vSphere HA セキュリティ

vSphere HA は、いくつかのセキュリティ機能により拡張されます。

開いているファイアウォールのポートを選択

vSphere HA は、TCP およびUDP ポート 8182 をエージェント間の通信に使用します。ファイアウォールのポートの開閉は自動で、必要なときだけ開くようになっています。

ファイルシステム権限を使用して保護された構成ファイル

vSphere HA は、ローカルデータストアがない場合、構成情報をローカルストレージまたは RAM ディスクに格納します。これらのファイルは、ファイルシステム権限を使用して保護されており、root ユーザーだけがアクセス可能です。ローカルストレージがないホストは、Auto Deploy で管理される場合にのみサポートされます。

詳細なログ

vSphere HA がログファイルを置く場所は、ホストのバージョンによって異なります。

ESXi ホストでは、vSphere HA が Syslog に書き込むのはデフォルトの場合のみで、ログは、Syslog で構成された場所に置かれます。vSphere HA 用のログファイル名には、vSphere HA のサービスの 1 つであるフォールトドメインマネージャを表す fdm が前に付加されています。
レガシー ESXi ホストでは、vSphere HA は、Syslog のほかにローカルディスクの /var/log/vmware/fdm にも書き込みます（そのように構成されている場合）。

vSphere HA へのセキュアなログイン

vSphere HA は、vCenter Server により作成されたユーザーアカウントである vpxuser を使用して、vSphere HA エージェントにログオンします。このアカウントは、vCenter Server がホストを管理するために使用するのと同じアカウントです。vCenter Server はこのアカウント用にランダムなパスワードを作成し、定期的に変更します。その期間は、vCenter Server の VirtualCenter.VimPasswordExpirationInDays 設定で設定します。ホストのルートフォルダの管理権限を持つユーザーは、このエージェントにログインできます。

セキュアな通信

vCenter Server と vSphere HA エージェント間の通信は、すべて SSL 経由で行われます。エージェント間の通信も SSL を使用しますが、（マスターホスト）選択メッセージの通信だけは UDP 経由で行われます。選択メッセージは SSL で検証されるため、プライマリホストになることを不正なエージェントが妨害できるのは、そのエージェントが実行されているホストだけです。このケースでは、クラスタの構成に問題があることが通知され、ユーザーに注意を促します。

Host SSL 証明書の検証が必要

vSphere HA では、各ホストに検証済みの SSL 証明書があることが必要です。各ホストは、最初に起動したときに自己署名の証明書を生成します。次に、この証明書は再生成されるか、認証局が発行した証明書に置き換えられます。証明書が置き換えられた場合、ホスト上で vSphere HA を再構成する必要があります。証明書が更新されて ESXi または ESX ホストエージェントが再起動した後にホストが vCenter Server から切断された場合は、vCenter Server に再接続されたときに vSphere HA は自動的に再構成されます。vCenter Server ホストの SSL 証明書の検証が無効なため切断されなかった場合は、新しい証明書を検証してホスト上の vSphere HA を再構成します。