vCloud Director を安全に操作するには、安全なネットワーク環境が必要です。このネットワーク環境を、vCloud Director のインストールを開始する前に構成してテストします。

すべての vCloud Director サーバーを、セキュリティで保護し監視されているネットワークに接続します。 vCloud Director ネットワーク接続には、いくつかの追加要件があります。
  • vCloud Director を公開インターネットに直接接続しないでください。vCloud Director ネットワーク接続を、常時ファイアウォールで保護します。受信接続に対して開くのはポート 443 (HTTPS) のみにする必要があります。必要に応じてポート 22 (SSH) と 80 (HTTP) も受信接続に対して開くことができます。また、cell-management-tool ではセルのループバック アドレスにアクセスできる必要があります。JMX への要求(ポート 8999)を含む、公開ネットワークから受信した他のすべてのトラフィックは、ファイアウォールで拒否する必要があります。
    表 1. vCloud Director ホストからの受信パケットを許容する必要があるポート
    ポート プロトコル コメント
    111 TCP、UDP 転送サービスで使用される NFS ポートマッパー
    920 TCP、UDP 転送サービスで使用される NFS rpc.statd
    61611 TCP AMQP
    61616 TCP AMQP
  • 送信接続に使用されるポートを公開ネットワークに接続しないでください。
    表 2. vCloud Director ホストからの送信パケットを許容する必要があるポート
    ポート プロトコル コメント
    25 TCP、UDP SMTP
    53 TCP、UDP DNS
    111 TCP、UDP 転送サービスで使用される NFS ポートマッパー
    123 TCP、UDP NTP
    389 TCP、UDP LDAP
    443 TCP 標準ポートを使用した vCenter Server、NSX Manager、および ESXi の各接続。これらのサービス用に異なるポートを選択した場合は、ポート 443 への接続を無効にし、選択したポートでこれらのサービスで使用できるように設定します。
    514 UDP 任意。syslog の使用を有効にします。
    902 TCP vCenter および ESXi 接続。
    903 TCP vCenter および ESXi 接続。
    920 TCP、UDP 転送サービスで使用される NFS rpc.statd。
    5432 TCP デフォルトの PostgreSQL データベース ポート
    5672 TCP、UDP 任意。タスク拡張用 AMQP メッセージ。
    61611 TCP AMQP
    61616 TCP AMQP
  • 専用のプライベート ネットワーク上で、vCloud Director サーバと次のサーバ間のトラフィックを経路指定します。
    • vCloud Director データベース サーバ
    • RabbitMQ
    • Cassandra
  • 可能な場合は、専用のプライベート ネットワーク上で、vCloud Director サーバ、vSphere、および NSX 間のトラフィックを経路指定します。
  • プロバイダ ネットワークをサポートする仮想スイッチと分散仮想スイッチは、互いに分離する必要があります。この間で同じレイヤー 2 の物理ネットワーク セグメントを共有することはできません。
  • 転送サービス ストレージに NFSv4 を使用します。最も一般的な NFS のバージョンである NFSv3 は、転送時の暗号化が提供されないため、一部の構成ではデータの転送中に傍受または改ざんを受ける可能性があります。NFSv3 に固有の脅威については、SANS のホワイト ペーパーNFS Security in Both Trusted and Untrusted Environmentsに記載されています。vCloud Director の転送サービスの設定とセキュリティ強化についての詳細は、VMware ナレッジベースの記事KB2086127に記載されています。