セキュリティ システム管理者は、ファイアウォールを使用して、ネットワークまたはネットワーク内で選択したコンポーネントを侵入から保護します。

ファイアウォールは、システム管理者が明示的または暗黙的に許可したポート以外のすべてのポートを閉じ、その範囲内のデバイスへのアクセスを制御します。管理者が開くポートは、ファイアウォールの内側と外側のデバイス間のトラフィックを許可します。

重要: ESXi 5.5 以降の ESXi ファイアウォールは、ネットワーク単位での vMotion トラフィックのフィルタリングを許可しません。そのため、vMotion ソケットへの受信接続が行われることがないように、外部ファイアウォールにルールをインストールする必要があります。

仮想マシン環境では、コンポーネント間で、ファイアウォールのレイアウトを計画できます。

  • vCenter Server システムなどの物理マシンと ESXi ホスト間のファイアウォール。
  • 仮想マシン間(たとえば、外部 Web サーバとして機能している仮想マシンと、企業の内部ネットワークに接続されている仮想マシン間)のファイアウォール。
  • 物理ネットワーク アダプタ カードと仮想マシン間にファイアウォールを配置する場合などの物理マシンと仮想マシン間のファイアウォール。

ESXi 構成の中でファイアウォールをどのように使用するかは、ネットワークをどのように使用するか、特定のコンポーネントでどの程度のセキュリティが必要か、によって異なります。たとえば、各マシンが同じ部署の異なるベンチマーク テスト スイートを実行することだけを目的としている仮想ネットワークを作成すると、仮想マシン間で不必要なアクセスが生じる可能性が最小になります。したがって、ファイアウォールが仮想マシン間に存在する構成は必要ありません。ただし、外部ホストからのテスト実行の割り込みを防ぐために、仮想ネットワークのエントリ ポイントでファイアウォールを構成して、仮想マシンの全体のセットを保護することができます。

vSphere、vSAN を含む VMware 製品でサポートされているすべてのポートとプロトコルのリストについては、https://ports.vmware.com/の VMware Ports and Protocols Tool™ を参照してください。VMware 製品別のポート検索、ポートのカスタマイズ リストの作成、およびポート リストの出力または保存を行うことができます。

vCenter Server を使用した構成でのファイアウォール

vCenter Server を介して ESXi ホストにアクセスする場合、通常はファイアウォールを使用して vCenter Server を保護します。

ファイアウォールは、すべてのエントリ ポイントで必要です。クライアントと vCenter Server の間にファイアウォールを配置するか、vCenter Server とクライアントの両方をファイアウォールの背後に配置することができます。

vSphere、vSAN を含む VMware 製品でサポートされているすべてのポートとプロトコルのリストについては、https://ports.vmware.com/の VMware Ports and Protocols Tool™ を参照してください。VMware 製品別のポート検索、ポートのカスタマイズ リストの作成、およびポート リストの出力または保存を行うことができます。

vCenter Server を使用して構成したネットワークは、vSphere Client、他のユーザー インターフェイス クライアント、または vSphere API を使用するクライアントを介して通信を受信できます。通常の操作中、vCenter Server は、指定ポートで管理されるホストとクライアントからのデータを待機します。また、vCenter Server は、管理ホストが指定ポートで vCenter Server からのデータを待機することを前提としています。これらの構成要素のいずれかの間にファイアウォールがある場合、データ転送をサポートするため、ファイアウォールに開いているポートがあることを確認する必要があります。

ネットワークの使用量や、クライアントで必要とされるセキュリティ レベルに応じて、ネットワーク内の他のアクセス ポイントにもファイアウォールを含める場合があります。ファイアウォールの配置場所は、ネットワーク構成のセキュリティ リスクに基づいて選択します。一般的に使用されるファイアウォールの場所を次に示します。

  • vSphere Client またはサードパーティ製ネットワーク管理クライアントと vCenter Server の間。
  • ユーザーが Web ブラウザを介して仮想マシンにアクセスする場合は、Web ブラウザと ESXi ホストの間。
  • vSphere Client を介して仮想マシンにアクセスする場合は、vSphere ClientESXi ホストの間。この接続は、vSphere ClientvCenter Server の間の追加接続で、別のポートが必要です。
  • vCenter ServerESXi ホストの間。
  • ネットワーク内の ESXi ホスト間。通常、ホスト間のトラフィックは信頼できると考えられますが、マシン間でのセキュリティ違反を考慮する場合は、ホスト間にファイアウォールを追加することもできます。

    ESXi ホスト間にファイアウォールを追加して、仮想マシンを移行する場合は、ターゲット ホストとソース ホストの間にあるすべてのファイアウォールのポートを開きます。

  • ESXi ホストと、NFS や iSCSI ストレージなどネットワーク ストレージとの間。これらのポートは、VMware に固有のものではありません。ネットワークの仕様に合わせて構成してください。

ファイアウォールを介した vCenter Server への接続

vCenter Server がデータを受信できるようにするには、ファイアウォールで TCP ポート 443 を開きます。

デフォルトで、vCenter Server は TCP ポート 443 を使用してクライアントからのデータを待機します。vCenter Server とそのクライアント間にファイアウォールがある場合、vCenter Server がクライアントからデータを受信できる接続を構成する必要があります。ファイアウォールの構成は、サイトで何が使用されているかによって異なります。詳細については、ローカルのファイアウォールのシステム管理者に問い合わせてください。

ファイアウォールを介した ESXi ホストの接続

ESXi ホストと vCenter Server の間にファイアウォールがある場合は、管理対象ホストがデータを受け取れることを確認します。

データ受信のための接続を構成するには、vSphere High Availability、vMotion、vSphere Fault Tolerance などのサービスからのトラフィック用のポートを開きます。構成ファイル、vSphere Client のアクセス、およびファイアウォール コマンドについては、ESXi ファイアウォールの構成 を参照してください。ポートのリストについては、https://ports.vmware.comの VMware Ports and Protocols Tool™ を参照してください。

vCenter Serverを使用しない構成でのファイアウォール

お使いの環境に vCenter Serverが含まれていない場合は、クライアントは ESXi ネットワークに直接接続できます。

いくつかの方法でのスタンドアロン ESXiホストに接続できます。
  • VMware Host Client
  • ESXCLI インターフェイス
  • vSphere Web Services SDK または vSphere Automation SDK
  • サードパーティ製のクライアント
スタンドアロン ホストのファイアウォール要件は、 vCenter Serverがある場合の要件と似ています。
  • ファイアウォールを使用して ESXi層を保護するか、構成によっては、クライアントとESXi 層を保護します。このファイアウォールは、ネットワークに基本的な保護を提供します。
  • このような構成でのライセンスは、各ホストにインストールするESXiパッケージの一部です。ライセンスは ESXiに属するため、ファイアウォールを備えた個別の License Server は必要ありません。

ESXCLI またはVMware Host Clientを使用してファイアウォール ポートを構成できます。vSphere の単一ホスト管理:VMware Host Clientを参照してください。

ファイアウォールを介した仮想マシン コンソールへの接続

ユーザーおよび管理者が仮想マシン コンソールと通信するには、特定のポートを開く必要があります。どのポートを開くかは、仮想マシン コンソールのタイプと、vSphere Client を使用して vCenter Server を介して接続するか VMware Host Client から直接 ESXi ホストに接続するかによって異なります。

ポート、目的、および分類(受信、送信、双方向)の詳細については、https://ports.vmware.comの VMware Ports and Protocols Tool™を参照してください。

vSphere Client を介してブラウザベースの仮想マシン コンソールに接続

vSphere Client を使用して接続すると、ESXi ホストを管理する vCenter Server システムに必ず接続し、そこから仮想マシン コンソールにアクセスします。

vSphere Client を使用していて、ブラウザベースの仮想マシン コンソールに接続する場合、次のアクセスが可能である必要があります。

  • ファイアウォールは、ポート 443 での vSphere ClientvCenter Server へのアクセスを許可する必要がある。
  • ファイアウォールは、ポート 902 での vCenter ServerESXi ホストへのアクセスを許可する必要がある。

vSphere Client を介した VMware Remote Console との接続

vSphere Client を使用し、VMware Remote Console (VMRC) に接続している場合は、次のアクセスが可能である必要があります。

  • ファイアウォールは、ポート 443 での vSphere ClientvCenter Server へのアクセスを許可する必要がある。
  • ファイアウォールは VMRC に、vCenter Serverへのアクセスをポート 443 で許可する必要があります。また、ESXi ホストへのアクセスについては、11.0 よりも前のバージョンの VMRC にはポート 902 で許可し、11.0 以降のバージョンの VMRC にはポート 443 で許可する必要があります。VMRC バージョン 11.0 と ESXi ポートの要件の詳細については、https://kb.vmware.com/s/article/76672 にある VMware のナレッジベースの記事を参照してください。

ESXi ホストの VMware Host Client との直接接続

ESXi ホストに直接接続する場合は、 VMware Host Client 仮想マシン コンソールを使用できます。
注: VMware Host Client を使用して vCenter Server システムによって管理されているホストに直接接続しないでください。このようなホストに VMware Host Client から変更を行うと、使用中の環境が不安定になります。

ファイアウォールは、ポート 443 および 902 での ESXiホストへのアクセスを許可する必要があります。

VMware Host Client は、ポート 902 を使用して仮想マシンのゲスト OS の MKS(マウス、キーボード、スクリーン)アクティビティの接続を提供します。ユーザーが仮想マシンのゲスト OS およびアプリケーションと通信するときは、このポートを使用します。この機能に異なるポートを構成することはできません。