vSphere HA は、いくつかのセキュリティ機能により拡張されます。

開いているファイアウォールのポートを選択
vSphere HA は、TCP およびUDP ポート 8182 をエージェント間の通信に使用します。ファイアウォールのポートの開閉は自動で、必要なときだけ開くようになっています。
ファイル システム権限を使用して保護された構成ファイル
vSphere HA は、ローカル データストアがない場合、構成情報をローカル ストレージまたは RAM ディスクに格納します。これらのファイルは、ファイル システム権限を使用して保護されており、root ユーザーだけがアクセス可能です。ローカル ストレージがないホストは、Auto Deploy で管理される場合にのみサポートされます。
詳細なログ
vSphere HA がログ ファイルを置く場所は、ホストのバージョンによって異なります。
  • ESXi ホストでは、vSphere HA が Syslog に書き込むのはデフォルトの場合のみで、ログは、Syslog で構成された場所に置かれます。vSphere HA 用のログ ファイル名には、vSphere HA のサービスの 1 つであるフォールト ドメイン マネージャを表す fdm が前に付加されています。
  • レガシー ESXi ホストでは、vSphere HA は、Syslog のほかにローカル ディスクの /var/log/vmware/fdm にも書き込みます(そのように構成されている場合)。
vSphere HA へのセキュアなログイン
vSphere HA は、vCenter Server により作成されたユーザー アカウントである vpxuser を使用して、vSphere HA エージェントにログオンします。このアカウントは、vCenter Server がホストを管理するために使用するのと同じアカウントです。vCenter Server はこのアカウント用にランダムなパスワードを作成し、定期的に変更します。その期間は、vCenter Server の VirtualCenter.VimPasswordExpirationInDays 設定で設定します。ホストのルート フォルダの管理権限を持つユーザーは、このエージェントにログインできます。
セキュアな通信
vCenter Server と vSphere HA エージェント間の通信は、すべて SSL 経由で行われます。エージェント間の通信も SSL を使用しますが、(マスター ホスト) 選択メッセージの通信だけは UDP 経由で行われます。選択メッセージは SSL で検証されるため、プライマリ ホストになることを不正なエージェントが妨害できるのは、そのエージェントが実行されているホストだけです。このケースでは、クラスタの構成に問題があることが通知され、ユーザーに注意を促します。
Host SSL 証明書の検証が必要
vSphere HA では、各ホストに検証済みの SSL 証明書があることが必要です。各ホストは、最初に起動したときに自己署名の証明書を生成します。次に、この証明書は再生成されるか、認証局が発行した証明書に置き換えられます。証明書が置き換えられた場合、ホスト上で vSphere HA を再構成する必要があります。証明書が更新されて ESXi または ESX ホスト エージェントが再起動した後にホストが vCenter Server から切断された場合は、vCenter Server に再接続されたときに vSphere HA は自動的に再構成されます。vCenter Server ホストの SSL 証明書の検証が無効なため切断されなかった場合は、新しい証明書を検証してホスト上の vSphere HA を再構成します。