについて 111 RAW デバイスマッピングの特性 114 マッピング済み LUN の管理 118 セキュリティ 11 ESXi システムのセキュリティ 123 ESXi アーキテクチャおよびセキュリティ機能 123 セキュリティリソースおよび情報 ESXi 構成のセキュリティ強化 131 ファイアウォールによるネットワークのセキュリティ強化 131 VLAN を使用した仮想マシンのセキュリティ強化 137 仮想スイッチポートのセキュリティ強化 141 iscsi ストレージのセキュリティ認証およびユーザー管理 145 認証および権限による ESXi のセキュリティ強化 VMware, Inc.

5 目次 ESXi の暗号化およびセキュリティ証明書セキュリティの導入と推奨事項 159 一般的な ESXi 導入環境でのセキュリティアプローチ 159 ESXi のロックダウンモード 162 仮想マシンに関する推奨事項 163 ホストプロファイル 15 ホストプロファイルの管理 171 ホストプロファイルの使用モデル 171 ホストプロファイルビューへのアクセス 172 ホストプロファイルの作成 172 ホストプロファイルのエクスポート 173 ホストプロファイルのインポート 173 ホストプロファイルの編集 173 プロファイルの管理 175 コンプライアンスの確認 178 インデックス 181 VMware, Inc. 5

6 6 VMware, Inc.

7 本書について本 ESXi 構成ガイドでは ESXi のネットワークの構成方法について説明しています具体的には仮想スイッチおよびポートを作成する方法仮想マシン VMotion および IP ストレージのネットワークを設定する方法が含まれていますまたファイルシステムの構成および iscsi ファイバチャネルなどの各種ストレージの構成についても説明します ESXi を保護するために ESXi に組み込まれているセキュリティ機能および ESXi を攻撃から守る方法についてもこのガイドで説明しますさらに ESXi のテクニカルサポートコマンドおよび vsphere Client におけるそれらのコマンドに相当する操作の一覧と vmkfstools ユーティリティの説明も記載していますこの情報は ESXi 4.0 を対象としています対象読者本書は ESXi をインストールアップグレードまたは使用する方を対象としています本書に記載されている情報は Windows または Linux のシステム管理者としての経験があり仮想マシンテクノロジーおよびデータセンターの操作に詳しい方を対象としています本書へのフィードバックドキュメントの向上にご協力ください本書に関するコメントがございましたらメールアドレスまでフィードバックをお寄せください VMware vsphere のドキュメント vsphere のドキュメントは VMware vcenter Server のドキュメントと ESXi のドキュメントを組み合わせて構成しています図で使用される略語本書の図では表 1 の略語を使用しています表 1. 略語略語データベースデータストアディスク # 説明 vcenter Server データベース管理対象ホスト用のストレージ管理対象ホスト用のストレージディスクホスト n vcenter Server が管理するホスト ( 管理対象ホスト ) SAN tmplt 管理対象ホスト間で共有されるストレージエリアネットワークタイプのデータストアテンプレート VMware, Inc. 7

8 表 1. 略語 ( 続き ) 略語ユーザー # VC VM # 説明アクセス権を持つユーザー vcenter Server 管理対象ホスト上の仮想マシンテクニカルサポートおよび教育リソースここではお客様にご利用いただけるテクニカルサポートリソースを紹介します本書やその他の文書の最新バージョンはでご覧いただけますオンラインサポートおよび電話によるサポートテクニカルサポートリクエストの提出や製品および契約情報の確認製品の登録はオンラインで行うことができます詳細はをご覧ください該当するサポート契約を結んでいるお客様の場合迅速な対応が必要な Severity1 の問題に関しては電話でのサポートをご利用ください詳細はをご覧くださいサポートサービスヴイエムウェアプロフェッショナルサービスお客様のビジネスニーズに適した各種サポートの詳細についてはをご覧くださいヴイエムウェア教育サービスのコースでは広範なハンズオンラボやケーススタディをご紹介しますまた業務の際のリファレンスとしてお使いいただける資料も提供していますトレーニングはオンサイト講義形式およびライブオンラインで受講できますオンサイトのパイロットプログラムおよび実装のベストプラクティスについてはヴイエムウェアコンサルティングサービスがご使用の仮想環境の評価計画構築および管理に役立つサービスを提供しています教育トレーニング認定プログラムおよびコンサルティングサービスについてはをご覧ください 8 VMware, Inc.

9 ESXi 構成の概要 1 このガイドでは ESXi ホストのネットワークストレージおよびセキュリティの構成を実行するために必要なタスクについて説明しますまたこれらのタスクを理解するうえで役に立つ概要推奨事項および概念についてだけでなくニーズに合わせてホストをデプロイする方法についても記載していますこの情報を使用する前に vsphere の概要でシステムアーキテクチャの概要および vsphere システムを構成する物理デバイスと仮想デバイスについて参照してくださいここでは本書の内容を簡単に紹介しますネットワークネットワークの情報では物理ネットワークおよび仮想ネットワークの概念 ESXi ホストのネットワーク接続の構成に必要な基本タスクの説明および高度なネットワークのトピックとタスクについて説明しますストレージストレージの情報ではストレージの基本的な概念 ESXi ホストのストレージを構成および管理するための基本タスクの説明および RAW デバイスマッピング (RDM) の設定方法について説明しますセキュリティセキュリティの情報では当社が ESXi に組み込んだ安全策とセキュリティの脅威からホストを保護するための対策について説明しますこれらの対策としてファイアウォールの使用仮想スイッチのセキュリティ機能の効果的な利用およびユーザーの認証および権限の設定が含まれますホストプロファイルこのセクションではホストプロファイル機能およびこの機能を使用してホストの構成をホストプロファイルへカプセル化する方法について説明しますこのセクションではこのホストプロファイルをほかのホストまたはクラスタへ適用する方法プロファイルを編集する方法プロファイルでホストの整合性を確認する方法についても説明します VMware, Inc. 9

10 10 VMware, Inc.

11 ネットワーク VMware, Inc. 11

12 12 VMware, Inc.

13 ネットワークの概要 2 このネットワークの概要では ESXi のネットワークの基本概念と vsphere 環境でネットワークを設定および構成する方法について説明しますこの章では次のトピックについて説明しますネットワークの概念の概要 (P. 13) ネットワークサービス (P. 14) vsphere Client でのネットワーク情報の表示 (P. 14) vsphere Client でのネットワークアダプタ情報の表示 (P. 15) ネットワークの概念の概要仮想ネットワークを完全に理解するにはいくつかの概念を知ることが大切です ESXi に慣れていない場合はこれらの概念について学習するとよいでしょう物理ネットワークとは互いにデータをやり取りできるように接続された物理マシンからなるネットワークです VMware ESXi は物理マシン上で稼動します仮想ネットワークとは互いにデータをやり取りできるように論理的に接続された 1 台の物理マシンで稼動する複数の仮想マシンからなるネットワークです仮想マシンはネットワークを追加するときに作成する仮想ネットワークに接続できます物理イーサネットスイッチは物理ネットワークにあるマシン間のネットワークトラフィックを管理します 1 つのスイッチには複数のポートがありその各ポートはネットワークにある 1 台のマシンまたは別のスイッチに接続できます各ポートは接続しているマシンのニーズによって特定の動作を取るように構成できますスイッチはどのホストがどのポートに接続されているかを学習しその情報を使用して適切な物理マシンにトラフィックを転送しますスイッチは物理ネットワークの中心です複数のスイッチをつなげてネットワークの規模を拡大することもできます仮想スイッチである vswitch は物理イーサネットスイッチとよく似た動作をします仮想スイッチはどの仮想マシンが各仮想ポートに論理的に接続されているかを検出しその情報を使用して適切な仮想マシンにトラフィックを転送します物理イーサネットアダプタ ( アップリンクアダプタとも呼ばれる ) を使用して vswitch を物理スイッチに接続し仮想ネットワークを物理ネットワークに結び付けることができますこのタイプの接続は複数の物理スイッチをつなげてネットワークを拡大するやり方に似ています vswitch は物理スイッチと同様の働きをしますが物理スイッチの高度な機能をすべて備えているわけではありません vnetwork 分散スイッチはデータセンター上で関連するすべてのホストにおいて 1 つの vswitch として機能しますこれにより仮想マシンは複数のホスト間を移動するときに一貫したネットワーク構成を維持できます dvport は vnetwork 分散スイッチ上のポートでホストのサービスコンソールや VMkernel または仮想マシンのネットワークアダプタへ接続します VMware, Inc. 13

14 ポートグループは各メンバーポートに対するバンド幅制限や VLAN タグ付けポリシーなどのポート構成オプションを指定しますネットワークサービスはポートグループを通じて vswitches に接続しますポートグループはどのように vswitch を経由してネットワークに接続するかを定義します一般には 1 つの vswitch に 1 つまたは複数のポートグループを関連付けます dvport グループは vnetwork 分散スイッチに関連付けられているポートグループで各メンバーポートに対するポートの構成オプションが明記されています dvport グループは vnetwork 分散スイッチを介してネットワークへの接続がどのように作成されるかを定義します NIC チーミングは複数のアップリンクアダプタを 1 つの vswitch に関連付けてチームを形成します 1 つのチームは一部のメンバーまたは全メンバーにおよぶ物理ネットワークおよび仮想ネットワーク間のトラフィックロードを分担できますあるいはハードウェア障害またはネットワークの機能停止が生じた場合にパッシブフェイルオーバーを実現できます VLAN は単一の物理 LAN セグメントをさらにセグメント化してポートグループが物理的に別々のセグメントにあるかのように互いに分離できます標準は 802.1Q です VMkernel TCP/IP ネットワークスタックは iscsi NFS および VMotion をサポートしています仮想マシンは独自のシステムの TCP/IP スタックを実行して仮想スイッチを介してイーサネットレベルで VMkernel に接続します IP ストレージは TCP/IP ネットワーク通信を基盤として使用するストレージのあらゆる形態を指します iscsi は仮想マシンデータストアとして使用でき NFS は仮想マシンデータストアとしてまた.ISO ファイルの直接マウント用としても使用できます iscsi と NFS は仮想マシンには CD-ROM として認識されます TCP セグメンテーションオフロード (TSO) によって TCP/IP スタックはインターフェイスの最大転送ユニット (MTU) が比較的小さい場合でも非常に大きいフレーム ( 最大 64KB) を発信できますネットワークアダプタは大きいフレームを MTU サイズのフレームに分割し分割したコピーの先頭に元の TCP/IP ヘッダーを追加します VMotion での移行ではパワーオン状態の仮想マシンをシャットダウンせずに ESXi ホスト間で移行できますオプションの VMotion 機能には独自のライセンスキーが必要ですネットワークサービス vnetwork にはホストおよび仮想マシンに対していくつかのサービスが用意されています ESXi では 2 つのタイプのネットワークサービスを有効にできます仮想マシンを物理ネットワークへ接続するまた仮想マシン同士で接続する VMkernel のサービス (NFS iscsi VMotion など ) を物理ネットワークへ接続する vsphere Client でのネットワーク情報の表示 vsphere Client は一般的なネットワーク情報とネットワークアダプタに固有な情報を表示します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 [ 仮想スイッチ ] をクリックしてホストの vnetwork 標準スイッチのネットワークを表示するか [ 分散仮想スイッチ ] をクリックしてホストの vnetwork 分散スイッチのネットワークを表示します [ 分散仮想スイッチ ] オプションは vnetwork 分散スイッチと関連付けられたホストにのみ表示されますネットワーク情報はホストの仮想スイッチごとに表示されます 14 VMware, Inc.

15 第 2 章ネットワークの概要 vsphere Client でのネットワークアダプタ情報の表示ホスト上の物理ネットワークアダプタごとに速度デュプレックス実際の IP の範囲などの情報を表示できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワークアダプタ ] をクリックしますネットワークアダプタパネルに次の情報が表示されますオプション説明 [ デバイス ] ネットワークアダプタの名前 [ 速度 ] ネットワークアダプタの実際の速度およびデュプレックス [ 構成済み ] ネットワークアダプタの構成済み速度およびデュプレックス [vswitch] ネットワークアダプタが関連付けられている vswitch [ 実際の IP の範囲 ] ネットワークアダプタがアクセスできる IP アドレス [Wake on LAN 対応 ] Wake on LAN をサポートするネットワークアダプタの機能 VMware, Inc. 15

16 16 VMware, Inc.

17 vnetwork 標準スイッチによる基本ネット 3 ワーク次のトピックでは vnetwork 標準スイッチ (vswitch) の基本的なネットワーク設定についておよび vsphere 環境における構成について説明します vsphere Client を使用してネットワークサービスのタイプを反映しているカテゴリに基づいてネットワークを追加します仮想マシン VMkernel この章では次のトピックについて説明します vnetwork 標準スイッチ (P. 17) ポートグループ (P. 18) 仮想マシンのポートグループの構成 (P. 18) VMkernel ネットワーク構成 (P. 19) vnetwork 標準スイッチのプロパティ (P. 21) vnetwork 標準スイッチ vnetwork 標準スイッチ (vswitch) と呼ばれる抽象化されたネットワークデバイスを作成できます vswitch は仮想マシン間のトラフィックを内部的に経路指定したり外部ネットワークにリンクしたりすることができます vswitch を使用して複数のネットワークアダプタのバンド幅と結合しそれらのアダプタ間で通信トラフィックを均衡化できますまた物理 NIC のフェイルオーバーを処理するように vswitch を構成することもできます vswitch は物理イーサネットスイッチと同様に機能します vswitch のデフォルトの論理ポート数は 56 個ですが ESXi で可能な最大ポート数は 1,016 個です仮想マシンの 1 つのネットワークアダプタを各ポートに接続できます vswitch に関連付けられた各アップリンクアダプタは 1 つのポートを使用します vswitch の各論理ポートは 1 つのポートグループのメンバーになります各 vswitch に 1 つまたは複数のポートグループを割り当てることもできます 1 台のホストに最大 127 個の vswitch を作成できます複数の仮想マシンを同一の vswitch に接続するとその間のネットワークトラフィックは局所的に経路指定されますアップリンクアダプタが vswitch に接続されている場合各仮想マシンはアダプタが接続されている外部ネットワークにアクセスできます VMware, Inc. 17

18 ポートグループポートグループは共通の構成下にある複数のポートの集合でありラベル付きネットワークに接続する仮想マシンにとっての安定したアンカーポイントとなります 1 台のホストで最大 512 のポートグループを作成できます各ポートグループは現在のホストに固有のネットワークラベルによって識別されますネットワークラベルを使用すると仮想マシンの構成をホスト間で移動できます同じネットワークに物理的に接続されているデータセンター内のすべてのポートグループ ( つまり各ポートグループがほかのポートグループからブロードキャストを受信できる ) には同じラベルが付きます逆に 2 つのポートグループが互いにブロードキャストを受信できない場合各ポートグループには異なるラベルが付きます VLAN ID はオプションでありこの ID によってポートグループトラフィックが物理ネットワークの論理イーサネットセグメント内に制限されますほかの VLAN 上にあるポートグループにポートグループがアクセスするには VLAN ID を 4095 に設定する必要があります VLAN ID を使用する場合はラベルが適切に接続を表すようにするためにポートグループラベルと VLAN ID を一緒に変更する必要があります仮想マシンのポートグループの構成 vsphere Client から仮想マシンのポートグループを追加または変更できます vsphere Client のネットワークの追加ウィザードを使用して仮想マシンが接続できる仮想ネットワークを作成する作業を進めることができますたとえば vswitch の作成ネットワークラベルの設定の構成などがあります仮想マシンネットワークを設定する場合にはネットワーク内の仮想マシンをホスト間で移行するかどうか検討します移行する場合は両方のホストを同一のブロードキャストドメイン ( 同一のレイヤー 2 サブネット ) に配置します ESXi では異なるブロードキャストドメインにあるホスト間で仮想マシンを移行することはサポートしていませんこれは移行された仮想マシンで必要なシステムまたはリソースがもはや新しいネットワーク内でアクセスできなくなる可能性があるためですネットワーク構成が高可用性環境として設定されていたり異なるネットワークにわたって仮想マシンのニーズを解決できるインテリジェントスイッチを装備していたりする場合でも ARP (Address Resolution Protocol) テーブルのアップデートや仮想マシンのネットワークトラフィックの再開の際に時間差が生じる可能性があります仮想マシンはアップリンクアダプタを介して物理ネットワークに接続します vswitch は 1 つまたは複数のネットワークアダプタが接続されている場合のみ外部ネットワークにデータを転送できます 1 つの vswitch に複数のアダプタが接続されている場合それらのアダプタはチームとして透過的に統合されます仮想マシンのポートグループの追加仮想マシンのポートグループは仮想マシンにネットワークを提供します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 仮想スイッチビューを選択します概要に vswitch が表示され詳細なレイアウトが示されます 4 ページの右側にある [ ネットワークの追加 ] をクリックします 5 デフォルトの接続タイプである [ 仮想マシン ] を確定し [ 次へ ] をクリックします 6 [ 仮想スイッチの作成 ] または表示されている既存の vswitch のいずれかおよびこのポートグループに使用する関連の物理アダプタを選択します新規の vswitch はイーサネットアダプタ付きまたはイーサネットアダプタなしで作成できます 18 VMware, Inc.

19 第 3 章 vnetwork 標準スイッチによる基本ネットワーク物理ネットワークアダプタなしで vswitch を作成すると vswitch 上のすべてのトラフィックはその vswitch に限定されます物理ネットワーク上のほかのホストやほかの vswitch 上の仮想マシンはこの vswitch を介してトラフィックを送受信することはできませんグループ内の仮想マシンが互いに通信できるようにしてほかのホストやグループ外の仮想マシンとは通信できないようにするには物理ネットワークアダプタなしで vswitch を作成します 7 [ 次へ ] をクリックします 8 ポートグループのプロパティグループで作成中のポートグループを識別するネットワークラベルを入力しますネットワークラベルを使用して 2 台以上のホストに共通な移行に対応する接続を識別します 9 ( オプション ) VLAN を使用している場合は [VLAN ID] に 1 ~ 4094 の数字を入力します使用していない場合は空のままにします 0 を入力するかオプションを空のままにするとポートグループはタグなし (VLAN でなはい ) トラフィックのみを参照します 4095 を入力するとポートグループは VLAN タグをそのままにして任意の VLAN のトラフィックを参照します 10 [ 次へ ] をクリックします 11 vswitch が適切に構成されていることを確認し [ 終了 ] をクリックします VMkernel ネットワーク構成 VMkernel のネットワークインターフェイスは VMware VMotion および IP ストレージで使用されます ESXi では VMkernel のネットワークインターフェイスによって ESXi ホストに対するネットワーク接続および VMotion と IP ストレージの処理を行うことができますあるホストから別のホストに仮想マシンを移すことを移行と呼びます VMotion を使用するとパワーオン状態の仮想マシンをダウンタイムなしで移行できます VMkernel ネットワークスタックは VMotion に対応できるように適切に設定する必要があります IP ストレージは iscsi や ESXi 用の NFS など TCP/IP ネットワーク通信を基盤として使用するあらゆる形態のストレージですこれらのストレージタイプはネットワークベースであるため同じ VMkernel インターフェイスとポートグループを使用できます VMkernel が提供するネットワークサービス (iscsi NFS および VMotion) では VMkernel の TCP/IP スタックが使用されますこの TCP/IP スタックはサービスコンソールで使用される TCP/IP スタックとは完全に分離されますこれらの TCP/IP スタックはそれぞれ 1 つまたは複数の vswitch 上の 1 つまたは複数のポートグループに接続することによって各種のネットワークにアクセスします VMkernel レベルでの TCP/IP スタック VMware の VMkernel TCP/IP ネットワークスタックは処理するそれぞれのサービスに対してさまざまな方法でネットワークのサポートを提供しています vmkernel TCP/IP スタックは iscsi NFS および VMotion を次のような方法で処理します iscsi を仮想マシンデータストアとして使用 iscsi を.ISO ファイルの直接マウント用として使用このファイルは仮想マシンに CD-ROM として認識される NFS を仮想マシンデータストアとして使用 NFS を.ISO ファイルの直接マウント用として使用このファイルは仮想マシンに CD-ROM として認識される VMotion での移行 iscsi に複数の物理 NIC がある場合ポートバインドの手法を使用してソフトウェア iscsi に複数のパスを作成できますポートバインドの詳細については iscsi SSAN 構成ガイドを参照してください注意 ESXi は NFS version 3 over TCP/IP のみをサポートしています VMware, Inc. 19

20 VMkernel ネットワークの設定 VMotion インターフェイスまたは IP ストレージポートグループとして使用する VMkernel ネットワークアダプタを作成します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 仮想スイッチビューで [ ネットワークの追加 ] をクリックします 4 [VMkernel] を選択し [ 次へ ] をクリックします 5 使用する vswitch を選択するか [ 仮想スイッチの作成 ] を選択して新規 vswitch を作成します 6 vswitch が使用するネットワークアダプタのチェックボックスを選択しますアダプタ経由で接続する仮想マシンまたはほかのサービスが適切なイーサネットセグメントに到達できるように vswitch ごとにアダプタを選択します新規仮想スイッチの作成の下にアダプタが表示されない場合はシステム内のすべてのネットワークアダプタは既存の vswitch によって使用されていますネットワークアダプタなしで新規の vswitch を作成することも既存の vswitch が使用するネットワークアダプタを選択することもできます 7 [ 次へ ] をクリックします 8 ネットワークラベルおよび VLAN ID を選択または入力しますオプション説明 [ ネットワークラベル ] 作成中のポートグループを識別するための名前ですこの名前は VMotion や IP ストレージなど VMkernel サービスを構成する場合にこのポートグループに接続する仮想アダプタの構成時に指定するラベルです [VLAN ID] ポートグループのネットワークトラフィックが使用する VLAN を識別します 9 [ このポートグループを VMotion で使用 ] を選択してそのポートグループを有効にしそのポートグループ自体が VMotion トラフィックを送信するネットワーク接続として別のホストにアドバタイズするようにしますこのプロパティはホストごとに 1 つの VMotion と IP ストレージポートグループに対してのみ有効にできますこのプロパティがどのポートグループでも有効でない場合このホストへの VMotion での移行はできません 10 このポートグループをフォールトトレランスのログで使用するかどうかを選択し [ 次へ ] をクリックします 11 [IP 設定を自動的に取得 ] を選択して DHCP を使用して IP 設定を取得するか [ 次の IP 設定を使用 ] を選択して IP 設定を手動で指定します IP 設定を手動で指定するよう選択した場合この情報を指定します a VMkernel インターフェイスの IP アドレスおよびサブネットマスクを入力しますこのアドレスはサービスコンソール用に設定された IP アドレスとは異なるようにします b c [ 編集 ] をクリックして VMotion NAS iscsi など VMkernel のサービスに対する VMkernel のデフォルトゲートウェイを設定します [DNS 構成 ] タブではデフォルトでホスト名が入力されますインストール時に指定した DNS サーバアドレスもドメインと同様に事前に選択されています d [ ルーティング ] タブではサービスコンソールと VMkernel のそれぞれに固有のゲートウェイ情報が必要ですサービスコンソールまたは VMkernel と同一の IP サブネットにないマシンへの接続にはゲートウェイが必要ですデフォルトは固定 IP 設定です e [OK] をクリックし [ 次へ ] をクリックします 20 VMware, Inc.

21 第 3 章 vnetwork 標準スイッチによる基本ネットワーク 12 IPv6 対応のホスト上で VMkernel インターフェイス IPv4 設定のみを使用するには [IPv6 設定なし ] を選択します VMkernel インターフェイスの IPv6 を構成するには [ 次の IPv6 設定を使用 ] を選択しますホスト上で IPv6 が無効になっている場合はこの画面は表示されません 13 VMkernel インターフェイスで IPv6 を使用するよう選択した場合は IPv6 アドレスを取得するために次のいずれかのオプションを選択します [DHCP を使用して IPv6 アドレスを自動的に取得 ] [ ルータの通知を使用して IPv6 アドレスを自動的に取得 ] [ 固定 IPv6 アドレス ] 14 固定 IPv6 アドレスを使用するよう選択した場合は次の手順を実行します a b c [ 追加 ] をクリックして新しい IPv6 アドレスを追加します IPv6 アドレスとサブネットプリフィックスの長さを入力し [OK] をクリックします VMkernel のデフォルトゲートウェイを変更するには [ 編集 ] をクリックします 15 [ 次へ ] をクリックします 16 情報を確認しエントリを変更する場合は [ 戻る ] をクリックして [ 終了 ] をクリックします vnetwork 標準スイッチのプロパティ vnetwork 標準スイッチの設定によりポートに対する vswitch 全体のデフォルトが制御されますこの設定は各 vswitch のポートグループの設定でオーバーライドすることができますアップリンク構成や使用可能なポート数などの vswitch プロパティを編集できます vswitch のポート数の変更 vswitch は一般的なネットワークアダプタの集合 ( ネットワークアダプタをまったく含まない集合を含む ) を使用するポート構成のコンテナとして機能します各仮想スイッチのポート数には制限があります仮想マシンおよびネットワークサービスはこのポートを使用して 1 つまたは複数のネットワークにアクセスすることができます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 ページの右側で編集する vswitch の [ プロパティ ] をクリックします 4 [ ポート ] タブをクリックします 5 構成リストから vswitch アイテムを選択し [ 編集 ] をクリックします 6 [ 全般 ] タブをクリックします 7 ドロップダウンメニューから使用するポートの数を選択します 8 [OK] をクリックします次に進む前に変更を有効にするにはシステムを再起動する必要があります VMware, Inc. 21

22 アップリンクアダプタの速度の変更アップリンクアダプタの接続速度およびデュプレックスを変更できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vswitch を選択し [ プロパティ ] をクリックします 4 [ ネットワークアダプタ ] タブをクリックします 5 構成されているネットワークアダプタの速度およびデュプレックス値を変更するにはネットワークアダプタを選択して [ 編集 ] をクリックします 6 接続速度を手動で選択するにはドロップダウンメニューから速度とデュプレックスを選択します NIC と物理スイッチが適切な接続速度のネゴシエーションに失敗する可能性がある場合は手動で接続速度を選択してください速度とデュプレックスが不適当な場合の現象としてはバンド幅が狭くなったりリンク接続が失われたりしますアダプタとそのアダプタに接続する物理スイッチポートは同じ値を設定する必要がありますたとえば auto と auto または ND と ND を設定します ND は一定の速度とデュプレックスであり auto と ND を設定することはできません 7 [OK] をクリックしますアップリンクアダプタの追加複数のアダプタを 1 つの vswitch に関連付けて NIC チーミングを設定できますチームはトラフィックを共有しフェイルオーバーを可能にします手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vswitch を選択し [ プロパティ ] をクリックします 4 [ ネットワークアダプタ ] タブをクリックします 5 [ 追加 ] をクリックしてアダプタの追加ウィザードを起動します 6 リストから 1 台または複数のアダプタを選択し [ 次へ ] をクリックします 7 ( オプション ) NIC の順序を変更して別のカテゴリに移動するには NIC を選択して [ 上へ移動 ] および [ 下へ移動 ] をクリックしますオプション有効なアダプタスタンバイアダプタ説明 vswitch が使用するアダプタ 1 つまたは複数の有効なアダプタに障害が発生したときにアクティブになるアダプタ 8 [ 次へ ] をクリックします 9 アダプタサマリページで情報を確認し [ 戻る ] をクリックしてエントリを変更し [ 終了 ] をクリックしますネットワークアダプタのリストが再表示され vswitch で現在必要なアダプタが表示されます 10 [ 閉じる ] をクリックして vswitch のプロパティダイアログボックスを閉じます [ 構成 ] タブのネットワークセクションにネットワークアダプタが指定の順序およびカテゴリで表示されます 22 VMware, Inc.

23 第 3 章 vnetwork 標準スイッチによる基本ネットワーク Cisco Discovery Protocol CDP (Cisco Discovery Protocol) を使用すると ESXi の管理者はどの Cisco スイッチポートが特定の vswitch に接続されているかを確定できます特定の vswitch に対して CDP が有効になっている場合は vsphere Client から Cisco スイッチのプロパティ ( デバイス ID ソフトウェアバージョンタイムアウトなど ) を表示できます ESXi では CDP が待機するよう設定されていますこれは ESXi は関連付けられている Cisco スイッチポートに関する情報を検知して表示しますが Cisco スイッチの管理者は vswitch に関する情報を使用できないことを意味しています vsphere Client での Cisco スイッチ情報の表示 CDP を [listen] または [both] に設定している場合 Cisco スイッチ情報を表示できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vswitch の右側にある情報アイコンをクリックします VMware, Inc. 23

24 24 VMware, Inc.

25 vnetwork 分散スイッチによる基本ネット 4 ワークこのトピックでは vnetwork 分散スイッチによるネットワークの基本概念についておよび vsphere 環境で vnetwork 分散スイッチを使用してネットワークを設定および構成する方法について説明しますこの章では次のトピックについて説明します vnetwork 分散スイッチのアーキテクチャ (P. 25) vnetwork 分散スイッチの構成 (P. 26) dvport グループ (P. 28) プライベート VLAN (P. 30) vnetwork 分散スイッチネットワークアダプタの構成 (P. 31) vnetwork 分散スイッチでの仮想マシンネットワークの構成 (P. 34) vnetwork 分散スイッチのアーキテクチャ vnetwork 分散スイッチは関連するすべてのホストにおいて 1 つの仮想スイッチとして機能しますこれにより仮想マシンは複数のホスト間を移動するときに一貫したネットワーク構成を維持できます vnetwork 標準スイッチと同様各 vnetwork 分散スイッチは仮想マシンが使用できるネットワークハブです vnetwork 分散スイッチは仮想マシン間においてトラフィックを内部で転送することも物理イーサネットアダプタ ( アップリンクアダプタとも呼ばれる ) へ接続することによって外部ネットワークへリンクすることもできます各 vnetwork 分散スイッチは割り当てられた 1 つまたは複数の dvport グループを持つことが可能です dvport グループは共通の構成下にある複数のポートの集合でありラベル付きネットワークに接続する仮想マシンにとっての安定したアンカーポイントとなります各 dvport グループは使用中のデータセンターに固有のネットワークラベルによって識別されます VLAN ID はオプションでありこの ID によってポートグループトラフィックが物理ネットワークの論理イーサネットセグメント内に制限されます vsphere 4 では VMware vnetwork 分散スイッチのほかにもサードパーティ製の仮想スイッチのイニシャルサポートも提供していますこれらのサードパーティ製スイッチの構成についてはを参照してください VMware, Inc. 25

26 vnetwork 分散スイッチの構成 vcenter Server データセンター上に vnetwork 分散スイッチを作成できます vnetwork 分散スイッチを作成するとホストの追加 dvport グループの作成 vnetwork 分散スイッチのプロパティおよびポリシーの編集を行うことができます vnetwork 分散スイッチの作成 vnetwork 分散スイッチを作成しデータセンターで関連付けられたホストに対するネットワークトラフィックを操作します手順 1 vsphere Client にログインしてネットワークビューでデータセンターを表示します 2 インベントリメニューから [ データセンター ] - [vnetwork 分散スイッチ ] を選択します vnetwork 分散スイッチの作成ウィザードが表示されます 3 名前フィールドに新しい vnetwork 分散スイッチの名前を入力します 4 [dvuplink ポート数 ] を選択し [ 次へ ] をクリックします dvuplink ポートは関連する ESXi ホスト上の物理 NIC へ vnetwork 分散スイッチを接続します dvuplink ポート数はホストごとに vnetwork 分散スイッチへの物理的な接続として許可されている最大の数です 5 [ 次へ ] をクリックします 6 [ 今すぐ追加 ] または [ あとで追加 ] を選択します 7 [ 今すぐ追加 ] を選択した場合は各ホストまたはアダプタの隣にあるチェックボックスをクリックして使用するホストおよび物理アダプタを選択します vnetwork 分散スイッチの作成時に未使用の物理アダプタのみ追加できます 8 [ 次へ ] をクリックします 9 [ デフォルトポートグループの自動作成 ] を行うかどうかを選択しますこのオプションによりアーリーバインディングのポートグループが 128 ポートで作成されますポートグループ要件が複雑なシステムの場合はデフォルトのポートグループを作成しないで vnetwork 分散スイッチを追加したあとで新しい dvport グループを作成します 10 vnetwork 分散スイッチの図を確認し正しく構成されていることを確かめて [ 終了 ] をクリックします次に進む前にホストをあとで追加することを選択した場合はネットワークアダプタを追加する前に vnetwork 分散スイッチにホストを追加する必要があります vsphere Client のホスト構成ページからまたはホストプロファイルを使用してネットワークアダプタを追加できます vnetwork 分散スイッチへのホストの追加ホストを分散仮想スイッチに追加ウィザードを使用して vnetwork 分散スイッチにホストを関連付けますホストプロファイルを使用してホストを vnetwork 分散スイッチに追加できます手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 インベントリメニューから [ 分散仮想スイッチ ] - [ 設定の編集 ] を選択します vnetwork 分散スイッチへのホストの追加ウィザードが表示されます 3 追加するホストを選択します 26 VMware, Inc.

27 第 4 章 vnetwork 分散スイッチによる基本ネットワーク 4 選択したホストで追加する物理アダプタを選択し [ 次へ ] をクリックします未使用の物理アダプタと使用中の物理アダプタのどちらでも選択できますホストが現在使用しているアダプタを選択した場合は関連する仮想アダプタを vnetwork 分散スイッチに移動するかどうかを選択します注意物理アダプタを vnetwork 分散スイッチに移動するときに関連する仮想アダプタを移動しなかった場合これらの仮想アダプタのネットワーク接続は失われます 5 [ 終了 ] をクリックします vnetwork 分散スイッチの全般的な設定の編集 vnetwork 分散スイッチの名前やアップリンクのポート数など vnetwork 分散スイッチの全般的なプロパティを編集できます手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 インベントリメニューから [ 分散仮想スイッチ ] - [ 設定の編集 ] を選択します 3 [ 全般 ] を選択して vnetwork 分散スイッチの次の設定を編集します a b c d vnetwork 分散スイッチの名前を入力しますアップリンクポート数を選択しますアップリンクのポート名を編集するには [ アップリンクポート名の編集 ] をクリックし新しい名前を入力して [OK] をクリックします vnetwork 分散スイッチに関する注釈を入力します 4 [OK] をクリックします vnetwork 分散スイッチの詳細設定の編集 vnetwork 分散スイッチの設定ダイアログボックスを使用して Cisco Discovery Protocol や vnetwork 分散スイッチ用 MTU の最大サイズなど vnetwork 分散スイッチの詳細設定を構成します手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 インベントリメニューから [ 分散仮想スイッチ ] - [ 設定の編集 ] を選択します 3 [ 詳細 ] を選択して vnetwork 分散スイッチの次のプロパティを編集します a b c MTU の最大サイズを指定します [Cisco Discovery Protocol の有効化 ] チェックボックスを選択し CDP を有効にして操作を [ 待機 ] [ アドバタイズ ] または [ 両方 ] のいずれかに設定します管理者連絡情報セクションで vnetwork 分散スイッチの管理者の名前およびその他の詳細を入力します 4 [OK] をクリックします vnetwork 分散スイッチのネットワークアダプタ情報の表示 vsphere Client のネットワークインベントリビューから vnetwork 分散スイッチの物理ネットワークアダプタおよびアップリンクの割り当てを表示します手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 インベントリメニューから [ 分散仮想スイッチ ] - [ 設定の編集 ] を選択します VMware, Inc. 27

28 3 [ ネットワークアダプタ ] タブで関連するホストのネットワークアダプタおよびアップリンクの割り当てを表示できますこのタブは読み取り専用です vnetwork 分散スイッチのネットワークアダプタはホストレベルで構成する必要があります 4 [OK] をクリックします dvport グループ dvport グループでは vnetwork 分散スイッチ上の各メンバーポートのポート構成オプションを指定しています dvport グループはネットワーク接続の作成方法を定義します dvport グループの追加 dvport グループの作成ウィザードを使用して vnetwork 分散スイッチに dvport グループを追加します手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 インベントリメニューから [ 分散仮想スイッチ ] - [ 新規ポートグループ ] を選択します 3 dvport グループのポートの名前と数を入力します 4 VLAN タイプを選択しますオプションなし VLAN VLAN トランクプライベート VLAN 説明 VLAN を使用しません [VLAN ID] フィールドに 1 ~ 4094 の数字を入力します VLAN トランクの範囲を入力しますプライベート VLAN エントリを選択しますプライベート VLAN を作成していない場合はこのメニューは空です 5 [ 次へ ] をクリックします 6 [ 終了 ] をクリックします全般的な dvport グループプロパティの編集 dvport グループのプロパティダイアログボックスを使用して dvport グループの名前およびポートグループのタイプなど dvport グループの全般的なプロパティを構成します手順 1 vsphere Client でネットワークインベントリビューを表示し dvport グループを選択します 2 インベントリメニューから [ ネットワーク ] - [ 設定の編集 ] を選択します 3 [ 全般 ] を選択し dvport グループの次のプロパティを編集しますオプション名前説明アクション dvport グループの名前を入力します dvport グループの簡単な説明を入力します 28 VMware, Inc.

29 第 4 章 vnetwork 分散スイッチによる基本ネットワークオプションポート数ポートバインドアクション dvport グループのポート数を入力しますこの dvport グループに接続された仮想マシンにポートを割り当てるときに選択します [ 静的バインド ] を選択すると仮想マシンが dvport グループに接続するときに仮想マシンにポートを割り当てます [ 動的バインド ] を選択すると仮想マシンが dvport グループに接続したあとはじめてパワーオンされるときに仮想マシンにポートを割り当てますポートのバインドがない場合は [ 短期 ] を選択します 4 [OK] をクリックします詳細な dvport グループプロパティの編集 dvport グループのプロパティダイアログボックスを使用してポート名のフォーマットやオーバーライド設定など dvport グループの詳細プロパティを構成します手順 1 インベントリメニューから [ ネットワーク ] - [ 設定の編集 ] を選択します 2 [ 詳細 ] を選択して dvport グループのプロパティを編集します a b c d e f [ ポートポリシーでオーバーライドを許可 ] を選択して dvport グループポリシーでポートレベルごとにオーバーライドできるようにします [ オーバーライド設定の編集 ] をクリックしてオーバーライドできるポリシーを選択しますライブポートの移動を許可するかどうか選択します [ 切断時にリセットを設定 ] を選択して dvport が仮想マシンから切断されたときにポートごとの設定を無効にするようにします [ ホスト上のバインディングを許可 ] を選択して vcenter Server が停止したときに ESXi が dvport を仮想マシンに割り当てることを指定します [ ポート名のフォーマット ] を選択してこのグループで dvport に名前を割り当てるためのテンプレートを提供します 3 [OK] をクリックします dvport 設定の構成ポート設定ダイアログボックスを使用してポートの名前や説明など dvport の全般的なプロパティを構成します手順 1 vsphere Client にログインして vnetwork 分散スイッチを表示します 2 [ ポート ] タブで修正するポートを右クリックして [ 設定の編集 ] を選択します 3 [ 全般 ] をクリックします 4 ポートの名前および説明を変更します 5 [OK] をクリックします VMware, Inc. 29

30 プライベート VLAN プライベート VLAN は特定のネットワーク設定での VLAN ID の制限と不要な IP アドレスを解決するのに使用しますプライベート VLAN はプライマリ VLAN ID によって識別されますプライマリ VLAN ID は関連付けられた複数のセカンダリ VLAN ID を持つことができますプライマリ VLAN は [ 無差別 ] なのでプライベート VLAN 上のポートはプライマリ VLAN として設定されたポートと通信できますセカンダリ VLAN 上のポートは無差別ポートとのみ通信する [ 隔離 ] か無差別ポートおよび同じセカンダリ VLAN 上の他のポートの両方と通信する [ コミュニティ ] のいずれかです ESXi ホストと物理ネットワークの他の部分との間でプライベート VLAN を使用するには ESXi ホストに接続された物理スイッチがプライベート VLAN 対応でなければならず ESXi でプライベート VLAN 機能に使用されている VLAN ID を使用して構成されている必要があります動的な MAC+VLAN ID ベースのラーニングを使用している物理スイッチでは対応するすべてのプライベート VLAN ID をスイッチの VLAN データベースに事前に入れておく必要がありますプライベート VLAN 機能を使用するよう dvport を構成するにはまず dvport が接続する vnetwork 分散スイッチで必要なプライベート VLAN を作成する必要がありますプライベート VLAN の作成 vnetwork 分散スイッチで使用するプライベート VLAN とそれに関連付けられた dvport を作成できます手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 [ インベントリ ] メニューから [vnetwork 分散スイッチ ] - [ 設定の編集 ] を選択します 3 [ プライベート VLAN] タブを選択します 4 プライマリプライベート VLAN ID で [[ ここにプライベート VLAN ID を入力 ]] をクリックしプライマリプライベート VLAN の数値を入力します 5 ダイアログボックス内をクリックし追加したプライマリプライベート VLAN を選択します追加したプライマリプライベート VLAN がセカンダリプライベート VLAN ID の下に表示されます 6 新しい各セカンダリプライベート VLAN でセカンダリプライベート VLAN ID の下の [[ ここにプライベート VLAN ID を入力 ]] をクリックしセカンダリプライベート VLAN の数値を入力します 7 ダイアログボックス内をクリックして追加したセカンダリプライベート VLAN を選択し [ 隔離 ] または [ コミュニティ ] のどちらかのポートタイプを選択します 8 [OK] をクリックしますプライマリプライベート VLAN の削除 vsphere Client のネットワークインベントリビューから未使用のプライマリプライベート VLAN を削除します開始する前にプライベート VLAN を削除する前にそれを使用するよう構成されているポートグループがないことを確認します手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 [ インベントリ ] メニューから [vnetwork 分散スイッチ ] - [ 設定の編集 ] を選択します 3 [ プライベート VLAN] タブを選択します 4 削除するプライマリプライベート VLAN を選択します 5 プライマリプライベート VLAN ID の下で [ 削除 ] をクリックし [OK] をクリックしますプライマリプライベート VLAN を削除すると関連するすべてのセカンダリプライベート VLAN が削除されます 30 VMware, Inc.

31 第 4 章 vnetwork 分散スイッチによる基本ネットワークセカンダリプライベート VLAN の削除 vsphere Client のネットワークインベントリビューから未使用のセカンダリプライベート VLAN を削除します開始する前にプライベート VLAN を削除する前にそれを使用するよう構成されているポートグループがないことを確認します手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 [ インベントリ ] メニューから [vnetwork 分散スイッチ ] - [ 設定の編集 ] を選択します 3 [ プライベート VLAN] タブを選択します 4 プライマリプライベート VLAN を選択して関連するセカンダリプライベート VLAN を表示します 5 削除するセカンダリプライベート VLAN を選択します 6 セカンダリプライベート VLAN ID の下で [ 削除 ] をクリックし [OK] をクリックします vnetwork 分散スイッチネットワークアダプタの構成ホストの構成ページの vnetwork 分散スイッチネットワークビューにはホストに関連する vnetwork 分散スイッチの構成が表示されますこれを使用して vnetwork 分散スイッチネットワークアダプタおよびアップリンクポートを構成できます物理アダプタの管理 vnetwork 分散スイッチに関連付けられている各ホストでは物理ネットワークアダプタ ( アップリンク ) を vnetwork 分散スイッチに割り当てる必要があります vnetwork 分散スイッチ上の 1 つのアップリンクポートにつき各ホストで 1 つのアップリンクを割り当てられます vnetwork 分散スイッチへのアップリンクの追加 vnetwork 分散スイッチに接続されている仮想マシンおよび仮想ネットワークアダプタを配置されているホスト以外のネットワークに接続するには物理アップリンクを vnetwork 分散スイッチに追加する必要があります手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vnetwork 分散仮想スイッチビューを選択します 4 [ 物理アダプタの管理 ] をクリックします 5 アップリンクを追加するアップリンクポートで [ クリックして NIC を追加 ] をクリックします 6 追加する物理アダプタを選択します別のスイッチに割り当てられているアダプタを選択するとそのスイッチからアダプタが削除されこの vnetwork 分散スイッチに再割り当てされます 7 [OK] をクリックします VMware, Inc. 31

32 vnetwork 分散スイッチからのアップリンクの削除 vnetwork 分散スイッチに関連付けられたアップリンクは vswitch または別の vnetwork 分散スイッチに追加できません手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vnetwork 分散仮想スイッチビューを選択します 4 [ 物理アダプタの管理 ] をクリックします 5 削除するアップリンクについて [ 削除 ] をクリックします 6 [OK] をクリックします仮想ネットワークアダプタの管理仮想ネットワークアダプタは vnetwork 分散スイッチを介してホストのネットワークサービスを処理します接続された vnetwork 分散スイッチにより ESXi ホストの VMkernel 仮想アダプタを構成できますこれを実行するには新しい仮想アダプタを作成するか既存の仮想アダプタを移行します vnetwork 分散スイッチでの VMkernel ネットワークアダプタの作成 VMotion インターフェイスまたは IP ストレージポートグループとして使用する VMkernel ネットワークアダプタを作成します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vnetwork 分散仮想スイッチビューを選択します 4 [ 仮想アダプタの管理 ] をクリックします 5 [ 追加 ] をクリックします 6 [ 新規仮想アダプタ ] を選択し [ 次へ ] をクリックします 7 [VMkernel] を選択し [ 次へ ] をクリックします 8 ネットワーク接続の下で vnetwork 分散スイッチおよび関連付けられたポートグループを選択するかこの仮想アダプタを追加する [ スタンドアローンポート ] を選択します 9 [ この仮想アダプタを VMotion に使用 ] を選択して VMotion トラフィックが送信されるネットワーク接続としてこのポートグループが自分自身を別の ESXi ホストにアドバタイズするようにします各 ESXi ホストについて 1 つの VMotion および IP ストレージポートグループに対してのみこのプロパティを有効にできますこのプロパティがいずれのポートグループにも有効になっていない場合このホストへの VMotion での移行はできません 10 [ この仮想アダプタをフォールトトレランスのログに使用 ] するかどうかを選択します 11 [ この仮想アダプタを管理トラフィックに使用 ] するかどうかを選択し [ 次へ ] をクリックします 12 IP 設定の下で IP アドレスおよびサブネットマスクを指定します 13 [ 編集 ] をクリックして VMotion NAS iscsi など VMkernel のサービスに対する VMkernel のデフォルトのゲートウェイを設定します 14 [DNS 構成 ] タブではデフォルトでホスト名が入力されますインストール時に指定した DNS サーバアドレスおよびドメインも事前に選択されています 32 VMware, Inc.

33 第 4 章 vnetwork 分散スイッチによる基本ネットワーク 15 [ ルーティング ] タブではサービスコンソールと VMkernel のそれぞれに固有のゲートウェイ情報が必要ですサービスコンソールまたは VMkernel と同一の IP サブネットにないマシンへの接続にはゲートウェイが必要ですデフォルトは固定 IP 設定です 16 [OK] をクリックし [ 次へ ] をクリックします 17 [ 終了 ] をクリックします既存の仮想アダプタの vnetwork 分散スイッチへの移行ホストの構成ページで vnetwork 標準スイッチから vnetwork 分散スイッチへ既存の仮想アダプタを移行します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vnetwork 分散仮想スイッチビューを選択します 4 [ 仮想アダプタの管理 ] をクリックします 5 [ 追加 ] をクリックします 6 [ 既存の仮想ネットワークアダプタの移行 ] を選択し [ 次へ ] をクリックします 7 [ 選択基準 ] ドロップダウンメニューでこの仮想アダプタをポートグループに接続するかスタンドアローンの dvport に接続するかを選択します 8 移行対象として 1 つまたは複数の仮想ネットワークアダプタを選択します 9 選択したアダプタごとに [ ポートグループを選択 ] または [ ポートを選択 ] ドロップダウンメニューからポートグループまたは dvport を選択します 10 [ 次へ ] をクリックします 11 [ 終了 ] をクリックします vnetwork 標準スイッチへの仮想アダプタの移行仮想スイッチの移行ウィザードを使用して vnetwork 分散スイッチから vnetwork 標準スイッチに既存の仮想アダプタを移行します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択しますこのサーバのハードウェア構成ページが表示されます 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 [ 分散仮想スイッチ ] ビューを選択します 4 [ 仮想アダプタの管理 ] をクリックします 5 移行する仮想アダプタを選択し [ 仮想スイッチの移行 ] をクリックします仮想アダプタの移行ウィザードが表示されます 6 アダプタを移行する vswitch を選択し [ 次へ ] をクリックします 7 [ ネットワークラベル ] を入力して任意で仮想アダプタの [VLAN ID] を入力します [ 次へ ] をクリックします 8 [ 終了 ] をクリックして仮想アダプタを移行しウィザードを完了します VMware, Inc. 33

34 vnetwork 分散スイッチでの VMkernel 構成の編集関連付けられたホストから vnetwork 分散スイッチの既存の VMkernel アダプタのプロパティを編集できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vnetwork 分散仮想スイッチビューを選択します 4 [ 仮想アダプタの管理 ] をクリックします 5 変更する VMkernel のアダプタを選択し [ 編集 ] をクリックします 6 ネットワーク接続の下で vnetwork 分散スイッチおよび関連付けられたポートグループを選択するかこの仮想アダプタを追加する [ スタンドアローンポート ] を選択します 7 [ この仮想アダプタを VMotion に使用 ] を選択して VMotion トラフィックが送信されるネットワーク接続としてこのポートグループが自分自身を別の ESXi ホストにアドバタイズするようにします各 ESXi ホストについて 1 つの VMotion および IP ストレージポートグループに対してのみこのプロパティを有効にできますこのプロパティがいずれのポートグループにも有効になっていない場合このホストへの VMotion での移行はできません 8 [ この仮想アダプタをフォールトトレランスのログに使用 ] するかどうかを選択します 9 [ この仮想アダプタを管理トラフィックに使用 ] するかどうかを選択し [ 次へ ] をクリックします 10 IP 設定の下で IP アドレスとサブネットマスクを指定するか [IP 設定を自動的に取得 ] を選択します 11 [ 編集 ] をクリックして VMotion NAS iscsi など VMkernel のサービスに対する VMkernel のデフォルトのゲートウェイを設定します 12 [OK] をクリックします仮想アダプタの削除仮想アダプタの管理ダイアログボックスで vnetwork 分散スイッチから仮想ネットワークアダプタを削除します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 [ 分散仮想スイッチ ] ビューを選択します 4 [ 仮想アダプタの管理 ] をクリックします 5 削除する仮想アダプタを選択し [ 削除 ] をクリックしますダイアログボックスに < アダプタ名 > を削除しますか? というメッセージが表示されます 6 [ はい ] をクリックします vnetwork 分散スイッチでの仮想マシンネットワークの構成仮想マシンは個々の仮想マシンの NIC を構成するか仮想マシンのグループを vnetwork 分散スイッチから移行することによって vnetwork 分散スイッチに接続できます仮想マシンは自身の関連する仮想ネットワークアダプタを dvport グループに接続することによって vnetwork 分散スイッチに接続していますこれは仮想マシンのネットワークアダプタ構成を変更することによって個々の仮想マシンに対して行うことも既存の仮想ネットワークから vnetwork 分散スイッチへ仮想マシンを移行することによって仮想マシンのグループに対して行うこともできます 34 VMware, Inc.

35 第 4 章 vnetwork 分散スイッチによる基本ネットワーク vnetwork 分散スイッチとの間の仮想マシンの移行仮想マシンは各仮想マシンレベルで vnetwork 分散スイッチに接続するほかグループレベルで vnetwork 分散スイッチネットワークと vnetwork 標準スイッチネットワークの間を移行することもできます手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 [ インベントリ ] メニューから [ 分散仮想スイッチ ] - [ 仮想マシンネットワークの移行 ] を選択します仮想マシンネットワークの移行ウィザードが表示されます 3 [ ソースネットワークの選択 ] ドロップダウンメニューで移行元の仮想ネットワークを選択します 4 移行先の仮想ネットワークを [ ターゲットネットワークの選択 ] ドロップダウンメニューから選択します 5 [ 仮想マシンの表示 ] をクリックします移行元の仮想ネットワークに関連付けられている仮想マシンが [ 仮想マシンの選択 ] フィールドに表示されます 6 ターゲットの仮想ネットワークに移行する仮想マシンを選択し [OK] をクリックします dvport グループへの個々の仮想マシンの接続仮想マシンの NIC 構成を変更して個々の仮想マシンを vnetwork 分散スイッチへ接続します手順 1 vsphere Client にログインしてインベントリパネルから仮想マシンを選択します 2 [ サマリ ] タブの [ 設定の編集 ] をクリックします 3 [ ハードウェア ] タブで仮想ネットワークアダプタを選択します 4 [ ネットワークラベル ] ドロップダウンメニューから移行する dvport グループを選択し [OK] をクリックします VMware, Inc. 35

36 36 VMware, Inc.

37 高度なネットワーク 5 次のトピックでは ESXi 環境における高度なネットワークについておよび高度なネットワークの構成オプションを設定および変更する方法について紹介しますこの章では次のトピックについて説明しますインターネットプロトコルバージョン 6 (P. 37) ネットワークポリシー (P. 38) DNS とルーティング構成の変更 (P. 52) MAC アドレス (P. 53) TCP セグメンテーションオフロードおよびジャンボフレーム (P. 54) NetQueue とネットワークパフォーマンス (P. 57) VMDirectPath Gen I (P. 57) インターネットプロトコルバージョン 6 vsphere はインターネットプロトコルバージョン 4 (IPv4) とインターネットプロトコルバージョン 6 (IPv6) の両方の環境をサポートしています Internet Engineering Task Force は IPv4 の後継として IPv6 を設計しましたスタンドアローンプロトコルとしてまた IPv4 との混在環境において IPv6 の導入が急速に増えています IPv6 では IPv6 環境で NFS などの vsphere 機能を使用できます IPv4 と IPv6 の最も大きな違いはアドレスの長さです IPv6 は IPv4 が使用している 32 ビットのアドレスは使用せず 128 ビットのアドレスを使用しますこれは IPv4 で生じていたアドレス不足の問題にとって有効でネットワークアドレス変換 (NAT) が不要になりますほかに顕著な違いとしてはインターフェイスが初期化されるときに表示されるリンクローカルなアドレスルータのアドバタイズによって設定されるアドレスおよびインターフェイス上に複数の IPv6 アドレスを保持できる機能などがあります vsphere の IPv6 に特有な構成では静的なアドレスを入力するか DHCP を使用して vsphere の対象のすべてのネットワークインターフェイスに対して IPv6 アドレスを提供します IPv6 のアドレスはルータのアドバタイズによって送信されるステートレスな自動構成を使用して設定することもできます ESXi ホストでの IPv6 サポートの有効化ホストでの IPv6 のサポートを有効または無効にできます手順 1 ナビゲーションバーの [ インベントリ ] ボタンの隣の矢印をクリックし [ ホストおよびクラスタ ] を選択します 2 ホストを選択し [ 構成 ] タブをクリックします VMware, Inc. 37

38 3 ハードウェアの下の [ ネットワーク ] リンクをクリックします 4 仮想スイッチビューで [ プロパティ ] リンクをクリックします 5 [ このホストで IPv6 サポートを有効にする ] を選択し [OK] をクリックします 6 ホストを再起動しますネットワークポリシー vswitch レベルまたは dvport グループレベルで設定されたすべてのポリシーはポートグループレベルまたは dvport レベルでオーバーライドされた構成オプションを除きその vswitch 上のすべてのポートグループまたは dvport グループの dvport に適用されます適用可能なネットワークポリシーは次のとおりですロードバランシングおよびフェイルオーバー VLAN (vnetwork 分散スイッチのみ ) セキュリティトラフィックシェーピングポートブロックポリシー (vnetwork 分散スイッチのみ ) ロードバランシングおよびフェイルオーバーポリシーロードバランシングおよびフェイルオーバーポリシーを使用してアダプタ間にネットワークトラフィックを分配する方法やアダプタの故障時にトラフィックを再度経路設定する方法を決定できます次のパラメータを構成してロードバランシングおよびフェイルオーバーポリシーを編集できます [ ロードバランシングポリシー ] は vswitch に割り当てられたネットワークアダプタ間で送信トラフィックを分散する方法を決定します注意受信トラフィックは物理スイッチのロードバランシングポリシーによって制御されます [ フェイルオーバーの検出 ] はリンクステータスとビーコンプローブを制御しますビーコンはゲスト VLAN タギングではサポートされていません [ ネットワークアダプタの順番 ] はアクティブまたはスタンバイを指定できます vswitch でのフェイルオーバーおよびロードバランシングポリシーの編集フェイルオーバーおよびロードバランシングのポリシーを使用してアダプタ間にネットワークトラフィックを分配する方法やアダプタの故障時にトラフィックを再度経路設定する方法を決定できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 vswitch を選択し [ プロパティ ] をクリックします 4 vswitch のプロパティダイアログボックスで [ ポート ] タブをクリックします 5 vswitch のフェイルオーバーとロードバランシングの値を編集するには vswitch アイテムを選択して [ プロパティ ] をクリックします 38 VMware, Inc.

39 第 5 章高度なネットワーク 6 [NIC チーミング ] タブをクリックしますポートグループレベルでフェイルオーバーの順序をオーバーライドできますデフォルトでは新規のアダプタがすべてのポリシーに対してアクティブになります新規のアダプタは特に指定しないかぎり vswitch とそのポートグループのトラフィックを伝送します 7 ポリシー例外グループで設定を指定しますオプションロードバランシング説明アップリンクの選択方法を指定します [ 発信元のポート ID に基づいたルート ] : トラフィックが仮想スイッチに到達したときに使用した仮想ポートに基づいてアップリンクを選択します [IP ハッシュに基づいたルート ] : 各パケットの発信元と宛先の IP アドレスのハッシュに基づいてアップリンクを選択します IP 以外のパケットの場合はすべてそれらのオフセットを使用してハッシュを計算します [ 発信元 MAC ハッシュに基づいたルート ] : 発信元イーサネットアドレスのハッシュに基づいてアップリンクを選択します [ 明示的なフェイルオーバー順序を使用 ] : 有効なアダプタの一覧からフェイルオーバーの検知基準を満たした最上位のアップリンクを常に使用します注意 IP ベースのチーミングにはイーサチャネルで物理スイッチを構成する必要がありますその他のすべてのオプションではイーサチャネルを無効にする必要がありますネットワークのフェイルオーバー検出スイッチへの通知フェイルオーバーの検出に使用する方法を指定します [ リンク状態のみ ] : ネットワークアダプタが提供するリンク状態のみに依存しますこのオプションではケーブルの抜け物理スイッチの電源障害などの障害は検出されますが物理スイッチポートがスパニングツリーによってブロックされていたり誤った VLAN への物理スイッチポートの構成ミスや反対側の物理スイッチのケーブル抜けなどの構成エラーは検出されません [ ビーコンの検知 ] : チーム内のすべての NIC に対してビーコンとプローブの送受信を行いこの情報とリンクステータスを使用してリンク故障を確認しますこの方法ではリンク状態のみでは検出できない前述の障害の多くを検出できます [ はい ] または [ いいえ ] を選択してフェイルオーバー時にスイッチへの通知を行います [ はい ] を選択するとフェイルオーバーイベントによって仮想 NIC が vswitch に接続される場合またはその仮想 NIC のトラフィックがチーム内の別の物理 NIC を経由する場合にはネットワークを介して通知が送信され物理スイッチの検索テーブルを更新しますほぼすべての場合において VMotion でのフェイルオーバーの発生と移行の遅延を最小限に抑えるのにこのプロセスが役立ちます注意ポートグループを使用する仮想マシンが Microsoft Network Load Balancing をユニキャストモードで使用している場合はこのオプションを使用しないでください NLB がマルチキャストモードで稼動している場合にはこのような問題はありません VMware, Inc. 39

40 オプションフェイルバックフェイルオーバーの順序説明 [ はい ] または [ いいえ ] を選択してフェイルバックを無効または有効にしますこのオプションは障害から復旧したあとで物理アダプタをどのようにアクティブなモードに戻すかを決定しますフェイルバックを [ はい ] ( デフォルト ) に設定するとアダプタは復旧後すぐにアクティブなモードに戻りもしあればスロットを引き継いだスタンバイアダプタに取って代わりますフェイルバックを [ いいえ ] に設定すると障害のあるアダプタは復旧後も現在アクティブな別のアダプタに障害が発生して交換が必要になるまで非アクティブのままになりますアップリンクのワークロードの分散方法を指定しますいくつかのアップリンクを使用しつつ使用中のアップリンクに障害が発生した際の緊急用にほかのアップリンクを確保しておく場合はこれらのアップリンクを異なるグループに分けてこの条件を設定します [ 有効なアップリンク ] : ネットワークアダプタの接続が開始されアクティブになっている場合にはアップリンクを継続して使用します [ スタンバイ中のアップリンク ] : 有効なアダプタのいずれかの接続が切断した場合にこのアップリンクを使用します [ 未使用のアップリンク ] : このアップリンクを使用しません 8 [OK] をクリックしますポートグループでのフェイルオーバーおよびロードバランシングポリシーの編集ポートグループのフェイルオーバーおよびロードバランシングポリシーの構成を編集できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 ポートグループを選択し [ 編集 ] をクリックします 4 プロパティダイアログボックスで [ ポート ] タブをクリックします 5 vswitch に対する [ フェイルオーバーとロードバランシング ] の値を編集するには vswitch アイテムを選択して [ プロパティ ] をクリックします 6 [NIC チーミング ] タブをクリックしますポートグループレベルでフェイルオーバーの順序をオーバーライドすることができますデフォルトでは新規のアダプタがすべてのポリシーに対してアクティブになります新規のアダプタは特に指定しないかぎり vswitch とそのポートグループのトラフィックを伝送します 40 VMware, Inc.

41 第 5 章高度なネットワーク 7 ポリシー例外グループで設定を指定しますオプションロードバランシング説明アップリンクの選択方法を指定します [ 発信元のポート ID に基づいたルート ] : トラフィックが仮想スイッチに到達したときに使用した仮想ポートに基づいてアップリンクを選択します [IP ハッシュに基づいたルート ] : 各パケットの発信元と宛先の IP アドレスのハッシュに基づいてアップリンクを選択します IP 以外のパケットの場合はすべてそれらのオフセットを使用してハッシュを計算します [ 発信元 MAC ハッシュに基づいたルート ] : 発信元イーサネットアドレスのハッシュに基づいてアップリンクを選択します [ 明示的なフェイルオーバー順序を使用 ] : 有効なアダプタの一覧からフェイルオーバーの検知基準を満たした最上位のアップリンクを常に使用します注意 IP ベースのチーミングにはイーサチャネルで物理スイッチを構成する必要がありますその他のすべてのオプションではイーサチャネルを無効にする必要がありますネットワークのフェイルオーバー検出スイッチへの通知フェイルバックフェイルオーバーの順序フェイルオーバーの検出に使用する方法を指定します [ リンク状態のみ ] : ネットワークアダプタが提供するリンク状態のみに依存しますこのオプションではケーブルの抜け物理スイッチの電源障害などの障害は検出されますが物理スイッチポートがスパニングツリーによってブロックされていたり誤った VLAN への物理スイッチポートの構成ミスや反対側の物理スイッチのケーブル抜けなどの構成エラーは検出されません [ ビーコンの検知 ] : チーム内のすべての NIC に対してビーコンとプローブの送受信を行いこの情報とリンクステータスを使用してリンク故障を確認しますこの方法ではリンク状態のみでは検出できない前述の障害の多くを検出できます [ はい ] または [ いいえ ] を選択してフェイルオーバー時にスイッチへの通知を行います [ はい ] を選択するとフェイルオーバーイベントによって仮想 NIC が vswitch に接続される場合またはその仮想 NIC のトラフィックがチーム内の別の物理 NIC を経由する場合にはネットワークを介して通知が送信され物理スイッチの検索テーブルを更新しますほぼすべての場合において VMotion でのフェイルオーバーの発生と移行の遅延を最小限に抑えるのにこのプロセスが役立ちます注意ポートグループを使用する仮想マシンが Microsoft Network Load Balancing をユニキャストモードで使用している場合はこのオプションを使用しないでください NLB がマルチキャストモードで稼動している場合にはこのような問題はありません [ はい ] または [ いいえ ] を選択してフェイルバックを無効または有効にしますこのオプションは障害から復旧したあとで物理アダプタをどのようにアクティブなモードに戻すかを決定しますフェイルバックを [ はい ] ( デフォルト ) に設定するとアダプタは復旧後すぐにアクティブなモードに戻りもしあればスロットを引き継いだスタンバイアダプタに取って代わりますフェイルバックを [ いいえ ] に設定すると障害のあるアダプタは復旧後も現在アクティブな別のアダプタに障害が発生して交換が必要になるまで非アクティブのままになりますアップリンクのワークロードの分散方法を指定しますいくつかのアップリンクを使用しつつ使用中のアップリンクに障害が発生した際の緊急用にほかのアップリンクを確保しておく場合はこれらのアップリンクを異なるグループに分けてこの条件を設定します [ 有効なアップリンク ] : ネットワークアダプタの接続が開始されアクティブになっている場合にはアップリンクを継続して使用します [ スタンバイ中のアップリンク ] : 有効なアダプタのいずれかの接続が切断した場合にこのアップリンクを使用します [ 未使用のアップリンク ] : このアップリンクを使用しません 8 [OK] をクリックします VMware, Inc. 41

42 dvport グループでのチーミングおよびフェイルオーバーポリシーの編集チーミングおよびフェイルオーバーのポリシーを使用してアダプタ間にネットワークトラフィックを分配する方法やアダプタの故障時にトラフィックを再度経路設定する方法を決定できます手順 1 vsphere Client でネットワークインベントリビューを表示し dvport グループを選択します 2 インベントリメニューから [ ネットワーク ] - [ 設定の編集 ] を選択します 3 [ ポリシー ] を選択します 4 チーミングおよびフェイルオーバーグループで次の内容を指定しますオプションロードバランシング説明アップリンクの選択方法を指定します [ 発信元のポート ID に基づいたルート ] : トラフィックが仮想スイッチに到達したときに使用した仮想ポートに基づいてアップリンクを選択します [IP ハッシュに基づいたルート ] : 各パケットの発信元と宛先の IP アドレスのハッシュに基づいてアップリンクを選択します IP 以外のパケットの場合はすべてそれらのオフセットを使用してハッシュを計算します [ 発信元 MAC ハッシュに基づいたルート ] : 発信元イーサネットアドレスのハッシュに基づいてアップリンクを選択します [ 明示的なフェイルオーバー順序を使用 ] : 有効なアダプタの一覧からフェイルオーバーの検知基準を満たした最上位のアップリンクを常に使用します注意 IP ベースのチーミングにはイーサチャネルで物理スイッチを構成する必要がありますその他のすべてのオプションではイーサチャネルを無効にする必要がありますネットワークのフェイルオーバー検出フェイルオーバーの検出に使用する方法を指定します [ リンク状態のみ ] : ネットワークアダプタが提供するリンク状態のみに依存しますこのオプションではケーブルの抜け物理スイッチの電源障害などの障害は検出されますが物理スイッチポートがスパニングツリーによってブロックされていたり誤った VLAN への物理スイッチポートの構成ミスや反対側の物理スイッチのケーブル抜けなどの構成エラーは検出されません [ ビーコンの検知 ] : チーム内のすべての NIC に対してビーコンとプローブの送受信を行いこの情報とリンクステータスを使用してリンク故障を確認しますこれによりリンク状態のみでは検出できない前述の障害の多くを検出できます注意 IP ハッシュに基づくロードバランシングを使用する場合はビーコンの検知を使用しないでくださいスイッチへの通知 [ はい ] または [ いいえ ] を選択してフェイルオーバー時にスイッチへの通知を行います [ はい ] を選択するとフェイルオーバーイベントによって仮想 NIC が vswitch に接続される場合またはその仮想 NIC のトラフィックがチーム内の別の物理 NIC を経由する場合にはネットワークを介して通知が送信され物理スイッチの検索テーブルを更新しますほぼすべての場合において VMotion でのフェイルオーバーの発生と移行の遅延を最小限に抑えるのにこのプロセスが役立ちます注意ポートグループを使用する仮想マシンが Microsoft Network Load Balancing をユニキャストモードで使用している場合はこのオプションを使用しないでください NLB がマルチキャストモードで稼動している場合にはこのような問題はありません 42 VMware, Inc.

43 第 5 章高度なネットワークオプションフェイルバックフェイルオーバーの順序説明 [ はい ] または [ いいえ ] を選択してフェイルバックを無効または有効にしますこのオプションは障害から復旧したあとで物理アダプタをどのようにアクティブなモードに戻すかを決定しますフェイルバックを [ はい ] ( デフォルト ) に設定するとアダプタは復旧後すぐにアクティブなモードに戻りもしあればスロットを引き継いだスタンバイアダプタに取って代わりますフェイルバックを [ いいえ ] に設定すると障害のあるアダプタは復旧後も現在アクティブな別のアダプタに障害が発生して交換が必要になるまで非アクティブのままになりますアップリンクのワークロードの分散方法を指定しますいくつかのアップリンクを使用しつつ使用中のアップリンクに障害が発生した際の緊急用にほかのアップリンクを確保しておく場合はこれらのアップリンクを異なるグループに分けてこの条件を設定します [ 有効なアップリンク ] : ネットワークアダプタの接続が開始されアクティブになっている場合にはアップリンクを継続して使用します [ スタンバイ中のアップリンク ] : 有効なアダプタのいずれかの接続が切断した場合にこのアップリンクを使用します [ 未使用のアップリンク ] : このアップリンクを使用しません注意 IP ハッシュに基づくロードバランシングを使用する場合はスタンバイアップリンクを構成しないでください 5 [OK] をクリックします dvport チーミングとフェイルオーバーポリシーの編集チーミングおよびフェイルオーバーのポリシーを使用してアダプタ間にネットワークトラフィックを分配する方法やアダプタの故障時にトラフィックを再度経路設定する方法を決定できます開始する前に各 dvport でチーミングポリシーおよびフェイルオーバーポリシーを編集するにはポリシーがオーバーライドされるよう関連付けられた dvport グループを設定する必要があります手順 1 vsphere Client にログインして vnetwork 分散スイッチを表示します 2 [ ポート ] タブで修正するポートを右クリックして [ 設定の編集 ] を選択します [ ポート設定 ] ダイアログボックスが表示されます 3 [ ポリシー ] をクリックしてポートのネットワークポリシーを表示して変更します VMware, Inc. 43

44 4 チーミングおよびフェイルオーバーグループで次の内容を指定しますオプションロードバランシング説明アップリンクの選択方法を指定します [ 発信元のポート ID に基づいたルート ] : トラフィックが仮想スイッチに到達したときに使用した仮想ポートに基づいてアップリンクを選択します [IP ハッシュに基づいたルート ] : 各パケットの発信元と宛先の IP アドレスのハッシュに基づいてアップリンクを選択します IP 以外のパケットの場合はすべてそれらのオフセットを使用してハッシュを計算します [ 発信元 MAC ハッシュに基づいたルート ] : 発信元イーサネットアドレスのハッシュに基づいてアップリンクを選択します [ 明示的なフェイルオーバー順序を使用 ] : 有効なアダプタの一覧からフェイルオーバーの検知基準を満たした最上位のアップリンクを常に使用します注意 IP ベースのチーミングにはイーサチャネルで物理スイッチを構成する必要がありますその他のすべてのオプションではイーサチャネルを無効にする必要がありますネットワークのフェイルオーバー検出フェイルオーバーの検出に使用する方法を指定します [ リンク状態のみ ] : ネットワークアダプタが提供するリンク状態のみに依存しますこのオプションではケーブルの抜け物理スイッチの電源障害などの障害は検出されますが物理スイッチポートがスパニングツリーによってブロックされていたり誤った VLAN への物理スイッチポートの構成ミスや反対側の物理スイッチのケーブル抜けなどの構成エラーは検出されません [ ビーコンの検知 ] : チーム内のすべての NIC に対してビーコンとプローブの送受信を行いこの情報とリンクステータスを使用してリンク故障を確認しますこれによりリンク状態のみでは検出できない前述の障害の多くを検出できます注意 IP ハッシュに基づくロードバランシングを使用する場合はビーコンの検知を使用しないでくださいスイッチへの通知フェイルバックフェイルオーバーの順序 [ はい ] または [ いいえ ] を選択してフェイルオーバー時にスイッチへの通知を行います [ はい ] を選択するとフェイルオーバーイベントによって仮想 NIC が vswitch に接続される場合またはその仮想 NIC のトラフィックがチーム内の別の物理 NIC を経由する場合にはネットワークを介して通知が送信され物理スイッチの検索テーブルを更新しますほぼすべての場合において VMotion でのフェイルオーバーの発生と移行の遅延を最小限に抑えるのにこのプロセスが役立ちます注意ポートグループを使用する仮想マシンが Microsoft Network Load Balancing をユニキャストモードで使用している場合はこのオプションを使用しないでください NLB がマルチキャストモードで稼動している場合にはこのような問題はありません [ はい ] または [ いいえ ] を選択してフェイルバックを無効または有効にしますこのオプションは障害から復旧したあとで物理アダプタをどのようにアクティブなモードに戻すかを決定しますフェイルバックを [ はい ] ( デフォルト ) に設定するとアダプタは復旧後すぐにアクティブなモードに戻りもしあればスロットを引き継いだスタンバイアダプタに取って代わりますフェイルバックを [ いいえ ] に設定すると障害のあるアダプタは復旧後も現在アクティブな別のアダプタに障害が発生して交換が必要になるまで非アクティブのままになりますアップリンクのワークロードの分散方法を指定しますいくつかのアップリンクを使用しつつ使用中のアップリンクに障害が発生した際の緊急用にほかのアップリンクを確保しておく場合はこれらのアップリンクを異なるグループに分けてこの条件を設定します [ 有効なアップリンク ] : ネットワークアダプタの接続が開始されアクティブになっている場合にはアップリンクを継続して使用します [ スタンバイ中のアップリンク ] : 有効なアダプタのいずれかの接続が切断した場合にこのアップリンクを使用します [ 未使用のアップリンク ] : このアップリンクを使用しません注意 IP ハッシュに基づくロードバランシングを使用する場合はスタンバイアップリンクを構成しないでください 5 [OK] をクリックします 44 VMware, Inc.

45 第 5 章高度なネットワーク VLAN ポリシー VLAN ポリシーは仮想ネットワークを物理 VLAN に接続できるようにします dvport グループでの VLAN ポリシーの編集 dvport グループの VLAN ポリシー構成を編集できます手順 1 vsphere Client でネットワークインベントリビューを表示し dvport グループを選択します 2 インベントリメニューから [ ネットワーク ] - [ 設定の編集 ] を選択します 3 [VLAN] を選択します 4 使用する [VLAN タイプ ] を選択しますオプションなし VLAN VLAN トランクプライベート VLAN 説明 VLAN を使用しません [VLAN ID] フィールドに 1 ~ 4094 の数字を入力します [VLAN トランクの範囲 ] を入力します使用する有効なプライベート VLAN を選択します dvport VLAN ポリシーの編集各 dvport では dvport レベルで設定された VLAN ポリシーが dvport グループレベルで設定された VLAN ポリシーより優先されます開始する前に各 dvport で VLAN ポリシーを編集するにはポリシーがオーバーライドされるよう関連付けられた dvport グループを設定する必要があります手順 1 vsphere Client にログインして vnetwork 分散スイッチを表示します 2 [ ポート ] タブで修正するポートを右クリックして [ 設定の編集 ] を選択します 3 [ ポリシー ] をクリックします 4 使用する VLAN タイプを選択しますオプションなし VLAN VLAN トランクプライベート VLAN アクション VLAN を使用しません VLAN ID として 1 ~ 4095 の数字を入力します VLAN トランクの範囲を入力します使用する有効なプライベート VLAN を選択します 5 [OK] をクリックします VMware, Inc. 45

46 セキュリティポリシーネットワークセキュリティポリシーは受信または送信フレームに対するアダプタのフィルタリング方法を決定しますレイヤー 2 はデータリンクレイヤーですセキュリティポリシーの 3 つの要素は無差別モード MAC アドレス変更および偽装転送です無差別モード以外ではゲストアダプタは自身の MAC アドレスに転送されたトラフィックのみを検出します無差別モードではすべてのフレームを検出できますデフォルトではゲストアダプタは無差別モード以外に設定されます vswitch でのレイヤー 2 セキュリティポリシーの編集レイヤー 2 セキュリティポリシーを編集することで受信および送信フレームの処理方法を制御します手順 1 VMware vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 編集する vswitch の [ プロパティ ] をクリックします 4 プロパティダイアログボックスで [ ポート ] タブをクリックします 5 vswitch アイテムを選択し [ 編集 ] をクリックします 6 プロパティダイアログボックスで [ セキュリティ ] タブをクリックしますデフォルトでは [ 無差別モード ] は [ 拒否 ] に設定されており [MAC アドレス変更 ] および [ 偽装転送 ] は [ 承諾 ] に設定されていますポリシーは仮想アダプタのポートグループでポリシーの例外が指定されている場合を除いて vswitch 上のすべての仮想アダプタに適用されます 7 ポリシー例外ペインでセキュリティポリシーの例外を拒否するか承諾するかを選択しますモード拒否承諾無差別モード MAC アドレス変更偽装転送ゲストアダプタを無差別モードに設定してもアダプタが受信するフレームには影響しませんゲスト OS でアダプタの MAC アドレスが.vmx 構成ファイル内に設定された MAC アドレス以外のアドレスに変更されるとすべての受信フレームがドロップされますゲスト OS で.vmx 構成ファイル内の MAC アドレスに一致するよう MAC アドレスを変更して戻すと受信フレームの伝送が再開されますアダプタに設定された以外の発信元 MAC アドレスを持つ送信フレームがドロップされますゲストアダプタを無差別モードに設定するとアダプタの接続先であるポートグループの VLAN ポリシーで許可され vswitch を通過したすべてのフレームが検出されますゲスト OS の MAC アドレスが変更されると新規の MAC アドレスへのフレームが受信されるようになりますフィルタリングは実行されず送信フレームはすべて伝送されます 8 [OK] をクリックします 46 VMware, Inc.

47 第 5 章高度なネットワークポートグループでのレイヤー 2 セキュリティポリシー例外の編集レイヤー 2 セキュリティポリシーを編集することで受信および送信フレームの処理方法を制御します手順 1 VMware vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 編集するポートグループの [ プロパティ ] をクリックします 4 プロパティダイアログボックスで [ ポート ] タブをクリックします 5 ポートグループの項目を選択し [ 編集 ] をクリックします 6 ポートグループのプロパティダイアログボックスで [ セキュリティ ] タブをクリックしますデフォルトで [ 無差別モード ] は [ 拒否 ] に設定されます [MAC アドレス変更 ] および [ 偽装転送 ] は [ 承諾 ] に設定されますポリシー例外は vswitch レベルで設定されているどのポリシーよりも優先されます 7 ポリシー例外ペインでセキュリティポリシーの例外を拒否するか承諾するかを選択しますモード拒否承諾無差別モード MAC アドレス変更偽装転送ゲストアダプタを無差別モードに設定してもアダプタが受信するフレームには影響しませんゲスト OS でアダプタの MAC アドレスが.vmx 構成ファイル内に設定された MAC アドレス以外のアドレスに変更されるとすべての受信フレームがドロップされますゲスト OS で.vmx 構成ファイル内の MAC アドレスに一致するよう MAC アドレスを変更して戻すと受信フレームの伝送が再開されますアダプタに設定された以外の発信元 MAC アドレスを持つ送信フレームがドロップされますゲストアダプタを無差別モードに設定するとアダプタの接続先であるポートグループの VLAN ポリシーで許可され vswitch を通過したすべてのフレームが検出されますゲスト OS の MAC アドレスが変更されると新規の MAC アドレスへのフレームが受信されるようになりますフィルタリングは実行されず送信フレームはすべて伝送されます 8 [OK] をクリックします dvport グループでのセキュリティポリシーの編集セキュリティポリシーを編集することで dvport グループの受信および送信フレームの処理方法を制御します手順 1 vsphere Client でネットワークインベントリビューを表示し dvport グループを選択します 2 インベントリメニューから [ ネットワーク ] - [ 設定の編集 ] を選択します 3 ポートグループのプロパティダイアログボックスで [ セキュリティ ] タブをクリックしますデフォルトで [ 無差別モード ] は [ 拒否 ] に設定されます [MAC アドレス変更 ] および [ 偽装転送 ] は [ 承諾 ] に設定されますポリシー例外は vswitch レベルで設定されているどのポリシーよりも優先されます VMware, Inc. 47

48 4 ポリシー例外ペインでセキュリティポリシーの例外を拒否するか承諾するかを選択しますモード拒否承諾無差別モード MAC アドレス変更偽装転送ゲストアダプタを無差別モードに設定してもアダプタが受信するフレームには影響しませんゲスト OS でアダプタの MAC アドレスが.vmx 構成ファイル内に設定された MAC アドレス以外のアドレスに変更されるとすべての受信フレームがドロップされますゲスト OS で.vmx 構成ファイル内の MAC アドレスに一致するよう MAC アドレスを変更して戻すと受信フレームの伝送が再開されますアダプタに設定された以外の発信元 MAC アドレスを持つ送信フレームがドロップされますゲストアダプタを無差別モードに設定するとアダプタの接続先であるポートグループの VLAN ポリシーで許可され vswitch を通過したすべてのフレームが検出されますゲスト OS の MAC アドレスが変更されると新規の MAC アドレスへのフレームが受信されるようになりますフィルタリングは実行されず送信フレームはすべて伝送されます 5 [OK] をクリックします dvport セキュリティポリシーの編集セキュリティポリシーを編集することで dvport の受信および送信フレームの処理方法を制御します開始する前に各 dvport でセキュリティポリシーを編集するにはポリシーがオーバーライドされるよう関連付けられた dvport グループを設定する必要があります手順 1 vsphere Client にログインして vnetwork 分散スイッチを表示します 2 [ ポート ] タブで修正するポートを右クリックして [ 設定の編集 ] を選択します 3 [ ポリシー ] をクリックしますデフォルトでは [ 無差別モード ] は [ 拒否 ] に設定されており [MAC アドレス変更 ] および [ 偽装転送 ] は [ 承諾 ] に設定されています 48 VMware, Inc.

49 第 5 章高度なネットワーク 4 セキュリティグループでセキュリティポリシーの例外を拒否するか承諾するかを選択しますモード拒否承諾無差別モード MAC アドレス変更偽装転送ゲストアダプタを無差別モードに設定してもアダプタが受信するフレームには影響しませんゲスト OS でアダプタの MAC アドレスが.vmx 構成ファイル内に設定された MAC アドレス以外のアドレスに変更されるとすべての受信フレームがドロップされますゲスト OS で.vmx 構成ファイル内の MAC アドレスに一致するよう MAC アドレスを変更して戻すと受信フレームの伝送が再開されますアダプタに設定された以外の発信元 MAC アドレスを持つ送信フレームがドロップされますゲストアダプタを無差別モードに設定するとアダプタの接続先であるポートグループの VLAN ポリシーで許可され vswitch を通過したすべてのフレームが検出されますゲスト OS の MAC アドレスが変更されると新規の MAC アドレスへのフレームが受信されるようになりますフィルタリングは実行されず送信フレームはすべて伝送されます 5 [OK] をクリックしますトラフィックシェーピングポリシートラフィックシェーピングポリシーは平均バンド幅ピークバンド幅およびバーストサイズの 3 つの特性によって定義されます各ポートグループおよび各 dvport または dvport グループのトラフィックシェーピングポリシーを確立できます ESXi は vswitch 上で送信ネットワークトラフィックを形成し vnetwork 分散スイッチで受信および送信トラフィックを形成しますトラフィックシェーピングはポートで使用できるネットワークバンド幅を制限しますがトラフィックのバーストがより高速に通過できるように構成することもできます平均バンド幅ピークバンド幅バーストサイズあるポートで通過を許可する bps (1 秒あたりのビット数 ) を長期間の平均値で設定しますつまり許容できる平均的な負荷ですトラフィックのバーストを送信または受信するときにあるポートで通過を許可する最大の bps ピークバンド幅はバーストボーナスを使用している場合にはポートで使用されるバンド幅を上回りますバーストで許容される最大バイト数このパラメータが設定されているとポートは割り当てられているすべてのバンド幅を使用しない場合にバーストボーナスを取得できますポートで [ 平均バンド幅 ] で指定されているよりも多くのバンド幅が必要になるとバーストボーナスが使用できる場合には一時的にデータをより高速に転送できますこのパラメータはバーストボーナスに累積されているバイト数に加算された上で高速で転送されます vswitch でのトラフィックシェーピングポリシーの編集トラフィックシェーピングポリシーを使用して vswitch のバンド幅およびバーストサイズを制御します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 編集する vswitch の [ プロパティ ] をクリックします VMware, Inc. 49

50 4 プロパティダイアログボックスで [ ポート ] タブをクリックします 5 vswitch アイテムを選択し [ 編集 ] をクリックします 6 プロパティダイアログボックスで [ トラフィックシェーピング ] タブをクリックしますトラフィックシェーピングが無効である場合はオプションが淡色で表示されますトラフィックシェーピングが有効である場合はポートグループレベルですべてのトラフィックシェーピング機能をオーバーライドすることもできますこのポリシーは vswitch 全体ではなくポートグループに接続している各仮想アダプタに適用されます注意ピークバンド幅は指定されている平均バンド幅よりも小さい値にすることはできませんオプションステータス平均バンド幅ピークバンド幅バーストサイズ説明 [ ステータス ] フィールドでポリシーの例外を有効にした場合はこの特定のポートグループに関連付けられた各仮想アダプタに割り当てるネットワークバンド幅の長さの制限を設定しますポリシーを無効にすると物理ネットワークへの制限のない接続サービスが可能になります一定の期間で測定された値バースト時の最大バンド幅を制限しますこれを平均バンド幅よりも小さい値にすることはできません可能なバースト転送のサイズをキロバイト (KB) 単位で指定しますポートグループでのトラフィックシェーピングポリシーの編集トラフィックシェーピングポリシーを使用してポートグループのバンド幅およびバーストサイズを制御します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 編集するポートグループの [ プロパティ ] をクリックします 4 プロパティダイアログボックスで [ ポート ] タブをクリックします 5 ポートグループの項目を選択し [ 編集 ] をクリックします 6 ポートグループのプロパティダイアログボックスで [ トラフィックシェーピング ] タブをクリックしますトラフィックシェーピングが無効である場合はオプションが淡色で表示されますオプションステータス平均バンド幅ピークバンド幅バーストサイズ説明 [ ステータス ] フィールドでポリシーの例外を有効にした場合はこの特定のポートグループに関連付けられた各仮想アダプタに割り当てるネットワークバンド幅の長さの制限を設定しますポリシーを無効にすると物理ネットワークへの制限のない接続サービスが可能になります一定の期間で測定された値バースト時の最大バンド幅を制限しますこれを平均バンド幅よりも小さい値にすることはできません可能なバースト転送のサイズをキロバイト (KB) 単位で指定します 50 VMware, Inc.

51 第 5 章高度なネットワーク dvport グループでのトラフィックシェーピングポリシーの編集 vnetwork 分散スイッチでは受信および送信の両方のトラフィックをシェーピングできますポートで使用できるネットワークバンド幅を制限できますがトラフィックのバーストがより高速にポートを通過できるように一時的に構成することもできます手順 1 vsphere Client でネットワークインベントリビューを表示し dvport グループを選択します 2 インベントリメニューから [ ネットワーク ] - [ 設定の編集 ] を選択します 3 [ トラフィックシェーピング ] を選択します 4 ポートグループのプロパティダイアログボックスで [ トラフィックシェーピング ] タブをクリックします入力側トラフィックシェーピングと出力側トラフィックシェーピングの両方を構成できますトラフィックシェーピングが無効である場合はオプションが淡色で表示されます注意ピークバンド幅は指定されている平均バンド幅よりも小さい値にすることはできませんオプションステータス平均バンド幅ピークバンド幅バーストサイズ説明 [ ステータス ] フィールドでポリシーの例外を有効にした場合はこの特定のポートグループに関連付けられた各仮想アダプタに割り当てるネットワークバンド幅の長さの制限を設定しますポリシーを無効にすると物理ネットワークへの制限のない接続サービスが可能になります一定の期間で測定された値バースト時の最大バンド幅を制限しますこれを平均バンド幅よりも小さい値にすることはできません可能なバースト転送のサイズをキロバイト (KB) 単位で指定します dvport トラフィックシェーピングポリシーの編集 vnetwork 分散スイッチでは受信および送信の両方のトラフィックをシェーピングできますポートで使用できるネットワークバンド幅を制限できますがトラフィックのバーストがより高速にポートを通過できるように一時的に構成することもできますトラフィックシェーピングポリシーは平均バンド幅ピークバンド幅およびバーストサイズの 3 つの特性によって定義されます開始する前に各 dvport でトラフィックシェーピングポリシーを編集するにはポリシーがオーバーライドされるよう関連付けられた dvport グループを設定する必要があります手順 1 vsphere Client にログインして vnetwork 分散スイッチを表示します 2 [ ポート ] タブで修正するポートを右クリックして [ 設定の編集 ] を選択します 3 [ ポリシー ] をクリックします VMware, Inc. 51

52 4 トラフィックシェーピンググループで入力側トラフィックシェーピングと出力側トラフィックシェーピングの両方を構成できますトラフィックシェーピングが無効である場合はオプションが淡色で表示されますオプションステータス平均バンド幅ピークバンド幅バーストサイズ説明 [ ステータス ] フィールドでポリシーの例外を有効にした場合はこの特定のポートグループに関連付けられた各仮想アダプタに割り当てるネットワークバンド幅の長さの制限を設定しますポリシーを無効にすると物理ネットワークへの制限のない接続サービスが可能になります一定の期間で測定された値バースト時の最大バンド幅を制限しますこれを平均バンド幅よりも小さい値にすることはできません可能なバースト転送のサイズをキロバイト (KB) 単位で指定します 5 [OK] をクリックしますポートブロックポリシーその他のポリシーダイアログボックスから dvport のブロックポリシーを設定します dvport グループでのポートブロックポリシーの編集その他のポリシーで dvport グループのポートブロックポリシーを設定します手順 1 vsphere Client でネットワークインベントリビューを表示し dvport グループを選択します 2 インベントリメニューから [ ネットワーク ] - [ 設定の編集 ] を選択します 3 [ その他 ] を選択します 4 目的の dvport グループで [ すべてのポートをブロック ] するかどうかを選択します dvport のポートブロックポリシーの編集その他のポリシーダイアログでは dvport のポートブロックポリシーを構成できます手順 1 vsphere Client にログインして vnetwork 分散スイッチを表示します 2 [ ポート ] タブで修正するポートを右クリックして [ 設定の編集 ] を選択します 3 [ ポリシー ] をクリックします 4 [ その他 ] グループの [ すべてのポートをブロック ] でブロックするかどうかを選択します 5 [OK] をクリックします DNS とルーティング構成の変更インストール中に提供された DNS サーバおよびデフォルトゲートウェイの情報を vsphere Client のホストの構成ページから変更できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [DNS およびルーティング ] をクリックします 3 ウィンドウの右側にある [ プロパティ ] をクリックします 52 VMware, Inc.

53 第 5 章高度なネットワーク 4 [DNS 構成 ] タブで名前とドメインを入力します 5 DNS サーバアドレスを自動的に取得するか特定の DNS サーバアドレスを使用するかを選択します 6 ホストを検索するドメインを指定します 7 必要に応じて [ ルーティング ] タブでデフォルトゲートウェイ情報を変更します 8 [OK] をクリックします MAC アドレス MAC アドレスはサービスコンソール VMkernel および仮想マシンで使用する仮想ネットワークアダプタ用に生成されますほとんどの場合は生成される MAC アドレスで問題ありませんただし次のような場合は仮想ネットワークアダプタの MAC アドレスを設定する必要があることがあります異なる物理ホストの仮想ネットワークアダプタで同一のサブネットを共有しそれらのアダプタに同じ MAC アドレスが割り当てられている場合この場合には競合が発生します仮想ネットワークアダプタに常に同じ MAC アドレスが割り当てられるようにする場合物理マシンあたり仮想ネットワークアダプタは 256 個までという制限および仮想マシン間における MAC アドレスの競合の可能性を避けるためシステム管理者は手動で MAC アドレスを割り当てることができます当社で手動生成アドレスに使用している OUI (Organizationally Unique Identifier) は 00:50:56 です MAC アドレスの範囲は 00:50:56:00:00:00-00:50:56:3F:FF:FF ですアドレスを設定するには仮想マシンの構成ファイルに次の行を追加します ethernet< 数値 >.address = 00:50:56:XX:YY:ZZ ここで < 数値 > はイーサネットアダプタの数 XX は 00 ~ 3F の有効な 16 進数 YY および ZZ は 00 ~ FF の有効な 16 進数を表します VMware Workstation および VMware Server 製品によって生成される MAC アドレスとの競合を避けるため XX の値を 3F より大きくすることはできません手動で生成する MAC アドレスの最大値は次のとおりです ethernet< 数値 >.address = 00:50:56:3F:FF:FF 仮想マシンの構成ファイルでもオプションを設定する必要があります ethernet< 数値 >.addresstype="static" VMware ESXi 仮想マシンでは任意の MAC アドレスはサポートしていないため前述の形式を使用する必要がありますハードコードされたアドレス間で XX:YY:ZZ に固有の値を選択しているかぎり自動で割り当てられる MAC アドレスと手動で割り当てる MAC アドレスとの間に競合が発生することはありません MAC アドレスの生成仮想マシンの各仮想ネットワークアダプタにはそれぞれ固有な MAC アドレスが割り当てられます各ネットワークアダプタメーカーには OUI (Organizationally Unique Identifier) という 3 バイトの固有なプリフィックスが割り当てられていますこのプリフィックスを使用して固有な MAC アドレスを生成できます当社には次の OUI があります生成された MAC アドレス手動で設定された MAC アドレスレガシー仮想マシン用 (ESXi では使用されなくなった ) 各仮想ネットワークアダプタに生成される MAC アドレスの最初の 3 バイトは OUI で構成されますこの MAC アドレス生成アルゴリズムによって残りの 3 バイトが生成されますこのアルゴリズムは MAC アドレスがマシン内で固有であることを保証し複数のマシン間で固有な MAC アドレスを提供できるように試みます VMware, Inc. 53

54 同一サブネット上の各仮想マシンのネットワークアダプタには固有な MAC アドレスを割り当てる必要がありますそうしないと予測できない動作が生じる場合がありますアルゴリズムでは所定のホストで同時に稼動およびサスペンドする仮想マシンの数が制限されていますまた別個の物理マシン上の仮想マシンでサブネットを共有するいずれの場合にもこのアルゴリズムは対応しません当社の UUID (Universally Unique Identifier) はすべての競合の有無が確認済みの MAC アドレスを生成します生成される MAC アドレスは 3 つの部分すなわち当社の OUI 物理 ESXi マシンの SMBIOS UUID および MAC アドレスが生成される対象のエンティティの名前に基づくハッシュを使用して作成されます MAC アドレスが生成されたあとは仮想マシンを同じサーバ上の異なるパスなど別の場所に移動しないかぎり生成された MAC アドレスは変更されません仮想マシンの構成ファイルにある MAC アドレスは確保されます所定の物理マシンで稼働中の仮想マシンおよびサスペンドされている仮想マシンのネットワークアダプタに割り当てられた MAC アドレスはすべて追跡されますパワーオフ状態の仮想マシンの MAC アドレスは稼働中またはサスペンドされている仮想マシンの MAC アドレスと照合されません再びパワーオンになった仮想マシンが異なる MAC アドレスを取得することがあります別の MAC アドレスの取得はこの仮想マシンがパワーオフだったときにパワーオンだった仮想マシンとの競合を避けるために行われます MAC アドレスの設定固定で割り当てられた MAC アドレスを使用するようにパワーオフ状態の仮想マシンの仮想 NIC を変更できます手順 1 vsphere Client にログインしてインベントリパネルから仮想マシンを選択します 2 [ サマリ ] タブをクリックし [ 設定の編集 ] をクリックします 3 ハードウェアリストからネットワークアダプタを選択します 4 MAC アドレスグループで [ 手動 ] を選択します 5 目的の固定 MAC アドレスを入力し [OK] をクリックします TCP セグメンテーションオフロードおよびジャンボフレームジャンボフレームはコマンドラインインターフェイスを使用して各 vswitch の MTU サイズを構成しホストレベルで有効にする必要があります TCP セグメンテーションオフロード (TSO) は VMkernel インターフェイスではデフォルトで有効になっていますが仮想マシンレベルで有効にする必要があります TSO の有効化 TSO を仮想マシンレベルで有効にするには既存の vmxnet 仮想ネットワークアダプタまたはフレキシブル仮想ネットワークアダプタを拡張 vmxnet 仮想ネットワークアダプタに置き換える必要がありますこれによって仮想ネットワークアダプタの MAC アドレスが変わることがあります拡張 vmxnet ネットワークアダプタを使用する TSO は次のゲスト OS を実行している仮想マシンでサポートされています Microsoft Windows 2003 Enterprise Edition with Service Pack 2 (32 ビットおよび 64 ビット ) Red Hat Enterprise Linux 4 (64 ビット ) Red Hat Enterprise Linux 5 (32 ビットおよび 64 ビット ) SuSE Linux Enterprise Server 10 (32 ビットおよび 64 ビット ) 54 VMware, Inc.

55 第 5 章高度なネットワーク仮想マシンでの TSO サポートの有効化仮想マシンの拡張 vmxnet アダプタを使用して仮想マシンでの TSO のサポートを有効にできます手順 1 vsphere Client にログインしてインベントリパネルから仮想マシンを選択します 2 [ サマリ ] タブをクリックし [ 設定の編集 ] をクリックします 3 ハードウェアリストからネットワークアダプタを選択します 4 ネットワークアダプタが使用しているネットワーク設定および MAC アドレスを記録します 5 [ 削除 ] をクリックして仮想マシンからネットワークアダプタを削除します 6 [ 追加 ] をクリックします 7 [ イーサネットアダプタ ] を選択し [ 次へ ] をクリックします 8 アダプタタイプグループで [ 拡張 vmxnet] を選択します 9 古いネットワークアダプタが使用していたネットワーク設定および MAC アドレスを選択し [ 次へ ] をクリックします 10 [ 終了 ] をクリックし [OK] をクリックします 11 仮想マシンがパワーオンするたびに VMware Tools をアップグレードするように設定されていない場合は手動で VMware Tools をアップグレードする必要があります TSO は VMkernel インターフェイスで有効です特定の VMkernel インターフェイスに対して TSO が無効になっている場合 TSO を有効にする唯一の方法はその VMkernel インターフェイスを削除してから TSO を有効にして VMkernel インターフェイスを再作成することですジャンボフレームの有効化ジャンボフレームを使用すると ESXi でより大きいフレームを物理ネットワークに送信できますそのためにはネットワークがエンドツーエンドでジャンボフレームをサポートしている必要があります最大 9kB (9,000 バイト ) のジャンボフレームがサポートされています ESXi の VMkernel ネットワークインターフェイスではジャンボフレームはサポートされていませんジャンボフレームは ESXi ホスト上でリモート CLI を使用して vswitch ごとに有効にする必要がありさらに vsphere Client の拡張 vmxnet ネットワークアダプタを選択して仮想マシンごとに有効にする必要がありますジャンボフレームを有効にする前に物理ネットワークアダプタがジャンボフレームをサポートしていることをハードウェアベンダーに確認してくださいジャンボフレーム対応の vswitch の作成 vswitch の MTU サイズを変更してジャンボフレームの vswitch を構成します手順 1 VMware vsphere CLI で vicfg-vswitch -m <MTU> <vswitch> コマンドを使用して vswitch の MTU サイズを設定しますこのコマンドは vswitch 上のすべてのアップリンクに対して MTU を設定します MTU サイズは vswitch に接続されているすべての仮想ネットワークアダプタ間で最大の MTU サイズに設定します 2 vicfg-vswitch -l コマンドを使用してホスト上の vswitch のリストを表示し vswitch の構成が正しいことを確認します VMware, Inc. 55

56 vnetwork 分散スイッチでのジャンボフレームの有効化 vnetwork 分散スイッチの MTU サイズを変更してジャンボフレームの vnetwork 分散スイッチを有効にします手順 1 vsphere Client でネットワークインベントリビューを表示し vnetwork 分散スイッチを選択します 2 インベントリメニューから [ 分散仮想スイッチ ] - [ 設定の編集 ] を選択します 3 [ プロパティ ] タブで [ 詳細 ] を選択します 4 [MTU の最大サイズ ] は vnetwork 分散スイッチに接続されているすべての仮想ネットワークアダプタ間で最大の MTU サイズに設定し [OK] をクリックします仮想マシンでのジャンボフレームサポートの有効化仮想マシンでジャンボフレームのサポートを有効にするにはその仮想マシンの拡張 vmxnet アダプタが必要です手順 1 vsphere Client にログインしてインベントリパネルから仮想マシンを選択します 2 [ サマリ ] タブをクリックし [ 設定の編集 ] をクリックします 3 ハードウェアリストからネットワークアダプタを選択します 4 ネットワークアダプタが使用しているネットワーク設定および MAC アドレスを記録します 5 [ 削除 ] をクリックして仮想マシンからネットワークアダプタを削除します 6 [ 追加 ] をクリックします 7 [ イーサネットアダプタ ] を選択し [ 次へ ] をクリックします 8 アダプタタイプグループで [ 拡張 vmxnet] を選択します 9 古いネットワークアダプタが使用していたネットワークを選択し [ 次へ ] をクリックします 10 [ 終了 ] をクリックします 11 ハードウェアリストから新規のネットワークアダプタを選択します 12 MAC アドレスで [ 手動 ] を選択し古いネットワークアドレスが使用していた MAC アドレスを入力します 13 [OK] をクリックします 14 拡張 vmxnet アダプタがジャンボフレーム対応の vswitch に接続されていることを確認します 15 ゲスト OS 内でジャンボフレームを使用できるようにネットワークアダプタを構成します詳細についてはゲスト OS のドキュメントを参照してください 16 ジャンボフレームをサポートするようにこの仮想マシンが接続するすべての物理スイッチおよび物理マシンまたは仮想マシンを構成します 56 VMware, Inc.

57 第 5 章高度なネットワーク NetQueue とネットワークパフォーマンス ESXi の NetQueue はネットワークアダプタのいくつかの機能を利用して個別に処理可能な複数の受信キューのシステムにネットワークトラフィックを提供しますこれによって処理をマルチ CPU に拡張し受信側のネットワークパフォーマンスを向上させることができます ESXi ホストでの NetQueue の有効化 NetQueue はデフォルトで有効になっています一度無効にした NetQueue を使用するには再度有効にする必要があります手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ソフトウェア ] メニューの [ 詳細設定 ] をクリックします 3 [VMkernel] を選択します 4 [VMkernel.Boot.netNetQueueEnable] を選択し [OK] をクリックします 5 VMware vsphere CLI を使用して NIC ドライバが NetQueue を使用するように構成します VMware vsphere Command-Line Interface Installation and Reference ガイドを参照してください 6 ESXi ホストを再起動します ESXi ホストでの NetQueue の無効化 NetQueue はデフォルトで有効になっています手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ 詳細設定 ] をクリックします 3 [VMkernel.Boot.netNetQueueEnable] を選択解除して [OK] をクリックします 4 NIC ドライバの NetQueue を無効にするには vicfg-module -s "" [ モジュール名 ] コマンドを使用しますたとえば s2io NIC ドライバを使用している場合は vicfg-module -s "" s2io を使用します VMware vsphere CLI の詳細については VMware vsphere Command-Line Interface Installation and Reference ガイドを参照してください 5 ホストを再起動します VMDirectPath Gen I vsphere 4 では ESXi は Intel Nehalem プラットフォームで稼動している仮想マシンに対する PCI デバイスの直接接続をサポートしています各仮想マシンは最大 2 つのパススルーデバイスに接続できます VMDirectPath で構成されている仮想マシンでは次の機能は使用できません VMotion 仮想デバイスのホットアドおよび削除サスペンドおよびレジューム記録および再生フォールトトレランス VMware, Inc. 57

58 高可用性 DRS ( 可用性の制限 : 仮想マシンはクラスタの一部にすることは可能ですがホスト間では移行できません ) ホストでのパススルーデバイスの構成ホストでパススルーネットワークデバイスを構成できます手順 1 vsphere Client のインベントリパネルからホストを選択します 2 [ 構成 ] タブで [ 詳細設定 ] をクリックしますパススルー構成ページが表示され使用できるパススルーデバイスがリスト表示されます緑色のアイコンはデバイスが有効でアクティブであることを示していますオレンジ色のアイコンはデバイスの状態が変化しておりデバイスを使用する前にホストを再起動しなければならないことを示しています 3 [ 編集 ] をクリックします 4 パススルーで使用するデバイスを選択し [OK] をクリックします仮想マシンでの PCI デバイスの構成仮想マシンのパススルー PCI デバイスを構成できます手順 1 vsphere Client のインベントリパネルから仮想マシンを選択します 2 [ インベントリ ] メニューから [ 仮想マシン ] - [ 設定の編集 ] を選択します 3 [ ハードウェア ] タブで [ 追加 ] をクリックします 4 [PCI デバイス ] を選択し [ 次へ ] をクリックします 5 使用するパススルーデバイスを選択し [ 次へ ] をクリックします 6 [ 終了 ] をクリックします仮想マシンに VMDirectPath デバイスを追加すると仮想マシンのメモリサイズにメモリ予約の値が設定されます 58 VMware, Inc.

59 ネットワークのベストプラクティスシナ 6 リオおよびトラブルシューティングこれらのトピックスではネットワークのベストプラクティスと一般的な構成についておよびトラブルシューティングのシナリオについて説明しますこの章では次のトピックについて説明しますネットワークのベストプラクティス (P. 59) NFS ボリュームのマウント (P. 60) トラブルシューティング (P. 60) ネットワークのベストプラクティスネットワークの構成については次のベストプラクティスを考慮してくださいネットワークサービスをそれぞれ分離してセキュリティとパフォーマンスを向上します特定の仮想マシン一式を最高のパフォーマンスレベルで機能させるにはそれらのマシンを個別の物理 NIC に配置しますこの分離によってネットワークワークロードの一部を複数の CPU 間でより均等に分散させることができますこうして隔離された仮想マシンはたとえば Web クライアントからのトラフィックをより多く処理できます VMotion 接続は VMotion 専用ネットワークを個別に保持してください VMotion での移行が行われるとゲスト OS のメモリの内容がネットワークで転送されますこれは VLAN を使用して 1 つの物理ネットワークをセグメント化するか個別の物理ネットワークを使用することによって実行できます ( 後者の方法をお勧めします ) バージョン以前の Linux カーネルでパススルーデバイスを使用している場合は MSI および MSI-X モードを使用しないでくださいこれらのモードにするとパフォーマンスに重大な影響を及ぼしますこの方法が不可能な場合は異なる VLAN ID を持つポートグループに各ネットワークサービスを接続することにより 1 つの vswitch にあるネットワークサービスを分離しますいずれの方法でも選択したネットワークまたは VLAN が環境内のほかの部分から分離されていることおよびそれらのネットワークまたは VLAN にルータが接続されていないことをネットワーク管理者に確認してください vswitch の内側で稼動する仮想マシンまたはネットワークサービスに影響を与えずにその vswitch の NIC を追加したり削除したりすることができます実行中のハードウェアをすべて削除しても仮想マシン同士は互いに通信できますさらに 1 つの NIC を残しておくとすべての仮想マシンが物理ネットワークに接続できます最も機密性の高い仮想マシンを保護するには物理ネットワークへのアップリンクを使用する仮想ネットワークとアップリンクを使用しない純粋な仮想ネットワークとの間のルーティングを制御するファイアウォールを仮想マシンにデプロイします VMware, Inc. 59

60 NFS ボリュームのマウント ESXi では ESXi が仮想マシンの仮想 CD-ROM として使用される ISO イメージの NFS ストレージにどのようにアクセスするかを示すモデルは ESX Server 2.x で使用されているモデルと異なります ESXi では VMkernel ベースの NFS マウントをサポートしています新規モデルでは VMkernel NFS 機能を通じて ISO イメージを伴う NFS ボリュームをマウントしますこの方法でマウントされたすべての NFS ボリュームは vsphere Client のデータストアとして表示されます仮想マシン構成エディタを使用すると仮想 CD-ROM デバイスとして使用される ISO イメージ用のサービスコンソールファイルシステムを参照できますトラブルシューティング次のトピックでは ESXi 環境で発生する可能性のある一般的なネットワーク問題のトラブルシューティングについて説明します物理スイッチの構成に関するトラブルシューティングフェイルオーバーまたはフェイルバックイベントの発生時に vswitch の接続が切断される可能性がありますこの場合その vswitch に関連付けた仮想マシンの MAC アドレスが異なるスイッチポートに表示されますこの問題が発生しないようにするには物理スイッチを PortFast モードまたは PortFast trunk モードにしますポートグループの構成に関するトラブルシューティング仮想マシンがすでに接続されているポートグループの名前を変更するとそのポートグループに接続するよう構成されている仮想マシンのネットワーク構成が無効になります仮想ネットワークアダプタからポートグループへの接続は仮想マシン構成に保存されている名前によって実行されますポートグループの名前を変更してもそのポートグループに接続されているすべての仮想マシンを大きく再構成することにはなりませんすでにパワーオンされている仮想マシンはネットワークへの接続がすでに確立しているためパワーオフされるまで引き続き機能します使用されていたネットワークの名前を変更することは避けてくださいポートグループの名前を変更したら関連する各仮想マシンをサービスコンソールを使用して再構成し新しいポートグループ名を反映させる必要があります 60 VMware, Inc.

61 ストレージ VMware, Inc. 61

62 62 VMware, Inc.

63 ストレージの概要 7 ここでは ESXi で使用できるストレージオプションについておよびさまざまなタイプのストレージを使用および管理できるように ESXi システムを構成する方法について説明しますこの章では次のトピックについて説明します ESXi ストレージについて (P. 63) 物理ストレージのタイプ (P. 64) サポート対象のストレージアダプタ (P. 65) ターゲットとデバイスの表現 (P. 66) ESXi データストアについて (P. 68) ストレージのタイプの比較 (P. 71) vsphere Client でのストレージ情報の表示 (P. 72) ESXi ストレージについて ESXi ストレージはローカルやネットワーク接続などさまざまな物理ストレージシステム上のストレージ領域ですホストが仮想マシンディスクを格納するために使用します仮想マシンは仮想ハードディスクを使用してオペレーティングシステムプログラムファイルおよびアクティビティに関連するその他のデータを格納します仮想ディスクはサイズの大きな物理ファイルまたはファイルのセットでありほかのファイル同様容易にコピー移動アーカイブバックアップできます仮想ディスクファイルを格納してファイルを操作するにはホストにストレージ領域が必要ですホストはホストの内部および外部のデバイスまたはネットワークストレージなどさまざまな物理ストレージシステム上のストレージ領域をデータの格納や保護の特定のタスクに専用に使用しますホストはアクセス権があるストレージデバイスを検出してデータストアとしてフォーマットできますデータストアとは論理ボリューム上のファイルシステムに似た特殊な論理コンテナです ESXi はここに仮想マシンの必須コンポーネントをカプセル化した仮想ディスクファイルおよびその他のファイルを配置します異なるデバイスに置かれたデータストアは各ストレージ製品の仕様を隠し仮想マシンファイルを格納するための統一モデルを提供します vsphere Client を使用するとホストが検出するあらゆるストレージデバイス上にデータストアを設定できますまた組織化する目的およびデータストアグループ間で権限およびアラームを設定する目的でフォルダを使用してデータストアの論理グループを作成できます VMware, Inc. 63

64 物理ストレージのタイプ ESXi ストレージ管理プロセスはストレージ管理者が別々のストレージシステムに対して事前に割り当てたストレージ領域を使用して開始されます ESXi は次のタイプのストレージをサポートしていますローカルストレージネットワークストレージホストに直接接続された内部または外部のストレージディスクまたはアレイ上に仮想マシンファイルを格納しますホストの外部にある外部の共有システム上に仮想マシンファイルを格納しますホストは高速ネットワークを介してネットワークデバイスと通信しますローカルストレージローカルストレージは ESXi ホスト内にある内部ハードディスクまたはホスト外にあってホストに直接接続する外部ストレージシステムとなりますローカルストレージにはホストと通信するストレージネットワークが必要ありませんストレージユニットに接続するケーブルと必要に応じてホスト内の互換性のある HBA のみが必要です一般的には複数のホストを単一のローカルストレージシステムに接続できます接続するホストの実際の数は使用するストレージデバイスとトポロジのタイプによって異なります多くのローカルストレージシステムはフォールトトレランスを行うために冗長接続パスをサポートしています複数のホストがローカルストレージデバイスに接続する場合は非共有モードでストレージ LUN にアクセスします非共有モードでは複数のホストは同じ VMFS データストアに同時にアクセスできませんただし一部の SAS ストレージシステムでは複数のホストへのアクセスが共有できますこのタイプのアクセスでは複数のホストが LUN の同じ VMFS データストアにアクセスできます ESXi は SCSI IDE SATA USB および SAS ストレージシステムなどさまざまな内部または外部のローカルストレージデバイスをサポートしています使用するストレージのタイプにかかわらずホストは仮想マシンから物理ストレージレイヤーを隠蔽しますローカルストレージを設定する場合は次の内容を考慮してください IDE または ATA ドライブを使用して仮想マシンを格納できません内部および外部のローカル SATA ストレージは非共有モードでのみ使用します SATA ストレージは複数のホスト間での同じ LUN ( つまり同じ VMFS データストア ) の共有をサポートしていません一部の SAS ストレージシステムでは複数のホスト間での同じ LUN ( つまり同じ VMFS データストア ) へのアクセスを共有できます 64 VMware, Inc.

65 第 7 章ストレージの概要ネットワークストレージネットワークストレージとは ESXi ホストが仮想マシンファイルをリモートに格納するために使用する外部ストレージシステムからなりますホストは高速ストレージネットワークを介してこれらのシステムにアクセスします ESXi は次のネットワークストレージテクノロジーをサポートしています注意異なる転送プロトコル (iscsi とファイバチャネルなど ) を使用して同じストレージに同時にアクセスすることはサポートされていませんファイバチャネル (FC) FC ストレージエリアネットワーク (SAN) 上でリモートに仮想マシンファイルを格納します FC SAN はホストを高性能なストレージデバイスに接続する特別な高速ネットワークですこのネットワークはファイバチャネルプロトコルを使用して仮想マシンから FC SAN デバイスに SCSI トラフィックを転送します FC SAN に接続するにはホストにファイバチャネル HBA ( ホストバスアダプタ ) が搭載されている必要がありますまたファイバチャネル直接接続ストレージを使用する場合を除きストレージトラフィックのルーティングに使用されるファイバチャネルスイッチも必要ですインターネット SCSI (iscsi) リモート iscsi ストレージデバイスに仮想マシンファイルを格納します iscsi は TCP/IP プロトコルに SCSI ストレージトラフィックをパッケージ化することにより専用の FC ネットワークではなく標準 TCP/IP ネットワークを介して送信できるようにします iscsi 接続ではホストはリモート iscsi ストレージシステムに配置されているターゲットと通信するイニシエータとして機能します ESXi は次のタイプの iscsi 接続をサポートしていますハードウェア起動 iscsi ソフトウェア起動 iscsi ホストはサードパーティの iscsi HBA を介してストレージに接続しますホストは VMkernel のソフトウェアベースの iscsi イニシエータを使用してストレージに接続しますこのタイプの iscsi 接続ではホストはネットワーク接続のために標準ネットワークアダプタのみを必要としますネットワーク接続型ストレージ (NAS) 標準 TCP/IP ネットワークを介してアクセスするリモートファイルサーバ上に仮想マシンファイルを格納します ESXi に組み込まれた NFS クライアントは NFS (Network File System) プロトコルバージョン 3 を使用して NAS/NFS サーバと通信しますネットワーク接続するにはホストで標準ネットワークアダプタが必要ですサポート対象のストレージアダプタストレージアダプタは ESXi ホストに特定のストレージユニットまたはネットワークに対する接続を提供します使用しているストレージのタイプによってはホスト上にストレージアダプタをインストールしたり有効にしたりする必要があります ESXi は SCSI iscsi RAID ファイバチャネルイーサネットなどさまざまなクラスのアダプタをサポートしています ESXi は VMkernel のデバイスドライバを介してアダプタに直接アクセスします VMware, Inc. 65

66 ターゲットとデバイスの表現 ESXi の文脈ではターゲットという語はホストがアクセスできる 1 つのストレージユニットを表しますデバイスおよび LUN という語はターゲット上のストレージ領域を表す論理ボリュームを意味しています一般的に ESXi の文脈ではデバイスおよび LUN という語はストレージターゲットからホストに表示される SCSI ボリュームを意味しておりフォーマットに使用できますストレージベンダーが異なると ESXi ホストに対して異なる方法でストレージシステムを表示します複数のストレージデバイスまたは LUN を 1 つのターゲットで表示するベンダーもありますが 1 つの LUN を複数のターゲットで表示するベンダーもあります図 7-1. ターゲットと LUN の表現ターゲットターゲットターゲットターゲット LUN LUN LUN LUN LUN LUN ストレージアレイストレージアレイこの図では各構成において 3 つの LUN を使用できます一方のケースではホストから 1 つのターゲットが見えそのターゲットには使用可能な LUN が 3 つありますそれぞれの LUN は個別のストレージボリュームを意味しますもう一方の例ではホストから 3 つの異なるターゲットが見えそれぞれに LUN が 1 つありますネットワークを介してアクセスされるターゲットにはストレージシステムによって提供される一意の名前があります iscsi ターゲットは iscsi 名を使用しますがファイバチャネルターゲットは World Wide Name (WWN) を使用します注意 ESXi では異なる転送プロトコル (iscsi とファイバチャネルなど ) を使用して同じ LUN にアクセスすることはサポートされていませんデバイスつまり LUN は UUID 名で識別されますファイバチャネルの命名についてファイバチャネル SAN では World Wide Name (WWN) はネットワーク内の各要素 ( ファイバチャネルアダプタやストレージデバイスなど ) を一意に識別します WWN は 16 進法の数値で構成される 64 ビットのアドレスで次のように見えます 20:00:00:e0:8b:8b:38:77 21:00:00:e0:8b:8b:38:77 WWN はメーカーによってファイバチャネルのすべての SAN 要素に割り当てられています 66 VMware, Inc.

67 第 7 章ストレージの概要 iscsi の命名およびアドレッシングについて iscsi ネットワークではネットワークを使用する iscsi の各要素は一意で永続的な iscsi 名を持っておりアクセスするためのアドレスが割り当てられています iscsi 名物理的な場所に関係なく特定の iscsi 要素を識別します iscsi 名には IQN または EUI 形式を使用できます IQN (iscsi 修飾名 ) 長さは最大 255 文字で次の形式になります iqn.yyyy-mm.naming-authority:unique name yyyy-mm は命名機関が設立された年と月です naming-authority は通常命名機関のインターネットドメイン名の逆の構文ですたとえば iscsi.vmware.com という命名機関で iscsi 修飾名形式が iqn com.vmware.iscsi としますこの名前は vmware.com のドメイン名が 1998 年 1 月に登録されサブドメインが iscsi で vmware.com によって管理されているということを表します unique name は使用する任意の名前です ( ホスト名など ) 命名機関ではコロンの後ろに割り当てた名前が次のように一意であることを確認する必要があります iqn com.vmware.iscsi:name1 iqn com.vmware.iscsi:name2 iqn com.vmware.iscsi:name999 EUI ( 拡張された一意識別子 ) eui. というプリフィックスとそれに続く 16 文字の名前を含みます名前には IEEE によって割り当てられた 24 ビットの会社名とシリアル番号などの 40 ビットの一意な ID が含まれます次に例を示します eui abcdef iscsi エイリアス IP アドレス iscsi 名の代わりに使用される管理しやすく覚えやすい名前 iscsi エイリアスは一意ではなくわかりやすい名前にするためにノードに関連付けられます各 iscsi 要素に関連付けられているアドレスでネットワーク上のルーティングおよびスイッチングの機器がホストやストレージなどのさまざまな要素間で接続を確立できるようにしますこれは企業内ネットワークまたはインターネットにアクセスする際にコンピュータに割り当てる IP アドレスと同様です VMware, Inc. 67

68 ストレージデバイスの命名について vsphere Client ではそれぞれのストレージデバイスつまり LUN はわかりやすい名前 UUID ランタイム名などのいくつかの名前で識別されます名前識別子ランタイム名 ESXi ホストがストレージタイプおよびメーカーを基にデバイスに割り当てたわかりやすい名前 vsphere Client を使用してこの名前を変更できますある 1 台のホストのデバイス名を変更した場合その変更はそのデバイスにアクセスするすべてのホストに適用されますデバイスに割り当てたあらゆる場所において一意の ID ストレージのタイプによって異なるアルゴリズムを使用して識別子が作成されますこの識別子は再起動しても変わらずデバイスを共有しているすべてのホストで同じですデバイスに対する最初のパス名ランタイム名はホストによって作成されるものでデバイスにとっては正確な名前ではなく永続的な名前でもありませんランタイム名の形式は次のようになります vmhba#:c#:t#:l#, vmhba# はストレージアダプタの名前ですこの名前は仮想マシンで使用される SCSI コントローラではなくホストの物理アダプタを表します C# はストレージチャネルの番号ですソフトウェア iscsi イニシエータはチャネル番号を使用して同じターゲットへの複数のパスを表します T# はターゲット番号ですターゲットの番号付けはホストによって決定されますがホストに表示されるターゲットのマッピングが変わると番号付けも変わることがあります複数の ESXi ホストで共有しているターゲットは同じターゲット番号を持たないことがあります L# はターゲット内の LUN の場所を表す LUN の番号です LUN 番号はストレージシステムによって提供されますターゲットに 1 つの LUN しかない場合 LUN 番号は常にゼロ (0) になりますたとえば vmhba1:c0:t3:l1 はストレージアダプタ vmhba1 とチャネル 0 を介してアクセスされるターゲット 3 上の LUN1 を表します ESXi データストアについてデータストアとはファイルシステムに似た論理コンテナで各ストレージデバイスの仕様を隠し仮想マシンファイルを格納するための一貫したモデルを提供しますデータストアは ISO イメージ仮想マシンテンプレートおよびフロッピーイメージの格納にも使用できます vsphere Client を使用して ESXi ホストが検出したさまざまなタイプのストレージデバイスにアクセスしその上にデータストアをデプロイします 68 VMware, Inc.

69 第 7 章ストレージの概要使用するストレージのタイプによって次のファイルシステムフォーマットでデータストアをバックアップすることができます仮想マシンファイルシステム (VMFS) ネットワークファイルシステム (NFS) 仮想マシンの格納用に最適化されている高度なパフォーマンスのファイルシステムホストはファイバチャネルや iscsi SAN 装置など SCSI ベースのローカルまたはネットワーク接続された任意のストレージデバイス上に VMFS データストアをデプロイできます VMFS データストアを使用しない場合は仮想マシンから RAW デバイスに直接アクセスしてマッピングファイル (RDM) をプロキシとして使用できます NAS ストレージデバイス上のファイルシステム ESXi は NFS version 3 over TCP/IP のみをサポートしていますホストは NFS サーバに配置されている指定の NFS ボリュームにアクセスしこのボリュームをマウントしてストレージの必要に応じてこのボリュームを使用できます VMFS データストア ESXi は SCSI ベースのストレージデバイスを VMFS データストアとしてフォーマットできます VMFS データストアは主に仮想マシンのリポジトリとして機能します 1 つの VMFS ボリュームに複数の仮想マシンを格納できます各仮想マシンはファイルセットにカプセル化され 1 つの独立したディレクトリに格納されます VMFS は仮想マシン内のオペレーティングシステム向けに内部ファイルシステムのセマンティックを保持しますこれにより仮想マシンで動作するアプリケーションの正常な動作やデータの整合性が保障されますまた VMFS データストアを使用して仮想マシンテンプレートおよび ISO イメージなどその他のファイルを格納できます VMFS は次に示すファイルサイズやブロックサイズをサポートしていますこれにより仮想マシンはデータベース ERP CRM など大量のデータ処理が必要なアプリケーションを実行できます仮想ディスクの最大サイズ : 2TB (8MB ブロックサイズ ) ファイルの最大サイズ : 2TB (8MB ブロックサイズ ) ブロックサイズ : 1MB ( デフォルト ) 2MB 4MB 8MB VMFS データストアの作成と拡張 VMFS データストアは ESXi ホストが検出する SCSI ベースのストレージデバイス上に設定できます VMFS データストアの作成後そのプロパティを編集できます 1 つのシステムにつき 1.2GB 以上のボリュームサイズの VMFS データストアを最大 256 個保持できます注意各 LUN に作成できる VMFS データストアは 1 つだけです VMFS データストアがより多くの領域を必要とする場合は VMFS ボリュームを増やすことができますあらゆる VMFS データストアに新しいエクステントを動的に追加し 64TB までデータストアを拡張できますエクステントは物理ストレージデバイス上の LUN またはパーティションですデータストアは複数のエクステントに拡張できますが単一のボリュームとして扱われますデータストアが存在しているストレージデバイスに空き領域がある場合は既存のデータストアのエクステントを増やすという方法もあります 2TB までエクステントを拡張できます VMware, Inc. 69

70 ESXi ホスト間の VMFS ボリュームの共有 VMFS はクラスタファイルシステムであるため複数の ESXi ホストが同じ VMFS データストアへ同時にアクセスすることが可能です 1 つの VMFS ボリュームには最大 32 のホストが接続できます図 7-2. ホスト間の VMFS ボリュームの共有ホスト A ホスト B ホスト C VM1 VM2 VM3 VMFS ボリューム disk1 disk2 disk3 仮想ディスクファイル同じ仮想マシンに複数のサーバが同時アクセスするのを防ぐために VMFS にはオンディスクロック機能があります複数のホスト間で同じ VMFS ボリュームを共有すると次のようなメリットがあります VMware Distributed Resource Scheduling および VMware High Availability を使用できます仮想マシンを複数の物理サーバに分散できますつまり各サーバ上で複数の仮想マシンを実行できるため同時に同じ箇所に大きな負荷が集中することがなくなりますサーバに障害が発生しても別の物理サーバ上で仮想マシンを再起動できます障害が発生すると各仮想マシンのオンディスクロックは解除されます VMotion を使用して稼働中の仮想マシンを物理サーバ間で移行できます VMware Consolidated Backup を使用できます VMware Consolidated Backup により VCB プロキシと呼ばれるプロキシサーバはパワーオン状態の仮想マシンがストレージの読み出しまたは書き込みを実行しているときに仮想マシンのスナップショットをバックアップできます NFS データストア ESXi は NAS サーバに配置された指定の NFS ボリュームにアクセスしそのボリュームをマウントしてストレージの必要に応じてボリュームを使用できます NFS ボリュームを使用して VMFS データストアと同様に仮想マシンの格納および起動が可能です ESXi は NFS ボリューム上の次の共有ストレージ機能をサポートしています VMotion VMware DRS および VMware HA 仮想マシンに CD-ROM として提供される ISO イメージ仮想マシンのスナップショット 70 VMware, Inc.

71 第 7 章ストレージの概要仮想マシンからストレージへのアクセス方法仮想マシンはデータストアに格納された仮想ディスクと通信する際に SCSI コマンドを発行しますデータストアはさまざまなタイプの物理ストレージに存在するためこれらのコマンドは ESXi ホストがストレージデバイスへの接続に使用するプロトコルに応じて別の形式にカプセル化されます ESXi はファイバチャネル (FC) インターネット SCSI (iscsi) および NFS プロトコルをサポートしていますホストで使用するストレージデバイスのタイプにかかわらず仮想ディスクは仮想マシンでは常にマウントされた SCSI デバイスとして表示されます仮想ディスク環境では仮想マシンのオペレーティングシステムから物理ストレージレイヤーを隠蔽しますこれにより SAN などの特定のストレージ装置で認定されていないオペレーティングシステムを仮想マシン内で実行できます図 7-3 に異なるタイプのストレージを使用する 5 台の仮想マシンから各タイプの違いを示します図 7-3. さまざまなタイプのストレージにアクセスする仮想マシンホスト TCP/IP 接続が必要仮想マシン仮想マシン仮想マシン仮想マシン仮想マシンローカルイーサネット SCSI ソフトウェア VMFS ファイバチャネル HBA iscsi ハードウェアイニシエータイニシエータイーサネット NIC イーサネット NIC キー SAN LAN LAN LAN 物理ディスクデータストア仮想ディスク VMFS VMFS NFS ファイバアレイ iscsi アレイ NAS アプライアンス注意この図は概念を示す目的で使用します推奨する構成ではありませんストレージのタイプの比較 vsphere の特定の機能がサポートされるかどうかは使用するストレージのテクノロジーによって決まります表 7-1 で ESXi がサポートするネットワークストレージテクノロジーを比較します表 7-1. ESXi がサポートするネットワークストレージテクノロジープロトコル転送インターフェイスファイバチャネル FC/SCSI データ /LUN のブロックアクセス FC HBA iscsi IP/SCSI データ /LUN のブロックアクセス iscsi HBA ( ハードウェア起動 iscsi) NIC ( ソフトウェア起動 iscsi) NAS IP/NFS ファイル ( 直接 LUN アクセスなし ) NIC 表 7-2 はさまざまなタイプのストレージでサポートしている vsphere の機能について比較しています VMware, Inc. 71

72 表 7-2. ストレージでサポートされる vsphere の機能ストレージタイプ仮想マシンの起動 VMotion データストア RDM 仮想マシンクラスタ VMware HA および DRS VCB ローカルストレージファイバチャネル可不可 VMFS 不可不可不可可可可 VMFS 可可可可 iscsi 可可 VMFS 可可可可 NAS over NFS 可可 NFS 不可不可可可 vsphere Client でのストレージ情報の表示 vsphere Client にはストレージアダプタデバイスおよび使用できるすべてのデータストアに関する詳細な情報が表示されますストレージアダプタの表示さまざまなストレージデバイスにアクセスするためにホストでストレージアダプタを使用します使用可能なストレージアダプタを表示してそれらの情報を確認できます表 7-3 には各アダプタの詳細を表示すると確認できる情報について示しています iscsi などの特定のアダプタではこれらの情報を表示する前に構成または有効化しておく必要があります表 7-3. ストレージアダプタの情報アダプタ情報モデルターゲット ( ファイバチャネルおよび SCSI) 接続中のターゲット (iscsi) 説明アダプタのモデルアダプタを介してアクセスしたターゲット数 iscsi アダプタ上で接続中のターゲットの数 WWN ( ファイバチャネル ) FC アダプタを一意に識別するファイバチャネルの基準に従って形式化された World Wide Name iscsi 名 (iscsi) iscsi エイリアス (iscsi) IP アドレス ( ハードウェア iscsi) 検出方法 (iscsi) iscsi アダプタを識別する iscsi の基準に従って形式化された一意の名前 iscsi 名のかわりに使用されるわかりやすい名前 iscsi アダプタに割り当てられているアドレス iscsi アダプタが使用して iscsi のターゲットにアクセスする検出方法デバイスアダプタがアクセスできるすべてのストレージデバイスまたは LUN パスアダプタが使用してストレージデバイスにアクセスするためのすべてのパスストレージアダプタ情報の表示ホストで使用するストレージアダプタを表示してこれらの情報を確認できます手順 1 インベントリで [ ホストおよびクラスタ ] を選択します 2 ホストを選択し [ 構成 ] タブをクリックします 3 ハードウェアで [ ストレージアダプタ ] を選択します 4 特定のアダプタの詳細を表示するにはストレージアダプタリストからアダプタを選択します 72 VMware, Inc.

73 第 7 章ストレージの概要 5 アダプタがアクセスできるすべてのストレージデバイスを一覧で表示するには [ デバイス ] をクリックします 6 アダプタが使用するすべてのパスを一覧で表示するには [ パス ] をクリックしますクリップボードへのストレージアダプタ識別子のコピーストレージアダプタで iscsi 名や WWN などの一意の識別子を使用している場合にはそれらの識別子を UI からクリップボードへ直接コピーできます手順 1 インベントリで [ ホストおよびクラスタ ] を選択します 2 ホストを選択し [ 構成 ] タブをクリックします 3 ハードウェアで [ ストレージアダプタ ] を選択します 4 ストレージアダプタのリストからアダプタを選択します 5 詳細パネルで名前フィールドの値を右クリックし [ コピー ] を選択しますストレージデバイスの表示ローカルデバイスやネットワークデバイスもすべて含めてホストで使用できるすべてのストレージデバイスまたは LUN を表示できますサードパーティのマルチパスプラグインを使用している場合はプラグインを介して使用できるストレージデバイスもリストに表示されます各ストレージアダプタについてこのアダプタでのみ使用できるストレージデバイスの個別のリストを表示できます一般的にストレージデバイスのリストを確認する場合には次の情報が表示されますストレージデバイスの情報名前説明 ESXi ホストがストレージタイプおよびメーカーに基づいてデバイスに割り当てたわかりやすい名前この名前は任意の名前に変更できます識別子デバイスに固有なあらゆる場所において一意の ID ランタイム名 LUN デバイスに対する最初のパス名ターゲット内の LUN の場所を表す LUN 番号タイプデバイスのタイプ ( ディスク CD-ROM など ) 転送容量所有者ホストがデバイスにアクセスするために使用する転送プロトコルストレージデバイスの容量の合計 NMP やサードパーティのプラグインなどホストがストレージデバイスを管理するために使用するプラグイン各ストレージデバイスの詳細には次の情報が含まれています /vmfs/devices/ ディレクトリにあるストレージデバイスへのパスプライマリおよび論理パーティションおよび構成されている場合は VMFS データストアホストのストレージデバイスの表示ホストで使用可能なすべてのストレージデバイスまたは LUN を表示できますサードパーティのマルチパスプラグインを使用している場合はプラグインを介して使用できるストレージデバイスもリストに表示されます手順 1 インベントリで [ ホストおよびクラスタ ] を選択します 2 ホストを選択し [ 構成 ] タブをクリックします 3 ハードウェアで [ ストレージ ] を選択します VMware, Inc. 73

74 4 [ デバイス ] をクリックします 5 特定のデバイスについてその他の詳細を表示するにはリストからデバイスを選択しますアダプタのストレージデバイスの表示ホスト上の特定のストレージアダプタにアクセスできるストレージデバイスのリストを表示できます手順 1 インベントリで [ ホストおよびクラスタ ] を選択します 2 ホストを選択し [ 構成 ] タブをクリックします 3 ハードウェアで [ ストレージアダプタ ] を選択します 4 ストレージアダプタのリストからアダプタを選択します 5 [ デバイス ] をクリックしますクリップボードへのストレージデバイス識別子のコピーストレージデバイス識別子はストレージデバイスまたは LUN に割り当てられるあらゆる場所において一意の ID ですストレージのタイプによって異なるアルゴリズムを使用して識別子が作成されるため識別子は長くて複雑になることがありますストレージデバイス識別子は UI から直接コピーできます手順 1 ストレージデバイスのリストを表示します 2 デバイスを右クリックし [ 識別子をクリップボードにコピー ] を選択しますデータストアの表示ホストで使用できるすべてのデータストアを表示しそれらのプロパティを分析できますデータストアは次の方法で vsphere Client に追加されます使用可能なストレージデバイスに作成ホストがインベントリに追加されたときに検出ホストをインベントリに追加するとホストで使用可能なデータストアが vsphere Client に表示されます vsphere Client が vcenter Server システムに接続している場合データストアビューにデータストアの情報を表示できますこのビューにはインベントリのすべてのデータストアがデータセンターごとに表示されますこのビューではフォルダ階層構造にデータストアを整理したり新しいデータストアを作成したりデータストアのプロパティを編集したり既存のデータストアを削除したりすることができますこのビューはデータストアを使用するホストおよび仮想マシンストレージの通知情報権限アラームタスクおよびイベントストレージトポロジストレージレポートを含むデータストアのすべての情報を全体に渡って表示しますこのデータストアに接続するすべてのホストにある各データストアの構成の詳細はデータストアビューの [ 構成 ] タブで確認できます注意データストアビューは vsphere Client がホストに直接接続している場合は使用できませんこの場合データストアの情報はホストの [ ストレージ構成 ] タブから確認できます一般的に次のようなデータストア構成の詳細を表示できますデータストアが配置されているターゲットストレージデバイスデータストアが使用するファイルシステムデータストアの場所使用中および使用可能な領域を含む合計容量 74 VMware, Inc.

75 第 7 章ストレージの概要データストアがまたがる個々のエクステントとその容量 (VMFS データストア ) ストレージデバイスへのアクセスに使用するパス (VMFS データストア ) データストアプロパティの確認ホストで使用できるすべてのデータストアを表示しそれらのプロパティを分析できます手順 1 インベントリにホストが表示されます 2 インベントリでホストを選択し [ 構成 ] タブをクリックします 3 ハードウェアで [ ストレージ ] を選択します 4 [ データストア ] ビューをクリックします 5 特定のデータストアに関する詳細を表示するにはリストからデータストアを選択します VMware, Inc. 75

76 76 VMware, Inc.

77 ESXi のストレージの構成 8 次のトピックではローカル SCSI ストレージデバイスファイバチャネル SAN ストレージ iscsi ストレージおよび NFS ストレージの構成に関する情報が記載されていますこの章では次のトピックについて説明しますローカル SCSI ストレージ (P. 77) ファイバチャネルストレージ (P. 78) iscsi ストレージ (P. 78) ストレージの更新操作と再スキャン操作 (P. 88) VMFS データストアの作成 (P. 89) ネットワーク接続型ストレージ (P. 90) 診断パーティションの作成 (P. 92) ローカル SCSI ストレージローカルストレージは ESXi ホストのハードディスクやホストに直接接続されている外部の専用ストレージシステムなど SCSI ベースのデバイスを使用します図 8-1 にローカル SCSI ストレージを使用する仮想マシンを示します図 8-1. ローカルストレージホスト仮想マシンローカルイーサネット SCSI VMFS この例のローカルストレージトポロジでは ESXi ホストは 1 つの接続を使用してディスクにプラグインしますこのディスクで仮想マシンのディスクファイルの格納に使用する VMFS データストアを作成できます VMware, Inc. 77

78 このストレージ構成は可能ですが推奨するトポロジではありませんストレージアレイとホスト間で単一の接続を使用すると接続の信頼性が低下したり障害が発生したりした場合に単一点障害 (SPOF) が発生し動作が中断されることがありますフォールトトレランスを行うために一部の DAS システムは冗長接続パスをサポートしていますファイバチャネルストレージ ESXi はファイバチャネル (FC) アダプタをサポートしていますこのアダプタを使用するとホストを SAN に接続し SAN でストレージデバイスを確認できますホストで FC ストレージデバイスを表示するには事前に FC アダプタをインストールしておく必要があります図 8-2 はファイバチャネルストレージを使用した仮想マシンについて示しています図 8-2. ファイバチャネルストレージホスト仮想マシンファイバチャネル HBA SAN VMFS ファイバアレイこの構成では ESXi ホストはファイバチャネルアダプタを使用して SAN ファブリックに接続します SAN ファブリックはファイバチャネルスイッチおよびストレージアレイで構成されていますストレージアレイの LUN がホストで使用できるようになりますこれらの LUN にアクセスしストレージが必要とするデータストアを作成できますデータストアには VMFS フォーマットを使用します ESXi で FC SAN ファブリックおよびストレージアレイが機能するよう設定するための特定の情報についてはファイバチャネル SAN 構成ガイドを参照してください iscsi ストレージ ESXi は iscsi テクノロジーをサポートしていますこれによりホストでリモートストレージにアクセスするときに IP ネットワークを使用できます iscsi では仮想マシンが仮想ディスクに発行した SCSI ストレージコマンドが TCP/IP パケットに変換され仮想ディスクを格納するリモートデバイスすなわちターゲットに転送されますリモートターゲットにアクセスするにはホストで iscsi イニシエータを使用しますイニシエータは IP ネットワーク上でホストとターゲットストレージデバイスとの間の SCSI 要求と応答を伝送します ESXi はハードウェアベースおよびソフトウェアベースの iscsi イニシエータをサポートしていますホストが iscsi ストレージデバイスにアクセスして表示できるように iscsi イニシエータを構成する必要があります 78 VMware, Inc.

79 第 8 章 ESXi のストレージの構成図 8-3 に異なるタイプの iscsi イニシエータを使用する 2 個の仮想マシンを示します図 8-3. iscsi ストレージホスト仮想マシン仮想マシン iscsi ハードウェアイニシエータソフトウェアイニシエータイーサネット NIC LAN LAN VMFS iscsi アレイ左側の例ではホストがハードウェア iscsi アダプタを使用して iscsi ストレージシステムに接続しています右側の例ではホストがソフトウェア iscsi イニシエータで構成されていますソフトウェアイニシエータを使用するとホストは既存のネットワークアダプタ経由で iscsi ストレージに接続しますストレージシステムの iscsi ストレージデバイスをホストで使用できるようになりますこれらのストレージデバイスにアクセスしストレージの必要に応じて使用する VMFS データストアを作成できます ESXi で iscsi SAN ファブリックが機能するよう設定するための特定の情報については iscsi SAN 構成ガイドを参照してくださいハードウェア iscsi イニシエータの設定ハードウェアベースの iscsi ストレージでは TCP/IP で iscsi ストレージにアクセスできるサードパーティ製の専用アダプタを使用しますこの iscsi イニシエータは ESXi システムの iscsi とネットワークの処理および管理をすべて行います iscsi ストレージデバイスにあるデータストアを設定する前にハードウェア iscsi アダプタをインストールして構成する必要がありますハードウェア iscsi イニシエータの表示 iscsi ハードウェアイニシエータを表示してインストールが正しく行われ構成する準備が整っていることを確認します開始する前にハードウェア iscsi イニシエータの構成を始める前に iscsi HBA が正常にインストールされており構成可能なイニシエータのリストに表示されていることを確認しますイニシエータをインストールするとそのプロパティを表示できます VMware, Inc. 79

80 手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージアダプタ ] をクリックしますストレージアダプタのリストにハードウェア iscsi イニシエータが表示されます 3 表示するイニシエータを選択しますモデル iscsi 名 iscsi エイリアス IP アドレスターゲットとパスの情報などイニシエータのデフォルトの詳細が表示されます 4 [ プロパティ ] をクリックします iscsi イニシエータのプロパティダイアログボックスが表示されます [ 全般 ] タブにイニシエータの特性が追加で表示されますこの時点でハードウェアイニシエータを構成したりデフォルト特性を変更したりすることができますハードウェアイニシエータの名前および IP アドレスの変更ハードウェア iscsi イニシエータを構成する際はそのイニシエータの名前および IP アドレスの形式が適切なことを確認します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージアダプタ ] をクリックします 3 構成するイニシエータを選択し [ プロパティ ] - [ 構成 ] をクリックします 4 イニシエータのデフォルト iscsi 名を変更するには新しい名前を入力します入力した名前が世界中で一意であることと形式が適切であることを確認しますこれが正しく行われないと一部のストレージデバイスでハードウェア iscsi イニシエータが認識されない場合があります 5 ( オプション ) iscsi エイリアスを入力しますエイリアスはハードウェア iscsi イニシエータの識別に使用する名前です 6 デフォルトの IP 設定を変更しますデフォルトの IP 設定が IP SAN で正しく構成されるように変更する必要がありますネットワーク管理者と協力して HBA の IP 設定を決定します 7 [OK] をクリックして変更内容を保存します iscsi 名を変更した場合その名前は新しい iscsi セッションで使用されます既存のセッションではログアウトして再ログインするまで新しい設定は使用されませんソフトウェア iscsi イニシエータの設定ソフトウェアベースの iscsi 実装では標準のネットワークアダプタを使用して ESXi ホストを IP ネットワーク上のリモート iscsi ターゲットに接続できます ESXi に組み込まれたソフトウェア iscsi イニシエータはネットワークスタックを介してネットワークアダプタと通信することによりこのような接続を容易にしますソフトウェアイニシエータを構成する前に次のタスクを実行する必要があります 1 物理ネットワークアダプタに VMkernel ポートを作成します 2 ソフトウェア iscsi イニシエータを有効にします 80 VMware, Inc.

81 第 8 章 ESXi のストレージの構成 3 複数のネットワークアダプタを使用する場合ポートバインドの手法を使用してホスト上でマルチパスを有効にしますポートバインドの詳細については iscsi SAN 構成ガイドを参照してください 4 必要に応じてジャンボフレームを有効にしますジャンボフレームは vsphere CLI を使用して各 vswitch で有効にする必要がありますまた ESX ホストを使用している場合ジャンボフレームを有効にした VMkernel ネットワークインターフェイスを作成する必要があります詳細はネットワークセクションを参照してくださいソフトウェア iscsi ストレージのネットワーク構成ソフトウェア iscsi のネットワーク構成では iscsi VMkernel ポートを作成しそのポートを iscsi トラフィックを処理する物理 NIC にマッピングします iscsi トラフィックに使用する物理 NIC の数に応じて次のようにさまざまなネットワーク設定が可能です物理 NIC が 1 つの場合 vswitch で 1 つの VMkernel ポートを作成しそのポートを NIC にマッピングします iscsi 専用に別のネットワークアダプタを指定することをお勧めします追加のネットワーク構成手順は不要ですポートの作成についてはソフトウェア iscsi の VMkernel ポートの作成 (P. 81) を参照してください iscsi に複数の物理 NIC がある場合ポートバインドの手法を使用してソフトウェア iscsi に複数のパスを作成できますポートバインドの詳細については iscsi SAN 構成ガイドを参照してくださいソフトウェア iscsi の VMkernel ポートの作成この手順によって iscsi ストレージ用にサービスを実行する VMkernel を物理ネットワークアダプタに接続できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ネットワーク ] をクリックします 3 仮想スイッチビューで [ ネットワークの追加 ] をクリックします 4 [VMkernel] を選択し [ 次へ ] をクリックします 5 [ 仮想スイッチの作成 ] を選択して新しい vswitch を作成します [ 仮想スイッチの作成 ] の下にアダプタが表示されない場合既存の vswitch はシステムのすべてのネットワークアダプタを使用しています iscsi トラフィックに既存の vswitch を使用できます 6 iscsi トラフィックに使用するアダプタを選択します重要速度が 100Mbps 以下のアダプタでは iscsi を使用しないでください 7 [ 次へ ] をクリックします 8 [ ポートグループのプロパティ ] でネットワークラベルを入力しますネットワークラベルは作成する VMkernel ポートを識別する分かりやすい名前です 9 [ 次へ ] をクリックします 10 IP 設定を指定して [ 次へ ] をクリックします 11 情報を確認し [ 終了 ] をクリックします次に進む前にこれでソフトウェアイニシエータを有効にできます VMware, Inc. 81

82 ソフトウェア iscsi イニシエータの有効化ソフトウェア iscsi イニシエータを有効にして ESXi が iscsi ストレージへのアクセスにそれを使用できるようにする必要があります手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージアダプタ ] をクリックします利用可能なストレージアダプタのリストが表示されます 3 構成する iscsi イニシエータを選択し [ プロパティ ] をクリックします 4 [ 構成 ] をクリックします [ 全般プロパティ ] ダイアログボックスにイニシエータの状態デフォルトの名前およびエイリアスが表示されます 5 イニシエータを有効にするには [ 有効 ] を選択します 6 イニシエータのデフォルト iscsi 名を変更するには新しい名前を入力します入力した名前が世界中で一意であることと形式が適切であることを確認しますこれが正しく行われないと一部のストレージデバイスでソフトウェア iscsi イニシエータが認識されない場合があります 7 [OK] をクリックして変更内容を保存します iscsi 名を変更した場合その名前は新しい iscsi セッションで使用されます既存のセッションではログアウトして再ログインするまで新しい設定は使用されません iscsi イニシエータの検出アドレスの構成 iscsi イニシエータがネットワーク上のアクセス可能なストレージリソースを特定できるようにターゲット検出アドレスを設定します ESXi は次の検出方法をサポートします動的検出静的検出ターゲットの送信検出とも呼ばれますイニシエータが指定の iscsi サーバに接続するたびにイニシエータはターゲットの送信要求をサーバに送信しますサーバは使用可能なターゲットのリストをイニシエータに提供することで応答しますこれらのターゲットの名前および IP アドレスは [ 静的検出 ] タブに表示されます動的検出で追加された静的ターゲットを削除する場合このターゲットは次回の再スキャン実行時 HBA のリセット時またはホストの再起動時にリストに戻すことができますイニシエータは検出を実行する必要がありませんイニシエータは接続可能なすべてのターゲットのリストを所有しておりそのターゲットの IP アドレスおよびドメイン名を使用してターゲットと通信します動的検出の設定動的検出ではイニシエータが指定された iscsi サーバに接続するたびにターゲットの送信要求をサーバに送信しますサーバは使用可能なターゲットのリストをイニシエータに提供することで応答します手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージアダプタ ] をクリックします利用可能なストレージアダプタのリストが表示されます 3 構成する iscsi イニシエータを選択し [ プロパティ ] をクリックします 82 VMware, Inc.

83 第 8 章 ESXi のストレージの構成 4 iscsi イニシエータのプロパティダイアログボックスで [ 動的検出 ] タブをクリックします 5 ターゲットの送信の検出にアドレスを追加するには [ 追加 ] をクリックします [ ターゲットサーバ送信の追加 ] ダイアログボックスが表示されます 6 ストレージシステムの IP アドレスまたは DNS 名を入力し [OK] をクリックしますホストがこのシステムでターゲットの送信セッションを確立すると新しく検出されたターゲットがすべて静的検出リストに表示されます 7 特定のターゲットの送信サーバを削除するにはそれを選択して [ 削除 ] をクリックしますターゲットの送信サーバを削除したあとでも静的ターゲットの親として継承フィールドに表示されたままになる場合がありますこの項目は静的ターゲットがどこで検出されていたかを示すだけで機能には影響しません注意既存のターゲットの送信サーバの IP アドレス DNS 名またはポート番号は変更できませんこれを変更するには既存のサーバを削除して新しいサーバを追加します静的検出の設定 iscsi イニシエータでは動的検出方法のほかに静的検出を使用してターゲットの情報を手動で入力することも可能です手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージアダプタ ] をクリックします利用可能なストレージアダプタのリストが表示されます 3 構成する iscsi イニシエータを選択し [ プロパティ ] をクリックします 4 iscsi イニシエータのプロパティダイアログボックスで [ 静的検出 ] タブをクリックします動的に検出されたすべてのターゲットとすでに入力されているすべての静的ターゲットがタブに表示されます 5 ターゲットを追加するには [ 追加 ] をクリックしてターゲットの情報を入力します 6 特定のターゲットを削除するにはそれを選択して [ 削除 ] をクリックします注意既存のターゲットの IP アドレス DNS 名 iscsi ターゲット名またはポート番号は変更できませんこれを変更するには既存のターゲットを削除して新しいターゲットを追加します iscsi イニシエータの CHAP パラメータの構成 iscsi テクノロジーでリモートターゲットへの接続に使用する IP ネットワークでは送信するデータが保護されないため接続のセキュリティを確保する必要があります iscsi ではネットワーク上のすべてのデバイスが CHAP ( チャレンジハンドシェイク認証プロトコル ) を実装することが必要です CHAP はネットワーク上のターゲットにアクセスするイニシエータの正当性を検証します CHAP は三方向ハンドシェイクアルゴリズムを使用してホストの ID を検証しますまた該当する場合ホストとターゲットが接続を確立するときに iscsi ターゲットの ID を検証します検証はイニシエータとターゲットで共有する事前定義されたプライベート値すなわち CHAP シークレットに基づいています ESXi はアダプタレベルで CHAP 認証をサポートしますこの場合すべてのターゲットが iscsi イニシエータから同じ CHAP 名およびシークレットを受信しますソフトウェア iscsi の場合 ESXi はターゲットごとの CHAP 認証もサポートしていますこの認証によりターゲットごとに異なる証明書を構成してセキュリティのレベルを向上させることができます VMware, Inc. 83

84 CHAP 認証方法の選択 ESXi はハードウェア iscsi およびソフトウェア iscsi の両方に対して一方向 CHAP をサポートしソフトウェア iscsi のみに対して相互 CHAP をサポートします CHAP を構成する前に iscsi ストレージシステムで CHAP が有効になっているかどうかとシステムがサポートする CHAP 認証方法を確認します CHAP が有効になっている場合イニシエータ用に有効にして CHAP の認証証明書が iscsi ストレージの認証証明書と一致することを確認します ESXi は次の CHAP 認証方法をサポートします一方向 CHAP 一方向の CHAP 認証ではターゲットはイニシエータを認証しますがイニシエータはターゲットを認証しません相互 CHAP ( ソフトウェア iscsi のみ ) 相互すなわち双方向の CHAP 認証ではセキュリティレベルが上がるためイニシエータはターゲットを認証できますソフトウェア iscsi のみに該当しますが一方向 CHAP および相互 CHAP を各イニシエータに対して設定するかターゲットレベルで設定できますハードウェア iscsi はイニシエータレベルでのみ CHAP をサポートします CHAP パラメータを設定する場合 CHAP のセキュリティレベルを指定します表 8-1. CHAP のセキュリティレベル CHAP のセキュリティレベル説明サポート CHAP を使用しないターゲットで要求されない場合は CHAP を使用しないターゲットで禁止されていない場合は CHAP を使用する CHAP を使用するホストは CHAP 認証を使用しません現在有効な場合このオプションを選択すると認証は無効になりますホストは CHAP 以外の接続を優先しますがターゲットが要求する場合は CHAP 接続を使用できますホストは CHAP を優先しますがターゲットが CHAP をサポートしていない場合は CHAP 以外の接続を使用できますホストは正常な CHAP 認証を要求します CHAP ネゴシエーションに失敗した場合接続に失敗しますソフトウェア iscsi ハードウェア iscsi ソフトウェア iscsi ソフトウェア iscsi ハードウェア iscsi ソフトウェア iscsi iscsi イニシエータの CHAP 証明書の設定セキュリティ向上のためイニシエータレベルですべてのターゲットが同一の CHAP 名およびシークレットを iscsi イニシエータから受け取るよう設定できますデフォルトではすべての検出アドレスまたは静的ターゲットはイニシエータレベルで設定された CHAP パラメータを継承します開始する前にソフトウェア iscsi の CHAP パラメータを設定する前に一方向 CHAP を構成するか相互 CHAP を構成するかを決めますハードウェア iscsi は相互 CHAP をサポートしません一方向の CHAP ではターゲットがイニシエータを認証します相互 CHAP ではターゲットおよびイニシエータの両方が互いを認証します CHAP と相互 CHAP には別々のシークレットを使用してください CHAP パラメータを構成する場合そのパラメータがストレージ側のパラメータと一致するようにしますソフトウェア iscsi の場合 CHAP 名は英数字で 511 文字以下とし CHAP シークレットは英数字で 255 文字以下としてくださいハードウェア iscsi の場合 CHAP 名は英数字で 255 文字以下とし CHAP シークレットは英数字で 100 文字以下とします 84 VMware, Inc.

85 第 8 章 ESXi のストレージの構成手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージアダプタ ] をクリックします利用可能なストレージアダプタのリストが表示されます 3 構成する iscsi イニシエータを選択し [ プロパティ ] をクリックします 4 [ 全般 ] タブで [CHAP] をクリックします 5 一方向の CHAP を構成するには CHAP で次を指定します a 次のオプションのいずれかを選択します [ ターゲットで要求されない場合は CHAP を使用しない ] ( ソフトウェア iscsi のみ ) [ ターゲットで禁止されていない場合は CHAP を使用する ] [CHAP を使用する ] ( ソフトウェア iscsi のみ ) 相互 CHAP を構成できるようにするにはこのオプションを選択する必要があります b CHAP 名を指定します指定する名前がストレージ側で構成した名前と一致するようにします CHAP 名を iscsi イニシエータ名に設定するには [ イニシエータ名の使用 ] を選択します CHAP 名を iscsi イニシエータ名以外の名前に設定するには [ イニシエータ名の使用 ] を選択解除し [ 名前 ] フィールドに名前を入力します c 認証の一部として使用する一方向の CHAP シークレットを入力しますストレージ側で入力するのと同じシークレットを使用してください 6 相互 CHAP 認証を構成するには手順 5 の指示に従ってまず一方向 CHAP を構成します一方向 CHAP のオプションとして [CHAP を使用する ] を選択します次に [ 相互 CHAP] で次のように指定します a b c [CHAP を使用する ] を選択します相互 CHAP 名を指定します相互 CHAP シークレットを入力します一方向 CHAP と相互 CHAP には別々のシークレットを使用してください 7 [OK] をクリックします 8 イニシエータを再スキャンします CHAP または相互 CHAP のパラメータを変更した場合そのパラメータは新しい iscsi セッションで使用されます既存のセッションではログアウトして再ログインするまで新しい設定は使用されませんターゲットの CHAP 証明書の設定ソフトウェア iscsi の場合検出アドレスまたは静的ターゲットごとに別々の CHAP 証明書を構成できます CHAP パラメータを構成する場合そのパラメータがストレージ側のパラメータと一致するようにしますソフトウェア iscsi の場合 CHAP 名は英数字で 511 文字以下とし CHAP シークレットは英数字で 255 文字以下とします開始する前にソフトウェア iscsi の CHAP パラメータを設定する前に一方向の CHAP を構成するか相互 CHAP を構成するかを決めます一方向の CHAP ではターゲットがイニシエータを認証します相互 CHAP ではターゲットおよびイニシエータの両方が互いを認証します CHAP と相互 CHAP には別々のシークレットを使用してください VMware, Inc. 85

86 手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージアダプタ ] をクリックします利用可能なストレージアダプタのリストが表示されます 3 構成するソフトウェア iscsi イニシエータを選択し [ プロパティ ] をクリックします 4 [ 動的検出 ] タブまたは [ 静的検出 ] タブを選択します 5 使用可能なターゲットのリストから構成するターゲットを選択し [ 設定 ] - [CHAP] をクリックします 6 一方向の CHAP を構成するには CHAP で次を指定します a b [ 親から継承 ] を選択解除します次のオプションのいずれかを選択します [ ターゲットで要求されない場合は CHAP を使用しない ] [ ターゲットで禁止されていない場合は CHAP を使用する ] [CHAP を使用する ] 相互 CHAP を構成できるようにするにはこのオプションを選択する必要があります c CHAP 名を指定します指定する名前がストレージ側で構成した名前と一致するようにします CHAP 名を iscsi イニシエータ名に設定するには [ イニシエータ名の使用 ] を選択します CHAP 名を iscsi イニシエータ名以外の名前に設定するには [ イニシエータ名の使用 ] を選択解除し [ 名前 ] フィールドに名前を入力します d 認証の一部として使用する一方向の CHAP シークレットを入力しますストレージ側で入力するのと同じシークレットを使用してください 7 相互 CHAP 認証を構成するには手順 6 の指示に従ってまず一方向 CHAP を構成します一方向 CHAP のオプションとして [CHAP を使用する ] を選択します次に [ 相互 CHAP] で次のように指定します a b c d [ 親から継承 ] を選択解除します [CHAP を使用する ] を選択します相互 CHAP 名を指定します相互 CHAP シークレットを入力します一方向 CHAP と相互 CHAP には別々のシークレットを使用してください 8 [OK] をクリックします 9 イニシエータを再スキャンします CHAP または相互 CHAP のパラメータを変更した場合そのパラメータは新しい iscsi セッションで使用されます既存のセッションではログアウトして再ログインするまで新しい設定は使用されません CHAP の無効化 CHAP はストレージシステムで必要とされない場合には無効にすることができます CHAP 認証を必要とするシステムで CHAP を無効にすると ESXi ホストが再起動されるまでまたはストレージシステムで強制ログアウトが行われるまで既存の iscsi セッションはアクティブなままとなりますセッションの終了後は CHAP を必要とするターゲットには接続できなくなります 86 VMware, Inc.

87 第 8 章 ESXi のストレージの構成手順 1 CHAP 認証情報ダイアログボックスを開きます 2 ソフトウェア iscsi の場合相互 CHAP だけを無効にするには [ 相互 CHAP] から [CHAP を使用しない ] を選択します 3 一方向 CHAP を無効にするには [CHAP] から [CHAP を使用しない ] を選択します相互 CHAP が設定されている場合一方向 CHAP を無効にすると相互 CHAP は自動的に [CHAP を使用しない ] に変更されます 4 [OK] をクリックします iscsi の追加パラメータの構成 iscsi イニシエータに追加パラメータを構成することが必要になる場合がありますたとえば一部の iscsi ストレージシステムではポート間で iscsi トラフィックを動的に移動するために ARP ( アドレス解決プロトコル ) リダイレクトが必要ですこの場合ホストで ARP リダイレクトを有効にする必要があります当社のサポートチームと作業をしているか iscsi の詳細設定に指定する値についての十分な情報がある場合を除きこの詳細設定を変更しないでください表 8-2 に vsphere Client を使用して構成できる iscsi の詳細パラメータを示しますまた vicfg-iscsi という vsphere CLI コマンドを使用するとこの詳細パラメータの一部を構成できます詳細については VMware vsphere Command-Line Interface Installation and Reference Guide を参照してください表 8-2. iscsi イニシエータの追加パラメータ詳細パラメータ説明構成可能な対象ヘッダーダイジェストデータダイジェスト最大 R2T 残数第 1 バースト長最大バースト長最大受信データセグメント長データの整合性を高めますヘッダダイジェストが有効な場合システムは CRC32C アルゴリズムを使用して各 iscsi PDU (Protocol Data Unit) のヘッダ部分でチェックサムを実行し検証を行いますデータの整合性を高めますデータダイジェストが有効な場合システムは CRC32C アルゴリズムを使用して各 PDU のデータ部分でチェックサムを実行し検証を行います注意 Intel Nehalem プロセッサを使用するシステムではソフトウェア iscsi の iscsi ダイジェスト計算が軽減されるためパフォーマンスへの影響が小さくなります ACK の PDU が受信されるまで移行中の状態にしてもよい R2T (Ready to Transfer) PDU を定義します単一の SCSI コマンドの実行時に iscsi イニシエータがターゲットに送信できる非請求データの最大量 ( バイト単位 ) を指定します Data-In または請求 Data-Out の iscsi シーケンスでの最大 SCSI データペイロード ( バイト単位 ) です iscsi PDU で受信できる最大データセグメント長 ( バイト単位 ) ですソフトウェア iscsi ソフトウェア iscsi ソフトウェア iscsi ソフトウェア iscsi ソフトウェア iscsi ソフトウェア iscsi ARP リダイレクトストレージシステムでポート間で iscsi トラフィックを動的に移動できるようにしますアレイベースのフェイルオーバーを実行するストレージシステムでは ARP が必要ですハードウェア iscsi (vsphere CLI 経由で構成可能 ) 遅延 ACK システムで受信データパケットの ACK を遅延させることができるようにしますソフトウェア iscsi VMware, Inc. 87

88 iscsi の詳細パラメータの構成 iscsi の詳細設定ではヘッダダイジェストデータダイジェスト ARP リダイレクト遅延 ACK などのパラメータを制御します通常割り当てられた定義済みの値で ESXi ホストは動作するのでこれらの設定を変更する必要はありません注意 VMware サポートチームと作業をしているか iscsi の詳細設定に指定する値についての十分な情報がある場合を除きこの詳細設定を変更しないでください手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックして [ ストレージアダプタ ] をクリックします 3 構成する iscsi イニシエータを選択し [ プロパティ ] をクリックします 4 イニシエータレベルで詳細パラメータを構成するには [ 全般 ] タブで [ 詳細 ] をクリックします手順 6 に進みます 5 ターゲットレベルで詳細パラメータを構成しますターゲットレベルではソフトウェア iscsi のみ詳細パラメータを構成できます a b [ 動的検出 ] タブまたは [ 静的検出 ] タブを選択します使用可能なターゲットのリストから構成するターゲットを選択し [ 設定 ] - [ 詳細 ] をクリックします 6 変更する詳細パラメータに必要な値を入力し [OK] をクリックして変更内容を保存しますストレージの更新操作と再スキャン操作更新操作によって vsphere Client に表示されるデータストア容量などのストレージ情報やデータストアリストが更新されます ESXi ホストまたは SAN 構成を変更する場合ストレージアダプタを再スキャンする必要がある場合がありますホスト上のすべてのアダプタを再スキャンできます特定のアダプタに対してのみ変更を行う場合そのアダプタだけを再スキャンします vsphere Client が vcenter Server システムに接続されている場合 vcenter Server システムで管理されているすべてのホスト上のアダプタを再スキャンできます次のいずれかのタスクを実行するたびに再スキャンします SAN に新しい LUN を作成した場合ホスト上でパスのマスキングを変更した場合ケーブルを接続しなおした場合クラスタのホストを変更した場合重要パスが利用できないときは再スキャンしないでください 1 つのパスに障害が発生した場合は別のパスに引き継がれシステムは完全に機能を継続しますただしパスが使用できないときに再スキャンをするとホストはデバイスへのパスリストからそのパスを削除します次にパスがアクティブであるときに再スキャンを実行するまでこのパスはホストで使用できなくなりますストレージアダプタの再スキャン ESXi ホストまたは SAN 構成を変更する場合ストレージアダプタを再スキャンする必要がある場合がありますホスト上のすべてのアダプタを再スキャンできます特定のアダプタに対してのみ変更を行う場合そのアダプタだけを再スキャンします再スキャンを特定のホストまたはホスト上のアダプタに制限する場合は次の手順を使用します vcenter Server システムが管理するすべてのホストのアダプタを再スキャンする場合はデータセンタークラスタまたはそのホストを含むフォルダを右クリックし [ データストアの再スキャン ] を選択します 88 VMware, Inc.

89 第 8 章 ESXi のストレージの構成手順 1 vsphere Client でホストを選択し [ 構成 ] タブをクリックします 2 ハードウェアパネルで [ ストレージアダプタ ] を選択しストレージアダプタパネルの上の [ 再スキャン ] をクリックします 1 つのアダプタを右クリックし [ 再スキャン ] をクリックしてそのアダプタのみを再スキャンすることもできます重要 ESXi では 1 つのストレージアダプタを再スキャンすることはできません 1 つのアダプタを再スキャンするとすべてのアダプタが再スキャンされます 3 新規のディスクまたは LUN を検出するには [ 新規ストレージデバイスのスキャン ] を選択します新しい LUN が検出されるとデバイスリストに表示されます 4 新しいデータストアを検出したり構成を変更したあとでデータストアをアップデートするには [ 新規 VMFS ボリュームのスキャン ] を選択します新規のデータストアまたは VMFS ボリュームが検出されるとデータストアリストに表示されます VMFS データストアの作成 VMFS データストアは仮想マシンのリポジトリとして機能します VMFS データストアはホストが検索を行う SCSI ベースのストレージデバイス上に設定できます開始する前にデータストアを作成する前にストレージで必要なアダプタをインストールおよび構成する必要がありますアダプタを再スキャンして新しく追加されたストレージデバイスを検出します手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージ ] をクリックします 3 [ データストア ] をクリックして [ ストレージの追加 ] をクリックします 4 [ ディスク /LUN] ストレージタイプを選択し [ 次へ ] をクリックします 5 データストアに使用するデバイスを選択し [ 次へ ] をクリックします注意 VMFS ラベル列に表示されているデータストア名のないデバイスを選択します名前がある場合は既存の VMFS データストアのコピーがそのデバイスに格納されていますフォーマットしているディスクが空の場合は現在のディスクレイアウトページに自動的にディスク領域全体が表示されストレージを構成できます 6 ディスクがブランクでない場合は現在のディスクレイアウトページの上部のパネルに表示される現在のディスクレイアウトを確認し下部のパネルから構成オプションを選択しますオプションすべての利用可能なパーティションを利用空き領域の使用説明ディスクまたは LUN 全体を 1 つの VMFS データストア専用にしますこのオプションを選択するとこのデバイスに現在保存されているすべてのファイルシステムまたはデータは破棄されますディスクの残り空き領域に VMFS データストアをデプロイします 7 [ 次へ ] をクリックします 8 プロパティページでデータストア名を入力し [ 次へ ] をクリックします VMware, Inc. 89

90 9 必要に応じてファイルシステムと容量の値を調整しますデフォルトでストレージデバイスの空き領域をすべて使用できます 10 [ 次へ ] をクリックします 11 設定が完了しましたページでデータストアの構成情報を確認し [ 終了 ] をクリックします SCSI ベースのストレージデバイス上のデータストアが作成されます vcenter Server システムを使用してホストを管理している場合新しく作成したデータストアは自動的にすべてのホストに追加されますネットワーク接続型ストレージ ESXi は NFS プロトコルを介して NAS の使用をサポートしています NFS プロトコルによって NFS クライアントと NFS サーバとの通信が可能になります ESXi に組み込まれた NFS クライアントを使用すると NFS サーバへアクセスして NFS ボリュームをストレージに使用できます ESXi は TCP を介した NFS Version 3 のみをサポートしています NFS ボリュームをデータストアとして構成するには vsphere Client を使用します構成した NFS データストアが vsphere Client に表示されますそれらのデータストアを使用すると VMFS ベースのデータストアと同じ使用方法で仮想ディスクファイルを格納できます注意 ESXi は root 以外の証明書を使用して NFS ボリュームにアクセスできるようにするデリゲートユーザー機能をサポートしていません図 8-4 に NFS ボリュームを使用してファイルを格納する仮想マシンを示しますこの構成ではホストは仮想ディスクファイルが格納されている NFS サーバに通常のネットワークアダプタを介して接続しています図 8-4. NFS ストレージホスト仮想マシンイーサネット NIC LAN NFS NAS アプライアンス 90 VMware, Inc.

91 第 8 章 ESXi のストレージの構成 NFS ベースのデータストアに作成する仮想ディスクでは NFS サーバが指示するディスクの形式が使用されます通常オンデマンドの領域割り当てを必要とするシン形式が使用されますこのディスクへの書き込み中に仮想マシンの領域が不足すると vsphere Client からさらに領域が必要であることが通知されます次のオプションがあります仮想マシンがディスクへの書き込みを続行できるようにボリューム上の追加領域を解放する仮想マシンのセッションを終了するセッションを終了すると仮想マシンがシャットダウンされます注意ホストが NFS ベースのデータストアに格納されている仮想マシンディスクファイルにアクセスするとディスクファイルが存在するディレクトリと同じディレクトリに.lck-XXX というロックファイルが生成されほかのホストからこの仮想ディスクファイルにアクセスできないようになります.lck-XXX ロックファイルを削除しないでください削除すると実行中の仮想マシンがその仮想ディスクファイルにアクセスできなくなりますよく使用されるファイルのリポジトリとしての NFS データストア NFS は NFS データストアに仮想ディスクを格納するほかに ISO イメージや仮想マシンのテンプレートなどの中央リポジトリとして使用することもできます NFS を共有リポジトリとして使用するには NFS サーバにディレクトリを作成しそのディレクトリをデータストアとしてすべてのホストにマウントします ISO イメージ用のデータストアを使用する場合は仮想マシンの CD-ROM デバイスをデータストアの ISO ファイルに接続し ISO ファイルからゲスト OS をインストールできます仮想マシンの構成については基本システム管理を参照してください注意ファイルが格納される基盤となる NFS ボリュームが読み取り専用の場合はそのボリュームが NFS サーバによって読み取り専用の共有としてエクスポートされていることを確認するか ESXi ホストに読み取り専用のデータストアとしてそのボリュームを構成しますそれ以外の場合ホストはデータストアが読み取り / 書き込み可能であると認識しファイルを開くことができない可能性があります NFS ベースのデータストアの作成ストレージの追加ウィザードを使用すると NFS ボリュームをマウントしそれを VMFS データストアとして使用できます開始する前に NFS ではリモートサーバに格納されているデータへアクセスするためのネットワーク接続が必要であるため NFS を構成するにはまず VMkernel ネットワークを構成する必要があります手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージ ] をクリックします 3 [ データストア ] をクリックして [ ストレージの追加 ] をクリックします 4 ストレージタイプとして [ ネットワークファイルシステム ] を選択し [ 次へ ] をクリックします 5 サーバ名マウントポイントフォルダ名およびデータストア名を入力します注意同じ NFS ボリュームを異なるホストにマウントする場合はサーバとフォルダの名前がホスト間で同一であることを確認してください名前が正確に一致していないとたとえば 1 台のホストのフォルダ名に share と入力しほかのホストで /share と入力するとホストは同じ NFS ボリュームを 2 つの異なるデータストアと認識しますこの場合 VMotion などの機能に障害が発生することがあります 6 ( オプション ) ボリュームが NFS サーバによって読み取り専用としてエクスポートされている場合 [ 読み取り専用の NFS マウント ] を選択します 7 [ 次へ ] をクリックします 8 ネットワークファイルシステムの概要ページで構成オプションを確認し [ 終了 ] をクリックします VMware, Inc. 91

92 診断パーティションの作成ホストを正常に実行するにはデバッグおよびテクニカルサポート用にコアダンプを保存する診断パーティション ( ダンプパーティション ) が必要です診断パーティションはローカルディスクプライベート SAN LUN または共有 SAN LUN 上に作成できます診断パーティションはソフトウェアの iscsi イニシエータを介してアクセスする iscsi LUN には配置できません各ホストには 100 MB の診断パーティションが必要です複数のホストで SAN を共有する場合は各ホストに 100 MB の診断パーティションを構成します注意診断パーティションを共有する 2 台のホストで障害が発生し同じスロットにコアダンプを保存した場合コアダンプは損失する可能性がありますコアダンプデータを収集するにはホストで障害が発生したあとすぐにホストを再起動しログファイルを取得しますただし最初のホストの診断データを収集する前に別のホストで障害が発生した場合は 2 つめのホストはコアダンプの保存に失敗します診断パーティションの作成診断パーティションをホスト上に作成できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージ ] をクリックします 3 [ データストア ] をクリックして [ ストレージの追加 ] をクリックします 4 [ 診断 ] を選択し [ 次へ ] をクリックしますオプションに [ 診断 ] がない場合はすでにホストに診断パーティションがあります vsphere CLI. で vicfg-dumppart -l コマンドを使用してホストの診断パーティションのクエリおよび再スキャンが実行できます 5 診断パーティションのタイプを指定しますオプションプライベートローカルプライベート SAN ストレージ共有 SAN ストレージ説明ローカルディスクに診断パーティションを作成しますこのパーティションには使用しているホストのみに関する障害情報が格納されます SAN を共有しない LUN に診断パーティションを作成しますこのパーティションには使用しているホストのみに関する障害情報が格納されます共有 SAN LUN に診断パーティションを作成しますこのパーティションは複数のホストによってアクセスされ複数のホストに関する障害情報を格納できます 6 [ 次へ ] をクリックします 7 診断パーティションに使用するデバイスを選択し [ 次へ ] をクリックします 8 パーティションの構成情報を確認し [ 終了 ] をクリックします 92 VMware, Inc.

93 ストレージの管理 9 データストアを作成したあとでプロパティを変更したりビジネスニーズに基づいてフォルダを使用してデータストアをグループ化したり使用していないデータストアを削除したりできますストレージに対するマルチパスの設定またはデータストアコピーの再署名が必要になる場合もありますこの章では次のトピックについて説明しますデータストアの管理 (P. 93) VMFS データストアプロパティの変更 (P. 95) 重複 VMFS データストアの管理 (P. 97) ESXi でのマルチパスの使用 (P. 99) シンプロビジョニング (P. 107) データストアの管理 ESXi システムはデータストアを使用して仮想マシンに関連付けられているすべてのファイルを格納しますデータストアを作成したあとさまざまな作業によりデータストアを管理できますデータストアは 1 つの物理デバイスまたは 1 つのディスクパーティションのディスク領域を使用することも複数の物理デバイスにまたがることもできる論理ストレージユニットですデータストアは SCSI iscsi ファイバチャネル SAN NFS などさまざまなタイプの物理デバイスに配置できます次のいずれかの方法でデータストアが vsphere Client に追加されます ESXi ホストをはじめて起動したときにデフォルトで作成データストア上に仮想マシンを作成できるよう参照可能な空のローカルディスクまたは VMFS データストアでのパーティションをソフトウェアがフォーマットしますホストがインベントリに追加されたときに検出 vsphere Client ではホストが認識できるすべてのデータストアが表示されます [ ストレージの追加 ] コマンドを使用して使用可能なストレージデバイスに作成データストアが作成されたあとは仮想マシンファイルをデータストアに格納できます名前変更削除およびアクセス制御権の設定を行うことでそれらを管理できますまたデータストアをグループ化して組織化しグループ全体に同じ権限を同時に設定できますデータストアのアクセス権の設定については vsphere Client のヘルプを参照してください VMware, Inc. 93

94 データストア名の変更既存のデータストアの名前を変更できます手順 1 データストアを表示します 2 名前を変更するデータストアを右クリックし [ 名前の変更 ] を選択します 3 新しいデータストア名を入力します vcenter Server システムを使用してホストを管理する場合そのデータストアにアクセスするすべてのホストで新しい名前が表示されますデータストアのグループ化 vcenter Server システムを使用してホストを管理する場合フォルダにデータストアをグループ化できますこれによりビジネスプラクティスに従ってデータストアを組織化しグループ内のデータストアに対して同じ権限およびアラームを同時に割り当てることが可能になります手順 1 vsphere Client にログインします 2 必要な場合はデータストアを作成します詳細は vsphere Client のヘルプを参照してください 3 インベントリパネルで [ データストア ] を選択します 4 グループ化するデータストアが含まれているデータセンターを選択します 5 ショートカットメニューで [ 新規フォルダ ] アイコンをクリックします 6 フォルダに説明的な名前を付けます 7 各データストアをクリックしフォルダへドラッグしますデータストアの削除再署名せずにマウントしたコピーも含めたあらゆるタイプの VMFS データストアを削除できますデータストアを削除するとデータストアが破棄されそのデータストアへアクセスできるすべてのホストから消失します開始する前にデータストアを削除する前にすべての仮想マシンをデータストアから削除しますデータストアにアクセスしているホストがないことを確認してください手順 1 データストアを表示します 2 削除するデータストアを右クリックし [ 削除 ] を選択します 3 データストアを削除することを確定します 94 VMware, Inc.

95 第 9 章ストレージの管理データストアのアンマウントデータストアをアンマウントしてもそのまま存在していますが指定したホストからデータストアを参照できなくなりますマウントされたままの状態になっている別のホストからは参照できます次のタイプのデータストアのみアンマウントできます NFS データストア再署名せずにマウントされている VMFS データストアのコピー手順 1 データストアを表示します 2 アンマウントするデータストアを右クリックして [ アンマウント ] を選択します 3 データストアを共有している場合はどのホストがデータストアにアクセスできなくするかを指定します a 必要に応じてデータストアをマウントしたままにしておくホストを選択解除しますデフォルトではすべてのホストが選択されています b c [ 次へ ] をクリックしますデータストアをアンマウントするホストのリストを確認し [ 終了 ] をクリックします 4 データストアをアンマウントすることを確認します VMFS データストアプロパティの変更 VMFS ベースのデータストアを作成したあとでそのデータストアを変更できますたとえば追加の領域が必要になった場合に増やすことができます VMFS-2 データストアを使用している場合は VMFS-3 形式にアップグレードできます VMFS フォーマットを使用するデータストアは SCSI ベースのストレージデバイスに配置されますリモートホストが使用している VMFS データストアは再フォーマットできません再フォーマットしようとすると警告が表示され使用中のデータストアの名前およびそのデータストアを使用しているホストが示されますこの警告は VMkernel および vmkwarning のログファイルにも書き込まれます vsphere Client が vcenter Server システムに接続されているかホストに直接接続されているかによってデータストアのプロパティダイアログボックスへのアクセス方法が異なります vcenter Server のみデータストアのプロパティダイアログボックスにアクセスするにはインベントリからデータストアを選択して [ 構成 ] タブをクリックし [ プロパティ ] をクリックします vcenter Server および ESX/ESXi ホストデータストアのプロパティダイアログボックスにアクセスするにはインベントリからホストを選択して [ 構成 ] タブをクリックし [ ストレージ ] をクリックしますデータストアビューで変更するデータストアを選択し [ プロパティ ] をクリックします VMware, Inc. 95

96 VMFS データストアの増加データストアで新しい仮想マシンを作成しなければならない場合またはこのデータストア上で稼動している仮想マシンで追加の容量が必要になった場合に VMFS データストアの容量を動的に増やすことができます次のいずれかの方法を使用します新しいエクステントを追加するエクステントは LUN 上のパーティションです既存のどの VMFS データストアにも新しいエクステントを追加できますデータストアは複数のエクステント ( 最大 32 個 ) に拡張できます注意 SAN LUN 上にあるデータストアにローカルエクステントを追加することはできません現行の VMFS データストア内でエクステントを大きくするその直後に空き容量があるエクステントのみ拡張できます結果として新しいエクステントを追加するのではなく既存のエクステントを増やすことで近接する利用可能な領域に格納できます注意共有のデータストアが仮想マシンをパワーオンしており完全に領域が使用されている場合パワーオンされている仮想マシンが登録されているホストからのみデータストアの領域を拡大できます手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ストレージ ] をクリックします 3 データストアビューで拡大するデータストアを選択し [ プロパティ ] をクリックします 4 [ 拡大 ] をクリックします 5 ストレージデバイスのリストからデバイスを選択し [ 次へ ] をクリックします新しいエクステントを追加する場合は拡張可能列が [ いいえ ] になっているデバイスを選択します既存のエクステントを拡張する場合は拡張可能列が [ はい ] になっているデバイスを選択します 6 下部のパネルから構成オプションを選択しますディスクの現在のレイアウトおよび前に選択した内容によって表示されるオプションが異なりますオプションフリースペースを使用して新規エクステントを追加空き容量を使用して既存のエクステントを拡張空き領域の使用すべての利用可能なパーティションを利用説明ディスク上の空き容量をデータストアの新しいエクステントとして追加します既存のエクステントを必要な容量まで拡張しますディスクの残り空き領域にエクステントをデプロイしますこのオプションはエクステントを追加する場合のみ使用できますディスク全体を 1 つのデータストアエクステント専用にしますこのオプションはエクステントを追加する場合およびフォーマットするディスクが空ではない場合にのみ使用できますディスクが再フォーマットされデータストアおよびそれに含まれているすべてのデータが消去されます 7 エクステントの容量を設定しますデフォルトでストレージデバイスの空き領域をすべて使用できます 8 [ 次へ ] をクリックします 9 提案されるレイアウトと新しいデータストアの構成を確認して [ 終了 ] をクリックします 96 VMware, Inc.

97 第 9 章ストレージの管理次に進む前に共有の VMFS データストアのエクステントを増やしたあとそのデータストアにアクセス可能な各ホストのデータストアを更新し vsphere Client がすべてのホストの正確なデータストア領域を表示できるようにしますデータストアのアップグレード ESXi には VMFS バージョン 3 (VMFS-3) が含まれていますデータストアを VMFS-2 でフォーマットした場合 VMFS-2 に格納されたファイルの読み取りはできますが書き込みはできませんファイルに完全にアクセスできるようにするには VMFS-2 から VMFS-3 にアップグレードします VMFS-2 から VMFS-3 へアップグレードする場合には ESXi のファイルロックメカニズムにより変換中の VMFS データストアにリモートホストまたはローカルプロセスがアクセスしないようになりますホストはすべてのファイルをデータストア上に保存しますアップグレードオプションを使用する前に次のことを考慮してくださいアップグレードする VMFS-2 ボリュームに含まれる仮想ディスクへの変更をすべてコミットまたは破棄する VMFS-2 ボリュームをバックアップするパワーオン中の仮想マシンがこの VMFS-2 ボリュームを使用していないことを確認するほかの ESXi ホストが VMFS-2 ボリュームにアクセスしていないことを確認する VMFS-2 から VMFS-3 への変換は一方向のプロセスです VMFS ベースのデータストアを VMFS-3 に変換したあと VMFS-2 に戻すことはできません VMFS-2 ファイルシステムをアップグレードするにはファイルブロック長を 8MB 以下にする必要があります手順 1 vsphere Client にログインしてインベントリパネルからホストを選択します 2 [ 構成 ] タブをクリックし [ ストレージ ] をクリックします 3 VMFS-2 フォーマットを使用するデータストアを選択します 4 [VMFS-3 へアップグレード ] をクリックします 5 データストアを参照するすべてのホストで再スキャンを実行します重複 VMFS データストアの管理 LUN に VMFS データストアのコピーがある場合既存の署名を使用してデータストアをマウントするか新たに署名を割り当てることができます LUN に作成された各 VMFS データストアはファイルシステムのスーパーブロックに格納された一意の UUID を持っています LUN のレプリケーションまたはスナップショットを作成する場合コピーされた LUN は元の LUN とバイト単位で同じになりますその結果元の LUN に UUID X を持つ VMFS データストアがある場合コピーされた LUN にはまったく同一の UUID X を持つ同じ VMFS データストアすなわち VMFS データストアのコピーがあるように見えます ESXi は LUN に VMFS データストアのコピーがあるかどうかを調べ元の UUID を使用したデータストアコピーのマウントまたは UUID の変更のいずれかを行いデータストアに再署名します VMware, Inc. 97

98 既存の署名を使用した VMFS データストアのマウント VMFS データストアのコピーへの再署名が不要な場合があります署名を変えることなく VMFS データストアのコピーをマウントできますたとえばディザスタリカバリプランの一環として仮想マシンの同期済みコピーをセカンダリサイトで維持管理できますプライマリサイトでディザスタが発生した場合セカンダリサイトでデータストアのコピーを仮想マシンにマウントしてパワーオンできます重要 VMFS データストアをマウントできるのはすでにマウントされている同じ UUID を持った別の VMFS データストアと競合しない場合だけです VMFS データストアをマウントする際 ESXi では LUN コピー上にあるデータストアの読み取りおよび書き込みが可能です LUN コピーは書き込み可能である必要がありますデータストアのマウントはシステムを再起動しても継続して有効となります ESXi ではマウントされたデータストアの再署名ができないため再署名する前にデータストアをアンマウントしてください既存の署名を使用した VMFS データストアのマウント VMFS データストアのコピーに再署名する必要がない場合その署名を変えずにマウントできます開始する前に VMFS データストアをマウントする前にホストでストレージの再スキャンを行なって提供されている LUN の表示を更新します手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージ ] をクリックします 3 [ ストレージの追加 ] をクリックします 4 [ ディスク /LUN] ストレージタイプを選択し [ 次へ ] をクリックします 5 LUN のリストから VMFS ラベル列に表示されたデータストア名を持つ LUN を選択して [ 次へ ] をクリックしてください VMFS ラベル列に表示された名前は LUN が既存の VMFS データストアのコピーを含むコピーであることを示します 6 マウントオプションで [ 既存の署名を保持 ] を選択します 7 設定が完了しましたページでデータストアの構成情報を確認し [ 終了 ] をクリックします次に進む前にマウントしたデータストアにあとで再署名する場合まずアンマウントする必要があります VMFS コピーの再署名 VMFS データストアコピー上に保存されたデータを保持するにはデータストア再署名を使用してください VMFS コピーの再署名を行うとき ESXi は新しい UUID と新しいラベルをコピーに割り当てコピー元とは別のデータストアとしてマウントしますデータストアに割り当てられる新しいラベルのデフォルトの形式は snap-<snapid>-<oldlabel> ですここで <snapid> は整数で <oldlabel> は元のデータストアのラベルですデータストアの再署名を行うとき次の点を考慮してくださいデータストアの再署名は取り消しできません再署名対象の VMFS データストアを含む LUN コピーは LUN コピーとして扱われなくなります 98 VMware, Inc.

99 第 9 章ストレージの管理複数にまたがるデータストアはそのすべてのエクステントがオンラインである場合のみ再署名が可能です再署名は耐クラッシュ性および耐障害性のある処理です処理が中断したとしてもあとで再開できます新しい VMFS データストアをマウントする際にその UUID が LUN スナップショット階層中の親または子などほかのデータストアの UUID と競合する危険を冒すことなくマウントできます VMFS データストアコピーの再署名 VMFS データストアコピー上に保存されたデータを保持したい場合はデータストア再署名を使用してください開始する前にマウントされたデータストアのコピーを再署名するにはまずそれをアンマウントします VMFS データストアを再署名する前にホストでストレージの再スキャンを行なって提供されている LUN の表示をホストが更新し LUN のコピーがあれば検出するようにしてください手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージ ] をクリックします 3 [ ストレージの追加 ] をクリックします 4 [ ディスク /LUN] ストレージタイプを選択し [ 次へ ] をクリックします 5 LUN のリストから VMFS ラベル列に表示されたデータストア名を持つ LUN を選択して [ 次へ ] をクリックしてください VMFS ラベル列に表示された名前は LUN が既存の VMFS データストアのコピーを含むコピーであることを示します 6 マウントオプションで [ 新しい署名の割り当て ] を選択し [ 次へ ] をクリックします 7 設定が完了しましたページでデータストアの構成情報を確認し [ 終了 ] をクリックします次に進む前に再署名のあと次のことを行う必要がある場合があります再署名したデータストアに仮想マシンが含まれている場合.vmx.vmdk.vmsd および.vmsn を含む仮想マシンファイル中の元の VMFS データストアに対する参照を更新してください仮想マシンをパワーオンするには vcenter Server に登録してください ESXi でのマルチパスの使用 ESXi ホストとそのストレージ間で常に接続を保持しておくために ESXi はマルチパスをサポートしていますマルチパスは ESXi ホストと外部のストレージデバイスとの間でのデータ送信に複数の物理パスを使用できるようにする技術です HBA スイッチケーブルなど SAN ネットワーク内の要素に障害が発生した場合は ESXi は別の物理パスへフェイルオーバーできますパスのフェイルオーバーだけでなくマルチパスにはロードバランシング機能もありますこれは複数のパス間で I/O 負荷を再割り当てするため潜在的なボトルネックが軽減または排除されます複数のパスの管理 ESXi ではストレージのマルチパスの管理に PSA (Pluggable Storage Architecture) という特殊な VMkernel レイヤーを使用します PSA は複数の MPP (Multipathing Plugin) の動作を同時に調整するオープンモジュラーフレームワークです ESXi がデフォルトで提供する VMkernel マルチパスプラグインは VMware NMP (Native Multipathing Plugin) です NMP はサブプラグインを管理する拡張可能なマルチパスモジュールです NMP のサブプラグインには SATP (Storage Array Type Plugin) および PSP (Path Selection Plugin) の 2 種類があります SATP および PSP は VMware が組み込み式で提供するものとサードパーティが提供するものがあります VMware, Inc. 99

100 追加でマルチパス機能が必要であればデフォルトの NMP への追加またはその代替としてサードパーティ製の MPP も利用できます VMware NMP およびインストールされたサードパーティの MPP を調整する場合 PSA は次のタスクを実行しますマルチパスプラグインをロードおよびアンロードします仮想マシンの特性を特定のプラグインから見えなくします特定の論理デバイスに対する I/O 要求をそのデバイスを管理する MPP にルーティングします論理デバイスへの I/O キューを処理します仮想マシン間で論理デバイスのバンド幅共有を実現します物理ストレージの HBA への I/O キューを処理します物理パスの検出と削除を処理します論理デバイスおよび物理パスの I/O 統計を提供します図 9-1 に示すように VMware NMP と並行して複数のサードパーティ製 MPP を実行できますサードパーティの MPP は NMP の挙動を変え特定のストレージデバイスに関するパスフェイルオーバーおよびロードバランシングを完全に制御します図 9-1. プラグ可能ストレージアーキテクチャ VMkernel プラグ可能ストレージアーキテクチャサードパーティ MPP サードパーティ MPP VMware SATP VMware NMP VMware PSP VMware SATP VMware PSP VMware SATP サードパーティ SATP サードパーティ PSP マルチパスモジュールは次の操作を行います物理パスの要求および要求解除を管理します論理デバイスの作成登録および登録解除を管理します物理パスを論理デバイスに関連付けます論理デバイスへの I/O 要求を処理します要求にとって最適な物理パスを選択しますストレージデバイスによってはパスの障害や I/O コマンドの再試行を処理するのに必要となる特殊なアクションを実行します論理デバイスの中止やリセットなど管理タスクをサポートします VMware マルチパスモジュールデフォルトで ESXi は NMP (Native Multipathing Plugin) と呼ばれる拡張可能なマルチパスモジュールを備えています通常 VMware NMP は VMware ストレージ HCL に示されているすべてのストレージアレイをサポートしアレイタイプに基づいてデフォルトのパス選択アルゴリズムを提供します NMP は一連の物理パスを特定のストレージデバイスすなわち LUN に関連付けます特定のストレージアレイに対するパスのフェイルオーバーの処理については SATP ( ストレージアレイタイププラグイン ) に具体的な詳細が委ねられます I/O 要求をストレージデバイスに発行するためにどの物理パスを使用するかの決定については具体的な詳細は PSP ( パス選択プラグイン ) によって処理されます SATP および PSP は NMP モジュール内のサブプラグインです 100 VMware, Inc.

101 第 9 章ストレージの管理 VMware SATP SATP (Storage Array Type Plugins) は VMware NMP と一緒に実行されアレイ固有の操作を行います ESXi は当社がサポートするすべてのタイプのアレイに対して SATP を提供しますこの SATP には未指定のストレージアレイのアクティブ-アクティブ SATP およびアクティブ-パッシブ SATP や直接接続ストレージ用のローカル SATP などが含まれます各 SATP は特定のクラスのストレージアレイの特性に対応しておりパスの状態を検出し無効なパスを有効にするために必要なアレイ固有の操作を実行できますこのため NMP モジュールはストレージデバイスの特性を認識しなくても複数のストレージアレイと連携できます NMP が特定のストレージデバイスをどの SATP が必要としているかを判断しその SATP をストレージデバイスの物理パスに関連付けたあと SATP は次のようなタスクを実施します各物理パスの健全性を監視します各物理パスの状態の変化を報告しますストレージのフェイルオーバーに必要なアレイ固有のアクションを実行しますたとえばアクティブ-パッシブデバイスではパッシブパスを有効にできます VMware PSP PSP (Path Selection Plugin) は VMware NMP と一緒に実行され I/O 要求の物理パスの選択を行います各論理デバイスに対し VMware NMP はそのデバイスの物理パスに関連付けられた SATP に基づいてデフォルトの PSP を割り当てますデフォルトの PSP はオーバーライドできますデフォルトで VMware NMP は次の PSP をサポートします最近の使用 (MRU) 固定 ESXi ホストが特定デバイスへのアクセスに最近使用したパスを選択しますこのパスが利用できなくなった場合ホストは代替パスに切り替えて新しいパスが利用可能な間はその使用を続行します構成されている場合指定の優先パスを使用します構成されていない場合システムの起動時に検出された機能している最初のパスを使用します優先パスを使用できない場合ホストは使用可能な代替パスをランダムに選択しますホストは優先パスが利用可能になると優先パスに自動的に戻ります注意 [ 固定 ] のパスポリシーを持つアクティブ - パッシブアレイの場合パスのスラッシングが問題になる可能性がありますラウンドロビン利用可能なすべてのパスを巡回しパス間のロードバランシングを有効にするパス選択アルゴリズムを使用します I/O の VMware NMP フロー仮想マシンが NMP によって管理されるストレージデバイスに I/O 要求を発行するとき次の処理が実行されます 1 NMP がこのストレージデバイスに割り当てられた PSP を呼び出します 2 PSP が I/O の発行先として最適な物理パスを選択します 3 I/O 操作に成功した場合 NMP がその完了を報告します 4 I/O 操作でエラーが報告された場合 NMP が適切な SATP を呼び出します 5 SATP が I/O コマンドエラーを解釈し無効なパスを適宜に有効にします 6 PSP が呼び出され I/O の発行先となる新しいパスを選択します VMware, Inc. 101

102 ローカルストレージおよびファイバチャネル SAN を使用したマルチパス単純なマルチパスローカルストレージトポロジでは 2 つの HBA を備えた ESXi ホストを 1 台使用できます ESXi ホストは 2 つのケーブルを介してデュアルポートのローカルストレージシステムに接続しますこの構成では ESXi ホストとローカルストレージシステムの間のいずれかの接続要素で障害が発生した場合にフォールトトレランスが実現されます FC SAN でのパスの切り替えをサポートするために ESXi ホストは通常使用できる HBA を複数備えており 1 つまたは複数のスイッチを使用してここからストレージアレイにアクセスできますまたは 1 台の HBA と 2 個のストレージプロセッサを設定し HBA が異なるパスを使用してディスクアレイにアクセスできるようにします図 9-2 では複数のパスで各サービスとストレージデバイスを接続していますたとえば HBA1 または HBA1 とスイッチ間のリンクに障害が発生するとサーバとスイッチ間の接続が HBA2 に引き継がれて実行されます別の HBA に引き継ぐプロセスは HBA フェイルオーバーと呼ばれます図 9-2. ファイバチャネルマルチパスホスト 1 ホスト 2 HBA2 HBA1 HBA3 HBA4 スイッチスイッチ SP1 SP2 ストレージアレイ同様に SP1 または SP1 とスイッチ間のリンクに障害が発生するとスイッチとストレージデバイスの接続が SP2 に引き継がれて実行されますこのプロセスは SP フェイルオーバーと呼ばれます ESXi はマルチパス機能により HBA フェイルオーバーと SP フェイルオーバーをサポートします iscsi SAN を使用したマルチパス iscsi ストレージでは IP ネットワークが提供するマルチパスのサポートを利用できますまた ESXi はハードウェアおよびソフトウェア両方の iscsi イニシエータについてホストベースのマルチパスをサポートしています ESXi は IP ネットワークに組み込まれているマルチパスサポートを使用できますこれによりネットワークでルーティングが可能になります動的検出を使用して iscsi イニシエータはフェイルオーバー用に iscsi LUN へのマルチパスとして使用できるターゲットアドレスのリストを取得します ESXi はホストベースのマルチパスもサポートしていますハードウェアの iscsi ではホストは複数のハードウェア SCSI アダプタを保持できそれらのアダプタを別々のパスとして使用してストレージシステムにアクセスできるようにします 102 VMware, Inc.

103 第 9 章ストレージの管理図 9-3 に示すようにホストには HBA1 と HBA2 の 2 つのハードウェア iscsi アダプタがありストレージシステムへの物理パスが 2 つ提供されますマルチパスプラグインは VMkernel NMP かサードパーティの MPP かにかかわらずデフォルトでパスにアクセスして各物理パスの健全性を監視できますたとえば HBA1 自体または HBA1 とネットワークとの間のリンクに障害が発生した場合マルチパスプラグインでパスを HBA2 に切り替えることができます図 9-3. ハードウェア iscsi とフェイルオーバー ESX/ESXi HBA2 HBA1 IP ネットワーク SP iscsi ストレージソフトウェア iscsi では図 9-4 に示すように複数の NIC を使用できホストとストレージシステムの間の iscsi 接続でのフェイルオーバー機能とロードバランシング機能を利用できますこの設定ではマルチパスプラグインはホストの物理 NIC に直接アクセスできないため最初に各物理 NIC を別々の VMkernel ポートに接続する必要がありますそのあとポートのバインド技術を使用してすべての VMkernel ポートとソフトウェア iscsi イニシエータを関連付けますその結果別個の NIC に接続された各 VMkernel ポートは別々のパスになり iscsi ストレージスタックと iscsi ストレージ対応のマルチパスプラグインで使用できるようになりますこの設定の詳細については iscsi SAN 構成ガイドを参照してください VMware, Inc. 103

104 図 9-4. ソフトウェア iscsi およびフェイルオーバー ESX/ESXi NIC2 ソフトウェアイニシエータ NIC1 IP ネットワーク SP iscsi ストレージパスのスキャンと要求 ESXi ホストを起動またはストレージアダプタを再スキャンするとホストは利用可能なストレージデバイスへのすべての物理パスを検出します /etc/vmware/esx.conf ファイルに規定された要求ルールに基づきホストはどのマルチパスプラグイン (MPP) が特定のデバイスに対するパスの要求をしそのデバイスのマルチパス対応を管理すべきかを判断しますデフォルトではホストは 5 分おきに周期的なパス評価を行い要求を受けていないパスがあれば適切な MPP が要求するようにします要求ルールには番号がつけられています各物理パスに対しホストは最も小さい番号から要求ルールを調べていきます物理パスの属性が要求ルールのパス仕様と比較されます一致するとホストは要求ルールに指定された MPP を物理パスの管理に割り当てますこれはすべての物理パスが対応する MPP ( サードパーティまたはネイティブのマルチパスプラグイン (NMP)) により要求されるまで続けられます NMP モジュールにより管理されているパスについては別の要求ルールが適用されますこれらの要求ルールにより特定のアレイタイプからのパスの管理にどの SATP を使用し各ストレージデバイスに対しどの PSP を使用すべきかを判断しますたとえば EMC CLARiiON CX ストレージファミリのストレージデバイスの場合デフォルトの SATP は VMW_SATP_CX でデフォルトの PSP は最近の使用となりますホストが特定のストレージデバイスに対しどの SATP および PSP を使用しているのか表示するにはまた当該ストレージデバイスで利用可能なすべてのパスの状態を表示するには vsphere Client を使用しますデフォルトの VMware PSP は必要に応じて vsphere Client で変更できますデフォルトの SATP を変更するには vsphere CLI を使用して要求ルールを変更する必要があります PSA を管理するのに使用できるコマンドの詳細については vsphere Command-Line Interface Installation and Reference Guide を参照してください 104 VMware, Inc.

105 第 9 章ストレージの管理パス情報の表示 ESXi ホストが特定のストレージデバイスにどの SATP および PSP を使用しているのかまた当該ストレージデバイスで利用可能なすべてのパスがどのような状態にあるのかを判断するには vsphere Client を使用しますデータストアビューおよびデバイスビューどちらからもパス情報にアクセスできますデータストアの場合そのデータストアが展開されているデバイスに接続するパスが表示されますパス情報にはデバイス管理用に割り当てられた SATP パス選択ポリシー (PSP) 各パスが使うアダプタやターゲットなどの物理特性を記載したパスのリストおよび各パスの状態が含まれます次のパス状態情報が表示されますアクティブ I/O を LUN に発行するのに使用できるパス現在データの転送に使用されている単一または複数の機能しているパスはアクティブ (I/O) とマークされます注意 ESXi 3.5 以前を実行しているホストの場合アクティブという用語は I/O を LUN に発行するためにホストが使用している唯一のパスを示しますスタンバイ無効破損パスは動作中でありアクティブなパスに障害が発生した場合 I/O 用に使用できますパスが機能しておらずデータを転送できませんソフトウェアはこのパス経由でディスクに接続できません [ 固定 ] パスポリシーを使用している場合どのパスが優先パスであるかを確認できます優先パスには優先の列がアスタリスク (*) でマークされますデータストアパスの表示データストアが展開されているストレージデバイスに接続するパスを表示するには vsphere Client を使用します手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージ ] をクリックします 3 ビューの [ データストア ] をクリックします 4 構成されたデータストアのリストからパスを表示または構成するデータストアを選択します詳細パネルにデバイスのアクセスに使用されているパスの合計数とそのいずれかが故障または無効化されているかが表示されます 5 [ プロパティ ] - [ パスの管理 ] をクリックしてパスの管理ダイアログボックスを開きますパスの管理ダイアログボックスを使用するとパスの有効化または無効化マルチパスポリシーの設定および優先パスの指定ができますストレージデバイスパスの表示ホストが特定のストレージデバイスに対しどの SATP および PSP を使用しているのかまた当該ストレージデバイスで利用可能なすべてのパスの状態を表示するには vsphere Client を使用します手順 1 vsphere Client にログインしてインベントリパネルからサーバを選択します 2 [ 構成 ] タブをクリックしてハードウェアパネルの [ ストレージ ] をクリックします 3 ビューの [ デバイス ] をクリックします 4 [ パスの管理 ] をクリックするとパスの管理ダイアログボックスを開きます VMware, Inc. 105

106 パス選択ポリシーの設定各ストレージデバイスに対し ESXi ホストは /etc/vmware/esx.conf ファイルに規定されている要求ルールに基づきパス選択ポリシーを設定しますデフォルトで次のパス選択ポリシーがサポートされますホストにサードパーティの PSP をインストールしている場合そのポリシーもリストに表示されます固定 (VMware) 最近の使用 (VMware) ラウンドロビン (VMware) ディスクへの優先パスを使用できる場合ホストは常にそのパスを使用しますホストが優先パスでディスクにアクセスできない場合代替パスが試されますアクティブ - アクティブのストレージデバイスのデフォルトポリシーは固定ですホストはパスが使用不可能にならないかぎりあるディスクへのパスを使用しますそのパスが使用不可能になった場合ホストは代替パスの 1 つを選択します元のパスが再び使用可能になってもホストは元のパスに戻りません MRU ポリシーでは優先パスの設定はありません MRU はアクティブ - パッシブストレージデバイスのデフォルトポリシーでこれらのデバイスでは必須ですホストは使用可能なすべてのパスを順に回る自動パス選択アルゴリズムを使用しますこれにより使用可能なすべての物理パス間でのロードバランシングが実現されますロードバランシングはサーバの I/O 要求を使用可能なすべてのパスに分散する処理です目的はスループットの観点からパフォーマンスを最適化することにあります (1 秒あたりの I/O 数 1 秒あたりのメガバイト数またはレスポンスタイム ) 表 9-1 にアレイのタイプおよびフェイルオーバーポリシーによってホストの動作がどのように変わるかをまとめています表 9-1. パスポリシーの影響ポリシー / コントローラアクティブ - アクティブアクティブ - パッシブ最近の使用固定パスに障害が発生したあとのフェイルバックにシステム管理者の操作が必要接続がリストアされたときに優先パスを使用して VMkernel がレジュームパスに障害が発生したあとのフェイルバックにシステム管理者の操作が必要優先パスを使用して VMkernel がレジュームを試行これにより別の SP が LUN を所有することになるためパスのスラッシングまたは障害が発生する可能性がありますラウンドロビンフェイルバックなしラウンドロビンスケジュールの次のパスが選択されるパス選択ポリシーの変更一般的にホストが特定のストレージデバイスに使用しているデフォルトのマルチパス設定を変更する必要はありませんただし変更する場合パスの管理ダイアログボックスを使用してパス選択ポリシーを変更し固定ポリシーで優先するパスを指定できます手順 1 データストアビューまたはデバイスビューからパスの管理ダイアログボックスを開きます 2 パス選択ポリシーを選択しますデフォルトで次のパス選択ポリシーがサポートされますホストにサードパーティの PSP をインストールしている場合そのポリシーもリストに表示されます [ 固定 (VMware)] [ 最近の使用 (VMware)] [ ラウンドロビン (VMware)] 106 VMware, Inc.

107 第 9 章ストレージの管理 3 固定ポリシーの場合優先パスとして割り当てるパスを右クリックして [ 優先 ] を選択します 4 [OK] をクリックして設定を保存しダイアログボックスを終了しますパスの無効化メンテナンスなどの目的で一時的にパスを無効にできますこれは vsphere Client を使用して実行できます手順 1 データストアビューまたはデバイスビューからパスの管理ダイアログボックスを開きます 2 パスパネルで無効にするパスを右クリックし [ 無効化 ] をクリックします 3 [OK] をクリックして設定を保存しダイアログボックスを終了しますアダプタのパスビューからもリスト内でパスを右クリックし [ 無効化 ] を選択することによりパスを無効化できますシンプロビジョニング仮想マシンを作成する場合にはデータストア上の一定量のストレージ領域が仮想ディスクファイルにプロビジョニングされます ( 割り当てられます ) デフォルトでは ESXi は作成時に従来のストレージプロビジョニング方法を提示しこのときにライフサイクル全体において仮想マシンでどのくらいのストレージが必要かについて見積もり仮想ディスクに一定量のストレージ領域をプロビジョニングしてプロビジョニングした領域全体が仮想ディスクへコミットされるようにしますこのようにプロビジョニングされた領域全体をすぐに占有する仮想ディスクをシックディスクと呼びますシック形式の仮想ディスクを作成すると個々の仮想マシンに事前に割り当てられた大量のストレージ領域が使用されないまま残る可能性があるためデータストアの容量を十分に利用できないことがありますストレージ領域の過剰割り当てを防いでストレージを節約するために ESXi はシンプロビジョニングをサポートしていますこれにより最初にストレージ領域を現在必要な分だけ使用しあとでストレージ領域で必要な量を追加できます ESXi のシンプロビジョニング機能を使用するとシンフォーマットの仮想ディスクを作成できますシン仮想ディスクでは ESXi はディスクの現行および将来的なアクティビティで必要な領域全体をプロビジョニングしますがディスクで初期操作に必要な分のストレージ領域のみをコミットします仮想ディスクフォーマットについて仮想ディスクの作成テンプレートへの仮想マシンのクローン作成仮想マシンの移行など仮想マシンの特定の管理操作を実行するとき仮想ディスクファイルのフォーマットを指定できます次のディスクフォーマットがサポートされていますディスクが NFS データストア上にある場合ディスクフォーマットは指定できません NFS サーバがディスクの割り当てポリシーを定義しますシンプロビジョニングフォーマットこのフォーマットを使用してストレージ容量を節約しますシンディスクの場合入力したディスクサイズの値に応じてディスクに必要な容量と同じデータストア容量をプロビジョニングしますただしシンディスクは最初は小さく初期動作に実際に必要なデータストア容量のみを使用します注意仮想ディスクがフォールトトレランスなどのクラスタソリューションをサポートしている場合シンディスクは作成できませんあとでシンディスクでさらに多くの容量が必要になるとその最大容量まで拡張しプロビジョニングされたデータストア容量全体を占有できますまたシンディスクは手動でシックに変換することもできますシックフォーマットこれはデフォルトの仮想ディスクフォーマットですシック仮想ディスクはサイズが変化することなくプロビジョニングされたデータストア容量全体を最初から占有しますシックフォーマットは割り当てられた領域のブロックをゼロクリアしませんシックディスクをシンディスクに変換することはできません VMware, Inc. 107

108 シンプロビジョニング仮想ディスクの作成ストレージ容量を節約する必要がある場合シンプロビジョニングフォーマットの仮想ディスクを作成できますシンプロビジョニング仮想ディスクは最初は小さく必要なディスク容量が増加するにつれて拡大しますこの手順では新規仮想マシンウィザードを使用して一般的な仮想マシンまたはカスタム仮想マシンを作成することを前提としています開始する前にシンディスクはシンプロビジョニングに対応したデータストアのみに作成できますディスクが NFS データストアに配置されている場合 NFS サーバがそのディスクの割り当てポリシーを決定するためディスクフォーマットを指定できません手順 u ディスクの作成ダイアログボックスで [ 領域をオンデマンドで割り当ておよびコミット ( シンプロビジョニング )] を選択しますシンフォーマットの仮想ディスクが作成されますシンプロビジョニングオプションを選択しなかった場合仮想ディスクはデフォルトのシックフォーマットになります次に進む前にシンフォーマットの仮想ディスクを作成した場合はあとでフルサイズまで拡張できます仮想マシンストレージリソースの表示仮想マシン用に割り当てられているデータストアのストレージ容量を表示できます手順 1 インベントリ内の仮想マシンを選択します 2 [ サマリ ] タブをクリックします 3 リソースセクションの領域割り当て情報を確認しますプロビジョニングしたストレージ : 仮想マシンに確保されているデータストア領域を示しますシンプロビジョニングフォーマットのディスクがある場合は仮想マシンが領域全体を使用していない場合があります未使用の領域はほかの仮想マシンが占有できます共有していないストレージ : 1 台の仮想マシンによって占有されほかの仮想マシンとは共有していないデータストア容量使用済みストレージ : 構成ファイルログファイルスナップショット仮想ディスクなどの仮想マシンファイルが実際に占有しているデータストア領域を示します仮想マシンが実行中の場合は使用済みストレージ領域にはスワップファイルも含まれます仮想マシンのディスクフォーマットの判別仮想マシンがシックフォーマットまたはシンフォーマットのいずれであるかを調べることができます手順 1 インベントリ内の仮想マシンを選択します 2 [ 設定の編集 ] をクリックすると仮想マシンのプロパティダイアログボックスが表示されます 108 VMware, Inc.

109 第 9 章ストレージの管理 3 [ ハードウェア ] タブをクリックしハードウェアリストで該当するハードディスクを選択します右側のディスクプロビジョニングセクションに仮想ディスクのタイプがシンとシックのどちらなのかが表示されます 4 [OK] をクリックします次に進む前に仮想マシンがシンフォーマットの場合はフルサイズまで拡張できますシンからシックへの仮想ディスクの変換シンフォーマットで仮想ディスクを作成した場合はそれをシックに変換できます手順 1 インベントリ内の仮想マシンを選択します 2 [ サマリ ] タブをクリックしリソースで仮想マシンのデータストアをダブルクリックしてデータストアブラウザダイアログボックスを表示します 3 仮想マシンフォルダをクリックし変換する仮想ディスクファイルを探しますファイルには.vmdk という拡張子が付いています 4 仮想ディスクファイルを右クリックし [ 拡張 ] を選択しますシックフォーマットの仮想ディスクは最初にプロビジョニングされたデータストア容量全体を使用しますデータストアのオーバーサブスクリプションの処理シンディスクに対してプロビジョニングされる領域はコミット領域よりも多いことがあるためデータストアのオーバーサブスクリプションが発生することがありますこのためデータストア上の仮想マシンディスクに対してプロビジョニングされた容量の合計が実際の容量よりも多くなるという結果になります通常シンディスクを備えているすべての仮想マシンがプロビジョニングされたデータストア全体の領域を同時に必要とするわけではないためオーバーサブスクリプションが可能な場合がありますただしデータストアのオーバーサブスクリプションが発生しないようにするにはプロビジョニングした領域が特定のしきい値に達した場合にユーザーにアラームを通知するよう設定できますアラームの設定については基本システム管理を参照してください仮想マシンに追加の領域が必要な場合は先着順にデータストア領域が割り当てられますデータストアの領域が不足している場合物理ストレージを追加してデータストアを増やすことができます VMFS データストアの増加 (P. 96) を参照してください VMware, Inc. 109

110 110 VMware, Inc.

111 RAW デバイスマッピング 10 RAW デバイスマッピング (RDM) を使用すると仮想マシンから物理ストレージサブシステム ( ファイバチャネルまたは iscsi のみ ) 上の LUN に直接アクセスできるようになります次のトピックには RDM に関する情報が含まれていますまた RDM を作成および管理する方法についても記載されていますこの章では次のトピックについて説明します RAW デバイスマッピングについて (P. 111) RAW デバイスマッピングの特性 (P. 114) マッピング済み LUN の管理 (P. 118) RAW デバイスマッピングについて RDM とは RAW 物理デバイス ( 仮想マシンが直接使用する SCSI デバイス ) のプロキシとして機能する分離された VMFS ボリューム内のマッピングファイルです RDM には物理デバイスへのディスクアクセスを管理およびリダイレクトするためのメタデータが格納されていますこのファイルを使用すると VMFS 内の仮想ディスクを利用することができると同時に物理デバイスに直接アクセスできますしたがってこのファイルによって VMFS の管理性と RAW デバイスアクセスとが結合されます RDM は RAW デバイスのデータストアへのマッピングシステム LUN のマッピングディスクファイルの物理ディスクボリュームへのマッピングなどの言葉で表すことができますこれらの言葉はすべて RDM を表しています図 RAW デバイスマッピング仮想マシン開く読み取り書き込み VMFS ボリュームマッピングファイルアドレス解決マッピングされたデバイスほとんどの場合仮想ディスクのストレージには VMFS データストアを使用することをお勧めしますがある特定の状況においては RAW LUN (SAN 内にある論理ディスク ) を使用する必要があります VMware, Inc. 111

112 たとえば次の場合に RDM で RAW LUN を使用する必要があります SAN スナップショットまたはその他のレイヤーアプリケーションを仮想マシンで実行している場合 RDM は SAN 固有の機能を使用することによって拡張性の高いバックアップ負荷軽減システムを実現します仮想クラスタから仮想クラスタおよび物理クラスタから仮想クラスタに物理ホストを展開する MSCS クラスタリングの場合この場合クラスタデータおよびクォーラムディスクは共有 VMFS のファイルではなく RDM として構成する必要があります RDM は VMFS ボリュームから RAW LUN へのシンボルリンクとして考えますマッピングにより LUN は VMFS ボリューム内のファイルして認識されるようになります RAW LUN ではない RDM は仮想マシン構成で参照されます RDM には RAW LUN への参照が含まれています RDM を使用すると次の処理を実行できます VMotion を使用して RAW LUN で仮想マシンを移行する vsphere Client を使用して RAW LUN を仮想マシンに追加する分散ファイルロック許可ネーミングなどのファイルシステム機能を使用する RDM で次の 2 つの互換モードを使用できます仮想互換モードではスナップショットの使用など仮想ディスクファイルと同様に RDM が機能します物理互換モードでは低レベル制御が必要なアプリケーションで SCSI デバイスの直接アクセスが可能です RAW デバイスマッピングのメリット RDM には多くのメリットがありますがすべての状況に該当するわけではありません通常仮想ディスクファイルは管理性の面で RDM よりも優れていますただし RAW デバイスが必要な場合 RDM を使用する必要があります RDM にはいくつかのメリットがありますわかりやすく永続的な名前マッピング済みのデバイスにわかりやすい名前を提供します RDM を使用する場合デバイスをそのデバイス名で示す必要はありません参照するにはマッピングファイルの名前を使用します次に例を示します /vmfs/volumes/myvolume/myvmdirectory/myrawdisk.vmdk 動的名前解決マッピング済みの各デバイスの一意の ID 情報を保存します VMFS はアダプタハードウェアの変更パスの変更デバイスの移動などによりサーバの物理構成に変更が発生しても現在の SCSI デバイスと各 RDM を関連付けます分散ファイルロックファイル権限ファイルシステムの操作スナップショット VMotion RAW SCSI デバイスの VMFS 分散ロックを使用できます RDM で分散ロックを使用することにより別のサーバにある 2 個の仮想マシンが同じ LUN にアクセスしようとしてもデータを消失することなく共有の RAW LUN を安全に使用できますファイル権限を使用できますマッピングファイルの権限はマッピング済みのボリュームを保護するためファイルを開くときに使用されますマッピングファイルをプロキシとして使用してマッピング済みのボリュームでファイルシステムユーティリティを使用できます通常のファイルに有効なほとんどの操作はマッピングファイルに適用できマッピング済みのデバイスで機能するようにリダイレクトされますマッピング済みのボリュームで仮想マシンのスナップショットを使用できます RDM が物理互換モードで使用されている場合スナップショットは使用できません VMotion を使用して仮想マシンの移行ができますマッピングファイルはプロキシとして機能し仮想ディスクファイルの移行と同じメカニズムを使用することで vcenter Server が仮想マシンを移行できるようにします 112 VMware, Inc.

113 第 10 章 RAW デバイスマッピング図 RAW デバイスマッピングを使用した仮想マシンの VMotion ホスト 1 ホスト 2 VM1 VMotion VM2 VMFS ボリュームマッピングファイルアドレス解決マッピングされたデバイス SAN 管理エージェント N-Port ID 仮想化 (NPIV) 仮想マシン内で一部の SAN 管理エージェントを実行できます同様にハードウェア固有の SCSI コマンドを使用することによりデバイスにアクセスする必要があるソフトウェアも仮想マシン内で実行できますこのようなソフトウェアは SCSI ターゲットベースソフトウェアと呼ばれます SAN 管理エージェントを使用する場合 RDM で物理互換モードを選択します複数の Worldwide ポート名 (WWPN) を使用して 1 つのファイバチャネル HBA ポートをファイバチャネルファブリックに登録できる NPIV テクノロジーを使用できますこれによって HBA ポートはそれぞれが独自の ID と仮想ポート名を持つ複数の仮想ポートとして表示されます仮想マシンは各仮想ポートを要求しすべての RDM トラフィックに使用できます注意 NPIV は RDM ディスクを使用している仮想マシンにのみ使用できます当社ではストレージ管理ソフトウェアのベンダーと協力して ESXi を含む環境でのソフトウェアの正常な動作を実現していますこのようなアプリケーションのいくつかを次に示します SAN 管理ソフトウェアストレージリソース管理 (SRM) ソフトウェアスナップショットソフトウェアレプリケーションソフトウェアこのようなソフトウェアでは SCSI デバイスに直接アクセスできるように RDM で物理互換モードを使用しますさまざまな管理製品が (ESXi マシン上でなく ) 統合されて最適な状態で実行される一方別の製品はサービスコンソール上や仮想マシン上で最適に実行されます当社ではこのようなアプリケーションについては保証せず互換性マトリックスを提供していません SAN 管理アプリケーションが ESXi 環境でサポートされているかどうかを確認するには SAN 管理ソフトウェアプロバイダにお問い合わせください VMware, Inc. 113

114 RAW デバイスマッピングの制限 RDM を使用する場合にはいくつかの制限がありますブロックデバイスまたは特定の RAID デバイスでは使用不可 : RDM は SCSI シリアル番号を使用してマッピング済みのデバイスを識別しますブロックデバイスおよび一部の直接接続 RAID デバイスはシリアル番号をエクスポートしないのでこのようなデバイスは RDM を使用できません VMFS-2 および VMFS-3 ボリュームのみで使用可能 : RDM では VMFS-2 または VMFS-3 フォーマットが必要です ESXi では VMFS-2 ファイルシステムは読み取り専用です VMFS-2 で保存したファイルを使用するには VMFS-3 にアップグレードします物理互換モードではスナップショットは使用不可 : RDM を物理互換モードで使用する場合ディスクでスナップショットは使用できません物理互換モードでは仮想マシンで独自のスナップショットまたはミラーリング処理を管理できますスナップショットは仮想モードで使用できますパーティションマッピングのサポートなし : RDM ではマッピング済みのデバイスは LUN 全体である必要がありますパーティションへのマッピングはサポートされていません RAW デバイスマッピングの特性 RDM はマッピング済みのデバイスのメタデータを管理する VMFS ボリュームに含まれる特別なマッピングファイルですマッピングファイルは通常のファイルシステムの操作に使用できる通常のディスクファイルとして管理ソフトウェアに提供されます仮想マシンにはストレージ仮想化レイヤーによりマッピング済みのデバイスが仮想 SCSI デバイスとして提供されますマッピングファイルのメタデータの主な内容にはマッピング済みのデバイスの場所 ( 名前解決 ) およびマッピング済みのデバイスのロック状態権限などが含まれます RDM の仮想および物理互換モード RDM は仮想互換モードまたは物理互換モードで使用できます仮想モードはマッピング済みのデバイスの完全な仮想化を指定します物理モードはマッピング済みのデバイスの最小 SCSI 仮想化を指定して SAN 管理ソフトウェアの柔軟性を最大にします仮想モードではマッピング済みのデバイスが VMFS ボリュームの仮想ディスクファイルと完全に同様にゲスト OS には見えます実際のハードウェア特性は表示されません RAW ディスクを仮想モードで使用している場合データを保護する詳細ファイルロックや開発プロセスを簡単にするスナップショットなどの VMFS のメリットを利用できますまた仮想モードはストレージハードウェアでは物理モードに比べてよりポータブルなため仮想ディスクファイルとも同じ動作を行います物理モードでは VMkernel がすべての SCSI コマンドをデバイスに渡しますただし例外が 1 つあります REPORT LUN コマンドは VMkernel が所有する仮想マシンの LUN を隔離できるように仮想化されます仮想化されない場合基本となるハードウェアのすべての物理特性が公開されます物理モードは SAN 管理エージェントまたはほかの SCSI ターゲットベースソフトウェアを仮想マシンで実行するときに便利ですまた物理モードではコスト効率および高可用性を目的に仮想から物理へのクラスタリングが可能になります 114 VMware, Inc.

115 第 10 章 RAW デバイスマッピング図仮想および物理互換モード仮想マシン 1 仮想化仮想モード VMFS マッピングファイル VMFS ボリュームマッピングされたデバイス仮想マシン 1 仮想化物理モード VMFS マッピングファイル VMFS ボリュームマッピングされたデバイス動的名前解決 RDM では /vmfs サブツリー内のマッピングファイルの名前を参照することによって永続的な名前をデバイスに提供できます図 10-4 の例は 3 つの LUN を示しています LUN1 は最初の可視 LUN に相対的なデバイス名でアクセスされます LUN2 は LUN3 の RDM で管理されるマッピング済みのデバイスです RDM は /vmfs サブツリーの固定パス名でアクセスされます VMware, Inc. 115

116 図名前解決の例ホスト仮想マシン 1 scsi0:0.name = vmhba0:0:1:0:mydiskdir /mydiskname.vmdk 仮想マシン 2 scsi0:0.name = mymapfile HBA 0 HBA 1 (vmhba0:0:1:0) (vmhba1:0:1:0) (/vmfs/volumes/myvolume /myvmdirectory/mymapfile) LUN 3 マッピングファイル LUN 1 VMFS vmhba0:0:3:0 LUN 2 vmhba0:0:1:0 マッピングされたデバイス vmhba0:0:2:0 マッピングされた LUN はすべて VMFS で一意に識別されます ID はその内部データ構造に保存されますファイバチャネルスイッチ障害や新しいホストバスアダプタの追加など SCSI パスが変更されるとデバイス名も変わる可能性があります動的名前解決はデータ構造を調整して LUN のターゲットを新しいデバイス名に変更することでこれらの変更を補正します 116 VMware, Inc.

117 第 10 章 RAW デバイスマッピング仮想マシンクラスタでの RAW デバイスマッピングフェイルオーバーが生じた場合に同一の RAW LUN にアクセスする必要がある仮想マシンクラスタで RDM を使用します設定は同一の仮想ディスクファイルにアクセスする仮想マシンクラスタの場合と似ていますが RDM では仮想ディスクファイルを置き換えます図クラスタリングされた仮想マシンからのアクセスホスト 3 ホスト 4 VM3 VM4 共有アクセスマッピングファイル VMFS ボリュームアドレス解決マッピングされたデバイス利用可能な SCSI デバイスアクセスモードの比較 SCSI ベースのストレージデバイスにアクセスする方法として VMFS データストアの仮想ディスクファイル仮想モード RDM および物理モード RDM があります SCSI デバイスで使用できるアクセスモードから選択するときの参考にそれぞれのモードで使用できる機能の簡単な比較を表 10-1 に示します表仮想ディスクおよび RAW デバイスマッピングで使用できる機能 ESXi の機能仮想ディスクファイル仮想モード RDM 物理モード RDM パススルー SCSI コマンド不可不可可 vcenter Server のサポート可可可スナップショット可可不可分散ロック可可可 REPORT LUN はパススルーされませんクラスタリング筐体内クラスタのみ筐体内クラスタおよび筐体間クラスタ物理と仮想間のクラスタリング SCSI ターゲットベースソフトウェア不可不可可筐体内クラスタタイプのクラスタリングには仮想ディスクファイルを使用することをお勧めします筐体内クラスタを筐体間クラスタとして再構成する計画がある場合は筐体内クラスタに仮想モードの RDM を使用します VMware, Inc. 117

118 マッピング済み LUN の管理 vsphere Client を使用して SAN LUN をデータストアにマッピングしマッピングした LUN へのパスを管理できますマッピングした LUN およびその RDM の管理に使用できる別のツールには vsphere CLI で使用する vmkfstools ユーティリティおよびその他のコマンドがあります vmkfstools ユーティリティを使用すると vsphere Client から実行可能な操作と同じ操作の多くを実行できます RDM を使用する仮想マシンの作成仮想マシンが RAW SAN LUN に直接アクセスできるようにするには VMFS データストアに常駐するマッピングファイル (RDM) を作成し LUN を参照するようにしますマッピングファイルの拡張子は通常の仮想ディスクファイルと同じ.vmdk ですが RDM ファイルにはマッピング情報だけが含まれています実際の仮想ディスクデータは LUN に直接格納されます RDM は新規仮想マシンの初期ディスクとして作成したり既存の仮想マシンに追加したりすることができます RDM を作成するときにマッピングする LUN および RDM を保存するデータストアを指定します手順 1 カスタム仮想マシンの作成に必要な手順すべてを実行します 2 ディスクの選択ページで [RAW デバイスのマッピング ] を選択し [ 次へ ] をクリックします 3 SAN ディスクまたは LUN のリストから仮想マシンが直接アクセスする RAW LUN を選択します 4 RDM マッピングファイルのデータストアを選択します RDM ファイルは仮想マシンの構成ファイルと同じデータストアまたは異なるデータストアに配置できます注意 NPIV を有効にした仮想マシンで VMotion を使用するには仮想マシンの RDM ファイルが同じデータストアにあることを確認してください NPIV が有効になっている場合データストア間で Storage VMotion または VMotion を実行することはできません 5 互換モードを選択しますオプション物理仮想説明ゲスト OS がハードウェアに直接アクセスできるようにします物理互換モードは仮想マシンで SAN 認識アプリケーションを使用している場合に便利ですただし物理互換の RDM を使用する仮想マシンはクローン作成したりテンプレートに変換したりディスクのコピーを伴うような移行を行なったりすることはできません RDM を仮想ディスクのように機能させることができるためスナップショット作成やクローン作成などの機能を使用できます 6 仮想デバイスノードを選択します 7 独立モードを選択した場合次のいずれかのオプションを選択しますオプション通常読み取り専用説明ディスクへの変更はその場で恒久的にディスクに書き込まれますパワーオフしたりスナップショットまで戻ったりするとディスクへの変更内容が破棄されます 8 [ 次へ ] をクリックします 9 新規仮想マシンの設定が完了しましたページで選択内容を確認します 10 [ 終了 ] をクリックして仮想マシンの設定を完了します 118 VMware, Inc.

119 第 10 章 RAW デバイスマッピングマッピング済み RAW LUN のパス管理マッピング済みの RAW LUN のパスを管理できます手順 1 システム管理者またはマッピング済みディスクが属する仮想マシンの所有者としてログインします 2 インベントリパネルで仮想マシンを選択します 3 [ サマリ ] タブの [ 設定の編集 ] をクリックします 4 [ ハードウェア ] タブで [ ハードディスク ] を選択して [ パスの管理 ] をクリックします 5 パスの管理ダイアログボックスを使用してパスの有効化または無効化マルチパスポリシーの設定および優先パスの指定を行いますパスの管理については ESXi でのマルチパスの使用 (P. 99) を参照してください VMware, Inc. 119

120 120 VMware, Inc.

121 セキュリティ VMware, Inc. 121

122 122 VMware, Inc.

123 ESXi システムのセキュリティ 11 ESXi は強力なセキュリティに重点をおいて開発されました ESXi 環境におけるセキュリティおよびセキュリティの観点からのアドレスシステムアーキテクチャが実現されていますこの章では次のトピックについて説明します ESXi アーキテクチャおよびセキュリティ機能 (P. 123) セキュリティリソースおよび情報 (P. 129) ESXi アーキテクチャおよびセキュリティ機能 ESXi のコンポーネントと全体のアーキテクチャは ESXi システム全体のセキュリティを確保するよう設計されていますセキュリティの観点から ESXi は仮想化レイヤー仮想マシンおよび仮想ネットワークレイヤーの 3 つの主要なコンポーネントで構成されています図 11-1 はこれらのコンポーネントの概要を示しています図 ESXi アーキテクチャ ESXi 仮想マシン仮想マシン仮想マシン仮想マシン VMware 仮想化レイヤー (VMkernel) 仮想ネットワークレイヤー CPU メモリハードウェアネットワークストレージアダプタ VMware, Inc. 123

124 セキュリティおよび仮想化レイヤー仮想化レイヤー (VMkernel) は仮想マシンの実行を目的に当社が設計したカーネルですこれはホストが使用するハードウェアを制御し仮想マシンでのハードウェアリソースの割り当てをスケジュール設定します VMkernel は仮想マシンのサポートを専用としていてほかの目的では使用されないので VMkernel のインターフェイスは仮想マシンの管理に必要な API に厳密に制限されます ESXi は次の機能により VMkernel の保護を強化していますメモリのセキュリティ強化機能カーネルモジュールの整合性 Trusted Platform Module (TPM) ESXi のカーネルユーザーモードアプリケーションおよび実行可能なコンポーネント ( ドライバやライブラリなど ) は予測不可能なメモリアドレスにランダムに配置されますマイクロプロセッサで予測不可能なメモリによる保護を使用できるようになると強力な保護が実現され悪質なコードがメモリを利用して脆弱性につけ込むことが難しくなります VMkernel がモジュールドライバおよびアプリケーションをロードした場合デジタル署名によりこれらの整合性および認証が保証されますモジュール署名により ESXi はモジュールドライバまたはアプリケーションを識別しこれらが当社で認証されているかどうかを識別しますこのモジュールはプラットフォームの信頼性の中核となるハードウェア要素で起動プロセスだけでなく暗号化鍵のストレージおよび保護の証明を行います起動プロセスの一環として ESXi は TPM によって VMkernel を評価しそのときの起動から次の起動まで VMkernel に対する変更が記録されます評価の値は vcenter Server へ伝達され vsphere API を使用してサードパーティのエージェントで取得できます注意システム上に TPM が存在しているのに BIOS で無効になっている場合は次のエラーメッセージが表示されることがあります Error loading TPM. これは予期される動作でありエラーメッセージに対しては何もしなくてかまいませんセキュリティおよび仮想マシン仮想マシンはアプリケーションやゲスト OS が実行するコンテナです設計上すべての VMware 仮想マシンはそれぞれ隔離されていますこの隔離により複数の仮想マシンがハードウェアを共有しながら安全に実行できパフォーマンスに影響することなくハードウェアにアクセスできます仮想マシンのゲスト OS でシステム管理者権限を持つユーザーでも ESXi システム管理者により明示的に権限が付与されていないかぎりこの隔離レイヤーに違反して別の仮想マシンにアクセスすることはできません仮想マシンが隔離されていると仮想マシンで実行するゲスト OS で障害が発生した場合でも同じホストのほかの仮想マシンは継続して動作しますゲスト OS で障害が発生しても次のことには影響しませんユーザーがほかの仮想マシンにアクセスする機能作動している仮想マシンが必要なリソースにアクセスする機能ほかの仮想マシンのパフォーマンス仮想マシンは同じハードウェアで実行しているほかの仮想マシンとは隔離されています仮想マシンは CPU メモリ I/O デバイスなどの物理的なリソースを共有しますが図 11-2 に示すように個々の仮想マシンのゲスト OS は利用可能な仮想デバイス以外のデバイスを検出できません 124 VMware, Inc.

125 第 11 章 ESXi システムのセキュリティ図仮想マシンの隔離仮想マシン App App App App App オペレーティングシステム仮想マシンのリソース CPU メモリディスクネットワークとビデオカード SCSI コントローラマウス CD/DVD キーボード VMkernel は物理リソースを仲介しすべての物理ハードウェアのアクセスは VMkernel を介して行われるため仮想マシンはこの隔離レベルを回避できません物理マシンがネットワークカードを介してネットワークのほかのマシンと通信するように仮想マシンは仮想スイッチを介して同じホストで実行するほかの仮想マシンと通信しますさらに仮想マシンは図 11-3 に示すように物理ネットワークアダプタを介してほかの ESXi ホスト上の仮想マシンを含む物理ネットワークと通信します図仮想スイッチを介した仮想ネットワーク ESXi 仮想マシン仮想マシン仮想ネットワークアダプタ仮想ネットワークアダプタ VMkernel 仮想ネットワークレイヤー仮想スイッチによる仮想マシンの相互リンク物理ネットワークハードウェアネットワークアダプタによる仮想マシンから物理ネットワークへのリンク次の特性はネットワークコンテキストで隔離されている仮想マシンに適用されます仮想マシンがほかの仮想マシンと仮想スイッチを共有しない場合ホスト内の仮想ネットワークから完全に隔離される物理ネットワークアダプタが仮想マシンに構成されていない場合仮想マシンは物理ネットワークから完全に隔離される同じセーフガード ( ファイアウォールアンチウイルスソフトウェアなど ) を使用して物理マシンのようにネットワークから仮想マシンを保護する場合仮想マシンのセキュリティは物理マシンのセキュリティと同レベルになるリソース予約と制限をホストで設定することで仮想マシンをさらに保護できますたとえば ESXi で使用できる詳細なリソース制御を介して仮想マシンがホストの CPU リソースの少なくとも 10 パーセントを使用してもその使用量が 20 パーセントを超えないように仮想マシンを構成できますリソース予約および制限は別の仮想マシンが共有ハードウェアのリソースを大量に消費した場合に生じるような仮想マシンのパフォーマンス低下が発生しないようにしますたとえばホストのいずれかの仮想マシンがサービス拒否 (DoS) 攻撃により機能できなくなってもそのマシンのリソース制限によりほかの仮想マシンに影響を及ぼすほどのハードウェアリソースを使用する攻撃を防ぐことができます同様に各仮想マシンのリソース予約により DoS 攻撃のターゲットにされた仮想マシンに多くのリソースが要求された場合でもほかのすべての仮想マシンは十分なリソースを使用できます VMware, Inc. 125

126 デフォルトでは ESXi はリソースの一定割合をその他のシステムコンポーネントで使用するように確保しながら使用可能なホストリソースを仮想マシンに均等に配分する分散アルゴリズムを適用してリソース予約の形式を割り当てますこのデフォルト動作により DoS および分散型サービス拒否 (DDoS) 攻撃からある程度は自然に保護されますリソース予約および制限を個別に設定するとデフォルトの動作をカスタマイズできるので仮想マシンの構成全体で均等配分しないように設定できますセキュリティおよび仮想ネットワークレイヤー仮想ネットワークレイヤーには仮想ネットワークアダプタおよび仮想スイッチが含まれます ESXi は仮想ネットワークレイヤーに依存し仮想マシンとそのユーザー間の通信をサポートしますまたホストは仮想ネットワークレイヤーを使用して iscsi SAN NAS ストレージなどと通信します仮想マシンネットワークのセキュリティを強化するのに使用する方法はインストールされているゲスト OS の種類仮想マシンを信頼できる環境で操作するかどうかまたその他のさまざまな要因によって異なります仮想スイッチはファイアウォールのインストールなどのほかの一般的なセキュリティ機能と一緒に使用すると十分な防御を提供します ESXi は IEEE 802.1q VLAN もサポートしていますこれは仮想マシンネットワークまたはストレージ構成の保護強化に使用できます VLAN では物理ネットワークをセグメント化し同じ物理ネットワーク上の 2 台のマシンが同じ VLAN 上にないかぎり相互にパケットを送受信できないようにできます単一の ESXi ホストでのネットワーク DMZ の作成 ESXi の隔離機能および仮想ネットワークの機能を使用して安全な環境を構成する 1 つの方法として単一ホスト上にネットワーク非武装地帯 (DMZ) を作成するという例があります図 11-4 に構成を示します図単一の ESXi ホストに構成された DMZ ESXi 仮想マシン 1 仮想マシン 2 仮想マシン 3 仮想マシン 4 ファイアウォールサーバ Web サーバアプリケーションサーバファイアウォールサーバ仮想スイッチ 1 仮想スイッチ 2 仮想スイッチ 3 ハードウェアネットワークアダプタ 1 外部ネットワークハードウェアネットワークアダプタ 2 内部ネットワークこの例では仮想スイッチ 2 に仮想 DMZ を作成するよう 4 台の仮想マシンが構成されています仮想マシン 1 および仮想マシン 4 はファイアウォールを実行し仮想スイッチを介して仮想アダプタに接続されていますこれら両方の仮想マシンはマルチホーム接続されています仮想マシン 2 は Web サーバを実行し仮想マシン 3 はアプリケーションサーバとして動作していますこれら両方の仮想マシンはシングルホーム接続されています Web サーバおよびアプリケーションサーバは 2 つのファイアウォール間の DMZ に置かれていますこれらの要素間のルートはファイアウォールとサーバを接続する仮想スイッチ 2 ですこのスイッチは DMZ 外の要素とは直接接続されていないので 2 つのファイアウォールによって外部トラフィックから隔離されています操作の観点からインターネットからの外部トラフィックはハードウェアネットワークアダプタ 1 ( 仮想スイッチ 1 を経由 ) を介して仮想マシン 1 に入りこのマシン上にインストールされているファイアウォールによって検査されますファイアウォールがトラフィックを許可すると DMZ 内の仮想スイッチ ( 仮想スイッチ 2) を経由します Web サーバおよびアプリケーションサーバもこのスイッチに接続されているため外部要求に対応できます 126 VMware, Inc.

127 第 11 章 ESXi システムのセキュリティ仮想スイッチ 2 も仮想マシン 4 に接続されていますこの仮想マシンは DMZ と企業の内部ネットワーク間にファイアウォールを提供しますこのファイアウォールは Web サーバおよびアプリケーションサーバからのパケットをフィルタリングしますパケットが検証されると仮想スイッチ 3 を介してハードウェアネットワークアダプタ 2 に送信されますハードウェアネットワークアダプタ 2 は企業の内部ネットワークに接続されています単一のホストに DMZ を作成する場合には非常に軽量のファイアウォールを使用できますこの構成の仮想マシンは別の仮想マシンを直接制御したりそのメモリにアクセスしたりできませんがすべての仮想マシンが仮想ネットワークを介して接続されていますこのネットワークはウイルスの伝播に使用されたりほかの脅威のターゲットにされる可能性があります DMZ の仮想マシンのセキュリティは同じネットワークに接続された個別の物理マシンと同程度です単一の ESXi ホスト内での複数ネットワークの作成 ESXi システムでは同一のホスト上である仮想マシングループを内部ネットワークに接続する一方で別のグループを外部ネットワークに接続しさらにその他のグループを両方に接続するといったことができるよう設計されていますこれは仮想マシンの隔離という基本に仮想ネットワークの計画と使用を加えた機能です図単一の ESXi ホストに構成された外部ネットワーク内部ネットワークおよび DMZ ESXi 外部ネットワーク内部ネットワーク VM 2 DMZ 内部ユーザー VM 3 VM 6 内部ユーザー VM 4 ファイアウォールサーバ VM 7 VM 1 内部ユーザー VM 5 Web サーバ VM 8 FTP サーバ内部ユーザーファイアウォールサーバ物理ネットワークアダプタ外部ネットワーク 1 内部ネットワーク 2 外部ネットワーク 2 内部ネットワーク 1 図 11-5 でシステム管理者が FTP サーバ内部仮想マシン DMZ という 3 つの異なる仮想マシンのゾーンにホストを構成しました各ゾーンのサーバには固有の機能があります FTP サーバ仮想マシン 1 は FTP ソフトウェアで構成されベンダーによりローカライズされたフォームやコラテラルなど外部リソースとの間で送受信されるデータの保存エリアとして機能しますこの仮想マシンは外部ネットワークのみと関連付けられていますこのマシンには外部ネットワーク 1 に接続する独自の仮想スイッチおよび物理ネットワークアダプタがありますこのネットワークは企業が外部リソースからデータを受信するときに使用するサーバ専用のネットワークですたとえば企業が外部ネットワーク 1 を使用してベンダーから FTP トラフィックを受信し FTP を介して外部で使用可能なサーバに保存されているデータにベンダーがアクセスできるようにします仮想マシン 1 にサービスを提供するほか外部ネットワーク 1 はサイト中の異なる ESXi ホストで構成されている FTP サーバにサービスを提供します VMware, Inc. 127

128 仮想マシン 1 は仮想スイッチまたは物理ネットワークアダプタをホスト内のどの仮想マシンとも共有しないのでほかの常駐の仮想マシンは仮想マシン 1 のネットワークに対してパケットを送受信できませんこの制限により被害者への送信ネットワークトラフィックが必要なスニフィング攻撃を防ぎますさらに重要なことに攻撃者はホストのほかの仮想マシンにアクセスするために FTP の持つ脆弱性を使用できなくなります内部仮想マシン仮想マシン 2 ~ 5 は内部での使用のために予約されていますこれらの仮想マシンは医療記録訴訟和解金詐欺行為調査などの企業のプライベートデータを処理および保存しますそのためシステム管理者はこれらの仮想マシンの保護レベルを最高にする必要がありますこれらの仮想マシンは独自の仮想スイッチおよびネットワークアダプタを介して内部ネットワーク 2 に接続します内部ネットワーク 2 はクレーム処理企業内弁護士調停人など人事課による内部使用のために予約されています仮想マシン 2 ~ 5 は仮想スイッチを介して相互に通信したり物理ネットワークアダプタを介して内部ネットワーク 2 の任意の内部仮想マシンと通信したりできますこれらの仮想マシンは外部と接しているマシンとは通信できません FTP サーバの場合と同様これらの仮想マシンはほかの仮想マシンのネットワークとの間でパケットを送受信できません同様にホストのほかの仮想マシンは仮想マシン 2 ~ 5 との間でパケットを送受信できません DMZ 仮想マシン 6 ~ 8 はマーケティンググループが企業の外部 Web サイトを公開するときに使用する DMZ として構成されていますこの仮想マシンのグループは外部ネットワーク 2 および内部ネットワーク 1 に関連付けられています企業は外部ネットワーク 2 を使用してマーケティングおよび財務部が企業 Web サイトや外部ユーザーに提供するその他の Web 機能をホスティングするために使用する Web サーバをサポートします内部ネットワーク 1 はマーケティング部が企業 Web サイトにコンテンツを公開したりダウンロードを掲載したりユーザーフォーラムなどのサービスを保守したりするときに使用するルートですこれらのネットワークは外部ネットワーク 1 および内部ネットワーク 2 から分離されていて仮想マシンが接続点 ( スイッチやアダプタ ) を共有していないため FTP サーバまたは内部の仮想マシングループとの間での攻撃リスクがありません仮想マシンの隔離を利用して仮想スイッチを正しく構成しネットワーク分離を保持するとシステム管理者は同じ ESXi ホスト内に仮想マシンのゾーン 3 つをすべて収容できデータやリソースの違反をなくすことができます企業は複数の内部および外部ネットワークを使用し各グループの仮想スイッチや物理ネットワークアダプタをほかのグループのものと完全に隔離することで仮想マシングループの分離を強化できます仮想スイッチが仮想マシンのゾーンにまたがることはないのでシステム管理者はゾーン間でのパケット漏洩のリスクを削減できます仮想スイッチは設計上別の仮想スイッチにパケットを直接漏洩することはできませんパケットが仮想スイッチ間で送受信されるのは次の場合だけです仮想スイッチが同じ物理 LAN に接続されている仮想スイッチがパケットの送受信に使用できる共通の仮想マシンに接続されているサンプル構成ではこのいずれの条件も発生しませんシステム管理者が共通の仮想スイッチパスが存在しないことを検証する場合は vsphere Client のネットワークスイッチレイアウトを確認すると可能性のある共有接続点を確認できます仮想マシンのリソースを保護するためシステム管理者は仮想マシンごとにリソース予約および制限を構成し DoS および DDoS 攻撃のリスクを低減しますシステム管理者は DMZ の前後にソフトウェアファイアウォールをインストールしホストが物理ファイアウォールの内側に配置されるようにしネットワークストレージリソースを構成してそれぞれが独自の仮想スイッチ持つようにすることでこのホストおよび仮想マシンの保護を強化します 128 VMware, Inc.

129 第 11 章 ESXi システムのセキュリティセキュリティリソースおよび情報セキュリティに関する追加情報は当社の Web サイトから入手できます表 11-1 にセキュリティトピックとそのトピックに関する追加情報の場所を示します表 Web 上のヴイエムウェアセキュリティリソーストピックヴイエムウェアのセキュリティポリシー最新バージョンのセキュリティアラートセキュリティダウンロードセキュリティトピックを中心とした説明企業セキュリティ対策ポリシーサードパーティソフトウェアサポートポリシー VMware 製品の認証リソース当社はお客様がセキュアな環境を維持するために尽力しますセキュリティ上の問題は迅速に解決しますヴイエムウェアセキュリティ対策ポリシーでは当社製品において起こりうる脆弱性を解決するための当社の取り組みを文書化しています VMware 製品ではさまざまなストレージシステムバックアップエージェントなどのソフトウェアエージェントシステム管理エージェントなどをサポートしています ESXi をサポートするエージェントツールおよびその他のソフトウェアのリストについてはで ESXi の互換性ガイドを参照してください業界には当社が検証しきれない多くの製品や構成が提供されています互換性ガイドに製品や構成がリストされていない場合テクニカルサポートはお客様の問題解決のお手伝いを致しますがその製品または構成が使用可能かどうかは保証できません常にサポートされていない製品や構成のセキュリティリスクについては注意して評価してください VMware, Inc. 129

130 130 VMware, Inc.

131 ESXi 構成のセキュリティ強化 12 ESXi ホスト仮想マシンおよび iscsi SAN の環境をより安全にするために対策を講じることができますセキュリティの観点から見たネットワーク構成計画および構成内のコンポーネントを攻撃から保護するためにできる対策の手順について検討しますこの章では次のトピックについて説明しますファイアウォールによるネットワークのセキュリティ強化 (P. 131) VLAN を使用した仮想マシンのセキュリティ強化 (P. 137) 仮想スイッチポートのセキュリティ強化 (P. 141) iscsi ストレージのセキュリティ (P. 142) ファイアウォールによるネットワークのセキュリティ強化セキュリティシステム管理者はファイアウォールを使用してネットワークまたはネットワーク内で選択したコンポーネントを侵入から保護しますファイアウォールはシステム管理者が明示的または暗黙的に許可した通信パス以外のすべての通信パスを閉じその範囲内のデバイスへのアクセスを制御しますシステム管理者がファイアウォール内で開くパス ( ポート ) はファイアウォールの両側にあるデバイス間でのトラフィックを可能にします ESXi にはファイアウォールがありませんこれは ESXi が一般的なサービスの一部のみを実行しておりサービスを追加できないためですこのような制約があるためファイアウォールを必要とする要素が大幅に減少しています ESXi にはファイアウォールが搭載されていませんニーズを満たすセキュリティテクノロジーのセットを導入する必要がありますたとえばファイアウォールをインストールして ESXi をインストールしたネットワークセグメントを出入りするトラフィックをフィルタリングします仮想マシン環境ではコンポーネント間でファイアウォールのレイアウトを計画できます vcenter Server ホストなどの物理マシンと ESXi ホストの間仮想マシン間 ( たとえば外部 Web サーバとして機能している仮想マシンと企業の内部ネットワークに接続されている仮想マシン間 ) 物理ネットワークアダプタカードと仮想マシン間にファイアウォールを配置する場合などの物理マシンと仮想マシン ESXi 構成の中でファイアウォールをどのように使用するかはネットワークをどのように使用するか特定のコンポーネントでどの程度のセキュリティが必要かによって異なりますたとえば各マシンが同じ部署の異なるベンチマークテストスイートを実行することだけを目的としている仮想ネットワークを作成すると仮想マシン間で不必要なアクセスが生じる可能性が最小になりますしたがってファイアウォールが仮想マシン間に存在する構成は必要ありませんただし外部ホストからのテスト実行の割り込みを防ぐにはファイアウォールを仮想ネットワークのエントリポイントに配置して仮想マシンの全体のセットを保護するように構成を設定する必要があります VMware, Inc. 131

132 vcenter Server を使用した構成でのファイアウォール vcenter Server を介して ESXi ホストにアクセスする場合通常はファイアウォールを使用して vcenter Server を保護しますこのファイアウォールはネットワークに基本的な保護を提供しますファイアウォールはクライアントと vcenter Server との間に配置されていることがありますまたは導入環境によっては vcenter Server とクライアントがファイアウォールの内側に配置されている場合がありますここで確認する主要な点はシステムのエントリーポイントとなる場所にファイアウォールがあるということです vcenter Server を使用する場合図 12-1 内のどの場所でもファイアウォールをインストールできます構成によっては図のファイアウォールがすべて必要とは限らない場合がありますまたはその他の場所にファイアウォールが必要になることもありますまた VMware vcenter Update Manager などのオプションのモジュールが使用している構成に含まれている場合がありますがこれは図に示されていません Update Manager のような特定の製品でのファイアウォール設定については各ドキュメントを参照してください VMware VMotion や VMware フォールトトレランスなどの TCP および UDP ポートの包括的なリストは管理アクセスの TCP および UDP ポート (P. 136) を参照してください図 vsphere のネットワーク構成とトラフィックフローのサンプル 22 SSH 427 SLPv2 443 HTTPS 902 xinetd/vmware-authd 902 (UDP) ESX/ESXi ステータスの更新 903 xinetd/vmware-authd-mks 2050 ~ 2250 HA 5989 CIM トランザクション 8042 ~ 8045 HA vsphere Client ポート 443 ファイアウォールサードパーティ製のネットワーク管理ツール vcenter Server vsphere Web Access ポート UDP ポート 443 ポート 902 ファイアウォールポート ~ 2250 および 8042 ~ UDP ポートポート 443 ファイアウォール ESXi ESX ストレージ vcenter Server で構成されたネットワークは vsphere Client またはホストとのインターフェイスに SDK を使用するサードパーティ製ネットワーク管理クライアントを介して通信を受信できます通常の操作中 vcenter Server は指定ポートで管理されるホストとクライアントからのデータを待機しますまた管理ホストが指定ポートで vcenter Server からのデータを待機することを前提としていますこれらの構成要素のいずれかの間にファイアウォールがある場合データ転送をサポートするためファイアウォールに開いているポートがあることを確認する必要があります 132 VMware, Inc.

133 第 12 章 ESXi 構成のセキュリティ強化またネットワークの使用方法やさまざまなデバイスに必要なセキュリティレベルの程度によりネットワークのさまざまなアクセスポイントにファイアウォールを追加することもできますファイアウォールの配置場所はネットワーク構成から特定したセキュリティリスクに基づいて選択します次のリストに ESXi の実装に共通するファイアウォールの配置場所を示しますこのリストおよび図 12-1 に示すファイアウォールの場所の多くはオプションです vsphere Client またはサードパーティ製ネットワーク管理クライアントと vcenter Server の間 vsphere Client を介して仮想マシンにアクセスする場合は vsphere Client と ESXi ホストの間この接続は vsphere Client と vcenter Server 間の追加接続で別のポートが必要になります vcenter Server と ESXi ホストの間ネットワーク内の ESXi ホスト間通常ホスト間のトラフィックは信頼できると考えられますがマシン間でのセキュリティ違反を考慮する場合はホスト間にファイアウォールを追加することもできます ESXi ホスト間にファイウォールを追加してサーバ間で仮想マシンを移行したりクローン作成を実行したりまたは VMotion を使用したりする場合ソースホストとターゲットホストが通信できるようにソースとターゲットを分ける任意のファイアウォールのポートを開く必要があります ESXi ホストと NFS や iscsi ストレージなどネットワークストレージとの間これらのポートは VMware に固有のものではありませんネットワークの仕様に従って構成してください vcenter Server を使用しない構成でのファイアウォール vcenter Server を使用せずに ESXi ネットワークへクライアントを直接接続する場合はファイアウォールの構成は多少簡単になります図 12-2 に示されている任意の場所にファイアウォールをインストールできます注意構成によっては図のすべてのファイアウォールは必要がないことがありますまたは図に示されていない場所にファイアウォールが必要になることもあります図クライアントが直接管理する ESXi ネットワークのファイアウォール構成 vsphere Client サードパーティ製のネットワーク管理ツールポート 902 ポート 903 ポート 443 ファイアウォールポート ~ ~ ファイアウォール ESX ESXi ストレージ VMware, Inc. 133

134 vcenter Server を使用せずに構成したネットワークでも vcenter Server を使用した場合と同じタイプのクライアントを介して通信を受信しますこれらのクライアントには vsphere Client またはサードパーティ製ネットワーク管理クライアントがありますほとんどの箇所ではファイアウォールの必要性は同じですが重要な相違点がいくつかあります vcenter Server が含まれている構成と同様に ESXi レイヤーまたは構成によってはクライアントと ESXi レイヤーを保護するようにファイアウォールを設定する必要がありますこのファイアウォールはネットワークに基本的な保護を提供します使用するファイアウォールポートは vcenter Server を使用している場合のものと同じですこのような構成でのライセンスは各ホストにインストールする ESXi パッケージの一部ですライセンスはサーバに常駐するので個別のライセンスサーバは必要はありませんこのためライセンスサーバと ESXi ネットワーク間にファイアウォールは必要ありませんファイアウォールを介した vcenter Server への接続 vcenter Server がクライアントからのデータ転送の待機に使用するポートは 443 です vcenter Server とそのクライアントとの間にファイアウォールがある場合 vcenter Server がクライアントからデータを受信するときに使用できる接続を構成する必要があります vcenter Server が vsphere Client からのデータを受信できるようにするにはファイアウォールのポート 443 を開いて vsphere Client から vcenter Server へのデータ転送を許可しますファイアウォールのポート設定に関する詳細情報についてはファイアウォールのシステム管理者にお問い合わせください vsphere Client を使用しており vsphere Client と vcenter Server との通信用ポートとしてポート 443 を使用しない場合 vsphere Client の vcenter Server 設定を変更することで別のポートに切り替えることができますこれらの設定の変更方法については基本システム管理ガイドを参照してくださいファイアウォールを介した仮想マシンコンソールへの接続クライアントを vcenter Server 経由で ESXi ホストに接続するか直接ホストに接続するかによってユーザーやシステム管理者が仮想マシンコンソールと通信するのに特定のポートが必要になりますこれらのポートではサポートされるクライアント機能インターフェイスが提供される ESXi のレイヤー使用される認証プロトコルがそれぞれ異なりますポート 902 これは vcenter Server が ESXi ホストからのデータ受信に使用できると認識しているポートです vsphere Client はこのポートを使用して仮想マシンのゲスト OS のマウスキーボードスクリーン (MKS) アクティビティの接続を提供しますユーザーが仮想マシンのゲスト OS およびアプリケーションと通信するときはこのポートを使用しますポート 902 は仮想マシンとの通信に使用できると vsphere Client が認識しているポートですポート 902 は VMware Authorization Daemon (vmware-authd) を介して vcenter Server をホストに接続しますこのデーモンは処理用に適切な受信者に対してポート 902 データを多重化しますこの接続に異なるポートを構成することはできませんポート 443 vsphere Client および SDK はこのポートを使用して vcenter Server が管理するホストにデータを送信しますまた vsphere Client および SDK は ESXi ホストに直接接続されている場合このポートを使用してサーバおよびその仮想マシンに関連する管理機能をサポートしますポート 443 はクライアントが ESXi ホストへのデータ送信時に使用できると認識しているポートですこれらの接続に異なるポートを構成することはできませんポート 443 は SDK を介してクライアントを ESXi ホストに接続します vmwarehostd は処理用に適切な受信者に対してポート 443 データを多重化します図 12-3 に vsphere Client 機能ポートおよび ESXi プロセス間の関係を示します 134 VMware, Inc.

135 第 12 章 ESXi 構成のセキュリティ強化図 vsphere Client と ESXi との通信に対するポートの使用 vsphere Client 仮想マシン管理機能仮想マシンコンソールポート 443 ファイアウォールポート 903 ESXi vmware-hostd vmware-authd vcenter Server システムと vcenter Server の管理対象ホストの間にファイアウォールがある場合はファイアウォールのポート 443 および 902 を開いて vcenter Server から ESXi ホストおよび vsphere Client から直接 ESXi ホストへのデータ転送を可能にしますポート構成の詳細情報についてはファイアウォールのシステム管理者にお問い合わせくださいファイアウォールを介した ESXi ホストの接続 2 つの ESXi ホスト間にファイアウォールがありホスト間でトランザクションを許可したり vcenter Server を使用して VMware HA (HA) トラフィック移行クローン作成 VMotion などのソースアクティビティまたはターゲットアクティビティを実行したりするには管理対象のホストがデータを受信できる接続を構成する必要がありますデータを受信するための接続を構成するには次の範囲のポートを開きます 902 ( サーバ間の移行およびプロビジョニングトラフィック ) 2050 ~ 2250 (HA トラフィック ) 8000 (VMotion) 8042 ~ 8045 (HA トラフィック ) ポート構成の詳細についてはファイアウォールシステム管理者にお問い合わせくださいサポートされているサービスおよび管理エージェントのファイアウォールポートの構成一般的にサポートされているサービスおよびインストールされている管理エージェントを受け入れるように使用環境のファイアウォールを構成する必要があります ESXi 自身にはファイアウォールがありませんがサービスおよび管理エージェントを受け入れるように使用環境のその他のファイアウォールを構成する必要があります vsphere 環境には次のサービスおよびエージェントが一般的に存在します NFS クライアント ( セキュリティ保護のないサービス ) NTP クライアント iscsi ソフトウェアクライアント CIM HTTP サーバ ( セキュリティ保護のないサービス ) VMware, Inc. 135

136 CIM HTTPS サーバ Syslog クライアント注意このリストは変更されることがありリストに示されていないサービスおよびエージェントが追加されていることがありますこれらのサービスを構成して有効にするには追加作業を行う必要があります管理アクセスの TCP および UDP ポート vcenter Server ESXi ホストおよびその他のネットワークコンポーネントにはあらかじめ定義されている TCP および UDP ポートを使用してアクセスしますファイアウォール外からネットワークコンポーネントを管理する場合ファイアウォールを再構成して該当するポートでのアクセスを許可する必要があります表 12-1 に TCP および UDP ポートとそれぞれの目的およびタイプを示します表 TCP および UDP ポートポート目的トラフィックタイプ 80 HTTP アクセスデフォルトのセキュリティ保護されていない TCP Web ポートです通常は Web から ESXi ネットワークにアクセスするためのフロントエンドとしてポート 443 とともに使用されますポート 80 は HTTPS ランディングページ ( ポート 443) にトラフィックをリダイレクトします WS-Management 着信 TCP 123 NTP Client 発信 UDP 427 CIM クライアントはサービスロケーションプロトコルバージョン 2 (SLPv2) を使用して CIM サーバを検索します 443 HTTPS アクセス vcenter Server から ESXi ホストへのアクセス SSL Web ポートのデフォルト vsphere Client から vcenter Server へのアクセス vsphere Client から ESXi ホストへのアクセス WS-Management vsphere Client から vsphere Update Manager へのアクセス vsphere Converter から vcenter Server へのアクセス 902 移行またはプロビジョニングのためのホスト間のアクセス ESXi の認証トラフィックおよびリモートコンソールトラフィック (xinetd/vmwareauthd) vsphere Client から仮想マシンコンソールへのアクセス (UDP) ステータスの更新 ( ハートビート ) ESXi から vcenter Server への接続 2049 NFS ストレージデバイスからのトランザクションこのポートは VMkernel インターフェイスで使用されます ESXi ホスト間の VMware HA (High Availability) および EMC Autostart Manager 用トラフィック 3260 iscsi ストレージデバイスへのトランザクションこのポートは VMkernel インターフェイスで使用されます着信および発信 UDP 着信 TCP 着信 TCP 発信 UDP 着信および発信 TCP 発信 TCP 着信および発信 UDP 発信 TCP VNC などの管理ツールによって使用される RFB プロトコル着信および発信 TCP 5989 HTTPS 経由の CIM XML トランザクション着信および発信 TCP 8000 VMotion からの要求着信および発信 TCP 136 VMware, Inc.

137 第 12 章 ESXi 構成のセキュリティ強化表 TCP および UDP ポート ( 続き ) ポート目的トラフィックタイプ ESXi ホスト間の HA および EMC Autostart Manager 用トラフィック発信 TCP 着信および発信 UDP ESXi ホスト間の VMware フォールトトレランス用トラフィック発信 TCP 着信および発信 UDP TCP および UDP ポートだけでなく必要に応じてほかのポートを構成することもできます vsphere Client を使用してインストールされている管理エージェント用および NFS などのサポートされているサービス用にポートを開くことができます VLAN を使用した仮想マシンのセキュリティ強化ネットワークはシステムで最も脆弱性の大きい部分になる可能性があります仮想マシンネットワークには物理ネットワークと同じ程度の保護が必要です仮想マシンネットワークにはいくつかの方法でセキュリティを追加できます仮想マシンネットワークが物理ネットワークに接続されている場合物理マシンで構成されたネットワークと同じくらい侵害を受けやすくなります仮想マシンネットワークが物理ネットワークから隔離されている場合でもネットワークの仮想マシンはネットワークのほかの仮想マシンから攻撃を受けやすくなります仮想マシンセキュリティの必要条件は通常物理マシンの必要条件と同じです仮想マシンはそれぞれ隔離されています仮想マシンは別の仮想マシンに対してメモリを読み取ったり書き込んだりデータへアクセスしたりアプリケーションを使用したりすることはできませんただしネットワーク内でどの仮想マシンも仮想マシングループもほかの仮想マシンから不正にアクセスされる可能性があるので体外的な保護がさらに必要になることがありますこのレベルのセキュリティはさまざまな方法で追加できます仮想ネットワークの一部またはすべての仮想マシンにソフトウェアファイアウォールをインストールおよび構成することで仮想ネットワークにファイアウォール保護を追加する効率を高めるためにプライベート仮想マシンイーサネットネットワーク ( 仮想ネットワーク ) を設定できます仮想ネットワークの場合仮想ネットワークの先頭にある仮想マシンにソフトウェアファイアウォールをインストールしますこれは物理ネットワークアダプタと仮想ネットワークの残りの仮想マシンとの間で保護バッファとして機能します仮想ネットワークの入口にある仮想マシンにソフトウェアファイアウォールをインストールすることはセキュリティ上優れた方法ですただしソフトウェアファイアウォールをインストールするとパフォーマンスが低下することがあるので仮想ネットワーク上の別の仮想マシンにソフトウェアファイアウォールをインストールする前にセキュリティ要件とパフォーマンスのバランスを考慮してください異なるネットワークセグメントのホスト内に異なる仮想マシンゾーンを確保する仮想マシンゾーンをその独自のネットワークセグメントで隔離すると仮想マシンゾーン間でデータ漏れのリスクを最小限に抑えることができますセグメント化により攻撃者が ARP テーブルを操作して MAC および IP アドレスのマッピングを変えホストとのネットワークトラフィックのアクセスを取得するアドレス解決プロトコル (ARP) スプーフィングなどのさまざまな脅威を防止できます攻撃者は ARP スプーフィングを使用してサービス拒否状態にしたり対象のシステムをハイジャックしたり仮想ネットワークを崩壊させたりします VMware, Inc. 137

138 セグメント化を綿密に計画して仮想マシンゾーン間のパケット転送機会を減らすことで被害者にネットワークトラフィックの送信が要求される傍受攻撃を防ぐことができますさらに攻撃者は特定の仮想マシンゾーンでセキュリティ保護されていないサービスを使用してホスト内の別の仮想マシンゾーンにアクセスすることができません次の 2 つのアプローチのいずれかを使用してセグメント化を実装できますこれらのアプローチにはそれぞれ異なるメリットがあります仮想マシンゾーンに個別の物理ネットワークアダプタを使用してゾーンを隔離させる仮想マシンゾーンに個別の物理ネットワークアダプタを設定する方法はおそらく最も安全で最初に作成したセグメントをあとから不正に構成されにくい方法ですネットワークを保護するように仮想ローカルエリアネットワーク (VLAN) を設定する VLAN は物理的に分離したネットワークを実装する場合のセキュリティのメリットをハードウェアオーバーヘッドなしにほとんどすべて利用できるので追加デバイスや配線などの導入および保守にかかるコストを節約できる実行可能なソリューションを提供します VLAN は VLAN の一部のポートだけにパケットルーティグを許可する特定のタグ付け方法を使用した IEEE 標準ネットワークスキームです VLAN は正しく構成されている場合偶発的または悪意のある侵入から仮想マシンを保護できる信頼性の高い方法です VLAN ではネットワークの 2 台のマシンが同じ VLAN にないかぎりパケットを送受信できないように物理ネットワークをセグメント化できますたとえば会計記録や報告書は企業が機密事項として扱う最も重要な内部情報です販売部出荷部会計部の従業員がすべて同じ物理ネットワークの仮想マシンを使用している企業では図 12-4 に示すように VLAN を設定して会計部の仮想マシンを保護できます図サンプル VLAN レイアウトホスト 1 vswitch VM0 VM 1 VM 2 VLAN A ルータホスト 2 VM3 VM4 VM5 ブロードキャストドメイン A vswitch vswitch スイッチ 1 VM6 VM 7 VM 8 VLAN B ホスト 3 vswitch ブロードキャストドメイン B VM9 VM 10 VM1 1 スイッチ 2 ホスト 4 vswitch 複数の VLAN ( 同一仮想 VM12 VLAN B VM13 VLAN A VM14 VLAN B スイッチ ) ブロードキャストドメイン A と B この構成では会計部のすべての従業員は VLAN A の仮想マシンを使用し販売部の従業員は VLAN B の仮想マシンを使用します 138 VMware, Inc.

139 第 12 章 ESXi 構成のセキュリティ強化ルータは会計データを含むパケットをスイッチに転送しますこれらのパケットは VLAN A のみに配布されるようにタグが付けられますしたがってこのデータはブロードキャストドメイン A に制限されルータで構成されていないかぎりブロードキャストドメイン B に経路選択されませんこの VLAN 構成では会計部あてに送信されるパケットを販売部が取得できないようにしますまた販売グループに送信されるパケットを会計部が受信しないようにもしますシングル仮想スイッチでサービスが提供される仮想マシンは別の VLAN に置くことができます VLAN のセキュリティの考慮事項ネットワークの一部のセキュリティに VLAN を設定する方法はゲスト OS やネットワーク設備の構成方法などの要素により異なります ESXi は IEEE 802.1q に完全に準拠した VLAN 実装を提供します VLAN の設定方法について特定の方法をお勧めすることはできませんがセキュリティ実施ポリシーの一部として VLAN 導入を使用する場合に考慮すべき要素はあります広範囲なセキュリティ実装の一部としての VLAN VLAN はネットワーク内で転送するデータの場所および範囲を制御する効果的な方法です攻撃者がネットワークのアクセスを取得した場合エントリポイントとして機能する VLAN に攻撃の範囲が制限されやすくなるので全体としてネットワークに対するリスクは軽減されます VLAN が保護できるのはデータがスイッチを通過してネットワークに入ったあとでのルーティングと抑制です VLAN を使用するとネットワークアーキテクチャのレイヤー 2 ( データリンクレイヤー ) のセキュリティを支援できますただし VLAN を構成してもネットワークモデルの物理レイヤーまたはその他のレイヤーは保護されませんそのため VLAN を作成する場合でもハードウェア ( ルータやハブなど ) のセキュリティを確保しデータ転送を暗号化して保護を強化します VLAN は仮想マシン構成においてファイアウォールに代わるものではありません VLAN を含むほとんどのネットワーク構成にはソフトウェアファイアウォールも含まれます VLAN を仮想ネットワークに含める場合インストールするファイアウォールが VLAN に対応することを確認してください VLAN の適切な構成設備の構成エラーやネットワークハードウェアファームウェアソフトウェアの欠陥により VLAN が VLAN ホッピング攻撃を受けやすくなる可能性があります VLAN ホッピングとはある VLAN のアクセスが許可されている攻撃者が物理ネットワークスイッチを攻撃してアクセス権のない別の VLAN に転送されるようにパケットを作成することですこのタイプの攻撃に対する脆弱性は通常スイッチがタグなしパケットを送受信できるというネイティブ VLAN 操作でのスイッチの構成ミスが原因となります VLAN ホッピングを防ぐにはハードウェアやファームウェアのアップデートがリリースされ次第インストールして設備を最新バージョンに保ってくださいまた装置を構成する場合はベンダーのベストプラクティスに従ってください VMware 仮想スイッチはネイティブ VLAN の概念をサポートしていませんこれらのスイッチに渡されるすべてのデータは適切にタグが付けられますただしネットワークのほかのスイッチがネイティブ VLAN 操作向けに構成されている可能性があるため仮想スイッチで構成した VLAN も VLAN ホッピングの影響を受けることがあります VLAN を使用してネットワークセキュリティを実施する場合 VLAN のいくつかをネイティブモードで操作しなければならないという切迫した理由がないかぎりすべてのスイッチでネイティブ VLAN 機能を無効にしますネイティブ VLAN を使用する必要がある場合スイッチベンダーの構成ガイドラインでこの機能について確認してください仮想スイッチ保護および VLAN VMware 仮想スイッチは VLAN の特定のセキュリティ脅威に対する保護を提供します仮想スイッチの設計により主に VLAN ホッピングに関係するさまざまな攻撃から VLAN を保護しますただしこの保護により仮想スイッチ構成がその他のタイプの攻撃に対して強化されるわけではありませんたとえば仮想スイッチはこれらの攻撃から物理ネットワークを保護しません仮想ネットワークのみを保護します VMware, Inc. 139

140 仮想スイッチおよび VLAN は次のタイプの攻撃から保護できます MAC フラッディング 802.1q および ISL タギング攻撃ダブルカプセル化攻撃マルチキャスト総当り攻撃スパニングツリー攻撃ランダムフレーム攻撃送信元が異なるとタグ付けされた MAC アドレスを含むパケットでスイッチをフラッディングします多くのスイッチは CAM (Content-Addressable Memory) テーブルを使用して各パケットの送信元アドレスを学習および保存しますテーブルがいっぱいになるとスイッチは完全に開いた状態になりすべての着信パケットがすべてのポートにブロードキャストされることがありますこの場合攻撃者はすべてのスイッチのトラフィックを参照できますこの状態では VLAN でパケットがリークする可能性があります VMware 仮想スイッチは MAC アドレステーブルを保存しますが観測可能なトラフィックから MAC アドレスを取得しないのでこのタイプの攻撃に対する耐性がありますスイッチをトランクとして機能するように不正に操作しトラフィックをほかの VLAN にブロードキャストすることである VLAN から別の VLAN へフレームがリダイレクトされるようにスイッチを強制します VMware 仮想スイッチはこのタイプの攻撃で必要な動的トランキングを実行しないのでこのタイプの攻撃に対する耐性があります内部タグの VLAN ID が外部タグの VLAN ID と異なるダブルカプセル化パケットを攻撃者が作成したときに発生します後方互換性のためネイティブ VLAN は転送されたパケットから外側のタグを取り外します ( 無効に設定されていない場合 ) ネイティブ VLAN スイッチが外側のタグを取り外すと内側のタグだけが残りますこの内側のタグは取り外された外側のタグで識別される VLAN とは異なる VLAN にパケットを送ります VMware 仮想スイッチは特定の VLAN に構成されているポートに仮想マシンが送信しようとする任意のダブルカプセル化フレームを削除しますしたがってこのタイプの攻撃に対する耐性があります存在が分かっている VLAN にほぼ同時に大量のマルチキャストのフレームを送信してスイッチに負荷をかけ一部のフレームを別の VLAN へ誤ってブロードキャストさせます VMware 仮想スイッチではフレームはその正しいブロードキャストドメイン (VLAN) の外へ出ることはできないのでこのタイプの攻撃に対する耐性があります LAN の各部分のブリッジを制御するときに使用される STP (Spanning-Tree Protocol) を標的にします攻撃者はネットワークトポロジを変更しようとする BPDU (Bridge Protocol Data Unit) パケットを送信し攻撃者自体をルートブリッジとして確立しますルートブリッジとなった攻撃者は転送されるフレームの内容を傍受できます VMware 仮想スイッチは STP をサポートしていないのでこのタイプの攻撃に対する耐性がありますソースとターゲットのアドレスは同じでもフィールドの長さタイプまたは内容がランダムに変わるパケットを大量に送信しますこの攻撃の目的は別の VLAN にパケットが誤って送信されるようにすることです VMware 仮想スイッチはこのタイプの攻撃に対する耐性があります新しいセキュリティ脅威は常に開発されるのでこれは攻撃の完全なリストではありませんセキュリティ最新のセキュリティ警告 VMware セキュリティ戦術については Web 上で VMware のセキュリティ関連資料を定期的に確認してください 140 VMware, Inc.

141 第 12 章 ESXi 構成のセキュリティ強化仮想スイッチポートのセキュリティ強化物理ネットワークアダプタと同様仮想ネットワークアダプタは異なるマシンから発信されたように見えるフレームを送信したり別のマシンになりすましそのマシンに送信されるネットワークフレームを受信したりできますまた物理ネットワークアダプタと同様に仮想ネットワークアダプタはほかのマシンを送信先にしたフレームを受信するように構成できますネットワークに仮想スイッチを作成する場合ポートグループを追加してスイッチに接続される仮想マシンおよびストレージシステムに強制的にポリシーを構成するようにします仮想ポートは vsphere Client を介して作成しますポートまたはポートグループを仮想スイッチに追加する作業の一部として vsphere Client はポートのセキュリティプロファイルを構成しますこのセキュリティプロファイルを使用すると ESXi によりその仮想マシンのゲスト OS がネットワーク上のほかのマシンになりすますことを防止できますこのセキュリティ機能はなりすましを行うゲスト OS がなりすましが阻止されたことを検知できないように実装されますセキュリティプロファイルは仮想マシンでのなりすましや傍受攻撃に対する保護をどの程度強化するかを決定しますセキュリティプロファイルの設定を正しく使用するには仮想ネットワークアダプタが転送をどのように制御するか攻撃がこのレベルでどのように開始されるかについての基本要素を理解する必要があります各仮想ネットワークアダプタにはアダプタが作成されるときにその独自の MAC アドレスが割り当てられますこのアドレスは初期 MAC アドレスと呼ばれます初期 MAC アドレスはゲスト OS の外部から再構成できますがゲスト OS により変更することはできませんまた各アダプタには有効な MAC アドレスがありますこれは送信先 MAC アドレスが有効な MAC アドレスとは異なる着信ネットワークトラフィックをフィルタリングしますゲスト OS は有効な MAC アドレスの設定に関与し通常有効な MAC アドレスを初期 MAC アドレスに一致させますパケットを送信する場合オペレーティングシステムは通常その独自のネットワークアダプタの有効な MAC アドレスをイーサネットフレームのソース MAC アドレスフィールドに置きますまた受信側ネットワークアダプタの MAC アドレスは送信先 MAC アドレスフィールドに置きます受信側アダプタはパケットの送信先 MAC アドレスがその独自の有効な MAC アドレスに一致する場合だけパケットを受け付けます作成時ネットワークアダプタの有効な MAC アドレスおよび初期 MAC アドレスは同じです仮想マシンのオペレーティングシステムは有効な MAC アドレスの値をいつでも変更できますオペレーティングシステムが有効な MAC アドレスを変更するとそのネットワークアダプタは新規 MAC アドレスに送信されるネットワークトラフィックを受信しますオペレーティングシステムは送信元 MAC アドレスになりすましているフレームをいつでも送信できますつまりオペレーティングシステムは受信側ネットワークにより許可されているネットワークアダプタになりすますことでネットワークのデバイスに対して悪意のある攻撃を実行する可能性があります ESXi ホストで仮想スイッチセキュリティプロファイルを使用すると 3 つのオプションを設定することでこのタイプの攻撃から保護できますこれらのいずれかのデフォルト設定をポートで変更する場合 vsphere Client で仮想スイッチ設定を編集してセキュリティプロファイルを変更する必要があります MAC アドレスの変更 [MAC アドレス変更 ] オプションの設定は仮想マシンの受信トラフィックに影響しますこのオプションを [ 承諾 ] に設定した場合 ESXi は有効な MAC アドレスを初期 MAC アドレス以外のものに変更する要求を受け入れますこのオプションを [ 拒否 ] に設定した場合 ESXi は有効な MAC アドレスを初期 MAC アドレス以外のものに変更する要求を拒否しますこれによりホストが MAC のなりすましから保護されます仮想アダプタが要求の送信に使用したポートは無効になり仮想アダプタは有効な MAC アドレスを初期 MAC アドレスに合わせて変更しないかぎりそれ以上のフレームを受け取りませんゲスト OS は MAC アドレス変更が拒否されたことを検知しません注意 iscsi イニシエータは特定のタイプのストレージから MAC アドレスを変更できることに依存しています ESXi iscsi を使用していて iscsi ストレージがある場合は [MAC アドレス変更 ] オプションを [ 承諾 ] に設定します VMware, Inc. 141

142 場合によっては複数のアダプタがネットワーク上で同じ MAC アドレスを使用することが適切な場合もありますたとえば Microsoft Network Load Balancing をユニキャストモードで使用している場合です Microsoft Network Load Balancing が標準マルチキャストモードで使用される場合アダプタは MAC アドレスを共有しません MAC アドレス変更の設定は仮想マシンから送信されるトラフィックに影響を与えます vswitch または受信側仮想マシンが MAC アドレス変更を許可されていなくても送信者が変更を許可されていれば MAC アドレス変更は発生します偽装転送 [ 偽装転送 ] オプションの設定は仮想マシンから転送されるトラフィックに影響を与えますこのオプションを [ 承諾 ] に設定した場合 ESXi はソースと有効な MAC アドレスとを比較しません MAC のなりすましに対して保護するにはこのオプションを [ 拒否 ] に設定しますこの設定ではホストはオペレーティングシステムにより転送されるソース MAC アドレスとそのアダプタの有効な MAC アドレスを比較してそれらが一致するか確認しますアドレスが一致しない場合 ESXi はパケットをドロップしますゲスト OS は仮想ネットワークアダプタがなりすましている MAC アドレスを使用してパケットを送信できないことを検知しません ESXi ホストはなりすましているアドレスのパケットが配信される前にそのパケットを遮断しますゲスト OS はそのパケットがドロップされたとみなす可能性があります無差別モード操作無差別モードでは仮想ネットワークアダプタが実行する受信フィルタリングが除去されるためゲスト OS は回線で監視されるすべてのトラフィックを受信しますデフォルトでは仮想ネットワークアダプタは無差別モードで操作できません無差別モードはネットワークアクティビティのトラッキングに便利ですが無差別モードのアダプタはいくつかのパケットが特定のネットワークアダプタのみに受信されるかどうかに関係なくパケットにアクセスできるのでこの操作は安全ではありませんつまり仮想マシン内のシステム管理者または root ユーザーはほかのゲスト OS またはホスト OS に送信されるトラフィックを参照できます注意場合によっては仮想スイッチを無差別モードで実行するように構成することが適切なこともありますたとえばネットワーク侵入検知ソフトウェアやパケットスニファーを実行している場合です iscsi ストレージのセキュリティ ESXi ホストで構成したストレージには iscsi を使用する 1 つまたは複数のストレージエリアネットワーク (SAN) を含めることができます ESXi ホスト上に iscsi を構成する場合はいくつかの対策を講じてセキュリティリスクを最小にできます iscsi とは SCSI デバイスに直接接続するのではなくネットワークポート経由で TCP/IP を使用して SCSI デバイスにアクセスしてデータレコードを交換する方法です iscsi トランザクションでは SCSI データブロックが iscsi レコードでカプセル化され要求側デバイスまたはユーザーに転送されます iscsi SAN は既存のイーサネットインフラストラクチャを効率的に使用できるようにし ESXi ホストが動的に共有できるストレージリソースにアクセスできるようにします iscsi SAN は多くのユーザーにサービスを提供する共通のストレージプールに依存した環境に対して経済的なストレージソリューションを提供します任意のネットワークシステムと同様に iscsi SAN もセキュリティ違反の影響を受けます注意 iscsi SAN をセキュリティ強化するための要件および手順は ESXi ホストで使用できるハードウェア iscsi アダプタおよび ESXi ホストから直接構成された iscsi の場合と似ています認証を介した iscsi デバイスのセキュリティ強化望ましくない侵入者から iscsi デバイスを保護するためにホストがターゲット LUN のデータにアクセスしようとしたときに ESXi ホスト ( イニシエータ ) を iscsi デバイス ( ターゲット ) で認証するよう要求する方法があります認証の目的はイニシエータがターゲットのアクセス権および認証を構成するときに付与した権利を持っていることを立証することです 142 VMware, Inc.

143 第 12 章 ESXi 構成のセキュリティ強化 ESXi は iscsi の Kerberos SRP (Secure Remote Protocol) 公開鍵認証方法をサポートしていませんまた IPsec 認証および暗号化もサポートしていません vsphere Client を使用して認証が実行されているかを判別し認証方法を構成します iscsi SAN でのチャレンジハンドシェイク認証プロトコル (CHAP) の有効化 CHAP 認証を使用するように iscsi SAN を構成できます CHAP 認証ではイニシエータが iscsi ターゲットにアクセスするとターゲットは事前に定義されている ID 値および乱数またはキーをイニシエータに送信しますイニシエータはターゲットに送信する一方向のハッシュ値を作成しますこのハッシュには事前に定義された ID 値ターゲットにより送信される乱数イニシエータとターゲットで共有されるプライベート値 ( すなわち CHAP シークレット ) の 3 つの構成要素が含まれますターゲットがイニシエータからハッシュを受け取ると同じ構成要素を使用して独自のハッシュ値を作成しこれをイニシエータのハッシュと比較します結果が一致するとターゲットはイニシエータを認証します ESXi は iscsi の一方向および双方向の CHAP 認証をサポートしています一方向の CHAP 認証ではターゲットはイニシエータを認証しますがイニシエータはターゲットを認証しません双方向の CHAP 認証ではセキュリティのレベルが強化されイニシエータがターゲットを認証できます ESXi はホストからすべてのターゲットに対して 1 つの認証証明書セットしか送信できない場合にアダプタレベルで CHAP 認証をサポートしていますまたターゲットごとの CHAP 認証もサポートしていますこれにより各ターゲットに異なる証明書を作成してターゲットをより詳細に調整できます CHAP の操作方法については iscsi イニシエータの CHAP パラメータの構成 (P. 83) を参照してください iscsi SAN 認証の無効化認証を使用しないように iscsi SAN を構成できます iscsi ターゲットデバイスが通常は特定のイニシエータのみと通信するように設定されているためイニシエータとターゲット間の通信は初歩的な方法で認証されますより強制的な認証を使用しないという選択に意味があるのは iscsi ストレージが 1 つの場所にありすべての iscsi デバイスにサービスを提供する専用ネットワークまたは VLAN を作成している場合だけです iscsi 構成は不要なアクセスから隔離されファイバチャネル SAN と同じくらい安全です基本ルールとして認証を無効にするのは iscsi SAN への攻撃リスクを許容できる場合か人為的なエラーから生じる問題に対処できる場合だけです ESXi は iscsi の Kerberos SRP (Secure Remote Protocol) 公開鍵認証方法をサポートしていませんまた IPsec 認証および暗号化もサポートしていません vsphere Client を使用して認証が実行されているかを判別し認証方法を構成します CHAP の操作方法については iscsi イニシエータの CHAP パラメータの構成 (P. 83) を参照してください iscsi SAN の保護 iscsi 構成を計画するときは iscsi SAN の全体のセキュリティを向上させる方法を使用します iscsi 構成のセキュリティは IP ネットワーク程度なのでネットワークを設定するときに優れたセキュリティ標準を適用して iscsi ストレージの安全性を高めてください次に優れたセキュリティ標準を実装するための提案をいくつか示します転送データの保護 iscsi SAN の第一のセキュリティリスクは転送されるストレージデータを攻撃者が傍受する可能性があることです攻撃者が iscsi データを簡単に参照できないよう対策を強化してくださいハードウェア iscsi アダプタおよび ESXi ホスト iscsi イニシエータはターゲット間で受け渡しするデータを暗号化しないのでデータはより傍受攻撃を受けやすくなります VMware, Inc. 143

144 仮想マシンに iscsi 構成を使用して仮想スイッチと VLAN を共有できるように設定すると iscsi トラフィックが仮想マシン攻撃者により悪用される危険性があります攻撃者が iscsi 転送を受信できないようにするには仮想マシンのいずれからも iscsi ストレージネットワークを参照できないようにしてくださいハードウェア iscsi アダプタを使用している場合このようにするには iscsi アダプタおよび ESXi 物理ネットワークアダプタがスイッチの共有やその他の方法によってホストの外部で不注意に接続されないようにします ESXi ホストを直接介して iscsi を構成する場合は図 12-5 に示すように仮想マシンが使用する仮想スイッチとは別の仮想スイッチを介して iscsi ストレージを構成することでこのようにできます図個別の仮想スイッチでの iscsi ストレージ専用仮想スイッチを提供することで iscsi SAN を保護するほかに iscsi SAN を独自の VLAN で構成してパフォーマンスとセキュリティを向上させることができます iscsi 構成を個別の VLAN に置くと iscsi アダプタ以外のデバイスが iscsi SAN 内の転送を参照できなくなりますまたほかのソースからのネットワーク接続も iscsi トラフィックを妨害できなくなります安全な iscsi ポート iscsi デバイスを実行する場合 ESXi ホストはネットワーク接続を待機するポートを開きませんこれは攻撃者がスペアポートを介して ESXi ホストに侵入しホストの制御を取得する機会が減ることを意味していますしたがって iscsi を実行すると接続の ESXi ホスト側で新たなセキュリティリスクが生じることがありません実行する任意の iscsi ターゲットデバイスには iscsi 接続を待機するために 1 つまたは複数のオープン TCP ポートが必要です iscsi デバイスソフトウェアのセキュリティが脆弱である場合 ESXi に問題がなくてもデータにはリスクが生じることがありますこのリスクを軽減するためストレージメーカーが提供するすべてのセキュリティパッチをインストールし iscsi ネットワークに接続されるデバイスを制限します 144 VMware, Inc.

認証およびユーザー管理 13 ESXi はユーザー認証を処理しユーザー権限とグループ権限をサポートしますさらに vsphere Client および SDK への接続を暗号化できますこの章では次のトピックについて説明します認証および権限による ESXi のセキュリティ強化 (P. 145) ESXi の暗号化およびセキュリティ証明書 (P.

145 認証およびユーザー管理 13 ESXi はユーザー認証を処理しユーザー権限とグループ権限をサポートしますさらに vsphere Client および SDK への接続を暗号化できますこの章では次のトピックについて説明します認証および権限による ESXi のセキュリティ強化 (P. 145) ESXi の暗号化およびセキュリティ証明書 (P. 151) 認証および権限による ESXi のセキュリティ強化 vsphere Client または vcenter Server のユーザーが ESXi ホストに接続すると VMware Host Agent プロセスとの接続が確立されますプロセスはユーザー名およびパスワードを認証に使用します ESXi は vsphere Client または SDK を使用して ESXi ホストにアクセスするユーザーを認証します ESXi ユーザーのデフォルトのインストールではローカルパスワードデータベースを認証に使用します図 13-1 に ESXi が vsphere Client からのトランザクションをどのように認証するかについて基本的な例を示します注意 CIM トランザクションは vmware-hostd プロセスとの接続時にチケットベースの認証も使用します図 ESXi での vsphere Client の通信に対する認証 vsphere Client 管理機能コンソールユーザー名 / パスワード認証 ESXi vmware-hostd サードパーティのネットワーク管理クライアントを使用した ESXi の認証トランザクションも vmware-hostd プロセスと直接通信しますサイトで認証が効率的に機能するようにするにはユーザーグループ権限およびロールの設定とユーザー属性の構成独自の認証の追加 SSL を使用するかどうかの決定など基本的なタスクを実行します VMware, Inc. 145

146 ユーザーグループ権限およびロールについて vcenter Server および ESXi ホストはユーザー名パスワードおよび権限の組み合わせを使用してユーザーのアクセスを認証しアクティビティを許可します権限を割り当てることによってホストクラスタデータストアリソースプールネットワークポートグループおよび仮想マシンへのアクセスを制御できます ESXi ホストおよびそのリソースへのアクセス権は適切な権限を持つ既知のユーザーが正しいパスワードでホストにログインすると付与されます vcenter Server はユーザーにアクセス権を付与するかどうかを判断するときにも同様の手段を使用します vcenter Server および ESXi ホストは次の場合にアクセスを拒否しますユーザーリストにないユーザーがログインしようとした場合ユーザーが間違ったパスワードを入力した場合リストに記載されているが権限が割り当てられていないユーザーの場合ログインに成功したユーザーが実行する権限がない操作を行おうとした場合 ESXi ホストおよび vcenter Server の管理の一部として特定のタイプのユーザーと権限を扱う方法を計画する必要があります ESXi および vcenter Server は権限のセット ( ロール ) を使用して個々のユーザーやグループが実行できる操作を制御します事前定義ロールが提供されていますが新規のロールを作成することもできますユーザーをグループに割り当てるとユーザーをさらに簡単に管理できますグループにロールを適用するとグループ内のすべてのユーザーがそのロールを継承しますユーザーについてユーザーとは ESXi ホストまたは vcenter Server にログインすることを許可されている個人です ESXi ユーザーは次の 2 つのカテゴリに分類されます vcenter Server からホストにアクセスできる個人および vsphere Client サードパティクライアントコマンドシェルからホストに直接ログインすることでホストにアクセスできる個人 vcenter Server の許可ユーザー vcenter Server に対して許可されているユーザーは vcenter Server が参照する Windows ドメインリストに含まれているユーザーまたは vcenter Server ホスト上のローカルな Windows ユーザーです vcenter Server を使用してユーザーを手動で作成削除または変更することはできません Windows ドメインを管理するツールを使用する必要があります変更は vcenter Server に反映されますただしユーザーインターフェイスではレビューのためのリストは表示されません直接アクセスユーザー ESXi ホストで直接作業することが許可されるユーザーはシステム管理者により内部ユーザーリストに追加されたユーザーですシステム管理者はパスワードグループメンバーシップおよび権限の変更やユーザーの追加と削除などこれらのユーザーに対するさまざまな管理アクティビティを実行できます vcenter Server が保持しているユーザーリストはホストが保持しているユーザーリストとは異なりますたとえ両方のリストに共通のユーザー ( たとえば devuser というユーザー ) がいてもそれらのユーザーを別のものとして扱います vcenter Server に devuser としてログインした場合にデータストアからファイルを表示したり削除したりできても ESXi ホストに devuser としてログインした場合にこれらの権限がないことがあります名前の重複による混乱が生じることがあるため ESXi ホストユーザーを作成する前に vcenter Server のユーザーリストを確認して名前が重複しないようにします vcenter Server ユーザーを確認するには Windows ドメインリストを参照します 146 VMware, Inc.

147 第 13 章認証およびユーザー管理グループについてグループとはルールや権限の共通のセットを共有するユーザーのセットです権限をグループに割り当てるとグループ内のすべてのユーザーに継承されユーザープロファイルを個別に扱う必要がなくなりますシステム管理者はセキュリティや利用目的を実現するためにグループ構造を決定しますたとえば 3 人のパートタイムのセールスチームメンバーが異なる日に働き 1 台の仮想マシンを共有するようにしますがセールスマネージャに属する仮想マシンは使用しないようにしますこの場合 3 人の販売員が所属している SalesShare というグループを作成し 1 つのオブジェクト ( 共有する仮想マシン ) のみと対話する権限をそのグループに付与します販売員はセールスマネージャの仮想マシンに対してアクションを実行することはできません vcenter Server および ESXi ホストのグループリストは個々のユーザーリストと同じソースから導出されます vcenter Server ではグループリストは Windows ドメインから呼び出されます ESXi ホストに直接ログインする場合グループリストはホストが保持しているテーブルから呼び出されます権限について ESXi および vcenter Server では権限はアクセスロールとして定義されておりこれらのロールはユーザーと仮想マシンや ESXi ホストなどのオブジェクトについてユーザーに割り当てられているロールで構成されていますほとんどの vcenter Server および ESXi ユーザーはホストに関連するオブジェクトを操作する機能が制限されていますシステム管理者ロールを持つユーザーはデータストアホスト仮想マシンおよびリソースプールなどあらゆる仮想オブジェクトに関する完全なアクセス権と権限を有しますデフォルトでは管理者ロールは root ユーザーに付与されます vcenter Server がホストを管理する場合は vpxuser も管理者ユーザーです特権のリストは ESXi と vcenter Server のどちらも同一であり権限を構成する方法も同じです ESXi ホストに直接接続してロールを作成し権限を設定できますこれらのタスクは vcenter Server で一般的に使用されるため権限やロールの操作については基本システム管理を参照してください root ユーザー権限の割り当て root ユーザーはログインしている特定の ESXi ホスト上でのみアクティビティを実行できますセキュリティ上の理由からシステム管理者ロールの root ユーザーを使用しない場合があるかもしれませんこの場合基本システム管理のユーザーグループ権限およびロールの管理のセクションに記載されているようにインストール後に権限を変更して root ユーザーが管理権限を持たないように設定したり vsphere Client を使用して root ユーザーのアクセス権を完全に削除したりできますこれらの操作を行う場合システム管理者ロールに割り当てられたユーザーがほかにもいる root レベルで最初に別の権限を作成する必要がありますシステム管理者ロールをほかのユーザーに割り当てるとトレーサビリティを使用したセキュリティの維持に役立ちます vsphere Client はシステム管理者ロールユーザーによって開始されたすべてのアクションをイベントとして記録し監査証跡を提供しますすべてのシステム管理者が root ユーザーとしてログインしている場合アクションを実行したシステム管理者を特定することはできません複数の権限を ( それぞれ異なるユーザーまたはユーザーグループに割り当てられている ) root レベルで作成すると各システム管理者または管理グループのアクションを追跡できます代理のシステム管理者ユーザーを作成したあとであれば root ユーザーの権限を削除したりロールを変更して root ユーザーの権限を制限したりすることができますホストを vcenter Server の管理下に置くときにホスト認証ポイントとして作成した新規ユーザーを使用する必要があります注意 vicfg コマンドはアクセスチェックを実行しませんそのため root ユーザーの権限を制限してもユーザーがコマンドラインインターフェイスコマンドを使用して実行できる機能に影響を与えません vpxuser の権限について vpxuser 権限はホストに対するアクティビティを管理する場合に vcenter Server で使用されます vpxuser は ESXi ホストと vcenter Server を接続するときに作成されます vcenter Server には管理するホストに対する管理者権限がありますたとえば vcenter Server はホスト間で仮想マシンを移動して仮想マシンのサポートに必要な構成変更を実行できます VMware, Inc. 147

148 vcenter Server の管理者は root ユーザーとほとんど同じタスクをホストで実行できますまたタスクのスケジュール設定やテンプレートの使用なども実行できますただし vcenter Server の管理者は ESXi ホストのユーザーおよびグループを直接作成削除または編集することはできませんこれらの作業は各 ESXi ホストに対して直接に管理者権限を持っているユーザーのみが実行できます注意 vpxuser およびその権限は変更しないでください変更すると vcenter Server を介して ESXi ホストで作業する場合に問題が発生することがあります dcui ユーザー権限の割り当て dcui ユーザーはホスト上で実行されシステム管理者権限で動作しますこのユーザーの主要目的はダイレクトコンソールからロックダウンモードのホストを構成することですこのユーザーはダイレクトコンソールのエージェントとして機能します対話形式のユーザーが変更したり使用したりしないでください注意 dcui ユーザーおよびその権限は変更しないでください変更するとローカルユーザーインターフェイスから ESXi ホストを操作するときに問題が発生する場合がありますロールについて vcenter Server および ESXi はでオブジェクトに対する権限が割り当てられているユーザーにのみそのオブジェクトへのアクセス権を付与しますオブジェクトにユーザーまたはグループ権限を割り当てる場合ユーザーまたはグループとロールのペアを作りますロールとは事前に定義された権限セットです ESXi ホストは 3 つのデフォルトロールを提供しますこれらのロールに関連付けられている権限は変更できません後続の各デフォルトロールには先行するロールの権限が含まれますたとえばシステム管理者ロールは読み取り専用ロールの権限を引き継ぎますユーザーが作成したロールにはデフォルトロールから引き継がれる権限はありません ESXi ホストに直接接続してロールを作成し権限を設定できますほとんどのユーザーは vcenter Server でロールを作成して権限を設定するため権限やロールの操作については基本システム管理を参照してくださいアクセスなしロールの割り当てオブジェクトに対してアクセスなしロールが割り当てられているユーザーはオブジェクトを表示または変更できません新しいユーザーとグループにはデフォルトでこのロールが割り当てられますロールはオブジェクトごとに変更できます特定のオブジェクトに対してアクセスなしロールが割り当てられているユーザーはそのオブジェクトに関連付けられている vsphere Client のタブを選択することはできますがタブに内容は表示されませんデフォルトでアクセスなしロールが割り当てられていないユーザーは root ユーザーおよび vpxuser 権限だけです代わりにこれらのユーザーにはシステム管理者ロールが割り当てられています最初にシステム管理者ロールを持つ root レベルで代替権限を作成しこのロールを別のユーザーに割り当てている場合は root ユーザーの権限を完全に削除したりそのロールをアクセスなしロールに変更したりできます読み取り専用ロールの割り当てオブジェクトに対して読み取り専用ロールが割り当てられているユーザーはオブジェクトの状態および詳細を表示できますこのロールが割り当てられているユーザーは仮想マシンホストおよびリソースプール属性を表示できますただしホストのリモートコンソールは表示できませんメニューおよびツールバーのすべてのアクションは無効になります管理者ロールの割り当てオブジェクトの管理者ロールが割り当てられているユーザーはオブジェクトのすべてのアクションを表示および実行できますこのロールには読み取り専用ロールのすべての権限も含まれます ESXi ホスト上でシステム管理者ロールで操作している場合そのホストの個々のユーザーとグループに権限を付与できます vcenter Server 上でシステム管理者ロールで操作している場合 vcenter Server が参照する Windows ドメインリストに含まれる任意のユーザーまたはグループに権限を付与できます 148 VMware, Inc.

149 第 13 章認証およびユーザー管理 vcenter Server は選択された Windows ドメインユーザーまたはグループを権限割り当てプロセスを介して登録しますデフォルトでは vcenter Server のローカル Windows Administrators グループのメンバーであるすべてのユーザーにシステム管理者ロールが割り当てられている任意のユーザーと同じアクセス権が付与されますシステム管理者グループのメンバーである各ユーザーはログインしてフルアクセス権を使用できますセキュリティ上の理由からシステム管理者ロールから Windows Administrators グループを削除することを検討してください権限はインストール後に変更できますまたは vsphere Client を使用して Windows Administrators のアクセス権を削除する場合は最初に別のユーザーがシステム管理者ロールに割り当てられている root レベルの別の権限を作成する必要がありますダイレクトコンソールのユーザーインターフェイスのアクセスダイレクトコンソールにログインできるのは管理者ロールを割り当てられているユーザーのみですダイレクトコンソールへのアクセスを許可するにはローカル管理者グループにユーザーを追加します手順 1 vsphere Client を使用してホストにログインします 2 [ ユーザーおよびグループ ] タブをクリックして [ ユーザー ] をクリックします 3 ユーザーを右クリックして [ 編集 ] をクリックするとユーザーの編集ダイアログボックスが開きます 4 [ グループ ] ドロップダウンメニューから localadmin を選択し [ 追加 ] をクリックします 5 [OK] をクリックします ESXi ホストでのユーザーおよびグループの使用 vsphere Client を介して ESXi ホストに直接接続している場合ユーザーおよびグループを作成編集および削除できますこれらのユーザーおよびグループは ESXi ホストにログインすればいつでも vsphere Client で表示できますが vcenter Server にログインした場合は使用できませんユーザーおよびグループのリストの表示ソートおよびエクスポート ESXi のユーザーおよびグループのリストを HTML XML Microsoft Excel または CSV のいずれかの形式のファイルで表示ソートおよびエクスポートできます手順 1 vsphere Client を使用してホストにログインします 2 [ ユーザーおよびグループ ] タブをクリックして [ ユーザー ] または [ グループ ] をクリックします 3 テーブルのソート方法を決めエクスポートしたファイルで表示する情報に応じて列を非表示にしたり表示したりします列でテーブルをソートするには列ヘッダーをクリックします列を表示または非表示にするには列ヘッダーを右クリックして非表示にする列の名前を選択または選択解除します列を表示または非表示にするには列ヘッダーを右クリックして非表示にする列の名前を選択または選択解除します 4 ユーザーテーブル上で右クリックして [ リストのエクスポート ] をクリックすると名前を付けて保存ダイアログボックスが開きます 5 パスを選択してファイル名を入力します 6 ファイルタイプを選択し [OK] をクリックします VMware, Inc. 149

150 ユーザーテーブルへのユーザーの追加ユーザーをユーザーテーブルに追加すると ESXi で保持している内部のユーザーリストが更新されます手順 1 vsphere Client を使用してホストにログインします 2 [ ユーザーおよびグループ ] タブをクリックして [ ユーザー ] をクリックします 3 ユーザーテーブル上で右クリックして [ 追加 ] をクリックすると新規ユーザーの追加ダイアログボックスが開きます 4 ログインユーザー名数値のユーザー ID (UID) パスワードを入力しますユーザー名と UID の指定は任意です UID を指定しない場合 vsphere Client により次に使用できる UID が割り当てられます 5 ユーザーをグループに追加するには [ グループ ] ドロップダウンメニューからグループを選択して [ 追加 ] をクリックします 6 [OK] をクリックしますユーザーの設定の変更ユーザーに関するユーザー ID ユーザー名パスワードおよびグループの設定を変更できますユーザーにシェルアクセスを付与することもできます手順 1 vsphere Client を使用してホストにログインします 2 [ ユーザーおよびグループ ] タブをクリックして [ ユーザー ] をクリックします 3 ユーザーを右クリックして [ 編集 ] をクリックするとユーザーの編集ダイアログボックスが開きます 4 ユーザー ID を変更するには [UID] テキストボックスに数値で UID を入力します最初にユーザーを作成すると vsphere Client によって UID が割り当てられます通常この割り当てを変更する必要はありません 5 新規ユーザー名を入力します 6 ユーザーのパスワードを変更するには [ パスワードの変更 ] を選択して新規パスワードを入力します一般的なブルートフォース攻撃から保護するため十分な長さと複雑さを備えたパスワードを作成します pam_passwdqc.so プラグインに認証を切り替えた場合のみホストがパスワードの整合性を確認しますデフォルトの認証プラグイン (pam_cracklib.so) ではパスワード設定はありません 7 ユーザーをグループに追加するには [ グループ ] ドロップダウンメニューからグループを選択して [ 追加 ] をクリックします 8 ユーザーをグループから削除するには [ グループメンバーシップ ] ボックスからグループ名を選択して [ 削除 ] をクリックします 9 [OK] をクリックしますユーザーまたはグループの削除 ESXi ホストからユーザーまたはグループを削除できます注意 root ユーザーは削除しないでください 150 VMware, Inc.

151 第 13 章認証およびユーザー管理手順 1 vsphere Client を使用してホストにログインします 2 [ ユーザーおよびグループ ] タブをクリックして [ ユーザー ] または [ グループ ] をクリックします 3 削除するユーザーまたはグループを右クリックして [ 削除 ] をクリックしますグループテーブルへのグループの追加グループを ESXi グループテーブルに追加するとホストで保持している内部のグループリストが更新されます手順 1 vsphere Client を使用してホストにログインします 2 [ ユーザーおよびグループ ] タブをクリックして [ グループ ] をクリックします 3 グループテーブル上で右クリックして [ 追加 ] をクリックすると新規グループの追加ダイアログボックスが開きます 4 [ グループ ID] テキストボックスにグループ名と数字のグループ ID (GID) を入力します GID の指定は任意です GID を指定しない場合 vsphere Client により次に使用できるグループ ID が割り当てられます 5 グループメンバーとして追加する各ユーザーにリストからユーザー名を選択して [ 追加 ] をクリックします 6 [OK] をクリックしますグループに対するユーザーの追加または削除グループテーブル内のグループからユーザーを追加または削除できます手順 1 vsphere Client を使用してホストにログインします 2 [ ユーザーおよびグループ ] タブをクリックして [ グループ ] をクリックします 3 変更するグループを右クリックして [ プロパティ ] をクリックするとグループの編集ダイアログボックスが開きます 4 ユーザーをグループに追加するには [ グループ ] ドロップダウンメニューからグループを選択して [ 追加 ] をクリックします 5 ユーザーをグループから削除するには [ グループメンバーシップ ] ボックスからグループ名を選択して [ 削除 ] をクリックします 6 [OK] をクリックします ESXi の暗号化およびセキュリティ証明書 ESXi は SSL v3 および TLS v1 をサポートしますここではこれらの総称として SSL という語を使用します SSL を有効にするとデータはプライベートになり保護されるため通信時にデータが気づかれずに変更されることはありません暗号化されていないトラフィックをポートが通過できるように Web プロキシサービスを変更していなければネットワークトラフィックは暗号化されますホスト証明書の検証はデフォルトで有効にされていますまた SSL 証明書はネットワークトラフィックの暗号化に使用されますただし ESXi はインストールプロセスの一部として作成されホストに格納される自動生成の証明書を使用しますこれらの証明書は一意ですサーバの使用は開始できますが立証はできず信頼性が高いことで有名な認証局 (CA) によって署名されているものではありませんこれらのデフォルトの証明書は潜在的な中間者攻撃に対して脆弱です VMware, Inc. 151

152 証明書の検証のすべての機能を利用するには ( 特に社外で暗号化によるリモート接続を使用する場合 ) 有効な内部認証局によって署名されている新しい証明書をインストールするか信頼できるセキュリティ機関から証明書を購入します注意自己署名の証明書を使用した場合クライアントには証明書に関する警告が表示されますこの問題に対処するには公認の認証局によって署名された証明書をインストールします CA によって署名されている証明書がインストールされていない場合 vcenter Server と vsphere Client 間のすべての通信は自己署名証明書を使用して暗号化されますこれらの証明書は本番環境に必要な認証セキュリティは提供しません証明書の検証の有効化とホストのサムプリントの検証中間者攻撃を防ぎ証明書によるセキュリティを完全に活用するため証明書の検証はデフォルトで有効になっています証明書の検証が有効になっていることは vsphere Client で確認できます注意 vcenter Server の証明書は複数のアップグレードにわたって保持されます手順 1 vsphere Client を使用して vcenter Server システムにログインします 2 [ 管理 ] - [vcenter Server 設定 ] を選択します 3 左側のペインで [SSL 設定 ] をクリックし [ ホストの証明書を確認 ] が選択されていることを確認します 4 手動での検証が必要なホストがある場合ホスト用に一覧表示されたサムプリントとホストコンソール内のサムプリントを比較しますホストのサムプリントを取得するには ESXi ホストで次のコマンドを実行します openssl x509 -in /etc/vmware/ssl/rui.crt -fingerprint -sha1 -noout 5 サムプリントが一致している場合ホストの横にある [ 検証 ] を選択します選択しなかったホストは [OK] をクリックすると切断されます 6 [OK] をクリックします ESXi ホストの新しい証明書の生成システムを最初に起動したとき ESXi ホストにより証明書が生成されます場合によってはホストに強制的に新しい証明書を作成させる必要がある場合もあります通常新しい証明書を生成するのはホスト名を変更する場合または証明書を誤って削除した場合のみです手順 1 ダイレクトコンソールで [ カスタマイズした設定のリセット ] を選択します 2 システムを再起動すると証明書が再生成されますデフォルトの証明書と CA 署名付き証明書との置き換え ESXi ホストはインストールプロセスの一部として作成される自動生成の証明書を使用しますこれらの証明書は一意ですサーバの使用は開始できますが立証はできず信頼性が高いことで有名な認証局 (CA) によって署名されているものではありませんデフォルトの証明書を使用すると自社のセキュリティポリシーを満たさないことがあります信頼できる認証局からの証明書が必要な場合はデフォルトの証明書を置き換えることができます注意 ESXi は X.509 証明書のみをサポートしてサーバおよびクライアントコンポーネント間で SSL 接続を介して送信されるセッション情報を暗号化します 152 VMware, Inc.

153 第 13 章認証およびユーザー管理開始する前にファイルのすべての転送および通信は安全な HTTPS セッションを介して行われますセッションの認証に使用されるユーザーはホストで権限ホスト. 構成. 詳細構成を保持している必要があります ESXi の権限の詳細についてはユーザーグループ権限およびロールについて (P. 146) を参照してください手順 1 vifs コマンドを使用して証明書および鍵のファイルのコピーを ESXi ホストに配置しますこのコマンドにおける証明書および鍵の形式はそれぞれ次のようになります vifs --server < ホスト名 > --username < ユーザー名 > --put rui.crt /host/ssl_cert vifs --server < ホスト名 > --username < ユーザー名 > --put rui.key /host/ssl_key 2 ダイレクトコンソールから [ 管理エージェントの再起動 ] 操作を使用して設定を有効にします HTTPS の PUT を使用した証明書および鍵のアップロード vifs コマンドを使用するだけでなくサードパーティのアプリケーションを使用して証明書をアップロードすることができます HTTPS PUT 操作をサポートしているアプリケーションは ESXi に含まれている HTTPS インターフェイスで機能しますたとえば SeaMonkey Composer を使用して証明書および鍵をアップロードすることができます手順 1 アップロードアプリケーションでファイルを開きます 2 次のいずれかの場所にファイルをパブリッシュします証明書の場合 : 鍵の場合 : 3 ダイレクトコンソールから管理エージェントの再起動操作を使用して設定を有効にします SSL のタイムアウトの構成 ESXi の SSL のタイムアウトを構成できますタイムアウト期間は 2 つのタイプのアイドル接続について設定できます読み取りタイムアウト設定は ESXi のポート 443 との SSL ハンドシェイクプロセスを完了した接続に適用されますハンドシェイクタイムアウト設定は ESXi のポート 443 との SSL ハンドシェイクプロセスを完了していない接続に適用されますどちらの接続タイムアウトもミリ秒単位で設定しますアイドル接続はタイムアウト期間が経過したあと切断されますデフォルトでは完全に確立された SSL 接続のタイムアウトは無限の長さになります手順 1 vifs コマンドを使用して編集する config.xml ファイルのコピーを取得します Linux システムでは次のコマンドを使用します vifs --server < ホスト名 > --username < ユーザー名 > --get /host/config.xml < ディレクトリ >/ config.xml VMware, Inc. 153

154 Windows システムでは次のコマンドを使用します vifs --server < ホスト名 > --username < ユーザー名 > --get /host/config.xml < ディレクトリ > config.xml 2 テキストエディタを使用して config.xml ファイルを開きます 3 <readtimeoutms> の値をミリ秒単位で入力しますたとえば読み取りタイムアウトを 20 秒に設定するには次のコマンドを入力します <readtimeoutms>20000</readtimeoutms> 4 <handshaketimeoutms> の値をミリ秒単位で入力しますたとえばハンドシェイクタイムアウトを 20 秒に設定するには次のコマンドを入力します <handshaketimeoutms>20000</handshaketimeoutms> 5 変更内容を保存しファイルを閉じます 6 vifs コマンドを使用して config.xml ファイルのコピーを ESXi ホストに配置します Linux システムでは次のコマンドを使用します vifs --server < ホスト名 > --username < ユーザー名 > --put < ディレクトリ >/config.xml /host/ config.xml Windows システムでは次のコマンドを使用します vifs --server < ホスト名 > --username < ユーザー名 > --put < ディレクトリ > config.xml /host/ config.xml 7 ダイレクトコンソールから管理エージェントの再起動操作を使用して設定を有効にします例構成ファイルファイル /etc/vmware/hostd/config.xml の次のセクションは SSL タイムアウト設定を入力する箇所を示しています <vmacore>... <http> <readtimeoutms>20000</readtimeoutms> </http>... <ssl>... <handshaketimeoutms>20000</handshaketimeoutms>... </ssl> </vmacore> 154 VMware, Inc.

155 第 13 章認証およびユーザー管理 ESXi Web プロキシ設定の変更 Web プロキシ設定を変更する場合暗号化とユーザーセキュリティについて考慮すべきガイドラインがいくつかあります注意ホストのディレクトリまたは認証メカニズムに変更を加えたあとダイレクトコンソールから管理エージェントの再開操作を使用して vmware-hostd プロセスを再開しますパスフレーズを使用する証明書を設定しないでください ESXi はパスフレーズ ( 暗号鍵とも呼ばれる ) をサポートしていませんパスフレーズを設定すると ESXi プロセスが正しく起動できませんデフォルト以外の場所で証明書を検索するように Web プロキシを構成できますこの機能は複数のホストで証明書を使用できるようにその証明書を 1 台のマシンで一元管理している企業で役に立ちます注意証明書がホストにローカルに格納されていない場合 ( たとえば NFS 共有に格納されている場合 ) ESXi でネットワーク接続が失われるとホストがそれらの証明にアクセスできなくなりますその結果ホストに接続するクライアントがホストとの安全な SSL ハンドシェイクに正常に参加できなくなりますユーザー名パスワードおよびパケットの暗号化をサポートするために vsphere Web Service SDK 接続ではデフォルトで SSL が有効になっていますこれらの接続が送信内容を暗号化しないように構成する場合は接続を HTTPS から HTTP に切り替えて vsphere Web Service SDK 接続の SSL を無効にしますファイアウォールが適切に設定されてホスト間の転送が完全に隔離された完全に信頼できる環境をそれらのクライアントに作成した場合のみ SSL を無効にすると考えてください SSL を無効にすると暗号化の実行に必要なオーバーヘッドが回避されるのでパフォーマンスが向上します ESXi サービスの悪用を防ぐためにほとんどの内部 ESXi サービスは HTTPS 転送に使用されるポート 443 からのみアクセスできますポート 443 は ESXi のリバースプロキシとして機能します ESXi のサービスのリストは HTTP のようこそページから参照できますが適切な権限がないとストレージアダプタサービスに直接アクセスすることはできません HTTP 接続を介して個々のサービスに直接アクセスできるようにこの構成を変更できますただし完全に信頼できる環境で ESXi を使用していないかぎりこのような変更は行わないでください vcenter Server をアップグレードしても証明書はそのまま残ります Web プロキシサービスのセキュリティ設定の変更 HTTP 接続を介して個々のサービスに直接アクセスできるようにセキュリティの構成を変更できます手順 1 vifs コマンドを使用して編集する proxy.xml ファイルのコピーを取得します Linux システムでは次のコマンドを使用します vifs --server < ホスト名 > --username < ユーザー名 > --get /host/proxy.xml < ディレクトリ >/proxy.xml VMware, Inc. 155

156 Windows システムでは次のコマンドを使用します vifs --server < ホスト名 > --username < ユーザー名 > --get /host/proxy.xml < ディレクトリ > proxy.xml 注意このファイルを変更した結果構成が不正になるとシステムが管理できない状態になることがありますダイレクトコンソールを使用して工場出荷時の設定にリセットする必要がある場合があります 2 テキストエディタを使用して proxy.xml ファイルを開きます通常ファイルの内容は次のようになっています <ConfigRoot> <EndpointList> <_length>6</_length> <_type>vim.proxyservice.endpointspec[]</_type> <e id="0"> <_type>vim.proxyservice.namedpipeservicespec</_type> <accessmode>httpswithredirect</accessmode> <pipename>/var/run/vmware/proxy-webserver</pipename> <servernamespace>/</servernamespace> </e> <e id="1"> <_type>vim.proxyservice.namedpipeservicespec</_type> <accessmode>httpswithredirect</accessmode> <pipename>/var/run/vmware/proxy-sdk</pipename> <servernamespace>/sdk</servernamespace> </e> <e id="2"> <_type>vim.proxyservice.localservicespec</_type> <accessmode>httpswithredirect</accessmode> <port>8080</port> <servernamespace>/ui</servernamespace> </e> <e id="3"> <_type>vim.proxyservice.namedpipeservicespec</_type> <accessmode>httpsonly</accessmode> <pipename>/var/run/vmware/proxy-vpxa</pipename> <servernamespace>/vpxa</servernamespace> </e> <e id="4"> <_type>vim.proxyservice.namedpipeservicespec</_type> <accessmode>httpswithredirect</accessmode> <pipename>/var/run/vmware/proxy-mob</pipename> <servernamespace>/mob</servernamespace> </e> <e id="5"> <_type>vim.proxyservice.localservicespec</_type>    <accessmode>httpandhttps</accessmode> <port>8889</port> <servernamespace>/wsman</servernamespace> </e> </EndpointList> </ConfigRoot> 156 VMware, Inc.

157 第 13 章認証およびユーザー管理 3 セキュリティ設定を必要に応じて変更しますたとえば HTTPS を使用するサービスのエントリを変更して HTTP アクセスのオプションを追加できます <e id> はサーバ ID XML タグの ID 番号です ID 番号は HTTP エリア内で一意でなければなりません <_type> は移動するサービスの名前です <accessmode> はサービスが許可する通信の形式です次の値を使用できます httponly: プレーンテキスト HTTP 接続でのみサービスにアクセスできます httpsonly: HTTPS 接続でのみサービスにアクセスできます httpswithredirect: HTTPS 接続でのみサービスにアクセスできます HTTP による要求は適切な HTTPS URL にリダイレクトされます httpandhttps: HTTP 接続と HTTPS 接続の両方でサービスにアクセスできます <port> はサービスに割り当てられたポート番号です別のポート番号をサービスに割り当てることができます <servernamespace> はこのサービスを提供するサーバのネームスペースですたとえば /sdk または /mob です 4 変更内容を保存しファイルを閉じます 5 vifs コマンドを使用して proxy.xml ファイルのコピーを ESXi ホストに配置します Linux の場合は次のコマンドを使用します vifs --server < ホスト名 > --username < ユーザー名 > --put < ディレクトリ >/proxy.xml /host/proxy.xml Windows の場合は次のコマンドを使用します vifs --server < ホスト名 > --username < ユーザー名 > --put < ディレクトリ > proxy.xml /host/proxy.xml 6 ダイレクトコンソールから管理エージェントの再起動操作を使用して設定を有効にします VMware, Inc. 157

158 158 VMware, Inc.

159 セキュリティの導入と推奨事項 14 ESXi の一連の導入シナリオは各ユーザーがセキュリティ機能を最適に導入する方法を理解するうえで役立ちますこれらのシナリオでは仮想マシンの作成および構成時に検討すべき基本的セキュリティの推奨事項についても説明しますこの章では次のトピックについて説明します一般的な ESXi 導入環境でのセキュリティアプローチ (P. 159) ESXi のロックダウンモード (P. 162) 仮想マシンに関する推奨事項 (P. 163) 一般的な ESXi 導入環境でのセキュリティアプローチさまざまなタイプの導入環境に対するセキュリティアプローチを比較して所有する ESXi 導入環境に対するセキュリティ計画に役立てることができます ESXi 導入環境の複雑さは企業の規模データおよびリソースを外部と共有する方法データセンターの数 ( 複数か 1 つだけか ) などによって大きく異なります次に示す導入環境ではユーザーアクセスリソースの共有方法およびセキュリティレベルがそれぞれ異なります単一顧客の導入環境単一顧客の導入環境では ESXi ホストが単一の企業とデータセンターによって所有および管理されていますホストのリソースを外部ユーザーと共有することはありません 1 人のサイト管理者がホストを管理しこれらのホストで複数の仮想マシンが動作します単一顧客の導入では顧客管理者は認められずサイト管理者がさまざまな仮想マシンの管理に対して単独で責任を負いますこの企業のシステム管理者はホストのアカウントを所持していないため vcenter Server やホスト用のコマンドラインシェルなどの ESXi ツールにはアクセスできませんこれらのシステム管理者は仮想マシンコンソールを介して仮想マシンにアクセスできるのでソフトウェアをロードし仮想マシン内部でその他のメンテナンスタスクを実行できます表 14-1 にホストに使用または構成するコンポーネントの共有方法を示します表単一顧客の導入環境でのコンポーネントの共有機能構成コメント仮想マシン間での同じ物理ネットワークの共有可同じ物理ネットワーク上で仮想マシンを構成します VMFS の共有可すべての.vmdk ファイルは同じ VMFS パーティションに配置されます仮想マシンメモリのオーバーコミット可仮想マシンの総メモリは物理メモリの合計よりも大きい容量で構成します表 14-2 にホストのユーザーアカウントを設定する方法を示します VMware, Inc. 159

160 表単一顧客の導入環境でのユーザーアカウントの設定ユーザーカテゴリアカウントの合計数サイト管理者 1 顧客管理者 0 システム管理者 0 ビジネスユーザー 0 表 14-3 に各ユーザーのアクセスレベルを示します表単一顧客の導入環境でのユーザーアクセスアクセスレベルサイト管理者システム管理者ルートアクセス可不可仮想マシンの作成と変更可不可コンソール経由の仮想マシンアクセス可可複数顧客用の制限付き導入環境複数顧客用の制限付き導入環境では ESXi ホストは同じデータセンター内に配置され複数の顧客に対するアプリケーションの提供に使用されますサイト管理者がホストを管理しこれらのホストでは顧客専用の複数の仮想マシンが動作していますさまざまな顧客の仮想マシンを同一のホストに配置できますが不正な通信を防止するためにリソースの共有はサイト管理者によって制限されますサイト管理者は 1 人ですが複数の顧客管理者が各自の顧客に割り当てられた仮想マシンを管理しますこの導入方法では顧客側のシステム管理者も配置されますこの管理者は ESXi アカウントは所持していませんが仮想マシンコンソールから仮想マシンにアクセスできるのでソフトウェアをロードし仮想マシン内部でその他のメンテナンスタスクを実行できます表 14-4 にホストに使用または構成するコンポーネントの共有方法を示します表複数顧客用の制限付き導入環境でのコンポーネントの共有機能構成コメント仮想マシン間での同じ物理ネットワークの共有一部各顧客の仮想マシンを異なる物理ネットワークに配置しますすべての物理ネットワークは互いに独立しています VMFS の共有不可各顧客は固有の VMFS パーティションと仮想マシンを所有し.vmdk ファイルは各自のパーティションにのみ配置されますパーティションは複数の LUN にわたって配置できます仮想マシンメモリのオーバーコミット可仮想マシンの総メモリは物理メモリの合計よりも大きい容量で構成します表 14-5 に ESXi ホストのユーザーアカウントを設定する方法を示します表複数顧客用の制限付き導入環境でのユーザーアカウントの設定ユーザーカテゴリアカウントの合計数サイト管理者 1 顧客管理者 10 システム管理者 0 ビジネスユーザー 0 表 14-6 に各ユーザーのアクセスレベルを示します 160 VMware, Inc.

161 第 14 章セキュリティの導入と推奨事項表複数顧客用の制限付き導入環境でのユーザーアクセスアクセスレベルサイト管理者顧客管理者システム管理者ルートアクセス可不可不可仮想マシンの作成と変更可可不可コンソール経由の仮想マシンアクセス可可可複数顧客用のオープンな導入環境複数顧客用のオープンな導入環境では ESXi ホストは同じデータセンター内に配置され複数の顧客に対するアプリケーションの提供に使用されますサイト管理者がホストを管理しこれらのホストでは顧客専用の複数の仮想マシンが動作していますさまざまな顧客の所有物である仮想マシンを同一のホストに配置できますがリソースの共有に関する制限は緩和されます複数顧客用のオープンな導入環境ではサイト管理者は 1 人ですが複数の顧客管理者が各自の顧客に割り当てられた仮想マシンを管理しますこの導入方法では顧客側のシステム管理者も配置されますこの管理者は ESXi アカウントは所持していませんが仮想マシンコンソールから仮想マシンにアクセスできるのでソフトウェアをロードし仮想マシン内部でその他のメンテナンスタスクを実行できますアカウントを持たないビジネスユーザーのグループは仮想マシンを使用して各自のアプリケーションを実行できます表 14-7 にホストに使用または構成するコンポーネントの共有方法を示します表複数顧客用のオープンな導入環境でのコンポーネントの共有機能構成コメント仮想マシン間での同じ物理ネットワークの共有可同じ物理ネットワーク上で仮想マシンを構成します VMFS の共有可仮想マシンは VMFS パーティションとその仮想マシンを共有できます共有するパーティションに.vmdk ファイルを配置できます仮想マシンは.vmdk ファイルを共有しません仮想マシンメモリのオーバーコミット可仮想マシンの総メモリは物理メモリの合計よりも大きい容量で構成します表 14-8 にホストのユーザーアカウントを設定する方法を示します表複数顧客用のオープンな導入環境でのユーザーアカウントの設定ユーザーカテゴリアカウントの合計数サイト管理者 1 顧客管理者 10 システム管理者 0 ビジネスユーザー 0 表 14-9 に各ユーザーのアクセスレベルを示します表複数顧客用のオープンな導入環境でのユーザーアクセスアクセスレベルサイト管理者顧客管理者システム管理者ビジネスユーザールートアクセス可不可不可不可仮想マシンの作成と変更可可不可不可 VMware, Inc. 161

162 ESXi のロックダウンモード ESXi ホストのセキュリティを向上させるためにロックダウンモードにすることができますロックダウンモードは vcenter Server に追加された ESXi でのみ使用できますロックダウンモードを有効にすると ESXi マシンへの直接ルートアクセスがすべて無効になります以後ホストにローカルで変更を加える場合はすべての編集が可能な Active Directory アカウントを使用して vcenter Server への vsphere Client セッションまたは vsphere CLI コマンドで行う必要がありますホストで定義されたローカルユーザーアカウントを使用することもできますデフォルトでは ESXi システムにローカルユーザーアカウントは存在しませんこのアカウントは vsphere Client セッションでロックダウンモードを有効にする前にのみ ESXi システムで直接作成できますホストへの変更はそのホストでローカルに権限が付与されているユーザーに制限されますロックダウンモードを有効にできるのはホストの追加ウィザードを使用して ESXi ホストを vcenter Server に追加するとき vsphere Client を使用してホストを管理するときまたはダイレクトコンソールを使用しているときです vsphere Client を使用したロックダウンモードの有効化ロックダウンモードは ESXi ホストに対するすべての直接ルートアクセスを無効にしますロックダウンモードはダイレクトコンソールから有効または無効にすることもできます手順 1 vsphere Client を使用して vcenter Server システムにログインします 2 インベントリパネルでホストを選択します 3 [ 構成 ] タブをクリックして [ セキュリティプロファイル ] をクリックします vsphere Client によりアクティブな着信および発信接続やそれを対応するファイアウォールポートのリストが表示されます 4 ロックダウンモードの横の [ 編集 ] リンクをクリックしますロックダウンモードダイアログボックスが表示されます 5 [ ロックダウンモードを有効にする ] を選択します 6 [OK] をクリックしますダイレクトコンソールからのロックダウンモードの有効化ダイレクトコンソールおよび vsphere Client からロックダウンモードを有効にできます手順 u [ ロックダウンモードの構成 ] の設定を切り替えます 162 VMware, Inc.

163 第 14 章セキュリティの導入と推奨事項仮想マシンに関する推奨事項仮想マシンのセキュリティを評価し仮想マシンを管理する場合は検討すべき安全対策がいくつかありますアンチウイルスソフトウェアのインストール各仮想マシンは標準的なオペレーティングシステムを提供しているのでアンチウイルスソフトウェアをインストールしてウイルスから仮想マシンを保護することを考慮してください仮想マシンの利用方法によってはソフトウェアファイアウォールのインストールも必要になる場合があります特に多数の仮想マシンをデプロイするときはウイルススキャンのスケジュールを調整してくださいすべての仮想マシンを同時にスキャンすると使用環境内のシステムのパフォーマンスが大幅に低下しますソフトウェアファイアウォールとアンチウイルスソフトウェアは仮想化に負荷をかけることがあるため特に仮想マシンが完全に信頼できる環境にあることが確実な場合はこの 2 つのセキュリティ対策の必要性と仮想マシンのパフォーマンスのバランスをとることができますゲスト OS システムとリモートコンソール間のコピーアンドペースト操作の無効化コピーアンドペーストの操作を無効にしてクリップボードにコピーされた機密データが公開されないようにすることができます仮想マシンで VMware Tools が動作している場合ゲスト OS とリモートコンソールとの間でコピーアンドペースト操作が可能ですコンソールウィンドウにフォーカスが移るとすぐに仮想マシンを操作している権限のないユーザーおよび実行中のプロセスは仮想マシンコンソールのクリップボードにアクセスできますユーザーがコンソールを使用する前に機密情報をクリップボードにコピーするとユーザーが気付かない間に機密データが仮想マシンにさらされていますこの問題を回避するにはゲスト OS のコピーアンドペースト操作を無効にすることを検討します手順 1 vsphere Client を使用して vcenter Server システムにログインします 2 [ サマリ ] タブの [ 設定の編集 ] をクリックします 3 [ オプション ] - [ 詳細 ] - [ 全般 ] を選択し [ 構成パラメータ ] をクリックします 4 [ 行の追加 ] をクリックし次の値を名前と値の各列に入力します名前 isolation.tools.copy.disable isolation.tools.paste.disable isolation.tools.setguioptions.enable 値 true true false 注意ゲスト OS の VMware Tools コントロールパネルで行なった設定はこれらのオプションによってすべてオーバーライドされます次のような結果が表示されます名前 sched.mem.max sched.swap.derivedname scsi0:0.redo vmware.tools.installstate vmware.tools.lastinstallstatus.result 値フィールド unlimited /vmfs/volumes/e5f9f3d1-ed4d8ba/new Virtual Machine true none unknown VMware, Inc. 163

164 名前 isolation.tools.copy.disable isolation.tools.paste.disable isolation.tools.setguioptions.enable 値フィールド true true false 5 [OK] をクリックして構成パラメータダイアログボックスを閉じもう一度 [OK] をクリックして仮想マシンのプロパティダイアログボックスを閉じます不要なハードウェアデバイスの削除仮想マシン上で権限のないユーザーおよびプロセスはネットワークアダプタや CD-ROM ドライブなどのハードウェアデバイスを接続または切断できますしたがって不要なハードウェアデバイスを削除しておくと攻撃の防止に役立ちます攻撃者はいくつかの方法で仮想マシンのセキュリティを侵害するのにこの機能を利用できますたとえば仮想マシンにアクセスした攻撃者は切断された CD-ROM ドライブを接続しドライブ内に残されたメディアにある機密情報にアクセスしたりネットワークアダプタを切断して仮想マシンをネットワークから隔離し結果的にサービス拒否状態にすることができます一般的なセキュリティ上の予防策として vsphere Client の [ 構成 ] タブのコマンドを使用して不要なまたは使用していないハードウェアデバイスを削除しますこの方法は仮想マシンのセキュリティを強化することはできますが未使用のデバイスをあとでサービスに戻すような状況には適していません仮想マシンのユーザーまたはプロセスによるデバイスの切断防止デバイスを永久に削除するのが好ましくない場合は仮想マシンのユーザーまたはプロセスがゲスト OS からデバイスを接続または切断するのを防ぐことができます手順 1 vsphere Client を使用して vcenter Server システムにログインします 2 インベントリパネルで仮想マシンを選択します 3 [ サマリ ] タブの [ 設定の編集 ] をクリックします 4 [ オプション ] - [ 一般オプション ] を選択し [ 仮想マシンの構成ファイル ] テキストボックスに表示されているパスを書き留めます 5 vifs コマンドを使用して手順 4 で書き留めた場所から仮想マシンの構成ファイルのコピーを取得します仮想マシンの構成ファイルは /vmfs/volumes/<datastore> ディレクトリにあります <datastore> は仮想マシンファイルが常駐しているストレージデバイスの名前ですたとえば仮想マシンプロパティダイアログボックスで取得した仮想マシンの構成ファイルが [vol1]vm-finance/vm-finance.vmx の場合次のコマンドを使用します vifs --server <hostname> --username <username> --get /vmfs/volumes/vol1/vm-finance/ vm-finance.vmx <directory>/vm-finance.vmx 6 テキストエディタを使用して次の行を.vmx ファイルに追加します <device_name> は保護するデバイスの名前です ( 例 : ethernet1) <device_name>.allowguestconnectioncontrol = "false" 注意デフォルトで Ethernet 0 はデバイスの切断を許可しないよう構成されていますこの構成は前任の管理者が <device_name>.allowguestconnectioncontrol を TRUE に設定していた場合にのみ変更します 7 変更内容を保存しファイルを閉じます 164 VMware, Inc.

165 第 14 章セキュリティの導入と推奨事項 8 vifs を使用して手順 4 で書き留めた場所に修正したファイルのコピーを配置します vifs --server <hostname> --username <username> --put <directory>/vm-finance.vmx / vmfs/volumes/vol1/vm-finance/vm-finance.vmx 9 vsphere Client で仮想マシンを右クリックし [ パワーオフ ] を選択します 10 その仮想マシンを右クリックし [ パワーオン ] を選択しますホストメモリに対するゲスト OS の書き込みの制限ゲスト OS のプロセスは VMware Tools を使用して ESXi ホストに情報メッセージを送信しますこれらのメッセージの結果としてホストが保存するデータ量が制限されない場合攻撃者は無制限のデータフローを利用してサービス拒否 (DoS) 攻撃を仕掛けることができますゲストのオペレーティングプロセスから送信される情報メッセージは setinfo メッセージと呼ばれ通常はホストが保存する仮想マシンの特性または識別子を定義する名前と値のペアが含まれています ( 例 : ipaddress= ) この名前と値のペアが格納された構成ファイルはサイズが 1MB に制限されているため攻撃者が VMware Tools に似たソフトウェアを記述してホストメモリを任意の構成データであふれさせることで仮想マシンに必要な容量を消費する DoS 攻撃を仕掛けることが防止されます名前と値のペア用に 1MB を超えるストレージが必要な場合は必要に応じて値を変更できますゲスト OS のプロセスで構成ファイルに名前と値のペアが書き込まれることを禁止することもできますゲスト OS の可変メモリ制限の変更構成ファイルに大量のカスタム情報が格納されている場合はゲスト OS の可変メモリ制限を増やすことができます手順 1 vsphere Client を使用して vcenter Server システムにログインします 2 インベントリパネルで仮想マシンを選択します 3 [ サマリ ] タブの [ 設定の編集 ] をクリックします 4 [ オプション ] - [ 詳細 ] - [ 全般 ] を選択し [ 構成パラメータ ] をクリックします 5 サイズ制限の属性が存在しない場合は自分で追加する必要があります a b c [ 行の追加 ] をクリックします名前の列に tools.setinfo.sizelimit と入力します値の列にバイト数を入力しますサイズ制限の属性が存在する場合は適切な制限を反映させるように変更します 6 [OK] をクリックして構成パラメータダイアログボックスを閉じもう一度 [OK] をクリックして仮想マシンのプロパティダイアログボックスを閉じますゲスト OS のプロセスによるホストへの構成メッセージの送信防止ゲストが構成ファイルに対して名前と値のペアを書き込むことを禁止できますこれはゲスト OS による構成設定の変更を禁止する必要がある場合に適切です手順 1 vsphere Client を使用して vcenter Server システムにログインします 2 インベントリパネルで仮想マシンを選択します 3 [ サマリ ] タブの [ 設定の編集 ] をクリックします 4 [ オプション ] - [ 詳細 ] - [ 全般 ] を選択し [ 構成パラメータ ] をクリックします VMware, Inc. 165

166 5 [ 行の追加 ] をクリックし次の値を名前と値の各列に入力します名前の列 : isolation.tools.setinfo.disable 値の列 : true 6 [OK] をクリックして構成パラメータダイアログボックスを閉じもう一度 [OK] をクリックして仮想マシンのプロパティダイアログボックスを閉じますゲスト OS のログレベルの構成仮想マシンは VMFS ボリュームに保存された仮想マシンログファイルにトラブルシューティング情報を書き込むことができます故意か人為的ミスかに関わらず仮想マシンのユーザーおよびプロセスがログ機能を不正に使用すると大量のデータがログファイルに流れ込みますこのログファイルによってファイルシステムの領域が大量に消費されのちにサービス拒否が発生しますこの問題を回避するには仮想マシンのゲスト OS のログ設定を変更することを検討しますこれらの設定はログファイルの合計サイズおよび数を制限できます通常ホストを再起動するたびに新しいログファイルが作成されるためログファイルは非常に大きくなることがありますログファイルの最大サイズを制限すると新しいログファイルを作成する頻度を高めることができますそれぞれ 100KB に制限した 10 のログファイルを保存することをお勧めしますこの値は発生するほとんどの問題のデバッグに必要な量の情報を獲得できる十分に大きな値ですログにエントリが書き込まれるたびにログのサイズが確認されます制限を超えている場合その次のエントリは新しいログに書き込まれます最大数のログファイルが存在する場合は最も古いログファイルが削除されます巨大なログエントリを書き込むことによってこれらの制限を回避する DoS 攻撃が試みられる恐れがありますしかしログエントリのサイズは 4KB に制限されているため構成された制限 + 4KB を超えるログファイルは生成されませんログファイルの数およびサイズの制限仮想マシンのユーザーとプロセスによってログファイルがあふれサービス拒否状態になることを防止するために ESXi が生成するログファイルの数とサイズを制限できます手順 1 vsphere Client を使用して vcenter Server システムにログインします 2 [ サマリ ] タブの [ 設定の編集 ] をクリックします 3 [ オプション ] - [ 一般オプション ] を選択し [ 仮想マシンの構成ファイル ] テキストボックスに表示されているパスを書き留めます 4 vifs コマンドを使用して手順 4 で書き留めた場所から仮想マシンの構成ファイルのコピーを取得します仮想マシンの構成ファイルは /vmfs/volumes/<datastore> ディレクトリにあります <datastore> は仮想マシンファイルが常駐しているストレージデバイスの名前ですたとえば仮想マシンプロパティダイアログボックスで取得した仮想マシンの構成ファイルが [vol1]vm-finance/vm-finance.vmx の場合次のコマンドを使用します vifs --server <hostname> --username <username> --get /vmfs/volumes/vol1/vm-finance/ vm-finance.vmx <directory>/vm-finance.vmx 5 ログのサイズを制限するにはテキストエディタを使用して.vmx ファイルに次の行を追加または編集します <maximum_size> はファイルの最大サイズ ( バイト ) です log.rotatesize=<maximum_size> たとえばサイズを約 100 KB に制限するにはと入力します 166 VMware, Inc.

167 第 14 章セキュリティの導入と推奨事項 6 制限された数のログファイルを保持するにはテキストエディタを使用して.vmx ファイルで次の行を追加または編集します <number_of_files_to_keep> はサーバが保持するファイル数です log.keepold=<number_of_files_to_keep> たとえば 10 個のログファイルを保持して新しいファイルの作成時に古いファイルの削除を開始するには 10 と入力します 7 変更内容を保存しファイルを閉じます 8 vifs を使用して手順 4 で書き留めた場所に修正したファイルのコピーを配置します vifs --server <hostname> --username <username> --put <directory>/vm-finance.vmx / vmfs/volumes/vol1/vm-finance/vm-finance.vmx ゲスト OS のログの無効化 VMFS ボリュームに保存された仮想マシンログファイルにトラブルシューティング情報を書き込まないようにするとログを完全に停止できますゲスト OS のログを無効にするとトラブルシューティングに使用するための十分なログが収集できなくなる可能性があることに注意してくださいさらにログを無効にした場合当社では仮想マシンの問題に対するテクニカルサポートを提供しません手順 1 vsphere Client を使用して vcenter Server システムにログインしインベントリの仮想マシンを選択します 2 [ サマリ ] タブの [ 設定の編集 ] をクリックします 3 [ オプション ] タブをクリックし [ 詳細 ] の下のオプションリストで [ 全般 ] を選択します 4 [ 設定 ] で [ ログの有効化 ] を選択解除します 5 [OK] をクリックして仮想マシンプロパティダイアログボックスを閉じます VMware, Inc. 167

168 168 VMware, Inc.

169 ホストプロファイル VMware, Inc. 169

170 170 VMware, Inc.

171 ホストプロファイルの管理 15 ホストプロファイル機能によりプロファイルが作成されますこのプロファイルはホストの構成をカプセル化するもので特に管理者が vcenter Server で複数のホストまたはクラスタを管理する環境ではホストの構成を管理するうえで役に立ちますホストプロファイルではホストごと手動または UI ベースのホスト構成が不要になりますまたホストプロファイルポリシーを使用することによってデータセンターにおける構成の一貫性および正確さを保持しますこれらのポリシーは既知かつ検証済みの参照ホスト構成の情報を取得しこれを使用して複数のホストまたはクラスタのネットワークストレージセキュリティおよびその他の設定を構成しますその後ホストまたはクラスタとプロファイルの構成との相違点を確認できますこの章では次のトピックについて説明しますホストプロファイルの使用モデル (P. 171) ホストプロファイルビューへのアクセス (P. 172) ホストプロファイルの作成 (P. 172) ホストプロファイルのエクスポート (P. 173) ホストプロファイルのインポート (P. 173) ホストプロファイルの編集 (P. 173) プロファイルの管理 (P. 175) コンプライアンスの確認 (P. 178) ホストプロファイルの使用モデルここではホストプロファイルの使用のワークフローについて説明します vsphere をインストールした既存の環境およびそこに正しく構成されたホストを少なくとも 1 つ持っている必要があります 1 参照ホストとして使用するホストを設定および構成します参照ホストはプロファイルの作成元のホストです 2 指定された参照ホストを使用してプロファイルを作成します 3 ホストまたはクラスタをプロファイルに関連付けます VMware, Inc. 171

172 4 プロファイルに対するホストのコンプライアンスを確認しますこれによりホストが正しく構成されていることを確認できます 5 参照ホストのホストプロファイルを別のホストまたはホストのクラスタへ適用します注意ホストプロファイルがサポートされるのは VMware vsphere 4.0 のホストだけです VI 3.5 以前のホストではこの機能はサポートされていません vcenter Server 4.0 で管理している VI 3.5 以前のホストがある場合それらのホストに対してホストプロファイルを使用しようとすると次のことが起こる可能性があります VMware Infrastructure 3.5 以前のホストを参照ホストとして使用するホストプロファイルを作成できない VI 3.5 以前のホストにホストプロファイルを適用できないコンプライアンスの確認に失敗します VI 3.5 以前のホストが混在するクラスタにホストプロファイルを関連付けることはできるがそれらのホストのコンプライアンスの確認は失敗する vsphere のライセンス機能としてホストプロファイルは適切なライセンスが使用されている場合のみ使用できますエラーが発生する場合はホストの適切な vsphere ライセンスがあることを確認してくださいホストプロファイルビューへのアクセスホストプロファイルのメインビューには使用できるプロファイルがすべて一覧で表示されますシステム管理者はホストプロファイルのメインビューを使用してホストプロファイルでの操作の実行やプロファイルの構成を行うこともできますホストプロファイルのメインビューはホストプロファイルの操作の実行や詳細オプションおよびポリシーの構成を行うことを希望する経験の豊富なシステム管理者が使用するようにしてください新規プロファイルの作成エンティティの関連付けプロファイルの適用などのほとんどの操作はホストおよびクラスタビューから実行できます手順 u [ 表示 ] - [ マネージメントツール ] - [ ホストプロファイル ] を選択しますプロファイルリストの左側に既存のすべてのプロファイルがリスト表示されますプロファイルリストからプロファイルを選択するとそのプロファイルの詳細が右側に表示されますホストプロファイルの作成指定された参照ホストの構成を使用して新しいホストプロファイルを作成しますホストプロファイルはホストプロファイルのメインビューまたはホストおよびクラスタにあるホストのコンテキストメニューから作成できますホストプロファイルビューからのホストプロファイルの作成ホストプロファイルのメインビューから既存のホストの構成を使用してホストプロファイルを作成できます開始する前に vsphere をインストールした環境とインベントリ内に最低 1 台の正しく構成されたホストが必要です手順 1 ホストプロファイルのメインビューで [ プロファイルの作成 ] をクリックしますプロファイルの作成ウィザードが表示されます 2 新しいプロファイルを作成するためのオプションを選択し [ 次へ ] をクリックします 3 プロファイルの作成に使用するホストを選択し [ 次へ ] をクリックします 4 新しいプロファイルの名前および説明を入力して [ 次へ ] をクリックします 5 新しいプロファイルの概要情報を確認し [ 終了 ] をクリックしてプロファイルの作成を完了しますプロファイルリストに新しいプロファイルが表示されます 172 VMware, Inc.

173 第 15 章ホストプロファイルの管理ホストからのホストプロファイルの作成ホストおよびクラスタのインベントリビューでホストのコンテキストメニューから新しいホストプロファイルを作成できます開始する前に vsphere をインストールした環境とインベントリ内に最低 1 台の正しく構成されたホストが必要です手順 1 ホストおよびクラスタビューで新しいホストプロファイルの参照ホストとして指定するホストを選択します 2 ホストを右クリックし [ ホストプロファイル ] - [ ホストからプロファイルを作成 ] を選択しますホストからプロファイルを作成ウィザードが開きます 3 新しいプロファイルの名前および説明を入力して [ 次へ ] をクリックします 4 新しいプロファイルの概要情報を確認し [ 終了 ] をクリックしてプロファイルの作成を完了しますホストの [ サマリ ] タブに新しいプロファイルが表示されますホストプロファイルのエクスポート VMware のプロファイル形式 (.vpf) のファイルにプロファイルをエクスポートできます手順 1 ホストプロファイルのメインページでプロファイルリストからエクスポートするプロファイルを選択します 2 プロファイルをエクスポートするファイルの場所を選択し名前を入力します 3 [ 保存 ] をクリックしますホストプロファイルのインポート VMware のプロファイル形式 (.vpf) のファイルからプロファイルをインポートできます手順 1 ホストプロファイルのメインページで [ プロファイルの作成 ] アイコンをクリックしますプロファイルの作成ウィザードが表示されます 2 プロファイルをインポートするためのオプションを選択し [ 次へ ] をクリックします 3 インポートする VMware プロファイル形式のファイルを入力または参照し [ 次へ ] をクリックします 4 インポートするプロファイルの名前および説明を入力し [ 次へ ] をクリックします 5 インポートしたプロファイルの概要情報を確認し [ 終了 ] をクリックしてプロファイルのインポートを完了しますプロファイルリストにインポートしたプロファイルが表示されますホストプロファイルの編集ホストプロファイルポリシーの表示および編集コンプライアンスを確認するポリシーの選択およびポリシー名または説明の変更ができます手順 1 ホストプロファイルのメインビューでプロファイルリストから編集するプロファイルを選択します 2 [ ホストプロファイルの編集 ] をクリックします VMware, Inc. 173

174 3 プロファイルエディタの上部のフィールドでプロファイルの名前または説明を変更します 4 ( オプション ) ポリシーを編集するか無効にします 5 ポリシーのコンプライアンスチェックを有効にします 6 [OK] をクリックしてプロファイルエディタを閉じますポリシーの編集ポリシーは特定の構成設定をどのように適用するかを記述したものですプロファイルエディタを使用すると特定のホストプロファイルに属しているポリシーを編集できますプロファイルエディタの左側でホストプロファイルを展開できますそれぞれのホストプロファイルは複数のサブプロファイルで構成されていますこれらのサブプログラムは機能グループごとに設けられ構成インスタンスを表しています各サブプロファイルにはプロファイルに則した構成を記述した多くのポリシーが含まれています構成できるサブプロファイル ( およびポリシーとコンプライアンスチェックの例 ) は次のとおりです表ホストプロファイルのサブプロファイルの構成サブプロファイル構成メモリ予約ストレージネットワーク日付と時刻ファイアウォールセキュリティサービス詳細ポリシーとコンプライアンスチェックの例メモリ予約を一定の値に設定します NFS ストレージを構成します仮想スイッチポートグループ物理 NIC の速度セキュリティおよび NIC チーミングポリシーを構成します時刻設定サーバのタイムゾーンを構成しますルールセットを有効または無効にしますユーザーまたはユーザーグループを追加しますサービスの設定を構成します詳細オプションを変更します手順 1 編集するプロファイルについてプロファイルエディタを開きます 2 プロファイルエディタの左側で編集したいポリシーに達するまでサブプロファイルを展開します 3 ポリシーを選択しますプロファイルエディタの右側では [ 構成の詳細 ] タブにポリシーのオプションおよびパラメータが表示されます 4 ドロップダウンメニューからポリシーオプションを選択しパラメータを設定します 5 ( オプション ) ポリシーを変更したあとデフォルトのオプションに戻す場合には [ 戻る ] をクリックするとオプションがリセットされます 174 VMware, Inc.

175 第 15 章ホストプロファイルの管理コンプライアンスチェックの有効化ホストプロファイルポリシーのコンプライアンスを確認するかどうかを指定できます手順 1 プロファイルエディタでプロファイルを開いてコンプライアンスチェックを有効にするポリシーを選択します 2 プロファイルエディタの左側で [ コンプライアンスの詳細 ] タブを選択します 3 ポリシーのチェックボックスを有効にします注意このチェックボックスを無効にしてこのポリシーのコンプライアンスを確認しないようにした場合でもコンプライアンスチェックが有効になっている別のポリシーは確認されますプロファイルの管理ホストのプロファイルを作成したあとプロファイルを特定のホストまたはクラスタに割り当ててそのプロファイルをホストまたはクラスタへ関連付けることによってプロファイルを管理できますエンティティの関連付け構成する必要があるホストはプロファイルに関連付けられますプロファイルをクラスタに関連付けることもできますコンプライアンスを実現するには関連付けられたクラスタ内のすべてのホストをそのプロファイルに従って構成する必要があります次の場所からホストまたはクラスタをプロファイルに関連付けることができますホストプロファイルのメインビューホストのコンテキストメニュークラスタのコンテキストメニュークラスタの [ プロファイルのコンプライアンス ] タブホストプロファイルビューからのエンティティの関連付けプロファイルをエンティティ ( ホストまたはホストのクラスタ ) に適用する前にエンティティをプロファイルに関連付ける必要がありますホストプロファイルのメインビューからホストまたはクラスタをプロファイルに関連付けることができます手順 1 ホストプロファイルのメインビューで関連付けを追加するプロファイルをプロファイルリストから選択します 2 [ ホストとクラスタの接続 ] アイコンをクリックします 3 展開されたリストからホストまたはクラスタを選択し [ 適用 ] をクリックしますホストまたはクラスタが添付されたエンティティリストに追加されます 4 ( オプション ) ホストまたはクラスタから関連付けを解除するには [ 分離 ] をクリックします 5 [OK] をクリックしてダイアログを閉じますホストからのエンティティの関連付けプロファイルをホストに適用する前にエンティティをプロファイルに関連付ける必要がありますホストおよびクラスタのインベントリビューでホストのコンテキストメニューからプロファイルをホストに関連付けることができます VMware, Inc. 175

176 手順 1 ホストおよびクラスタビューでプロファイルを適用するホストを選択します 2 ホストを右クリックし [ ホストプロファイル ] - [ プロファイルの管理 ] を選択します注意インベントリにホストプロファイルがない場合はダイアログが表示されホストプロファイルを作成してそのプロファイルをホストに関連付けるかどうかが尋ねられます 3 添付されたプロファイルの変更ダイアログでホストに関連付けるプロファイルを選択し [OK] をクリックしますホストの [ サマリ ] タブでホストプロファイルが更新されますプロファイルの適用ホストをプロファイルで指定されている状態にするにはホストにプロファイルを適用します次の場所からプロファイルをホストに適用できますホストプロファイルのメインビューホストのコンテキストメニュークラスタのプロファイルの [ コンプライアンス ] タブホストプロファイルビューからのプロファイルの適用ホストプロファイルのメインビューからホストにプロファイルを適用できます開始する前にホストはプロファイルを適用する前にメンテナンスモードにしておく必要があります手順 1 ホストプロファイルのメインビューでホストに適用するプロファイルを選択します 2 [ ホストおよびクラスタ ] タブを選択しますエンティティ名の下に関連付けられているホストのリストが表示されます 3 [ プロファイルの適用 ] をクリックしますプロファイルエディタでプロファイルを適用するのに必要なパラメータを入力するよう要求されることがあります 4 パラメータを入力し [ 次へ ] を入力します 5 必要なパラメータをすべて入力するまで処理を続けます 6 [ 終了 ] をクリックしますコンプライアンスステータスが更新されますホストからのプロファイルの適用ホストのコンテキストメニューからホストにプロファイルを適用できます開始する前にホストはプロファイルに適用する前にメンテナンスモードにしておく必要があります手順 1 ホストおよびクラスタビューでプロファイルを適用するホストを選択します 2 ホストを右クリックし [ ホストプロファイル ] - [ プロファイルの適用 ] を選択します 3 プロファイルエディタでパラメータを入力して [ 次へ ] をクリックします 176 VMware, Inc.

177 第 15 章ホストプロファイルの管理 4 必要なパラメータをすべて入力するまで処理を続けます 5 [ 終了 ] をクリックしますコンプライアンスステータスが更新されます参照ホストの変更参照ホストの構成を使用してホストプロファイルが作成されますこの作業はホストプロファイルのメインビューから実行できます開始する前にホストプロファイルがすでに存在している必要があります手順 1 この作業はホストプロファイルのメインビューまたはホストから実行できます u ホストプロファイルのメインビューで参照ホストを変更するプロファイルを右クリックし [ 参照ホストの変更 ] をクリックします u ホストおよびクラスタビューで参照ホストを更新するホストを右クリックし [ プロファイルの管理 ] を選択しますホストプロファイルの分離または変更ダイアログが開きます 2 プロファイルをホストまたはクラスタから分離するかプロファイルの参照ホストを変更するかを決定します u u ホストとプロファイルの関連付けを削除するには [ 分離 ] をクリックしますプロファイルの参照ホストの更新を続行するには [ 変更 ] をクリックします [ 変更 ] を選択すると参照ホストの変更ダイアログが開きますプロファイルが参照している現在のホストが [ 参照ホスト ] として表示されます 3 インベントリリストを展開してプロファイルを関連付けるホストを選択します 4 [ 更新 ] をクリックします [ 参照ホスト ] が更新されます 5 [OK] をクリックしますホストプロファイルの [ サマリ ] タブに更新された参照ホストのリストが表示されます VMware, Inc. 177

178 クラスタからのプロファイルの管理クラスタのコンテキストメニューからプロファイルの作成プロファイルの関連付けおよび参照ホストの更新を実行できます手順 u ホストおよびクラスタビューでクラスタを右クリックして [ ホストプロファイル ] - [ プロファイルの管理 ] を選択しますホストプロファイルの設定に応じて次のようになりますプロファイルステータス結果クラスタがホストプロファイルに関連付けられておらずインベントリにプロファイルが存在しない場合クラスタがホストプロファイルに関連づけられておらずインベントリにプロファイルが 1 つ以上存在する場合 a b a b ダイアログが開きプロファイルを作成してクラスタに関連付けるかどうかが尋ねられます [ はい ] を選択するとプロファイルの作成ウィザードが開きますプロファイルの適用ダイアログが開きますクラスタに関連づけるプロファイルを選択して [OK] をクリックしますすでにクラスタがホストプロファイルに関連づけられている場合ダイアログで [ 分離 ] をクリックしてクラスタからプロファイルを分離するか [ 変更 ] をクリックして異なるプロファイルをクラスタに関連付けますコンプライアンスの確認コンプライアンスの確認によりホストまたはクラスタが正しく構成されていることを確認できます参照ホストプロファイルでホストを構成したあとでたとえば手動の変更などによって構成が適切でない場合がありますコンプライアンスを定期的に確認することでホストまたはクラスタが正しく構成されていることを確認できますホストプロファイルビューからのコンプライアンスの確認ホストプロファイルのメインビューからプロファイルに対するホストまたはクラスタのコンプライアンスを確認できます手順 1 ホストプロファイルリストから確認するプロファイルを選択します 2 [ ホストおよびクラスタ ] タブでエンティティ名の下のリストからホストまたはクラスタを選択します 3 [ コンプライアンスを今すぐ確認 ] をクリックしますコンプライアンスのステータスが準拠不明または非準拠に更新されますコンプライアンスのステータスが非準拠の場合はホストをプロファイルに適用できますホストからのコンプライアンスの確認ホストにプロファイルを関連付けたあとコンプライアンスチェックを実行して構成を検証します手順 1 ホストおよびクラスタビューでコンプライアンスチェックを行うホストを選択します 2 ホストを右クリックし [ ホストプロファイル ] - [ コンプライアンスの確認 ] を選択しますホストの [ サマリ ] タブにホストのコンプライアンスステータスが表示されますホストが非準拠の場合はプロファイルをホストに適用する必要があります 178 VMware, Inc.

179 第 15 章ホストプロファイルの管理クラスタのコンプライアンスの確認クラスタのホストプロファイルに対するコンプライアンスまたは特定のクラスタの要件および設定について確認できます手順 1 ホストおよびクラスタビューでコンプライアンスチェックを行うクラスタを選択します 2 [ プロファイルのコンプライアンス ] タブで [ コンプライアンスを今すぐ確認 ] をクリックしてクラスタに関連付けられているホストプロファイルとクラスタ要件 ( 該当する場合 ) の両方に対するクラスタのコンプライアンスを確認します DRS HA および DPM などクラスタ内のホストの特定の設定についてクラスタのコンプライアンスが確認されますたとえば VMotion が有効かどうかが確認されますクラスタ要件についてのコンプライアンスステータスが更新されますこの確認はホストプロファイルがクラスタに関連付けられていない場合でも実行されますホストプロファイルがクラスタに関連付けられている場合はホストプロファイルとのクラスタのコンプライアンスが確認されますホストプロファイルについてのコンプライアンスステータスが更新されます 3 ( オプション ) 特定のクラスタ要件のリストについてはクラスタ要件の横の [ 説明 ] をクリックします 4 ( オプション ) 特定のホストプロファイルのコンプライアンスチェックについてはホストプロファイルの横の [ 説明 ] をクリックします 5 ( オプション ) クラスタに関連付けられたホストプロファイルを変更するには [ 変更 ] をクリックします 6 ( オプション ) クラスタに関連付けられたホストプロファイルを分離するには [ 分離 ] をクリックしますクラスタが非準拠の場合はクラスタ内の各ホストにプロファイルを個別に適用する必要があります VMware, Inc. 179

180 180 VMware, Inc.

181 インデックス数字 802.1Q および ISL タギング攻撃 139 C CA 書名付き証明書 152 CDP 23 CHAP iscsi イニシエータ用 84 一方向 84 検出ターゲット用 85 静的ターゲット用 85 相互 84 無効化 86 CHAP 認証 83, 143 CHAP 認証方法 84 CIM およびファイアウォールポート 135 Cisco Discovery Protocol 23, 27 Cisco スイッチ 23 D dcui 148 DMZ 127 DNS 52 dvport VLAN ポリシー 45 スイッチへの通知 43 チーミングおよびフェイルオーバーポリシー 43 トラフィックシェーピングポリシー 51 ネットワークのフェイルオーバー検出 43 フェイルオーバー 43 フェイルバック 43 ブロックされているポート 52 プロパティ 29 ポートポリシー 52 ロードバランシング 43 dvport グループオーバーライド設定 29 仮想マシン 35 スイッチへの通知 42 切断時の構成のリセット 29 説明 28 チーミングおよびフェイルオーバーポリシー 42 追加 28 トラフィックシェーピングポリシー 51 名前 28 ネットワークのフェイルオーバー検出 42 フェイルオーバーの順序 42 フェイルバック 42 ポートグループのタイプ 28 ポート数 28 ポートブロック 52 ポート名のフォーマット 29 ホストでのバインド 29 ライブポートの移動 29 ロードバランシング 42 DVS Cisco Discovery Protocol 27 IP アドレス 27 MTU の最大サイズ 27 VMkernel ネットワークアダプタの追加 32 管理者連絡情報 27 最大ポート数 27 dvuplink 26 F FTP およびファイアウォールポート 135 H HTTPS PUT 証明書および鍵のアップロード 153 I IDE 64 IPv4 37 IPv6 37 IP アドレス 27, 67 IP ストレージポートグループ作成 20, 32 iscsi QLogic iscsi アダプタ 142 セキュリティ 142 ソフトウェアクライアントおよびファイアウォールポート 135 転送されたデータの保護 143 認証 142 ポートの保護 143 iscsi HBA エイリアス 80 iscsi SAN 認証無効化 143 iscsi イニシエータ CHAP の構成 84 CHAP パラメータの設定 83 詳細パラメータ 87 VMware, Inc. 181

182 詳細パラメータの構成 88 ハードウェア 79 iscsi エイリアス 67 iscsi ストレージイニシエータ 78 ソフトウェア起動 78 ハードウェア起動 78 iscsi ネットワーク VMkernel ポートの作成 81 iscsi 名 67 L localadmin 149 LUN 作成再スキャン 88 変更と再スキャン 88 マスキングの変更と再スキャン 88 マルチパスポリシー 106 マルチパスポリシーの設定 106 M MAC アドレス構成 53 生成 53 MAC アドレスの変更 141 MAC フラッディング 139 MPP マルチパスプラグインを参照 MRU パスポリシー 106 MTU 55 MTU の最大サイズ 27 N NAS マウント 60 NAT 37 NetQueue 無効化 57 NFS ファイアウォールポート 135 NFS ストレージ概要 90 追加 91 NFS データストアアンマウント 95 NIC 追加 31 NIC チーミング定義 13 NIS およびファイアウォールポート 135 NMP パスの要求 104 P PSA プラグ可能ストレージアーキテクチャを参照 PSP パス選択プラグインを参照 R RAID デバイス 114 RAW デバイスマッピング RDM を参照 111 RDM および仮想ディスクファイル 117 概要 111 仮想互換モード 114 クラスタリング 117 作成 118 と VMFS フォーマット 114 動的名前解決 115 とスナップショット 114 物理互換モード 114 メリット 112 root ログイン権限 147 S SAS 64 SATA 64 SATP 101 SDK ファイアウォールポートおよび仮想マシンコンソール 134 setinfo 165 SMB およびファイアウォールポート 135 SNMP およびファイアウォールポート 135 SPOF 77 SSH ファイアウォールポート 135 SSL 暗号化と証明書 151 タイムアウト 153 有効化と無効化 151 T TCP ポート 136 U UDP ポート 136 USB 64 V vcenter Server 権限 147 ファイアウォールポート 132 ファイアウォールを介しての接続 134 vcenter Server ユーザー 146 VLAN VLAN ホッピング 139 および iscsi 143 セキュリティ 137, 139 セキュリティの構成 139 定義 13 導入のシナリオ 159 プライベート 30 レイヤー 2 セキュリティ 139 VLAN ID 28 VLAN セキュリティ 139 VLAN タイプ 45 VLAN トランキング 28, 45 VLAN トランク VMware, Inc.

183 インデックス VLAN ポリシー dvport 45 dvport グループ 45 VMFS 共有 159 ボリュームの再署名 97 VMFS データストアアンマウント 95 エクステントの追加 96 共有 70 構成 89 コピーの再署名 98 削除 94 作成 69 署名の変更 99 プロパティの変更 95 容量の増加 96 VMFS データストアのマウント 98 VMFS ボリュームの再署名 97 VMkernel 構成 19 セキュリティ 124 定義 13 VMkernel アダプタ 34 VMkernel ネットワーク 14 VMkernel ネットワークアダプタ追加 20, 32 VMkernel ネットワークアダプタの追加 20 VMotion VLAN および仮想スイッチによるセキュリティ 139 定義 13 ネットワークの構成 19 VMotion インターフェイス作成 20, 32 vmware-hostd 145 VMware NMP I/O フロー 101 ネイティブマルチパスプラグインも参照 vnetwork 標準スイッチトラフィックシェーピング 49 表示 14 ポート構成 21 レイヤー 2 セキュリティ 46 vnetwork 分散スイッチ Cisco Discovery Protocol 27 IP アドレス 27 MTU の最大サイズ 27 NIC の追加 31 VMkernel アダプタ 34 VMkernel ネットワークアダプタの追加 32 仮想マシンの移行 35 管理者連絡情報 27 サードパーティ 25 最大ポート数 27 新規 26 その他のポリシー 52 ホストを追加 26 vpxuser 147 vsphere Client vcenter Server でのファイアウォールポート 132 仮想マシンコンソールに接続するファイアウォールポート 134 直接接続用のファイアウォールポート 133 vswitch 使用 17 スイッチへの通知 38 チーミングおよびフェイルオーバーポリシー 38 定義 13 トラフィックシェーピング 49 ネットワークのフェイルオーバー検出 38 表示 14 フェイルオーバーの順序 38 フェイルバック 38 ポート構成 21 レイヤー 2 セキュリティ 46 ロードバランシング 38 W WWN 66 あアクセスなしロール 148 アクティブ-アクティブディスクアレイ 106 アクティブ-パッシブディスクアレイ 106 アダプタ仮想 33 アップリンク削除 32 アップリンクアダプタ速度 22 追加 22 デュプレックス 22 アップリンクの割り当て 27 暗号化 SSL の有効化と無効化 151 証明書 151 ユーザー名パスワードパケット 151 アンチウイルスソフトウェアインストール 163 い一方向 CHAP 84 インターネットプロトコル 37 えエクステント増大 96 データストアへの追加 96 エクスポートホストのグループ 149 ホストのユーザー 149 VMware, Inc. 183

184 おオーバーライド設定 dvport グループ 29 置き換えデフォルトの証明書 152 か鍵アップロード 153 拡張 vmxnet 55, 56 隔離 VLAN 126 仮想スイッチ 126 仮想ネットワークレイヤー 126 仮想アダプタ VMkernel 34 仮想化レイヤーセキュリティ 124 仮想スイッチ 802.1Q および ISL タギング攻撃 139 MAC アドレスの変更 141 MAC フラッディング 139 および iscsi 143 偽装転送 141 スパニングツリー攻撃 139 セキュリティ 139 ダブルカプセル化攻撃 139 導入のシナリオ 159 マルチキャスト総当り攻撃 139 無差別モード 141 ランダムフレーム攻撃 139 仮想スイッチのセキュリティ 139 仮想スイッチポートセキュリティ 141 仮想ディスクフォーマット 107 仮想ネットワークセキュリティ 137 仮想ネットワークアダプタ削除 34 仮想ネットワークレイヤーおよびセキュリティ 126 仮想マシン vnetwork 分散スイッチとの間の移行 35 隔離 126, 127 カットアンドペーストの無効化 163 可変情報サイズの制限 165 セキュリティ 124 セキュリティの推奨事項 163 デバイス切断防止 164 ネットワーク 35 リソースの予約および制限 124 ログの無効化 165, 167 仮想マシンのネットワーク 14, 18 カットアンドペーストゲスト OS での無効化 163 管理アクセス TCP および UDP ポート 136 管理者連絡情報 27 管理者ロール 148 き偽装転送 47, 48, 141, 142 くグループ概要 149 グループリストの表示 149 権限とロール 146 認証 147 ホストからの削除 150 ホストでの変更 151 ホストへの追加 151 ユーザーの追加 151 グループからのユーザーの削除 151 グループへのユーザーの追加 151 けゲスト OS カットアンドペーストの無効化 163 可変情報サイズの制限 165 セキュリティの推奨事項 163 ログの無効化 165, 167 ログレベル 166 ゲスト OS の可変情報サイズ制限 165 無効化 165 権限 root ユーザー 147 vcenter Server 管理者 147 vpxuser 147 概要 147 と特権 147 ユーザー 147, 148 現在のマルチパス状態 105 検出アドレス 82 静的 83 動的 82 こ攻撃 802.1Q および ISL タギング 139 MAC フラッディング 139 スパニングツリー 139 ダブルカプセル化 139 マルチキャスト総当り 139 ランダムフレーム 139 更新 88 構成 RDM 118 SCSI ストレージ 89 静的検出 83 動的検出 82 互換モード仮想 114 物理 VMware, Inc.

185 インデックス固定パスポリシー 101, 106 さサードパーティ製スイッチ 25 サードパーティのソフトウェアサポートポリシー 129 最近の使用パスポリシー 101, 106 再スキャン LUN 作成 88 パスのダウン時 88 パスのマスキング 88 最大ポート数 27 サムプリントホスト 152 し事前バインドのポートグループ 28 ジャンボフレーム仮想マシン 55, 56 有効化 56 出力側トラフィックシェーピング 51 証明書 SSL 151 vcenter Server 151 vsphere SDK の SSL の無効化 155 アップロード 153 キーファイル 151 検証 152 証明書ファイル 151 新規生成 152 セキュリティ 129 デフォルト 151 場所 151 証明書の生成 152 診断パーティション構成 92 シンディスク作成 108 すスイッチ vnetwork 33 スイッチへの通知 38, 42, 43 スタンバイアダプタ 22 スタンバイ中のアップリンク 38, 42, 43 ストレージ iscsi 78 NFS 90 SAN 78 VLAN および仮想スイッチによるセキュリティ 139 vsphere Client での表示 72 アダプタ 65 概要 63 仮想マシンによる使用 108 仮想マシンへのアクセス 71 タイプ 64 ネットワーク接続された 65 ファイバチャネル 78 プロビジョニング 107 プロビジョニングされた 108 未共有 108 ローカル 64 ローカル SCSI 77 ストレージアダプタ vsphere Client での表示 72 名前のコピー 73 表示 72 ファイバチャネル 78 ストレージアレイタイププラグイン 101 ストレージデバイスアダプタについての表示 74 識別子 68 名前 68 パス 105 表示 73 ホストについての表示 73 ランタイム名 68 ストレージへのアクセス 71 ストレージ領域 107 スパニングツリー攻撃 139 せ静的検出構成 83 静的検出アドレス 82 セキュリティ iscsi ストレージ 142 VLAN ホッピング 139 VLAN を使用した仮想マシン 137 VMkernel 124 vmware-hostd 145 アーキテクチャ 123 概要 123 仮想化レイヤー 124 仮想スイッチポート 141 仮想ネットワークレイヤー 126 仮想マシン 124 仮想マシンの推奨事項 163 機能 123 権限 147 証明書 129 単一ホストの DMZ 126, 127 ヴイエムウェアのポリシー 129 リソースの確保および制限 124 セキュリティの推奨事項 162 セキュリティの導入複数顧客用のオープンな 159, 161 複数顧客用の制限付き 160 セキュリティポリシー dvport 47, 48 切断時の構成のリセット dvport グループ 29 VMware, Inc. 185

186 そ相互 CHAP 84 ソフトウェア iscsi およびフェイルオーバー 102 診断パーティション 92 ネットワーク 81 ソフトウェア iscsi イニシエータ検出アドレスの設定 82 た構成 80 有効化 82 ターゲット 66 タイムアウト SSL 153 ダイレクトコンソールアクセス 149 ダブルカプセル化攻撃 139 単一点障害 77 ちチーミングポリシー dvport 43 dvport グループ 42 vswitch 38 遅延バインドのポートグループ 28 直接アクセス 146 つ追加 dvport グループ 28 NFS ストレージ 91 てディスクフォーマット 108, 109 ディスクアレイアクティブ - アクティブ 106 アクティブ - パッシブ 106 ディスクフォーマット NFS 90 シックプロビジョニング 107 シンプロビジョニング 107 データストア NFS 68 NFS ボリュームでの構成 91 SCSI ディスクでの作成 89 VMFS 68 vsphere Client での表示 72 アンマウント 95 エクステントの追加 96 管理 93 グループ化 94 更新 88 ストレージオーバーサブスクリプション 109 重複の管理 97 名前の変更 94 パス 105 表示 74 プロパティの確認 75 マウント 98 容量の増加 96 データストアのコピーマウント 98 デバイス切断防止 164 デフォルトの証明書 CA 書名付き証明書との置き換え 152 デリゲートユーザー 90 と動的検出構成 82 動的検出アドレス 82 特権と権限 147 トラフィックシェーピング vswitch 49 ポートグループ 50 トラフィックシェーピングポリシー dvport 51 dvport グループ 51 に入力側トラフィックシェーピング 51 認証 iscsi ストレージ 142 vsphere Client から ESXi へ 145 グループ 147 ユーザー 145, 146 認証デーモン 145 ねネイティブマルチパスプラグイン 99, 100 ネットワークセキュリティ 137 セキュリティポリシー 47, 48 ネットワークアダプタ表示 15, 27 ネットワークアドレス変換 37 ネットワークのフェイルオーバー検出 38, 42, 43 ネットワークのベストプラクティス 59 はバーストサイズパーティションマッピング 114 ハードウェア iscsi およびフェイルオーバー 102 ハードウェア iscsi イニシエータ iscsi 名の変更 80 インストール 79 検出アドレスの設定 82 構成 79 表示 79 命名パラメータの設定 80 ハードウェアデバイス削除 VMware, Inc.

187 インデックスパス無効化 107 優先 105 パス障害時の再スキャン 88 パススルーデバイス仮想マシンの追加 58 パス選択プラグイン 101 パスの管理 99 パスの障害 102 パスのフェイルオーバーホストベース 102 パスのポリシー最近の使用 101 パスの無効化 107 パスの要求 104 パスの横の * 105 パスの横のアスタリスク 105 パスポリシー MRU 106 固定 101, 106 最近の使用 106 デフォルトの変更 106 ラウンドロビン 101, 106 パッシブディスクアレイ 106 バンド幅ピーク 49, 50 平均 49, 50 ひピークバンド幅ふファイアウォールポート SDK および仮想マシンコンソール 134 vcenter Server での構成 132 vcenter Server への接続 134 vcenter Server を使用しない構成 133 vsphere Client および仮想マシンコンソール 134 vsphere Client でのオープン 135 vsphere Client と vcenter Server 132 vsphere Client の直接接続 133 暗号化 151 概要 131 仮想マシンコンソールの接続 134 管理 135 サポートされるサービス 135 ホスト間 135 ファイバチャネル 65 ファイバチャネル SAN WWN 66 ファイバチャネルストレージ概要 78 ファイルシステムアップグレード 97 フェイルオーバー 38, 99 フェイルオーバーの順序 38, 42, 43 フェイルオーバーパス状態 105 フェイルオーバーポリシー dvport 43 dvport グループ 42 vswitch 38 フェイルバック 38, 42, 43 物理アダプタ削除 32 物理スイッチトラブルシューティング 60 プライベート VLAN 削除 30, 31 作成 30 セカンダリ 31 プライマリ 30 プラグ可能ストレージアーキテクチャ 99 プロキシサービス暗号化 151 変更 155 ブロックされているポート dvport 52 ブロックデバイス 114 プロパティ dvport 29 分離仮想マシン 124 へ平均バンド幅 51 ほポートグループ使用 18 定義 13 トラフィックシェーピング 50 レイヤー 2 セキュリティ 47 ポート構成 21 ポートのバインド 102 ポートバインド 81 ポートブロック dvport グループ 52 ポート名のフォーマット dvport グループ 29 ホスト vnetwork 分散スイッチに追加 26 グループの追加 151 サムプリント 152 導入環境とセキュリティ 159 メモリ 165 ユーザーの追加 150 ホスト間でのファイアウォールポート 135 ホストでのグループの変更 151 ホストでのバインド dvport グループ 29 ホストのネットワーク表示 14 ホストプロキシサービスの変更 155 ホストプロファイルアクセス 172 新しいプロファイルの作成 172 インポート 173 エクスポート 173 エンティティの適用 175 コンプライアンスの確認 178, 179 使用モデル 171 VMware, Inc. 187

188 プロファイルの管理 175 プロファイルの適用 176 編集 173 ホストからの新しいプロファイルの作成 173 ホストからのエンティティの関連付け 175 ホストプロファイルビューからの新しいプロファイルの作成 172 ホストプロファイルビューからのエンティティの関連付け 175 ポリシーのコンプライアンスチェックの有効化 175 ポリシーの編集 174 ホストプロファイルの作成 172, 173 ボリュームの再署名 97, 98 まマルチキャスト総当り攻撃 139 マルチパス機能アクティブなパス 105 現在の状態の表示 105 スタンバイパス 105 破損したパス 105 無効なパス 105 マルチパス状態 105 マルチパスプラグインパスの要求 104 マルチパスポリシー 106 む無効化 iscsi SAN 認証 143 vsphere SDK の SSL 155 仮想マシンのカットアンドペースト 163 可変情報サイズ 165 ゲスト OS のログ 165, 167 無差別モード 47, 48, 141, 142 めメタデータ RDM 114 ゆ有効なアダプタ 22 有効なアップリンク 38, 42, 43 ユーザー vcenter Server 146 Windows ドメインから 146 概要 149 グループからの削除 151 グループへの追加 151 グループリストのエクスポート 149 権限とロール 146 セキュリティ 146 直接アクセス 146 認証 146 ホストからの削除 150 ホストでの変更 150 ホストへの追加 150 ユーザーリストのエクスポート 149 ユーザーリストの表示 149 ユーザー権限 dcui 148 vpxuser 147 ユーザーロール管理者 148 ユーザーロールアクセスなし 148 読み取り専用 148 優先パス 105 よ要求ルール 104 読み取り専用ロール 148 らライブポートの移動 dvport グループ 29 ラウンドロピンパスポリシー 101 ラウンドロビンパスポリシー 106 ランダムフレーム攻撃 139 りリソースの制限および確保セキュリティ 124 るルーティング 52 れレイヤー 2 セキュリティ 46 ろローカル SCSI ストレージ概要 77 ロードバランシング 38, 42, 43 ロールアクセスなし 148 管理者 148 セキュリティ 148 デフォルト 148 と権限 148 読み取り専用 148 ログゲスト OS の無効化 165, 167 ログファイル数の制限 166 サイズの制限 166 ログレベルゲスト OS 166 ロックダウンモード有効化 VMware, Inc.

すべて見る

ESXi 構成ガイド

ESXi 構成ガイド Update 1 ESXi 4.0 vcenter Server 4.0 このドキュメントは新しいエディションに置き換わるまでここで書いてある各製品と後続のすべてのバージョンをサポートしますこのドキュメントの最新版をチェックするには http://www.vmware.com/jp/support/pubs を参照してください JA-000263-02 最新の技術ドキュメントは VMware の