vSphere HA は、いくつかのセキュリティ機能により拡張されます。

開いているファイアウォールのポートを選択

vSphere HA は、TCP およびUDP ポート 8182 をエージェント間の通信に使用します。 ファイアウォールのポートの開閉は自動で、必要なときだけ開くようになっています。

ファイル システム権限を使用して保護された構成ファイル

vSphere HA は、ローカル データストアがない場合、構成情報をローカル ストレージまたは RAM ディスクに格納します。 これらのファイルは、ファイル システム権限を使用して保護されており、root ユーザーだけがアクセス可能です。 ローカル ストレージがないホストは、Auto Deploy で管理される場合にのみサポートされます。

詳細なログ

vSphere HA がログ ファイルを置く場所は、ホストのバージョンによって異なります。

  • ESXi 5.x ホストでは、vSphere HA が syslog に書き込むのはデフォルトの場合のみで、ログは、syslog で構成された場所に置かれます。 vSphere HA 用のログ ファイル名には、vSphere HA のサービスの 1 つであるフォールト ドメイン マネージャを表す fdm が前に付加されています。

  • レガシー ESXi 4.x ホストでは、vSphere HA は、syslog のほかにローカル ディスクの /var/log/vmware/fdm にも書き込みます (そのように構成されている場合)。

  • レガシー ESX 4.x ホストでは、vSphere HA は /var/log/vmware/fdm に書き込みます。

vSphere HA へのセキュアなログイン

vSphere HA は、vCenter Server により作成されたユーザー アカウントである vpxuser を使用して、vSphere HA エージェントにログオンします。 このアカウントは、vCenter Server がホストを管理するために使用するのと同じアカウントです。vCenter Server はこのアカウント用にランダムなパスワードを作成し、定期的に変更します。 その期間は、vCenter Server の VirtualCenter.VimPasswordExpirationInDays 設定で設定します。 ホストのルート フォルダの管理権限を持つユーザーは、このエージェントにログインできます。

セキュアな通信

vCenter Server と vSphere HA エージェント間の通信は、すべて SSL 経由で行われます。 エージェント間の通信も SSL を使用しますが、(マスター ホスト) 選択メッセージの通信だけは UDP 経由で行われます。 選択メッセージは SSL で検証されるため、マスター ホストになることを不正なエージェントが妨害できるのは、そのエージェントが実行中のホストだけです。 このケースでは、クラスタの構成に問題があることが通知され、ユーザーに注意を促します。

Host SSL 証明書の検証が必要

vSphere HA では、各ホストに検証済みの SSL 証明書があることが必要です。 各ホストは、最初に起動したときに自己署名の証明書を生成します。 次に、この証明書は再生成されるか、認証局が発行した証明書に置き換えられます。 証明書が置き換えられた場合、ホスト上で vSphere HA を再構成する必要があります。 証明書が更新されて ESXi または ESX ホスト エージェントが再起動した後にホストが vCenter Server から切断された場合は、vCenter Server に再接続されたときに vSphere HA は自動的に再構成されます。 vCenter Server ホストの SSL 証明書の検証が無効なため切断されなかった場合は、新しい証明書を検証してホスト上の vSphere HA を再構成します。