vSphere HA は、いくつかのセキュリティ機能により拡張されます。

開いているファイアウォールのポートを選択

vSphere HA は、TCP およびUDP ポート 8182 をエージェント間の通信に使用します。ファイアウォールのポートの開閉は自動で、必要なときだけ開くようになっています。

ファイル システム権限を使用して保護された構成ファイル

vSphere HA は、ローカル データストアがない場合、構成情報をローカル ストレージまたは RAM ディスクに格納します。これらのファイルは、ファイル システム権限を使用して保護されており、root ユーザーだけがアクセス可能です。ローカル ストレージがないホストは、Auto Deploy で管理される場合にのみサポートされます。

詳細なログ

vSphere HA がログ ファイルを置く場所は、ホストのバージョンによって異なります。

  • ESXi 5.x ホストでは、vSphere HA が syslog に書き込むのはデフォルトの場合のみで、ログは、syslog で構成された場所に置かれます。vSphere HA 用のログ ファイル名には、vSphere HA のサービスの 1 つであるフォールト ドメイン マネージャを表す fdm が前に付加されています。

  • レガシー ESXi 4.x ホストでは、vSphere HA は、syslog のほかにローカル ディスクの /var/log/vmware/fdm にも書き込みます (そのように構成されている場合)。

  • レガシー ESX 4.x ホストでは、vSphere HA は /var/log/vmware/fdm に書き込みます。

vSphere HA へのセキュアなログイン

vSphere HA は、vCenter Server により作成されたユーザー アカウントである vpxuser を使用して、vSphere HA エージェントにログオンします。このアカウントは、vCenter Server がホストを管理するために使用するのと同じアカウントです。vCenter Server はこのアカウント用にランダムなパスワードを作成し、定期的に変更します。その期間は、vCenter Server の VirtualCenter.VimPasswordExpirationInDays 設定で設定します。ホストのルート フォルダの管理権限を持つユーザーは、このエージェントにログインできます。

セキュアな通信

vCenter Server と vSphere HA エージェント間の通信は、すべて SSL 経由で行われます。エージェント間の通信も SSL を使用しますが、(マスター ホスト) 選択メッセージの通信だけは UDP 経由で行われます。選択メッセージは SSL で検証されるため、マスター ホストになることを不正なエージェントが妨害できるのは、そのエージェントが実行中のホストだけです。このケースでは、クラスタの構成に問題があることが通知され、ユーザーに注意を促します。

Host SSL 証明書の検証が必要

vSphere HA では、各ホストに検証済みの SSL 証明書があることが必要です。各ホストは、最初に起動したときに自己署名の証明書を生成します。次に、この証明書は再生成されるか、認証局が発行した証明書に置き換えられます。証明書が置き換えられた場合、ホスト上で vSphere HA を再構成する必要があります。証明書が更新されて ESXi または ESX ホスト エージェントが再起動した後にホストが vCenter Server から切断された場合は、vCenter Server に再接続されたときに vSphere HA は自動的に再構成されます。vCenter Server ホストの SSL 証明書の検証が無効なため切断されなかった場合は、新しい証明書を検証してホスト上の vSphere HA を再構成します。