vSphere HA は、いくつかのセキュリティ機能により拡張されます。
- 開いているファイアウォールのポートを選択
- vSphere HA は、TCP およびUDP ポート 8182 をエージェント間の通信に使用します。ファイアウォールのポートの開閉は自動で、必要なときだけ開くようになっています。
- ファイル システム権限を使用して保護された構成ファイル
- vSphere HA は、ローカル データストアがない場合、構成情報をローカル ストレージまたは RAM ディスクに格納します。これらのファイルは、ファイル システム権限を使用して保護されており、root ユーザーだけがアクセス可能です。ローカル ストレージがないホストは、Auto Deploy で管理される場合にのみサポートされます。
- 詳細なログ
-
vSphere HA がログ ファイルを置く場所は、ホストのバージョンによって異なります。
- ESXi ホストでは、vSphere HA が Syslog に書き込むのはデフォルトの場合のみで、ログは、Syslog で構成された場所に置かれます。vSphere HA 用のログ ファイル名には、vSphere HA のサービスの 1 つであるフォールト ドメイン マネージャを表す fdm が前に付加されています。
- レガシー ESXi ホストでは、vSphere HA は、Syslog のほかにローカル ディスクの /var/log/vmware/fdm にも書き込みます(そのように構成されている場合)。
- vSphere HA へのセキュアなログイン
- vSphere HA は、vCenter Server により作成されたユーザー アカウントである vpxuser を使用して、vSphere HA エージェントにログオンします。このアカウントは、vCenter Server がホストを管理するために使用するのと同じアカウントです。vCenter Server はこのアカウント用にランダムなパスワードを作成し、定期的に変更します。その期間は、vCenter Server の VirtualCenter.VimPasswordExpirationInDays 設定で設定します。ホストのルート フォルダの管理権限を持つユーザーは、このエージェントにログインできます。
- セキュアな通信
- vCenter Server と vSphere HA エージェント間の通信は、すべて SSL 経由で行われます。エージェント間の通信も SSL を使用しますが、(マスター ホスト) 選択メッセージの通信だけは UDP 経由で行われます。選択メッセージは SSL で検証されるため、プライマリ ホストになることを不正なエージェントが妨害できるのは、そのエージェントが実行されているホストだけです。このケースでは、クラスタの構成に問題があることが通知され、ユーザーに注意を促します。
- Host SSL 証明書の検証が必要
- vSphere HA では、各ホストに検証済みの SSL 証明書があることが必要です。各ホストは、最初に起動したときに自己署名の証明書を生成します。次に、この証明書は再生成されるか、認証局が発行した証明書に置き換えられます。証明書が置き換えられた場合、ホスト上で vSphere HA を再構成する必要があります。証明書が更新されて ESXi または ESX ホスト エージェントが再起動した後にホストが vCenter Server から切断された場合は、vCenter Server に再接続されたときに vSphere HA は自動的に再構成されます。vCenter Server ホストの SSL 証明書の検証が無効なため切断されなかった場合は、新しい証明書を検証してホスト上の vSphere HA を再構成します。