ESX/ESXi 4.x から ESXi 5.x への移行またはアップグレードにより、ホストのファイアウォール構成に対していくつかの変更が加えられます。

ESX 4.x から ESXi 5.x に移行すると、ESX 4.x のルール セット リストが、ESXi 5.x の新しいルール セット リストに置換されます。/etc/vmware/esx.conf ファイルの次の構成は維持されます。

  • 既存の有効または無効のステータス。

  • esxcfg-firewall によって追加された allowedip。

ユーザーによって追加されたルール セット ファイル、および ESX 4.x でカスタマイズされたファイアウォール ルールが移行後も維持されることはありません。移行後の初回起動時、ESX 4.x の /etc/vmware/esx.conf ファイルにエントリがなかったルール セットについては、ESXi 5.x のファイアウォールによって、デフォルトの「有効」ステータスが読み込まれます。

ESXi 5.x への移行後、ESX 4.x の /etc/vmware/esx.conf ファイルで blockIncoming 値と blockOutgoing 値の両方のデフォルト ポリシーが false に設定されていた場合にのみ、ESXi 5.x ではデフォルトのブロック ポリシーが false (デフォルトですべてのトラフィックを許容) に設定されます。それ以外の場合、デフォルト ポリシーではすべてのトラフィックが拒否されます。

ESX/ESXi 4.1 の esxcfg-firewall コマンドを使用して開かれたカスタム ポートが、ESXi 5.x へのアップグレード後も開いた状態を維持することはありません。構成エントリは、アップグレードによって esx.conf ファイルに移されますが、対応するポートは開かれません。ESXi のファイアウォール構成の詳細については、『vSphere セキュリティ』 ドキュメントを参照してください。

重要:

ESXi 5.x の ESXi ファイアウォールは、ネットワーク単位での vMotion トラフィックのフィルタリングを許可しません。そのため、vMotion ソケットへの受信接続が行われることがないように、外部ファイアウォールにルールをインストールする必要があります。